Der Branchenverband BITKOM stellte schon 2011 fest, dass in Deutschland etwa 15.000 gesundheitsbezogene Apps angeboten werden. Der Markt hat sich stetig weiter entwickelt, so dass der BITKOM heute von einem weiteren Wachstum um etwa 10 Prozent ausgeht. Die Apps bieten dem Verbraucher einen einfacheren Zugang zu individuellen Gesundheitsinformationen. Durch die Medizin-Apps bekommen User beispielsweise Aufschluss über ihren Blutzucker, ihren Blutdruck oder ihre Sehschärfe. Sie können ihre Herzfrequenz messen, ihre Lugenfunktion prüfen oder sich einfach an die Einnahme ihrer Medikamente erinnern lassen. Bei Ärzten und Krankenhäusern steht eine besser Vernetzung und die damit einhergehende Verbesserung der Behandlung des Patienten im Vordergrund. So erleichtern Apps zum Beispiel während der Patientenvisite, den Einsatz der elektronischen Patientenakte. Experten gehen davon aus, dass die verbesserte Behandlung in Zukunft die Effizienz steigert und gleichzeitig Kosten spart. Doch was einerseits effizient und zukunftsweisend erscheint, bringt auf der anderen Seite auch Risiken mit sich. Denn die Bandbreite der angebotenen Apps im Gesundheitswesen ist groß. Wie kann der Patient in Zukunft genau ermitteln, welche Gesundheits- und Medizin-Apps für ihn unbedenklich sind und welche nicht? Können alle Apps in Krankenhäusern eingesetzt werden oder gibt es Qualitätskriterien für Medizin- und Gesundheits-Apps, die eine Auswahl vereinfachen können? Was ist beim Datenschutz zu beachten? Diese Fragen beschäftigen derzeit die Experten - bisher jedoch ohne nennenswerte Ergebnisse.

Das fordert das MPG
In Deutschland gilt für Medizinprodukte das Medizinproduktegesetzes (MPG). Unter die Begriffsbestimmung des Medizinproduktes in Paragraf 3 Nr. 1 MPG fällt auch Software und damit grundsätzlich auch Apps. Damit eine App als Medizinprodukt einzuordnen ist, bedarf es einer Zweckbestimmung des Herstellers. Dieser muss die entsprechende Software für einen diagnostischen oder therapeutischen Zweck bestimmen, der in der Norm (Paragraf 3 Nr. 1 MPG) genannt wird. Für die Beurteilung der Zweckbestimmung werden die Aussagen des Herstellers in der Gebrauchsanweisung, der Kennzeichnung und der Werbung herangezogen. Wenn eine App dann in Deutschland als Medizinprodukt eingestuft wird, darf sie nur in den Verkehr gebracht werden, wenn sie eine CE-Kennzeichnung trägt. Fehlt die Angabe des medizinischen Zwecks vom Hersteller, fällt die App nicht unter den Begriff des Medizinprodukts.

Um die CE-Kennzeichnung zu erhalten, müssen App-Hersteller die Voraussetzungen in Paragraf 7 Abs. 1 MPG erfüllen und ein entsprechendes Konformitätsbewertungsverfahren nach der Medizinprodukteverordnung (MPV) i.V. m. der EU-Richtlinie 93/42/EWG durchführen. Die "grundlegenden Gesundheits- und Sicherheitsanforderungen" verpflichten den Hersteller zu gewährleisten, dass die Anwendung des jeweiligen Medizinprodukts keine Gefährdung für Patienten, Anwender oder Dritte darstellt und das Produkt insgesamt ein hohes Sicherheitsniveau aufweist. Dennoch ist es in der Praxis häufig so, dass die meisten Antragsteller die CE-Kennzeichnung problemlos erhalten. Was bis heute allerdings fehlt, ist ein entsprechendes Gütesiegel, was Aufschluss über die Qualität und den Datenschutz-Standard der App gibt, da diese Punkte im Rahmen der CE-Prüfung keine Berücksichtigung finden. So bleiben ebenfalls grundsätzlich Übertragungswege und Netzwerkkomponenten von der Regelung des MPG unberücksichtigt.

Spezialvorschriften des Telekommunikationsgesetzes
Eine ganz entscheidende Rolle beim Einsatz von Medizin- und Gesundheits-Apps spielen die Regelungen des Datenschutzes. Diese greifen immer dann ein, wenn personenbezogene Daten in irgendeiner Weise betroffen sind. Wenn ein App-Anbieter in Deutschland Daten erhebt und verwendet, sind grundsätzlich deutsches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes und des Telemediengesetzes anwendbar. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten und die Daten werden irgendwo auf der Welt gespeichert. Hier ist es in der Praxis schwierig, deutsches Datenschutzrecht gegenüber ausländischen App-Anbietern durchzusetzen. Nach dem Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten nur erhoben, verarbeitet oder gespeichert werden, wenn eine gesetzliche Ermächtigungsgrundlage oder eine Einwilligung gem. § 4 Abs. 1 BDSG vom Betroffenen vorliegt.

Im Bereich Medizin-Apps sind zwei verschiedene Konstellationen zu beachten. Einmal kann es sein, dass ein privater Nutzer oder Patient die App einsetzt. Weiter können die Apps aber auch von einem Arzt oder einen Krankenhaus verwendet werden. Im Verhältnis Privatperson zum Anbieter muss im Falle von Gesundheitsdaten eine ausdrückliche Einwilligung des Betroffenen vorliegen (Paragraf 4 a Abs. 1,3 BDSG). Das heißt, der Einwilligende muss über den Zweck der Datenverarbeitung informiert worden sein, die Abgabe muss freiwillig erfolgen, und die Einwilligung muss sich ausdrücklich auf die Gesundheitsdaten beziehen. Für App- Anbieter bietet es sich an, die Einwilligung schon beim ersten Start der App einzuholen. Wenn eine Medizin-App durch einen Arzt oder ein Krankenhaus für die medizinische Behandlung eines Patienten genutzt werden, gilt das deutsche Datenschutzrecht für die Speicherung und die Erhebung der Patientendaten. Bei der Speicherung von Patientendaten bei einem App-Anbieter, liegt immer eine Übermittlung zwischen dem Arzt bzw. dem Krankenhaus und dem App-Anbieter vor. Diese Übermittlung bedarf einer gesetzlichen Grundlage (beispielsweise Paragraf 28 Abs.6-8 BDSG) oder einer Einwilligung der betroffenen Patienten.
Eine gesetzliche Ermächtigungsgrundlage enthält das Bundesdatenschutzgesetz (BDSG) im Paragraf 28 Absatz 7. Danach ist das Erheben von besonderen Arten personenbezogener Daten (Paragraf 3 Absatz 9, darunter fallen z.B. Gesundheitsdaten) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen". Es können auch bereichsspezifische Sondervorschriften einschlägig sein (wie beispielsweise die Krankenhausgesetze der Länder), die dem BDSG grundsätzlich vorgehen. Diese ermächtigen jedoch nicht grundsätzlich zur Nutzung einer App.

Besondere Anforderungen an Träger von Berufsgeheimnissen
Im Verhältnis Krankenhaus/Arzt und App-Anbieter ist jedoch nicht nur das Bundesdatenschutzgesetz, sondern auch die strafrechtliche Vorschrift des Paragraf 203 Absatz 1 Nr. 1 StGB zu beachten. Danach unterliegen Daten, die dem Arzt in seiner Funktion als Arzt anvertraut wurden, der ärztlichen Schweigepflicht. Sie können demnach nicht einfach an Dritte, wie etwa dem App-Anbieter, weitergegeben werden. Einige versuchen dieses spezielle Problem durch die Anwendung des Paragraf 11 BDSG zu lösen, wonach in diesem Fall eine Auftragsdatenverarbeitung privilegiert werde. Andere sehen dagegen Auftragsdatenverarbeiter (wie etwa Apps) als berufsmäßige Gehilfen des Arztes im Sinne des Paragraf 203 Abs.3 S.2 StGB an. So fällt unter bestimmten – unterschiedlich gefassten – Voraussetzungen die Datenweitergabe an Dienstleiter nicht unter den Tatbestand des Paragraf 203 StGB. Eine abschließende Klärung dieser Thematik ist noch nicht erfolgt und hängt auch von der einzusetzenden App ab. Entscheidend ist, dass Ärzte und Krankenhäuser sich genau über die datenschutzrechtlichen Anforderungen der jeweiligen App informieren, um möglichen datenschutzrechtlichen "Lücken" der App aus dem Weg zu gehen. Besondere Vorsicht und Prüfung ist bei einer Datenspeicherung im Ausland geboten. Vor der Nutzung von Apps in Gesundheitseinrichtungen wird grundsätzlich empfohlen, einen fachkundigen Rat einzuholen.

Ein Ausblick
Für Ärzte und Krankenhäuser ist es ratsam, bei der Verwendung von Gesundheits- und Medizin-Apps die datenschutzrechtlichen Vorschriften genauestens zu beachten. Denn es wird sich meistens um Auftragsdatenverarbeitungen handeln, die im Hinblick auf die ärztliche Schweigepflicht sehr kritisch beurteilt werden und immer besondere Vereinbarungen bedürfen. Außerdem müssen dringend gewisse Qualitätskriterien und Gütesiegel für Medizin-Apps eingeführt werden, damit Verbraucher, Patienten wie auch Ärzte und Krankenhäuser wissen, welche Anwendungen datenschutzrechtlichen Standards entsprechen.

In Deutschland müssen darüber hinaus für die Gesundheits- und Medizin-Apps einige rechtliche Fragen bezüglich der genauen Einordung dringend gelöst werden, um es für App-Hersteller leichter zu machen, Medizin- und Gesundheits-Apps auf den Markt zu bringen. Im Interesse von Patienten, Ärzten und Krankenhäusern sollte es vermieden werden, dass es für Hersteller von Medizin-Apps unnötig lange Verfahren gibt, die eine schnelle Markteinführung der Apps verhindern. Dennoch sollte hier das Thema Datenschutz immer groß geschrieben werden.

Die Autorin Mira Martz ist Referentin für Datenschutz und Kommunikation des Beratungsunternehmens ISICO Datenschutz GmbH mit Sitz in Berlin.