In der Dezember-Ausgabe des Diabetes-Forums hatten wir über die „Brandbriefe“ von Krankenkassen berichtet, über die uns Leserinnen und Leser informiert haben. Es ging zum einen um die Versorgung mit Insulinpumpen, Blutzucker­mess- und rtCGM-Systemen, zum anderen um den Datenschutz bei der digitalen Nutzung von Patienten-Daten. Dazu haben uns etliche neue Zuschriften erreicht, die Rechtsanwanlt Oliver Ebert hier aus seiner fachlichen Sicht einordnet.

Auf unseren Beitrag zur Rechtslage beim Datenschutz bei Cloud-Lösungen und bei der Hilsmittel-Versorgung sowie den Antworten der Krankenkassen haben wir zahlreiche Nachfragen bekommen. Einige der Fragen sind sicherlich auch für andere Leser des Diabetes-Forums interessant und werden daher auch hier beantwortet.



Datenschutz bei Clouds alles sicher oder unzulässig?

Das Thema Datenschutz macht uns zunehmend Sorgen. Auf der einen Seite erfahren wir von den Firmen, dass ihre Cloud-Lösungen ganz sicher seien und alles rechtlich geprüft ist. Auf der anderen Seite wird behauptet, dass solche Cloud-Lösungen komplett unzulässig seien.

Was stimmt denn nun?

Cloud-Lösungen dürfen natürlich auch von Arztpraxen oder Kliniken genutzt werden. Die Behauptung, dass deren Einsatz generell unzulässig sei, ist schlichtweg falsch. Da es aber um besonders geschützte Gesundheitsdaten geht, sollten medizinische Einrichtungen die vom Gesetzgeber vorgeschriebenen Pflichten penibel erfüllen.

Dafür ist es unabdingbar, neben den Angaben des Herstellers zum Datenschutz auch die Nutzungsbedingungen vollständig zu lesen und diese von einer datenschutzrechtlich wirklich kompetenten Person prüfen zu lassen. Bei den meisten Diabetes-Cloudlösungen sind die abgeforderten Nutzungsbedingungen sehr umfangreich und umfassen schon auch mal 40 – 50 Seiten, mitunter wird auch noch auf englischsprachige Dokumente verwiesen, die ebenfalls mitgelten (sollen). Die Kosten für eine solche datenschutzrechtliche Prüfung können daher erheblich sein, trotzdem wäre es grob fahrlässig, wenn eine Praxis hierauf verzichten würde.

Fast immer wird in den Nutzungsbedingungen abverlangt, dass die Patientendaten vom Anbieter oder dessen Partnerfirmen auch für eigenen Zwecke genutzt werden dürfen. Dies stellt in der Regel ein hohes Risiko für die Rechte der Patienten dar. Wenn dem Einsatz der Cloud-Lösung dann nicht schon grundsätzliche Bedenken entgegenstehen, dann wird wohl eine gesetzlich vorgeschriebene (Art. 35 DSGVO) Datenschutzfolgeabschätzung („DSFA“) vorgenommen werden müssen.

Auch dies ist mit einigem Aufwand und nicht unerheblichen Kosten verbunden, denn im Rahmen dieser Risikobewertung müssen auch die Nutzungsbedingungen der Cloud-Lösung einbezogen und beleuchtet werden. Anschließend hat die Praxis einen Bericht über die DSFA zu erstellen (Art. 35 Abs. 7 DSGVO).

Wenn sich die mit der DSFA ermittelten Risiken dann nicht durch geeignete Maßnahmen deutlich minimieren lassen, dann muss die Praxis zwingend die zuständige Datenschutzbehörde konsultieren (Art. 36 DSGVO) und deren Einschätzung abwarten. Erst dann darf mit dem Einsatz der Cloud-Lösung begonnen werden.

Sofern eine DSFA erforderlich war, dann muss die Praxis – gesetzlich zwingend, § 38 Abs. 1 S. 2 BDSG – allein schon aufgrund der Nutzung der Cloud-Lösung einen Datenschutzbeauftragten bestellen. Dies gilt auch für kleine Praxen und begründet sich mit dem hohen Risiko für die Rechte der Patienten, welches mit der Nutzung solcher Cloud-Lösung einhergeht.

Im laufenden Betrieb muss die Praxis dann natürlich noch zahlreiche weitere Datenschutzpflichten erfüllen, insbesondere eine rechtskonforme Aufklärung der Patienten sowie den Nachweis, dass erforderliche Einwilligungen der Patienten wirksam eingeholt wurden.

Leider werden Praxen von den Cloud-Anbietern eher selten über diese gesetzlichen Pflichten informiert. Wenn sich im Rahmen einer Beschwerde oder Zufallsüberprüfung jedoch herausstellt, dass eine vorgeschriebene DSFA nicht oder nicht sorgfältig gemacht oder die Aufsichtsbehörde nicht pflichtgemäß konsultiert wurde, dann muss man mit massiven Konsequenzen rechnen – die Behörden haben schon mehrfach öffentlich gewarnt, dass es sich bei diesen Pflichten nicht nur um Bagatellen handelt.

Tatsächlich sind wegen solcher Verstöße auch schon erste massive Bußgelder gegen Kliniken und Gesundheitseinrichtungen festgesetzt worden. Man sollte das daher nicht auf die leichte Schulter nehmen und auch besser nicht darauf spekulieren, dass die Behörde schon nicht kommen wird: Dies kann schneller passieren, als man denkt - beispielsweise wenn ein unzufriedener Patient sich bei der Behörde beschwert oder Mitarbeiter im Streit die Praxis anonym anschwärzen.



Datennutzung auch ohne den Zugriff Dritter möglich?

Ihr Artikel im Diabetes-Forum bezüglich des Datenschutzes bei Pumpen und CGM-Systemen hat uns doch etwas wachgerüttelt. Es betrifft die G-BA-Forderung, dass die Nutzung der Daten auch ohne den Zugriff Dritter möglich sein muss.

Unsere Frage: Wie sichern wir uns als Ärzte denn schriftlich diesbezüglich am besten ab auch im Hinblick auf eventuelle Regressforderungen, wenn ein Patient dies nicht mehr akzeptieren will?

Leider sehe ich hier keine Möglichkeit, wie Sie sich hier absichern könnten. Der Patient müsste sich ja quasi verpflichten, dass er bis zum Ablauf der regulären Versorgungsdauer die abgeforderte Preisgabe der mit dem rtCGM erhobenen Gesundheitsdaten akzeptiert. Eine solche Erklärung dürfte aber aus diversen rechtlichen Gründen unwirksam sein.

Der Patient kann so etwas zwar unterschreiben, man sollte sich aber nicht darauf verlassen, dass ein solches Papier auch tatsächlich Rechtsbindung entfaltet. Ich würde aber auch aus einem anderen Grund davon abraten: wenn die Praxis sich von Patienten eine solche Erklärung unterschreiben lässt, dann legt dies doch sehr nahe, dass man die Verordnungsvoraussetzungen zum Datenschutz absichtlich ignoriert .



Keine Sorge bei von Patienten geteilten Daten?

Wir haben neulich an einer Fortbildungsveranstaltung eines CGM-Herstellers teilgenommen, Der dortige Anwalt hat gesagt, dass eine „passive“ Nutzung von Cloud-Lösungen für Praxen unproblematisch sei: Denn wenn der Patient seine Daten selbst in die Cloud stellt und wir diese nur anschauen können („Teilen“-Funktion), dann seien wir für die Datenverarbeitung nicht verantwortlich und müssten uns daher auch in Punkto Datenschutz um nichts mehr kümmern.

Das klingt für mich logisch – aber wie sehen Sie das?

Es gibt dazu noch keine behördlichen Entscheidungen. Daher halte ich solche Behauptungen von Herstellern für ziemlich gewagt - denn sollten die Behörden es anders sehen, dann müssen die Praxen mit erheblichen Konsequenzen rechnen. Zunächst sollte man sich bewusst machen, um was es geht: Es dreht sich hier nicht um einen belanglosen Austausch von privaten Fotos oder Bildern. Für die Therapie sind die in CGM oder Insulinpumpen gespeicherten Daten zwingend erforderlich, die Praxis benötigt die Werte für die Arbeit.

Die Erhebung, Auswertung und Dokumentation der für eine rtCGM- oder CSII-Therapie erforderlichen Daten ist eine wesentliche Aufgabe der Ärzte. Diese Pflichten resultieren aus dem Behandlungsvertrag sowie u. a. aus §§ 630 f BGB, 10 MBO-Ä. Es gibt für den Diabetes-Bereich dabei keine gesetzlichen Vorgaben zum Einsatz bestimmter technischer Lösungen.

Der Arzt kann daher selbst entscheiden, welche der am Markt angebotenen Datenmanagement-Lösungen er in seiner Praxis zur Erfüllung dieser Pflichten einsetzen will. In der Regel werden dann das vom Patienten mitgebrachte CGM bzw die Insulinpumpe dazu in der Praxis eingelesen und mit der hierfür angeschafften Datenmanagement-Software bzw. Cloudlösung ausgewertet.

Auf Bitten des Arztes kann aber auch der Patient das Auslesen der Daten übernehmen und die Werte von Zuhause aus an die Praxis übermitteln, hierzu gibt es verschiedene Lösungsansätze. Eine davon ist die von Ihnen geschilderte Möglichkeit, dass der Patient die Daten in eine Cloud hochlädt bzw. sein CGM mit einer Cloud koppelt und dem Arzt dann den Zugriff auf die dortigen Werte erlaubt.
Ob eine solche Datenübermittlung aber überhaupt in Frage kommt und falls ja, welche Vorgehensweisen zur Datenübermittlung von der Praxis akzeptiert werden, entscheidet allein der Arzt. Der Patient kann insoweit nur Wünsche äußern.

Wenn der Arzt das letzte Wort hat, dann bedeutet dies m. E. aber auch, dass er – und nicht der Patient – über die Mittel der Datenverarbeitung entscheidet. Und hier schließt sich nun der Kreis: Nach dem Gesetz (Art. 4 ­DSGVO) ist ganz klar die Praxis für die Erfüllung der Pflichten aus der DSGVO verantwortlich, wenn sie „über die Zwecke und Mittel der Datenverarbeitung entscheidet“

Ein weiterer wichtiger Aspekt ist, ob die Daten denn überhaupt aus dem CGM ausgelesen werden können, ohne dass man diese zugleich auch dem Hersteller oder Dritten überlässt. Ansonsten darf der Arzt solche CGM grundsätzlich schon gar nicht verordnen (vgl. § 3 Abs. 6 Nr. Anlage I, Nr. 20 RL-MVV). Dies hat der G-BA schon wiederholt klargestellt und auf Presseanfrage aktuell nochmals bestätigt. Verordnet der Arzt dennoch ein solches rtCGM und sind die Patienten infolgedessen faktisch zu einer Nutzung der Herstellercloud gezwungen, dann dürfte der Arzt durch die Verordnung eines solchen Systems zugleich auch schon die Mittel der Datenverarbeitung (mit-)bestimmt haben.

Schließlich dürfte es auch etwas zu kurz gedacht sein, wenn man lediglich im Hochladen der Messwerte eine „aktive“ Nutzung sehen will. Denn auch vermeintlich „passive“ Auswertungsaktivitäten, ja bereits schon das Einloggen eines Arztes in eine cloudbasierte Patientenakte generieren jeweils neue, ebenfalls besonders geschützte Daten mit Gesundheitsbezug.

So lassen sich beispielsweise aus Anzahl, Dauer und zeitlichem Abstand der „Sitzungen“ in Verbindung mit den Messwerten nicht unerhebliche Rückschlüsse auf die Behandlung und Compliance eines Patienten ziehen. Auch die Diabetes-Teams in den Praxen sollten sich übrigens bewusst sein, dass ihre Behandlungsleistung dadurch gläsern wird.



Darf Kasse ein konkretes Rabatt-Messgerät vorschreiben?

Anbei sende ich Ihnen ein aktuelles Schreiben der IKK Classic an eine Patientin von uns, die von der Kasse animiert wurde, sich kostenlos ein rabattiertes BZ-Messgerät von XXX [Anm. der Redaktion: den Hersteller haben wir unkenntlich gemacht] zuschicken zu lassen. Dann im Text: „Bitten Sie hierzu einfach Ihren Arzt, Ihnen künftig die passenden Teststreifen zu verordnen“.

So eine Vorgehensweise halte ich für indiskutabel, habe das der Kasse gegenüber auch deutlich zum Ausdruck gebracht. Wie sehen Sie das Verhalten der Kasse aus juristischer Sicht (z. B. Missachtung der Verordnungshoheit des Arztes, Manipulation von Versicherten, Eingriff ins Wettbewerbsrecht)?

Auch ich teile einige Ihrer Bedenken bezüglich des Vorgehens der Krankenkasse. Allerdings ist die Rechtslage derzeit so, dass man gegen solche Praktiken nur wenig machen kann. Aufgrund einer speziellen Regelung im Sozialgesetzbuch (vgl. § 69 Abs. 1 SGB V) müssen Krankenkassen selbst bei gesetzwidrigem Verhalten kaum mehr rechtliche Schritte aus dem Markt befürchten. Ärzte oder geschädigte andere Anbieter können daher in der Regel nicht gegen solche Praktiken vorgehen. Nur andere Krankenkassen oder die Aufsichtsbehörden könnten hier eingreifen.

Sie könnten sich daher an das Bundesamt für Soziale Sicherung (www.­bundesamtsozialesicherung.­de) wenden und dort eine Klärung erbitten.

Strafrechtlich spezialisierte Kollegen haben mich allerdings noch auf folgendes hingewiesen: Die kostenlose Überlassung von Messgeräten an Patienten, um dadurch das Verordnungsverhalten der Ärzte einseitig für einen bestimmten Anbieter zu beeinflussen, könnte möglicherweise den Straftatbestand des § 299 b StGB erfüllen. Dies könnte vor allem dann relevant sein, wenn die Abrechnungspreise für die zum kostenlos abgegebenen Gerät benötigten Teststreifen tatsächlich gar nicht günstiger sind als die Preise für alle anderen zugelassenen Teststreifen.

Der Straftatbestand der Bestechung im Gesundheitswesen setzt nämlich nicht zwingend voraus, dass der Arzt selbst eine Zuwendung bekommt. Die Gewährung eines Vorteils für einen Dritten – hier das Verschenken eines Geräts an den Patienten – kann insoweit den Tatbestand nämlich ebenfalls erfüllen.

Auch der Zuwendende (hier: die Krankenkasse) muss nicht zwingend für sich einen Vorteil verfolgen, es reicht die Intention, dass „ein anderer“ (hier: der Geräteanbieter) unlauter bei der Verordnung bevorzugt wird.



Verordnung von Teststreifen bei rtCGM-Nutzern möglich?

Wir haben viele Patienten, die mit rtCGM versorgt sind. Ist für diese Patienten trotzdem noch eine Verordnung von Teststreifen möglich bzw. gibt es hier Obergrenzen?

Auch Patienten, die bereits mit einem CGM versorgt sind, benötigen weiterhin Blutzuckerteststreifen. Diese Teststreifen dürfen in der erforderlichen Menge verordnet werden; es gibt auch hier keine Obergrenze. Denn manche CGM müssen regelmäßig kalibriert werden, dazu muss immer auch damit gerechnet werden, dass der Sensor möglicherweise ausfällt und/oder eine blutige Kontrollmessung erforderlich ist.

Auch und gerade bei Einsatz des FreeStyle Libre sind beispielsweise zusätzliche Messungen in der Regel unumgänglich. Denn nach den ausdrücklichen Vorgaben des Herstellers ist in zahlreichen Situationen eine zusätzliche Prüfung der Glukosewerte mittels eines Blutzucker-Messgeräts erforderlich, beispielsweise bei sich schnell ändernden Glukosespiegeln, wenn das System eine Hypoglykämie oder eine anstehende Hypoglykämie anzeigt, oder wenn die Symptome nicht mit den Messwerten des Systems übereinstimmen.

Die Verordnung von Blutzuckerteststreifen ist bei insulinpflichtigen Patienten ohne Obergrenze möglich, auch zusätzlich zu einem CGM/FGM. Allerdings muss die Menge natürlich medizinisch notwendig sein; auch sollte man die therapiegemäße Durchführung der Selbstkontrollen regelmäßig überprüfen und sich vom Patienten rückversichern lassen, dass keine Doppelversorgung durch einen anderen Arzt erfolgt. Es empfiehlt sich, die medizinische Notwendigkeit der Verordnung zumindest in Stichworten nachvollziehbar in der Patientenakte zu dokumentieren.



Antrag: nur handschriftliche Aufzeichnungen zulässig?

Wir haben immer häufiger Probleme mit dem MDK, der Pumpen- oder CGM-Anträge ablehnt, weil der Patient keine handschriftlichen Tagebuchaufzeichnungen vorlegen kann. Eine elektronisch erstellte Dokumentation per App oder Software wird nicht akzeptiert, da dies nicht fälschungssicher sei. Ist dies zulässig?

Diese Frage lässt sich schnell beantworten: Es gibt keine Verpflichtung, ein Blutzuckertagebuch handschriftlich zu führen. Der MDK muss daher auch elektronisch erstellte Aufzeichnungen akzeptieren, solange diese plausibel sind. Auch handschriftliche Aufzeichnungen lassen sich fälschen, daher greift dieses Argument nicht. Allgemein wichtig ist allerdings, dass die eingereichte Dokumentation nicht nur die Blutzuckerwerte enthält, sondern auch die Insulingaben und Mahlzeiten beinhaltet.


Kontroverse Diskussion

Liebe Leserinnen und Leser,
sicherlich hilfreich und spannend wäre eine kontroverse Diskussion über dieses Thema. Wir würden uns daher freuen, wenn Sie uns Ihre Meinung, Zustimmung oder Kritik bzw. auch die Auffassung Ihrer Datenschutzbeauftragten mitteilen. In einer der kommenden Ausgaben werden wir das gerne veröffentlichen.

Ihre Redaktion

Autor:
RA Oliver Ebert
REK Rechtsanwälte Stuttgart, Balingen
Friedrichstraße 49, 72336 Balingen


Erschienen in: Diabetes-Forum, 2021; 33 (5) Seite 42-45