26.06.2023 / Eine App ist schnell heruntergeladen, die AGB interessieren nicht. Das ist in der Regel kein Problem. Schwieriger wird es bei Gesundheits-Apps, die persönliche Daten enthalten. Die Juristin und Datenschutzexpertin Ursula Uttinger erklärt, worauf man im Umgang mit diesen Apps achten muss.
Frau Uttinger, wie wichtig sind Gesundheits-Apps und Datenschutz für unsere zukünftige Gesundheitsversorgung?
Ich glaube, Apps werden an Bedeutung zunehmen. In diesem Zusammenhang ist wichtig, dass wir uns der folgenden zwei Punkte bewusst sind. Einerseits der Fragen des Datenschutzes, etwa: Wo sind meine Daten gespeichert? Wer hat Zugriff auf meine Daten? Andererseits: Ist diese App ein Medizinprodukt? Falls ja, unterliegen diese Apps klaren regultorsichen Vorgaben, welche eingehalten werden müssen?
Wo sehen Sie die grössten Herausforderungen im Umgang mit Gesundheits-Apps?
Die Leute sollten verstehen, wozu sie zustimmen. Der Mensch tendiert dazu, bei einer App den AGB und Datenschutzerklärungen zuzustimmen, ohne sich ernsthaft damit auseinanderzusetzen. Und ja, daran sind wir Juristinnen und Juristen nicht ganz unschuldig. Sehr oft werden AGBs in einer Sprache geschrieben, die nicht adressatengerecht ist. Um keinerlei Haftung oder/und Verantwortung übernehmen zu müssen, wird alles beschrieben und ausgeschlossen. Dadurch wird alles sehr lang und ausführlich; keiner verstehts, und in der Folge liests keiner mehr, im Glauben, es passe dann schon.
Wo sehen Sie welche Verantwortung?
Ich würde zwei Szenarien unterscheiden. Das erste: Man hört oder liest von einer App und lädt sich diese runter. Hier sehe ich ganz klar den App-Entwickler in der Verantwortung. Ich würde es begrüssen, wenn dieser klar sagen würde, welches die wichtigsten Punkte der Nutzung innerhalb einer solchen App sind, gleich zu Beginn. Das zweite Szenario: Sobald eine App von einer Gesundheitsfachperson empfohlen wird, ist diese Person mitverantwortlich. Sie sollte Betroffene klar und verständlich darüber informieren, wozu die Daten genutzt werden. Patientinnen und Patienten müssen verstehen, wozu sie einwilligen. Noch einen Schritt weiter: Wenn eine App länger nicht mehr genutzt wurde, erwarte ich, dass die App proaktiv «mitteilt», was mit den Daten gemacht wird bzw. mit wem diese geteilt werden. Denn die Realität ist: Man vergisst sehr schnell, wozu man zugestimmt hat.
Das stelle ich mir in der Praxis nicht ganz einfach vor…
Ja. Ärzte wollen ihre Patientinnen und Patienten medizinisch betreuen und ihnen nicht unendlich viele Details erkären müssen. Ich würde es schätzen, wenn App-Anbieter die wichtigsten Punkte auf einen Blick aufzeigen würden. Übersichtlich und verständlich. Zum Beispiel: Was wird erfasst und beurteilt, was wird damit gemacht, welche Tools werden allenfalls sonst noch angewendet, wie lange werden die Daten wo gespeichert und warum? Möchte jemand mehr wissen, sollte die Möglichkeit bestehen, sich in (alle) Details einzulesen. Aber wie erwähnt: Nicht zu Beginn einen riesigen «Wulst» kreieren, bei dem keiner versteht, worum es geht.
Über welche drei Punkte sollte die Ärzteschaft ihre Patientinnen und Patienten informieren?
Erstens: Wo werden die Daten gehostet? Zweitens: Wie lange werden diese dort aufbewahrt? Und drittens: Wer hat Zugang zu den Daten und wie könnte dieser Zugriff allenfalls eingeschränkt werden?
Und was wäre die ideale Antwort aus Sicht der Datenschutzexpertin?
Idealerweise werden die Daten in der Schweiz oder in Europa gehostet, präziser: gerne nahe der Schweiz. Obwohl das Datenschutzgesetz in der EU und im EWR grundsätzlich überall dasselbe ist, bleibt die Frage, wie dieses umgesetzt wird. Was die Aufbewahrungsdauer anbelangt: Nur so lange, wie für die Zielerreichung wirklich notwendig ist. Bezüglich Aufbewahrungsdauer sollte differenziert werden können. Nehmen wir an, ich möchte Blutdruckverläufe diverser Patientinnen und Patienten über x Jahre beobachten. Dann ist es von Seiten App-Anbieter sicher gerechtfertigt, die Daten über die entsprechende Anzahl Jahre aufzubewahren — allenfalls anonymisiert bzw. pseudonymisiert. Wenn ich hingegen Grippe-Episoden untersuche und Kranke dafür während ein paar Tagen tracke, müssen diese Daten meines Erachtens nicht während mehrerer Jahre personalisiert aufbewahrt werden.
In meinen Augen auch wichtig ist die Zugriffsberechtigung. Betroffene Personen sollen selbst entscheiden können, wer auf die Daten zugreifen kann. Primär sollten dies die Betroffenen selbst und die behandelnden Gesundheitsfachpersonen sein und nicht Dritte. Zudem sollte in einer solchen Konstellation der App-Anbieter selbst keinen Zugriff haben.
Wie entscheidend ist für Sie, ob eine App als Medizinprodukt zertifiziert ist?
Ich denke, die Abrenzung wird immer schwieriger: Was ist ein klassisches Medizinprodukt, was ein Hilfsprodukt? Wir haben je länger je weniger anonyme Personendaten. Diese Tatsache sollte ins Bewusstsein der betroffenen Personen übergehen. Die Zertifizierung als Medizinprodukt ist für mich zweitrangig, wichtiger ist, dass Daten nur so genutzt werden, wie es transparent angegeben ist.
Interview: Cordelia Trümpy
Link zum Interview im VSAO-Journal.
Zur Person
Ursula Uttinger studierte an der Universität Zürich Recht, absolvierte verschiedene Weiterbildungen insbesondere in Bezug auf Unternehmensführung. Seit 1996 beschäftigt sie sich mit Datenschutz, war in verschiedenen Unternehmen für den Datenschutz, aber auch für Legal & Compliance verantwortlich, insbesondere im Versicherungs- und Gesundheitsumfeld, führte ein KMU und unterrichtet seit 2020, heute hautsächlich an der Hochschule Luzern. Nebenbei berät sie diverse Unternehmen in Datenschutzfragen.