06.09.2018 «Die Beteiligten sind sich der bestehenden datenschutzrechtlichen Vorgaben zu wenig bewusst»

Interview mit Barbara Widmer. Unsere Gesundheitsdaten sind besonders schützenswert. Und doch wird heute alles und jeder getrackt. Können wir unsere Daten noch schützen, die mHealth-Applikationen von uns speichern? In unserem Gespräch sagte uns die Juristin und Expertin für Datenschutzfragen, wo bei mHealth-Apps aus datenschutzrechtlicher Sicht die grössten Gefahren liegen und was wir noch immer tun können, damit unsere Daten sicherer sind.

Bildstrecke «Die Beteiligten sind sich der bestehenden datenschutzrechtlichen Vorgaben zu wenig bewusst»

TODO CHRISTIAN

Barbara Widmer vertritt die Konferenz der kantonalen Datenschutzbeauftragten in verschiedenen Arbeitsgruppen von eHealth Suisse.

spectra: mHealth-Applikationen sammeln Gesundheitsdaten – weshalb sind gesundheitsspezifische Daten besonders schützenswert?

Barbara Widmer: Gesundheitsdaten sind besonders geeignet, die Persönlichkeit einer Person zu verletzen. Zu denken ist z.B. an das ungewollte Bekanntwerden einer ungünstigen medizinischen Diagnose. Viele sind der Meinung, sie hätten nichts zu verbergen. Diese Annahme trifft allgemein und insbesondere im Gesundheitsbereich nicht zu. Jeder hat etwas zu verbergen und dagegen ist auch nichts einzuwenden. Aus Gesundheitsdaten lassen sich viele Informationen ablesen, die für die verschiedenen Marktteilnehmer wie Versicherer (Kranken-, Taggeld-, Invaliden-, Lebensversicherer), Behörden, Arbeitgeber oder die Pharmaindustrie von grossem Interesse sind.

«In der Regel gibt es bei kostenpflichtigen Angeboten mehr Möglichkeiten, die Verwendung der eigenen Daten zu steuern.»

Wann ist das Sammeln von gesundheitsspezifischen Daten der Nutzerinnen und Nutzer durch mHealth-Applikationen problematisch?

Stets wenn es ohne das Wissen der betroffenen Nutzerinnen und Nutzer erfolgt – wenn diese somit in das Sammeln nicht eingewilligt haben. Die Bearbeitung von Personendaten setzt entweder die Einwilligung der Betroffenen oder eine gesetzliche Grundlage, die das Bearbeiten erlaubt, voraus. Allgemein gilt, dass eine Einwilligung in die Bearbeitung von Personendaten nur dann gültig ist, wenn sie für eine oder mehrere konkrete Bearbeitungszwecke, nach angemessener Information, freiwillig und eindeutig erfolgt.

Wo liegen aus datenschutzrechtlicher Sicht die grössten Gefahren?

Aus datenschutzrechtlicher Sicht gibt es insbesondere drei  Gefahren: Die erste besteht in der Zweckentfremdung der Daten. Nach der Datenschutzgesetzgebung dürfen Daten nur zu dem Zweck bearbeitet werden, der bei der Datenerhebung angegeben wurde. Im Rahmen von mHealth-Applikationen wird dies regelmässig die Messung, die Sammlung und Analyse von Werten sein. Leider besteht die Gefahr, dass durch die Hersteller oder Anbieter im Hintergrund eine Verarbeitung der Daten zu anderen wie z.B. Werbezwecken erfolgt – ohne dass die Betroffenen in diese Verarbeitung eingewilligt haben.bei mHealth-Applikationen?
Die zweite Gefahr besteht in der intransparenten Datenbearbeitung. Oft wissen die Nutzerinnen und Nutzer von mHealth-Applikationen nicht, wo die Applikation die Daten speichert, wer auf diese zugreifen kann und inwiefern die Daten an Dritte weitergegeben werden. Der dritte Gefahrenbereich liegt in der mangelhaften IT-Sicherheit. Nach der Datenschutzgesetzgebung müssen mHealth-Applikationen über eine IT-Sicherheit verfügen, die dem aktuellen Stand der Technik entspricht. Aus Kostenüberlegungen sparen die Hersteller bei der IT-Sicherheit jedoch insbesondere bei Gratisangeboten. Dies führt zu einer Gefährdung der Richtigkeit der Daten (Daten können bei ungerechtfertigten Zugriffen verfälscht oder falschen Personen zugeordnet werden); im Weiteren erhöht eine mangelhafte IT-Sicherheit das Risiko für Datendiebstähle.

Wie kann ein/-e Anwender/-in den Nutzen von mHealth-Applikationen maximal ausschöpfen und gleichzeitig das Risiko des Datenmissbrauchs minimieren?

In der Regel gibt es bei kostenpflichtigen Angeboten (nicht nur im mHealth-Bereich) mehr Möglichkeiten, die Verwendung der eigenen Daten zu steuern. Vielen Leuten ist nicht klar, dass Gratisangebote im digitalisierten Umfeld stets nur vermeintlich gratis sind – denn als Entschädigung werten die Anbieter die gesammelten Daten aus und verkaufen diese je nach Sachlage an Dritte weiter – oft ohne Wissen der Betroffenen. Bei mHealth-Applikationen sollte ein/-e Anwender/-in daher jeweils die kostenpflichtige Applikation wählen Unund sich stets darüber informieren, wozu die Daten gesammelt werden, wer auf die Daten zugreifen kann, wo diese gespeichert sind und inwiefern die Daten an Dritte weitergegeben werden.

«Sind die Daten nicht im EU-Raum gespeichert, ist Vorsicht geboten.»

Wie ist es (wenn überhaupt) möglich, sich als Anwenderin/ Anwender zu schützen?

Es ist durchaus möglich, sich als Anwenderin oder Anwender zu schützen. Vorsicht empfiehlt sich stets bei vermeintlichen Gratisangeboten (siehe Antwort vorherige Frage). Entsprechend sollte immer geprüft werden, ob eine kostenpflichtige Variante einer mHealth-Applikation verfügbar ist, und in jedem Fall sollten Antworten auf folgende Fragen erhältlich sein: Zu welchem Zweck erhebt die mHealth-Applikation die Daten, wer hat Zugriff auf diese Daten, wo werden die Daten gespeichert und findet eine Weitergabe der Daten an Dritte statt? Finden sich für eine Applikation keine Antworten auf diese Fragen, sollte auf ihre Nutzung verzichtet werden – selbst wenn sie kostenpflichtig ist.

Was bedeutet es, wenn ich meine Rechte auf meine Daten durchsetzen will, die Daten aber im Ausland (EU oder USA, China, Russland, Indien etc.) liegen?

Es kommt darauf an, wo im Ausland die Daten liegen. Sind sie im EU-Raum gespeichert, gestalten sich die rechtlichen Durchsetzungsmöglichkeiten erfolgsversprechend. Die EU hat ihre Datenschutzgesetzgebung vollständig überarbeitet und dabei verschiedene Verschärfungen vorgenommen. Neu haben die EU-Datenschutzaufsichtsstellen z.B. die Möglichkeit, bei Verstössen gegen die EU-Datenschutzgesetzgebung hohe Geldbussen zu verhängen. Sind die Daten nicht im EU-Raum gespeichert,ist Vorsicht geboten. Die USA haben zwar eine Datenschutzgesetzgebung, jedoch unterscheidet sich diese erheblich vom europäischen und vom schweizerischen Datenschutzverständnis. In Ländern wie China, Indien und Russland ist eine Datenschutzgesetzgebung nicht oder nur bedingt vorhanden. Nutzerinnen und Nutzern von mHealth- Applikationen ist daher zu raten, nur Anwendungen zu verwenden, die die Daten entweder in der Schweiz oder der EU speichern.

«Für die Innovationskraft einer Unternehmung sind aus meiner Sicht die Ausgestaltung des Immaterialgüter- und Wettbewerbsrechts sowie im Weiteren der nationalen Beschäftigungs- und Migrationspolitik wichtiger als jene der Datenschutzgebung.»

Wer haftet, wenn eine mHealth-Applikation falsche Daten liefert oder Schlüsse über meine Gesundheit zieht, die meine Gesundheit gefährden könnten?

Diese Frage lässt sich nur bedingt allgemein beantworten. In Frage kommen der Hersteller oder der Anbieter einer mHealth-Applikation. Sind der Hersteller und der Anbieter ein und dieselbe Person, kann bei Vorliegen eines Schadens gegen diese Person vorgegangen werden. Sind der Hersteller und der Anbieter unterschiedliche Personen, die sich allenfalls noch in unterschiedlichen Ländern befinden, wird es schwieriger. Hier spielen Fragen wie «Mit wem besteht ein Vertragsverhältnis oder welcher Gerichtsstand und welches Recht erscheinen am zielführendsten?» eine wichtige Rolle. Wird eine Klage ins Auge gefasst, empfiehlt sich jedenfalls die Beiziehung einer Rechtsexpertin oder eines Rechtsexperten.

Weshalb sind gesundheitsspezifische Daten für Unternehmen heute so wertvoll?

Sammelt ein Unternehmen über einen repräsentativen Zeitraum Daten und wertet diese anschliessend aus, lassen sich über die Betroffenen Persönlichkeitsprofile erstellen, die sich zu unterschiedlichen Zwecken nutzen lassen – z.B. für die risikoorientierte Prüfung von Kranken- und Lebensversicherungsanträgen, für personalisierte Werbeangebote (Medikamente, Lifestyle- Angebote, Medizinprodukte usw.), die Optimierung des Waren- und Dienstleistungsangebots oder die bessere Abschätzung des krankheitsbedingten Ausfallrisikos einer Arbeitnehmerin oder eines Arbeitnehmers durch den Arbeitgeber. Nicht selten kaufen die Unternehmen entsprechende Datenauswertungen auch von Dritten ein oder verkaufen ihre eigenen Datenanalysen an Dritte weiter. Durch die Nutzung solcher Datensätze werden die Unternehmenschancen und insbesondere die Unternehmensrisiken besser plan- und steuerbar, was einem uralten Bedürfnis der unternehmerischen Tätigkeit entspricht. Deshalb sind Daten für Unternehmen so wertvoll.

Behindern schärfere Datenschutzgesetze die Innovationskraft von Unternehmen? Oder: Soll das Datenschutzgesetz auf Unternehmen Rücksicht nehmen? Wie weit geht diese Rücksichtnahme?

Geht man mit der EU, hindert eine schärfere Datenschutzgesetzgebung die Innovationskraft von Unternehmen nicht. Die EU hat zur Förderung der Forschungs- und Entwicklungstätigkeit im Binnenmarkt verschiedene Rechtsakte überarbeitet – so auch die EU-Datenschutzgesetzgebung – und diese dabei spürbar verschärft. Für die Innovationskraft einer Unternehmung sind aus meiner Sicht die Ausgestaltung des Immaterialgüter- und Wettbewerbsrechts sowie im Weiteren der nationalen Beschäftigungs- und Migrationspolitik wichtiger als jene der Datenschutzgesetzgebung

Wo müsste das Datenschutzgesetz der Schweiz Ihrer Meinung nach angepasst werden?

Das Datenschutzgesetz muss meiner Meinung nach nicht angepasst werden. Das Problem liegt vielmehr darin, dass sich die Beteiligten der bestehenden datenschutzrechtlichen Vorgaben nicht oder zu wenig bewusst sind oder sich nicht um diese scheren (leider auch viele Nutzerinnen und Nutzer). Es braucht deshalb verstärkte Anstrengungen zur Durchsetzung der bestehenden Datenschutzgesetzgebung. Mit Blick auf die Hersteller und Anbieter von mHealth- Applikationen haben die EU und eHealth Suisse inzwischen Leitfäden mit Checklisten zur Selbstprüfung erstellt. Als weitere Massnahmen stehen in der Schweiz eine zentrale Minimalprüfung von mHealth-Applikationen durch eine staatliche oder quasistaatliche Stelle sowie eine verstärkte Sensibilisierung der Nutzerinnen und Nutzer in Diskussion.

Unsere Gesprächspartnerin

Dr. iur. Barbara Widmer vertritt die Konferenz der kantonalen Datenschutzbeauftragten in verschiedenen Arbeitsgruppen von eHealth Suisse – unter anderem in der Arbeitsgruppe mHealth, die sich mit dem Thema «mobile Endgeräte» aus verschiedenen Perspektiven beschäftigt. Barbara Widmer verfügt über ein Nachdiplomstudium in internationalem Wirtschaftsrecht und ein Diplom als interne Revisorin. Sie forscht in den Bereichen Wirtschafts-, Immaterialgüter-, Informations- und EU-Recht und beschäftigt sich auch mit aufsichtsrechtlichen Fragen, die es im Rahmen der Digitalisierung verbreitet neu zu beantworten gilt.

Nach oben