Datenschutz bei Kaia Health

Datenschutz ist in der Welt der digitalen Gesundheitsanwendungen (DiGA) extrem wichtig und streng reguliert. Es gibt sehr genaue Vorgaben, an die wir uns als Hersteller von digitalen Medizinprodukten halten müssen, um überhaupt als DiGA zertifiziert zu werden.

Wer eine DiGA nutzt, muss sich sicher sein können, dass die Hersteller die gesetzlichen Vorgaben zum Datenschutz beachten, sorgsam mit den Daten umgehen und zuverlässige Maßnahmen zum Schutz von Vertraulichkeit, Verfügbarkeit und Integrität der Patient:innendaten umsetzen.

Welche Verordnungen gibt es?

Entsprechende Vorgaben finden sich in der Datenschutz-Grundverordnung (DSGVO) und werden von der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) ergänzt. Die DSGVO ist ein europäisches Datenschutzgesetz, das den Schutz personenbezogener Daten in der Europäischen Union regelt. Die DSGVO legt fest, dass Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, klare Zustimmung von den betroffenen Personen einholen und transparent über die Art und Weise der Datenverarbeitung informieren müssen.

Gesundheitsdaten stellen eine nach DSGVO schützenswerte Kategorie der personenbezogenen Daten dar. Deshalb sind die offiziellen Datenschutzverordnungen so wichtig für Kaia Health als Hersteller digitaler Medizinprodukte.

Welche Daten dürfen wir erheben?

Ganz spezifisch dürfen DiGA laut DiGAV nur Daten für folgende Zwecke erheben:

• zum bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer:innen, zum Beispiel Registrierungsdaten
• zum Nachweis positiver Versorgungseffekte, zum Beispiel im Rahmen einer Studie
• zur Nachweisführung für Vergütungsvereinbarungen
• zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung – diese Daten erheben wir optional und nur nach expliziter Einwilligung unserer Nutzer:innen

Was genau ist eine Einwilligung und wofür braucht man die?

Eine Einwilligung (auf Englisch: Consent) erfolgt beispielsweise bei der Installation einer neuen App, sobald eine Person freiwillig und unmissverständlich vor der Installation zustimmt, dass ein Datenverantwortliche, zum Beispiel Kaia Health, ihre personenbezogenen Daten für bestimmte Zwecke speichert und verarbeitet. Bei Kaia ist es so gelöst, dass Nutzer:innen bei der Registrierung eine Checkbox abhaken müssen, um ihren Consent zu geben.

Wie handhaben wir das bei Kaia?

Um mit unseren Apps Kaia COPD und Kaia Rückenschmerzen in das DiGA-Verzeichnis aufgenommen zu werden, musste Kaia Health genau dokumentieren, dass wir die datenschutzrechtlichen Vorgaben der DSGVO und DiGAV erfüllen.

Wenn wir Daten erheben, unterscheiden wir zwischen zwei verschiedenen Zwecken. Zum einen gibt es Zwecke, ohne deren Consent die Nutzung einer DiGA gar nicht möglich wäre. Zum Beispiel verarbeiten wir die E-Mail Adresse der Nutzer:innen bei der Registrierung, damit wir ein Nutzerkonto bereitstellen können. Zum anderen gibt es Zwecke, denen Nutzer:innen freiwillig und optional zustimmen können.

Daten zur Verbesserung der Anwendung beispielsweise, gehen über den bestimmungsgemäßen Gebrauch hinaus und werden bei der Nutzung von Kaia ausschließlich erhoben und verarbeitet, wenn Nutzer:innen optional einwilligen.

Wer verarbeitet unsere Daten?

Wo wir als DiGA-Hersteller Daten speichern und mit welchen Tools wir sie verarbeiten, spielt ebenfalls eine wichtige Rolle beim Datenschutz. Zum Beispiel wird der Speicherplatz für unsere Daten nur von Servern in der Europäischen Union bereitgestellt.

Das Informationssicherheits-Managementsystem von Kaia ist nach ISO 27001 zertifiziert und wird regelmäßig von unabhängigen Dienstleistern auf Sicherheitslücken geprüft. Diese Zertifizierung ist eine weltweit anerkannte Norm und drückt aus, dass die Vertraulichkeit und Sicherheit von Informationen gewährleistet ist.

In ausgewählten Fällen arbeiten wir mit externen Anbietern zusammen, etwa um die Abrechnung der Vergütung durch die Krankenkassen zu ermöglichen. Zusätzlich nutzen wir Tools, zum Beispiel, um unseren Nutzer:innen eine E-Mail schicken zu können oder die Stabilität der digitalen Anwendung zu messen. Die Weitergabe an Drittanbieter zu Werbezwecken ist ausgeschlossen.

Fazit: 
Datenschutz ist in unserer Branche ganz groß geschrieben, und bei sensiblen Gesundheitsdaten ist das auch richtig so. Wer es ganz genau wissen will, findet alle Details in unserer Datenschutzerklärung, der jede:r Nutzer:in bei der Registrierung zustimmen kann.