Die elektronische Auswertung und Dokumentation der Diabetes-Daten ist zwischenzeitlich aus dem Behandlungsalltag nicht mehr wegzudenken. Immer mehr Patienten nutzen Smartphones und Apps. Software und vernetzte Systeme tragen zum Optimieren der Therapie bei. Allerdings ist vielen Patienten nicht bewusst, dass die damit einhergehende Datenflut auch erhebliche Nachteile bringen kann.
„Warum Datenschutz – ist doch sowieso egal!?“
„Meine Werte kann jeder wissen“ oder „Ich habe nichts zu verbergen“ – solche oder ähnliche Kommentare kommen oft, wenn es um das Thema Datenschutz geht. Natürlich muss niemand seinen Diabetes verstecken. Trotzdem sollte man nicht allzu blauäugig sein.
Diabetes-Daten sind in besonders hohem Maß sensibel, vor allem wenn die Daten aus mehreren Geräten und Datenquellen zusammengeführt werden.
Anhand der Werte ergibt sich ein konkretes Bild des Gesundheits-Zustands des Patienten und seiner Therapie. Dies kann insbesondere dann erheblich relevant sein, wenn es um Leistungen der Krankenversicherung, die Bildung von Risiko-Scores, die Fahr-Eignung, die Berufs-Eignung, den Zugang zu Versicherungen und die Bemessung entsprechender Tarife oder den individuellen Konsum geht. Das Verarbeiten solcher Gesundheits-Daten bringt für die Patienten wie auch für deren Ärzte daher nicht unerhebliche Risiken mit.
„Meine Diabetes-Daten interessieren doch niemanden!?“
Personenbezogene Gesundheits-Daten sind für die Industrie sehr wertvoll und werden teuer gehandelt. Nicht wenige Gesundheits-Apps dienen daher vor allem dazu, solche Daten zu sammeln. Hinter manchem vermeintlich kleinen App-Anbieter verbergen sich tatsächlich finanzstarke Pharma-Unternehmen, die viele Millionen Euro oder US-Dollar in das Geschäftsmodell mit den Daten gepumpt haben.
Man braucht kein Rechengenie zu sein: Wer Apps verschenkt bzw. zu nur geringem Preis verkauft, wird allein dadurch niemals solche Investitionen erwirtschaften können. Das Geld muss also anderweitig verdient werden – und zwar in der Regel mit den Daten der Anwendenden. Die User „bezahlen“ also mit ihren persönlichen Daten. Wenn diese Gesundheits-Informationen dann aber quasi wie eine „Währung“ sind, muss man damit auch etwas anfangen können – denn ansonsten würden sich diese Investitionen nicht rechnen.
Großer Markt für Daten
Vielen Menschen ist nicht bewusst, dass es einen großen Markt für solche Daten gibt. Banken, Arbeitgeber und Versicherungen können zu fast jeder Person detaillierte Auskünfte und Daten-Sammlungen ankaufen – oft auch bei Unternehmen, die im Ausland sitzen und nicht immer den europäischen Datenschutz-Bestimmungen unterliegen.
Wird beispielsweise einem Versicherungs-Unternehmen bekannt, dass jemand Diabetes hat, und kennt man dazu auch noch die „schlechten“ Werte, dann dürften die Prämien für Risiko-Versicherungen (Unfall, Berufsunfähigkeits-Versicherung, Lebens-Versicherung) wohl deutlich steigen – oder man bekommt erst gar keine solche Versicherung. Auch ist es nicht abwegig, dass die Versicherungs-Prämie fürs Auto höher ausfällt, wenn die Diabetes-Erkrankung des Fahrers bekannt ist.
Sowohl für gesetzlich wie für privat Versicherte gilt: Bei einem „gläsernen Patienten“ kennt man mehr Schwachstellen und es ist einfacher, Leistungen zu verweigern. Wer seine Therapie-Daten dorthin preisgibt, wird mittelfristig daher womöglich mit höheren Beiträgen oder Leistungs-Ausschlüssen rechnen müssen.
Risiko: Cloud-Daten unterliegen oft keiner ärztlichen Schweigepflicht
Ganz besonders heikel wird es im Zusammenhang mit Verkehrsunfällen: Wenn Menschen bei einem Unfall, der durch eine Unterzuckerung ausgelöst wurde, verletzt oder gar getötet wurden und das Gericht der Auffassung ist, dass der Diabetes-Patient nicht sorgfältig genug war, dann kann man relativ schnell im Gefängnis landen bzw. mit hohen Strafen und Existenz-bedrohenden Kosten belastet werden.
Beim Arzt befindliche Behandlungs-Daten unterliegen der ärztlichen Schweigepflicht und dürfen grundsätzlich nicht ohne vorherige Einwilligung des Patienten verwertet werden; dazu zählen auch die in der Praxis gelagerten Sensor- oder Insulinpumpen-Daten. Nutzt man als Patient jedoch eine Cloud, dann unterliegen die dort gespeicherten Daten meist keiner Schweigepflicht. Im Rahmen von Ermittlungen zu einem Verkehrsunfall oder in einem Schadensersatz-Prozess könnte der Cloud-Betreiber zur Herausgabe dieser Daten gezwungen werden.
Für den Patienten bedeutet dies ein erhebliches Risiko: Je mehr Daten (CGM-, Pumpen-Daten) vorliegen, desto mehr Anknüpfungspunkte können sich hieraus für den Vorwurf eines (fahrlässigen) Fehlverhaltens ergeben. So könnte ein Gutachter anhand dieser Daten beispielsweise zur Auffassung kommen, dass man bereits deutlich vor dem Unfall schon hätte anhalten müssen, dass man ohnehin mit zu niedrigen Werten unterwegs war, dass man zu wenig gescannt hat, dass man nicht (richtig) kalibriert hat, dass man nach Warnungen des CGM-Systems nicht gleich angehalten hat usw.
Auch für das Behandlungs-Team kann dies juristische Konsequenzen haben: Wenn angesichts der Glukosewerte erkennbar war, dass der Patient Diabetes-bedingt gar nicht hätte fahren dürfen oder zusätzlicher Aufklärungs-Bedarf bestand, dann können auch der Praxis strafrechtliche Ermittlungen und Schadensersatz-Forderungen drohen.
Schutz von Gesundheits-Daten hat hohen Stellenwert
Aus gutem Grund wird dem Datenschutz in Deutschland sowie innerhalb der Europäischen Union (EU) daher ein hoher Stellenwert beigemessen. Das Erheben und Verarbeiten von Gesundheits-Daten ist nur unter bestimmten Bedingungen zulässig und an strenge Voraussetzungen geknüpft. Auch gilt das Prinzip der Daten-Minimierung, d. h. es dürfen grundsätzlich nur insoweit Daten erhoben werden, als dies jeweils erforderlich ist. Unproblematisch ist die Daten-Verarbeitung immer dann, wenn der Patient über die damit verbundenen Risiken aufgeklärt wurde und er damit ausdrücklich einverstanden ist. Dies bedeutet, dass er ohne Zwang bzw. Druck in die Verarbeitung seiner Daten einwilligt und auch keine Nachteile erfährt für den Fall, dass er damit nicht einverstanden sein sollte.
Ohne eine wirksame Einwilligung des Patienten dürfen Anbieter von medizinischen Hilfsmitteln die mit einem solchen System erhobenen Gesundheits-Daten grundsätzlich nur insoweit verarbeiten, als dies technisch notwendig ist. Insbesondere zum Betrieb von Insulinpumpen oder CGM-Systemen gibt es aber keinen plausiblen Grund, warum außer Arzt und Patient auch noch ein Dritter Zugriff auf diese Daten benötigen sollte.
Was kann man tun?
Es empfiehlt sich immer, die von Software, App oder Cloud abverlangten Nutzungs-Bedingungen sorgfältig zu lesen, Wenn Ihnen auch danach nicht klar ist, was mit Ihren Daten passiert, können Sie sich beispielsweise an Verbraucherschutzverbände (www.verbraucherzentrale.de) wenden, denn solche Nutzungs-Bedingungen müssen verständlich sein.
Wer sichergehen will, dass seine Gesundheits-Daten nicht ungewollt von der Arztpraxis an die Industrie weitergegeben werden, der sollte dort nachfragen, ob die Diabetes-Daten lokal oder in einer Cloud gespeichert werden. Sofern eine Cloud genutzt wird, empfiehlt es sich, nachzuhaken, ob die Daten dort wirklich nur zu Zwecken des Arztes gespeichert werden oder ob die Praxis womöglich eingewilligt hat, dass der Cloud-Anbieter Ihre Daten auch für eigene Zwecke verwenden oder weitergeben darf.
Damit die Kosten für ein rtCGM-System von der Krankenkasse übernommen werden, muss der Anbieter daher zuvor auch zusichern, dass sein System die Datenschutz-Vorgaben aus § 3 Abs. 6 MVV-RL erfüllt: „Soweit der Einsatz des Gerätes eine Verwendung, Erhebung, Verarbeitung oder Nutzung personenbezogener oder personen-beziehbarer Daten vorsieht, muss sichergestellt sein, dass diese allein zum Zwecke der Behandlung der Patientin oder des Patienten erfolgen und eine Nutzung ohne Zugriff Dritter, insbesondere der Hersteller, möglich ist.“ (www.g-ba.de/downloads/39-261-2623/2016-06-16_MVV-RL_rtCGM_BAnz.pdf).
Anders sieht es beim Arzt aus: Dieser braucht die Daten zur Behandlung, zudem ist er gesetzlich auch zur ordnungsgemäßen Dokumentation verpflichtet. Unter anderem aus diesem Grund benötigt der Arzt keine gesonderte Einwilligung der Patienten, um die Daten aus einem rtCGM-System oder einer Insulinpumpe auszulesen und zu speichern. Sofern er dabei seine gesetzlichen Datenschutz-Pflichten einhält, kann der Arzt dazu auch eine Cloud-basierte Lösung einsetzen. Ohne Einwilligung der Patienten dürfen die Daten dort aber ausschließlich zu Zwecken des Arztes gespeichert bzw. verarbeitet werden.
Welche App, Cloud-Lösung oder Software ist zu empfehlen?
„Die“ für jede und jeden perfekte Daten-Management-Lösung dürfte es wohl nicht geben. Denn gerade bei Software bzw. Apps hängt sehr viel von den subjektiven, persönlichen Anforderungen und Vorstellungen der Anwendenden ab. Man kann aber prüfen, ob der Hersteller vertrauenswürdig ist und seriöse Angaben macht. Es sollte Ihnen auch klar sein, ob – und an wen – Ihre Daten übermittelt werden und was damit gemacht wird. Bei Anbietern, die nicht mit offenen Karten spielen oder unwahre Werbe-Aussagen machen, sollte man als Patient daher eher vorsichtig sein.
Wie sehr es auf den Einzelfall ankommt, zeigt folgendes Beispiel: Die eine App belässt alle Daten des Patienten auf dem Smartphone und gibt nichts an den Hersteller weiter, während die andere App alle Werte an einen Online-Server bzw. in die Cloud übermittelt. Welche dieser Apps ist nun besser oder schlechter? Selbstverständlich ist es wünschenswert, dass der Patient keine Daten preisgeben muss. Aber wenn dieser sich darüber vollständig im Klaren ist und er damit einverstanden ist, dann ist die Daten-Übermittlung nichts „Schlechtes“. Umgekehrt gilt: Wenn die Anwendenden über eine Daten-Erhebung nicht umfassend und in gesetzlich vorgeschriebener Weise aufgeklärt werden, ist diese App nicht Gesetzes-konform und dürfte an sich gar nicht vertrieben werden.
ePA und DiGA: Gibt es Risiken?
Auch die künftige Möglichkeit, seine Daten in der elektronischen Patientenakte (ePA) zu speichern, bringt gewisse Nachteile: Wenn der Patient seine Daten dort einstellt, dann muss der Arzt die dort eingestellten Daten womöglich laufend sichten und bei der Therapie berücksichtigen. Der Arzt hat dann vielleicht keinen Handlungsspielraum mehr und könnte zum Verhindern einer eigenen Haftung beispielsweise gezwungen sein, bei entsprechend schlechten Werten sofort ein ärztliches Fahrverbot auszusprechen.
Schließlich haben auch die Apps und Software-Anwendungen auf Rezept (DiGAs) einen Pferdefuß: Der Arzt darf diese ja nur verordnen, wenn dies aus medizinischer Sicht notwendig ist bzw. sich damit eine Verbesserung der Therapie erwarten lässt. Anhand der mit der DiGA erfassten Daten lässt sich oft aber recht genau sehen, ob diese Ziele auch erreicht wurden. Zugleich wird aufgrund dieser Daten womöglich deutlich einfacher hinterfragt werden können, ob wirklich noch die Notwendigkeit für eine weitere Versorgung mit Insulinpumpe oder einem CGM-System besteht.
Last, but not least: Klimaschutz
Der täglich millionenfache Versand und Abruf von Diabetes-Daten verschlingt enorme Energie-Ressourcen. Auch die für jede Abfrage benötigte Rechenzeit kostet Strom, dazu kommt die Energie-Bilanz der Cloud-Server, die ja rund um die Uhr verfügbar sein müssen.
Eine ausschließlich lokale Daten-Speicherung auf dem eigenen Gerät ist deutlich energiesparender und somit Klima-schonender, als wenn laufend eine Verbindung zu einer Cloud aufgebaut werden muss. Wer ganz nachhaltig sein will, der kann sein Smartphone oder Notebook mit Solar-Panels aufladen. Jede Internet-Nutzung führt aber zu zusätzlichem Energie-Bedarf, auf den man selbst keinen Einfluss hat bzw. den man nicht selbst kompensieren kann.
- ePA, eAU, e-Rezept und Co – was Patienten jetzt wissen sollten
- Apps auf Rezept
- Daten-Management bei Diabetes: Wo sollen die Daten gespeichert werden?
Autor:
|
|
Erschienen in: Diabetes-Journal, 2022; 71 (3) Seite 24-27
