Advertisement

Datenschutz und Datensicherheit in Digital Public Health

  • Thomas Kunz
  • Benjamin Lange
  • Annika SelzerEmail author
Leitthema
  • 44 Downloads

Zusammenfassung

Anwendungen aus dem Bereich der Digital Public Health erfreuen sich zunehmender Beliebtheit, so nutzen beispielsweise etwa 45 % der Smartphonenutzer auf ihrem Gerät entsprechende Gesundheits- oder Fitness-Apps. Die meisten dieser Anwendungen übertragen personenbezogene Daten des Nutzers an den Anbieter der Gesundheits-App. Dieser hat die geltenden Anforderungen des Datenschutzrechts zu berücksichtigen.

Der vorliegende Beitrag gibt einen Überblick über wichtige Anforderungen des Datenschutzes und erforderliche technische Maßnahmen zur Datensicherheit, die der Anbieter einer Gesundheits-App beachten muss. Dazu gehören u. a. Mechanismen der Einwilligung, die Festlegung und Einhaltung der legitimen Zwecke der Verarbeitung sowie die Einräumung von „Betroffenenrechten“ (z. B. Auskunftsrecht). Des Weiteren hat der Anbieter Best-Practice-Empfehlungen aus dem Bereich der Datensicherheit zu berücksichtigen. Durch geeignete technische und organisatorische Maßnahmen hat er u. a. sicherzustellen, dass ein unberechtigter Zugriff auf personenbezogene Daten, deren Manipulation, Verlust oder Zerstörung verhindert werden. Dazu sollten u. a. dem Stand der Technik entsprechende Maßnahmen zur Verschlüsselung, Berechtigungsverwaltung, Integritätssicherung, Protokollierungen und Pseudonymisierung in Betracht gezogen werden. Bei der Umsetzung dieser Maßnahmen gilt es zu berücksichtigen, dass mit der Verarbeitung von Gesundheitsdaten i. d. R. eine starke Gefährdung der Rechte und Freiheiten der betroffenen Personen einhergeht und z. B. der unberechtigte Zugriff auf persönliche Daten und/oder deren Manipulation zum Veröffentlichen von Krankheitsbildern oder zur falschen Einnahme von Medikation führen können.

Schlüsselwörter

Rechtliche Anforderungen Technische Anforderungen DSGVO Gesundheits-Apps Gesundheitsdaten 

Digital public health: data protection and data security

Abstract

Digital public health applications are becoming increasingly popular; for example, about 45% of smartphone users have health or fitness apps on their devices. Most of these applications transfer the user’s personal data to the provider of the health app. Application providers must comply with the relevant data protection statutes.

In this article we provide a survey of important data protection requirements and the necessary technical measures for data security that the provider of a health app must observe. This includes – amongst other things – mechanisms for consent, determination of and compliance with the legitimate purposes of the processing, and the granting of so-called “rights of the data subject” (e.g. right of access). Furthermore, the provider of the health application must follow best practice recommendations from the area of data security. Therefore, the provider must ensure that, for example, unauthorized access, manipulation, loss, and destruction of personal data are prevented by appropriate technical and organizational measures. State-of-the-art procedures such as encryption, rights management, securing integrity, pseudonymization, and logging are some examples of technical and organizational measures. When implementing these measures, it must be taken into account that the processing of health data generally entails high risk for the rights and freedoms of the data subjects and that unauthorized access to and/or manipulation of data, for example, can lead to the publication of a stigmatizing diagnosis or incorrect medication.

Keywords

Legal requirements Technical requirements GDPR Health apps Health data 

Notes

Förderung

Dieser Beitrag wurde vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung für das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE unterstützt.

Einhaltung ethischer Richtlinien

Interessenkonflikt

T. Kunz, B. Lange und A. Selzer geben an, dass kein Interessenkonflikt besteht.

Für diesen Beitrag wurden von den Autoren keine Studien an Menschen oder Tieren durchgeführt. Für die aufgeführten Studien gelten die jeweils dort angegebenen ethischen Richtlinien.

Literatur

  1. 1.
    Haas M (2018) Smartphone-Markt: Konjunktur und Trends, Bitkom. https://www.bitkom.org/sites/default/files/file/import/Bitkom-Pressekonferenz-Smartphone-Markt-22-02-2018-Praesentation-final.pdf. Zugegriffen: 31. Juli 2019
  2. 2.
    Rohleder B, Jedamzik S (2017) Gesundheit 4.0, Bitkom, Bayerische TelemedAllianz. https://www.bitkom.org/sites/default/files/file/import/Verbraucherstudie-Telemedizin-2017-170327.pdf. Zugegriffen: 31. Juli 2019
  3. 3.
    Dadaczynski K, Tolks D (2018) Digitale Public Health: Chancen und Herausforderungen internetbasierter Technologien und Anwendungen. Public Health Forum 26(3):275–278CrossRefGoogle Scholar
  4. 4.
    European Union Agency For Network and Information Security (enisa) (Hrsg) (2017) Privacy and data protection in mobile applications—A study on the app development ecosystem and the technical implementation of GDPRGoogle Scholar
  5. 5.
    Gadaleta M, Rossi M (2018) IDNet: Smartphone-based gait recognition with convolutional neural networks. Pattern Recognit 74:25–37CrossRefGoogle Scholar
  6. 6.
    Olejnik L, Acar G, Castelluccia C, Diaz C (2015) The leaking battery—A privacy analysis of the HTML5 Battery Status API. IACR Cryptology ePrint Archive, Bd. 2015, S 616Google Scholar
  7. 7.
    Jandt S, Steidle R (2018) Datenschutz im Internet. Nomos, Baden-Baden, S 126–149 (369–389, 390–406)Google Scholar
  8. 8.
    Kühling J, Buchner B (2018) DS-GVO und BDSG Kommentar. C. H. Beck, München, S 297–302Google Scholar
  9. 9.
    Tinnefeld T, Buchner B, Petri T, Hof H (2018) Einführung in das Datenschutzrecht. De Gruyter, Berlin, S 398–422Google Scholar
  10. 10.
    Kühling J, Seidel C, Sivridis A (2008) Datenschutzrecht. Verlag Recht und Wirtschaft, Frankfurt am Main, S 203–205Google Scholar
  11. 11.
    Kroschwald S (2016) Informationelle Selbstbestimmung in der Cloud. Springer Vieweg, Wiesbaden, S 127–138CrossRefGoogle Scholar
  12. 12.
    Paal B, Pauly D (2017) Datenschutz-Grundverordnung. C. H. Beck, München, S 278–290 (390–409)Google Scholar
  13. 13.
    Danezis G, Domingo-Ferrer J, Hansen M et al (2014) Privacy and Data Protection by Design—from policy to engineering, enisaGoogle Scholar
  14. 14.
    BSI (2019) Technische Richtlinie TR-02102‑1 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Version: 2019–01Google Scholar
  15. 15.
    American National Standard Institute (ANSI) for Information Technology (2004) Role based access control. Technical Report ANSI INCITS 3592004Google Scholar
  16. 16.
    Russinovich M (2017) Introducing Azure confidential computing, Microsoft Azure Blog vom 14.09.2017. https://azure.microsoft.com/en-us/blog/introducing-azure-confidential-computing/. Zugegriffen: 31. Juli 2019
  17. 17.
    Pfitzmann A, Hansen M (2008) Anonymity, unlinkability, undetectability, unobservability, pseudonymity, and identity management—a consolidated proposal for terminology. http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf. Zugegriffen: 31. Juli 2019
  18. 18.
    Fung B, Wang K, Chen R, Yu P (2010) Privacy-preserving data publishing: a survey on recent developments. CSUR 42(4):1–53CrossRefGoogle Scholar
  19. 19.
    Sowmyarani CN, Srinivasan GN (2012) Survey on recent developments in privacy preserving models. IJCA 38(9):18–22CrossRefGoogle Scholar
  20. 20.
    Baeriswyl B (2013) „Big Data“ ohne Datenschutz-Leitplanken. Z Datenr Informationssicherh 14(1):14–17Google Scholar
  21. 21.
    Sweeney L (1997) Weaving technology and policy together to maintain confidentiality. J Law Med Ethics 25(2,3):98–110CrossRefGoogle Scholar
  22. 22.
    Sweeney L (2000) Simple demographics often identify people uniquely. Technischer Bericht. Carnegie Mellon University, PittsburghGoogle Scholar
  23. 23.
    Golle P (2006) Revisiting the uniqueness of simple demographics in the US population. Proceedings of the 5th ACM workshop on Privacy in electronic society, S 77–80Google Scholar
  24. 24.
    Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (2009) Orientierungshilfe „Protokollierung“. https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Protokollierung.pdf?__blob=publicationFile&v=4. Zugegriffen: 31. Juli 2019

Copyright information

© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2020

Authors and Affiliations

  1. 1.Fraunhofer-Institut für Sichere Informationstechnologie (SIT)DarmstadtDeutschland

Personalised recommendations