IT-Recht: Apps – darauf gilt es zu achten

29 März, 2022 - 09:32
Dr. Andreas Staufer und Kristin Kirsch
Symbolbild Apps: Handysicherheit

Apps können das Arbeiten einfacher machen. Sie sind meist schnell zur Hand, umfassen Werte und Tabellen, visualisieren Zusammenhänge, erinnern an Maßnahmen und können vieles mehr. Auch lassen sich Apps verhältnismäßig einfach erstellen. Doch gilt es dabei, einiges zu beachten.

Jeder kennt die Abkürzung App. Sie steht für Applikation und ist eine Programmroutine, die auf einer meist mobilen Hardwareplattform ausgeführt wird. Apps sind Anwendungen ohne eine systemrelevante Funktionalität. Sie existieren als native App für bestimmte Betriebssysteme und Hardwareplattformen, aber auch webbasiert (Web-Apps), optimiert für eine plattformübergreifende Anwendung. Apps werden üblicherweise über einen der digitalen Märkte, die App-Stores, erworben, heruntergeladen und unkompliziert auf dem Gerät installiert. Neben kostenfreien sowie daten- und werbefinanzierten Angeboten gibt es auch Kauf- und Mietvarianten.

Bei der Auswahl von Apps sollte man auf die zahlreichen Erwerbsvarianten und die Lizenzierung achten. Auch wenn gesetzliche und unternehmensinterne Regelungen versuchen, dies zu verhindern, gibt es doch noch die eine oder andere Abofalle. Zudem können sich Lizenzen für den privaten und den beruflichen Gebrauch unterscheiden. Eine zweckfremde Nutzung könnte rechtlich verfolgt werden.

App-Hersteller muss vertrauenswürdig sein

Auch wenn Apps keinen systemrelevanten Bezug haben, ist darauf zu achten, dass der Hersteller und die App vertrauenswürdig sind. Apps können in Abhängigkeit von der Programmierung und den Einstellungen auf vorhandene Daten wie Kontakte zugreifen oder über die Hardware selbst Daten erheben. Das können nicht nur Angaben zum Gerät, zum Standort und zu besuchten Websiten sein, sondern auch zu Bild- und Tonaufzeichnungen, Bank- und Finanzdaten, Gesundheitsdaten wie der Anzahl der Schritte, dem Puls, der Lautstärke, der Temperatur oder Daten benachbarter sowie verbundener Geräte.

Damit einher gehen Bedenken zum Datenschutz und zur Datensicherheit. Nicht nur im Krankenhaus ist es daher sinnvoll, die Verwendung nicht freigegebener Apps mit dem Arbeitgeber und gegebenenfalls mit dem Datenschutzbeauftragten abzustimmen. Zu groß ist die Gefahr, dass Patientendaten ungewollt auf Server außerhalb der Europäischen Union landen oder an Dritte übermittelt werden.

Vorsicht bei der Entwicklung eigener Apps

Auch bei der Entwicklung eigener Apps ist Vorsicht geboten: Aus gutem Grund verlangt die Datenschutzgrundverordnung, die Grundsätze von Privacy by Design und Privacy by Default zu beachten. Bereits zum Zeitpunkt der Planung sind technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der Daten zu gewährleisten. Die Konfiguration muss von Anfang an datenschutzfreundliche Voreinstellungen enthalten. Überhaupt sind bei der Entwicklung eigener Apps typische Fallstricke zu vermeiden. Eine fehlerhafte Datenverarbeitung kann nicht nur den Wert der App drastisch reduzieren, sie kann auch spürbare Geldbußen sowie Schadenersatzforderungen nach sich ziehen.

Nicht selten streiten sich App-Anbieter und Programmierer über die Nutzung einer App, ihre Vermarktung und die Urheberrechte oder auch die Haftung im Schadensfall. Unklarheiten lassen sich im Vorfeld reduzieren, indem man einen professionellen Vertrag gestaltet. Unkenntnis diesbezüglich gibt es selbst in Arbeitsprojekten und Forschungsprojekten an den Universitäten. Wenn ein App-Anbieter beabsichtigt, Einkünfte zu erzielen, muss er nicht nur steuerliche Auswirkungen und Gestaltungsmöglichkeiten vorab klären, sondern er muss auch subventionsrechtliche Fragen abklären, will heißen, die Gefahr der Rückforderung von Fördermitteln. Wenn es um die spätere Verbreitung und die Vermarktung geht, lauern weitere Risiken, von Fehlern in der mit den Kunden vereinbarten Beschreibung über die Vertragsbedingungen bis hin zur Datenschutzerklärung oder einer etwaigen Einwilligung. Letztlich darf der Anbieter die fertige App nicht mit unlauteren oder anderweitig gesetzlich untersagten Aussagen bewerben.

Anbieter kann für Schaden haften

Ein Konzept ist daher sinnvoll. Bereits in der Planungsphase sollte der Anbieter Ziele, Funktionen, Nutzung sowie das Marktumfeld abstecken. Anschließend ist über das Appdesign nachzudenken, also die optische Gestaltung (UI) und die Nutzerfreundlichkeit (UX). Dann geht es an die Programmierung und ans Testen. Selbst wenn man zu Beginn meist noch so schön im Flow ist: Die Erfahrung lehrt, bereits im Vorfeld die rechtlichen Grenzen eindeutig abzustecken.

Selbst bei unentgeltlichen Apps kann der Anbieter gegenüber den Nutzern für Schaden haften. Daher bietet es sich an, Haftungsrisiken zu reduzieren. Von der Gründung einer haftungsbeschränkten Gesellschaft über vertragliche Gestaltungsmöglichkeiten auch gegenüber den App-Entwicklern bis hin zur Versicherung ist vieles möglich und sinnvoll.

Klassifizierung von Gesundheits-Apps

Im Gesundheitswesen eingesetzte Apps sind gegebenenfalls als Medizinprodukte zu klassifizieren. Dabei kommt es allerdings auf die Zweckbestimmung und damit die Angaben des Herstellers an. Er muss eindeutig festlegen, ob seine App für einen bestimmten medizinischen Zweck bestimmt ist. Der Zweck kann sich dabei auch aus Werbeaussagen oder der Gebrauchsanleitung ergeben. Selbst Software, die der Vorhersage oder Prognose von Krankheiten dient, kann als Medizinprodukt einzustufen sein. Damit einher gehen vor allem gesetzliche Vorgaben für das Inverkehrbringen. Diese sind zwingend bereits in der Entwicklungsphase zu berücksichtigen.

Vorsicht ist geboten bei der Klassifizierung der Gesundheits-Apps innerhalb der verschiedenen Klassen. Die Medizinprodukteklassen haben sich mit der Einführung der Medizinprodukteverordnung (MDR) geändert. Es kann erforderlich sein, ein je nach Art der Klassifizierung unterschiedlich intensives Konformitätsbewertungsverfahren zu durchlaufen. Apps ohne herstellerseitige, medizinische Zweckbestimmung sind dagegen keine Medizinprodukte, selbst wenn die App im Gesundheitswesen Anwendung findet. Dennoch sollten Hersteller nicht versuchen, das Medizinprodukterecht zu umgehen.

Dtsch Arztebl 2022; 119(13): [2]

Die Autoren

Dr. Andreas Staufer, Fachanwalt für Medizinrecht, Fachanwalt für IT-Recht
Kristin Kirsch, Rechtsanwältin
FASP Finck Sigl & Partner
80336 München

Das könnte Sie auch interessieren: