Unter den Sammelbegriff E‑Health (Abkürzung für Electronic Health) werden alle Anwendungen, Hilfsmittel und Dienstleistungen gefasst, die zur Behandlung und Betreuung von Patientinnen und Patienten elektronische Informations- und Kommunikationstechnologien nutzen.
Beispielhaft ist die Verwendung von digitalen Gesundheits- oder Pflegeanwendungen in Form einer App oder auch die zum 1. Januar 2021 eingeführte elektronische Patientenakte (ePA). Auf dieser sind neben Behandlungsdaten unter anderem auch Notfalldaten oder ein Medikationsplan elektronisch dokumentiert. Weiterhin fallen auch telemedizinische Anwendungen sowie Videosprechstunden darunter.
Informations- und Kommunikationstechnik
Der Einsatz von Informations- und Kommunikationstechnik in der Gesundheitsversorgung ist im Zeitalter der digitalisierten Medizin unabdingbar. Allerdings sind die in diesem Zusammenhang rechtlich gebotenen und nach dem Stand der Technik angemessenen Vorkehrungen zu einem effektiven Schutz der Daten von Patientinnen und Patienten flächendeckend zu treffen.
Bei allen Anwendungen müssen der Schutz und die Sicherheit von Patient:innendaten in der medizinischen Behandlung nach der DSGVO umfassend sichergestellt sein. Auch darf der effektive Schutz von Gesundheitsdaten nicht von der Größe der jeweiligen Versorgungseinrichtung abhängen.
Gesundheits-Apps
Der Einsatz von Gesundheits-Apps birgt beispielsweise erhebliche datenschutzrechtliche Risiken. Zumeist unzureichende oder unverständliche Datenschutzerklärungen verursachen mangelnde Transparenz; die Nutzer:innen wissen nicht, was mit ihren sensiblen Daten geschieht und wozu sie einwilligen.
Mängel in der technischen Datensicherheit können Unbefugten Datenzugriff ermöglichen: Das Auslesen von Login-Daten, die Weitergabe sensibler Gesundheitsdaten an Dritte oder die Einspeisung von Schadsoftware in das Gerät sind mögliche Konsequenzen.
Verschlüsselung
Mangelhafte oder fehlerhafte Verschlüsselung und dadurch ungeschützte Kommunikationswege erhöhen die Wahrscheinlichkeit unbefugter Zugriffe. Ein erhebliches Risiko für die Nutzer:innen birgt auch die unberechtigte und unkontrollierte Zusammenführung sowie Auswertung der Daten.
Sind personenbezogene Daten aus Apps anonymisiert, ist es dennoch möglich, die erfassten Körperdaten mit Daten zu kombinieren, die an anderer Stelle über die Nutzer:innen frei verfügbar sind und so zu einer Re-Identifizierung der Nutzer:innen führen. Dadurch ließen sich umfassende Gesundheitsprofile einzelner Menschen erstellen und im Geschäftsverkehr, im Versicherungswesen oder in anderen Zusammenhängen ohne Wissen der Nutzer:innen gegen eben diese verwenden.
Digitale Gesundheitsanwendungen
Bei den gesetzlich geregelten Digitalen Gesundheitsanwendungen (DiGAs) wurde seitens des Gesetzgebers zunächst lediglich eine Herstellererklärung zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben vorgesehen. Diese musste vor Aufnahme in das Verzeichnis des BfArM vorliegen, was der BfDI im Gesetzgebungsverfahren immer wieder kritisiert hat.
Daraufhin ist allerdings die zunächst gesetzlich vorgesehene Herstellererklärung durch eine ab April 2023 verpflichtende Datenschutzzertifizierung der jeweiligen DIGA zu ersetzen. Für diese Zertifizierung hat das BfArM in der Zwischenzeit die zugrundeliegenden Prüfkriterien veröffentlicht.
Also lassen Sie sich gut beraten.