Verbraucherschutz bei „Gesundheits-Apps“: Bundesregierung lässt die Sache erstmal laufen

Die Digitalisierung des Gesundheitswesens gilt als lukrativer Zukunftsmarkt. Mobile Anwendungen im Gesundheitsbereich sind bereits heute weit verbreitet. Eine Antwort der Bundesregierung auf eine Kleine Anfrage zeigt nun: Wirksamer Verbraucherschutz ist von ihr erstmal nicht zu erwarten.

Foto: dan carlson unter CC0-Lizenz

Mobile Technologien im Gesundheitsbereich boomen: Von Wearables und Fitness-Apps über Period-Tracker und Medikamentendosis-Rechner bis zu diagnose- und therapieunterstützenden Anwendungen. Über 100.000 Angebote sollen es in Apples App Store und im Google Play Store inzwischen sein. Im April hatte die Bundesregierung deshalb eine umfassende Studie zu „Chancen und Risiken von Gesundheits-Apps“ (kurz: CHARISMA) vorgestellt, die Anwendungsfelder, Märkte und ethische Konfliktlinien beschreibt.

Dabei wurden diverse Handlungsbedarfe identifiziert, etwa die Integration von Apps in die ärztliche Behandlung, die Anerkennung durch Krankenkassen oder Nachweise für Wirksamkeit. Auch zahlreiche ethische Fragestellungen im Bereich Daten- und Verbraucherschutz wurden aufgezeigt. Die Antwort der Bundesregierung auf eine Kleine Anfrage der Grünen [PDF] zeigt nun exemplarisch, wie schwer sie sich damit tut, notwendige verbraucherschutzrechtliche Regeln für die rasanten technischen und sozialen Entwicklungen unserer Gegenwart zu schaffen. Statt eines umfassenden Ansatzes und entschlossenem Handeln kann sie nur zögerliches Stückwerk und vage Antworten präsentieren – Verbraucherrechte bleiben bislang auf der Strecke.

Selbstverpflichtung statt effektiver Durchsetzung geltender Regeln

Konkret fragten die Grünen unter anderem nach einheitlichen Qualitäts- und Sicherheitsstandards, nach verbindlichen Nachweisen für den Mehrwehrt von Gesundheits-Apps, nach Datenschutz, Transparenz und Konsequenzen für Autonomie und Kontrolle. Für die Bundesregierung antwortete die parlamentarische Staatsskretärin im Gesundheitsministerium, Annette Widmann-Mauz (CDU), größtenteils mit Verweisen auf bereits bestehende Gesetze und Initiativen.

Die ab 2018 wirksame Datenschutzgrundverordnung (DSGVO) gelte grundsätzlich auch für den Bereich von Gesundheits-Apps und garantiere ein hohes Datenschutzniveau in ganz Europa, erfährt man in der Antwort. Dass das Innenministerium die vielen Spielräume der DSGVO für nationale Regelungen nutzen will, jenes Datenschutzniveau in Deutschland abzusenken, wird in der Antwort nicht erwähnt.

Von einem umfassenden Verbraucherschutzansatz, Ideen für konkrete sektorspezifische Datenschutzregeln für den Gesundheitsbereich oder Plänen für eine bessere Durchsetzung der geltenden Vorgaben findet sich in der Antwort keine Spur. Stattdessen setzt die Bundesregierung ihre Hoffnung beim Datenschutz auf Selbstverpflichtungen der Industrie, sich an geltende Regeln zu halten:

Auf europäischer Ebene steht eine Selbstverpflichtung der Hersteller von Gesundheits-Apps zur Einhaltung der Datenschutzbestimmungen („Code of Conduct“) kurz vor dem Abschluss, die App-Entwicklern Unterstützung bei der Anwendung der geltenden Bestimmungen bieten wird.

Das Bundesjustizministerium sei zudem „mit wichtigen Stakeholdern aus dem App-Bereich“ in einem grundsätzlichen Diskussionsprozess, um Verbraucher- und Datenschutz zu verbessern. Fragestellerin Renate Künast von den Grünen, Vorsitzende des Bundestagsausschusses für Recht und Verbraucherschutz, kritisiert die Zögerlichkeit der Bundesregierung scharf:

Es ist eine Bankrotterklärung der Bundesregierung, wenn sie beim Thema Gesundheits-Apps lediglich auf zukünftige Regelungen der EU verweist, statt selbst zu handeln. Gesundheitsapps werden in Deutschland bereits x-fach zum Messen und Speichern von hochsensiblen Gesundheitsdaten eingesetzt. Verbraucher müssen sich darauf verlassen können, dass sie auch einwandfrei funktionieren und der Datenschutz gewährleistet ist. Die Bundesregierung darf nicht das Zepter aus der Hand geben, sondern muss im Sinne eines vorsorgenden Verbraucherschutzes jetzt dafür sorgen, dass diese Technologie klaren Standards unterliegt.

Auch in Sachen Verbraucherbildung und -sensibilisierung, die in der Antwort als zentrale Punkte des Verbraucherschutzes genannt werden, kann die Bundesregierung nicht mehr als zögerliche Schritte vorweisen. Sie verweist hier lediglich auf bereits durchgeführte Aktivitäten wie eine Umfrage und ein Positionspapier des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) zum Safer Internet Day. Die Aktivitäten hätten „umfangreiches Presseecho erfahren und die notwendige gesellschaftliche Diskussion des Themas verstärkt.“

Diagnose: Akuter Handlungsbedarf

Dass der Handlungsbedarf dringend ist, kann in Anbetracht der aktuellen Situation kaum bestritten werden: Eine kanadische Studie stellte Anfang des Jahres bei sieben von acht getesten Apps teils erhebliche Sicherheitsmängel fest. Die norwegische Verbraucherschutzbehörde Forbrukerrådet hatte Mitte Mai ein Datenschutzleck bei der Android-Version der beliebten Fitness-App Runkeeper aufgedeckt und die Praxis der kommerziellen Datenverwertung im Fitness-Bereich kritisiert.

Zudem betonte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, bereits in ihrem Tätigkeitsbericht für die Jahre 2013 und 2014, dass Krankenkassen als Sozialversicherungsträger und Körperschaften des öffentlichen Rechts eine besondere Verantwortung haben: Sie sie sollten nicht nur selbst entsprechende Standards einhalten, sondern müssten auch die „unsichere Umgebung“ der Datenerhebung und -übermittlung von Smartphone-Apps berücksichtigen. Fördern die Krankenkassen grundsätzlich die Nutzung von Wearables und Fitness-Apps, ermuntern sie Versicherte dazu, ihre Daten mit Dritten zu teilen, deren Verbraucherschutzstandards von ihnen nicht kontrolliert werden. Auch danach fragten die Grünen explizit – außer Allgemeinplätzen bietet die Bundesregierung zu dieser Herausforderung jedoch keine Antwort.

Dabei müsste sie eigentlich nur ernst nehmen, was sie selbst diagnostiziert hat. Erst im Frühjahr hatte das BMJV anlässlich des Safer Internet Days ein Positionspapier [PDF] veröffentlicht, das gleich eine Reihe kritischer Punkte aufführt:

In der Praxis ist bereits sehr problematisch, dass bislang nur ein Bruchteil des Datentransfers über eine verschlüsselte Verbindung geschieht und damit eklatante Sicherheitslücken bestehen. Die von Wearables und Apps erfassten Daten werden (auch) in einer Cloud gespeichert, womit der Nutzer eine weitere, von ihm nicht gewollte Verwendung nicht kontrollieren kann. 30% der Gesundheits-Apps sollen die Nutzerdaten mit Drittparteien teilen, ohne dass der Nutzer eine Einwilligung erteilt hatte. Nutzer erkennen außerdem häufig gar nicht, dass bzw. in welchem Umfang sie sich durch das Akzeptieren der Datenschutzerklärungen und Nutzungsbedingungen der Hoheit über ihre Daten entledigt haben, da die entsprechenden Formulierungen komplex und verklausuliert sind. Ebenso wenig sind die Profilbildungsprozesse im Rahmen der Big Data-Auswertungen transparent und nachvollziehbar. Dort, wo globale Marktmacht gepaart mit technologischem Vorsprung und den Folgen der Netzwerkeffekte herrscht, bestimmen die Anbieter die Spielregeln des Umgangs mit Daten. Selbst wo Nutzern eine Anonymisierung ihrer Daten zugesichert ist, ist diese nicht immer ausreichend und ihre Identifizierung doch möglich.

Klärung grundsätzlicher Fragen bleibt offen

Dass sie für grundsätzliche ethische Fragen in Zusammenhang mit der datengetriebenen Selbstvermessung im Gesundheitswesen wie etwa Nudging oder Folgen für das Solidarprinzip im Versicherungswesen nicht sonderlich sensibel ist, hatte die Bundesregierung bereits im Sommer offenbart. Auf konkrete Nachfrage der Grünen antwortet sie jetzt lediglich, dass „risikoadjustierte Prämien, die von einem laufenden individuellen Gesundheitsmonitoring mittels App abhängen“ mit den gesetzlichen Vorgaben für Krankenversicherungen nicht vereinbar wären. Sie ignoriert damit nach wie vor, dass erste Versicherungen wie die Generali solche Modelle bereits etablieren, auch wenn diese dabei zunächst nur mit Boni statt mit einer grundsätzlichen Anpassung der Tarife arbeiten.

Eine der entscheidenden Punkte für die Integration von „Gesundheits-Apps“ in das Gesundheitssytem ist zudem die Frage, ob es anerkannte Standards für die Wirksamkeit und Sicherheit der Angebote gibt. Auch hier verweist die Bundesregierung auf die EU-Kommission: Im kommenden Jahr werde von ihr eine Liste mit Qualitätskriterien erwartet. Für alles weitere sei die „E-Health-Initative“ des Gesundheitsministeriums zuständig, die wirtschaftliche und staatliche Akteure sowie Datenschützer zusammenbringe. Die Initiative wurde allerdings bereits vor sechs Jahren gegründet – konkrete Pläne für die Erarbeitung einheitlicher Standards und Kriterien werden in der Antwort nicht genannt.

Immerhin: Das Gesundheitsministerium will ein Förderprogramm aufsetzen und zur „Einreichung von Forschungsskizzen zu ethischen Aspekten der Digitzalisierung im Gesundheitswesen“ einladen. Über die genaue Höhe der Forschungsförderung verrät die Antwort jedoch nichts.

7 Ergänzungen

  1. Was ich noch bedenklicher finde ist, dass das Sicherheitsniveau der EDV in den Arztpraxen und Krankenhäusern häufig nicht besser ist, als beim normalen Privatanwender. Man kann daher meiner Meinung nach davon ausgehen, dass sich Krankendaten bereits regulär in der Hand von Datensammlern befinden.

    1. Da rührst Du an ein ganz heißes Eisen. Das trifft in der Tat für Arztpraxen und Kliniken leider und erstaunlicherweise gleichermaßen zu. Das Problem ist, dass Infrastruktur und Anwendungen nicht selten so ausgelegt sind, dass möglichst immer alles sofort funktionieren muss. Sicherheitslayer werden oft als Hindernis im Betriebsablauf gesehen. Das medizinische Personal – im Großen und Ganzen, und ja, es gibt Ausnahmen – ist auf funktionelle Verfügbarkeit getrimmt, für IT-Sicherheit fehlt fast immer die Zeit und das Knowhow.

      Wer als Hacker mal im Krankenhaus landet hat große Chancen sich wie Alice im Wunderland bedienen zu können. Wer hingegen Datenschutz noch schätzt, der sucht sich lieber einen Arzt seines Vertrauens, der noch mit Karteikarten und Kugelschreiber arbeitet.

    2. Die Sicherheit der Daten von Ärzten und Krankenhäusern bei Verwendung von Win8 und 10 grundsätzlich nicht mehr gewährleistet. Auf solchen Rechnern macht Microsoft was es will. Die „Erfolge“ von Kryptotrojanern in der Sparte bewies, dass das Personal dort teilweise die trivialsten Sicherheitsmaßnahmen nicht kannte. Mit der „Gesundheitskarte“ und der Datenspeicherung auf Servern einer Bertelsmann-Tochterfirma hat die Bundesregierung die ALLE Patientendaten längst an eine Privatfirma „vermarktet“.

      Aber zum Thema. Wer sich solche Apps anschafft, soll die Risiken selbst tragen. Es ist eine Tatsache, dass insbesondere ältere Menschen mehr Krankheiten haben. Die sind mit einem Arztbesuch erheblich besser beraten als mit irgendwelchem elektronischen Firlefanz. Meine Mutter rennt auch mit so einem Armband rum, deshalb wird sie trotzdem nicht länger leben. Und dieses Armband verbessert ihre Lebensqualität auch nicht. Es gibt reihenweise Fälle, in denen relativ jüngere Leute einen Schlaganfall oder Herzinfarkt erleiden, obwohl sie keinerlei Risikofaktoren aufwiesen und sogar regelmäßig Sport trieben. Auf der anderen Seite gibt es auch viele Leute, die das personifizierte Risiko wären, die trotzdem steinalt werden.

      Diese Apps mögen wissenschaftlich gedacht sein, die Wissenschaft vom Menschen vermochte es aber nicht ansatzweise wirklich üble Krankheiten nur zu behandeln. Somit sind diese Apps und die von ihnen weitergeleiteten Daten privater, nicht schutzwürdiger technischer Schnulli. Wer solche Daten in mobile Netze überträgt sollte wissen, dass mobile Netze nicht geschützt werden können. Deshalb wundert mich immer wieder, wie die Leute so leichtfertig mit ihren Smartphones umgehen. Siehe sogar Frau Kanzlerins Smartphone, das bestimmt höchsten Sicherheitsanforderungen genügte.

  2. Also ganz ehrlich,
    der normale Hausarzt „an der Straßenecke da vorne“ sollte sich erstmal um seinen „analogen“ Datenschutz kümmern:
    Ich habe schon mehrfach miterlebt, wie Patientenakten auf der Theke liegen, wie auf normaler Zimmerlautstärke Leute am Telefon mit Namen angesprochen werden und bezüglich ihrer nicht ganz trivialen Medikamente „beraten“ werden, während man 30cm von der Theke entfernt steht und alles schön ablesen kann bzw. die Namen der Patienten lesen kann oder „heraushören“ kann, was denn der gerade anrufende Patient „Hr. Müller“ so zu haben scheint.

    In der Großstadt vielleicht nicht ganz so kritisch, auf dem Dorf garantiert ein großes Problem. Dazu kommt, dass Hausarztpraxen ein relativ übersichtliches Einzugsgebiet haben und man den ein oder anderen durchaus kennen könnte.

    Die Fitnessapps & Wearables binden sich die Leute freiwillig um, aber wenn die Hausarztpraxis beim Datenschutz versagt hat dies unter Umständen unmittelbarere Auswirkungen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.