rechtliche anforderungen an die vermarktung von wearables ... · wearables und gesundheitsapps...
TRANSCRIPT
Rechtliche Anforderungen an die Vermarktung von
Wearables und Gesundheitsapps
Delia Fehr-Bosshard, Associate Elias Mühlemann, Associate
Das "Internet der Dinge" ("Internet of
Things", "IoT"), d.h. die Ergänzung des Com-
puters um netzwerk- und kommunikationsfä-
hige, "intelligente" Gegenstände, hat die
Lifestyle- und Gesundheitsbranche erreicht:
Bereits verbreitet sind mobile Geräte und
Softwareapplikationen welche die Fitness des
Nutzers, seine Anzahl Schritte, die Intensität
der Bewegungen, den Schlafrhythmus, den
Herzschlag und den Puls, seinen Blutdruck,
Blutzucker oder andere Werte zur körperli-
chen Aktivität und gesundheitlichen Verfas-
sung messen, auswerten und mit Drittgerä-
ten kommunizieren. "Wearables", d.h. trag-
bare Kleinstcomputer, die in der Regel lose
befestigt sind am menschlichen Körper (z.B.
smart watches wie die "Apple Watch", Fit-
nesstracker etc.) und die entsprechende
Software (z.B. "Apple Health") richten sich
als Angebote der "Mobile Health" längst nicht
mehr nur an medizinische Fachpersonen,
sondern zunehmend auch an den privaten
Anwender und interessierte Drittanbieter.
Bei der Vermarktung von Wearables und
Apps stellen sich unter Schweizer Recht ins-
besondere folgende Herausforderungen:
1. Hard- und Software können an der
Grenze zwischen Fitness und Medizin
je nach Zweckbestimmung und Be-
werbung als Medizinprodukte der
Heilmittelregulierung unterstehen –
mit Folgen für das Inverkehrbringen
und die Bewerbung.
2. Die Geräte und Programme sammeln
und übermitteln regelmässig Perso-
nendaten und insbesondere beson-
ders sensitive Gesundheitsdaten, was
der Datenschutzregulierung unter-
liegt.
Wearables und Gesundheitsapps als Me-
dizinprodukte
Als Medizinprodukt gelten unter Schweizer
Recht z.B. Instrumente, Apparate, Vorrich-
tungen, Software und andere Geräte, die für
die medizinische Verwendung beim Menschen
bestimmt sind oder entsprechend angeprie-
sen werden, welche aber die Hauptwirkung
nicht durch ein Arzneimittel erzielen (Art. 4
Abs. 1 lit. b Heilmittelgesetz, HMG; Art. 1
Abs. 1 Medizinprodukteverordnung, MepV).
Medizinprodukte können dazu dienen Krank-
heiten, Verletzungen oder Behinderungen zu
erkennen, zu überwachen, zu behandeln oder
zu lindern. Sie können auch die Prävention
von Krankheiten bezwecken. Andere Medi-
zinprodukte untersuchen oder verändern den
anatomischen Aufbau, ersetzen Teile davon
oder einen physiologischen Vorgang. Auch
Produkte zur Empfängnisregelung oder für
Diagnosen zur Empfängnis gelten als Medi-
zinprodukte (z.B. Art. 1 Abs. 1 lit. c MepV).
Wearables und Apps müssen dabei auch in
ihrer Einheit betrachtet werden: Software
kann zwar als eigenständiges Medizinprodukt
gelten (Art. 4 Abs. 1 lit. a MepV i.V.m. An-
hang IX, Ziff. I.1.4 Richtlinie 93/42/EWG).
Wenn die Software ein Produkt steuert oder
dessen Anwendung beeinflusst, folgt sie in
der Klassifizierung aber diesem Hauptprodukt
2
(Art. 4 Abs. 1 lit. a MepV i.V.m. Anhang IX,
Ziff. I.2.3 Richtlinie 93/42/EWG). Die Zweck-
bestimmungen und Einordnung von Wearab-
les und Apps können sich damit gegenseitig
beeinflussen. Mögliche Einteilungskriterien
und Beispiele hat unser Kollege Christian
Wyss zusammengestellt.
Die Qualifikation als Medizinprodukt hat Fol-
gen für das Inverkehrbringen und die Bewer-
bung: Für das erstmalige Inverkehrbringen
eines Medizinproduktes sind Konformitätsbe-
wertungsverfahren und allenfalls eine Mel-
dung an das Schweizerische Heilmittelinstitut
"Swissmedic" notwendig (Art. 6 und 8 MepV).
Der Inverkehrbringer muss Massnahmen der
Selbstkontrolle ergreifen (Art. 14 ff. MepV).
Weiter gelten für Medizinprodukte besondere
Anforderungen (z.B. Spracherfordernisse) an
die Produktinformation (Art. 7 MepV) und die
Werbung (Art. 21 MepV): Hinweise zur An-
wendung, Leistungsfähigkeit und Wirksam-
keit auf dem Produkt oder in der Werbung
sind auf die in der Produktinformation enthal-
tenen Angaben beschränkt (Art. 21 Abs. 1
Mepv). Für gewisse Medizinprodukte – wohl
kaum je die populären Fitnesstracker und
ähnliche Wearables oder Apps – ist die Publi-
kumswerbung unzulässig (Art. 21 Abs. 3
MepV).
Der Hersteller hat ein weites Ermessen, ob er
seinem Produkt eine Zweckbestimmung als
Medizinprodukt verleihen möchte oder nicht.
Da viele Wearables und Apps mehreren Zwe-
cken dienen, ist eine abstrakte Einteilung in
Lifestyle- bzw. Fitnessapps oder Medizinpro-
dukt oft nicht eindeutig. Umso wichtiger ist
die Art und Weise der Vermarktung und Be-
werbung. Nur Medizinprodukte dürfen näm-
lich mit dem medizinischen Zweck werben.
Umgekehrt deutet eine Bewerbung des medi-
zinischen Effekts oder Nutzens darauf hin,
dass der Hersteller für die entsprechenden
Wearables oder Apps den medizinischen
Zweck als vorherrschend erachtet und sein
Produkt daher selbst als Medizinprodukt an-
sieht. Die Swissmedic stützt sich vor allem
bei Grenzfällen darauf ab, ob der Hersteller
oder Inverkehrbringer das Produkt mit einer
medizinischen Zweckbestimmung anpreist
oder nicht. Die Bewerbung einer App in einer
besonderen "Medical"-Abteilung oder die Be-
zeichnung von Wearables als "Diagnostic De-
vice" etc. erhöhen damit das Risiko einer un-
beabsichtigten Qualifikation als Medizinpro-
dukt. Dem Hersteller und Inverkehrbringer
empfehlen wir daher, frühzeitig zu entschei-
den, ob das eigene Produkt einen medizini-
schen oder nur fitnessbezogenen Nutzen stif-
ten soll. Die Produkteinformation und Werbe-
anpreisungen sind in der Folge entsprechend
auf diese Vermarktungsstrategie als Medizin-
oder Lifestyle-/Fitnessprodukt auszurichten.
Datenschutz und Datensicherheit bei
Wearables und Gesundheitsapps
Das Schweizer Datenschutzrecht und andere
anwendbare nationale und regionale Daten-
schutzregulierungen greifen dann, wenn Per-
sonendaten erhoben oder bearbeitet werden,
d.h. Daten, die sich auf eine bestimmte oder
bestimmbare Person beziehen (Art. 3 lit. a
Datenschutzgesetz, DSG). Bestimmbar
meint, dass die Daten zumindest theoretisch
mit verhältnismässigem Aufwand einer Per-
son zugeordnet werden können, was z.B.
auch bei pseudonymisierten Daten weiterhin
möglich ist, solange ein Zuordnungsschlüssel
existiert. Nicht jedes IoT-Gerät übermittelt
Nutzerdaten, zumindest nicht in personali-
sierter Form. Das Sammeln und Auswerten
von identifizierbaren Nutzerdaten (z.B. ver-
knüpft mit Name, E-Mail-Adresse, Wohnort
etc.) ist aber regelmässig zentrale Voraus-
setzung, um die Vernetzung und Funktionali-
tät der Wearables oder jeder anderen ge-
sundheitsfokussierten IoT-Anwendung si-
cherzustellen. Vor allem wenn das Gerät oder
die App auf den Nutzer zugeschnittene Aus-
wertungen erstellen und unter Umständen
auch Dritten (z.B. einem Arzt, einer Physio-
therapeutin, einem Ernährungsberater, ei-
nem Personal Trainer) überliefen soll, ist die
Sammlung und Bearbeitung von identifizier-
baren Personendaten unumgänglich.
3
Die gesammelten Fitness- und medizinischen
Daten sind regelmässig auch von enormem
kommerziellem Interesse für Dritte. Daten
zur Gesundheit gelten in der Schweiz als be-
sonders schützenswerte Daten (Art. 3 lit. c
DSG). Für die Bearbeitung und die Weiterga-
be solcher Daten ist eine ausdrückliche Ein-
willigung zwingend (Art. 4 Abs. 5 DSG). Die
rechtsgültige Einwilligung des Nutzers setzt
voraus, dass er vorab umfassend über den
Zweck der Datenverarbeitung und den Emp-
fängerkreis informiert wurde (Art. 4 DSG).
Der Nutzer stellt die Daten in der Regel
selbst zur Verfügung. In der Praxis sind sich
jedoch die wenigsten Nutzer bewusst, wohin
die Daten aus ihrer Gesundheitsapp fliessen
und welche zusätzlichen Bearbeitungen erfol-
gen können. Eine seitenlange Datenschutzer-
klärung liest kaum jemand, schon gar nicht
auf einem mobilen Gerät mit entsprechend
kleinem Bildschirm. Auch wenn dabei an die
Eigenverantwortung der Nutzer zu appellie-
ren ist, sind auch die Anbieter zunehmend
gefordert, ihre Datenschutzkommunikation
ähnlich attraktiv wie ihre Werbung zu gestal-
ten und die Wahrnehmung der Kontrollme-
chanismen für die Nutzer zu vereinfachen.
Vielfach sind die Nutzerdaten nicht nur auf
dem Gerät selbst gespeichert, sondern wer-
den von der App in eine Cloud oder einen ex-
ternen Dienst übertragen. Diese Drittspei-
cherorte liegen oft nicht nur ausserhalb des
Einflussbereichs des Nutzers, die Server sind
zudem physisch meist nicht in der Schweiz
angesiedelt. Für einen Transfer von Perso-
nendaten ins Ausland gelten nach Schweizer
Datenschutzrecht besondere Voraussetzun-
gen, sofern das Ausland kein vergleichbares
Datenschutzniveau kennt. Gemäss gelten-
dem Recht sind z.B. vertragliche Garantien
oder eine explizite Einwilligung des Nutzers
notwendig.
Auch ist der Bearbeiter gehalten, geeignete
organisatorische und technische Massnahmen
zu ergreifen, um die sensiblen Gesundheits-
daten – und generell alle Personendaten –
vor unberechtigtem Zugriff und Verwendung
zu schützen (Art. 7 DSG). Geräte- und Soft-
wareanbieter sowie Bearbeiter von Gesund-
heitsdaten müssen sich bewusst sein, dass
der Missbrauch dieser Daten für die Betroffe-
nen enormes Schädigungspotenzial haben
kann. Da auch Spitäler, Ärzte und Versiche-
rungen involviert sein können, drohen neben
hohen Reputationsrisiken auch finanzielle
Schäden (z.B. aufgrund vertraglicher Zusi-
cherungen) im Falle von Datenlecks und Da-
tenmissbrauch ("Data Breaches").
Die regulatorischen Anforderungen an die In-
formation, Transparenz und Einwilligung der
Nutzer sowie die Datensicherheit (inklusive
Meldung von Datenlecks und Datenschutz-
verletzungen) steigen in absehbarer Zeit so-
wohl in der EU als auch in der Schweiz. Neue
regulatorische Vorstösse bezwecken auch
den besonderen Schutz von Gesundheitsda-
ten. Anbieter von Fitness- und Gesundheits-
apps und Wearables sind gut beraten, ihre
Datenströme und Schutzmassnahmen proak-
tiv zu überdenken sowie kreative Lösungen
für eine wirksame Information der Nutzer zu
finden.
Wearables und Apps unterliegen steigenden
regulatorischen Anforderungen. VISCHER AG
unterstützt Sie bei Ihrer Strategie der Ver-
marktung von Hard- und Software im Fit-
ness- und Gesundheitsbereich.