Es gibt einmal wieder Anlass für Health Care Startups zu überprüfen, ob ihre Websites und Apps geschützte Gesundheitsdaten übermitteln.
Aktuell im März räumte das US-Startup Cerebral gegenüber dem US-Gesundheitsministerium ein, dass es seit 2019 Gesundheitsdaten von mehr als 3 Millionen Nutzern über sogenannte Tracking-Pixel u.a. mit Facebook, Google und TikTok geteilt hat (aktuelle Meldung bei Tech Crunch). Cerebral habe nach einer Überprüfung seines Codes festgestellt, dass u.a. Telefonnummern, IP-Adressen, Versicherungsdaten, Antworten auf psychologische Gutachten und damit verbundene klinische Daten offengelegt wurden.
Es erscheint naheliegend, dass deutsche Datenschützer, aber auch das Bundesgesundheitsministerium oder das BfArM im Hinblick auf DiGA das Thema aufgreifen. Daher sollten auch deutsche Startups und App-Hersteller ihre Anwendungen auf die Einbindung entsprechender Tools prüfen und die Weitergabe personenbezogener Gesundheitsdaten an US-Drittanbieter einstellen.
Die meisten Apps verwenden Zählpixel, um die Nutzung der App auswerten und die Nutzerfreundlichkeit und den Erfolg der App verbessern zu können. Zählpixel sind sehr kleine Bilddateien, die in die Webseite oder App integriert werden. Wird die Webseite oder App geöffnet, werden diese kleinen Bilder von einem Server im Internet geladen. Das Laden wird registriert und ggf. mit weiteren Metadaten (IP-Adresse, Anfragezeitpunkt, Browsertyp) gespeichert. Die so gesammelten Daten werden anschließend zu Analysezwecken ausgewertet.
Die Einbindung solcher Pixel kann bei Gesundheitsapps problematisch sein, weil mitunter personenbezogene Gesundheitsdaten der Nutzer an die Anbieter der Analysedienste/Pixel übermittelt werden.
Für Betreiber von Webseiten und Apps heißt das: Um etwaigen behördlichen Verfahren vorzubeugen, sollte die Praxis geprüft und ggf. eingestellt werden. DiGA-Hersteller sollten sich darauf einrichten, dass der Aspekt zukünftig vom BfArM im Rahmen des Fast-Track-Verfahrens geprüft werden wird.