Die Digitalisierung zieht zunehmend in alle Bereiche des Lebens ein. Davon ist auch die Medizin betroffen und insbesondere die Diabetologie. CGM- und AID-Systeme können für die Patienten, aber auch für Ärzte, Behandlungen vereinfachen und die Therapie verbessern. Die Kehrseite der Medaille ist, dass kommerzielle Anbieter große Mengen hochsensibler Patientendaten sammeln und den Betroffenen häufig keine Option anbieten, die Daten ausschließlich auf ihren Geräten zu speichern. Das bringt in der Nutzung viel Rechtsunsicherheit für die diabetologischen Schwerpunktpraxen mit sich, die solche Systeme einsetzen und die Daten mit den Patienten gemeinsam auswerten wollen. Deshalb befasste sich das Symposium „Rechtsunsicherheit durch Digitalisierung in der diabetologischen Schwerpunktpraxis“ beim diesjährigen Diabeteskongress der Deutschen Diabetes Gesellschaft im Rahmen einer Podiumsdiskussion mit diesem Thema.
Unsicherheit bei der Datenauswertung von CGM-Systemen
Um Daten aus CGM-Systemen auszuwerten, muss der Datenübertragung sowohl von den Ärzten als auch den Patienten zugestimmt werden. Dazu müssen die Datenschutzerklärungen gelesen und ihnen zugestimmt werden. Damit beginnt bereits die erste Unsicherheit, wie sich beim Kongress zeigte. Datenschutzerklärungen sind zumeist sehr umfangreich und in sogenanntem „Juristendeutsch“ verfasst. Ihr Ziel ist nicht eine gute Lesbarkeit, sondern die Rechtssicherheit für diejenigen, die die Datenschutzerklärung herausgeben. „Datenschutzerklärungen werden so formuliert, dass möglichst alles drinnen steht, was eine Datenschutzbehörde, die sie vielleicht mal in die Hand bekommt, erwarten würde“, ordnete der Berliner Jurist Niko Haerting während der Podiumsdiskussion ein. So funktioniere Datenschutz in der Praxis. Bestimmte Formulierungen, die Fallstricke darstellen können, lassen sich nicht benennen.
Datenschutz und Nutzungsbedingungen
Datenschutzerklärungen sind aber dennoch wichtig, denn sie kommen oft, wie der zweite Jurist auf dem Podium, Oliver Ebert aus Stuttgart, betonte, gekoppelt mit Nutzungsbedingungen, die als Gesamtdokument bereitgestellt werden. Darin ist geregelt, was dem Anbieter von ärztlicher Seite erlaubt wird, mit den durch den Arzt zur Verfügung gestellten Patientendaten zu tun. Gleichzeitig muss der Patient beispielsweise in der App eigenständig der Nutzung der Daten zustimmen. Und hier beginnt häufig der erste juristische Graubereich: Die Datenschutz-Grundverordnung (DSGVO) als Grundlage des Datenschutzes sieht vor, dass die Einwilligung zur Datennutzung freiwillig erfolgen muss. Patienten dürfen nicht dazu gezwungen werden oder eine mangelhafte oder unzureichende Therapie befürchten müssen, wenn sie der Datenübertragung nicht zustimmen.
Auch der G-BA Beschluss zu CGMs soll Patientendaten schützen, denn darüber sind alle Leistungserbringer verpflichtet, die Erhebung personenbezogener Daten allein zum Zwecke der Behandlung durchzuführen. „Wenn die Langzeitdokumentation aber nur möglich ist, wenn der Patient zustimmt, dass die Daten auch vom Konzern genutzt werden dürfen, sind die G-BA Vorgaben nicht erfüllt. Das ist ein Problem“, erklärte Ebert. Eine mögliche Umgehung kam aus dem Publikum: „Jeder ICT-Patient bekommt von uns die Empfehlung, Blutzuckertagebuch zu führen und die Daten dort trotz CGM händisch einzutragen. Dann haben die Patienten die volle Kontrolle und können auch trotz Ablehnung der Datenübertragung behandelt werden“, berichtete ein Praxisinhaber.
Stimmen Patienten zu, ist die Datenverarbeitung abgedeckt
Ärztinnen und Ärzte sind jedoch nicht immer in der Haftung. Patienten können eigenständig und informiert in ihrer App zustimmen, dass ihre CGM-Daten auf Servern in beispielsweise den USA gespeichert werden, und die Daten vom Anbieter auch zu kommerziellen (Forschungs-)Zwecken genutzt werden dürfen. Dann ist auch die Datenverarbeitung von personenbezogenen Patientendaten in gewissem Rahmen erlaubt, denn der Patient hatte die freie Wahl und hat eingewilligt. Wichtig hierbei, so die Podiumsdiskutanten, sei aber, dass die Patienten ausreichend aufgeklärt und informiert wurden, damit sie eine informierte Entscheidung treffen können.
Die größte Unsicherheit ist für Ärztinnen und Ärzte aber zumeist die Frage nach dem Datenschutz. Dazu beruhigte Haerting jedoch, denn ihm sei kein Fall aus ganz Deutschland bekannt, in dem eine Arztpraxis oder Ärzte ein mehrstelliges Bußgeld hätten zahlen müssen, weil sie damit gegen die DSGVO verstoßen hätten. Datenschutzbehörden würden generell nur sehr selten Bußgelder verteilen. Das reflektierten auch Meinungsumfragen im Saal, denn niemand konnte von einem Bußgeldverfahren oder zugesandten Fragenkatalogen durch Datenschutzbeauftragte oder -behörden berichten.
Anders kann das aussehen, wenn es sich um Strafverfolgungen handelt. Wie beim Symposium zu Diabetes im Straßenverkehr berichtet, können CGM-Systeme Betroffenen zum Nachteil gereichen, wenn sie aufgrund einer Hypoglykämie einen Unfall verursachen. Eigentlich sollten, berichtete Ebert, aufgrund von CGM-Systemen keine hypoglykämiebedingten Unfälle mehr möglich sein, denn die Systeme sollten rechtzeitig genug warnen, wenn Betroffene unterzuckern. Kam es trotzdem aufgrund einer Unterzuckerung zu einem Unfall, könnten Daten von CGM-Systemen theoretisch, wenn sie auf Servern von Firmen liegen, beschlagnahmt werden. Daten in den Arztpraxen hingegen sind zumeist durch die ärztliche Schweigepflicht abgedeckt.
Wo Informationsangebote zu finden sind
Ob Arztpraxen Patientendaten, die auf externen Servern lagern, nutzen wollen, sollte immer in einer eigenen Risiko-Nutzen-Abwägung erfolgen. „Wir nutzen alle die gleichen Systeme und sie können uns nicht alle gleichzeitig einsperren“, scherzte die Diabetologin Sandra Schlüter aus Northeim, die ebenfalls auf dem Podium saß. Es gibt allerdings auch einen DDG-Kodex zur Digitalisierung und Informationen durch die Bundesärztekammer, die helfen könne, Unklarheiten zu beseitigen.
