Datenschutzfragen zur Telemedizin am Beispiel dermanostic

Datenschutz ist ein wichtiges Thema, besonders wenn es um den Schutz von Patientendaten geht. Dieses komplexe Thema verunsichert viele Menschen, da sie sich oft nicht genug darüber aufgeklärt fühlen. Um zu erfahren, was Datenschutz eigentlich ist und was telemedizinische Anbieter tun, um den Schutz von Patienteninformationen sicherzustellen, haben wir ein Interview mit Jennifer Mürdter, der Datenschutzbeauftragten der TÜV zertifizierten Telemedizinanwendung dermanostic, geführt.

In der Politik, in den Medien, bei der Anmeldung in einem Verein oder einer App – ständig wird man mit dem Begriff „Datenschutz“ konfrontiert. Was genau ist Datenschutz eigentlich?

Der Begriff Datenschutz beschreibt den Schutz personenbezogener Daten jedes Einzelnen, d.h. der Schutz vor unerlaubter Verarbeitung (z.B. Erhebung, Nutzung oder Missbrauch) der personenbezogenen Daten. Dies umfasst jegliche Daten, die Rückschlüsse auf ein Individuum zulassen.

Falls du den nächsten Ping-Anruf entgegennimmst, frag explizit woher der Anrufer deine Daten hat. Lass dich nicht verunsichern, sondern weise auf einen nicht datenschutzkonformen Umgang deiner Daten hin und bitte um die Löschung deiner Daten gemäß Artikel 17 DS-GVO.

Welche Daten hat ein Arzt von mir, welche sind für die Behandlung bei einem Arzt notwendig und dürfen verarbeitet werden?

In den meisten Fällen „registrierst“ du dich in einer Arztpraxis mit dem Einlesen deiner Versichertenkarte. Somit werden beim Einlesen deiner Versichertenkarte dein Vor- und Nachname, Geburtsdatum, Geschlecht, Anschrift und Angaben zur Krankenversicherung (Versichertennummer, Versichertenstatus) an die behandelnde Praxis übermittelt.

Die in Deutschland niedergelassene Ärzte unterliegen der Dokumentationspflicht, d.h. deine Symptome, Art und Umfang der Behandlungen (z.B. Physiotherapie, Labortests, Medikamente etc.) sowie Diagnose dokumentiert der Arzt in deiner Patientenakte.

All diese Daten werden von der zuständigen Praxis im Rahmen deiner Behandlung verarbeitet. Die Weitergabe deiner Daten zur Weiterbehandlung durch einen anderen Arzt ist erst mit deiner expliziten Einwilligung rechtens.

Mit der Einführung der elektronischen Patientenakte (ePA) verfügt der Patient über die Kontrolle, welche Daten in der ePA gespeichert werden und welche Daten welchem bzw. welcher behandelnden Ärztin zur Verfügung gestellt werden. Somit hat der Patient die Möglichkeit sämtliche Arztbriefe, Befunde etc. zentral zu speichern.

Die Einsicht in deine Patientenakte bei deinem behandelnden Arzt ist jederzeit möglich.

Was ist das Besondere an medizinischen Daten? Worauf muss man bei der Verarbeitung von medizinischen Daten achten?

Medizinische Daten bzw. Gesundheitsdaten zählen zu den sogenannten „besonderen Kategorien“ personenbezogener Daten. Sie beziehen sich auf die körperliche und geistige Gesundheit einer natürlichen Person.

Diese Kategorie unterliegt besonderen datenschutzrechtlicher Anforderungen, da sie als sensible und besonders schützenswerte Daten gelten.

In diesem Zusammenhang sind wir als Anbieter einer Gesundheitsapp für ein angemessenes Sicherheitsniveau durch entsprechende technische, aber auch organisatorische Maßnahmen verantwortlich. Daher sind zum Beispiel alle Datenübertragungen im Rahmen der Nutzung der dermanostic-App verschlüsselt. Zum besonderen Schutz zählt auch das automatische Abmelden aus der App nach einigen Minuten, sodass kein Dritter Zugriff auf deine Gesundheitsdaten hat, wenn du z.B. dein Smartphone unbeaufsichtigt herumliegen hast.

Zudem unterliegen der behandelnde Arzt sowie alle Beschäftigte, die in die Verarbeitung von Gesundheitsdaten involviert sind, der Verschwiegenheitspflicht bzw. der Schweigepflicht.

Was müssen Telemedizin-Anbieter beachten, um einen sicheren und nutzerfreundlichen Datenschutz zu etablieren?

Anbieter telemedizinischer Produkte halten einen Spagat zwischen einem sicheren und nutzerfreundlichen Datenschutz. Hier ist eine enge Zusammenarbeit von Marketing und dem Datenschutz notwendig.

Grundsätzlich ist bei jeder Datenverarbeitung die Einwilligung des Nutzers einzuholen, d.h. der Nutzer oder in unserem Falle der Patient muss über die Verarbeitung seiner Daten ausdrücklich informiert werden. Bedenkt man nun, dass die Datenschutzerklärungen meist mehrere Seiten umfassen und der Nutzer diese auf seinem Smartphone liest, ist die Erfahrung nicht unbedingt als nutzerfreundlich einzustufen. Aus diesem Grund hat der Anbieter einen Weg zu finden, wie er die Informationen über die Datenverarbeitung möglichst nutzerfreundlich gestaltet, ohne das Nutzererlebnis negativ zu beeinträchtigen.

Innerhalb unserer App haben wir u.a. entsprechende Links hinterlegt, die z.B. zu unserer Datenschutzerklärung oder den AGBs leitet. Darüber hinaus arbeiten wir auch mit einer zweiten Ebene (sog. „Second Layers“) auf detaillierte Informationen zu den Einwilligungen stehen. Dies sind nur wenige Punkte, wie wir den Nutzer über die Datenverarbeitung aufklären und ihm ein Gefühl des sicheren Umgangs seiner Daten vermitteln.

Wie und wo speichern telemedizinische Anbieter meine Daten? Wenn ich meine Daten über eine App oder eine Web-App angeben, landen diese dann im Internet?

Die meisten Anbieter telemedizinischer Applikationen speichern deine Daten verschlüsselt auf Cloud-Servern. Das sind spezielle Computer, die für eine schnelle und sichere Speicherung von Daten ausgelegt sind. Die Cloud ist immer über das Internet verfügbar, es können jedoch nur die Personen mit einem sogenannten Zugangsschlüssel Zugriff auf ihre eigenen Daten bekommen.

Dies kannst du dir wie ein Wohn-Hochhaus mit vielen Wohnungen vorstellen. Das Hochhaus kann jeder sehen, in die einzelnen Wohnungen kommt man aber nur mit einer Zugangsberechtigung bzw. Schlüssel. Fremde haben somit keinen Zugriff.

Bei dermanostic werden deine Daten sogar doppelt verschlüsselt gespeichert, d.h. sie werden in zusätzlich verschlüsselten Datenbanken gesichert. Dies kannst du dir so vorstellen, dass in der sowieso verschlossenen Wohnung noch ein Sicherheits-Tresor steht, in dem die Daten gespeichert sind. Damit ist ein höheres Schutzniveau der Daten gewährleistet.

Was wird getan, um meine Patientendaten zu schützen? Gibt es nur technische Hürden oder gibt es auch andere Ansatzpunkte, z.B. Schulungen für das Personal?

Zur Qualitätskontrolle unserer Systeme sowie unseres internen Umganges mit personenbezogenen Daten werden wir regelmäßig durch externe Auditoren geprüft. Dies kann man sich wie die immer wiederkehrenden TÜV-Prüfungen für Autos vorstellen, damit nur sichere Autos auf den Straßen fahren. Damit gewährleisten wir den Schutz deiner Patientendaten.

Über die oben genannten technischen Maßnahmen hinaus, sind auch organisatorische Maßnahmen zu treffen. Daher sensibilisieren wir unsere Beschäftigte regelmäßig für den Datenschutz und den damit verbundenen datenschutzkonformen Umgang mit Patientendaten.

Werden Daten an andere medizinische Anbieter weitergegeben, wie zum Beispiel an meine Krankenkasse? Weiß meine Krankenkasse dann z.B., wie viel Sport ich mache oder ob ich Raucher bin?

Grundsätzlich ist die Weitergabe deiner Gesundheitsdaten nur mit deiner ausdrücklichen Einwilligung möglich, d.h. wenn du deinen behandelnden Arzt schriftlich von der Schweigepflicht entbunden hast.

Manche Krankenkassen übernehmen anteilig die Gebühren für die Teilnahme an Gesundheitskursen. Reichst du die Nachweise der regelmäßigen Teilnahme ein, die für die anteilige Kostenübernahme durch die Krankenkasse notwendig sind, informierst du diese so über deine sportliche Tätigkeit. Als Gegenleistung bekommst du daher Vergünstigungen. Eine automatische Übermittlung deiner Gesundheitsdaten, die nichts mit der direkten Abrechnung zu tun hat, findet dabei nicht statt – d.h. deine Krankenkasse weiß nicht, ob du regelmäßig Sport machst, oder ob du rauchst.

In den Nachrichten hört man immer wieder von „Daten-Lacks“ bei größeren Unternehmen, bei denen viele Daten entwendet werden. Was kann ein Unternehmen tun, um sich davor zu schützen?

Grundsätzlich sollten alle Unternehmen die oben beschriebenen technischen und organisatorischen Maßnahmen zum Datenschutz umsetzen. Leider machen das viele Unternehmen nicht so ordentlich. Im Gesundheitsbereich ist dies aber anders, hier achten die Unternehmen sehr auf den Datenschutz und werden auch streng von den Behörden kontrolliert.

Neben den o.g. technischen und organisatorischen Maßnahmen empfiehlt es sich, sich von Dritten im Rahmen von Audits oder sogenannten Penetrationstests testen zu lassen. Penetrations-Test bedeutet, dass Hacker vom Unternehmen selbst beauftragt werden, Sicherheitslücken in den technischen Systemen zu finden. Diese werden dann dem Unternehmen gemeldet und können so geschlossen werden, ohne dass die Daten missbräuchlich verwendet werden.

Darüber hinaus gilt es die Beschäftigten regelmäßig und gründlich zu sensibilisieren, sodass auch ihnen potenzielle Daten-Lacks auffallen, denn miteinander ist füreinander. Aus diesem Grund testen bei jedem Update der App alle dermanostic-Mitarbeitende die neuen Entwicklungen.