Fitness-Apps als Datensammler 14.04.2015, 12:57 Uhr

Was sagt das Recht?

Tracken von Fitness- und Gesundheitsdaten liegt voll im Trend. Doch das Datensammeln ist gerade im Gesundheitsbereich rechtlich nicht ganz unbedenklich. Hersteller und Nutzer sollten wissen, was erlaubt ist.
Die Autorin ist seit 2006 Anwältin bei der Zürcher Kanzei Wenger & Vieli, ist v.a. im Immaterialgüter-, Marken- und Datenschutzrecht sowie im Bereich «Neue Medien» tätig. Sie publiziert und referiert regelmässig zu diesen Themen.
Das Jahr 2015 läutet die Ära der «Wearables» ein. Im März stellte Apple endlich seine mit Spannung erwartete Smartwatch vor, und der Schweizer Uhrenhersteller Swatch hat ? nach anfänglichem Dementi ? ebenfalls eine eigene Smartwatch präsentiert, andere Anbieter sind schon länger auf dem Markt, darunter Pepple, Samsung, Motorola, Sony, LG und viele mehr. Das Marktforschungsunternehmen GfK schätzt, dass 2015 weltweit 51 Millionen Smartwatches und sogenannte HF-Geräte (Health and Fitness Trackers) verkauft werden. Das Einsatzgebiet der Wearables in der Schweiz ist primär im Bereich Lifestyle und Sport anzusiedeln, denn am populärsten sind laut GfK die den Unterkategorien Health and Fitness Trackers, Smartwatches und Wrist Sport Computer zuzurechnenden Geräte, für die Schweizer Konsumentinnen und Konsumenten durchschnittlich ganze 160 Franken auszu­geben bereit sind. Der Accenture Technology Report 2015 verweist zudem auf die steigende Vernetzung mobiler Devices (Stichwort «Internet of Things»), gerade auch durch Wearables, die es den Unternehmen erlauben, ihre Angebote mehr und mehr zu personalisieren. Im Ausland ist die Nutzung längst in andere Bereiche wie Spitäler und Versicherungen vorgedrungen. In den USA nehmen zum Beispiel führende Krankenhäuser an einem Pilotprojekt teil, das die Nutzung von Gesundheits-Apps zur Überwachung der Körperfunktionen von Patienten beinhaltet, und die Generali-Versicherung hat unter dem Brand «Vitality» neue Produkte lanciert, die einen gesunden Lebensstil durch Partnerprogramme (Ernährungsexperten, Fitnessstudios etc.) oder Prämienvergünstigungen belohnen. Auch dies ist eine Form der stärkeren Personalisierung von üblicherweise standardisierten Dienstleistungen.

Ein Fall für den Daten- und Patientenschutz?

Wearables und damit einhergehende neue Angebote diverser Dienstleister sind nicht nur aus technischer Sicht interessant. Im Zusammenhang mit dem Angebot und der Nutzung solcher Geräte und der damit verbundenen Dienstleistungen stellen sich auch einige rechtliche Fragen und Herausforderungen. Diese gründen einerseits in den kommer­ziellen Interessen an den durch Wearables gesammelten Daten. Häufig handelt es sich dabei zudem um im Ausland ansässige Anbieter. Es stellt sich hier die Frage, wer die Herrschaft über diese Daten haben muss, kann oder soll und wie in Bezug auf solch sensible Daten der Datenschutz gewährleistet werden kann. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDB), Hanspeter Thür, hat an einer Datenschutztagung mit dem sinnigen Titel «Verfolgt auf Schritt und Tritt» bezüglich Wearables und Gesundheitsdaten seinen Bedenken hinsichtlich der Wahrung der Privatsphäre und des informationellen Selbstbestimmungsrechts des Einzelnen Ausdruck gegeben. Im EDÖB-Blog schreibt er: «Experten rechnen damit, dass in vier Jahren jeder vierte Fitness Tracker von Arbeitgebern, Versicherungen oder Sportstudios gratis abgegeben werden wird. Dass es sich bei Gesundheitsdaten um hochsensible Informationen handelt und viele Gesundheits-Apps einen unzureichenden Datenschutz bieten, sind wir uns oft zu wenig bewusst.» Welche datenschutzrechtlichen Bestimmungen gelten also für Smartwatches und andere Trackers? Auf Ebene der Hersteller und Anbieter solcher Wearables und Gesundheits-Apps stellt sich andererseits die Frage, ob es sich bei den Produkten um Medizinprodukte handeln könnte, die spezifischen Regelungen unterworfen sind. Lesen Sie auf der nächsten Seite: Datenschutzrecht

Wer darf die gesammelten Daten nutzen?

Wearables und damit verbundene Apps sammeln diverse Daten, unter anderem auch solche, die sich einer bestimmten Person zuordnen lassen (beispielsweise Name und E-Mail-Adresse). Wearables, die im Bereich Fitness und Gesundheit verwendet werden, sammeln zudem Daten, die gesundheitsbezogen sind, beispielsweise den Body-Mass-Index (BMI) anhand von Alter, Grös­se und Gewicht, Herzfrequenz, Blutzuckerwerte und so weiter. Diese werden im Rahmen der Nutzerprofile personenbezogen ausgewertet und gespeichert. In Bezug auf Gesundheits­daten gelten jedoch besondere rechtliche Rahmenbedingungen, was deren Geheimhaltung sowie Datenschutz und -sicherheit betrifft, da solche Daten unter dem Datenschutzgesetz als sensible und besonders schützenswerte Daten gelten (Art. 3 lit. c (1) Datenschutzgesetz, DSG). Die App «Apple Health» beispielsweise sammelt aus unterschiedlichen Quellen Daten zum Gesundheitszustand eines Nutzers. Die über Wearables und Apps gesammelten Ver­haltens- und Körperfunktionsdaten (etwa Schlafverhalten, gelaufene Kilometer, Gewicht, Herzschlagrate, Körperfettwerte) können über diese App konsolidiert auf dem iPhone gespeichert werden. Die Idee dahinter ist, dass der Nutzer einerseits auf einen Blick Informationen zu seinem Gesundheits- und Fitnesszustand erhält und andererseits diese Informationen auch mit Dritten (Hausarzt, Fitness- oder Ernährungsexperten etc.) austauschen kann, um so Ferndiagnosen oder Empfehlungen bezüglich Verhaltensänderungen erhalten zu können.

Informationspflicht der Hersteller

Da der Nutzer diese Daten selber zur Verfügung stellt, ist die Datenerfassung datenschutzrechtlich unproblematisch. Aus datenschutzrecht­licher Sicht birgt die zentrale konsolidierte Speicherung lediglich das Risiko, dass im Falle eines Datenlecks oder Datenmissbrauchs sämtliche Daten betroffen sind. Werden Daten an Dritte übermittelt, ist die Frage relevant, ob die Nutzer zu einer solchen Übermittlung rechtsgültig ihre Zustimmung erteilt haben. Hier ist Art. 4 Abs. 5 DSG zu beachten, wonach bei der Bearbeitung besonders schützenswerter Personendaten die Einwilligung ausdrücklich erfolgen muss. Die Einwilligung ist nur gültig, wenn sie nach an­gemessener Information erfolgt. Eine rechtsgültige Zustimmung setzt folglich voraus, dass die Nutzer umfassend darüber informiert werden, wer ihre Gesundheitsdaten zur weiteren Ver­arbeitung erhält und zu welchem Zweck sie weiterverarbeitet werden. Hersteller von Wearables und Gesundheits-Apps haben also sicherzustellen, dass sie in ihren Nutzungsbedingungen und Datenschutzerklärungen ihren Informationspflichten nachkommen, auch wenn in der Praxis genau diese für den Schutz der Privatsphäre und das Recht auf informationelle Selbstbestimmung relevanten Dokumente von den Nutzern in der Regel ungelesen akzeptiert werden. Letzteres darf man nach meinem Dafürhalten aber nicht den Anbietern zum Vorwurf machen. Für das Bewusstsein bezüglich des Datenschutzes der eigens zur Verfügung gestellten Daten sollte der Nutzer selbst verantwortlich sein. Lesen Sie auf der nächsten Seite: Medizinrecht

Sind Gesundheitstracker Medizinprodukte?

Anbietern von Wearables und dazugehörigen Apps muss zudem bewusst sein, dass diese Geräte und Software-Programme je nach Umfang der Funktionalitäten als Medizinprodukte qualifiziert werden könnten. Der Begriff «Medizinprodukt» bezeichnet ein Produkt, das zu medizinisch-therapeutischen oder -diagnos­tischen Zwecken am oder im Menschen an­gewendet wird. Medizinprodukte werden in der Medizinprodukteverordnung(Art. 1 MepV) definiert. Demnach gelten einzeln oder mit­einander verbunden verwendete Instrumente, Apparate, Vorrichtungen, Software, Stoffe, Zubehör oder andere medizinisch-technische Gegenstände, einschliesslich der speziell zur Anwendung für diagnostische oder therapeutische Zwecke bestimmten und für ein einwandfreies Funktionieren des Medizinprodukts eingesetzten Software, als Medizinprodukte, wenn diese:
  •  zur Anwendung beim Menschen bestimmt sind
  • ihre bestimmungsgemässe Hauptwirkung im oder am menschlichen Körper nicht durch pharmakologische, immunologische oder metabolische Mittel erreichen, deren Wirkungsweise durch solche Mittel aber unterstützt werden kann;
und sie dazu dienen:
  • Krankheiten zu erkennen, zu verhüten, zu überwachen, zu behandeln oder zu lindern.
  • Verletzungen oder Behinderungen zu erkennen, zu überwachen, zu behandeln oder zu lindern oder Behinderungen zu kompensieren.
  • den anatomischen Aufbau zu untersuchen oder zu verändern, Teile des anatomischen Aufbaus zu ersetzen oder einen physiologischen Vorgang zu untersuchen, zu verändern oder zu ersetzen.
  • die Empfängnis zu regeln oder Diagnosen im Zusammenhang mit der Empfängnis zu stellen.
Gemäss dieser Definition können folglich Wearables wie auch dazugehörige Apps ein Medizinprodukt darstellen, wenn sie spezifisch für eine oder mehrere medizinische Zweck­bestimmungen eingesetzt werden. Für die Hersteller wird es dadurch kompliziert: Wer ein Medizinprodukt erstmals in Verkehr bringt, muss nachweisen können, dass das erforder­liche Konformitätsbewertungsverfahren durchgeführt worden ist. Grundsätzlich liegt es im Ermessen des Herstellers bzw. Inverkehrbringers, ob er das Produkt im Hinblick auf seine Zweckbestimmung als Medizinprodukt qualifizieren und zertifizieren möchte oder nicht. Die Krux dabei: Ohne Zertifizierung als Medizinprodukt darf im Rahmen der Anpreisung des Produkts (auf der Verpackung, in der Werbung etc.) nicht auf eine medizinische Zweckbestimmung hingewiesen werden. Wenn das Produkt mit einer medizinischen Zweckbestimmung beworben werden soll bzw. sich eine medizinische Zweckbestimmung aus dem Produktbeschrieb oder der Produktanleitung ergibt, dann unterliegt es auch der Medizinproduktregulierung. Bei gewissen Produkten ist die medizinische Zweckbestimmung inhärent, weshalb eine entsprechende Zertifizierung zwingend ist. Im Zusammenhang mit Wea­r­ables dürfte dies beispielsweise bei Blut­zuckermessgeräten oder Blutdruckmessgeräten der Fall sein, nicht aber bei klassischen Fitness­geräten und -Apps wie etwa einer Pulsuhr zur Unterstützung des Sporttrainings. Ist ein Wearable oder eine Gesundheits-App als Medizinprodukt zu qualifizieren, besteht in der Schweiz eine Meldepflicht an Swissmedic. Ausserdem bestehen spezifische «Nachmarktpflichten» wie beispielsweise die Produktbeobachtung, die auch Pflichten im Zusammenhang mit Produktrückrufen beinhalten.

Irreführende Werbung ist verboten

In Bezug auf die Werbung bestehen ebenfalls spezifische Regelungen. Insbesondere sind irreführende Angaben über die Wirksamkeit bzw. Leistungsfähigkeit eines Medizinprodukts verboten. Die Vermarktung als Medizinprodukt kann den positiven Effekt haben, dass das Produkt als hochwertiger wahrgenommen wird und Käufer daher wohl auch bereit sind, dafür einen höheren Preis zu bezahlen. Gleichzeitig führt eine solche Vermarktung aber sicherlich auch zu einer höheren Erwartung in Bezug auf die Qualität und Produktsicherheit. Ein Medizinprodukt, das nicht die vom Anwender unter diesen Umständen berechtigterweise erwartete Sicherheit bietet, ist unter Anwendung des Produkthaftpflichtrechts fehlerhaft und führt zu einer zwingenden Haft­barkeit des Herstellers. Diese Fehlerhaftigkeit kann auch in der Art und Weise der Anpreisung begründet oder in Bezug auf mangelhafte Produktinformation gegeben sein. Entsprechend sorgfältig sind diese Informationen vom Hersteller oder Anbieter aufzubereiten.


Das könnte Sie auch interessieren