Am 17. Mai 2023 hat die Federal Trade Commission („FTC“) angekündigt eine Durchsetzungsklage („Durchsetzungsklage“) gegen die in Illinois ansässige Easy Healthcare Corporation („Easy Healthcare“), die die Premom-Anwendung betreibt, wegen angeblicher Verletzung von Abschnitt 5 des FTC Act und der Health Breach Notification Rule („HBNR“). Easy Healthcare hat eine mobile Anwendung namens Premom Ovulation Tracker („Premom“) entwickelt, beworben und vertrieben, mit der Benutzer verschiedene Arten von persönlichen und Gesundheitsinformationen eingeben und verfolgen können. In der Beschwerde („Beschwerde“) behauptet die FTC, dass Easy Healthcare Benutzer getäuscht habe, indem es sensible Gesundheitsdaten der Benutzer an Dritte weitergegeben habe, und es unter Verstoß gegen die HBNR versäumt habe, Verbraucher über diese unbefugte Offenlegung zu informieren. Die vorgeschlagene Anordnung („Vorgeschlagene Anordnung“), die vom US-Justizministerium im Namen der FTC eingebracht wurde, sieht unter anderem eine zivilrechtliche Strafe von 100.000 US-Dollar vor und verbietet Easy Healthcare unter anderem, personenbezogene Gesundheitsdaten von Benutzern zu Werbezwecken an Dritte weiterzugeben . Im Rahmen einer entsprechenden Maßnahme hat sich Easy Healthcare bereit erklärt, weitere 100.000 US-Dollar an zu zahlen ConnecticutDie District of Columbiaund Oregon wegen Verstößen gegen ihre jeweiligen Gesetze.
Die jüngste Durchsetzungsklage gegen Premom folgt den jüngsten FTC-Klagen gegen GoodRx Holdings, Inc. wegen Verstoßes gegen Abschnitt 5 des FTC-Gesetzes und des HBNR BetterHelp, Inc. wegen Verstoßes gegen Abschnitt 5 des FTC-Gesetzes, der offenbar Teil einer größeren Anstrengung der FTC ist, die Praktiken von Websites, Apps und verbundenen Geräten zu überwachen, die sensible Gesundheitsinformationen von Verbrauchern erfassen. Die Aktion signalisiert auch, dass die FTC im Zuge der Pandemie die Nutzung von Daten zur reproduktiven Gesundheit durch Unternehmen, insbesondere bei Menstruationszyklus- und Fruchtbarkeitsanwendungen, ins Rampenlicht rückt Dobbs vs. Jackson Frauengesundheitsorganisation („Dobbs“) Entscheidung.
Die Beschwerde
Entsprechend der BeschwerdeDie FTC behauptet, dass Easy Healthcare zwischen 2017 und 2020 Premom-Benutzern in seinen Datenschutzrichtlinien wiederholt und fälschlicherweise versprochen habe, dass (1) Gesundheitsinformationen nicht ohne Wissen oder Zustimmung der Benutzer an Dritte weitergegeben würden; (2) Soweit das Unternehmen Informationen erfasste und weitergab, handelte es sich um nicht identifizierbare Daten und die Verwendung von Analysesoftware Dritter identifizierte einen Benutzer ausschließlich anhand der IP-Adresse. und (3) das Unternehmen würde diese Daten nur für seine eigenen Analysen oder Werbung verwenden. Die FTC gibt an, dass die Datenschutzrichtlinien von Easy Healthcare den Verbrauchern im Laufe der Zeit versprochen haben, die Benutzer zu benachrichtigen und ihre Zustimmung einzuholen, bevor die Daten ihrer Benutzer für andere Zwecke verwendet werden.
Die FTC behauptet, dass Easy Healthcare die identifizierbaren Gesundheitsinformationen der Premom-Benutzer über „Custom App Events“ an Dritte weitergegeben habe. Laut der Beschwerde integrierte Easy Healthcare in die Premom-App Softwareentwicklungstools, sogenannte Software Development Kits („SDKs“), die es Easy Healthcare ermöglichten, die Interaktionen von Premom-Benutzern mit Premom zu verfolgen und zu analysieren und die Daten seiner App-Benutzer zu übertragen – einschließlich Daten über die Fruchtbarkeit und Schwangerschaften der Benutzer – an den Herausgeber jedes SDK. In der Beschwerde heißt es, dass Easy Healthcare diesen Unternehmen (einschließlich externer Marketing- und Analysefirmen, von denen einige ausländische Unternehmen waren) durch die Zustimmung zu ihren Standard-Nutzungsbedingungen einen weiten Spielraum für die Nutzung dieser Daten nach eigenem Ermessen einräumte.
Die FTC behauptet außerdem, dass Easy Healthcare es versäumt habe, angemessene Datenschutz- und Datensicherheitsmaßnahmen umzusetzen, einschließlich der unzureichenden Bewertung der Datenschutzrisiken von SDKs Dritter, die in Premom integriert wurden, und der Nichtüberwachung von Änderungen in den Datenschutzrichtlinien und Geschäftsbedingungen von Premom SDK-Herausgeber und das Versäumnis, sich an Audits oder Compliance-Überprüfungen bezüglich der Datenerfassung und Datenschutzpraktiken von Drittherausgebern zu beteiligen. Die FTC stellte außerdem fest, dass Easy Healthcare es versäumt hat, die Einhaltung ihrer eigenen Datenschutzversprechen gegenüber den Verbrauchern durchzusetzen.
Die vorgeschlagene Verordnung
Der Vorgeschlagene Bestellung besagt, dass Easy Healthcare eine zivilrechtliche Strafe in Höhe von 100.000 US-Dollar an die Bundesregierung zahlen muss. Zusätzlich zur zivilrechtlichen Strafe verbietet die vorgeschlagene Verordnung Easy Healthcare die Ausübung bestimmter Praktiken, verlangt von Easy Healthcare die Benachrichtigung von Einzelpersonen gemäß den Anforderungen des HBNR und verlangt von Easy Healthcare, sich an verschiedenen Aktivitäten zu beteiligen, die darauf abzielen, sein Compliance-Programm zu stärken. Im Einzelnen enthält die vorgeschlagene Verordnung die folgenden Verbote und Anforderungen:
- Verbietet Easy Healthcare dauerhaft, die persönlichen Gesundheitsdaten der Benutzer zu Werbezwecken an Dritte weiterzugeben;
- Verlangt von Easy Healthcare, die Zustimmung des Benutzers einzuholen, bevor personenbezogene Gesundheitsdaten für andere Zwecke an Dritte weitergegeben werden;
- verlangt von Easy Healthcare, die personenbezogenen Daten der Benutzer nur so lange aufzubewahren, wie es zur Erfüllung des Zwecks, für den sie erfasst wurden, erforderlich ist;
- Verbietet Easy Healthcare, in Zukunft falsche Angaben zu seinen Datenschutzpraktiken zu machen;
- Fordert Easy Healthcare auf, die Meldepflichten des HBNR für künftige Sicherheitsverstöße einzuhalten;
- Fordert Easy Healthcare auf, die Löschung der Daten zu beantragen, die es an Dritte weitergegeben hat;
- Fordert Easy Healthcare auf, eine Verbrauchermitteilung zu senden und zu veröffentlichen, in der die Vorwürfe der FTC und die Einigung erläutert werden; Und
- Verlangt von Easy Healthcare die Implementierung umfassender Sicherheits- und Datenschutzprogramme, die strenge Sicherheitsvorkehrungen zum Schutz der Verbraucherdaten umfassen.
Imbissbuden
Wie in einer früheren Kundenwarnung besprochen, hat die FTC a Grundsatzerklärung im September 2021, um zu bestätigen, dass Gesundheits-Apps und vernetzte Geräte, die Gesundheitsinformationen von Verbrauchern sammeln oder nutzen, der HBNR entsprechen müssen. Zusätzlich zu der Grundsatzerklärung, die den Anwendungsbereich des HBNR offenbar erheblich erweitert hat, hat die FTC kürzlich angekündigt dass es eine Stellungnahme zu den vorgeschlagenen Änderungen des HBNR einholen würde, die eine Klärung der Anwendbarkeit der Regel auf Gesundheits-Apps und andere ähnliche Technologien beinhalten würden.
Darüber hinaus haben die Regierung und die FTC die Kontrolle von Unternehmen, die vertrauliche Informationen weitergeben, verstärkt Informationen zur reproduktiven Gesundheit im Gefolge der Dobbs Entscheidung vom vergangenen Frühjahr, mit der das verfassungsmäßige Recht auf Abtreibung aufgehoben wurde. Seit der Veröffentlichung des Dobbs Aufgrund dieser Entscheidung hat die Regierung daran gearbeitet, den Schutz sensibler Gesundheitsdaten im Zusammenhang mit der reproduktiven Gesundheitsfürsorge durch eine Kombination aus Strafverfolgungs- und politischen Initiativen zu stärken, einschließlich einer früheren Durchsetzungsmaßnahme der FTC dagegen Flo Health Inc.der Entwickler einer Fruchtbarkeits-Tracking-App, außerdem Engagement von der FTC zum Schutz der Verbraucher vor Unternehmen, die reproduktive Gesundheitsdaten missbrauchen.
Digitale Gesundheitsunternehmen und andere Organisationen in der gesamten Gesundheitsbranche sollten die jüngsten Durchsetzungsmaßnahmen zur Kenntnis nehmen, bewerten, ob die HBNR auf ihr Unternehmen anwendbar ist, Richtlinien und die Einhaltung der FTC-Anforderungen überprüfen und aktualisieren und weiterhin FTC-Durchsetzungsmaßnahmen und andere Entwicklungen in Bezug auf das überwachen HBNR. Dies ist besonders wichtig für Unternehmen, die sich auf die Gesundheit von Frauen konzentrieren.
Für weitere Informationen oder Ratschläge zur Anwendbarkeit der Durchsetzungsmaßnahme auf Ihre Organisation wenden Sie sich bitte an die unten aufgeführten Fachleute oder an Ihren regulären Ansprechpartner bei Crowell & Moring.