Foto: Winker

Daten schützen

Der Wandel des Gesundheitswesens durch mHealth ist in vollem Gange. Wie aber sieht es mit der Sicherheit der erhobenen Daten aus? Wo werden sie gespeichert? Wer hat darauf Zugriff?

By
Susanne
Neumayer-Remter

Interview mit Johannes Caspar

Es findet sich kaum mehr ein Smartphone ohne Gesundheits-App, Wearables setzen sich immer mehr durch. Und nicht zuletzt das riesige Interesse an der Apple Watch macht klar, dass die Anwender die digitalen Möglichkeiten auch im Bereich der Gesundheit nutzen wollen. Massenhaft werden persönlichste Körperdaten erhoben und gesammelt. Wie verfolgt ein Datenschutzbeauftragter diese Entwicklung?

Natürlich mit gemischten Gefühlen. Wir haben es hier einerseits durchaus mit Chancen zu tun, andererseits müssen wir als Datenschutzbeauftragte natürlich auf die Risiken hinweisen. Die Digitalisierung hat viele Vorteile, aber überall fallen Daten an, und damit erhöhen sich die Möglichkeiten des Missbrauchs, die gerade für die Nutzer kaum mehr zu überblicken sind. Im Umgang mit besonders sensiblen Gesundheitsdaten gilt es, den Datenschutz möglichst früh einzubeziehen, damit die Risiken schnell erkannt und durch den Einsatz einer entsprechenden Technologie, die sich an dem Prinzip der Datenvermeidung orientiert, reduziert werden. 

„Das Bewusstsein, die oft kostenlosen Apps mit Daten zu bezahlen, ist bislang nicht ausgeprägt.“

Johannes Caspar ist Beauftragter für Datenschutz und Informationsfreiheit des Landes Hamburg.

Worin liegen diese Risiken denn konkret?

Wir haben es mit einer immer stärkeren Kommerzialisierung von personenbezogenen Daten zu tun. Gerade bei den Wearables sehe ich die Schwierigkeit, dass die Nutzer häufig nicht bewusst darüber entscheiden können, was mit ihren Daten passiert. Die Anbieter räumen sich häufig das Recht ein, die in der Cloud gespeicherten Daten eigenständig zu nutzen, ohne dass die Anwender überhaupt etwas davon mitbekommen, zu wem und zu welchen Zwecken die Daten weitergegeben werden. Außerdem ist die Sicherheit der Daten hier häufig massiv defizitär. In jedem Fall sollte man sich die Nutzungsbedingungen von Apps genau anschauen, bevor man einen Anbieter wählt. Aber auch wer das Kleingedruckte gelesen hat, kann bedauerlicherweise nicht immer sicher sein, dass die Datenschutzbestimmungen am Ende eingehalten werden. Vorzugswürdig sind in jedem Fall Anbieter, bei denen die Daten nur auf dem Endgerät der Nutzer gespeichert werden. Das ist leider selten der Fall, da dies einer wirtschaftlichen Verwertung der erhobenen Daten entgegensteht. Insgesamt gilt: Das Wissen um den eigenen Körper ist ein individueller Schatz, den jeder sorgsam hüten sollte. Genauso wie wir unsere Wertgegenstände nicht an öffentlich zugänglichen Orten ablegen, sollten wir uns auch darum kümmern, dass wir unsere Gesundheitsdaten nicht ohne Not preisgeben.

Das heißt, Sie sorgen sich weniger um Datenlecks und Datenklau als um Strukturen bei der ganz alltäglichen Nutzung?

Daten über Geschlecht und Standort, Gewicht, Ernährung, Schrittfrequenz, Puls sowie über Häufigkeit und Intensität von individuellen sportlichen Aktivitäten lassen sich gezielt zu Profilen zusammenführen. Für wirtschaftliche Zwecke ist das von einem unglaublichen Wert. Es betrifft nicht nur die Werbung, sondern auch die Frage der Risikoeinschätzung individuellen Verhaltens. Versicherungen können ihre Tarife danach ausrichten, Arbeitgeber können sich über ihre Mitarbeiter oder künftige Mitarbeiter ein Bild machen. Wo derartige Begehrlichkeiten bestehen, tummeln sich natürlich auch all jene, die sich die Daten mit illegalen Mitteln verschaffen. Die mangelhafte Datensicherheit macht es ihnen häufig allzu leicht.

Das Bewusstsein, Apps mit den eigenen Daten zu finanzieren, ist bislang nicht ausgeprägt. Viele Menschen achten nur auf den vermeintlichen Gratis-Effekt und verdrängen, dass sie dadurch ihre Datensouveränität verlieren. Gerade wenn es dann noch um Gesundheitsdaten geht, ist das höchst bedenklich. Im globalen Wettbewerb großer Internet-Dienstleister ist der Kunde mit seinen Daten letztlich die Ware. Die Korrelation zwischen Marktmacht und Datenmacht führt hier zu einer Kolonisierung aller sozialen Sphären durch einige wenige Diensteanbieter, die so immer mehr Macht generieren. Das zeigt sich dann auch darin, dass derartige Unternehmen ihren angestammten Bereich der Internetdienstleistungen längst verlassen haben und in Geschäftsfelder der „realen“ Welt vordringen, nicht zuletzt auch in den Gesundheitsmarkt. Das ist eine gefährliche Entwicklung.

Sehen Sie eine Möglichkeit, dagegen vorzugehen?

Im Grunde beruht der gesamte Internetdienste-Markt auf einer Art von asymmetrischer Einwilligung: Ich gebe dir die Möglichkeit der Nutzung meines Produkts und du gibst mir deine Daten. Das ist bei den Anbietern von Health Apps nicht anders. Es geht letztlich immer um ein Geschäft mit einer Alles-oder-Nichts-Lösung. Wer in die Google-, Apple- oder Facebook-Welt hinein will, muss am Eingang seine Einwilligung abgeben, sonst bleibt er vor der Tür.  Ein dritter Weg aber – ich nenne ihn den Weg der Datensouveränität – besteht darin, die Einwilligung auf bestimmte Bereiche zu beschränken und damit die beliebige Verknüpfbarkeit und Weiterverwendung der Daten so zu akzeptieren, dass man selbst davon Vorteile hat. Es wird hier dem Nutzer freigestellt, ob und wie intensiv er seine Daten einsetzen will. Letztlich wäre das durch ein Koppelungsverbot zu erreichen, das einer Verknüpfung „umfassende Einwilligung gegen Nutzung der Dienste“ künftig den Boden entzieht.

Nach einer aktuellen Bitkom-Umfrage können sich 37 Prozent der Smartphone-Benutzer vorstellen, ihre Gesundheitsdaten an die Krankenkasse weiterzuleiten. Welche gesellschaftliche Relevanz hat das?

Gesundheitsdaten sind ganz entscheidend für die Position des Einzelnen in der Gesellschaft. Die Fragen, ist jemand krank, ist jemand gesund, ist jemand leistungsfähig oder Träger eines erhöhten Risikos von Krankheit, haben für ganz unterschiedliche Bereiche immense Implikationen. Wer über jeden Einzelnen prognostizieren kann, wie seine Erwartung ist, gesund durchs Leben zu gehen, ist in der Lage als Versicherer erfolgreich individualisierte Angebote zu unterbreiten. Für manche Verbraucher wird das möglicherweise günstiger, weil ihre Vorhersagen positiv sind. Aber diejenigen, deren prognostizierte Gesundheitsrisiken über dem Durchschnitt liegen, müssten in so einem System draufzahlen. Wenn man diesen Gedanken weiterspinnt, führt die Hörigkeit auf über Big Data vermittelte Algorithmen zu einer Entsolidarisierung der Gesellschaft. Das ist etwas, bei dem man sehr genau aufpassen muss, dass sich das am Ende nicht verselbstständigt – ein Begleiteffekt der Digitalisierung unserer Lebenswelt, der am Ende auch den sorgsam tarierten Mechanismus der Verteilungsgerechtigkeit von sozialen Systemen zersetzen kann.

Es gibt mittlerweile ja unzählige mobile Anwendungen, gerade auch im Gesundheitsbereich. Wie lassen sich da noch die guten von den schlechten unterscheiden?

Die Anwender werden alleingelassen in einer Welt, in der alles möglich scheint, aber alles mit Hintertüren und negativen Konsequenzen besetzt ist, die man als Nutzer gar nicht mehr überblicken kann. Gesundheitsdaten sind hochsensibel und die Betroffenen sollten durch entsprechende Garantien die Sicherheit haben, dass ein Anbieter das gegebene Vertrauen auch verdient. Eine Datenschutz-Zertifizierung könnte hier helfen, über datenschutzgerechte und -sichere Angebote aufzuklären und zu informieren. Bis auf wenige Ausnahmen fehlen hierfür jedoch die gesetzlichen Rahmenregelungen. Und das ist schade. Durch eine Selbstverpflichtung der Unternehmen, die sich um Zertifikate bewerben, weil sie sich davon Wettbewerbsvorteile versprechen, könnte eine Menge erreicht werden. Das ist eine Diskussion, die zu einer Win-Win-Situation zwischen Datenschutz und Digitalwirtschaft, zwischen Verbraucher und Unternehmen führen kann. Sie gilt es voranzutreiben.

Wie könnte eine solche Datenschutz-Zertifizierung konkret aussehen?

Das sinnvollste Modell wäre, die Zertifizierung von einem akkreditierten Unternehmen durchführen zu lassen, das seine Legitimation von einer Datenschutzbehörde erhält, die das Gutachten zu einem Produkt abnimmt und dafür auch eine eigene Verantwortung trägt. Am Ende eines solchen Verfahrens, das nach festen Kriterien ablaufen muss, ist dann für das jeweilige Produkt ein Gütesiegel zu erteilen. Dies können die Unternehmen dann im Wettbewerb nutzen. Rein private Zertifizierungs-Modelle haben dagegen den Nachteil, dass keiner so genau weiß, was die jeweiligen Zertifikate letztlich dokumentieren. Vertrauen lässt sich damit nur schwer aufbauen. Wir als Datenschutz-Aufsichtsbehörden wiederum können nicht alles kontrollieren, was auf dem Markt ist, das ist einfach zu viel. Insofern muss der Markt selbstreguliert arbeiten. Das heißt, man muss den Unternehmen die Möglichkeit geben, sich nachvollziehbar als daten­schutzfreundlich zu präsentieren. Gerade für eine innovative Wirtschaft ist es wichtig, Anreize zu setzen.

Innovation und Datenschutz, passt das denn zusammen?

Datenschutzbehörden sind, anders als es häufig kolportiert wird, weit davon entfernt, Fortschritt zu verhindern. Wir versuchen vielmehr, den Fortschritt menschengerecht und grundrechtsorientiert zu begleiten. Viele digitale Neuerungen bringen natürlich Vorteile für alle erdenklichen sozialen Bereiche. Doch es ist utopisch zu glauben, diese gäbe es zum Nulltarif. Technologische Entwicklungen gehen häufig über uns hinweg und haben das informationelle Selbstbestimmungsrecht nicht mehr im Fokus. Deshalb ist es ganz entscheidend, dass die richtigen Fragen gestellt werden, bevor die Anwendungen eingeführt werden. Wir sind permanent mit innovativen Unternehmen im Diskurs und versuchen Wege zu finden, die es ihnen ermöglichen, die guten und wichtigen Ideen, die sie haben, in einer Weise zu verwirklichen, die die Menschen mitnimmt. Für die Umsetzung digitaler Produkte ist es enorm wichtig, den Datenschutz mit ins Boot zu holen, und zwar möglichst in einer frühen Phase der Projektentwicklung. Anderenfalls lässt sich gerade auch die soziale Akzeptanz für Innovationen nicht herstellen.

Wir sind bereit, hierzu umfassend beratend tätig zu werden. Doch leider sind sowohl der rechtliche Rahmen als auch die Kapazitäten von Datenschutzbehörden so eng, dass Anspruch und Wirklichkeit hier noch weit auseinanderliegen.

Susanne Neumayer-Remter

Betrieblicher Datenschutz vor dem Aus

Interview mit Nikolaus Forgó, Rechtswissenschaftler

Kalt erwischt

Das neue MDK-Prüfverfahren