diabetes zeitung
Jobs
DDG Akademie

Licht im Nebel der Cloud

Datenschutzbeauftragter betont das Erfüllen des ärztlichen Behandlungsauftrages

MÜNCHEN.  Darf eine diabetologische Praxis Patientendaten in ein Cloudsystem hochladen? Jurist Dr. Thorsten Thaysen verweist auf eine Entscheidung des Hessischen Datenschutzbeauftragten zum Behandlungs- und Auftragsverarbeitungsvertrag.

Foto: woravut – stock.adobe.com

Glukosemesssysteme mit Cloudanbindung bieten therapeutische Vorteile und ersparen den Patient*innen das Auslesen der Daten in der Praxis. Andererseits übermittelt z. B. ein Patient seine sensiblen Gesundheitsdaten an den Hersteller des Cloudsystems und damit an eine dritte Partei, die zunächst außerhalb der Arzt-Patienten-Beziehung steht. Daher stellt sich die Frage, ob die Übermittlung der Patientendaten in die Cloud datenschutzrechtlich zulässig ist oder ob dafür etwa die Einwilligung des Patienten eingeholt werden muss.

Für die diabetologische Praxis war bisher zu empfehlen, eine datenschutzrechtliche Verantwortlichkeit möglichst dadurch zu vermeiden, dass die Entscheidung über die Nutzung des Cloudsystems den Patient*innen überlassen bleibt. Diese Lösung war jedoch nicht immer umsetzbar oder führte zu zusätz­lichen Aufwänden. 

Im Tätigkeitsbericht des Hessischen Datenschutzbeauftragten für das Jahr 2022 (S. 227 ff.) ist ein Verfahren aufgeführt, das bislang zwar weitgehend unbemerkt geblieben ist, das aber Bedeutung für die datenschutzrechtliche Beurteilung der Zulässigkeit des Einsatzes von Glukosemesssystemen mit Cloudanbindung hat.

Es ging um folgenden Sachverhalt: Ein Patient wurde zur Erstellung von Bildern an eine radiologische Praxis überwiesen. Dort erklärte der Patient, dass er keine Weitergabe seiner Gesundheitsdaten an Dritte wünsche. Sollte eine Weitergabe doch notwendig werden, wollte er zuvor darüber informiert und nach seiner Einwilligung gefragt werden. 

Patient verlangte umgehend die Löschung seiner Daten 
Nach der Untersuchung erhielt der Patient eine CD mit seinen Bilddaten sowie ein Informationsblatt, in dem beschrieben wurde, wie er seine Bilder auch online abrufen konnte. Für den Online-Abruf übermittelte die Praxis die Bilddaten an einen Dienstleister, der diese auf seinem Cloud-Server speicherte. Dem Patienten teilte die Praxis mit, dass die Daten auf dem Server des Dienstleisters gelöscht werden würden, falls er keinen Online-Zugang wünsche. Daraufhin verlangte der Patient die Löschung seiner Daten aus der Cloud. Dies erfolgte umgehend. Der Patient erhob dennoch Beschwerde beim Hessischen Datenschutzbeauftragten (Aufsichtsbehörde für den Datenschutz): Er sei nicht ausreichend über die Datenweitergabe an den Dienstleister informiert worden und habe außerdem in eine solche Weitergabe nicht eingewilligt.

Der Datenschutzbeauftragte bewertete das Vorgehen der Praxis als datenschutzkonform. Diese war aufgrund des Behandlungsvertrages in dem für die Therapie erforderlichen Umfang berechtigt, Gesundheitsdaten auch ohne Einwilligung des Patienten zu verarbeiten, da eine gesetzliche Erlaubnis zur Datenverarbeitung vorlag (Art. 9 Abs. 2 lit. h DSGVO). Die Übermittlung der Bilddaten an die Cloud des Dienstleisters habe der unkomplizierten Weitergabe an die überweisenden Ärzt*innen gedient und sei damit für die Erfüllung des Behandlungsvertrages erforderlich gewesen. 

Insbesondere habe es sich um keinen zusätzlichen Newsletter- oder Recall-Service gehandelt. Die Übermittlung in die Cloud sei durch eine Auftragsverarbeitung gedeckt und verstoße auch nicht gegen die ärztliche Schweigepflicht, da das Gesetz den Einsatz solcher Dienstleister ausdrücklich gestatte. Dadurch sei der Schutz der Daten ausreichend gewährleistet, sodass an veralteten Technologien und Übermittlungswegen nicht festgehalten werden müsse.

Auch wenn die Bewertung des Datenschutzbeauftragten nicht explizit für ein Glukosemesssystem mit Cloudanbindung erfolgte und formal nur Hessen betrifft, können daraus allgemeine Erkenntnisse für die datenschutzrechtliche Beurteilung von Cloudsystemen in der diabetologischen Praxis gezogen werden. Die Cloud-Technologie dient hier ebenfalls der Übermittlung der Messdaten von Patient*innen an die diabetologische Praxis sowie die Verfügbarkeit dieser Daten für ggf. mitbehandelnde Ärzt*innen. 
Damit spricht viel dafür, dass sich auch diabetologische Praxen auf eine gesetzliche Erlaubnis für die Übermittlung von Patientendaten in Cloudsysteme und das Auslesen berufen können (Art. 9 Abs. 2 lit. h DSGVO). Übermittlung und Auslesen sind ebenso wie im beschriebenen Fall erforderlich, um den Behandlungsvertrag durchzuführen. Die diabetologische Praxis benötigt dafür keine Patienteneinwilligung. Es liegt auch keine Verletzung der ärztlichen Schweigepflicht vor.

Datenschutzbericht liefert Praxen eine gute Begründung
Zudem verlangen die Hersteller von cloudbasierten Glukosemesssystemen regelmäßig den Abschluss eines Auftragsverarbeitungsvertrages mit der Praxis, so dass auch insoweit eine Vergleichbarkeit mit dem Sachverhalt im Tätigkeitsbericht des Datenschutzbeauftragten besteht. 

Das heißt: Es bleibt bei der Empfehlung, den Patient*innen die Entscheidung über die Nutzung des Cloudsystems zu überlassen und in der Praxis möglichst keine Patientendaten ins Cloudsystem hochzuladen. Wenn jedoch die Abläufe in der Praxis die Speicherung erfordern sollten, kann die Bewertung des Hessischen Datenschutzbeauftragten für die Begründung der Zulässigkeit herangezogen werden. 

Dabei ist darauf zu achten, dass die Praxis einen Auftragsverarbeitungsvertrag mit dem Hersteller des Messsystems abgeschlossen hat und keine Einwilligung vom Patienten wegen des Hochladens der Daten in die Cloud eingeholt wird, da diese aufgrund der gesetzlichen Erlaubnis nicht notwendig ist.

Dr. jur. Thorsten Thaysen