Rechtsfragen bei Diabetes: Was ist bei Diabetes-Apps, Internet und Datenschutz zu beachten?

Hallo Frau G.,

bitte haben Sie Verständnis, daß ich mich zu konkreten Produkten oder Herstellern nicht äußern möchte. Ich denke aber, daß ich die Frage auch allgemeingültig beantworten kann, allerdings muss ich dazu etwas weiter ausholen:

Nach der eindeutigen Vorgabe des Bundessozialgerichts (Urteil vom 8.7.2015, B 3 KR 5/14 Rn 42) dürfen Systeme zur „kontinuierlichen interstitiellen Glukosemessung auch nicht ausnahmsweise ohne positive Empfehlung des GBA im Rahmen der vertragsärztlichen Versorgung eingesetzt werden“. Der Gemeinsame Bundesausschuss (G-BA) hat mit Beschluss vom 16.06.2016 eine solche Empfehlung abgegeben, die Voraussetzungen für die Verordnungsfähigkeit von rtCGM aber an bestimmte Voraussetzungen geknüpft. Diese Vorgaben wurden in die Richtlinie Methoden vertragsärztliche Versorgung (im Folgenden: RL-MVV), dort Anlage I, Nr. 20 übernommen.

Der dortige § 3 Abs. 1 RL-MVV schreibt hierzu vor: „Im Rahmen der vertragsärztlichen Versorgung darf die Kontinuierliche interstitielle Glukosemessung mit Real-Time-Messgeräten (rtCGM) nur bei Erfüllung der in den folgenden Absätzen aufgeführten Qualitätssicherungsvorgaben durchgeführt werden“.

In Abs. 6 ist als solche zwingende Qualitätssicherungsvorgabe definiert: „Soweit der Einsatz des Gerätes eine Verwendung, Erhebung, Verarbeitung oder Nutzung personenbezogener oder personen-beziehbarer Daten vorsieht, muss sichergestellt sein, dass diese allein zum Zwecke der Behandlung der Patientin oder des Patienten erfolgen und eine Nutzung ohne Zugriff Dritter, insbesondere der Hersteller, möglich ist.“

Manche Hersteller argumentieren, daß man die Werte bzw. einen kurzen Zeitraum vom Display des zugehörigen Empfängers ablesen könne. Da hierbei keine Daten übermittelt würden, seien die Anforderungen des GBA erfüllt.

Hierauf haben sich meines Wissens zwischenzeitlich mehrere Patienten und Ärzte mit Beschwerden an den GBA gewendet. Ein Antwortschreiben des GBA (datiert bereits vom 07.09.2018) liegt mir vor, dieser hat einer Patienten ziemlich eindeutig geschrieben:

„Die Überprüfung der Therapieziele macht ein Langzeitmonitoring und die Langzeitauswertung der Stoffwechselwerte erforderlich. Zwar ist auch eine manuelle Übertragung ereignisbezogener Werte durch die Patientin oder den Patienten vom Empfangsgerät in ein Diabetestagebuch denkbar. Die Möglichkeit, die Messwerte der letzten 24 Stunden auf dem Empfangsgerät anzeigen zu lassen, ermöglicht es, eine solche Übertragung auf ein Minimum von einer Dokumentation täglich zu begrenzen. Der genaue Verlauf der Messwertkurve lässt sich hierdurch jedoch nicht abbilden, so dass es im Vergleich zur Vollaufzeichnung zu einem Datenverlust käme. Auch die Verlässlichkeit der automatisch aus dem Gerät abgerufenen Daten ist höher. Hinzukommt, dass die Übertragung der Daten von der kleinen Anzeigefläche des Empfangsgerätes in ein Diabetestagebuch vor allem ältere und in anderer Weise im Sehvermögen oder in der Motorik eingeschränkte Personen vor erhebliche Herausforderungen stellen kann. Die effektive Nutzung eines Real-Time-Messgerätes zur Therapieanpassung und -verbesserung setzt damit die Möglichkeit zum automatisierten Abruf der Langzeitdaten voraus. Entsprechend bezieht sich die Qualitätssicherungsvorgabe zum Datenschutz in § 3 Absatz 6 des Beschlusses nicht nur auf die Akutfunktionen des Real-Time-Messgerätes, sondern auch auf die Zurverfügungstellung der Langzeitdokumentation.“

Dieses Schreiben dürfte dem Spitzenverband GKV wie auch allen Herstellern von rtCGM bekannt sein. Es ist mir vollkommen unbegreiflich, warum diese Vorgaben nicht umgesetzt bzw. von den zuständigen Behörden auch durchgesetzt werden.

Daneben existiert auch noch die datenschutzrechtliche Problematik aus der DSGVO und dem BDSG. Nach meiner Einschätzung dürften die meisten der der momentan am Markt befindlichen rtCGM-Systeme den datenschutzrechtlichen Vorgaben nicht entsprechen. Wenn ein Patient nämlich per App oder Cloud-Dienst laufend seine Gesundheitsdaten an den Hersteller übermitteln muss, nur um das CGM überhaupt sinnvoll einsetzen zu können, dann dürfte hierin wohl ein ziemlich offensichtlicher Verstoß gegen die Pflicht zur Datenminimierung (Art. 5 Abs. 1b DSGVO) liegen. Ein sachlicher Grund für den Zwang zu einer derart ausufernden Datenübermittlung ist für mich nicht ersichtlich. Auch die Transparenzpflicht (Art. 5 Abs. 1a DSGVO) wird schwerlich erfüllt, denn kaum ein Patient versteht bzw. ist sich darüber wirklich bewusst, welche Daten bei der Nutzung des CGM bzw. der Pumpe an wen und wohin geschickt werden und was dann damit gemacht wird. Bei manchen Apps oder Cloudlösungen für rtCGM umfassen die Nutzungsbedingungen, die am Bildschrim des PC oder Smartphones angezeigt werden und in die der Patient einwilligen muss, ausgedruckt über 30 DIN A 4 Seiten - es ist klar, daß das kaum jemand lesen und verstehen kann.

Schließlich dürfte auch ein Verstoß gegen das Kopplungsverbot (Art. 7 DSGVO) vorliegen: Denn faktisch kann man bei Einsatz des Systems nur dann eine optimale ärztliche Behandlung (=unter Auswertung der Daten) bekommen können, wenn und solange die Patienten einer umfänglichen Datenpreisgabe (mitunter sogar auch noch in die USA !) zustimmen.

Was die Standalone-Software angeht: Meines Wissens verfügen alle Anbieter von rtCGM-Systemen über solche Software, die lokal funktioniert und keine Daten irgendwohin sendet. Diese wird aber nicht mehr angeboten - die Gründe dafür dürften offensichtlich sein.
 

MfG

Oliver Ebert

Hallo Frau R.

ja, sofern die Insulingaben einer Person zugeordnet werden könn(t)en. Dies dürfte aber fast immer der Fall sein, beispielsweise weil die Seriennummer der Pumpe mitgeschickt wird oder die Daten in ein Cloud-Konto geladen werden, bei dem man sich einloggen muss.

Selbst ein "anonymer" Upload der isolierten Insulingaben muss nicht zwingend tatsächlich anonym sein - denn möglicherweise lässt sich aufgrund eines Mustervergleichs mit einem bereits vorhandenen Datenbestand (z.B. bei sehr auffälligen Ausreissern oder Datenkonstellationen) dann doch wieder ein Personenbezug herstellen. Dies dürfte vor allem bei CGM-Daten relevant sein - hier reichen bereits wenige Messwerte eines einzigen Tages, um einen Abgleich zu einer bestimmten Person im Datenbestand herzustellen.

Was die offline-Software angeht: nach meiner Einschätzung ist es unzulässig, wenn ein von der Krankenkasse bezahltes System nur dann vollständig genutzt werden kann, solange er seine Gesundheitsdaten an an einen Dritten übermittelt, ich darf insoweit auf meine obigen Antwort verweisen.

Eine von den rtCGM-Anbieter offerierte Cloud-Lösung ist allerdings nicht zwingend unzulässig. Diese müsste dann aber so ausgestaltet sein, daß der Anbieter dabei die Daten nur für Patient bzw. Arzt speichert bzw. verarbeitet, d.h. dass er mit der Datenverwahrung in seiner Cloud selbst keine eigenen Zwecke bezüglich der Daten verfolgt. Kurz: Wenn er nur den Speicherplatz in der Cloud bzw. die Software als Service anbietet, er mit den Daten aber nichts macht und auch nichts machen darf und kann. Soweit ich das überblicken kann, erfüllt aber keine einzige der momentan kommerziell angebotenen Cloud-Lösungen diese Voraussetzungen - es geht immer darum, die Gesundheitsdaten für geschäftliche Zwecke zu nutzen.
 

MfG

Oliver Ebert

Hallo Herr H.,

hier kann man keine pauschale Antwort geben; jede App ist anders und hat andere Einstellungsmögichkeiten und Konzepte. Sie müssten daher jede App einzeln anschauen. Ein gutes Indiz für Datensicherheit ist, wenn die App auch komplett und dauerhaft "offline", d.h. ohne Internetverbindung funktioniert. Auch sollte die App eine Datenschutzerklärung haben, in der über die Datenverarbeitung verständlich informiert wird. Ich habe vor einiger Zeit eine Checkliste gemacht, anhand derer Sie schnell einschätzen kann, ob eine App eher unbedenklich ist oder besser mit Vorsicht zu geniessen sein sollte. Sie finden die Checkliste.

MfG

Oliver Ebert

Liebe Mareike,
die Datenschutzvorgaben dienen dem Schutz des Patienten, insoweit kann jeder für sich selbst entscheiden, ob er eine App nutzt bzw. er mit damit verbundenen Datenübermittlungen und - Nutzungen durch Dritte einverstanden ist. Ich empfehle aber, daß man sehr zurückhaltend mit seinen Daten ist und bevorzugt solche Apps verwendet, die die Privatsphäre und den Datenschutz respektieren. Das mögliche "Hacken" von Daten ist in der Tat ein Problem - in einer Cloud liegende Daten sind dabei sicherlich ein bevorzugteres Angriffsziel als das Hacken eines einzelnen Smartphones. Dennoch ist auch bei lokaler Speicherung die Gefahr durch Schadsoftware/Viren/Trojaner nicht zu unterschätzen. Natürlich sollte man sein Handy mit den Daten auch nicht verlieren oder unbeaufsichtigt lassen. Eine Empfehlung für bestimmte Apps kann ich nicht geben, das ist auch Geschmackssache. Aus juristischer Sicht sind allerdings die meisten der am MArkt erhältlichen Diabetes-Apps sehr grenzwertig. Ich habe vor einiger Zeit eine Checkliste gemacht, anhand derer Sie schnell einschätzen kann, ob eine App eher unbedenklich ist oder besser mit Vorsicht zu geniessen sein sollte. Sie finden hier die Checkliste

MfG

Oliver Ebert

Hallo Herr D.,

bitte haben Sie Verständnis, daß ich mich zu konkreten Produkten oder Herstellern nicht äußern möchte. Ich denke aber, daß ich die Frage auch allgemeingültig beantworten kann:

Wichtig ist es zunächst, die Nutzungsbestimmungen der vom Hersteller angebotenen App bzw. Software sehr sorgfältig und kritisch zu lesen. Dort müsste nachvollziehbar erklärt sein, welche Daten wohin übermittelt werden. Wenn Sie hiernach die App bzw. Software zur Dokumentation der CGM-Daten nur nutzen können, wenn/solange Sie zur Übermittlung bzw. Nutzung Ihrer Daten durch den Hersteller oder einem Dritten zustimmen, dann gelten meine bereits oben gemachten Ausführungen. Denn zu der bestimmungsgemäßen Nutzung Ihres von der Krankenkasse bezahlten (rt)CGM-zählt auch die Auswertung der Langzeitdaten, ohne solche macht das CGM in der Regel nur wenig Sinn.

Was können Sie nun als Patient/-in tun? Ich empfehle, dass Sie zunächst nochmals den Hersteller um eine Lösung bitten, wie die mit den Geräten erhobenen Gesundheitsdaten auch ohne Datenübermittlung an Dritte bzw. in eine Cloud genutzt werden können.

Wenn der Hersteller auf Ihre Anfrage nicht reagiert bzw. die von dort erhaltene Reaktion Sie nicht zufriedenstellt, dann gibt es mehrere Möglichkeiten: Jeder Betroffene kann sich gem. Art. 77 DSGVO bei der zuständigen Datenaufsichtsbehörde beschweren. --> Adressen. Die Behörden müssen dann tätig werden und können auch hohe Bußgelder verhängen. Sie könnten sich auch an Stellen wenden, die Patienten bei der Durchsetzung ihrer Datenschutzrechte unterstützen, beispielsweise an den Verein Patientenrechte und Datenschutz e.V. oder die Initative „noyb“, welche bereits beachtliche Erfolge (u.a. massive Bußgelder gegen facebook und google) erzielen konnte.

Man muss im Übrigen auch keine Angst haben, dass diese für uns Patienten ja zweifelsfrei sehr sinnvollen Systemen womöglich aufgrund von Beschwerden vom Markt genommen werden müssen. Denn wenn der Druck nur hoch genug ist, dann werden die Hersteller ihre Praktiken sicherlich sehr schnell ändern. Für die Hersteller wäre es auch gar kein großes Problem, die Systeme rechtskonform zu gestalten. Die Anbieter müssten mit ihren Systemen nur (wieder) eine Software bzw. App mitliefern, die ausschließlich lokal (=auf dem PC/Smartphone des Patienten/Arzt) funktioniert und die nicht dazu zwingt, die Daten in die Cloud zu schicken. Solche offline-Software ist ja auch vorhanden, diese wird vonden Herstellern nur nicht (mehr) mitgeliefert.

MfG

Oliver Ebert

Sehr geehrter Herr L.,

es gibt eine Vielzahl von denkbaren Szenarien. Das Geschäft mit den Gesundheitsdaten ist ein gigantischer Markt: immer mehr Anbieter sammeln in großem Stil solche Daten, um auf Kosten der
Betroffenen dann später Geld zu verdienen - beispielsweise indem man von diesen höhere Preise verlangt (zB Versicherungsprämien), bei ihnen spart bzw. Leistungen reduziert (zB Krankenkassen) oder man auf ihre Kosten finanzielle bzw. betriebswirtschaftliche Risiken reduziert (Arbeitgeber, Versicherer, Altenheime,…, die aufgrund von Datenprofilen/Scores die
Personen nicht einstellen, versichern, aufnehmen,…). Wer allzu leichtfertig seine Gesundheitsdaten preisgibt, der sollte realistischerweise also damit rechnen, dass er irgendwann im Laufe seines Lebens - im wahrsten Sinne des Wortes - dafür womöglich einen hohen Preis bezahlen muss.

Ihre Annahme, dass die Daten vom Anbieter der App/Cloud nicht weitergeschickt werden, dürfte in den allermeisten Fällen auch allzu optimistisch sein. Vielmals steht es ja sogar irgendwo (wenngleich meist versteckt..) in den Nutzungsbedingungen, was der Anbieter mit Ihren Daten alles machen will..

Nachdem Ihre Daten aber erst einmal übermittelt sind, können Sie kaum mehr sicher kontrollieren, was dann damit passiert.

Wenn dann beispielsweise die Krankenkasse bzw. Krankenversicherung anhand ihrer genauen Daten sieht, daß Sie vielleicht vollkommen unvernüntig mit dem Diabetes umgehen, zu viel/zu "ungesund" essen, nicht entsprechend der ärztlichen Anweisung spritzen, zu wenig Sport machen, etc - glauben Sie wirklich, dass Folgeverordnungen für Ihre Pumpe oder CGM danach weiterhin immer problemlos erstattet werden ?

Oder wie wäre das Beispiel des Arbeitgebers, der Sie auf der "Abschussliste" hat bzw. nicht einstellt, nachdem er sich bei Anbietern im Ausland einen "Score" über Ihren Gesundheitzustand beschafft hat, in den auch Ihre Diabetes-Daten einfliessen ? Das ist zwar illegal, wird aber schon jetzt gemacht - da man als Betroffener davon in der Regel gar nichts mitbekommt, kann man sich auch schwer dagegen wehren.

Es gibt noch genügend andere Beispiel, die jetzt hier aber den Rahmen sprengen würden.

Letzlich hilft es vielleicht, wenn man für sich selbst einfach die folgenden Fragen beantwortet:

Aus welchem Grund sind die Anbieter denn so an den Daten interessiert, wenn diese doch angeblich gar nichts wert sind ? Warum wurden in den letzten Jahren mehrere hundert Millionen US$ in Anbieter von Diabetes-Apps und Cloud-Lösungen investiert ?

Und dann: wer wird wohl letzlich den Preis für diese enormen Investitionen bezahlen müssen ?
MfG

Oliver Ebert

Hallo Markus,

leider ist der juristische Hintergrund sehr kompliziert, das lässt sich nicht in nur wenigen Sätzen beantworten.

Generell gilt: grundsätzlich ist (auch) das Recht des Landes zu beachten, welches vom Anbieter beworben wird. Ein App-Anbieter, der eine deutschsprachige Seite unterhält, dürfte damit wohl in erster Linie die in DE, AT und CH lebenden Personen ansprechen wollen. Er wird daher auch die hiesigen Verbraucher- und Datenschutzvorschriften einhalten müssen. Ob man gegen einen womöglich in Fernost sitzenden Anbieter etwas unternehmen kann, steht natürlich auf einem anderen Blatt.

MfG

Oliver Ebert

Hallo Beate,

was eine "gute" Diabetes-App ist, dürfte ziemliche Geschmachssache sein. Häufig bieten die Apps vergleichbare Funktionen und unterscheiden sich vor allem im Design oder der Kundenansprache. Die eine App bietet sehr anschauliche grafische Auswertungen des Blutzuckerverlaufs, während die andere App umfassende tabellarische Statistiken erstellt. Welche App ist nun besser oder schlechter? Bestenfalls bietet die App schnell erfassbare Verlaufsdarstellungen für den Patienten und für den behandelnden Diabetologen umfangreiche Darstellungs- und Auswertungsmöglichkeiten. Eine App ist dazu bunt, in frecher Sprache und zur Motivation mit spielerischen Elementen ausgestattet, während die andere App nüchtern, sachlich und schnörkellos daherkommt. Welche dieser Apps ist nun besser oder schlechter?

Mit der Initiative DiaDigital gibt es zwar einen ersten Ansatz, Diabetes-Apps zu bewerten. Allerdings erfolgt die Bewertung und "Zertifizierung" überwiegend auf Basis einer Selbstauskunft (!) des herstellers sowie durch ehrenamtlich engagierte Patienten, die zwar technisch "fit" sind, aber nicht über die für eine juristische und medizinische Bewertung benötigte Kompetenz verfügen. Daher ist nicht immer nachvollziehbar, anhand welcher Kriterien das dortige "Siegel" im Einzelfall letzlich jeweils vergeben wird.

Ich habe vor einiger Zeit eine Checkliste gemacht, anhand derer Sie anhand objektiver Kriterien schnell einschätzen kann, ob eine App tauglich ist. Sie finden hier eine Checkliste.

MfG

Oliver Ebert

Hallo Xenia,

der G-BA bzw. Spitzenverband GKV haben hier nichts falsch gemacht. Tatsächlich haben wohl eher die Hersteller im Vorfeld nicht allzu glücklich agiert. Aufgrund deren Pressemitteilungen, öffentlicher Statements und Werbeaussagen war es aufgrund der damals geltenden Rechtslage nämlich kaum mehr möglich, rtCGM *nicht* als sog. "neue Untersuchungs- und Behandlungsmethode" anzusehen. Das anschliessende Nutzenbewertungsverfahren war daher nicht nur erwartbar, sondern auch gesetzlich vorgeschrieben.

MfG

Oliver Ebert