Der Datenschutzkodex für mobile Gesundheits-Apps zielt darauf ab, das Vertrauen der Nutzer zu fördern und denjenigen, die sich dafür anmelden, einen Wettbewerbsvorteil zu verschaffen.
Die ersten Versionen des Verhaltenskodex für mobile Gesundheits-Apps wurden vor dem Hintergrund der Konsultation des mobilen Gesundheits- Grünbuchs 2014 der Europäischen Kommission erstellt. Die Konsultation ergab, dass Menschen aus Datenschutzgründen häufig mobilen Gesundheits-Apps nicht vertrauen.
Im Anschluss an diese Konsultation ermutigte die Europäische Kommission die Interessenträger der Industrie, einen Datenschutzkodex für mobile Gesundheits-Apps zu schaffen, um das Vertrauen zu stärken.
Ziel war, dass der Verhaltenskodex die förmliche Zustimmung der europäischen Datenschutzbehörden einholen würde. Gemäß der geltenden Datenschutz-Grundverordnung (DSGVO) fällt die Rolle der Bewertung von Codes unter das Mandat des Europäischen Datenschutzausschusses. Vom Europäischen Datenschutzausschuss genehmigte Kodizes können EU-weit durch einen Durchführungsrechtsakt allgemein gültig sein.
Historie und aktueller Status
Die Arbeit an einem mobilen Gesundheitskodex begann im April 2015, als ein Redaktionsteam von Industriemitgliedern begann, den Text des Codes zu entwickeln. Die Europäische Kommission fungierte als Vermittlerin, stellte rechtliches und politisches Fachwissen und Ressourcen zur Verfügung und überwachte die Entwicklung dieser Arbeit.
Zu diesem Redaktionsteam gehörten die App Association (ACT), App Developer Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm und Samsung. Sie arbeiteten durch regelmäßige Treffen und präsentierten die Arbeit auf verschiedenen Veranstaltungen, um weitere Rückmeldungen zu erhalten. Die Vision war, dass der Kodex für KMU und einzelne Entwickler, die möglicherweise keinen Zugang zu juristischem Fachwissen haben, leicht verständlich sein sollte.
Das Redaktionsteam hat der Gruppe „Artikel 29“ im Juni 2016 eine frühe Fassung der Arbeiten für eine erste Feedbackrunde vorgelegt. Nach verschiedenen Verbesserungsvorschlägen der Gruppe wurde der Kodex überarbeitet (.pdf) und am 7. Dezember 2017 förmlich vorgelegt, um die Genehmigung gemäß der Datenschutzrichtlinie zu beantragen.
Die Gruppe hat ihre Bewertung im April 2018 veröffentlicht. Er stellte fest, dass die Kriterien der DSGVO angewandt werden sollten und dass der bestehende Kodex diesen Anforderungen noch nicht angemessen Rechnung getragen hat. Infolgedessen wurde der Kodex nicht genehmigt.
Nächste Schritte
Die Kommission arbeitet mit einer Reihe von Interessenträgern aus der Industrie zusammen, um die Weiterentwicklung des derzeitigen Entwurfs des Kodex zu fördern, damit er dem Europäischen Datenschutzausschuss künftig vorgelegt werden kann, um eine förmliche Genehmigung einzuholen.
Hauptbestimmungen für App-Entwickler
Der aktuelle Entwurf des Kodex besteht aus praktischen Anleitungen für App-Entwickler zu Datenschutzgrundsätzen bei der Entwicklung mobiler Gesundheits-Apps. Der Kodex befasst sich insbesondere mit folgenden Themen:
Zustimmung des Benutzers
Die Einwilligung des Nutzers für die Verarbeitung personenbezogener Daten muss frei, konkret und informiert sein. Für die Verarbeitung von Gesundheitsdaten muss eine ausdrückliche Zustimmung eingeholt werden. Jeder Widerruf der Einwilligung muss zur Löschung der personenbezogenen Daten des Nutzers führen.
Zweckbegrenzung und Datenminimierung
Die Daten dürfen nur zu bestimmten und legitimen Zwecken verarbeitet werden. Es dürfen nur Daten verarbeitet werden, die für die Funktionalität der App unbedingt erforderlich sind.
Datenschutz nach Design und standardmäßig
Die Auswirkungen auf die Privatsphäre der App müssen bei jedem Schritt der Entwicklung und überall dort berücksichtigt werden, wo der Benutzer eine Wahl hat. Der App-Entwickler muss standardmäßig die am wenigsten Privatsphäre invasive Wahl auswählen.
Rechte und Auskunftspflichten der betroffenen Person
Der Nutzer hat das Recht, auf seine personenbezogenen Daten zuzugreifen, Korrekturen zu verlangen und der weiteren Verarbeitung zu widersprechen. Der App-Entwickler muss dem Benutzer bestimmte Informationen über die Verarbeitung zur Verfügung stellen.
Datenspeicherung
Personenbezogene Daten dürfen nicht länger als erforderlich gespeichert werden.
Sicherheitsmaßnahmen
Es müssen technische und organisatorische Maßnahmen ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten zu gewährleisten und gegen zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, Offenlegung, Zugriff oder andere unrechtmäßige Formen der Verarbeitung zu schützen.
Werbung in mobilen Gesundheits-Apps
Es wird unterschieden zwischen Werbung, die auf der Verarbeitung personenbezogener Daten beruht (Einwilligung erforderlich) und Werbung, die nicht auf personenbezogenen Daten beruht (Opt-out-Einwilligung).
Nutzung personenbezogener Daten für sekundäre Zwecke
Jede Verarbeitung für sekundäre Zwecke muss mit dem ursprünglichen Zweck vereinbar sein. Die Weiterverarbeitung für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gilt als mit dem ursprünglichen Zweck vereinbar. Die Sekundärverarbeitung zu nicht kompatiblen Zwecken bedarf einer neuen Einwilligung.
Weitergabe von Daten an Dritte für Verarbeitungsvorgänge
Der Nutzer muss vor der Offenlegung informiert werden und der App-Entwickler muss eine verbindliche rechtliche Vereinbarung mit dem Dritten eingehen.
Datenübermittlung
Für Datenübermittlungen an einen Standort außerhalb der EU/des EWR müssen rechtliche Garantien bestehen, die eine solche Übermittlung ermöglichen, z. B. einen Angemessenheitsbeschluss der Europäischen Kommission, Musterverträge der Europäischen Kommission oder verbindliche Unternehmensregeln.
Verletzung personenbezogener Daten
Der Kodex enthält eine Checkliste, die im Falle einer Verletzung des Schutzes personenbezogener Daten zu folgen ist, insbesondere die Pflicht, eine Datenschutzbehörde zu benachrichtigen.
Von Kindern gesammelte Daten
Abhängig von der in den nationalen Rechtsvorschriften festgelegten Altersgrenze muss der restriktiveste Ansatz der Datenverarbeitung verfolgt werden, und es muss ein Verfahren zur Einholung der Einwilligung der Eltern eingeführt werden.
Aktuelle Nachrichten
Zugehöriger Inhalt
Gesamtbild
Die Europäische Kommission arbeitet daran, den Bürgern Zugang zu sicheren und hochwertigen digitalen Dienstleistungen im Gesundheits- und Pflegebereich zu ermöglichen.
Siehe auch
Die Europäische Initiative für virtuelle menschliche Zwillinge ist ein EU-Rahmen, der das Aufkommen und die Annahme der nächsten Generation von virtuellen Human-Zwillingslösungen in den Bereichen Gesundheit und Pflege unterstützt.
Die European Cancer Imaging Initiative wird die Macht der Bildgebung und Künstlicher Intelligenz zum Nutzen von Krebspatienten, Klinikern und Forschern erschließen.
Die Europäische Innovationspartnerschaft für aktives und gesundes Altern ist eine Initiative, die darauf abzielt, die Nutzung digitaler Innovationen für aktives und gesundes Altern zu fördern.
Die Initiative 1+ Million Genomes (1+MG) hat das Potenzial, die Krankheitsprävention zu verbessern, personalisiertere Behandlungen zu ermöglichen und bahnbrechende Forschung zu unterstützen.
Die Europäische Kommission hat eine Mitteilung und eine Arbeitsunterlage der Kommissionsdienststellen zum digitalen Wandel im Gesundheits- und Pflegebereich angenommen, um die Maßnahmen der Europäischen Union zu fördern.
Die Europäische Kommission hat eine Empfehlung für ein europäisches Format für den elektronischen Austausch von Patientenakten angenommen, um den grenzüberschreitenden Fluss von Gesundheitsdaten zu erschließen.
Die Interessengruppe eHealth bietet der Kommission Beratung und Fachwissen, insbesondere zu den in der Mitteilung über die Ermöglichung des digitalen Wandels im Gesundheitswesen und in der Gesundheitsversorgung dargelegten Themen.