Privacy Code of Conduct on mobile health apps – Mehr Sicherheit / Datenschutz für Anwender medizinischer Apps

Privacy Code of Conduct on mobile health apps

Der Privacy Code of Conduct on mobile health apps wurde durch die Europäische Kommission ins Leben gerufen. Nach deren Angaben soll das Abkommen dabei helfen, Vertrauen bei der Nutzung von Gesundheits- und Medizin-Apps zu schaffen.

Ziele des Privacy Code of Conduct on mobile health apps

Das Ziel des Privacy Code of Conduct on mobile health (mhealth) apps ist es, dem Nutzer solcher Apps eine gewisse Sicherheit bei der Nutzung von Gesundheits- oder medizinischer Apps zukommen zu lassen. Dies soll durch einen besseren Schutz der gesammelten Daten durch die Apps erreicht werden. Außerdem sollen die App-Entwickler über die europäischen Datenschutzregeln informiert und durch den direkten Bezug der Regelung auf Gesundheits- und medizinische Apps eine Einhaltung der Regelungen erzielt werden. Dies dürfte in der Folge zu mehr Datenschutz bei Gesundheits- / medizinischen Apps führen.

Entstehung

Der Privacy Code of Conduct on mobile health apps wurde vom Entwurfsteam der Artikel-29-Datenschutzgruppe (G29), einem unabhängigen Beratungsgremium der europäischen Kommission in Sachen Datenschutz, am 7. Juni 2016 vorgelegt. Nach der Überprüfung des Entwurfes wurde eine Stellungnahme durch die Gruppe abgegeben, welche über die Anwendung der Regelung entschied. Nach Anwendbarkeit der EU-Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 wird eine zusätzliche Genehmigung für den Privacy Code of Conduct on mobile health apps durch den europäischen Datenschutzausschuss beantragt werden müssen.

Inhalte des Privacy Code of Conduct on mobile health apps

Die Hauptbestimmungen des Code of Conduct on mobile health apps sind Richtlinien für Entwickler von Gesundheits- und medizinischen Apps. Diese Hauptkriterien sind:

Zustimmung des Nutzers

Bei dem Gebrauch personenbezogener Daten des Apps-Nutzers ist dessen Zustimmung einzuholen. Diese Einwilligung ist dabei nur wirksam, wenn sie auf freier Entscheidung des Nutzers beruht. Diese Regelung ist dabei vergleichbar mit der bestehenden deutschen Regelung des § 4a Bundesdatenschutzgesetz (BDSG). Neben der freien Entscheidung des Nutzers über die Verwendung seiner Daten ist der Anbieter der App dazu verpflichtet, über den Umgang mit den Daten aufzuklären und genaue Auskunft über das Verfahren zu geben. Nimmt der Nutzer die Einwilligung zurück, ist der Anbieter der App dazu verpflichtet, alle gesammelten personenbezogenen Daten des Nutzers zu löschen.

Datensparsamkeit und Datenvermeidung sowie Zweckbestimmung der Datenerhebung

Der Grundsatz der Datensparsamkeit und Datenvermeidung (§ 3a BDSG) ist im deutschen Datenschutzrecht bereits bekannt und findet sich auch im Privacy Code of Conduct on mobile health apps. Dieser unterscheidet sich jedoch dadurch, dass keine spezifischen Kriterien genannt werden, die die Einhaltung des Grundsatzes unterstützen (Stichpunkt: Anonymisierung und Pseudonymisierung von Daten).  Nach dem Privacy Code of Conduct on mobile health apps ist eine Verwendung der personenbezogenen Daten nur gestattet, wenn diese einem spezifischen legitimierten Zweck dienen und notwendig für die Funktionalität der App sind. Weiterhin ist die Speicherung der Daten nur solange gestattet, solange diese für die Anwendung notwendig sind.

Datenschutz durch Technik (Privacy by Design)

Nach dieser Bestimmung ist der Nutzer bei jeglicher Modifikation bzw. Änderung der App zu informieren, die sich auf die Privatsphäre des Nutzers auswirkt. Diesem ist außerdem die Wahl zu stellen, ob er die Änderung annimmt oder nicht. Daneben ist der App-Anbieter dazu verpflichtet, die Standardeinstellung festzulegen, die am geringsten in die Privatsphäre des Nutzers eindringt.

Datenschutzrechte des Nutzers auf Information und Zugriff auf seine Daten

Der Nutzer ist dazu berechtigt, direkten Zugang auf seine Daten zu erhalten, eine Korrektur falscher Datenermittlung anzufordern und Informationen zu erhalten, was mit seinen Daten geschieht. Der App-Anbieter ist auch dazu verpflichtet, den Nutzer über die Verarbeitungsschritte seiner Daten zu informieren.

Schutzmechanismen

Des Weiteren trifft den App-Anbieter die Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen, um die Vertraulichkeit, Integrität sowie die Verfügbarkeit der verarbeiteten personenbezogenen Daten zu gewährleisten. Dies soll dazu dienen, unbeabsichtigte oder rechtswidrige Löschung, Verlust, Veränderung, Offenlegung, Zugang oder andere rechtswidrige Bearbeitungsformen von personenbezogenen Daten zu verhindern.

Werbung in Gesundheits- und medizinischen Apps

Bei Werbung, die auf der Grundlage der Verarbeitung personenbezogener Daten agiert, ist dem Nutzer zu ermöglichen, seine Zustimmung mithilfe einer Opt-in Funktion zu geben oder zu entziehen. Bei Werbung, die nicht auf der Verarbeitung personenbezogener Daten beruht, ist dem Nutzer die Möglichkeit einzuräumen, dieser zu widersprechen (Opt-out).

Nutzung von personenbezogenen Daten für einen anderen Zweck

Sollte die Nutzung der personenbezogenen Daten für einen sekundären Zweck gebraucht werden, ist darauf zu achten, dass diese mit dem originären Zweck zusammenhängt. Die Verarbeitung für wissenschaftliche, historische Forschung oder zu statistischen Zwecken gilt als mit dem ursprünglichen Zweck vereinbar. Eine sekundäre Verarbeitung, welche andere Zwecke verfolgt, bedarf einer Zustimmung des Betroffenen.

Offenlegung von personenbezogenen Daten an Dritte zum Zweck der Verarbeitung

Bevor die Daten an einen Dritten zum Zweck der Verarbeitung weitergeleitet werden können, ist der Betroffene (Nutzer) vorab zu informieren. Weiterhin muss der App-Entwickler eine rechtlich verbindliche Vereinbarung mit dem Dritten abgeschlossen haben.

Datentransfer außerhalb Europas

Datenübermittlungen außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes bedürfen einer rechtlich legitimierten Garantie, beispielsweise durch Entscheidung der Europäischen Kommission, Modellverträge der Europäischen Kommission oder verbindliche Unternehmensregeln.

Personenbezogene Datenverletzung

Der Privacy Code of Conduct on mobile health apps enthält eine Checkliste, die im Falle einer personenbezogenen Datenverletzung zu befolgen ist. Diese verpflichten den Betreiber der App dazu, eine Mitteilung an eine Datenschutzbehörde vorzunehmen.

Umgang mit personenbezogen Daten von Kindern

Je nach Altersbegrenzung, die in den Rechtsvorschriften festgelegt sind, ist bei der Nutzung personenbezogener Daten von Minderjährigen zusätzlich die Zustimmung der Vertretungsberechtigten einzuholen.

In unseren Beitrag über die Risiken von Gesundheits-und medizinischen Apps können Sie nähere Informationen zu diesem Thema erhalten. Sollten Sie weitere Fragen haben, können Sie sich auch direkt an uns wenden.

Wir helfen Ihnen gerne bei Fragen rund um den Datenschutz und bieten kompetente und fachkundige Unterstützung.

Kontaktieren Sie uns und fordern Sie ein kostenloses und unverbindliches Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.