Rechtsanwalt Oliver Ebert gibt Ihnen in der Rubrik Rechteck Antworten auf Rechtsfragen rund um das Thema Diabetes.

Die Frage:

Warum wird § 3, Absatz (6) des G-BA-Beschlusses für die Versorgung mit rtCGM vom 16.06.2016 überhaupt nicht eingehalten, die Versorgung von den Krankenkassen aber trotzdem bezahlt? Die meisten Systeme erlauben es nicht, die persönlichen CGM-Daten aus den Geräten auszulesen, ohne dass man sie vorher auf dem Server des CGM-Herstellers speichern muss.

Hat es bereits Klagen deswegen gegeben? Von Krankenkassen oder von Patienten? Wäre die Folge einer derartigen Klage, dass der klagende Patient dann kein rtCGM mehr nutzen könnte, oder gar, dass die Krankenkassen die Versorgung mit den zur Zeit auf dem Markt befindlichen Systemen komplett ablehnen müssten?

Hier noch der entsprechende Absatz: § 3, Abs. (6):

„Soweit der Einsatz des Gerätes eine Verwendung, Erhebung, Verarbeitung oder Nutzung personenbezogener oder personenbeziehbarer Daten vorsieht, muss sichergestellt sein, dass diese allein zum Zwecke der Behandlung der Patientin oder des Patienten erfolgen und eine Nutzung ohne Zugriff Dritter, insbesondere der Hersteller, möglich ist.“

Cindy K.

Die Antwort von Oliver Ebert:

Liebe Frau K., aufgrund der Brisanz Ihrer Anfrage gehen wir diesmal sehr ausführlich auf dieses Thema ein.

Nun: Wie Sie zutreffend schreiben, darf nach den einschlägigen Vorschriften kein Patient dazu gezwungen werden, seine Daten preiszugeben, nur damit das von der Krankenkasse bezahlte CGM-System überhaupt sinnvoll zur Therapie genutzt werden kann. Die Rechtslage ist so eindeutig, dass man sich nur wundern kann, warum Ärzte und Krankenkassen hier nicht Druck machen und die Hersteller zwingen, sich an die Vorschriften zu halten.

Hochbrisant ist meines Erachtens auch, dass die derart abgenötigte Datenpreisgabe gegen zwingende Datenschutzgesetze verstößt. Wenn ein Patient nämlich per App oder Cloud-Dienst laufend seine Gesundheitsdaten an den Hersteller übermitteln muss, nur um CGM bzw. Pumpe überhaupt sinnvoll einsetzen zu können, dann ist das mit der gesetzlichen Verpflichtung zur Zweckbindung und Datenminimierung (Artikel 5 Absatz 1b und c DSGVO) schwer vereinbar.

Ein sachlicher Grund für den Zwang zu einer derart ausufernden Datenübermittlung ist nämlich nicht ersichtlich. Auch die Transparenzpflicht (Artikel 5 Absatz 1a DSGVO) wird nicht erfüllt, denn kaum ein Patient versteht bzw. ist sich darüber wirklich bewusst, welche Daten bei der Nutzung des CGM bzw. der Insulinpumpe an wen und wohin geschickt werden und was dann damit gemacht wird.

Schließlich dürfte auch ein Verstoß gegen das Kopplungsverbot (Artikel 7 DSGVO) vorliegen: Es darf nicht sein, dass man sein gekauftes bzw. von der Kasse bezahltes System nur dann in vollem Umfang nutzen kann, wenn und solange man einer umfänglichen Datenpreisgabe (womöglich auch noch in die USA) zustimmt.

Angesichts der Sachlage scheint es schließlich auch nicht abwegig, dass hier unter Umständen sogar die Annahme von Datenschutzstraftaten (gemäß § 42 BDSG) naheliegt.
Vor diesem Hintergrund müssen Patienten auch nicht akzeptieren, wenn der Arzt verlangt oder nahelegt, die Daten in oder über eine vom Hersteller betriebene Cloud zu übermitteln. Der Arzt riskiert in solchem Fall hohe Bußgelder und erheblichen Ärger.

Viele Ärzte glauben den Werbeaussagen mancher Anbieter, dass für sie alles unproblematisch sei, sofern die Initiative vom Patienten ausgeht, also wenn der Arzt einen „Einladungslink“ bzw. eine Freigabe vom Patienten erhält und sich dann in dessen Cloud-Konto einloggt. Das ist aber ein trügerischer Irrtum, der womöglich zu erheblichen Bußgeldern und auch zu strafrechtlichen Konsequenzen führen kann.

Denn der Arzt setzt diese cloudbasierte Datenverarbeitung durch einen Dritten (durch den Hersteller) dann ja als Teil seines Behandlungs- und Therapiekonzepts ein. Der Arzt ist somit auch für die damit verbundenen Datenverarbeitungsvorgänge (mit-)verantwortlich.

Abgesehen davon muss der Arzt auch seine gesetzlichen und berufsrechtlichen Dokumentations- und Aufbewahrungspflichten erfüllen; diese Pflichten dürfen nicht auf den Patienten abgewälzt werden. Zudem ist nicht garantiert, dass der Zugriff auf in der Cloud befindliche Aufzeichnungen über die gesamte Dauer der gesetzlichen Aufbewahrungsfristen (mindestens 10 Jahre) denn tatsächlich dauerhaft möglich ist.

Vielen Ärzten ist auch nicht bekannt, dass der Einsatz einer Cloud-Lösung auch ganz erheblichen Zusatzaufwand bringt: So muss schon allein wegen der Nutzung einer cloudbasierten Diabetesmanagementlösung – neben anderen Pflichten – zwingend ein Datenschutzbeauftragter bestellt werden, und zwar unabhängig von der Praxisgröße. Erst unlängst haben die Datenschutzbehörden hierzu ausdrückliche Hinweise veröffentlicht (www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf)

Was können Sie nun als Patient tun?

Ich empfehle, dass Sie zunächst nochmals den Hersteller Ihres CGM/Ihrer Insulinpumpe um eine Lösung bitten, wie Ihre mit den Geräten erhobenen Gesundheitsdaten auch ohne Datenübermittlung an Dritte bzw. in eine Cloud genutzt werden können. Möglicherweise erhalten Sie daraufhin die Antwort, dass ja ein „anonymer Upload“ möglich sei oder es einen Modus gebe, der datenschutzrechtlich unbedenklich sei, da die Daten nicht dauerhaft in der Cloud gespeichert blieben. Solche Angaben sollte man dann sehr genau auf den Wahrheitsgehalt prüfen.

So ist beispielsweise ein ano­ny­mer Upload technisch kaum möglich. Denn selbst wenn tatsächlich keine identifizierbaren Daten wie die Geräteseriennummer übermittelt werden, wird zwangsläufig doch immer die IP-Adresse Ihres Internetanschlusses übertragen, anhand welcher Sie – zumindest theoretisch – dann doch identifizierbar sind bzw. die Daten zugeordnet werden könnten. Dies ist zwischenzeitlich auch mehrfach höchstrichterlich bestätigt worden.

Die Behauptung einer Möglichkeit des „anonymen“ Uploads ist daher in den meisten Fällen schlicht unwahr und dürfte sich dann sehr nahe am Betrug bewegen. Auch ist für die Betroffenen der Unterschied meist ziemlich egal, ob die Daten nur kurz oder etwas länger bei einem Dritten gespeichert sind. Die entscheidende Frage ist doch, warum die Daten denn überhaupt dorthin übermittelt werden müssen bzw. warum meist sogar auch noch verlangt wird, dass man einer umfassenden Nutzung seiner Daten zustimmt.

Wenn der Hersteller auf Ihre Anfrage nicht reagiert bzw. die von dort erhaltene Reaktion Sie nicht zufriedenstellt, dann gibt es mehrere Möglichkeiten:
Jeder Betroffene kann sich gemäß Artikel 77 DSGVO bei der zuständigen Datenaufsichtsbehörde beschweren, welche die Rechte von uns Patienten dann – wie unlängst in Holland und Portugal geschehen – mit hohen Bußgeldern durchsetzen kann.

Sie könnten sich auch an Stellen wenden, die Patienten bei der Durchsetzung ihrer Datenschutzrechte unterstützen, beispielsweise an den Verein Patientenrechte und Datenschutz e. V. oder die Initative „noyb“, welche bereits beachtliche Erfolge (u. a. massive Bußgelder gegen Facebook und Google) erzielen konnten.

Man muss im Übrigen auch keine Angst haben, dass diese für uns Patienten sehr sinnvollen Systeme womöglich aufgrund von Beschwerden vom Markt genommen werden müssen: Denn wenn der Druck nur hoch genug ist, dann werden die Hersteller ihre Praktiken sicherlich sehr schnell ändern.

Für die Hersteller wäre es auch gar kein großes Problem, die Systeme rechtskonform zu gestalten: Diese müssten mit dem CGM bzw. der Insulinpumpe nur wieder eine Software bzw. App mitliefern, die ausschließlich lokal (auf dem PC/Smartphone des Patienten/Arzt) funktioniert und die nicht dazu zwingt, die Daten in die Cloud zu schicken.

Solche Offline-Software ist bei den Herstellern auch verfügbar. Diese wird aber bewusst nicht (mehr) mitgeliefert, weil man eben an die Patientendaten will. Von Dexcom gab es bis vor einiger Zeit beispielsweise die Software Dexcom Studio, von Medtronic die PC-Software CareLink.

Es geht um die echte Wahlmöglichkeit!

Anders als häufig behauptet wird, sind übrigens auch Telemedizin oder Datenaustausch mit dem Arzt technisch möglich, ohne dass man dabei die Daten einem Dritten geben muss. Allerdings: Dies alles bedeutet im Umkehrschluss nun nicht, dass cloudbasierte Lösungen generell unzulässig seien. Der Patient muss aber in jedem Fall eine echte Wahlmöglichkeit haben. Er darf also nicht zur Datenübermittlung gezwungen sein, um sein CGM und Pumpe sinnvoll nutzen zu können.

Und was den Arzt angeht: Sofern er die damit verbundenen gesetzlichen Pflichten beachtet und einhält, dann kann auch er solche Cloud-Lösungen rechtskonform nutzen. Der Arzt muss dann aber auch jenen Patienten, die mit einer Datenübermittlung in die cloud nicht einverstanden sind, eine qualitativ mindestens gleichwertige Auswertung und Analyse der Diabetesdaten anbieten.

von Oliver Ebert
REK Rechtsanwälte
Nägelestraße 6A, 70597 Stuttgart oder
Friedrichstraße 49, 72336 Balingen
E-Mail: Sekretariat@rek.de

Internet: www.diabetes-und-recht.de

Erschienen in: Diabetes-Journal, 2019; 68 (9) Seite 58-60