Juli 2018: Einige Krankenkassen, wie z.B. die DAK und IKK, einige (~ 80) Betriebskrankenkassen sowie mehrere private Krankenversicherer möchten ihren Versicherten die neue Gesundheits-App „Vivy“ anbieten. Die App steht damit rund 25 Millionen Versicherten zur Verfügung.
„Verlängerter Arm“ der Allianz?
Die Gesundheits-App ist nach eigenen Angaben zu 70 % Tochterunternehmen der Allianz SE. Einer der Geschäftsführer des Berliner Startups, also der Vivy GmbH, ist übrigens Dr. Alexander Vogel, Prokurist bei der Allianz Private Krankenversicherungs-AG München.
Leistungen von Vivy
Die klassische Funktion ist zunächst die Gesundheitsakte. Hinzukommen weitere Serviceleistungen wie eine Erinnerungsfunktion, eine Unterstützung bei der Arztsuche sowie ein integrierter Gesundheits-Check.
Im Übrigen kann der Patient Echtzeitdaten aus seinen „Mobile Devices“ (wie z.B. der Apple Watch etc.) übertragen und in die Gesundheitsapp einpflegen. Überdies können Daten gebündelt und medizinische Unterlagen, wie z.B. Arztbriefe, Befunde, Labordaten oder auch Videos (etwa von Ultraschalluntersuchungen) gespeichert werden.
Leistungserbringern wird die kostenfreie Möglichkeit eröffnet, sich über eine Software in die Gesundheitsapp einzuwählen.
Patient kommt mit „Vivy“ in die Praxis – was nun?
Da die elektronische Gesundheitsakte nach § 68 SGB V lediglich dem Informationsrecht des Patienten dient, besteht auf Seiten des (Zahn-)Arztes keinerlei Verpflichtung, die in „Vivy“ gespeicherten Daten auszuwerten. Um wettbewerbsfähig zu bleiben, ist eine positive, offene Grundhaltung jedoch sicherlich hilfreich.
Wie steht es um den Datenschutz?
Bei all den Vorzügen der Digitalisierung muss ohne jeden Zweifel der Schutz der sensiblen Daten gewährleistet sein; der Patient muss stets „Herr seiner Daten“ bleiben. Denn bei Gesundheitsdaten, genetischen sowie biometrischen Daten handelt es sich gemäß Art. 9 Abs. 1 DSGVO um „besondere Kategorien personenbezogener Daten“, die aufgrund ihres sensiblen Charakters besonders schutzbedürftig sind.
„Vivy“ will dies selbst durch eine auf deutschen Servern gehostete End-to-End Verschlüsselung sicherstellen; (Zahn-)Ärzten ist ein Zugriff auf die Patientendaten also erst dann möglich, wenn der Patient ausdrücklich einwilligt und seine Einwilligung weder widerrufen noch die Löschung seiner Daten verlangt hat.
„Datenschutz-Bruchlandung“ ?
Der IT- Sicherheitsexperte Mike Kuketz betitelte „Vivy“ unmittelbar nach der Einführung als sog. Datenschutz-Bruchlandung (https://www.kuketz-blog.de/gesundheits-app-vivy-datenschutz-bruchlandung/).
Er begründete dies damit, dass „Vivy“ bereits vor der Kontoeröffnung einzelne US-Dienste (Tracking-Unternehmen) kontaktierte und an diese Daten weiterleitete. Auch die neuere (Android-)Version 1.17 kontaktiere einzelne Tracker (https://www.kuketz-blog.de/gesundheits-app-vivy-auch-neue-version-kontaktiert-tracker/).
Zu fordern ist, dass die App dem Patienten sämtliche Datenverarbeitungen offenlegt, sodass dieser frei entscheiden kann, was mit seinen Daten passiert.
Praxistipps für (Zahn-)Ärzte
Trotz den in den Artt. 9 Abs. 2 lit. h) und i) DSGVO enthaltenen Regelungen, nach denen die Verarbeitung von Gesundheitsdaten auch ohne ausdrückliche Einwilligung möglich ist, ist auf Grund der erhöhten Sensibilität der Gesundheitsdaten zu fordern, eine solche einzuholen.
Um Behandlungsunterlagen an „Vivy“ senden zu dürfen, benötigen (Zahn-)Ärzte somit eine Einwilligungs- sowie Schweigepflichtentbindungserklärung.
Sofern der Patient eine Einsicht in (einzelne) Behandlungsunterlagen wünscht, stellt er eine Anfrage an die App, welche ihrerseits die Praxis informiert. Der (Zahn-)Arzt erhält nun entweder von dem Patienten persönlich oder von der App einen temporär gültigen Web-Link, der den Zugriff auf die gewünschten Dokumente ermöglicht.
Da es sich hierbei um eine Verlangensleistung des Patienten handelt, ist die Kostenfrage leider weitgehend ungeklärt. Der (Zahn-)Arzt ist darauf zu verweisen, eine dem Einzelfall angemessene Vergütung zu fordern.
Fazit
Aus der Nutzung und Verarbeitung von sensiblen Gesundheitsdaten resultieren viele rechtliche Probleme. Nicht zuletzt auch deshalb, weil neben der DSGVO und dem neuen BDSG weitere Normen, wie z.B. die eIDAS-Verordnung (über elektronische Identifizierung und Vertrauensdienste) beachtet werden müssen.
Eine High-end-Verschlüsselung, die der Telematikinfrastruktur (TI) zugrunde liegt und im eHealth-Gesetz verankert ist, kann „Vivy“ zweifelsohne nicht bieten; eine Implementierung in die TI ist auch nicht geplant. Insofern ist der Fokus bei „Vivy“ insbesondere auf die umfassende Information zu richten, sodass der Patient frei entscheiden kann, wer wann und in welchem Umfang Daten verwendet.
