Blutzuckerdaten in der Cloud? - Was bedeutet das für die Arztpraxen?
Datenschutzrechtliche Belehrung durch den ärztlichen Behandler beim Einsatz von rtCGM-Systemen in der diabetologischen Praxis
Ein Diabetes ist eine ernste Erkrankung. Für eine gute Therapie ist die richtige Einstellung der Blutzuckerwerte sehr wichtig. Eine enorme Hilfe für die Betroffenen bietet daher die Möglichkeit, über spezielle Sensoren den Blutzuckerspiegel kontinuierlich zu messen. Diese Daten können dann in einer Cloud (CGM-Cloud) gespeichert werden.
Den Vertrag mit dem CGM-Cloud-Anbieter schließt der Patient. Der behandelnde Arzt oder die behandelnde Ärztin stellen die Eignung des Patienten für die CGM-Cloud fest und empfehlen den Einsatz der CGM-Cloud.
Der Patient hat regelmäßig die Möglichkeit Dritten, also auch dem behandelnden Arzt oder der behandelnden Ärztin, den Zugang zu diesen Daten zu ermöglichen. Hierzu muss der Patient eine entsprechende Erklärung gegenüber dem Anbieter der CGM-Cloud abgeben. Für die Behandler stellen die CGM-Cloud-Anbieter regelmäßig einen besonderen Zugang zur Verfügung. Liegt vom Patienten eine entsprechende Erklärung vor, kann der Behandler über seinen eigenen Praxiszugang auf die Daten des Patienten zugreifen.
Es entsteht bezüglich der Verarbeitung der Stoffwechseldaten des Patienten ein Dreiecksverhältnis zwischen Patient, Arzt und CGM-Cloud-Anbieter.
Genau dieses Dreiecksverhältnis wirft allerdings bedeutende datenschutzrechtliche Fragen auf. Nach Art. 9 der Datenschutz-Grundverordnung (DSGVO) unterliegen Gesundheitsdaten einem grundsätzlichen Verarbeitungsverbot. Solche Daten zu verarbeiten ist nur in eng begrenzten Ausnahmefällen erlaubt. Diese Fälle werden in Art. 9 DSGVO ausdrücklich aufgezählt. In der Regel willigt der Patient zwar im Rahmen seines Vertrags mit dem CGM-Anbieter in die Speicherung seiner Daten ein, die Frage ist nur, ob diese Einwilligung überhaupt wirksam ist. Dem Patienten müsste nämlich vor Abgabe der Einwilligung sehr klar dargelegt werden, was genau mit seinen Daten in der Cloud geschieht. Er dürfte des Weiteren nicht unter Zustimmungsdruck stehen. Dies ist angesichts der Zwangslage des Patienten – schließlich wurde ihm die Cloud verordnet – und der sehr umfangreichen und daher möglicherweise nicht gut verständlichen Belehrungen der CGM-Anbieter möglicherweise nicht gegeben.
Ein weiteres Problem für die CGM-Cloud-Anbieter stellt die durch das Schrems II Urteil (EuGH v. 16.7.2020, C-3111/18) verbotene Datenweitergabe in die USA dar.
Offen ist derzeit auch, wie das Dreiecksverhältnis zwischen Patient, CGM-Cloud Anbieter und Arztpraxis zu qualifizieren ist. Grundsätzlich kommt hier eine sogenannte Auftragsverarbeitung nach Art. 28 DSGVO oder eine gemeinsame Verantwortung nach Art. 26 DSGVO in Betracht. Ein Merkmal der Auftragsverarbeitung ist, dass der Auftragsverarbeiter bei der Verarbeitung keine eigenen Zwecke verfolgen darf. Dies ist aber bei den CGM-Cloud-Anbietern fraglich. Nach der hier – in einem Gutachten für die Deutsche Diabetologische Gesellschaft (kann bei Interesse angefordert werden) – vertretenen Auffassung ist vielmehr von einer gemeinsamen datenschutzrechtlichen Verantwortung von Arztpraxen und CGM-Cloud-Anbietern auszugehen. Diese müssen daher ihren datenschutzrechtlichen Verantwortungsbereich in einem gemeinsamen Vertrag klären, abgrenzen und gegenüber dem Patienten transparent machen.
Fazit für die Arztpraxis:
Die derzeit ungeklärte Rechtslage ist für Arztpraxen misslich. Eine Nutzung der Cloud ist für die Diabetesbehandlung von hohem Wert. Wenn die Nutzung der Cloud angezeigt ist, benötigt die Praxis regelmäßig keine weitere Einwilligung, weil nach der hier vertretenen Auffassung der Behandlungsvertrag die Nutzung der CGM-Cloud umfasst. Jedenfalls dann, wenn der Patient der Praxis den Zugriff auf die CGM-Cloud ausdrücklich gegenüber dem CGM-Cloud-Anbieter einräumt.
Gleichwohl muss, mit Rücksicht auf die betroffenen Patienten, für dies eine hohe Transparenz der Datenverarbeitung gerade bei der Verordnung der Cloud gegeben sein. Der an sich wünschenswerte Vertrag mit dem jeweiligen CGM-Cloud-Anbieter nach Art. 26 DSGVO ist derzeit, ähnlich wie seinerzeit bei der gleichgelagerten Facebook-Thematik, für eine Arztpraxis faktisch nicht abschließbar. Empfohlen wird gleichwohl eine dokumentierte Belehrung gegenüber dem Patienten, welche Datenverarbeitungen die Arztpraxis vornimmt und für welche Verarbeitungen der CGM-Cloud-Anbieter zuständig ist. Idealweise würde in dieser Belehrung auch ein Ansprechpartner des CGM-Cloud-Anbieters benannt.
Ansprechpartner für das Thema und Datenschutz rund um die Arztpraxis:
Rechtsanwalt Dr. Arnd-Christian Kulow, DSB/DSA/QMB (TÜV SÜD)