Es liegt eine erste Stellungnahme von Datenschutzbehörden zu unserer Anfrage zum Thema „Datenschutz bei der Speicherung von Diabetes-Daten in Clouds“ vor – mit eindeutigen Ergebnissen: Für diabetologische Praxen und Kliniken besteht nun dringender Handlungsbedarf! Unser Rechts-Experte Oliver Ebert ordnet die Behördenantworten für Sie ein.

Datenschutzexperten warnen schon länger, dass Praxen und Kliniken beim Einsatz von Diabetes-Clouds selbst elementare gesetzliche Pflichten häufig grob missachten und dadurch massive Bußgelder riskieren. Auch die Deutsche Diabetes Gesellschaft (DDG) hat daher Anfang des Jahres Alarm in der Diabetes-Zeitung geschlagen, zwei von ihr mit der gutachterlichen Prüfung beauftragte Rechtsanwälte äußerten erhebliche Bedenken. Zu wesentlichen Fragen lägen bislang noch keine klaren Entscheidungen von Gerichten oder Datenschutzbehörden vor.

Cloud-Lösungen: im Blindflug durch ein juristisches Minenfeld

Dies bedeutet im Klartext: Praxen und Kliniken, die solche Lösungen ohne sorgfältige Prüfung einsetzen, fahren derzeit - bildlich gesprochen – im Blindflug durch ein juristisches Minenfeld. Dabei ist vielen Ärzte offensichtlich nicht bewusst, dass Datenschutzverstöße keine Bagatellen sind und gerade im Gesundheitsbereich mit teilweise exorbitanten Bußgeldern sanktioniert werden.

Die Frage ist: woher bekommen Praxen/Kliniken nun Rechtsklarheit?

Eine Möglichkeit wäre, es einfach drauf ankommen zu lassen. Das ist aber nicht ratsam: vielleicht passiert nichts – falls doch, muss man aber gerade im Kontext von Gesundheitsdaten mit drastischen Bußgeldern rechnen. Einfache Recherchen bei Google zeigen, dass die Behörden bei Datenschutzverletzungen zwischenzeitlich konsequent durchgreifen und hohe Strafen festsetzen. Keine Praxis kann sicher sein, sie nicht plötzlich im Fokus der Datenschutzbehörde steht - beispielsweise aufgrund der Anzeige eines unzufriedenen Patienten, eines missgünstigen "Kollegen" oder eines Mitarbeiters, von dem man sich im Streit getrennt hat.

Ein anderer Ansatz bestünde darin, die Rechtslage durch juristische Gutachten klären zu lassen. Das ist aber teuer und hilft auch nur, wenn die Expertise lege artis erstellt wird und man dabei auch sicher sein kann, dass keine relevanten Tatsachen unter den Tisch gekehrt werden, die für irgendjemanden vielleicht unbequem sind. Selbst dann bliebe ein Graubereich, denn die Behörden könnten es auch anders sehen als die befragten Anwälte.

Es gibt aber noch eine dritte Möglichkeit, um verlässlich Klarheit zu bekommen: man braucht die Behörden doch einfach nur zu fragen! Und das haben wir nun für unsere Leserinnen und Leser getan.

Folgende Behörden und Stellen haben wir einen ausführlichen Katalog zu den mit Diabetes-Clouds verbundenen Rechtsfragen geschickt:
  • Bundesdatenschutzbeauftragter,
  • Bundesärztekammer,
  • Kassenärztliche Bundesvereinigung,
  • Deutsche-Diabetes-Gesellschaft (DDG),
  • Bundesverband niedergelassener Diabetologen (BVND) sowie
  • die Datenschutzbehörden von Bayern, Baden-Württemberg, Hamburg, Hessen, Rheinland-Pfalz, Nordrhein-Westfalen und Thüringen.

Antworten erhalten haben wir von den Datenschutzbehörden und vom BVND.

Nun liegen die Antworten vor: und die haben es in sich!

Wir wurden darüber informiert, dass bei mehreren Datenschutzbehörden schon Beschwerden bzw. Anzeigen von Patienten vorliegen. Es ist auch anzunehmen, dass man behördlicherseits die von der DDG veröffentlichten Bedenken bereits zur Kenntnis genommen hat. Offensichtlich halten die Datenschutzbehörden die Problematik für erheblich wichtig, so dass man sich für eine „gemeinsame und im fachlich zuständigen Arbeitskreis Gesundheit und Soziales der Datenschutzkonferenz abgestimmte“ Stellungnahme veranlasst sah.

Unsere Anfrage dürfte daher wohl gerade noch rechtzeitig gekommen sein: Die erstaunlich ausführliche Stellungnahme der Behörden kann als unmissverständliches Signal an die Ärzteschaft verstanden werden, rechtswidrige Datenverarbeitungen im Zusammenhang mit Diabetes-Clouds sofort einzustellen und die gesetzlichen Pflichten zu beachten.

Das Diabetes-Forum will keine Anbieter anprangern, daher haben wir unsere Anfrage allgemein formuliert und auch keine Nutzungsbedingungen oder Beschreibungen einzelner Clouds vorgelegt. Anhand der erhaltenen Antworten können Datenschutzbeauftragte von Praxis/Klinik jetzt aber dennoch zuverlässig bewerten, ob bzw. welche Diabetes-Cloud eingesetzt werden darf und welche Pflichten, Kosten und Risiken dann mit deren Nutzung einhergehen.

Anfragen zum Datenschutz – die Antworten und Einschätzungen in voller Länger


Unter den folgenden Punkten 1 bis 8 finden Sie einen Anriss der Problematik, unsere Fragen sowie eine kurze Kommentierung der Antworten der Datenschutzbehörden.

Die vollständigen Antworten der Datenschutzbehörden und des Bundesverbands Niedergelassener Diabetologen (BVND) sowie deren rechtliche Einschätzungen von Oliver Ebert finden Sie jeweils am Ende jedes Punktes in einem ausklappbaren Kasten.


Anmerkungen zu den Antworten und Stellungnahmen:

a) Datenschutzbehörden
Gemeinsame sowie auch im fachlich zuständigen Arbeitskreis Gesundheit und Soziales der Datenschutz-Konferenz abgestimmte Rückmeldung der angeschriebenen Datenschutzbehörden von Bayern, Baden-Württemberg, Hamburg, Hessen, Rheinland-Pfalz, Nordrhein-Westfalen und Thüringen.

b) BVND
Die Antworten des Vorsitzenden Dr. Niklaus Scheper für den Berufsverband Niedergelassener Diabetologen e.V. (BVND) sind unter nachstehender Anmerkung einzuordnen:

„Die Antworten auf die von Ihnen gestellten Fragen stellen primär meine persönliche Meinung im Umgang mit dieser Problematik dar, die natürlich im Diskurs mit meinen Kolleg*innen im BVND gewachsen und zustande gekommen ist. Insgesamt fühlen wir Ärzte uns aber bei der vielschichtigen und komplexen Thematik im Zusammenhang mit der Digitalisierung zunehmend in eine Ecke gedrängt, in der wir auf von außen an uns – z.B. von der Industrie und / oder Patient*innen – herangetragene Probleme und Fragen kurzfristig rechtssichere Antworten glauben geben zu müssen, obwohl der Rechtsrahmen dafür noch garnicht ausreichend abgesteckt ist. Das individuelle Reaktionsspektrum reicht nun von Totalverweigerung bis zu einer Vorreiterrolle. Welcher Weg beschritten wird liegt dann aber an der jeweiligen individuellen Entscheidung eines jeden Arztes / einer jeden Ärztin. Und diese Entscheidung muß dann jeder Behandler auch mit seinen Patient*innen besprechen und im Bedarfsfall erklären.“

c) Oliver Ebert
Einschätzung unseres Redaktionsmitglieds Oliver Ebert (Rechtsanwalt und Fachanwalt für IT-Recht, Hochschullehrbeauftragter für IT- und Internetrecht, TÜV-zertifizierter Datenschutz-Auditor, TÜV-zertifizierter Datenschutzbeauftragter)


Zu diesen Themen haben wir die Anfragen gestellt

(Klicken Sie auf einen der Punkte, um direkt dorthin zu gelangen.)

  1. Diabetes-Cloud auf Basis einer Auftragsverarbeitung?
  2. Notwendigkeit zur Datenschutzfolgenabschätzung
  3. Wer ist datenschutzrechtlich verantwortlich?
  4. Notwendigkeit der Aufklärung der Patienten
  5. Notwendigkeit der Einwilligung der Patienten
  6. Anonymisierung der Patientendaten
  7. Datenschutzrechtliche Erheblichkeit
  8. Maßnahmen bei Datenschutzverstößen



1. Diabetes-Cloud auf Basis einer Auftragsverarbeitung?

Die Nutzungsbedingungen aller relevanten Diabetes-Clouds setzen voraus, dass der Cloud-Anbieter die dort erhobenen bzw. gespeicherten Daten ganz oder teilweise auch für eigene Zwecke nutzen und/oder an Dritte (z.B. verbundene Unternehmen oder Partnerunternehmen, oftmals mit Sitz in USA) weitergeben darf. Fraglich ist daher, ob solche Diabetes-Clouds auf Basis einer Auftragsverarbeitung (gem. Art. 28 DSGVO) eingesetzt werden dürfen, wie dies manche Anbieter behaupten. Dies hätte u.a. den Vorteil, dass Arzt/Klinik keine datenschutzrechtliche Einwilligung der Patienten zur Cloud-Nutzung einholen müssten.

Begründet wird dies beispielsweise mit Zertifikaten zum Datenschutz bzw. Datensicherheit der Anbieter oder es wird darauf verwiesen, dass die Daten nur pseudonymisiert oder nach vorausgegangener Anonymisierung genutzt würden. Demgegenüber steht die Auffassung, dass ein Auftragsverarbeiter strikt weisungsgebunden sei und keine eigenen Zwecke mit den Daten verfolgen dürfe.

Selbst eine Eigennutzung lediglich anonymisierter Daten ändere hieran nichts, denn bereits die Anonymisierung der ihm anvertrauten Daten stelle eine dem Auftragsverarbeiter nicht gestattete Verarbeitung zu eigenen Zwecken dar. Zudem könnten Arzt/Klinik auch nicht kontrollieren, ob und inwieweit eine Anonymisierung tatsächlich und sicher erfolge.

Vor diesem Hintergrund wollten wir wissen:

Ist die Nutzung einer Diabetes-Cloud auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) für Gesundheitseinrichtungen zulässig, wenn die dort für den Auftraggeber verarbeiteten Daten vom Auftragsverarbeiter auch zu eigenen Zwecken verwendet und/oder von diesem auch an Dritte weitergegeben werden dürfen?

Die Antwort der Behörden ist eindeutig:

„Der Auftragnehmer ist gegenüber dem Auftraggeber und Verantwortlichen weisungsgebunden, Art. 29 DS-GVO. Hieraus folgt, dass es datenschutzrechtlich unzulässig ist, wenn der Auftragnehmer die zum Zweck der Auftragsverarbeitung überlassenen Daten auch für eigene Zwecke verarbeite, [...] Um solche eigenen Zwecke des Dienstleisters handelt es sich beispielsweise, wenn die Daten etwa für von ihm festgelegte oder mitdefinierte statistische Zwecke, Marktforschungszwecke, Forschungszwecke, Produktoptimierungszwecke oder andere Zwecke verarbeitet werden. [...]“

Dies bedeutet: Ärzte/Kliniken, welche solche Diabetes-Clouds auf Basis eines Auftrags­ver­arbeitungs­vertrags nutzen, handeln in der Regel illegal.

Nach Hinweis der Behörden könnte Krankenhäusern/Kliniken die Nutzung einer Diabetes-Cloud womöglich bereits aufgrund anderer Gesetze verboten sein: So sehe „etwa § 47 des Landeskrankenhausgesetzes Baden-Württemberg vor, dass Patientendaten in dem Krankenhaus selbst, im Auftrag des Krankenhauses durch ein anderes Krankenhaus oder unter weiteren Bedingungen durch ein Rechenzentrum zu verarbeiten sind.“

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


1. Zulässigkeit einer Auftragsverarbeitung

Ist die Nutzung einer Diabetes-Cloud auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) für Gesundheitseinrichtungen zulässig, wenn die dort für den Auftraggeber verarbeiteten Daten vom Auftragsverarbeiter auch zu eigenen Zwecken verwendet und/oder von diesem auch an Dritte weitergegeben werden dürfen?


Behörden: Grundsätzlich gilt, dass der Auftraggeber für die Verarbeitung personenbezogener Daten in seinem Auftrag durch den Auftragnehmer datenschutzrechtlich verantwortlich ist, vgl. Art. 28 Abs. 1 DS-GVO. Er muss sicherstellen, dass personenbezogene Daten nur auf Weisung und für Zwecke des Auftraggebers verarbeitet werden. Gegenstand und Dauer, Art und Zweck der Datenverarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen müssen vertraglich festgelegt werden, vgl. Art. 28 Abs. 3 DS-GVO. Der Auftragnehmer ist gegenüber dem Auftraggeber und Verantwortlichen weisungsgebunden, Art. 29 DS-GVO. Hieraus folgt, dass es datenschutzrechtlich unzulässig ist, wenn der Auftragnehmer die zum Zweck der Auftragsverarbeitung überlassenen Daten auch für eigene Zwecke verarbeitet, vgl. dazu auch explizit Art. 28 Abs. 10 DS--GVO. Wenn der Auftragnehmer entgegen vertraglicher Vereinbarungen die Daten zu eigenen Zwecken verarbeitet, wird er selbst zum Verantwortlichen und muss dementsprechend selbst alle für Verantwortliche geltenden Anforderungen der DS-GVO erfüllen, und haftet für Verstöße gegen die sich an Verantwortliche richtende gesetzliche Regelungen.

Verfolgt der Auftragnehmer eigene Zwecke, liegt somit für diejenigen Verarbeitungen, die zu diesen Zwecken stattfinden, keine Auftragsverarbeitung nach Art. 28 DS-GVO vor. Vielmehr liegt insoweit --- also bei den Verarbeitungen, die der Cloud-Anbieter für eigene Zwecke vornimmt -- eine Übermittlung personenbezogener Daten durch die Gesundheitseinrichtung (als erster Verantwortlicher) an den Cloud-Anbieter (als einen anderen Verantwortlichen) oder ggf. eine Gemeinsame Verantwortlichkeit im Sinne von Art. 26 DS-GVO vor. Um solche eigenen Zwecke des Dienstleisters handelt es sich beispielsweise, wenn die Daten etwa für von ihm festgelegte oder mitdefinierte statistische Zwecke, Marktforschungszwecke, Forschungszwecke, Produktoptimierungszwecke oder andere Zwecke verarbeitet werden.

Da die Übermittlung eine Form der Verarbeitung ist, benötigt die Gesundheitseinrichtung für Übermittlungen, die (auch) den Zwecken des Cloud-Anbieters dient, eine Rechtsgrundlage im Sinne von Art. 6 DS»GVO (oder auf Basis einer etwaigen im mitgliedstaatlichen Recht auf Grundlage der DS-GVO-Öffnungsklauseln-geregelten Rechtsgrundlage), andernfalls verstößt die Gesundheitseinrichtung mit der für diese Zwecke stattfindenden Übermittlung mangels Rechtsgrundlage gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a DS-GVO. Ferner benötigt auch der Cloud-Dienstleister in seiner Eigenschaft als Verantwortlicher für die zu seinen Zwecken stattfindenden Verarbeitungen seinerseits hierfür eine Rechtsgrundlege.

Zu beachten ist außerdem, dass in manchen Datenverarbeitungssituationen die Zulässigkeit der Auftragsverarbeitung eingeschränkt sein kann. So sieht etwa § 47 des Landeskrankenhausgesetzes Baden-Württemberg vor, dass Patientendaten in dem Krankenhaus selbst, im Auftrag des Krankenhauses durch ein anderes Krankenhaus oder unter weiteren Bedingungen durch ein Rechenzentrum zu verarbeiten sind.


BVND: Aus meiner Sicht sind Nutzungen von Clouds im Praxisbetrieb unter den momentanen Gegebenheiten allenfalls dann zulässig, wenn die vom Patienten in die Cloud hochgeladenen Daten in Gegenwart des Patienten, von ihm freigegeben, betrachtet und bearbeitet werden. Das Hochladen von Daten in eine Cloud aus einem PVS ist m.E. nicht zulässig, die Weitergabe an Dritte, insbesondere an die Industrie, in jedweder Form nur mit ausdrücklicher Einverständnis des Patienten. Wenn die verwendeten Systeme ausdrücklich nur Cloudlösungen anbieten, die keine stationäre Dokumentation und Bearbeitung ermöglichen, halte ich diese für momentan kritisch und verordne sie auch nicht.


Oliver Ebert: Die Zulässigkeit einer Auftragsverarbeitung bestimmt sich nach Art. 28 DSGVO. Art. 28 Abs. 3 a) DSGVO schreibt u.a. vor, dass der Auftragsverarbeiter „die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeiten“ darf. Der Auftragsverarbeiter ist in Bezug auf die ihm überlassenen Daten strikt weisungsgebunden. Es ihm somit verboten, die im Rahmen der Auftragsverarbeitung von ihm verarbeitenden Daten auch für eigene Zwecke zu nutzen. Verstößt ein Auftragsverarbeiter gegen dieses Verbot und nutzt die Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter, so wird er gem. Art. 28 Abs. 10 DSGVO ebenfalls zum datenschutzrechtlich Verantwortlichen.

Die Nutzung einer Diabetes-Cloud auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) halte ich allenfalls dann für zulässig, wenn der Auftragsverarbeiter die Daten ausschließlich für die zur Bereitstellung der Cloud-Lösung zwingend benötigten technischen bzw. administrativen Zwecke verarbeiten darf. Soweit der Arzt aber eine Eigennutzung der Daten durch den Verarbeiter– beispielsweise für statistische Zwecke, zu (Markt-)Forschungszwecken oder zur Produktoptimierung – zulässt, kommt eine Auftragsverarbeitung sowie die damit verbundene Privilegierung nicht mehr in Betracht. Hieran ändert sich m.E. auch dann nichts, wenn der Auftragsverarbeiter lediglich anonymisierte Daten nutzen will. Den bereits die zu diesem Zweck erfolgende Anonymisierung der ihm anvertrauten Daten stellt eine den zulässigen Weisungen des Auftragsverarbeiters zuwiderlaufende Verarbeitung dar.

Möglicherweise kommt eine Nutzung der derzeit angebotenen Diabetes-Clouds durch Gesundheitseinrichtungen auf Basis einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO in Betracht. Angesichts der strikten berufs- und strafrechtlichen Vorgaben zur ärztlichen Schweigepflicht und Neutralität halte ich es aber für eher fraglich, ob der Arzt auf solchem Wege eine wirtschaftliche Drittnutzung seiner Patientendaten überhaupt zulassen bzw. vereinbaren darf.



2. Notwendigkeit zur Datenschutzfolgenabschätzung

Für jede Datenverarbeitung, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss grundsätzlich eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO vorgenommen werden.

Hierbei handelt es sich um eine aufwändige und formale Prüfung, die alle Datenschutzrisiken beleuchtet und die ggf. Maßnahmen zur Risikominimierung nachweisen muss. In manchen Fällen besteht auch eine Pflicht zur vorherigen Konsultation der Aufsichtsbehörde gem. Art 36 DSGVO. Dies gilt für alle Branchen; auch Ärzte bzw. die Diabetologie unterliegen daher diesen Pflichten.

In der Diabetologie wird jedoch die Auffassung vertreten, dass für den Einsatz einer Diabetes-Cloud keine Datenschutzfolgeabschätzung erforderlich sei, denn dieser Aufwand sei Ärzten nicht zuzumuten. In eine solche Risikobewertung müssten ansonsten nämlich auch die sehr umfangreichen, teilweise auf mehrere Dokumente verteilten und mitunter nur englischsprachig verfügbaren Nutzungsbedingungen einbezogen werden, was zu einem hohen Arbeits- und Kostenaufwand führe.

Daher unsere Frage an die Behörden:

Wann stellt eine Diabetes-Cloud eine Datenverarbeitung mit hohem Risiko im Sinne des Art. 35 DSGVO dar, für die von Gesundheitseinrichtungen eine Datenschutzfolgeabschätzung vorzunehmen ist?

Die Antwort der Behörden ist pauschal, gibt aber dennoch wichtige Informationen:

„Zunächst ist eine Datenschutzfolgenabschätzung (DSFA) [...] dann durchzuführen, wenn die konkrete Konstellation der Datenverarbeitung in der Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, sog. „Muss-Liste“ der Datenschutzkonferenz (DSK) genannt ist. [...] Relevant für den Kontext der Verarbeitung von Gesundheitsdaten im medizinischen Behandlungszusammenhang ist hiernach insbesondere die Konstellation von Nr. 16 der sog. „Muss-Liste“.

Praxis/Klinik müssen also die Nutzungsbedingungen der von ihnen eingesetzten Diabetes-Cloud(s) sorgfältig prüfen, ob die dortigen Datenverarbeitungsvorgänge von der Liste der Behörden umfasst werden. In Frage kommen dürften mehrere der in der DSK-Liste beispielhaft genannten Verarbeitungstätigkeiten, insbesondere Nr. 16, 17 und 15.

Zumindest für Einzelpraxen besteht allerdings etwas Hoffnung: ausnahmsweise könnte hier eine Pflicht zur DSFA entfallen. Die Behörden weisen insoweit auf den Erwägungsgrund 91 Satz 4 und 5 zur DSGVO hin. Hiernach „sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“, wenn „die Verarbeitung personenbezogene Daten von Patienten [...] betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes [...] erfolgt.“

Allerdings wird diese mögliche Ausnahme von den Behörden sogleich wieder relativiert:

„Gleichwohl könnte eine mögliche hohe Anzahl von behandelten betroffenen Personen die Durchführung einer DSFA erforderlich machen. Ich weise darauf hin, dass in diesem Zusammenhang das Risiko von Angriffen auf die IT-Sicherheit der Diabetes-Cloud, der Verletzung des Schutzes personenbezogener Daten, insbesondere der Verlust der Kontrolle von personenbezogenen Daten und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten maßgeblich sind.“

Dies bedeutet: Wenn eine Einzelpraxis die Cloud nur sporadisch bzw. nur für wenige Patienten nutzt, könnte eine an sich erforderliche DSFA wohl ausnahmsweise entbehrlich sein. Wenn man sich als Arzt aber auf eine solche Ausnahme berufen will, dann sollte dies unbedingt durch eine kompetente juristische Prüfung unter Berücksichtigung aller zu akzeptierenden Nutzungsbedingungen abgesichert sein.

Häufig unterschätzt in diesem Zusammenhang wird auch, dass sich solche Nutzungsbestimmungen von Cloud-Lösungen plötzlich und unangekündigt ändern können: Praxis/Klinik müssen die weitere Nutzung der Diabetes-Cloud dann zunächst solange einstellen, bis das Datenschutzrisiko auf Basis der geänderten Nutzungsbedingungen neu bewertet und ggf. eine neue DSFA erstellt wurde. Vielmals wird dann eine neuerliche Aufklärung der Patienten erfolgen bzw. wieder eine Einwilligung aller betroffenen Patienten eingeholt werden müssen.

Weiterhin haben wir die Behörden dann gefragt:

Können Sie Beispiele zu möglichen Fallkonstellationen nennen, bei denen Gesundheitseinrichtungen dann zusätzlich auch die Aufsichtsbehörde gem. Art 36 DSGVO konsultieren müssen?

Auch hier wollten die Behörden keine konkreten Beispiele nennen. Eine Pflicht zur vorherigen Konsultation der Aufsichtsbehörde bestehe aber immer dann, wenn aus

„einer zuvor durchgeführten DSFA hervorgeht, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hätte und der Verantwortliche der Auffassung ist, dass das Risiko nicht durch vertretbare Mittel eingedämmt werden kann, […] Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss nach Art. 36 DS-GVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. [...]“

Praxen/Kliniken bleibt auch insoweit daher nichts Anderes übrig, als die konkreten Abläufe vor Ort in Verbindung mit den zu akzeptierenden Nutzungsbedingungen der Diabetes-Cloud sehr sorgfältig zu analysieren. Eine Pflicht zur Konsultation der Behörde wird man wohl immer dann annehmen müssen, wenn die Risiken, die durch eine dem Anbieter eingeräumte Berechtigung zur (Mit-)Nutzung der Gesundheitsdaten oder deren Weitergabe an Dritte entstehen, durch Risikominimierungsmaßnahmen der Praxis/Klinik nicht wirklich kontrollierbar bzw. realistisch beherrschbar sind.

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


2. Notwendigkeit zur Datenschutzfolgenabschätzung

Wann stellt eine Diabetes-Cloud eine Datenverarbeitung mit hohem Risiko im Sinne des Art. 35 DSGVO dar, für die von Gesundheitseinrichtungen eine Datenschutzfolgeabschätzung vorzunehmen ist?


Behörden: Zunächst ist eine Datenschutzfolgenabschätzung (DSFA) gem. Art. 35 Abs. 4 DS-GVO dann durchzuführen, wenn die konkrete Konstellation der Datenverarbeitung in der Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, sog. „Muss-Liste“ der Datenschutzkonferenz (DSK) genannt ist. Die Liste ist abrufbar unter folgendem Link: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/DSFA_muss_Liste_DSK_de.pdf. Relevant für den Kontext der Verarbeitung von Gesundheitsdaten im medizinischen Behandlungszusammenhang ist hiernach insbesondere die Konstellation von Nr. 16 der sog. „Muss-Liste“.

Darüber hinaus kann im gegenständlichen Kontext eine Pflicht zur Durchführung einer DSFA insbesondere gem. Art. 35 Abs. 3 lit. b) DS-GVO bestehen, wenn umfangreich besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet werden. Ausgehend von der Annahme, dass bei dem Einsatz einer cloudbasierten App eine gemeinsame datenschutzrechtliche Verantwortlichkeit des Cloud-Betreibers und des konkreten Behandlers besteht, wäre zumindest aus der Perspektive des Cloud-Betreibers eine umfangreiche Verarbeitung von Gesundheitsdaten gegeben, so dass eine DSFA regelmäßig durch ihn durchgeführt werden müsste.

Sollte eine gemeinsame Verantwortlichkeit nicht vorliegen und die behandelnden Ärzte als verantwortliche Stellen nach Art. 4 Nr. 7 DS-GVO fungieren, wäre eine DSFA nicht zwingend vorgeschrieben, wie es aus dem Erwägungsgrund 91 Satz 4 und 5 abgeleitet werden kann. Gleichwohl könnte eine mögliche hohe Anzahl von behandelten betroffenen Personen die Durchführung einer DSFA erforderlich machen. Ich weise darauf hin, dass in diesem Zusammenhang das Risiko von Angriffen auf die IT-Sicherheit der Diabetes-Cloud, der Verletzung des Schutzes personenbezogener Daten, insbesondere der Verlust der Kontrolle von personenbezogenen Daten und der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten maßgeblich sind.


BVND: Immer dann, wenn nicht sichergestellt ist, dass die Daten ausschließlich für diesen Patienten und diesen Patientenkontakt benutzt werden, ist eine Datenschutzfolgeabschätzung m.E. im laufenden Betrieb nicht mehr ausreichend möglich, auch nicht zumutbar und kann vom Endanwender nur mit Hilfe des Datenschutzbeauftragten durchgeführt werden. Dazu gehört unter der momentanen Gesetzgebung auch, dass die Cloud-Server in Europa stehen und ein insbesondere transatlantischer Transfer nicht erfolgt. Ohne dieses Wissen ist eine geforderte Abschätzung nicht möglich. Auch vor dem Hintergrund der umfänglichen Nutzungsbedingungen wäre es deshalb hilfreich, wenn für neue Technologien eine entsprechende Datenschutzfolgeabschätzung bei Einführung in den Praxisalltag schon vorläge.


Oliver Ebert: Die Datenschutzbehörden haben bereits vielfach klargestellt, dass für jede Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt werden muss. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Liste der Verarbeitungstätigkeiten veröffentlicht, für die eine Datenschutzfolgeabschätzung durchzuführen ist.

Die dortige Nr. 16 sieht in der Verarbeitung von Gesundheitsdaten ein besonders hohes Risiko, „sofern eine nicht einmalige Datenerhebung mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden.“ Als typisches Einsatzfeld wird der „Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten“ genannt. Beispielhaft wird angeführt „Ein Arzt nutzt ein Webportal oder setzt eine App ein, um mit Patienten mittels Videotelefonie zu kommunizieren und Gesundheitsdaten durch Sensoren beim Patienten (z.B. Blutzucker, Sauerstoffmaske,…) detailliert und systematisch zu erheben und zu verarbeiten.“

Meines Erachtens fallen Diabetes-Clouds unproblematisch unter obige Beschreibung: mit Sensoren gemessene Glukosewerte oder mit Diabetes-Apps verwaltete Gesundheitsdaten (zB Blutzuckermesswerte oder aus Insulinpumpen) werden hierbei ja regelmäßig an den zentralen Cloud-Server übermittelt. Die Datenschutzkonferenz sieht gem. Nr. 15 zudem auch die nicht lediglich einzelhafte Anonymisierung von Gesundheitsdaten zum Zweck der Übermittlung an Dritte als Datenverarbeitung mit hohem Risiko an, so wie dies auch bei Diabetes-Clouds geschieht.

Glukosewerte geben Einblick in die aktuelle bzw. grundsätzliche körperliche und psychische Leistungsfähigkeit einer Person. So entscheidet der Arzt u.a. auf Basis der Blutzucker- und Glukosewerte, ob ein Patienten zur Teilnahme am Straßenverkehr geeignet ist. Manche diese cloudbasierten Systeme erlauben auch eine Alarmierung von Angehörigen, wenn der Glukosewert die vom Anwender vorgegebenen Schwellenwerte unter- oder überschreitet. Vor diesem Hintergrund könnte eine Diabetes-Cloud zusätzlich auch noch unter Nr. 17 des DSK-Papiers fallen: Die Behörden sehen auch dann ein hohes Risiko, wenn „die Daten durch die Anbieter neuer Technologien dazu verwendet werden, die Leistungsfähigkeit der Personen zu bestimmen“, insbesondere eine „Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind“.


Können Sie Beispiele zu möglichen Fallkonstellationen nennen, bei denen Gesundheitseinrichtungen dann zusätzlich auch die Aufsichtsbehörde gem. Art 36 DSGVO konsultieren müssen?


Behörden: Voraussetzung für eine Konsultationspflicht nach Art. 36 Abs. 1 DS-GVO ist, dass aus einer zuvor durchgeführten DSFA hervorgeht, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hätte und der Verantwortliche der Auffassung ist, dass das Risiko nicht durch vertretbare Mittel eingedämmt werden kann, vgl. auch Erwägungsgrund 94 S. 1 zu Art. 36 DS-GVO.

Weitergehende Hinweise auf eine bestehende Konsultationspflicht ergeben sich insbesondere aus dem Kurzpapier Nr. 5 der DSK. Hervorzuheben ist hier insbesondere die nachfolgend zitierte Passage: „Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss nach Art. 36 DS-GVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren.“


Oliver Ebert: Dies ist m.E. immer dann der Fall, wenn die Praxis/Klinik nach vorschriftsmäßiger Durchführung der Datenschutzfolgeabschätzung zum Ergebnis kommt, dass sie selbst keine effektive Möglichkeit zur Risikominimierung hat und/oder sie die Einhaltung einer etwaigen Vereinbarung zur Risikominimierung mit dem Anbieter realistischerweise weder überprüfen noch durchsetzen können würde.

Bei vernünftiger Betrachtung wird man davon ausgehen, dass eine Arztpraxis oder Klinik nicht in der Lage ist, die Datenverarbeitungsabläufe eines internationalen (Groß-)Konzerns einzusehen oder gar zu überwachen. Die Nutzungsbedingungen aller mir bekannten Diabetes-Clouds sind extrem umfangreich, es bedarf eines erheblichen Zeitaufwands, um diese vollständig zu lesen, geschweige denn zu verstehen. Eine von der Deutschen Diabetes-Gesellschaft eingeholte Expertise (vgl. Diabetes-Zeitung Ausgabe 3/2021, S.27) kommt wohl auch deswegen zum Schluss, ein Behandler habe „gar nicht die Möglichkeit, die konkreten Risiken der CGM-Cloud zu kennen, geschweige denn, diese korrekt darzulegen.“ Wenn ein Behandler aber die Risiken der Diabetes-Cloud schon gar nicht kennt, wird er auch keine hinreichenden Maßnahmen zur Risikominimierung treffen können.

Aus diesem Grund sehe ich insbesondere dann eine Pflicht zur Konsultation der Behörde, wenn Arzt/Praxis selbst schon Mühe haben, die abverlangten Nutzungsbestimmungen inhaltlich vollumfänglich zu verstehen. Gleiches gilt auch dann, wenn ein Arzt im Zweifel ist, ob er wirklich alle mit Akzeptanz der Nutzungsbedingungen erwachsenden Risiken und möglichen Konsequenzen übersehen kann.



3. Wer ist datenschutzrechtlich verantwortlich?

Vor allem eher industrienahe Stimmen bezweifeln, dass Arzt/Klinik auch dann als Verantwortliche gem. Art. 4 DSGVO anzusehen sind, wenn der Patient die Daten selbst in die Diabetes-Cloud einstellt und lediglich einen „passiven“ Zugriff auf diese Daten erlaubt.

Der Arzt entscheide dann nicht über die Zwecke und Mittel der Datenverarbeitung, da er keine tatsächliche und rechtliche Einflußmöglichkeit auf die Datenverarbeitung habe. Es sei die alleinige Entscheidung des Patienten, die Daten in die Cloud hochzuladen bzw. die Nutzungsbedingungen des Anbieters zu akzeptieren. Als Verantwortlicher sei derjenige anzusehen, der die wesentlichen Rahmenbedingungen und Inhalte der Datenverarbeitung bestimme. Dies seien hier aber die Hersteller der CGM-Messgeräte/Insulinpumpen bzw. der Cloudanbieter.

Hiergegen wird eingewendet, dass es zu den Pflichten des Arztes (u.a. aus Behandlungsvertrag, § 630f BGB, § 10 MBO-Ä) zähle, die für die Behandlung notwendigen Daten zu erheben und zu verarbeiten. Für die Verantwortlichkeit mache es im Ergebnis keinen Unterschied, ob eine notwendige Datenverarbeitung mit lokaler Auswertungssoftware bzw. über eine vom Arzt beschaffte Cloud-Lösung erfolge oder ob der Arzt zur Erfüllung seiner Pflichten auf eine vom Patienten oder Dritten bereitgestellte Cloud zurückgreife.

Der Arzt entscheide auch allein, ob eine solche Datenerhebung bzw. -übermittlung durch den Patienten überhaupt in Frage komme bzw. welche der möglichen Vorgehensweisen zur Datenbereitstellung von der Praxis akzeptiert werde. Der Patient könne insoweit nur Wünsche äußern. Da die letztliche Entscheidung daher ausschließlich der Arzt treffe, bestimme er auch die Mittel der Datenverarbeitung.

Auch wird angeführt, dass ein Arzt ohnehin nur solche CGM-Geräte verordnen dürfe, die eine Nutzung der mit dem CGM-System erhobenen Daten zur Behandlung „ohne Zugriff Dritter, insbesondere der Hersteller“ ermöglichen (§3 Abs. 6 Anlage I Nr. 20 RL-MVV). Verordne der Arzt unter Missachtung dieser Verordnungsvoraussetzungen ein CGM- oder ein Insulinpumpensystem, welches nur unter Einsatz einer Herstellercloud eingelesen werden kann, dann habe der Patient faktisch gar keine Wahlmöglichkeit.

Mit der Verordnung eines solchen Systems bestimme der Arzt daher zugleich auch schon die Mittel der Datenverarbeitung (mit). Schließlich würden selbst vermeintlich "passive" Auswertungsaktivitäten des Arztes tatsächlich auch jeweils neue, ebenfalls besonders geschützte Daten mit Gesundheitsbezug generieren. So ließen sich beispielsweise aus Anzahl, Dauer und zeitlichem Abstand der „Sitzungen“ in Verbindung mit den Messwerten nicht unerhebliche Rückschlüsse auf die Behandlung und Compliance des Patienten ziehen.

Vor diesem Hintergrund haben wir gefragt:

Sind Gesundheitseinrichtungen als Verantwortliche gem. Art. 4 DSGVO anzusehen,
a) wenn sie für die Behandlung von Diabetes-Patienten eine Diabetes-Cloud nutzen?
b) wenn der Patient die Daten selbst in die Diabetes-Cloud einstellt und der Gesundheitseinrichtung lediglich einen Zugriff auf diese Daten in der Cloud erlaubt?

Falls nein: Ändert sich die Bewertung, wenn der Arzt ein Hilfsmittel (z.B. Blutzuckermessgerät, CGM, Insulinpumpe) verordnet hat, welches eine Nutzung der damit erhobenen Daten zu Behandlungszwecken bzw. zur Dokumentation nur erlaubt, wenn diese Daten in eine Diabetes-Cloud übermittelt werden und dabei dem Anbieter und/oder Dritten ganz oder teilweise zur kommerziellen Verwertung überlassen werden müssen?

Die Behörden verweisen in der Antwort darauf, dass ihnen die Beantwortung der Frage nur in Verbindung mit konkreten Einsatzszenarien möglich ist. Maßgeblich seien die konkreten Umstände der eingesetzten technischen Lösung und deren Einbindung in die ärztliche Tätigkeit.

Zur Prüfung der Verantwortlichkeit müssen Praxen/Kliniken daher die Abläufe genau prüfen und sich mit den dazu vorgebrachten Argumenten sorgfältig auseinandersetzen.

Auf Fortbildungsveranstaltungen, die von Cloud-Anbietern angeboten oder finanziell unterstützt werden, wird immer wieder behauptet, dass die Praxis dann nicht (mehr) verantwortlich sei, wenn der Patient die Daten selbst in die Cloud stelle. Eine juristische Begründung hierfür wird aber nicht gegeben; fast immer wird verschwiegen, dass gewichtige Gründe gegen diese Auffassung sprechen.

Schon der klare Wortlaut des Gesetzes lässt eine solche Interpretation nämlich nicht ohne Weiteres zu. Gem. Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Für die Klärung der datenschutzrechtlichen Verantwortlichkeit dürfte daher wohl eher ziemlich unbeachtlich sein, ob der Patient seine Daten selbst in die Cloud einstellt. Denn nach dem Gesetz kommt es darauf an, wer darüber entscheidet, dass der Arzt eine Cloud zum Zwecke der Behandlung einsetzt.

Sowohl tatsächlich als auch juristisch wird man jedoch zweifelsfrei sagen können: allein der Arzt entscheidet, ob er einen vom Patienten bereitgestellten „passiven“ Cloud-Zugang als Mittel zur Datenverarbeitung im Rahmen der Behandlungstätigkeit nutzen und die damit für die IT-Sicherheit von Praxis/Klinik verbundenen Risiken eingehen möchte. Und selbst wenn sich Gründe finden ließen, um dem Patienten juristisch noch ein Mitspracherecht zuzubilligen: der Arzt bliebe dann wohl trotzdem noch (mit-)verantwortlich.

Denn es geht hierbei ja nicht um die private Nutzung der Cloud durch den Patienten, sondern um deren Einsatz durch Arzt/Klinik zur Erfüllung des Behandlungsvertrags. Auch vor diesem Hintergrund zeigt sich, wie wichtig es ist, dass Ärzte/Praxen die von ihnen abgeforderten Nutzungsbedingungen der Clouds gründlich lesen und nicht einfach blind auf die nicht immer wahrheitsgemäßen Behauptungen von Firmenmitarbeitern vertrauen.

Eine häufig verwendete Diabetes-Cloud enthält beispielsweise folgende Regelung, welche bei oberflächlichem Blick vermuten lassen könnte, dass der Arzt nicht verantwortlich sei: „Wenn Ihr Patient selbstständig ein ***-Datenmanagementsystem-Konto “für seinen eigenen Gebrauch oder für den Gebrauch eines Kindes oder einer anderen Person, die er versorgt, erstellt, ist *** die verantwortliche Stelle und wird die zutreffenden Datenschutzgesetze einhalten. (Anm.: Unterstreichung durch die Redaktion; *** steht für den Namen des Herstellers)

Bei genauerer Durchsicht merkt man dann jedoch schnell, dass diese Regelung einen ganz anderen Fall betrifft, nämlich die private Nutzung der Cloud durch den Patienten selbst („für seinen eigenen Gebrauch“). In Fortbildungsveranstaltungen oder Verkaufsgesprächen wird dieser entscheidende Unterschied aber eher nicht thematisiert.

Zudem wird auch der jeweilige Behandlungskontext eine wesentliche Rolle spielen: wenn der Arzt sich über die Verordnungsvoraussetzungen des G-BA hinweggesetzt und dem Patienten ein rtCGM-System verordnet, welches sich nur über Einsatz einer Diabetes-Cloud einlesen lässt, dann dürfte damit vom Arzt auch schon die Cloud-Nutzung als Mittel zur Datenverarbeitung (vor-)bestimmt worden sein.

Man wird daher davon ausgehen müssen, dass Praxen/Klinik bei Nutzung einer Diabetes-Cloud datenschutzrechtlich immer verantwortlich sind. Entweder sind sie ganz allein verantwortlich, oder es liegt eine gemeinsame Verantwortlichkeit mit dem Anbieter vor. In letzterem Fall wäre aber erforderlich, dass mit dem Anbieter eine Vereinbarung gem. Art 26 DSGVO geschlossen wurde, in dem die gemeinschaftliche Verantwortlichkeit geregelt ist.

Das Gesetz schreibt hierzu vor: „Diese Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.“

Bevor man eine solche Vereinbarung erwägt, sollte man sich daher über die möglichen Konsequenzen bewusst werden: Üblicherweise erfolgt eine Cloud-Nutzung im Rahmen eines Auftragsverarbeitungsvertrags gem. Art 28 DSGVO. Bei Diabetes-Clouds ist dies jedoch einzig aus dem Grund nicht möglich, weil die Anbieter die Patientendaten auch für eigene Zwecke nutzen wollen.

Im Klartext: der Abschluss einer Vereinbarung gem. Art. 26 DSGVO ist nur erforderlich und dient letztlich primär dem Zweck, dass der Arzt dem Cloud-Anbieter einen für den Betrieb der Cloud gar nicht notwendigen Zugriff auf seine Patientendaten ermöglicht. Die Verantwortlichkeit und Aufgabe des Arztes bestünde somit darin, dem Anbieter die Patientendaten zu verschaffen sowie diesem die kommerzielle Nutzung der Daten zu ermöglichen.

Eine glaubhafte medizinische Notwendigkeit für eine solche Vereinbarung ist schwer vorstellbar. Derartige Kooperationen von Ärzten mit Anbietern verordnungsfähiger Produkte dürften zudem sowohl strafrechtlich (§§ 203, 299a ff StGB) als auch berufsrechtlich nicht unproblematisch sein.

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


3. Klärung der Verantwortlichkeit gem. Art. 4 DSGVO

Sind Gesundheitseinrichtungen als Verantwortliche gem. Art. 4 DSGVO anzusehen,
a) wenn sie für die Behandlung von Diabetes-Patienten eine Diabetes-Cloud nutzen?
b) wenn der Patient die Daten selbst in die Diabetes-Cloud einstellt und der Gesundheitseinrichtung lediglich einen Zugriff auf diese Daten in der Cloud erlaubt?
Falls nein: Ändert sich die Bewertung, wenn der Arzt ein Hilfsmittel (z.B. Blutzuckermessgerät, CGM, Insulinpumpe) verordnet hat, welches eine Nutzung der damit erhobenen Daten zu Behandlungszwecken bzw. zur Dokumentation nur erlaubt, wenn diese Daten in eine Diabetes-Cloud übermittelt werden und dabei dem Anbieter und/oder Dritten ganz oder teilweise zur kommerziellen Verwertung überlassen werden müssen?


Behörden: Ohne eine konkrete Bestimmung des Begriffs der Gesundheitseinrichtung und der konkreten Verarbeitungstätigkeiten kann die Frage nicht abschließend beantwortet werden. Grundsätzlich bestimmt sich die datenschutzrechtliche Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO danach, wer allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Maßgeblich sind deshalb die konkreten Umstände der eingesetzten technischen Lösung und deren Einbindung in die ärztliche Tätigkeit. Bitte haben Sie deshalb Verständnis dafür, dass eine Beantwortung Ihrer Frage nur in Verbindung mit konkreten Einsatzszenarien möglich ist. Je nach Ausgestaltung der vertraglichen Beziehungen und der Umstände des Einzelfalls kommen die behandelnden Ärzte und der jeweilige CloudBetreiber als datenschutzrechtlich Verantwortliche im Sinne der Art. 4 Abs. 7, ggf. in Verbindung mit Art. 26 DS-GVO in Betracht.


BVND: Ja, Ärzte, die auf personenbezogene Daten jedweder Art zugreifen und daraus ja Konsequenzen und Beratung ziehen, gelten aus meiner Sicht als ´Verantwortliche`.


Oliver Ebert: a) Gem. Art 4 Nr. 7 DSGVO ist verantwortlich, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Mit ihrer freiwilligen Entscheidung zur Nutzung einer Diabetes-Cloud bestimmt die Gesundheitseinrichtung die Mittel zur Datenverarbeitung und ist daher als datenschutzrechtlich verantwortlich anzusehen.

b) Die in CGM-Systemen oder Insulinpumpen gespeicherten Daten sind für eine rtCGM- bzw. CSII-Therapie lege artis in der Regel zwingend erforderlich. Die Praxis benötigt die Werte also für die Arbeit mit dem Patienten. Die Erhebung, Auswertung und Dokumentation der für eine rtCGM- oder CSII Therapie erforderlichen Daten ist eine wesentliche Aufgabe des Arztes. Diese Pflichten resultieren aus dem Behandlungsvertrag sowie u.a. aus §§ 630f BGB, 10 MBO-Ä.

Es gibt für den Diabetes-Bereich keine gesetzlichen Vorgaben zum Einsatz bestimmter technischer Lösungen. Der Arzt kann daher selbst entscheiden, welche der am Markt angebotenen Datenmanagement-Lösungen er in seiner Praxis zur Erfüllung dieser Pflichten einsetzen will. In der Regel werden dann das vom Patienten mitgebrachte CGM-System bzw. die Insulinpumpe dazu in der Praxis eingelesen und mit der hierfür angeschafften Datenmanagement-Software bzw. Cloudlösung ausgewertet.

Mit Einverständnis des Arztes kann aber auch der Patient das Auslesen der Daten übernehmen und die Werte von Zuhause aus an die Praxis übermitteln, hierzu gibt es verschiedene Lösungsansätze. Eine davon ist die Möglichkeit, dass der Patient die Daten in eine Cloud hochlädt bzw. sein CGM-System mit einer Cloud koppelt und dem Arzt dann den Zugriff auf die dortigen Werte erlaubt. Ob eine solche Datenübermittlung aber überhaupt in Frage kommt und falls ja, welche Vorgehensweisen zur Datenübermittlung von der Praxis akzeptiert werden, entscheidet allein der Arzt. Der Patient kann insoweit nur Wünsche äußern oder die Nutzung einer von ihm nicht gewollten Diabetes-Cloud oder Übermittlungsart ablehnen. Der Arzt hat die für die Therapie erforderliche Datenerhebung dann so vorzunehmen, dass keine Daten des Patienten ohne Rechtsgrundlage an Dritte übermittelt werden. Wenn der Arzt das letzte Wort hat, dann bedeutet dies logischerweise aber auch, dass er – und nicht der Patient - über die Mittel der Datenverarbeitung entscheidet.

Daneben dürfte sicher auch eine Rolle spielen, ob der Arzt den Patienten zur Nutzung dieser Cloud angehalten, motiviert oder diesen diesbezüglich gar unter Druck gesetzt hat. Man wird m.E. verlangen müssen, dass der Arzt dem Patienten eine akzeptable, alternative Möglichkeit zur Datenübermittlung anbietet. Dieser darf – nicht zuletzt auch wegen des Koppelungsverbots aus Art. 7 Abs. 4 DSGVO - keine schlechtere Behandlungsqualität erfahren, falls er mit einer Nutzung seiner Daten durch die Cloud-Anbieter nicht einverstanden ist und deswegen die Diabetes-Cloud nicht nutzen will.

Schließlich kommt es m.E. auch entscheidend darauf an, ob der Arzt ein CGM-System oder ein Insulinpumpensystem verordnet hat, dessen Daten er nur unter Einsatz einer Diabetes-Cloud zur Therapie nutzen kann. Meines Erachtens macht es in diesem Fall dann keinen Unterschied, ob die zur Behandlung erforderliche Datenverarbeitung über eine vom Arzt beschaffte Cloud-Lösung erfolgt oder ob der Arzt hierzu auf einen vom Patienten oder Dritten bereitgestellte Cloudzugang zurückgreift. Mit und durch die Verordnung eines solchen Hilfsmittels bestimmt der Arzt daher auch die späteren Mittel der Datenverarbeitung (mit).



4. Notwendigkeit der Aufklärung der Patienten

Unterschiedliche Ansichten bestehen auch über die Reichweite der vom Arzt zu leistenden Aufklärung. So wird vertreten, dass den Arzt über die allgemeinen Datenschutzinformationen zum Behandlungsverhältnis hinausgehend keine besondere Aufklärungspflicht träfe. Der Einsatz der Diabetes-Cloud sei notwendiges Mittel zur Erfüllung des Behandlungsvertrags. Zudem sei die Pflicht zur Aufklärung (§ 630c Abs. 2 BGB) „körperbezogen“, diese würde überdehnt, wenn man auch die Sorge um das Persönlichkeitsrecht des Patienten mit zu den wesentlichen Umständen des Heileingriffs zählen wolle.

Hierfür spreche auch, dass der Gesetzgeber de lege lata die Aufklärung zu wirtschaftlichen Fragen separat im § 630c Abs. 3 BGB geregelt habe. Diese würden ebenfalls nicht vom Begriff der medizinischen Behandlung umfasst und seien deswegen in einem eigenen Absatz separat geregelt. Auch wird vertreten, dass zwar grundsätzlich eine Aufklärungspflicht bestehe, es aber ausreichend sei, wenn der Arzt hierzu auf die Informationen bzw. Angaben der Anbieter verweise. Tatsächlich sei dem Arzt meist selbst nicht bekannt, welche Daten von wem verarbeitet würden, er könne eine solche Aufklärung daher gar nicht effektiv leisten.

Demgegenüber steht die Auffassung, die eine vollständige Aufklärung über alle wesentliche Umstände der Datenverarbeitung fordert. Es sei fernab der Vorstellung der meisten Patienten, dass ein Arzt die ihm anvertrauten Gesundheitsdaten an Pharmakonzerne oder sonstige Dritte weitergeben und diesen zu kommerziellen Zwecken überlassen könnte.

Der Patient verdiene daher sogar eine besonders sorgfältige Aufklärung darüber, warum der Arzt eine solche Datenübermittlung zulasse, was mit seinen Daten geschehe und welche möglichen Risiken die vorgesehene Datenverarbeitung bzw. Datenweitergabe beinhalte. Der Arzt könne dabei auch nicht davon ausgehen, dass Patienten sich immer über die technischen Hintergründe und über das Risikopotential eines Datenmissbrauchs bewusst seien.

Begründet wird diese strenge Auffassung zusätzlich mit dem Verweis auf Art. 12, 13 DSGVO und § 203 StGB, zumal der Einsatz einer Diabetes-Cloud tatsächlich auch medizinisch nicht notwendig sei. Am Markt gebe es bewährte und anerkannte Datenmanagementlösungen, die keine Preisgabe von Patientendaten erforderten. Entscheide sich der Arzt dennoch für eine Diabetes-Cloud und stimme er damit womöglich auch noch einer wirtschaftlichen Nutzung der Patientendaten durch den Anbieter bzw. Dritte zu, dann müsse er hierüber vollständig und in verständlicher Weise informieren.

Uns interessierte natürlich, was die Behörden dazu sagen:

Muss der Arzt - über die allgemeinen Datenschutzinformationen zum Behandlungsverhältnis hinaus- den Patienten über die mit der Diabetes-Cloud einhergehenden Datenverarbeitungsvorgänge aufklären?

Falls ja: welche Anforderungen sind an den Inhalt und die Reichweite der Aufklärung zu stellen?

Hier sind die Behörden deutlich: es müsse umfassend und entsprechend der Vorgaben aus Art. 13,14 DSGVO aufgeklärt werden. Zwar könne es im Falle einer gemeinsamen Verantwortlichkeit von Praxis/Klinik und dem Anbieter „durchaus denkbar sein, dass Informationen zur Datenverarbeitung [...] durch die Cloud-Betreiber erstellt und durch die Ärzte an die Patienten weitergegeben werden“. Die letztliche Verantwortung für die Richtigkeit und Vollständigkeit der Angaben sowie deren Verständlichkeit dürfte dabei aber trotzdem bei Arzt/Klink verbleiben.

Die Behörden weisen insoweit auch explizit darauf hin, dass bereits die Übermittlung vom Arzt an den Cloud-Anbieter eine relevante Datenverarbeitung darstelle, über die entsprechend zu informieren sei: „Für die wirksame Ausübung der Betroffenenrechte ist entscheidend, dass die betroffenen Personen [...] das Risiko der Verarbeitung personenbezogener Daten antizipieren können. Bitte beachten Sie weiterhin, dass [...] die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung gestellt werden müssen.“

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


4. Notwendigkeit der Aufklärung der Patienten

Muss der Arzt - über die allgemeinen Datenschutzinformationen zum Behandlungsverhältnis hinaus- den Patienten über die mit der Diabetes-Cloud einhergehenden Datenverarbeitungsvorgänge aufklären?
Falls ja: welche Anforderungen sind an den Inhalt und die Reichweite der Aufklärung zu stellen?


Behörden: Unabhängig von bestehenden ärztlichen lnformations- und Aufklärungspflichten, etwa gem. §§ 630c, 630e BGB, die hier nicht näher thematisiert werden, unterliegen die Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO den Informationspflichten nach Art. 13 f. DS-GVO. Sofern im Rahmen einer ärztlichen Behandlung eine cloudbasierte digitale Gesundheitsanwendung eingesetzt wird, bedarf es zunächst der Klärung der datenschutzrechtlichen Verantwortlichkeit bezüglich der daran beteiligten datenverarbeitenden Personen oder Stellen.

Danach müsste dann festgelegt werden, wer der Verantwortlichen die og. Informationspflichten in welcher Weise erfüllt. lm Falle einer gemeinsamen Verantwortlichkeit bei dem Einsatz einer cloudbasierten App zur ärztlichen Heilbehandlung könnte es durchaus denkbar sein, dass Informationen zur Datenverarbeitung über die App durch die Cloud-Betreiber erstellt und durch die Ärzte an die Patienten weitergegeben werden.

Worüber betroffene Personen informiert werden müssen, ergibt sich aus den Vorgaben der Art. 13, 14 DS-GVO. Auch eine Übermittlung personenbezogener Daten an Cloud-Service-Anbieter stellt eine Verarbeitung personenbezogener Daten dar, über die entsprechend zu informieren ist. Für die wirksame Ausübung der Betroffenenrechte ist entscheidend, dass die betroffenen Personen aus den Informationspflichten insbesondere nach Art. 13 Abs. 1, Abs. 2 Buchst. b DS-GVO und dem Erwrägungsgrund 39 Satz 5 das Risiko der Verarbeitung personenbezogener Daten antizipieren können. Bitte beachten Sie weiterhin, dass nach Art. 12 Abs. 1 DS-GVO die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung gestellt werden müssen.


BVND: Meines Erachtens muß der Arzt als ´Verantwortlicher` den Patienten mindest insoweit über alle ihm bekannten Risiken aufklären, wie er beabsichtigt mit dem Patienten die Cloud auch zu nutzen. Über die Zumutbarkeit zu weitergehender Aufklärung wird jeder Arzt / jede Ärztin eine eigene Vorgehensweise haben: m.E. muss der Arzt über datenrechtliche Konsequenzen, die dem Patienten durch eigene individuelle zusätzliche Nutzung entstehen, nicht aufklären, kann er aber, soweit die Konsequenzen ihm bekannt sind.


Oliver Ebert: Alle mir bekannten Diabetes-Clouds können vom Arzt nur genutzt werden, wenn dieser sich mit der Nutzung der Gesundheitsdaten durch den Anbieter einverstanden erklärt; fast immer muss der Arzt auch eine Weitergabe dieser Daten an nicht näher bezeichnete weitere Unternehmen (u.a. in den USA) akzeptieren. Hierfür gibt allerdings keine zwingende medizinische oder technische Notwendigkeit, so dass eine derartige Datenverarbeitung auch für andere Zwecke als zur Behandlung erfolgt. Aus diesem Grund halte ich eine zusätzliche Aufklärung des Patienten für erforderlich. Dies begründet sich aus § 630c BGB und Art. 12,13 DSGVO sowie aus § 203 StGB, denn eine wirksame Entbindung von der Schweigepflicht setzt eine vorherige Aufklärung voraus.

Die Aufklärung muss den Patienten in verständlicher Weise über alle relevanten Datenverarbeitungsvorgänge informieren. Der Patient muss danach wissen, wer seine Daten erhält, auf welche Weise und für welche Zwecke seine Daten verarbeitet werden und welche Risiken für ihn möglicherweise damit verbunden sind. Die Aufklärung muss den Patient in die Lage versetzen, selbstbestimmt und informiert darüber zu entscheiden können, ob er dem Arzt die Nutzung einer solchen Cloud für seine Behandlung erlauben will oder nicht.



5. Notwendigkeit der Einwilligung der Patienten

Ebenfalls umstritten ist, ob man von Patienten eine ausdrückliche Einwilligung benötigt, um deren Daten mittels einer Diabetes-Cloud zu verarbeiten Dies wird teilweise mit dem Argument verneint, dass die Nutzung der Diabetes-Cloud medizinisch notwendig sei. Manche Stimmen sehen auch im Behandlungsvertrag eine Rechtsgrundlage.

Ebenfalls wird vertreten, dass der Arzt sich bei Nutzung einer von Herstellern unentgeltlich oder preislich subventionierten Diabetes-Cloud die marktüblichen und daher teilweise erheblichen Kosten erspare, die mit der Anschaffung einer der von neutralen IT-Anbietern angebotenen Datenmanagementlösungen verbunden wäre. Diese Kostenersparnis bei der Beschaffung eines notwendigen Betriebsmittels stelle ein berechtigtes Interesse des Arztes dar.

Für den Fall, dass der Patient selbst die Daten in die Cloud einstellt und dem Arzt lediglich den passiven Zugriff erlaubt, wird darauf abgestellt, dass der Patient bei Einrichtung des Cloud-Kontos dem Anbieter eine Einwilligung erteilen musste. Die Freigabe des Datenzugriffs beinhalte notwendigerweise zugleich auch die Einwilligung, dass der Arzt diese Freigabe auch nutzen dürfe.

Andere Auffassungen bezweifeln, dass der Einsatz einer solchen Diabetes-Cloud medizinisch notwendig sei und der gesetzlichen Verpflichtung zur Datensparsamkeit genüge. Zudem gebe es marktakzeptierte Alternativlösungen, die keinerlei Datenpreisgabe an Dritte erfordern. Eine von Arzt/Klinik wie mit den Nutzungsbedingungen akzeptierte, Nutzung der Patientendaten durch den Anbieter bzw. Dritte für eigene kommerzielle Zwecke sei medizinisch in keinem Fall erforderlich; dies diene allein den wirtschaftlichen Zwecken des Anbieters.

Auch eine Ersparnis von Betriebskosten stelle hier kein berechtigtes Interesse dar. Ein solches Tauschgeschäft „kostenlos/subventionierte Datenmanagementlösung gegen Überlassung von Patientendaten zu kommerziellen Zwecken“ sei straf- und berufsrechtlich hochproblematisch und auch in ethischer Hinsicht kaum vertretbar. Unabhängig hiervon müssten auch die Vorgaben des Bundesgerichtshofs zu den Anforderungen an eine wirksame Einwilligung und deren Reichweite beachtet werden.

Für den Fall, dass der Patient selbst die Daten in die Cloud einstellt und dem Arzt lediglich den passiven Zugriff erlaubt, wird damit argumentiert, dass auch für hierfür eine ausdrückliche Einwilligung erforderlich sei. Zudem sei Patienten vielmals nicht klar, dass auch bei einer lediglich passiven Einsicht durch den Arzt weitere Daten mit Gesundheitsbezug generiert würden. Ohnehin seien die vom Patienten abgeforderten Nutzungsbedingungen nicht transparent, so dass es bereits an einer informierten Einwilligung gegenüber dem Cloud-Anbieter mangele.

Sofern die Nutzung einer vom Hersteller angebotenen Diabetes-Cloud die einzige Möglichkeit der Datenauswertung sei, fehle es zudem auch an einer echten Freiwilligkeit der Einwilligung. Verweigere der Patient nämlich die Einwilligung, so könnten die mit dem CGM-System erhobenen Messdaten nicht für die Behandlung genutzt werden. Ohne diese Daten sei dem Arzt aber keine sinnvolle CGM-Therapie möglich.

Vor diesem Hintergrund haben wir folgende Fragen gestellt:

Müssen Gesundheitseinrichtungen zur Nutzung einer Diabetes-Cloud die Einwilligung der jeweiligen Patienten einholen?

Falls ja: Gilt dies auch dann, wenn nur der Patient selbst die Daten in die Cloud einstellt und der Gesundheitseinrichtung eine Zugriffsberechtigung auf die Diabetes-Cloud erteilt?

Falls nein: Ergibt sich eine andere Bewertung, wenn der Arzt ein Hilfsmittel (z.B. Blutzuckermessgerät, CGM, Insulinpumpe) verordnet hat, welches eine Nutzung der damit erhobenen Daten zu Behandlungszwecken bzw. zur Dokumentation nur erlaubt, wenn diese in die Diabetes-Cloud übermittelt werden und dabei dem Anbieter und/oder Dritten ganz oder teilweise zur kommerziellen Verwertung überlassen werden müssen?

Die Behörden stellen mit ihrer Antwort unmissverständlich klar, dass zwingend eine Einwilligung benötigt wird, sofern keine andere Rechtsgrundlage in Frage kommt. Wollen Praxis/Kliniken dem Cloud-Anbieter eine kommerzielle Eigennutzung der Patientendaten erlauben und werden entsprechende Nutzungsbedingungen akzeptiert, dann ist hierfür keine gesetzliche Rechtsgrundlage ersichtlich. Eine solche Datenverarbeitung dient allein den wirtschaftlichen Zwecken des Anbieters und ist insbesondere auch medizinisch nicht erforderlich.

Der Einsatz von Diabetes-Clouds, die eine solche Eigennutzung der Patientendaten abverlangen, ist daher nur mit wirksamer Einwilligung der Patienten zulässig.

Die Voraussetzungen hierfür sind hoch: nach ausdrücklichem Hinweis der Behörden kann eine wirksame Einwilligung in die Verarbeitung von Gesundheitsdaten nur dann vorliegen, wenn die „Einwilligung ausdrücklich, in informierter Weise, unmissverständlich und für den bestimmten Fall abgegeben wurde“. Zudem setzt eine wirksame Einwilligung auch zwingend eine Wahlfreiheit voraus Der Patient muss sich daher auch gegen die kommerzielle Nutzung seiner Daten durch den Cloud-Anbieter entscheiden können, ohne dabei Nachteile in der Therapie oder Behandlungsqualität zu erfahren.

Nur wenn der Patient die Daten selbst in eine Cloud einstellt, und der Cloud-Anbieter dabei allein über die Mittel und Zwecke der Datenverarbeitung entscheide, könnte eine Einwilligung entbehrlich sein. Angesichts der von Arzt/Klinik zu akzeptierenden Nutzungsbedingungen wird man hiervon wohl aber in den meisten Fällen nicht ausgehen können. Die Anbieter verweisen im Kleingedruckten nämlich oft darauf, dass der Arzt das Vorliegen einer wirksamen Einwilligung sicherstellen muss. Ebenso dürfte es schon eine Rolle spielen, wenn der Arzt – unter Missachtung der Voraussetzungen aus § 3 Abs.6 RL-MVV – ein rtCGM-System verordnet, dessen Verlaufsdaten sich nur mit Hilfe einer solchen Diabetes-Cloud auswerten und dokumentieren lassen.

Schließlich sollten Praxen/Kliniken natürlich auch die bereits veröffentlichten Stellungnahmen der europäischen Datenschutzbehörden beachten, welche die Wirksamkeit von Einwilligungen in Bezug auf Gesundheitsdaten ebenfalls an sehr hohe Hürden knüpfen.

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


5. Notwendigkeit der Einwilligung der Patienten

Müssen Gesundheitseinrichtungen zur Nutzung einer Diabetes-Cloud die Einwilligung der jeweiligen Patienten einholen?
Falls ja: Gilt dies auch dann, wenn nur der Patient selbst die Daten in die Cloud einstellt und der Gesundheitseinrichtung eine Zugriffsberechtigung auf die Diabetes-Cloud erteilt?
Falls nein: Ergibt sich eine andere Bewertung, wenn der Arzt ein Hilfsmittel (z.B. Blutzuckermessgerät, CGM, Insulinpumpe) verordnet hat, welches eine Nutzung der damit erhobenen Daten zu Behandlungszwecken bzw. zur Dokumentation nur erlaubt, wenn diese in die Diabetes-Cloud übermittelt werden und dabei dem Anbieter und/oder Dritten ganz oder teilweise zur kommerziellen Verwertung überlassen werden müssen?


Behörden: Jede Verarbeitung personenbezogener Daten bedarf einer Ermächtigungsgrundlage gem. Art. 6 Abs. 1 DS-GVO ggf. in Verbindung mit speziellen bundes- oder landesrechtlichen Regelungen. Für besondere Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, müssen zusätzlich die Vorgaben des Art. 9 DS-GVO eingehalten werden.

Steht insoweit für eine bestimmte Verarbeitung personenbezogener Daten keine andere gesetzliche Rechtsgrundlage. zur Verfügung, müssen die.Voraussetzungen einer Einwilligung nach Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a), Art. 7 DS-GVO gewahrt werden. Voraussetzung einer wirksamen Einwilligung in die Verarbeitung von Gesundheitsdaten ist, dass die Einwilligung ausdrücklich, in informierter Weise, unmissverständlich und für den bestimmten Fall abgegeben wurde, vgl. dazu u.a. Art. 4 Nr. 11, Art. 9 Abs. 2 lit. a) DS-GVO. Ob im gegenständlichen Kontext neben der Einwilligung noch andere gesetzliche Ermächtigungsgrundlagen in Betracht kommen, kann nur im jeweiligen Einzelfall geprüft werden.

Für die Frage, ob es einer Ermächtigungsgrundlage auch bedarf, wenn der Patient oder die Patientin die Daten selbst in eine Cloud einstellt, kommt es auf die datenschutzrechtliche Verantwortlichkeit an. In diesem Zusammenhang wäre daher zu prüfen, ob der Cloud-Anbieter über Mittel und Zwecke der Datenverarbeitung i. S. d. Art. 4 Nr. 7 DS-GVO entscheidet und damit alleine datenschutzrechtlich verantwortlich ist.


BVND: Grundsätzlich m.E. nein: in dem Moment, in dem der Patient die von ihm hochgeladenen Daten in der Cloud mit dem Arzt bespricht und er zu diesem Termin auch aus diesem Grund gekommen ist, ist dazu eine gesonderte schriftliche EV-Erklärung nicht notwendig und m.E. im Rahmen des Behandlungsvertrages, -auftrages gegeben; das würde im Übrigen den Alltagsbetrieb einer Praxis oder einer Ambulanz sprengen. Das gilt m.E. auch für den Fall, dass der Arzt entsprechende andere Hilfsmittel verordnet hat.


Oliver Ebert: Gem. Art. 9 DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt, sofern keine Einwilligung des Betroffenen vorliegt oder ein sonstiger Erlaubnistatbestand aus Art. 9 Abs. 2 DSGVO greift. Eine datenschutzrechtliche Einwilligung wäre daher entbehrlich, wenn die Cloud auf Basis eines zulässigen Auftragsverarbeitungsvertrags genutzt würde. Diese Möglichkeit sehe ich bei den derzeit angebotenen Diabetes-Clouds aber nicht. Der Ausnahmetatbestand des Art. 9 Abs.2 lit h) DSGVO käme in Betracht, wenn die Nutzung der Diabetes-Cloud für die Behandlung tatsächlich „erforderlich“ wäre. Hierzu wird der Arzt aber begründen müssen, warum er die Nutzung einer Diabetes-Cloud als erforderlich ansieht, obwohl es bewährte und marktakzeptierte Alternativlösungen zum Datenmanagement gibt, die keinerlei Datenpreisgabe an Dritte erfordern. Das häufig zu hörende Argument, dass der Hersteller des Hilfsmittels eine Datenauswertung nur unter Nutzung einer Cloud erlaube und diese deswegen erforderlich sei, würde m.E. eher nicht überzeugen können. Aufgrund der Vorgaben des § 3 Abs. 3, 6 Anlage I RL-MVV sowie der Pflicht des Arztes zur Datensparsamkeit aus Art. 5 DSGVO ist nämlich bereits schon fraglich, ob er ein solches Hilfsmittel überhaupt verordnen darf. Auch habe ich Zweifel, ob ein solches Hilfsmittel dann überhaupt „zweckmäßig“ im Sinne des § 12 SGB V sein kann. Bei allen mir bekannten Diabetes-Clouds muss der Arzt zustimmen, dass der Anbieter und/oder Dritte die Patientendaten auch für eigene Zwecke nutzen dürfen. Dies stellt aber dann eine Datenverarbeitung dar, die nicht für die Heilbehandlung erforderlich ist.

Da ich ansonsten keinen Erlaubnistatbestand sehe, erachte ich die Nutzung solcher Diabetes-Clouds nur auf Basis einer wirksamen Einwilligung der Betroffenen als zulässig. Dies ergibt sich im Übrigen auch aus § 203 StGB, wonach ein Bruch der ärztlichen Schweigepflicht stets einer Einwilligung der Patienten bedarf. Selbst wenn die Diabetes-Cloud im Rahmen eines zulässigen Auftragsverarbeitungsvertrags genutzt werden könnte, dürfte dies entsprechend der „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ der Bundesärztekammer noch „keine Befugnis im Sinne von § 203 StGB“ darstellen.

In der Erteilung der Zugriffsberechtigung könnte durchaus eine Einwilligungshandlung des Patienten liegen. Der Arzt trägt hierbei aber das Risiko, dass diese vom Patienten dem Cloud-Anbieter gegenüber erteilte Einwilligung möglicherweise nicht rechtswirksam ist. Dies könnte beispielsweise der Fall sein, wenn der Patient die von ihm abverlangten Nutzungsbedingungen gar nicht verstanden oder die mit seiner Zustimmung möglicherweise verbundenen Risiken in Bezug auf seine Gesundheitsdaten gar nicht realisiert hat. Eine Einwilligung könnte auch dann unwirksam sein, wenn der Patient keine echte Wahl hat und er faktisch zur Nutzung der Diabetes-Cloud gezwungen ist, um die Daten dem Arzt überhaupt zur Verfügung stellen zu können. Der Arzt wird also in eigenem Interesse sicherstellen müssen, dass eine solche dem Cloud-Anbieter vom Patienten erteilte Einwilligung, auf die er sich als Arzt berufen will, tatsächlich den Anforderungen an eine wirksame Einwilligung aus u.a. Art. 9 Abs. 2 lit a) DSGVO bzw. § 203 StGB genügt

Der Umstand, dass der Patient die Daten selbst in die Cloud einstellt, dürfte für die Bewertung der datenschutzrechtlichen Verantwortlichkeit m.E. nur eine geringe Rolle spielen. Denn es geht hierbei ja nicht um die private Nutzung der Cloud durch den Patienten, sondern um deren Einsatz durch Arzt/Klinik zur Erfüllung des Behandlungsvertrags. Diese wären datenschutzrechtlich wohl nur dann aus der Verantwortung, wenn sie tatsächlich nicht die Mittel der Datenverarbeitung (mit-)bestimmen können. Dies dürfte aber eher unrealistisch sein, denn Patienten können dem Arzt definitiv nicht vorschreiben, welche Datenverarbeitungslösungen dieser für seine Behandlungsarbeit nutzen soll. Allein der Arzt entscheidet, ob er einen vom Patienten bereitgestellten „passiven“ Cloud-Zugang als Mittel zur Datenverarbeitung im Rahmen der Behandlungstätigkeit nutzen und die damit für die IT-Sicherheit von Praxis/Klinik verbundenen Risiken eingehen möchte. Zudem wird auch der jeweilige Behandlungskontext eine wesentliche Rolle spielen: wenn der Arzt sich über die Verordnungsvoraussetzungen des G-BA hinweggesetzt und dem Patienten ein rtCGM-System verordnet, welches sich nur über Einsatz einer Diabetes-Cloud einlesen lässt, dann dürfte damit vom Arzt auch schon die Cloud-Nutzung als Mittel zur Datenverarbeitung (vor-)bestimmt worden sein.



6. Anonymisierung der Patientendaten

Einzelne Cloud-Anbieter bewerben die Möglichkeit eines „anonymen“ Uploads, bei dem – nach Angaben der Anbieter - neben den reinen Mess- und Verlaufsdaten nur technische Gerätedaten (zB Seriennummer des Messgeräts, Modell, Firmware-Version) in die Cloud übermittelt werden.

Nach Behauptung der Anbieter liege damit eine wirksame Anonymisierung vor. Hiergegen wird eingewandt, dass CGM-Datensätze ein hochindividuelles Muster aufwiesen. Bereits nur wenige, zufällig ausgewählte Glukosemessungen mit Datum/Uhrzeit seien schon ausreichend, um durch Abgleich mit vorhandenen Datenbeständen einen Patienten weltweit eindeutig zu identifizieren. Bei der Geräteseriennummer eines CGM-Systems bzw. einer Insulinpumpe handele es sich um ein personenbezogenes Datum, unter welcher das Gerät für den Patienten beim Hersteller und/oder Leistungserbringer registriert sei.

Wir haben daher gefragt:

In welchen der nachstehenden Fälle liegt eine Übermittlung anonymisierter Daten vor:
a) Übermittlung von lediglichen Glukosemesswerten, bestehend aus Datum, Uhrzeit und Messwert
oder
b) wie a), zusätzlich unter Übermittlung der Geräteseriennummer?

Die Behörden sehen hier beides kritisch: sowohl die Geräteseriennummer als auch die reinen Mess- bzw. Verlaufsdaten mit den Zeitstempeln könnten eine Identifizierung des Patienten erlauben. Eine Anonymisierung dürfte in Anbetracht der umfangreich gespeicherten personenbezogenen Daten daher „schwer umsetzbar“ sein.

Dies ist auch durchaus nachvollziehbar, denn angesichts ihres einzigartigen Musters können aber selbst bloße Glukosedaten oft sehr einfach bzw. womöglich auch zu einem späteren Zeitpunkt einer bestimmten Person zugeordnet werden. Dies ist den Anbietern auch bewusst und bekannt. Werbeversprechen eines datenschutzrechtlich unproblematischen, „anonymen“ Uploads von CGM-Daten entsprechen daher nicht immer der Wahrheit.

Praxen/Kliniken, die solche als „anonym“ behaupteten Gesundheitsdaten an Cloud-Anbieter übermittelt haben, sollten dringend mit ihrem Datenschutzbeauftragten besprechen, ob möglicherweise eine unverzügliche Selbstmeldung an die Behörde erfolgen muss.

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


6. Anonymisierung der Patientendaten

In welchen der nachstehenden Fälle liegt eine Übermittlung anonymisierter Daten vor:
a) Übermittlung von lediglichen Glukosemesswerten, bestehend aus Datum, Uhrzeit und Messwert? b) wie a), zusätzlich unter Übermittlung der Geräteseriennummer?


Behörden: Ohne weitere, konkrete Sachverhaltsangaben und Informationen dazu, welche Zusatzinformationen gegebenenfalls vorhanden sind, kann die Frage der Abgrenzung personenbezogener Daten von anonymen Daten nicht abschließend beantwortet werden. Vorbehaltlich dessen weise ich allgemein auf Folgendes hin: Aus den von Ihnen vorgelegten Unterlagen geht nach derzeitigem Stand lediglich hervor, dass die Geräteseriennummer namentlich zugeordnet wird.

Folglich fungiert auch bei einer Löschung des Namens die Geräteseriennummer als ein Pseudonym. Weiter würden die Mess-, Verlaufsdaten mit den Zeitstempeln in der Kombination ebenfalls eine Identifizierung mit entsprechenden Zusatzwissen ermöglichen, so dass eine Anonymisierung in Anbetracht der umfangreich gespeicherten personenbezogenen Daten schwer umsetzbar sein dürfte. (Denn ein wesentliches Kriterium für die Personenbeziehbarkeit von Daten bzw. deren Anonymisierung ist die Möglichkeit der Reidentifizierung, auch unter Hinzuziehung zusätzlicher Informationen, vgl. Erwägungsgrund. 26 DS-GVO.)


BVND: M.E. nur allenfalls für a); aber auch da kann über entsprechende Stoffwechsel-Wertemuster Rückschluss auf die anwendende Person gezogen werden; für den Fall b) gilt: über die Seriennummer ist die Identität des Nutzers vergleichsweise einfach zu ermitteln.


Oliver Ebert: Von einer Anonymisierung wird ausgegangen, wenn aufgrund der Daten „die betroffene Person nicht oder nicht mehr identifiziert werden kann“ (vgl. Erwägungsgrund 26 zur DSGVO). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sieht eine Anonymisierung als gegeben, wenn eine „Re-Identifizierung praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann“ (https://www.bfdi.bund.de/DE/Infothek/Transparenz/Konsultationsverfahren/01_Konsulation-Anonymisierung-TK/Positionspapier-Anonymisierung.pdf, abgerufen am 01.04.2021). Hersteller bzw. Anbieter von Medizinprodukten sind aus regulatorischen bzw. gesetzlichen Gründen regelmäßig verpflichtet, die Anwender ihrer Produkte namentlich und mit der Geräteseriennummer zu erfassen, insbesondere zur Vigilanz und für etwaige Rückrufe und Warnungen. Vor diesem Hintergrund sehe ich unter Beantwortung von b) keine Anonymisierung, wenn die Geräteseriennummer eines CGM-Systems bzw. einer Insulinpumpe übermittelt werden.

Aber auch die reinen Messdaten eines rtCGM-Systems oder die Verlaufsdaten einer Insulinpumpe stufe ich nicht als lediglich anonyme Daten ein:


Wenn man aus den obigen auszugsweise dargestellten rtCGM-Daten eines Patienten nur drei beliebige Datensätze herausgreift (hier: 17.01.2021 11:11 Uhr, 167mg/dL; 16.01.2021 23:49, 120 mg/dL; 04.01.2021 05:46 129 mg/dL), dann wird man weltweit wohl keinen anderen Menschen mehr finden, der exakt diese Wertekombination aufweist.

Dies basiert auf folgender Überlegung: Bereits bei einer nur minutengenauen Speicherung einer Glukosemessung durch das rtCGM--System sind pro Tag schon 1440 unterschiedliche Zeitstempel für eine Glukosemessung möglich. Bei sekundengenauer Speicherung erhöht sich diese Anzahl sogar auf 86400 Möglichkeiten pro Tag. Der Messbereich der meisten rtCGM--Systeme liegt zwischen ca 30 – 600 mg/dL, so daß 570 mögliche Ergebnisse resultieren können. Die meisten Messergebnisse dürften tatsächlich allerdings in einem Bereich zwischen 40 und 300 mg/dL liegen, so dass der übrige Wertebereich vernachlässigt werden kann.

Unter obigen Annahmen ergeben sich 1440 (=Minuten) *260 (=Messwert zwischen 40-300) mögliche Konstellationen für eine Glukosemessung. Schon bei zwei zufällig gewählten Glukosemessungen eines selben Tages, die zueinander in einem hinreichenden zeitlichen Abstand liegen, liegt die Wahrscheinlichkeit, dass ein anderer Patient die identische Kombination beider Werte aufweist, nur noch bei lediglich 1:140.175.360.000. Unter Berücksichtigung von drei Glukosemessungen sinkt die Wahrscheinlichkeit einer Übereinstimmung exponentiell noch weiter, auf ca. auf 1: 52.481.654.784.000.000. Noch erheblich geringer wird die Wahrscheinlichkeit, wenn die zum Vergleich herangezogenen Messwerte von unterschiedlichen Tagen stammen und/oder noch weitere Daten – beispielsweise das Modell des Messgeräts oder das Land des Anwenders - in den Abgleich einbezogen werden können.

Vor diesem Hintergrund ist auch zu berücksichtigen, dass beispielsweise in USA oder Fernost keine vergleichbaren Datenschutzbestimmungen wie in der EU gelten. Es ist dort zumeist recht unproblematisch möglich, selbst sensible personenbezogene Daten anzukaufen oder weiterzuverkaufen. Gerade im Diabetes-Bereich investieren Pharmakonzerne hunderte Millionen von US$ in Diabetes-Apps oder Cloud-Lösungen, deren Geschäftsmodell primär in der Merkantilisierung der damit erhobenen Gesundheitsdaten besteht.

Bereits eine nur oberflächliche Recherche bei google ergibt, dass beispielsweise der Pharmakonzern Roche die populäre Diabetes-App „mySugr“ erworben hat und dafür über 100 Millionen US$ bezahlt haben soll, diese Investition wird sich ganz sicher nicht allein durch Umsätze mit App-Verkäufen kompensieren lassen. In einer aktuellen Pressemeldung gibt der Diabetes-Cloud-Anbieter glukoo/Diasend bekannt, dass er von Investoren erneut über 30 Millionen US-Dollar erhalten habe. Weitere Pressemitteilungen dieses Unternehmens geben hinreichend Aufschluss über dessen Geschäftsmodell mit den Daten sowie über dessen Partnerschaften mit Firmen, die sich für diese Daten interessieren. Vor diesem Hintergrund halte ich es daher nicht für ausgeschlossen oder unwahrscheinlich, dass sich solche vom Arzt übermittelten Messwertdaten (wieder) einem Patienten zuordnen lassen. Der Anbieter der Diabetes-Cloud – oder Dritte, denen jener diese Daten weitergibt – müsste diese Daten dazu nur mit einem aktuell vorhandenen oder später hinzukommenden Datenbestand abgleichen.

Das nachstehende Beispiel zeigt, dass dies ein sehr realistisches Szenario ist: Ein Patient nutzt die von einem Hersteller angebotene Diabetes-Cloud. Zwischenzeitlich verschlechtert sich seine Stoffwechsellage derart, dass er angesichts seiner Glukosewerte nicht mehr autofahren dürfte. Aus Sorge vor etwaigen Nachteilen, wenn seine Stoffwechsellage Dritten bekannt wird, sieht er von einer Übermittlung dieser Daten über sein Cloud-Konto ab. Um die gerade in einer solchen Situation für die Behandlung besonders notwendigen Daten zu nutzen, lädt stattdessen der Arzt die Daten beim nächsten Untersuchungstermin dann vermeintlich „anonym“ in die Diabetes-Cloud. Allerdings deckt der Speicher des rtCGM-Systems einen Zeitraum von 90-180 Tagen ab und kann nicht gelöscht werden. Die vom Arzt hochgeladenen Daten werden sich daher sehr wahrscheinlich mit den vom Patienten zuvor schon selbst hochgeladenen Daten überlappen. Es ist für den Cloud-Anbieter dann absolut unproblematisch, die „anonymen“ Daten mit den bei ihm schon vorhandenen, personenbezogenen Daten zu vergleichen und den „passenden“ Patienten dann in Sekundenschnelle eindeutig zu ermitteln.



7. Datenschutzrechtliche Erheblichkeit

Manche Meinungsbildner sehen für Praxen/Kliniken generell keine nennenswerten datenschutzrechtlichen Problemstellungen oder Risiken, während Datenschutzexperten massiv und unter Hinweis auf hohe Bußgeldrisiken sowie strafrechtliche Relevanz vor einer Datenweitergabe an Cloud-Anbieter warnen.

Teilweise wird behauptet, dass auch kleine Arztpraxen durchaus mit fünfstelligen Bußgeldern rechnen müssten. Umgekehrt werden Experten als Bedenkenträger stigmatisiert, die lediglich auf offizielle Verlautbarungen der Datenschutzkonferenz (DSK) oder Gerichtsentscheidungen aus dem In- und Ausland verweisen.

Wir haben daher erhofft, von den Behörden eine Einschätzung zu erhalten:

In welchen der nachstehenden Konstellationen ist von einem erheblichen Datenschutzverstoß auszugehen, bei dem Arztpraxen/Kliniken im Falle einer aufsichtsrechtlichen Prüfung mit einem Bußgeld rechnen müssen?

Falls ja, wie erheblich ist der Verstoß anzusehen und von welcher Größenordnung eines Bußgelds sollten Arztpraxen/Kliniken dann realistischerweise ausgehen bei:
a) Nutzung einer Diabetes-Cloud auf Basis einer privilegierten Auftragsverarbeitung gem. Art. 28 DSGVO, obwohl die Voraussetzungen für eine zulässige Auftragsverarbeitung nicht vorliegen?
b) Unterlassung oder nicht pflichtgemäße Durchführung einer vorgeschriebenen Datenschutzfolgeabschätzung?
c) Nicht durch einen Erlaubnistatbestand gedeckte Übermittlung von Gesundheitsdaten an Dritte, insbesondere in USA?
d) wie c), zusätzlich aber mit Einverständnis der Arztpraxis/Klinik zur wirtschaftlichen Nutzung dieser Daten durch die Empfänger?
e) Unterlassung der Bestellung eines Datenschutzbeauftragten entgegen § 38 Abs. 1 S. 2 BDSG iVm. Art. 35 DSGVO?

Nicht ganz überraschend teilen die Behörden aber mit, dass die Frage der Erheblichkeit eines Datenschutzverstoßes nur im konkreten Einzelfall geprüft werden. Generell drohten aber Bußgelder, wenn die Datenschutzregelungen nicht eingehalten werden. Gewisse Anhaltspunkte zur Bußgeldberechnung haben die deutschen Datenschutzbehörden aber bereits vor geraumer Zeit im Internet veröffentlicht: www.datenschutzkonferenz-online.de.

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


7. Datenschutzrechtliche Erheblichkeit

In welchen der nachstehenden Konstellationen ist von einem erheblichen Datenschutzverstoß auszugehen, bei dem Arztpraxen/Kliniken im Falle einer aufsichtsrechtlichen Prüfung mit einem Bußgeld rechnen müssen?
Falls ja, wie erheblich ist der Verstoß anzusehen und von welcher Größenordnung eines Bußgelds sollten Arztpraxen/Kliniken dann realistischerweise ausgehen:
a) Nutzung einer Diabetes-Cloud auf Basis einer privilegierten Auftragsverarbeitung gem. Art. 28 DSGVO, obwohl die Voraussetzungen für eine zulässige Auftragsverarbeitung nicht vorliegen? b) Unterlassung oder nicht pflichtgemäße Durchführung einer vorgeschriebenen Datenschutzfolgeabschätzung?
c) Nicht durch einen Erlaubnistatbestand gedeckte Übermittlung von Gesundheitsdaten an Dritte, insbesondere in USA?
d) wie c), zusätzlich aber mit Einverständnis der Arztpraxis/Klinik zur wirtschaftlichen Nutzung dieser Daten durch die Empfänger?
e) Unterlassung der Bestellung eines Datenschutzbeauftragten entgegen § 38 Abs. 1 S. 2 BDSG iVm. Art. 35 DSGVO?


Behörden: Die Frage der Erheblichkeit eines Datenschutzverstoßes kann nur im konkreten Einzelfall geprüft werden. Grundsätzlich drohen Bußgelder, wenn die Datenschutzregelungen nicht eingehalten werden. Konkrete Regelungen dazu, wenn und in welcher Höhe Bußgelder verhängt werden können, finden sich in Art. 83 DS—GVO.


BVND: Verstöße mit entsprechenden Sanktionen liegen in allen Fällen vor. Inwieweit und in welchen Dimensionen es dabei zu Ahndungen kommt, entzieht sich bisher meiner praktischen und verfügbaren Kenntnis – auch als Verbandsvorsitzendem des BVND, ist aber in den Rechtsverordnungen und gesetzlichen Regelungen in Hinsicht auf die Höchstgrenzen festgelegt. Beim Thema Datenschutzfolgeabschätzung sollte diese vor Einbringung eines Produktes in den Markt von dafür kompetenten Stellen vorgegeben sein.


Oliver Ebert: Für die Verletzung administrativer Datenschutzbestimmungen, kann gem. Art. 83 Abs. 4 DSGVO „ein Bußgeld von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Kommt es zu konkreten Datenschutzverletzungen, also beispielsweise wenn Daten unberechtigt an Dritte weitergegeben werden, dann sieht Art. 83 Abs. 5 DSGVO einen deutlich höheren Bußgeldrahmen vor. Es können dann „Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“. Tatsächlich ist es auch schon zu erheblichen Bußgeldfestsetzungen im medizinischen Bereich gekommen. Datenschutzbehörden in Deutschland, Holland und Portugal haben gegen Gesundheitseinrichtungen schon Strafen im teilweise deutlich sechsstelligen Bereich verhängt.

Ob und in welcher Höhe es zu einem Bußgeld kommt, entscheidet die Behörde im Einzelfall; sie wird sich bei der Bemessung der Höhe eines Bußgeldes u.a. am Umsatz der Arztpraxis bzw. der Klinik und dem Schweregrad der Datenschutzverletzung(en) orientieren.

Vor diesem Hintergrund beantworte ich die Fragen wie folgt:

a) Gem. Art. 83 Abs. 4 lit a) DSGVO stellt dies einen erheblichen Verstoß gegen formelle Datenschutzpflichten dar. Die Behörden können „Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“
Da in der Regel keine zusätzliche bzw. rechtswirksame Einwilligung jedes Patienten eingeholt wurde, wird die Nutzung der Diabetes-Cloud dann auch mit zahlreichen Verstößen gegen eine oder mehrere der in Art. 83 Abs. 5 DSGVO benannten Bestimmungen einhergehen. Von der Behörde werden dann je nach den Umständen des Einzelfalls „Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“

b) Auch dies stellt gem. Art. 83 Abs. 4 lit a) DSGVO einen erheblichen Verstoß gegen formelle Datenschutzpflichten dar. Von der Behörde werden dann je nach den Umständen des Einzelfalls „Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.
Ärzte haben mir in diesem Zusammenhang schon mehrfach berichtet, dass ihnen geraten wurde, den Einsatz der Diabetes-Cloud am Besten schon gar nicht in ihrem Verarbeitungsverzeichnis aufzuführen. Da eine Aufsichtsbehörde die Abläufe in der Praxis nicht kenne, sei es sehr unwahrscheinlich, dass die Diabetes-Cloud bei einer Prüfung thematisiert oder eine Datenschutzfolgeabschätzung vorgelegt werden müsse. Dies halte ich für absolut unverantwortlich und birgt ein erhebliches Risikopotential. Zum einen sollte die Kompetenz der Behörden nicht unterschätzt werden. Zum anderen wird eine Prüfung ja oftmals aufgrund einer konkreten Beschwerde oder einer bekannt gewordenen Datenschutzverletzung erfolgen, anhand derer die Nutzung einer Diabetes-Cloud offensichtlich ist.

c) Dies stellt gem. Art. 83 Abs. 5 lit a) und c) DSGVO einen erheblichen Verstoß gegen materielle Datenschutzpflichten dar. Von der Behörde werden dann je nach den Umständen des Einzelfalls „Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“

d) Gem. Art. 83 Abs. 1 DSGVO hat die Aufsichtsbehörde sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und auch abschreckend ist. Eine bewusste Zuführung von Patientendaten an kommerzielle Unternehmen könnte als grober Rechtsbruch angesehen werden, vor allem wenn dieser Datentransfer als Gegenleistung für eine dem Arzt vom Cloud-Anbieter kostenlos oder zum Dumpingpreis zugewendeten Nutzungsmöglichkeit der Diabetes-Cloud erkannt wird. In solchen Fällen sehe ich auch eine gefährliche Nähe zu einer Strafbarkeit nach § 42 BDSG sowie die Gefahr berufsrechtlicher Sanktionen.
Die von den Behörden bislang mit Bußgeldern in schon sechsstelliger Höhe sanktionierten Datenschutzverstöße durch Kliniken dürften m.E. weniger gravierend anmuten im Vergleich zu der willentlichen und wissentlichen Weitergabe von Patientendaten an Unternehmen der pharmazeutischen bzw. diagnostischen Industrie, wie dies bei Diabetes-Clouds regelmäßig der Fall ist. Ich halte es daher für nicht abwegig, dass die Behörden in solchen Fällen durchaus auch signifikant hohe Bußgelder festsetzen werden.

e) Auch dies stellt gem. Art. 83 Abs. 4 lit a) DSGVO einen erheblichen Verstoß gegen formelle Datenschutzpflichten dar. Von der Behörde werden dann je nach den Umständen des Einzelfalls „Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.



8. Maßnahmen bei Datenschutzverstößen

Schließlich haben wir die Behörden befragt, was zu tun ist, wenn Datenschutzbehörden bekannt werden:

Wenn eine Arztpraxis/Klinik aufgrund Ihrer Antworten auf unsere Fragen befürchtet, dass es möglicherweise zu von ihr zu verantwortenden Datenschutzverstößen bzw. Datenschutzverletzungen gekommen ist: welche Maßnahmen sind diesen Gesundheitseinrichtungen zu empfehlen?

Auch hier eine unmissverständliche Antwort der Behörden:

„Gem. Art. 33 DS-GVO ist der Verantwortliche unter den dort genannten Bedingungen verpflichtet einen Datenschutzverstoß unverzüglich der zuständigen Aufsicht zu melden. Eine unterlassene Meldung [...] ist bußgeldbewährt. Gern. Art. 34 DS-GVO kann ferner eine Pflicht zur Benachrichtigung der betroffenen Person bestehen, wenn der Datenschutzverstoß voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. [...] Bei Unsicherheit hinsichtlich der Rechtskonformität einer Verarbeitung personenbezogener Daten empfiehlt sich die Konsultation eines Rechtsbeistands oder der zuständigen Aufsichtsbehörde.“

Dies bedeutet: Wenn Praxen/Kliniken bei bisheriger Nutzung einer Diabetes-Cloud die obigen Pflichten bzw. Anforderungen nicht erfüllt bzw. nicht für jeden einzelnen Patienten sichergestellt und eingehalten haben, ist umgehendes Handeln erforderlich: Rechtswidrige Datenverarbeitungen sind sofort einzustellen. Unter den Vorgaben des Art. 33 DSGVO müssen auch unabsichtlich bzw. unwissentliche begangene Verstöße gegen datenschutzrechtliche Pflichten unverzüglich und unaufgefordert an die Behörde gemeldet werden.

Vor diesem Hintergrund empfiehlt sich folgende Vorgehensweise:

Ärzte/Kliniken sollten unverzüglich alle eingesetzten Cloud- und Softwarelösungen zum Diabetes-Management dahingehend überprüfen, ob und in welchem Umfang mit deren Nutzung eine Übermittlung von Patientendaten an Dritte einhergeht.

Dazu ist es unumgänglich, dass die jeweiligen Nutzungsbedingungen vollständig und fachkompetent geprüft werden - einschließlich aller Dokumente, auf die dort inhaltlich verwiesen wird, denn deren Geltung wurde ja mitvereinbart. Aufgrund der Komplexität der meisten Regelungen können normale Datenschutzbeauftragte ohne dezidierte juristische Qualifikation hierzu selten hinreichend rechtssicher beraten. In eigenem Interesse sollte man keinesfalls auf die Angaben der Anbieter vertrauen.

Es empfiehlt sich daher, eine datenschutzrechtlich spezialisierte Kanzlei mit der Prüfung zu beauftragen, auch wenn dies mit nicht unerhebliche Kosten verbunden ist. Um eine wirklich objektive Rechtsberatung sicherzustellen, sollte der Anwalt möglichst auch keine Berührungspunkte mit der „Diabetes-Szene“ haben. Nach Prüfung der Nutzungsbedingungen auf Basis der vorliegenden Stellungnahmen sollten mit dem Anwalt bzw. Datenschutzbeauftragten dann die weiteren organisatorischen Maßnahmen und Konsequenzen abgestimmt werden, insbesondere die etwaige Notwendigkeit einer Selbstmeldung an die Behörde.

Praxen/Kliniken, die auf Aussagen vertraut haben, dass sie dann nicht (mehr) verantwortlich sein, wenn der Patient die Daten selbst in die Cloud stelle, sollten hierfür eine Begründung nachfragen. Allein der Arzt entscheidet, ob er einen vom Patienten freigeschalteten, "passiven" Cloud-Zugang als Mittel der Datenverarbeitung im Rahmen seiner Behandlungstätigkeit nutzen will. Immerhin sind damit ja auch gewisse Risiken für die IT-Sicherheit von Praxis/Klinik verbunden. Es wird daher juristisch überzeugender Argumente bedürfen, warum der Arzt trotzdem nicht verantwortlich für diese Datenverarbeitung sein soll. Wenn es dafür allerdings keine wirklich nachvollziehbare und tragfähige Begründung gibt, dann dürfte der Datenschutzbeauftragte der Praxis/Klinik eine Selbstmeldung gem. Art. 33 DSGVO wohl meist als unumgänglich erachten.

.

Einige Datenschutzberater haben auf Basis des von den Behörden veröffentlichten Bußgeldkonzepts spezielle Online-Rechner entwickelt, mit denen man anonym die Höhe eines möglichen Bußgelds abschätzen kann. Ein solcher Rechner findet sich beispielsweise kostenlos unter: www.e-recht24.de. Dort können Sie einfach ermitteln, ob und inwieweit die Risiken für Ihre Praxis/Klinik vertretbar sind. Nachstehend finden Sie einige typische Szenarien sowie der Schweregrad, von dem man bei der Berechnung realistischerweise ausgehen sollte.

Datenschutzverletzung Anzunehmender Schweregrad
Diabetes-Cloud wurde nicht im Datenverarbeitungsverzeichnis geführt Mittelschwer
Keine DSFA, obwohl Cloud die Kriterien der „Muss“-Liste erfüllt Mittelschwer bis schwer
Fehlender Vertrag gem. Art 26 DSGVO, obwohl gemeinsame Verantwortlichkeit Mittelschwer bis schwer
Vergessene/unterbliebene/unzureichende Aufklärung eines Patienten Mittelschwer bis schwer
Übermittlung von Gesundheitsdaten an den Cloud-Anbieter ohne wirksame Rechtsgrundlage; z.B. erforderliche Einwilligung wurde mindestens in einem Fall versehentlich nicht eingeholt oder ist mangels Aufklärung unwirksam Schwer bis sehr schwer
Keine unverzügliche (<=72 h) Meldung, wenn eine der obigen Datenverletzungen begangen wurde Mittelschwer bis schwer

Bei Bewertung des „eigenen Verschuldens“ ist zu berücksichtigen, dass Arzt/Klinik die Nutzungsbedingungen der Diabetes-Cloud akzeptiert und daher in voller Kenntnis über deren Inhalt und die damit verbundenen Datenverarbeitungsvorgänge sind. Auch die Kenntnis der gesetzlichen Datenschutzpflichten muss vorausgesetzt werden („Unwissenheit schützt vor Strafe nicht!“).

    ▶ Antworten im Volltext sowie rechtliche Einschätzungen ausklappen


8. Maßnahmen bei Datenschutzverstößen

Wenn eine Arztpraxis/Klinik aufgrund Ihrer Antworten auf die unsere Fragen befürchtet, dass es möglicherweise zu von ihr zu verantwortenden Datenschutzverstößen bzw. Datenschutzverletzungen gekommen ist: welche Maßnahmen sind diesen Gesundheitseinrichtungen zu empfehlen?


Behörden: Gem. Art. 33 DS-GVO ist der Verantwortliche unter den dort genannten Bedingungen verpflichtet einen Datenschutzverstoß unverzüglich der zuständigen Aufsicht zu melden. Eine unterlassene Meldung nach Art. 33 DS—GVO ist gem. Art. 83 Abs. 4 lit. a) DS-GVO bußgeldbewährt. Gern. Art. 34 DS—GVO kann ferner eine Pflicht zur Benachrichtigung der betroffenen Person bestehen, wenn der Datenschutzverstoß voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Unsicherheit hinsichtlich der Rechtskonformität einer Verarbeitung personenbezogener Daten empfiehlt sich die Konsultation eines Rechtsbeistands oder der zuständigen Aufsichtsbehörde.


BVND: Zunächst sollte jede Einrichtung ja eine*n Datenschutzbeauftragte*n – am besten von extern – haben, die / den man um Rat fragen kann und sollte. Nach Rücksprache mit diesem dann im nächsten Schritt: Datenschutzkundiger Rechtsbeistand! Unter den momentanen Bedingungen müssen auch Verbände / Berufsverbände sich immer wieder selbst und individuell Rechtsauskunft und -beratung einholen und sind vor allem aktuell selbst nicht in der Lage, ausreichend rechtssichere Beratung anzubieten.


Oliver Ebert: Ich halte es für unabdingbar, dass man - spätestens jetzt! - die Angaben des Anbieters zum Datenschutz sowie die von der Arztpraxis/Klinik akzeptierten Nutzungsbedingungen der Diabetes-Cloud vollständig liest und diese von einer datenschutzrechtlich nachweislich kompetenten Fachperson sorgfältig und vollständig prüfen lässt. Hierzu empfehle ich dringend, eine vollkommen neutrale Fachperson mit dieser Aufgabe betrauen, die keinerlei Bezug zur Diabetes-Branche hat. Nur so ist sichergestellt, dass die aufgeworfenen Fragen objektiv und nicht interessengeleitet geklärt werden.

Bei den meisten Diabetes-Cloudlösungen sind die abgeforderten Nutzungsbedingungen sehr umfangreich und umfassen schon auch mal 40-50 Seiten, mitunter wird auch noch auf englischsprachige Dokumente verwiesen, die ebenfalls mitgelten (sollen). Die Kosten für eine solche datenschutzrechtliche Bewertung können daher erheblich sein, trotzdem hielte ich es grob fahrlässig, wenn eine Praxis hierauf verzichten würde.

In Abstimmung mit dem Datenschutzbeauftragten der Praxis/Klinik – bei Nutzung einer Diabetes-Cloud muss ein solcher aufgrund § 38 Abs. 1 S. 2 BDSG iVm. Art. 35 DSGVO meines Erachtens zwingend bestellt worden sein, und zwar unabhängig von der Praxisgröße – sollten die dann gebotenen Maßnahmen unverzüglich umgesetzt werden. Diese könnten durchaus auch eine unverzügliche Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) oder die Benachrichtigung der betroffenen Patienten (Art. 34 DSGVO) beinhalten müssen.



Autor:
RA Oliver Ebert
REK Rechtsanwälte Stuttgart, Balingen
Friedrichstraße 49, 72336 Balingen


Erschienen in: Diabetes-Forum, 2021; 33 (7/8) Seite 29-32