RA Oliver Ebert wird bundesweit bei Rechtsfragen adressiert und als Experte im Bereich Digitalisierung. Der Fachanwalt für IT-Recht ist TÜV-zertifizierter Datenschutz-Auditor und Hochschullehrbeauftragter für Datenschutzrecht sowie für Internetrecht & e-Commerce. Seine Vision, eine herstellerübergreifende Softwarelösung für digitales Datenmanagement in der Diabetologie zu entwickeln, hat er schon Mitte der 1990er Jahre umgesetzt – in einer Zeit, in der kaum jemand von Interoperabilität gesprochen hat. Wir haben Oliver Ebert um Antworten auf Fragen zum Thema Digitalisierung gebeten.
Ein großes Thema in der Medizin ist die Nutzung von Clouds und damit verbundene Sicherheitsrisiken. Das betrifft den öffentlichen Gesundheitsbereich genauso wie Unternehmen der Gesundheitswirtschaft. Welche Voraussetzungen müssen erfüllt sein, um Cloud-basiert arbeiten zu können, insbesondere dort, wo sensible Patientendaten verwaltet und medizinische Befunde ausgetauscht werden?
Cloud-basierte Lösungen können in manchen medizinischen Anwendungsbereichen erhebliche Vorteile bringen und rein lokal arbeitenden Softwarelösungen überlegen sein. Anders als mitunter behauptet wird, dürfen auch Ärzte oder Kliniken solche Clouds einsetzen: Wenn sichergestellt ist, dass der Anbieter die Patientendaten nicht für eigene Zwecke (mit-)nutzt, kann die Cloud-Nutzung rechtlich sogar privilegiert, d. h. auf Basis eines sog. Auftragsverarbeitungsvertrags erfolgen. Der Cloud-Anbieter wird dann faktisch als Teil der Praxis/ Klinik betrachtet und es ist nicht einmal eine Einwilligung des Patienten zur Datenverarbeitung in der Cloud nötig. Ganz anders sieht es dagegen aus, wenn der Cloud-Anbieter sich in den Nutzungsbedingungen vorbehält, die Daten auch für eigene Zwecke (mit-) zu verwenden, z. B. für statistische Zwecke oder zur Produktverbesserung. Dies gilt auch, wenn dafür nur anonymisierte Daten genutzt werden. Die Anonymisierung stellt eine Datenverarbeitung allein zum Zwecke des Dritten dar und ist für den ärztlichen Zweck so nicht erforderlich. In diesen Fällen ist eine rechtskonforme Cloud-Nutzung durch den Arzt in der Regel nur möglich, wenn alle betroffenen Patienten zuvor ausdrücklich eingewilligt haben. Dies setzt aber voraus, dass umfassend und verständlich über alle laut Nutzungsbedingungen vorgesehenen Datenverarbeitungen aufgeklärt wurde. Der Patient muss dabei eine echte Wahlmöglichkeit haben, d. h. er darf keine Nachteile in der Behandlungsqualität erfahren, wenn er mit der Verwendung seiner Daten durch Dritte nicht einverstanden ist. Es ist daher unabdingbar, dass Ärzte die Nutzungsbedingungen der Cloud genau lesen und ggf. fachkompetent prüfen lassen, denn sie tragen die datenschutz- und strafrechtliche Verantwortung.
Was heißt datenschutz- und strafrechtliche Verantwortung konkret?
Stellen Sie sich zur Veranschaulichung einfach folgendes Beispiel vor: Eine Arztpraxis lässt sich von einem Pharmakonzern einen teuren Aktenschrank zur Aufbewahrung der Patientenakten schenken – und erlaubt als Gegenleistung, dass der Außendienstmitarbeiter der Firma in den Schrank reinschauen und die Patientendaten kopieren bzw. für die Zwecke seines Unternehmens nutzen darf. Ich denke, man muss kein Jurist sein, um die Problematik zu erkennen. Hinzu kommt: Da der Einsatz einer Cloud im Rahmen der ärztlichen Behandlung nach Auffassung der Datenschutzbehörden grundsätzlich als besonders risikobehaftete Datenverarbeitung gilt, muss der Arzt dafür eine aufwendige Datenschutzfolgenabschätzung vornehmen. Wenn der Cloud-Standort außerhalb der EU liegt, muss geprüft werden, ob eine Datenübermittlung dorthin zulässig ist und welche weiteren Voraussetzungen dazu erfüllt werden müssen. Allein ein Standort in Deutschland bzw. der EU macht die Cloud-Nutzung nicht automatisch DSGVO-konform!
Können Sie an einem Beispiel kurz erläutern, wohin es führt, wenn gesetzliche Bestimmungen missachtet werden?
Datenschutzverstöße in Bezug auf Gesundheitsdaten können zu hohen Bußgeldern führen. So wurde beispielsweise eine Universitätsklinik mit einem Bußgeld von 105 000 EUR belegt, weil dort u. a. organisatorische Datenschutzpflichten nicht ernstgenommen wurden. Anwaltshonorare für Beratung und Kommunikation mit der Aufsichtsbehörde oder erforderliche Umstellungen der Praxis-IT können schnell zu Kosten in Höhe einiger 10 000 EUR führen. Zudem wird in der Diskussion oft unterschlagen, dass eine Datenschutzverletzung in Bezug auf Gesundheitsdaten in der Regel auch den Straftatbestand des § 203 StGB erfüllt und berufsrechtliche Konsequenzen haben kann. Dazu können betroffene Patienten grundsätzlich auch Schadensersatz geltend machen, wobei dieses Risiko allerdings eher überschaubar ist.
Und was gilt beim Einsatz Algorithmen-basierter Tools? Künstliche Intelligenz (KI) kann in der Diabetologie z. B. die Retinopathie-Diagnostik unterstützen. Immer mehr Patienten mit Typ-1-Diabetes nutzen inzwischen auch die automatisierte Insulin-Dosierung (AID). Wie sicher sind die AID-Systeme?
Grundsätzlich gilt hier: Wenn das System über die erforderlichen Zulassungen verfügt und beim Einsatz sowohl alle gesetzlichen als auch die vom Hersteller vorgeschriebenen Anforderungen eingehalten werden, dann dürfte den Arzt wohl keine Haftung für eine Fehlfunktion treffen. Voraussetzung ist aber eine umfassende Aufklärung des Patienten über die möglichen Risiken. Auch bei den zugelassenen AID-Systemen müssen Patienten daher unmissverständlich über die Risiken aufgeklärt werden, insbesondere darüber, dass es zu gefährlichen Unterzuckerungen kommen kann, falls der jeweilige Glukosesensor einmal nicht zuverlässig funktionieren sollte. Beispiel: Wenn der Sensor möglicherweise einen Glukosewert von 200 mg/dl misst und das AID-System entsprechend Insulin ausschüttet, während der tatsächliche Wert bei 100 mg/dl liegt. Hier kann es schnell zu lebensbedrohlichen Situationen kommen. Besonders kritisch ist dies in Situationen, in denen die Aufmerksamkeit des Patienten anderweitig fokussiert ist, beispielsweise im Straßenverkehr.
Im letzten Jahr wurden zwei neue Gesetze beschlossen: das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz: DigiG) und das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz: GDNG). Braucht es diese Gesetze, um mehr PS auf die Straße Digitalisierung zu bekommen? Was ist Ihre Einschätzung dazu?
Ich sehe die Neuerungen grundsätzlich positiv, denn die Verfügbarkeit möglichst vieler unterschiedlicher Daten ist wichtig für Forschung und Innovation. Allerdings vermag ich derzeit noch nicht beurteilen, wie sich diese gesetzlichen Regelungen auswirken werden, ob tatsächlich Hürden abgebaut oder nicht vielmehr neue Hindernisse aufgebaut werden. Auch wird man sehen müssen, ob der Schutz der Patientendaten tatsächlich effektiv gewährleistet ist und nicht nur auf dem Papier steht.
Es gibt Forderungen nach einer stärkeren globalen Regulierung von Gesundheitsdaten – auch, weil große Konzerne wie Google, Amazon und Microsoft Zugang zu Gesundheitsdaten von Milliarden Internet-Nutzern haben. Wie realistisch ist es, die Datennutzung weltweit regulieren zu können?
Hier bin ich eher pessimistisch. Ich fürchte, dass dies nicht gelingen wird, denn es sind zu viele unterschiedliche Interessen im Spiel. Sicherlich wird es in absehbarer Zukunft wohlklingende Vereinbarungen oder Abkommen geben, die der Öffentlichkeit medienwirksam präsentiert werden. Diese müssten dann aber auch tatsächlich exekutiert, d. h. überall konsequent und einheitlich durchgesetzt werden. Daran habe ich meine Zweifel. Wir sehen ja bereits jetzt mit der DSGVO, dass selbst massivste Datenschutzverstöße durch "big player" hingenommen werden und Aufsichtsbehörden in manchen EU-Ländern – darunter auch Deutschland – untätig bleiben oder nur schleppend reagieren.
Abschließend noch eine eher persönliche Frage an Sie, Herr Ebert. Ihre Aussagen als Experte zum Thema Digitalisierung werden nicht von allen geschätzt. Vorbehalte gibt es, da Sie selbst seit vielen Jahren Geschäftsführer eines Unternehmens sind, welches digitale Lösungen zum Diabetes-Datenmanagement anbietet. Wie lautet die Kritik? Und was möchten Sie Ihren Kritikern sagen?
Meine potentiellen Interessenkonflikte werden gerne als Vorwand genommen, um mich zu diffamieren. Nicht nur aus diesem Grund habe ich schon immer sorgfältig darauf geachtet, dass alle meine Ausführungen lege artis sind und dem jeweiligen Stand der Rechtsprechung bzw. Rechtswissenschaft entsprechen. Bislang hat daher auch noch niemand nachweisen können, dass mir fachliche Fehler unterlaufen sind oder meine Rechtsauffassungen nicht fundiert seien.
Umgekehrt halte ich es für äußerst problematisch, dass in den einschlägigen Fortbildungsformaten zur Diabetes-Technologie selbst elementare Rechtsfragen zu Diabetes-Clouds nicht wirklich thematisiert werden. Eine fachlich-kritische Auseinandersetzung mit den juristischen und ethischen Implikationen der damit einhergehenden Offenbarung von Patientendaten an die Industrie findet dort leider so gut wie nie statt. Allerdings wundert mich das nicht wirklich, denn allzu oft besteht ein befremdliches Näheverhältnis der Referenten zu den Cloud-Anbietern, die Sponsoren der jeweiligen Veranstaltungen sind.
Danke für das Gespräch, lieber Herr Ebert.
Das Interview führte Katrin Hertrampf
|
|
Erschienen in: Diabetes, Stoffwechsel und Herz, 2024; 33 (6) Seite 352-353