Datenzugriff
Auch wenn viel über Datenlecks gesprochen wird, sind diese auch weiterhin ein Ausnahmefall. Deshalb ist es wichtig zu verstehen, dass die eigenen Daten besonders dadurch geschützt werden, dass man den legalen Zugriff beschränkt.
Warum sollte ich über Datenzugriff nachdenken?
Bei Datenschutz denken wir oft zunächst an Hacker oder andere Personen, die sich unbefugt Zugriff zu unseren Daten verschaffen. Diese Gefahr sollte natürlich nicht unterschätzt werden, aber der Zugriff durch Personen, die wir oft unbewusst dazu berechtigt haben, sollte für uns auch eine große Rolle spielen. Besonders relevant ist das, wenn die Unternehmen die Daten dann noch an andere Unternehmen weitergeben oder sogar verkaufen dürfen.
Bevor Sie einem Unternehmen Zugriff auf Ihre Daten geben, z.B. durch das Hochladen von Dokumenten, das Freigeben des Zugriffs auf Plattformen wie Dropbox oder Apple Health oder die Verbindung verschiedener Konten zum freien Datenaustausch, sollten Sie sich genau überlegen, ob so ein breiter Zugriff überhaupt notwendig ist.
Das Problem mit einem einmal erteilten Datenzugriff ist, dass er sich oft nur schwer rückgängig machen lässt. Oft speichern Unternehmen Kopien von Daten aus anderen Quellen in ihren Systemen, sodass die Entziehung des Zugriffs nur den Zugriff auf neue Daten verhindert. Zwar bleibt Ihnen im Rahmen der Datenschutzgrundverordnung das Recht, Ihre Daten löschen zu lassen, doch nicht alle Unternehmen kommen dieser Anforderung umgehend nach, sodass teilweise Rechtsmittel notwendig werden. Am einfachsten ist es, wenn man den Datenzugriff am Anfang gar nicht erst erteilt, wenn er nicht zwingend notwendig ist.
Wie unterscheiden sich regulierte Gesundheitsanwendungen von nicht-regulierten?
Bei gesetzlich regulierte Gesundheitsangeboten brauchen Sie sich in der Regel keine Sorgen darüber machen, da die Anforderungen sehr hoch sind. Die Elektronische Gesundheitsakte (ePA) etwa, ist dadurch geschützt, dass wir nur bestimmten Personengruppen, wie zum Beispiel Ärzten und Ärztinnen, überhaupt Zugriff zu unserer ePA geben können. In der Standardeinstellung haben nur Sie Zugriff zu Ihren Daten.
Bei Digitalen Gesundheitsanwendungen (DiGAs) gibt es auch feste Vorgaben zum Datenschutz, die den Zugriff auf nicht-benötigte Daten und die Weitergabe von Daten an unbefugte Dritte verhindern. Wir stellen natürlich auch bei unseren eigenen Digitalangeboten höchste Ansprüche an den Datenschutz und beschränken den Zugriff auf Partner, die diese Daten direkt für die Bereitstellung des Angebots benötigen.
Leider sind ähnlich hohe Datenschutzanforderungen nicht bei allen digitalen Gesundheitsangeboten gegeben. Besonders kostenfreie Gesundheitsangebote sammeln oft mehr Daten und erfragen einen deutlich umfangreicheren Datenzugriff als für den Betrieb eigentlich notwendig wäre. Besonders aufpassen sollten Sie bei Health-Tracking-Daten auf dem Smartphone, die auch sehr persönliche Gesundheitsdaten wie Gewicht, Menstruationszyklus oder Herzfrequenz enthalten können. Hier können auch Unternehmen mit geringeren Anforderungen an Datenschutz als beispielsweise DiGAs Zugriff auf Ihre Daten bekommen.
Was kann ich tun, um meine Daten zu schützen?
Lesen Sie sich vor jeder Freigabe die AGBs und Datenschutzerklärungen der Unternehmen durch, auch dann, wenn es schwerfällt. Eine Faustregel bei Gesundheitsdaten ist, dass Sie keinem Unternehmen diese Daten geben sollten, wenn es Ihnen nicht wichtig genug ist, um die AGBs zu lesen.
Sie sollten auch überlegen, wo Sie den Login mittels anderer Dienstleister (Google, X, Facebook etc.) nutzen und wo Sie einen eigenen Login einrichten. Der Login mittels eines Dienstleisters vereinfacht die Passwortverwaltung, kann den Unternehmen aber mehr Informationen geben als eigentlich benötigt werden. Im Zweifel verwenden Sie lieber einen getrennten Login mit einem sicheren Passwort. Eine oft zu wenig beachteter Bestandteil von Datenschutz ist der Datenzugriff innerhalb des Unternehmens. Nur weil man einem Unternehmen den Zugriff auf bestimmte Daten gegeben hat, bedeutet das noch lange nicht, dass Mitarbeitende des Unternehmens ebenfalls Zugriff haben sollen. Wir stellen sicher, dass Mitarbeitende nur Zugriff auf die Kundendaten haben, die er oder sie für die Arbeit benötigt.