Es gibt eine neue Entwicklung, die sich zunehmend abzeichnet: Die Erfassung persönlicher Gesundheitsdaten durch „Wearables“. Dabei geht es darum, dass durch elektronische Geräte, die man am Körper trägt, Körperfunktionen erfasst, gespeichert und später analysiert werden. In einer Gesellschaft, die zunehmend auf eine gesunde Lebensweise fokussiert ist, eine durchaus vorhersehbare und letztlich konsequente Entwicklung. Dabei ist zu erwarten, dass solche „Wearables“ zunehmend in bisher vorhandenen Geräten aufgehen, etwa dass wesentliche Körperfunktionen über Armbanduhren erfasst werden, oder auch über In-Ear-Kopfhörer mit denen man Musik hört. Entsprechend wird auch der Bedarf nach Anwendungen sein, die in diesem (neuen?) Markt Abnehmer suchen.
Grundsätzlich wird es auf den ersten Blick keine besonderen Probleme geben: Es handelt sich um personenbezogene Daten, spätestens wenn diese Daten in einem userbezogenen Account gespeichert werden. Somit liegt eine datenschutzrechtliche Verarbeitung vor, die durch eine Einwilligung (§4a BDSG) zu legitimieren ist.
Problem bei Wearables: Besondere Arten personenbezogener Daten
Interessant wird es dann aber, wenn man in §3 IX BDSG blickt, der feststellt:
Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Man kann sich durchaus fragen, ob hier nicht offenkundig Daten über die „Gesundheit“ erhoben werden, so dass „Besondere Arten personenbezogener Daten“ vorliegen würden. Wann genau solche Daten anzunehmen sind, ist eher fliessend zu bestimmen. Einzelne Pulsschläge etwa dürften noch durchaus diskutabel sein – wenn aber letztlich umfassend Körperdaten erhoben werden, wird man den entstehenden „Datenberg“ wohl regelmäßig als Ansammlung besonderer Arten personenbezogener Daten auffassen können.
Konsequenzen für Wearables bei besonderen Arten personenbezogener Daten
Die sich hieraus ergebenden rechtlichen Konsequenzen treffen nicht nur die „grossen Anbieter“, sondern am Ende die App-Programmierer, die auf solche Daten zugreifen möchten. Wer etwa eine App erstellt, die die Körperdaten beim Jogging erfasst, wird hier vorsichtig sein müssen. Als unmittelbare Folge der Einstufung gilt nämlich mit §4a Abs.3 BDSG, dass die Einwilligung sich ausdrücklich auf die Daten beziehen muss.
Ausgestaltung der Einwilligung
Wer Daten über die Gesundheit erhebt, muss mit §4a Abs.3 BDSG also ausdrücklich klar stellen, welche Daten erhoben werden – also konkret etwa „Pulsschlag, Körpertemperatur, Gewicht“ (sofern letzteres erfasst wird, etwa durch eine Nutzereingabe). Klargestellt sein muss auch die Speicherdauer. Sofern hier „geschludert“ wird droht dem App-Entwickler bzw. Dienst-Betreiber am Ende ein Datenschutzverstoss.
Vorsicht bei Hack-Angriffen auf Dienste zu Wearables
Kritisch wird es auch, wenn entsprechende Daten dauerhaft gespeichert werden, etwa auf eigenen Servern: Sollte ein Serverhack vorliegen, trifft den Betreiber eines solchen Dienstes die Informationspflicht aus §42a BDSG, die bei personenbezogenen Daten besonderer Art immer eingreift (§42a S.1 Nr.1 BDSG). Auch hier gibt es also besondere Sorgfaltspflichten, deren Missachtung nicht nur Bussgeldpflichtig sind, sondern gar strafrechtliche Relevanz genießen können.
Im Fazit gilt damit zu Wearables: Ohne „Verteufelung“ der Entwicklung hin zur Erfassung gesundheitsbezogener Daten müssen Diensteanbieter in diesem Bereich die Augen offen halten. Wer gesundheitsbezogene Daten erfassen möchte, hat durchaus einige besondere Pflichten, die es einzuhalten gilt. Verstösse können durchaus spürbare Konsequenzen haben, ein Grund mehr, hier genau hinzusehen – wobei gerade in diesem Bereich ein Vertrauensvorsprung sicherlich auch ein Wettbewerbsvorteil für Anbieter sein wird.
- Entschlüsselung der Spionage in Europa: Ein Überblick über die Jahre 2010–2021 - 23. April 2024
- Geheimdienstliche Agententätigkeit gemäß § 99 StGB - 23. April 2024
- Strafbarkeit beim Posten von Links zu kinder- und jugendpornographischen Inhalten - 23. April 2024