05 / 07 / 2017
Datenschutzrechtliche Grenzen für Digital-Health-Startups – Anforderungen der neuen EU Datenschutzgrundverordnung
Autor

Immer mehr Startups treiben die Digitalisierung auch im medizinischen Bereich voran. Von medizinischen Wearables über E-Akte und Telemedizin bis hin zur vollautomatisierten personalisierten Medikamentendosierung wird die Vision vom gläsernen Patienten Wirklichkeit.

Gesundheitsdaten sind besondere Art personenbezogener Daten

Insbesondere zur Nutzung von medizinischen Wearables werden Daten wie Körpertemperatur, Blutdruck oder Puls, sog. Gesundheitsdaten, erhoben und gespeichert. Bei einer solchen Nutzung erhobene Gesundheitsdaten gelten nach dem Bundesdatenschutzgesetz (BDSG) und der neuen EU-Datenschutzgrundverordnung (DS-GVO) als besondere Arten personenbezogener Daten bzw. als besondere Kategorien personenbezogener Daten. Sie genießen einen besonderen gesetzlichen Schutz. In diesem Artikel beleuchten wir auf Grundlage der DS-GVO, inwieweit Gesundheitsdaten in der Digital-Health-Branche verarbeitet werden, welche rechtlichen Vorgaben dabei zu beachten sind und auf welche Weise eine rechtskonforme Nutzung von Gesundheitsdaten möglich ist.

Definition von Gesundheitsdaten

Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Davon umfasst sind z.B. Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand einer Person, genetische Daten und Daten, die aus biologischen Proben abgeleitet wurden.

Nutzung von Gesundheitsdaten nur nach Einwilligung oder gesetzlicher Erlaubnis

Auf Grund der Sensibilität der Gesundheitsdaten ist deren Verarbeitung grundsätzlich untersagt. Von diesem grundsätzlichen Verbot gibt es nur wenige Ausnahmen. Die wichtigste dieser Ausnahmen ist die Einwilligung des Nutzers als betroffene Person.

Anforderungen an eine Einwilligung

Diese Einwilligung in die Verarbeitung von Gesundheitsdaten muss ausdrücklich erklärt werden. Eine konkludente Einwilligung, etwa durch Nutzung der entsprechenden Wearables oder Gesundheitsplattformen, ist rechtlich nicht möglich. Die ausdrückliche Einwilligung kann sowohl schriftlich als auch elektronisch oder mündlich erteilt werden. Für den elektronischen Bereich, wie z.B. bei Gesundheitsplattformen, ist daher eine Einwilligung per Checkbox (Opt-in) erforderlich. Da der Nutzer in den konkreten Anwendungsfall einwilligen muss und in der Lage sein soll, eine informierte Entscheidung zu treffen, sollte die Checkbox mit einem Begleittext versehen werden, der über die verarbeitende Stelle sowie die Art und den Zweck der Datenverarbeitung Auskunft erteilt.

Die Einwilligung muss

  • eindeutig
  • ohne Zwang
  • bezogen auf einen konkreten Anwendungsfall und
  • in Kenntnis der Sachlage erfolgen.

Startups sollten daher bei der Nutzung von vorformulierten Einwilligungserklärungen darauf achten, dass die Formulierung für den Nutzer eindeutig und nachvollziehbar ist, sodass eine informierte Einwilligung vorliegt.

Ausnahme von der Zweckbindung bei der Einwilligung für wissenschaftliche Zwecke

Sofern die Verarbeitung der Gesundheitsdaten für wissenschaftliche Zwecke erfolgt, gibt es eine Erleichterung in Bezug auf die Zweckbindung der Einwilligung. So ist eine Einwilligung in die Verarbeitung für wissenschaftliche Zwecke auch dann möglich, wenn die Zwecke zum Zeitpunkt der Erhebung der Daten noch nicht vollständig bestimmt werden können. Der Nutzer kann seine Einwilligung in diesem Fall für bestimmte Bereiche der wissenschaftlichen Forschung erteilen, solange anerkannte ethische Standards für die wissenschaftliche Forschung eingehalten werden.

Weitere gesetzliche Erlaubnistatbestände

Neben der expliziten Einwilligung gibt es weitere Ausnahmen vom Verbot der Verarbeitung von Gesundheitsdaten. Diese Ausnahmen umfassen z.B. die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts, z.B. um die Arbeitsfähigkeit eines Beschäftigten zu beurteilen, sowie des Rechts der sozialen Sicherheit, um z.B. die „Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen“ sicherzustellen, oder die Verarbeitung zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren.

Sofern eine dieser oder der weiteren vorhandenen Ausnahmen vom Verbot der Verarbeitung anwendbar ist, ist eine explizite Einwilligung nicht erforderlich.

Anonymisierung und Pseudonomisierung als Alternative zur Einwilligung?

Häufig werden Gesundheitsdaten vor deren Verarbeitung pseudonymisiert oder anonymisiert, um das Datenschutzrecht zu umgehen.

Pseudonymisierte Daten, d.h. „personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten“, wie Datensätze, bei denen z.B. der Name des Nutzers durch eine nummerische Ziffernfolge ersetzt wird, werden jedoch wie Daten behandelt, die nicht pseudonymisiert sind. D.h. auch für pseudonymisierte Daten gilt das generelle Verarbeitungsverbot mit den oben benannten Ausnahmen. Eine Umgehung des Datenschutzrechtes ist daher mit einer bloßen Pseudonymisierung der Daten nicht möglich.

Sobald die Gesundheitsdaten allerdings anonymisiert werden ist eine Verarbeitung der Daten ohne gesonderte Einwilligung oder Ausnahmeregelung möglich. Anonymisierte Daten im Sinne der DS-GVO meint „Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Insbesondere Digital-Health-Startups, die auf Machine Learning-Anwendungen basieren, sind in der Regel nicht auf den Personenbezug der Daten angewiesen und können solche anonymisierten Gesundheitsdaten ohne gesonderte Einwilligung für ihr Geschäftsmodell nutzen.

Gestaltung des Datenschutzes im Geschäftsmodell rechtlich prüfen lassen

Ob einer der gesetzlichen Ausnahmetatbestände oder eine anonymisierte Form der Datenschutzverarbeitung in Bezug auf das Geschäftsmodell eines Medtech-Startups anwendbar ist, sollte im Einzelfall von einem auf Datenschutz- und IT-Recht spezialisierten Rechtsanwalt geprüft werden. Dies gilt umso mehr, als neben dem Datenschutzrecht ggfs. weitere landesrechtliche, strafrechtliche und sozialrechtliche Bestimmungen sowie diverse krankenhausrelevante Gesetze und Verordnungen zu berücksichtigen sind.

Datenschutzrechtliche Verstöße und deren Folgen

Die Hinzuziehung eines Experten ermöglicht es, drohende Datenrechtsverstöße aufzudecken und ggfs. das Geschäftsmodell durch einfache Anpassungen des Datenerhebungs- und Verarbeitsungsprozesses rechtskonform zu gestalten.

So können datenschutzrechtliche Verstöße verhindert werden, bei denen unter der DS-GVO Ordnungsgelder von bis zu 20 Mio. Euro kostenpflichtige Abmahnungen durch Wettbewerber und Schadensersatzansprüche der betroffenen Nutzer drohen.

Du hast Interesse an detaillierten Informationen zum Thema Digital-Health und Datenschutz?

Kontaktiere gerne unsere Expertin: hier klicken.

#StartupTrend beleuchtet kurz und knapp aktuelle Entwicklungen im Startup und Venture Capital Markt und ergänzt sie um einen Überblick zu wesentlichen rechtlichen Fragestellungen.

Mehr #StartupTrends: hier klicken.

Get in touch