Kleine Anfrage der Abg. Löber (SPD) vom 11.04.2016 betreffend rechtlicher Schutz für die mit Hilfe von Fitnessarmbändern gesammelten persönlichen Daten und Antwort der Ministerin für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz Vorbemerkung der Ministerin für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz : Computeranwendungen zur digitalen Selbstvermessung erfreuen sich wachsender Beliebtheit. Quantified-Self-, Lifestyle-, Live-Tracker- oder Selftracking-Apps werden u.a. zur Trainingskontrolle und Steigerung der Motivation genutzt. Die digitale Protokollierung des eigenen Lebens erfährt mit dem Trend, Menschen zur Optimierung des eigenen Körpers mit Hilfe von technischen Geräten und vor allem von Apps zu motivieren, eine neue Qualität. Diese neuen Möglichkeiten haben hinsichtlich des Präventionsgedankens ein positives Potenzial. Diese Form der digitalen Selbstvermessung stellt aber auch den Verbraucherschutz vor neue Herausforderungen . Denn gerade bei dieser Art der elektronischen Selbstvermessung fließen Daten in Strömen und führen zur Erfassung und Auswertung persönlicher gesundheitsbezogener Daten. Die Landesregierung erkennt in mobilen Informations- und Kommunikations-Technologien und -Anwendungen ein besonderes Potenzial für eine hochwertige flächendeckende und patientennahe Gesundheitsversorgung. Gleichzeitig sieht sie aber in der Verbreitung solcher Geräte und Anwendungen auch erhebliche Risiken im Hinblick auf die Erhebung und weitere Verwendung der Gesundheitsdaten. Diese Vorbemerkung vorangestellt, beantworte ich die Kleine Anfrage im Einvernehmen mit dem Hessischen Minister für Soziales und Integration und nach Rückmeldung des Hessischen Datenschutzbeauftragten wie folgt: Frage 1. Gibt es bereits rechtliche Rahmenbedingungen und Richtlinien, welche die Sicherheit persönlicher Nutzerdaten garantiert? Wenn ja, was sehen diese vor? Personenbezogene Daten unterliegen dem Schutz des Grundrechts auf informationelle Selbstbestimmung (Artikel 2 Absatz 1 i.V.m. Artikel 1 Absatz 1 des Grundgesetzes). Es gibt in Deutschland neben dem Bundesdatenschutzgesetz (BDSG) noch eine Reihe von Spezialgesetzen , die die Rechte der Verbraucherinnen und Verbrauchern im Bereich des Datenschutzes sicherstellen sollen. Hier zu nennen ist das Telemediengesetz, das Telekommunikationsrecht , das Melderecht oder das Sozialrecht. Derzeit gibt es keine spezialgesetzlichen Regelungen über die Nutzung von Fitnessarmbändern oder sog. Fitnesstrackern. Soweit das Bundesdatenschutzgesetz zur Anwendung kommt, ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur nach vorheriger, ausdrücklicher Einwilligung zulässig , die an den Voraussetzungen des § 4a BDSG zu messen ist. Die Einwilligung ist nach § 4a Abs. 1 BDSG nur wirksam, wenn sie auf der freien Entscheidung der Betroffenen beruht und nach einer vollständigen und verständlichen Information erfolgt. Soweit die Speicherung, Nutzung und Verarbeitung erhobener Daten nicht in Deutschland stattfindet , kann keine Aussage über die Sicherheit der personenbezogenen Daten getroffen werden. Wenn der Anbieter der Anwendung in einem anderen Mitgliedstaat der Europäischen Union oder im EWR sitzt, gilt das sog. Sitzlandprinzip (§ 1 Abs. 5 S. 1 BDSG) mit der Folge, dass Eingegangen am 12. Juli 2016 · Bearbeitet am 13. Juli 2016 · Ausgegeben am 15. Juli 2016 Herstellung: Kanzlei des Hessischen Landtags · Postfach 3240 · 65022 Wiesbaden · www.Hessischer-Landtag.de Drucksache 19/3283 12. 07. 2016 19. Wahlperiode HESSISCHER LANDTAG 2 Hessischer Landtag · 19. Wahlperiode · Drucksache 19/3283 das jeweils dort geltende Datenschutzrecht zur Anwendung kommt. Ist dies nicht der Fall, gilt nach § 1 Abs. 5 S. 2 BDSG ebenfalls deutsches Datenschutzrecht, wenn Daten mittels einer App in Deutschland erhoben werden, wobei die Durchsetzung der Rechte fraglich ist. Die voraussichtlich ab Mitte 2018 anwendbare EU-Datenschutz-Grundverordnung unterstreicht dieses Verbot mit Erlaubnisvorbehalt. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist danach auch weiterhin grundsätzlich verboten. Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder die Betroffenen in die Verarbeitung ihrer Daten eingewilligt haben. Ebenso wird die freiwillige informierte Einwilligung des Betroffenen, die Grundsätze der Zweckbindung, Transparenz und Datensparsamkeit hervorgehoben. Sie stellt insbesondere klar, dass vorformulierte Erklärungen verständlich und in einfacher Sprache formuliert sein müssen. Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung ist in Europa ein einheitliches, hohes Schutzniveau gegeben. Frage 2. Ist es Firmen und Anbietern solcher Armbänder gestattet Informationen ihrer Nutzer an andere Firmen weiterzuleiten oder zu erkaufen? Am Körper getragene Kleincomputer - wie etwa Fitnessarmbänder und Gesundheits-Apps - unterliegen in Deutschland generell den Datenschutzbestimmungen. Grundsätzlich ist es Firmen und Anbietern von Fitnessarmbändern gestattet, Informationen ihrer Nutzer an andere Firmen weiterzuleiten oder zu erkaufen, wenn sie dafür eine wirksame und informierte Einwilligung oder eine gesetzliche Rechtsgrundlage haben. Soweit keine gesetzliche Ermächtigung vorliegt, ist die Nutzung personenbezogener Daten nur im Umfang der Einwilligung zulässig. Da es sich bei Gesundheitsdaten um besondere Daten i.S.d. § 3 Abs. 9 BDSG handelt, ist eine Nutzung ohne Einwilligung nur unter den strengen Voraussetzungen des § 28 Abs. 6 BDSG zulässig. Frage 3. Wie bewertet die Landesregierung die Möglichkeit der Firmen via Fitnessarmbänder auf persönliche Nutzerdaten zuzugreifen, diese abzuspeichern, an Dritte weiterzugeben und/oder zu verkaufen ? Bei den von Wearables und Gesundheits-Apps verarbeiteten Informationen handelt es sich um hochsensible personenbezogene Daten von erheblichem kommerziellem Wert für viele Branchen . Daher besteht grundsätzlich ein erhebliches Missbrauchspotenzial. Mit der zunehmenden Vernetzung von Geräten und der Weiterentwicklung der technischen Möglichkeiten wird sich der Trend zum Sammeln und Weiterverarbeiten von Gesundheitsdaten noch verstärken. Dabei führt die digitale Selbstvermessung zu neuen Herausforderungen an den Datenschutz. Besonderes Augenmerk ist auch auf minderjährige Nutzerinnen und Nutzer derartiger Anwendungen zu legen. Die erhobenen Daten sind nicht nur für den eigentlichen Dienstanbieter von Interesse, sondern wecken unter Umständen auch Begehrlichkeiten Dritter, wie Werbeunternehmen, Krankenkassen oder Versicherungen. Ebenso besteht immer ein gewisses Risiko durch Angriffe auf die technische Infrastruktur des Anbieters, so dass geraubte Daten dadurch in die falschen Hände geraten können. Frage 4. Sind der Landesregierung Fälle von Verkauf oder Weitergabe von Nutzerdaten, z.B. an Versicherer , bekannt? Der Landesregierung liegen hierzu keine validen Kenntnisse vor. Frage 5. Wie bewertet die Landesregierung das Problem der, als unsicher geltenden Übertragungsweg der Messwerte, z.B. via Bluetooth, von Fitnessarmband zu Smartphone, die von Dritten direkt und unbemerkt aufgegriffen werden könnten? Die Landesregierung sieht diesen Zustand als problematisch an. Vor allem die Tatsache, dass nur ein Bruchteil der Datentransfers über eine verschlüsselte Verbindung geschieht und damit Sicherheitslücken bestehen, ist bedenklich. Die von Wearables und Apps erfassten Daten werden in einer Cloud gespeichert, womit der Nutzer eine weitere, von ihm nicht gewollte Verwendung nicht kontrollieren kann. Dies ist nur dann unbedenklich, wenn vom Anbieter entsprechende Schutz– und Datensicherheitsmaßnahmen im Hinblick auf die abgelegten Daten getroffen werden, sodass ein Zugriff von anderer Stelle nicht möglich ist. Nutzerinnen und Nutzer erkennen zudem häufig gar nicht, dass bzw. in welchem Umfang sie sich durch das Akzeptieren der Datenschutzerklärungen und Nutzungsbedingungen der Hoheit über ihre Daten entledigt haben , da die entsprechenden Formulierungen komplex und verklausuliert sind. Ebenso wenig sind die Profilbildungsprozesse im Rahmen der Big Data-Auswertungen transparent und nachvollziehbar . Es bedarf in diesem Bereich einer sicheren IT-Infrastruktur. Bei der technischen Hessischer Landtag · 19. Wahlperiode · Drucksache 19/3283 3 Sicherheit sollte insbesondere die drahtlose Übertragung von Daten, zum Beispiel zwischen Fitness -Armband und einem Smartphone, verschlüsselt erfolgen. Zudem sollten sich die Geräte untereinander eindeutig identifizieren und authentifizieren, um zu verhindern, dass Daten einfach abgegriffen werden können. Wearables und Gesundheits-Apps müssen sicher gegen Manipulation und Hacker-Angriffe und sicher vor Datenverlust und Übertragungsstörungen sein. Frage 6. Wie wird sich die Landesregierung auf Landes- sowie Bundesebene dafür einsetzen die Interessen und Rechte der Verbraucher, a) den Datenschutz generell und b) die individuelle Auswertung zum Nachteil der Verbraucher und zum Erhalt eines solidarischen Gesundheitswesens gegenüber Herstellerfirmen und Versicherern zu schützen? Wenn nein, warum nicht? Die Landesregierung ist in dieser Hinsicht bereits aktiv. Das Ministerium für Umwelt, Klimaschutz , Landwirtschaft und Verbraucherschutz hat sich auf der diesjährigen Verbraucherschutzministerkonferenz für mehr Qualität und Datenschutz bei Wearables und Gesundheits- Apps eingesetzt und einen entsprechenden Antrag unterstützt. Der Antrag wurde einstimmig auf der Verbraucherschutzministerkonferenz angenommen. Die Bundesregierung soll demnach zeitnah effektive Maßnahmen auf nationaler und europäischer Ebene ergreifen und dabei auch absehbare zukünftige Entwicklungen berücksichtigen. Aus Sicht des Ministeriums für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz bedarf es in diesem Bereich strenger, transparenter und überprüfbarer Mindestkriterien für die Qualität und Leistungsfähigkeit von Geräten und Anwendungen auf dem Markt der mobilen Gesundheitstechnologien . An die Verwendung von durch Wearables und Gesundheits-Apps erfassten Daten sollten zudem höchste Schutzanforderungen insbesondere nach den Grundsätzen der Datensparsamkeit, der informierten Einwilligung, des Datenschutzes durch Technik, datenschutzfreundlicher Voreinstellungen und der Zweckbindung geknüpft werden. Verbraucherinnen und Verbrauchern dürfen außerdem durch die Erhebung und weitere Verwendung von Gesundheitsdaten keine Nachteile bei Versicherungen und Verträgen entstehen. Zudem erfolgt auf Landesebene wichtige Aufklärung in Form von Information und Beratung in diesem Bereich durch die Verbraucherzentrale Hessen und das DHB-Netzwerk Haushalt Hessen , die vom Ministerium für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz zur Wahrnehmung ihrer Aufgaben eine institutionelle Förderung erhalten. Wiesbaden, 11. Juli 2016 Priska Hinz