RA Oliver Ebert wird bundesweit bei Rechtsfragen adressiert und als Experte im Bereich Digitalisierung. Der Fachanwalt für IT-Recht ist TÜV-zertifizierter Datenschutz-Auditor und Hochschullehrbeauftragter für Datenschutzrecht sowie für Internetrecht & e-Commerce. Seine Vision, eine herstellerübergreifende Softwarelösung für digitales Datenmanagement in der Diabetologie zu entwickeln, hat er schon Mitte der 1990er Jahre umgesetzt – in einer Zeit, in der kaum jemand von Interoperabilität gesprochen hat. Wir haben Oliver Ebert um Antworten auf Fragen zum Thema Digitalisierung gebeten.
Ein großes Thema in der Medizin ist die Nutzung von Clouds und damit verbundene Sicherheitsrisiken. Das betrifft den öffentlichen Gesundheitsbereich genauso wie Unternehmen der Gesundheitswirtschaft. Welche Voraussetzungen müssen erfüllt sein, um Cloud-basiert arbeiten zu können, insbesondere dort, wo sensible Patientendaten verwaltet und medizinische Befunde ausgetauscht werden?
Cloud-basierte Lösungen können in manchen medizinischen Anwendungsbereichen erhebliche Vorteile bringen und rein lokal arbeitenden Softwarelösungen überlegen sein. Anders als mitunter behauptet wird, dürfen auch Ärzte oder Kliniken solche Clouds einsetzen: Wenn sichergestellt ist, dass der Anbieter die Patientendaten nicht für eigene Zwecke (mit-)nutzt, kann die Cloud-Nutzung rechtlich sogar privilegiert, d.h. auf Basis eines sog. Auftragsverarbeitungsvertrags erfolgen. Der Cloud-Anbieter wird dann faktisch als Teil der Praxis/Klinik betrachtet und es ist nicht einmal eine Einwilligung des Patienten zur Datenverarbeitung in der Cloud nötig. Ganz anders sieht es dagegen aus, wenn der Cloud-Anbieter sich in den Nutzungsbedingungen vorbehält, die Daten auch für eigene Zwecke (mit-) zu verwenden, z.B. für statistische Zwecke oder zur Produktverbesserung. Dies gilt auch, wenn dafür nur anonymisierte Daten genutzt werden. Die Anonymisierung stellt eine Datenverarbeitung allein zum Zwecke des Dritten dar und ist für den ärztlichen Zweck so nicht erforderlich.
In diesen Fällen ist eine rechtskonforme Cloud-Nutzung durch den Arzt in der Regel nur möglich, wenn alle betroffenen Patienten zuvor ausdrücklich eingewilligt haben. Dies setzt aber voraus, dass umfassend und verständlich über alle laut Nutzungsbedingungen vorgesehenen Datenverarbeitungen aufgeklärt wurde. Der Patient muss dabei eine echte Wahlmöglichkeit haben, d.h. er darf keine Nachteile in der Behandlungsqualität erfahren, wenn er mit der Verwendung seiner Daten durch Dritte nicht einverstanden ist. Es ist daher unabdingbar, dass Ärzte die Nutzungsbedingungen der Cloud genau lesen und ggf. fachkompetent prüfen lassen, denn sie tragen die datenschutz- und strafrechtliche Verantwortung.
Was heißt datenschutz- und strafrechtliche Verantwortung konkret?
Stellen Sie sich zur Veranschaulichung einfach folgendes Beispiel vor: Eine Arztpraxis lässt sich von einem Pharmakonzern einen teuren Aktenschrank zur Aufbewahrung der Patientenakten schenken – und erlaubt als Gegenleistung, dass der Außendienstmitarbeiter der Firma in den Schrank reinschauen und die Patientendaten kopieren bzw. für die Zwecke seines Unternehmens nutzen darf.
Ich denke, man muss kein Jurist sein, um die Problematik zu erkennen.
Hinzu kommt: Da der Einsatz einer Cloud nach Auffassung der Datenschutzbehörden grundsätzlich als besonders risikobehaftete Datenverarbeitung gilt, muss der Arzt dafür eine aufwändige Datenschutzfolgenabschätzung vornehmen. Wenn der Cloud-Standort außerhalb der EU liegt, muss geprüft werden, ob eine Datenübermittlung dorthin zulässig ist und welche weiteren Voraussetzungen dazu erfüllt werden müssen. Allein ein Standort in Deutschland bzw. der EU macht die Cloud-Nutzung nicht automatisch DSGVO-konform!
Können Sie an einem Beispiel kurz erläutern, wohin es führt, wenn gesetzliche Bestimmungen missachtet werden?
Datenschutzverstöße in Bezug auf Gesundheitsdaten können zu hohen Bußgeldern führen. So wurde beispielsweise unlängst die Universitätsklinik Mainz mit einem Bußgeld von 105.000 EUR belegt, weil dort u.a. organisatorische Datenschutzpflichten nicht ernstgenommen wurden.
Anwaltshonorare für Beratung und Kommunikation mit der Aufsichtsbehörde oder erforderliche Umstellungen der Praxis-IT können schnell zu Kosten in Höhe einiger 10.000 EUR führen. Zudem wird in der Diskussion oft unterschlagen, dass eine Datenschutzverletzung in Bezug auf Gesundheitsdaten in der Regel auch den Straftatbestand des § 203 StGB erfüllt und berufsrechtliche Konsequenzen haben kann. Dazu können betroffene Patienten grundsätzlich auch Schadensersatz geltend machen, wobei dieses Risiko allerdings eher überschaubar ist.
Und was gilt beim Einsatz Algorithmen-basierter Tools? Künstliche Intelligenz (KI) kann in der Diabetologie z.B. die Retinopathie-Diagnostik unterstützen. Immer mehr Patienten mit Typ-1-Diabetes nutzen inzwischen auch die automatisierte Insulin-Dosierung (AID). Wie sicher sind die AID-Systeme?
Grundsätzlich gilt hier: Wenn das System über die erforderlichen Zulassungen verfügt und beim Einsatz sowohl alle gesetzlichen als auch die vom Hersteller vorgeschriebenen Anforderungen eingehalten werden, dann dürfte den Arzt wohl keine Haftung für eine Fehlfunktion treffen. Voraussetzung ist aber eine umfassende Aufklärung des Patienten über die möglichen Risiken.
Auch bei den zugelassenen AID-Systemen müssen Patienten daher unmissverständlich über die Risiken aufgeklärt werden, insbesondere darüber, dass es zu gefährlichen Unterzuckerungen kommen kann, falls der jeweilige Glukosesensor einmal nicht zuverlässig funktionieren sollte. Beispiel: Wenn der Sensor möglicherweise einen Glukosewert von 200mg/dl misst und das AID-System entsprechend Insulin ausschüttet, während der tatsächliche Wert bei 100 mg/dl liegt. Hier kann es schnell zu lebensbedrohlichen Situationen kommen. Besonders kritisch ist dies in Situationen, in denen die Aufmerksamkeit des Patienten anderweitig fokussiert ist, beispielsweise im Straßenverkehr.
Das Bundeskabinett hat Ende August zwei Gesetzes-Entwürfe beschlossen: das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz: DigiG) und das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz: GDNG). Braucht es diese Gesetze, um mehr PS auf die Straße Digitalisierung zu bekommen? Was ist Ihre Einschätzung dazu?
Ich sehe die anstehenden Neuerungen grundsätzlich positiv, denn die Verfügbarkeit möglichst vieler unterschiedlicher Daten ist wichtig für Forschung und Innovation. Allerdings vermag ich derzeit noch nicht beurteilen, wie sich diese gesetzlichen Regelungen auswirken werden, ob tatsächlich Hürden abgebaut oder nicht vielmehr neue Hindernisse aufgebaut werden. Auch wird man sehen müssen, ob der Schutz der Patientendaten tatsächlich effektiv gewährleistet ist und nicht nur auf dem Papier steht.
Beim World Health Summit im Oktober in Berlin wurden Rufe nach einer stärkeren globalen Regulierung von Gesundheitsdaten laut – auch, weil große Konzerne wie Google, Amazon und Microsoft Zugang zu Gesundheitsdaten von Milliarden Internet-Nutzern haben. Wir realistisch ist es, die Datennutzung weltweit regulieren zu können?
Hier bin ich eher pessimistisch. Ich fürchte, dass dies nicht gelingen wird, denn es sind zu viele unterschiedliche Interessen im Spiel. Sicherlich wird es in absehbarer Zukunft wohlklingende Vereinbarungen oder Abkommen geben, die der Öffentlichkeit medienwirksam präsentiert werden. Diese müssten dann aber auch tatsächlich exekutiert, d.h. überall konsequent und einheitlich durchgesetzt werden. Daran habe ich meine Zweifel. Wir sehen ja bereits jetzt mit der DS-GVO, dass selbst massivste Datenschutzverstöße durch "big player" hingenommen werden und Aufsichtsbehörden in manchen EU-Ländern – darunter auch Deutschland – untätig bleiben oder nur schleppend reagieren.
Abschließend noch eine eher persönliche Frage an Sie, Herr Ebert. Ihre Aussagen als Experte zum Thema Digitalisierung werden nicht von allen geschätzt. Vorbehalte gibt es, da Sie selbst seit vielen Jahren Geschäftsführer eines Unternehmens sind, welches digitale Lösungen zum Diabetes-Datenmanagement anbietet. Wie lautet die Kritik? Und was möchten Sie Ihren Kritikern sagen?
Meine rechtlichen Beiträge – nicht nur zum Datenschutz – sind oft eher unbequem. Es kommt vor, dass ich regelrecht angefeindet werde, weil man glaubt, dass ich an bestimmten gesetzlichen Regelungen "schuld" sei. Dabei bin ich nur der Überbringer unangenehmer Nachrichten.
Allgemein ist das Klima ziemlich rau; auf meine Ausführungen zum Thema Anti-Korruptionsregelungen habe ich sogar eine Morddrohung erhalten. Manchmal vermittelt sich der Eindruck, dass nur darauf gewartet wird, dass ich einen relevanten fachlichen Fehler mache. Nicht nur aus diesem Grund habe ich schon immer sorgfältig darauf geachtet, dass alle meine Ausführungen lege artis sind und dem jeweiligen Stand der Rechtsprechung bzw. Rechtswissenschaft entsprechen. Natürlich kann man vieles immer auch anders sehen, denn die Rechtsprechung entwickelt sich laufend. Bislang hat aber noch keiner nachweisen können, dass mir fachliche Fehler unterlaufen sind oder meine Auffassungen nicht vertretbar sind. Dennoch werden die von mir berichteten Rechtsmeinungen in den einschlägigen Fortbildungsformaten gerne unterschlagen oder bestenfalls nur alibimäßig erwähnt, ohne sich inhaltlich damit auseinanderzusetzen. Nicht selten wird ad personam argumentiert und teilweise versucht, mich durch unwahre Behauptungen zu diskreditieren.
Regelmäßig wird mir auch pauschal unterstellt, ich wolle mit meinen juristischen Ausführungen nur meine Software verkaufen. Eine Begründung dafür wird jedoch nicht geliefert – und leider hinterfragen auch nur wenige Ärzte die Logik hinter solchen Anschuldigungen. Über eine konstruktive Debatte auf adäquatem fachlichem Niveau würde ich mich freuen. Ich habe den Dialog mehrfach angeboten, doch leider besteht daran offensichtlich kein Interesse.
Danke für das Gespräch, lieber Herr Ebert. Wir bleiben weiter dran am Thema.
Conflict of interest: Oliver Ebert ist Rechtsanwalt und Geschäftsführer der mediaspects GmbH, einem Hersteller von Diabetes-Datenmanagementlösungen.
|
|
Erschienen in: Diabetes-Forum, 2023; 35 (12) Seite 24-26