Health-Apps müssen ihre Nutzer über Datenschutzverletzungen informieren oder riskieren eine saftige Geldstrafe, stellte die Federal Trade Commission letzte Woche in einer Grundsatzerklärung klar. Die Regel, die Transparenz verlangt, ist ein Jahrzehnt alt, wurde aber noch nie durchgesetzt. Die neue Richtlinie dient als Warnung an die vielen Unternehmen, die sich in den Bereich der Gesundheits-Apps drängen: Die FTC nimmt Probleme rund um den Datenschutz von Gesundheitsdaten ernst – auch wenn sie nicht in der Lage sein wird, alle Datenschutzlücken allein zu schließen.
Die Health Breach Notification Rule der FTC gilt für alle Organisationen, die nicht dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen, der Dinge wie Ärzte und Versicherungsunternehmen abdeckt. HIPAA verlangt von diesen Gruppen, dass sie jedes Mal, wenn sie eine Datenverletzung haben, offenlegen. Die FTC-Regel gilt für jede andere Gruppe, die sich mit Gesundheitsinformationen befasst.
Gesundheits-Apps haben oft keinen starken Datenschutz, sagte die FTC-Vorsitzende Lina Khan in einer Erklärung zu der Regel. Apps verfügen oft über schlechte Datenschutzsysteme oder verletzen ihre eigenen Datenschutzrichtlinien, indem sie Daten mit externen Gruppen teilen, ohne die Benutzer davon zu informieren. Diese Apps waren kein Teil des digitalen Gesundheitsbildes, als die Regel zum ersten Mal geschrieben wurde. Seitdem hat es jedoch eine Explosion bei Gesundheits-Apps gegeben – jedes Jahr werden Zehntausende veröffentlicht, und die Downloads nahmen während der COVID-19-Pandemie zu. Immer mehr Menschen vertrauen diesen Produkten ihre Gesundheitsinformationen an. Die neue Richtlinie stellt klar, dass die Benachrichtigungsregel für Gesundheitsverletzungen auch für diese Plattformen gilt, auch wenn sie dachten, dass sie sie vorher nicht abdeckt.
Zu den Verstößen, die eine Meldung auslösen könnten, gehören nicht nur Hacks oder Angriffe. Diese Organisationen müssten alle Informationen offenlegen, die ohne die Erlaubnis der Benutzer weitergegeben werden. Dies könnte auf Situationen wie die jüngste Datenschutzverletzung durch die Perioden-Tracking-App Flo zutreffen, die ohne Wissen der Benutzer Daten an Facebook, Google und Marketingunternehmen weitergab. Die FTC zitierte Flo nicht wegen Verstoßes gegen die Benachrichtigungsregel für Gesundheitsverletzungen – sie konzentrierte sich auf falsche Aussagen des Unternehmens zu seinen Datenschutzrichtlinien –, aber zwei FTC-Mitglieder argumentierten, dass dies der Fall sein sollte.
Der neue Fokus der FTC darauf, sicherzustellen, dass Unternehmen die Regel einhalten, könnte interne Veränderungen bei Gesundheits-Apps auslösen, sagt David Simon, wissenschaftlicher Mitarbeiter am Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics an der Harvard Law School. „Es wird sie zwingen, zumindest Systeme einzurichten, wenn sie noch nicht vorhanden sind, um herauszufinden, wann diese Verstöße auftreten, und dann die Leute zu benachrichtigen“, sagt Simon. Die Regel besagt, dass Gruppen alle Datenschutzverletzungen melden müssen, von denen sie hätten wissen müssen, und nicht nur von denen sie wissen – also müssen sie Möglichkeiten haben, Daten zu überwachen.
„Wenn Sie App-Entwickler oder Anbieter einer verbundenen Plattform sind, ist es in Ihrem besten Interesse, dass Sie diese Regel beachten“
Die Strafen für den Verstoß gegen die Regel sind ziemlich hoch: 43.792 USD pro Verstoß und Tag. „Das kann sich sehr schnell summieren“, sagt Jennifer Wagner, Assistenzprofessorin für Recht, Politik und Ingenieurwissenschaften an der Pennsylvania State University. “Ich denke, sie versuchen zu signalisieren, dass es in Ihrem besten Interesse ist, wenn Sie ein App-Entwickler oder ein Anbieter einer verbundenen Plattform sind, dass Sie diese Regel beachten und eine Art Reaktionsmechanismus haben.” an Ort und Stelle.'”
Die Regel der FTC informiert Benutzer über Datenschutzverletzungen, kann jedoch nicht alle Datenschutzprobleme rund um Gesundheits-Apps lösen. Es schränkt nicht ein, was Unternehmen mit den Daten der Benutzer tun können; es sagt nur, dass sie den Benutzern sagen müssen, was sie tun. „Es ist eine Art Transparenz, aber das hat Grenzen“, sagt Simon. Einige Experten argumentieren, dass Benutzer in erster Linie eine aktivere Kontrolle darüber haben sollten, wie Apps Daten verwenden und teilen können. Die FTC hat jedoch nicht die Befugnis, diese Änderungen vorzunehmen. „Ich glaube nicht, dass es die Werkzeuge hat, um alles zu tun, was es tun möchte“, sagt Simon.
Die Regel der FTC beschränkt sich auch auf digitale Gesundheitsprodukte, die sich mit Gesundheitsinformationen befassen. In letzter Zeit wurde jedoch klar, dass Plattformen, die nicht speziell für die Gesundheit entwickelt wurden, tatsächlich für diesen Zweck verwendet werden können: Eine Facebook-Selbsthilfegruppe für Brustkrebsüberlebende zum Beispiel gilt möglicherweise nicht als Gesundheitsakte, sammelt jedoch Informationen, die verwendet werden könnten um mehr über die Gesundheit der Mitglieder zu erfahren, sagt Wagner. Wenn es auf dieser Plattform eine Datenschutzverletzung gäbe, würde sie nicht unbedingt der Regel unterliegen. “Was die FTC mit der Terminologie machen kann, ist etwas begrenzt, obwohl sie sicherlich versuchen, alles zu tun, was sie können”, sagt sie.
Trotz der Einschränkungen kommen die Leitlinien auch dazu, dass sich die Landschaft rund um den Datenschutz verändert, um den Menschen mehr Kontrolle über ihre Informationen zu geben. Der Datenschutz wird von Kongress, Bundesstaaten und Generalstaatsanwälten zunehmend beachtet, sagt Wagner. Die Unternehmen achten auf all das, und die Entscheidung der FTC ist ein neues Teil dieses Puzzles. „Sie müssen über die erforderlichen Schritte nachdenken und vorausdenken, denn dieser Regulierungsraum wird nicht verschwinden“, sagt sie.