Viele diabetologische Praxen und Kliniken setzen für das digitale Management von Patientendaten Cloud-Lösungen ein – dabei herrschen jedoch vielerorts Unsicherheit und Unwissen bezüglich der konkreten datenschutzrechtlichen Bestimmungen. Daher haben wir zu dieser Problematik bei Datenschutzbehörden nachgefragt. Die erste Stellungnahmen liegen nun vor, mit eindeutigem Ergebnis: Für Praxen und Kliniken besteht nun dringender Handlungsbedarf!

Dies ist die Kurzversion eines ausführlichen Artikels unseres Rechts-Experten Oliver Ebert. Diesen finden Sie in der kommenden Ausgabe der Zeitschrift Diabetes-Forum sowie bereits jetzt hier auf diabetologie-online

Datenschutzexperten warnen schon länger, dass beim Einsatz von Diabetes-Clouds häufig elementare gesetzliche Pflichten grob missachtet werden. Spätestens nachdem auch die Deutsche Diabetes Gesellschaft (DDG) Anfang des Jahres offiziell über die Problematik informierte, war Handlungsbedarf für Praxen bzw. Kliniken angezeigt.

Dies bedeutet im Klartext: wer solche Cloud-Lösungen ohne sorgfältige Prüfung einsetzt, fährt derzeit - bildlich gesprochen – im Blindflug durch ein juristisches Minenfeld. Vielen Ärzten ist offensichtlich nicht bewusst, dass Datenschutzverstöße keine Bagatellen sind und gerade im Gesundheitsbereich mit teilweise exorbitanten Bußgeldern sanktioniert werden.

Weiter wie bisher? Nicht ratsam!

Eine Möglichkeit wäre, einfach unverändert weiterzumachen. Das ist aber nicht ratsam: Keine Praxis kann sicher sein, dass sie nicht plötzlich im Fokus der Behörde steht - beispielsweise aufgrund der Anzeige eines unzufriedenen Patienten, eines missgünstigen Kollegen oder eines Mitarbeiters, von dem man sich im Streit getrennt hat. Schon oberflächliche Recherchen bei google zeigen, dass die Behörden bei Datenschutzverstößen zwischenzeitlich konsequent durchgreifen und hohe Strafen festsetzen.

Ein anderer Ansatz bestünde darin, die Rechtslage durch juristische Gutachten klären zu lassen. Das ist aber teuer und hilft nur, wenn die Expertise lege artis erstellt wird und dabei auch keine relevanten Tatsachen unter den Tisch gekehrt werden, die für irgendjemanden vielleicht unbequem sind. Selbst dann bliebe ein Graubereich, denn die Behörden könnten es im Ergebnis auch anders sehen als die befragten Anwälte.

Wir haben für Sie bei den Behörden nachgefragt

Es gibt aber auch noch eine dritte Möglichkeit, um verlässlich Klarheit zu bekommen: man braucht die Behörden doch einfach nur zu fragen! Und das haben wir nun für unsere Leserinnen und Leser getan. Wir haben an zahlreiche Datenschutzbehörden, an DDG und BVND sowie an weitere Stellen einen ausführlichen Fragenkatalog zu Diabetes-Clouds geschickt; selbstverständlich haben wir dabei auf keinen konkreten Anbieter Bezug genommen.

Darauf hat man uns mitgeteilt, dass bereits bei mehreren Datenschutzbehörden diesbezügliche Anzeigen von Patienten vorliegen. Mutmaßlich hatte man behördlicherseits auch die von der DDG veröffentlichten Bedenken bereits zur Kenntnis genommen. Die Datenschutzbehörden halten die Problematik daher wohl für so wichtig, dass man sich zu einer gemeinsamen und im fachlich zuständigen Arbeitskreis Gesundheit und Soziales der Datenschutzkonferenz abgestimmten Stellungnahme veranlasst sah.

Unmissverständliche Warnung an die Ärzteschaft

Unsere Anfrage dürfte daher gerade noch rechtzeitig gekommen sein: die ungewöhnlich ausführliche Stellungnahme der Behörden kann als unmissverständliche Warnung an die Ärzteschaft verstanden werden, rechtswidrige Datenverarbeitungen im Zusammenhang mit Diabetes-Clouds sofort einzustellen und die gesetzlichen Pflichten zu beachten.

Dank der nun vorliegenden Antworten können Datenschutzbeauftragte von Praxis/Klinik jetzt deutlich besser abschätzen, ob eine Diabetes-Cloud eingesetzt werden darf und welche Pflichten, Kosten und Risiken damit einhergehen.

Ausführliche Behörden-Antworten im Diabetes-Forum und auf diabetologie-online


In der kommenden Ausgabe des Diabetes-Forums, die am 12. Juli 2021 erscheint, sowie in einem bereits jetzt zugänglichen Online-Beitrag stellen wir Ihnen die Stellungnahme der Datenschutzbehörde im Volltext vor – ebenso wie die dazugehörigen Einschätzungen von Oliver Ebert aus seiner fachlichen Sicht sowie die Antworten, die wir von anderen befragten Stellen erhalten haben.

Praxen und Kliniken sollten nun unverzüglich handeln:

  1. Ärzte/Kliniken sollten nun umgehend die Nutzungsbedingungen aller eingesetzten Diabetes-Clouds sorgfältig und vollständig prüfen (lassen). Auch etwaige mit dem Anbieter zusätzlich getroffenen Vereinbarungen müssen in die Prüfung einbezogen werden. Die nun vorliegenden Antworten und Einschätzungen helfen bei der Bewertung.
  2. Aufgrund der Komplexität der meisten Regelungen können Datenschutzbeauftragte ohne dezidierte juristische Qualifikation hierzu selten hinreichend rechtsicher beraten. Es empfiehlt sich eine Prüfung durch datenschutzrechtlich spezialisierte Kanzleien, auch wenn dies mit nicht unerhebliche Kosten verbunden ist. In eigenem Interesse sollte man keinesfalls auf die Angaben der Anbieter vertrauen. Um eine wirklich objektive Rechtsberatung sicherzustellen, sollte der Anwalt möglichst auch keine Berührungspunkte mit der „Diabetes-Szene“ haben.
  3. Nach Prüfung der Nutzungsbedingungen sowie der Abläufe sollten mit dem Anwalt bzw. Datenschutzbeauftragten die erforderlichen organisatorischen Maßnahmen und Konsequenzen abgestimmt werden.
  4. Sollte sich herausstellen, dass bei der bisherigen Cloud-Nutzung wesentliche gesetzliche Pflichten nicht eingehalten bzw. ignoriert wurden, dann dürfte eine unverzügliche Selbstmeldung an die Behörde unabdingbar sein.

Tipp: Häufig werden zur Höhe von möglichen Bußgeldern unrealistische Summen behauptet. Spezialisierte Anwälte haben daher auf Basis eines von den Datenschutzbehörden veröffentlichten Bußgeldkonzepts spezielle Online-Rechner entwickelt, mit denen man anonym die Höhe eines möglichen Bußgelds abschätzen kann.

Ein solcher Rechner findet sich beispielsweise kostenlos unter: www.e-recht24.de

Nachstehend finden Sie einige typische Szenarien sowie der Schweregrad, von dem man bei der Berechnung realistischerweise ausgehen sollte:

Datenschutzverletzung Anzunehmender Schweregrad
Diabetes-Cloud wurde nicht im Datenverarbeitungsverzeichnis geführt Mittelschwer
Keine DSFA, obwohl Cloud die Kriterien der „Muss“-Liste erfüllt Mittelschwer bis schwer
Fehlender Vertrag gem. Art 26 DSGVO, obwohl gemeinsame Verantwortlichkeit Mittelschwer bis schwer
Vergessene/unterbliebene/unzureichende Aufklärung eines Patienten Mittelschwer bis schwer
Übermittlung von Gesundheitsdaten an den Cloud-Anbieter ohne wirksame Rechtsgrundlage; z.B. erforderliche Einwilligung wurde mindestens in einem Fall versehentlich nicht eingeholt oder ist mangels Aufklärung unwirksam Schwer bis sehr schwer
Keine unverzügliche (<=72 h) Meldung, wenn eine der obigen Datenverletzungen begangen wurde Mittelschwer bis schwer

Bei Bewertung des „eigenen Verschuldens“ ist zu berücksichtigen, dass Ärztinnen oder Ärzte bzw. Kliniken die Nutzungsbedingungen der Diabetes-Cloud akzeptieren und daher in voller Kenntnis über deren Inhalt und die damit verbundenen Datenverarbeitungsvorgänge sind. Auch die Kenntnis der gesetzlichen Datenschutzpflichten muss vorausgesetzt werden („Unwissenheit schützt vor Strafe nicht“)!


Autor:
RA Oliver Ebert
REK Rechtsanwälte Stuttgart, Balingen
Friedrichstraße 49, 72336 Balingen