Mit Hilfe von speziellen Auswertungsprogrammen kann die Therapie von Diabetikern unterstützt werden, in zahlreichen Praxen sind elektronische Diabetesdokumentationssysteme nicht mehr aus dem Arbeitsalltag wegzudenken. Das Einlesen von Messgeräten, der Datenempfang per E-Mail oder die Speicherung von Daten aus Insulinpumpen und Systemen zum kontinuierlichen Glukosemonitoring (CGM) in der "cloud" gewinnen immer mehr an Bedeutung.

Verantwortung für Datensicherheit

Bei der Nutzung solcher neuen Technologien müssen die geltenden Gesetze und Vorschriften beachtet werden. Verstöße gegen die ärztliche Schweigepflicht sind strafrechtlich sanktioniert; auch die Missachtung von Datenschutzbestimmungen kann erhebliche Konsequenzen nach sich ziehen. Daneben ist der Arzt auch für die Datensicherheit (Schutz seiner Daten vor Angriffen, Vermeidung von Schäden, Risikominimierung) und Datenintegrität (Sicherstellung, dass Daten nicht beschädigt oder verändert werden) verantwortlich.

Ärztliche Schweigepflicht

"(…) Was ich bei der Behandlung oder auch außerhalb meiner Praxis im Umgange mit Menschen sehe und höre, das man nicht weiterreden darf, werde ich verschweigen und als Geheimnis bewahren" – diese Verpflichtung steht im hippokratischen Eid; Verstöße werden auch strafrechtlich sanktioniert. Gemäß § 203 Strafgesetzbuch (StGB) wird "mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft", wer "unbefugt (…) ein zum persönlichen Lebensbereich gehörendes Geheimnis (…) offenbart, das ihm als Arzt (…) anvertraut worden oder sonst bekanntgeworden ist".

Auch gemäß § 9 Musterberufsordnung für die Ärzte (MBO) haben Ärzte über das, was ihnen in ihrer Eigenschaft als Arzt anvertraut oder bekanntgeworden ist, zu schweigen.

Straf- und berufsrechtliche Sanktionen möglich

Neben straf- und berufsrechtlichen Sanktionen muss der Arzt bei Zuwiderhandlung auch mit Schadensersatz- und Unterlassungsforderungen betroffener Patienten rechnen; schließlich kann ein solches Verhalten auch von anderen Ärzten wettbewerbsrechtlich "abgemahnt" werden, was mit nicht unerheblichen Kosten verbunden ist.

Grundsätzlich gilt: Daten, Diagnosen oder sonstige patientenbezogene Informationen – und dazu zählt schon die bloße Angabe, dass ein Patient bei einem Arzt in Behandlung ist – dürfen nur in gesetzlich bestimmten Ausnahmefällen oder nach vorheriger Einwilligung des Patienten an Dritte weitergegeben werden.

Gesetzliche Übermittlungsbefugnisse und -pflichten finden sich in speziellen Bereichen. Ansonsten ist eine Datenweitergabe ohne Einwilligung nur in Ausnahmefällen zulässig, insbesondere wenn eine konkrete, nicht anders abwendbare Gefahr für Leben, Gesundheit und Freiheit (§ 34 StGB) besteht, der Arzt sich selbst gegen strafrechtliche Ermittlungen verteidigen muss oder er gegen den Patienten zivilrechtliche Ansprüche geltend macht.

In allen anderen Fällen dürfen personenbezogene Patientendaten nur dann erfolgen, wenn der Patient zuvor in den konkreten Übermittlungsvorgang eingewilligt hat (Bundesgerichtshof, Urteil vom 10.07.1991 – NJW 1991, 2 955). Eine pauschale, vorweggenommene Einwilligungserklärung in eine Datenübermittlung ist nicht ausreichend.

Einwilligung der Patienten

Hierbei ergeben sich oft Probleme: Eine wirksame Einwilligung kann nur erfolgen, wenn der Patient überhaupt in der Lage ist, die Reichweite und den Inhalt seiner Einwilligungserklärung zu verstehen. Der Arzt muss im Zweifel nachweisen (können), dass er den Patienten vor (!) Erteilung der Einwilligung umfassend über alle Empfänger sowie den Umfang der vorgesehenen Datenweitergabe informiert und der Patient die Tragweite der abverlangten Einwilligungserklärung begriffen hat.

Ein Aushang im Wartezimmer oder die bloße Mitteilung, dass die Patientendaten zur Datenauswertung oder Speicherung übermittelt werden, reichen nicht aus, um eine (stillschweigende) Einwilligung der Patienten in die Datenübermittlung anzunehmen (OLG Düsseldorf, Urteil vom 4.3.1994 – NJW 1994, 2 421; OLG Karlsruhe, Urteil vom 15.10.1997 – NJW 1998, 831).

Der Patient muss also im Vorfeld wissen, aus welchem Anlass und mit welcher Zielsetzung er welche Personen wem gegenüber von der ärztlichen Schweigepflicht entbindet. Dem Arzt obliegt im Streitfall die Beweislast dafür, dass dieses Wissen vorlag. Ein nachträglich eingeholtes Einverständnis reicht nicht aus; bis dahin erfolgte Datenweitergaben bleiben rechtswidrig bzw. strafbar.

Datenpannen nicht unwahrscheinlich

Ein nicht gänzlich unwahrscheinliches Szenario könnte beispielsweise sein, dass die vom Arzt an die Onlineplattform eines Geräteherstellers übermittelten Insulinpumpen- oder CGM-Verläufe plötzlich aufgrund eines Datenlecks frei zugänglich werden. Auch besteht eine grundsätzliche Gefahr, dass die Daten – möglicherweise sogar in Einklang mit dem am Betreiberstandort geltenden Recht – wirtschaftlich weiterverwertet werden, z. B. durch Verkauf der Daten an Versicherungen, Krankenkassen oder Versandhändler.

Man wird davon ausgehen dürfen, dass viele Patienten in Kenntnis solcher Konsequenzen wohl eher nicht bereit wären, einer Datenweitergabe zuzustimmen. Es ist somit riskant, den Patienten lapidar eine formularmäßige Einwilligungserklärung zur Unterschrift vorzulegen. Eine umfassende Aufklärung, in der die Patienten auch über die Risiken der vorgesehenen telemedizinischen Datenverarbeitung informiert werden, ist daher in jedem Fall anzuraten.

Einhalten der Verpflichtungen Dritter überwachen

Übrigens: Selbst wenn der Arzt – was allgemein eher unüblich ist – den Plattformanbieter vertraglich zur Einhaltung europäischer Datenschutzstandards verpflichtet hat, würde dies nicht zur Exkulpation ausreichen können. Denn in diesem Fall müsste der Arzt auch sicherstellen und nachweisen, dass er die Einhaltung dieser Verpflichtungen (regelmäßig) überwacht. Zumindest bei ausländischen Unternehmen dürfte sich dies in der Praxis aber als schwierig oder gar unmöglich erweisen.

Und schließlich: Auch wenn vorab eine umfassende und wirksame Einwilligung eingeholt wurde und der Patient in der Vergangenheit keine Probleme mit der Datenübermittlung hatte, ist dieses Einverständnis nicht unbegrenzt gültig. Die Einwilligung muss regelmäßig und wiederholt eingeholt werden (vgl. Bundesgerichtshof, Urteil vom 20.05.1992 – NJW 1992, 2 348).

Elektronische Patientenakte

Neben der ärztlichen Schweigepflicht sind auch die datenschutzrechtlichen Vorschriften (u. a. gemäß § 4 BDSG) einzuhalten. Hiernach ist eine Datenspeicherung und Weitergabe nur zulässig, soweit dies gesetzlich zugelassen bzw. vorgeschrieben ist oder der Betroffene eingewilligt hat. Verstöße gegen datenschutzrechtliche Vorschriften können mit Geldbußen bis 50.000 Euro, in schweren Fällen bis 300.000 Euro oder Freiheitsstrafe geahndet werden (§ 43 BDSG).

Im Rahmen des Behandlungsvertrags kann und darf der Arzt die hierfür notwendigen Daten auch mittels EDV erheben und speichern, ohne dass hierfür eine besondere Einwilligung benötigt wird. Auch die elektronische Führung einer Patientenkartei bedarf daher grundsätzlich keiner Einwilligung. Gemäß § 3a BDSG sind aber "Erhebung, Verarbeitung und Nutzung personenbezogener Daten" sowie die "Auswahl und Gestaltung von Datenverarbeitungssystemen" dahingehend zu organisieren, dass "so wenig personenbezogene Daten wie möglich" erhoben, verarbeitet oder genutzt werden.