Hürdenlauf beim Datenschutz
Ulm. Die Arbeitsgemeinschaft Diabetes und Technologie der DDG hat eine Stellungnahme zum Thema Diabetes-Software im Krankenhaus verfasst.
Im Rahmen ihrer ärztlichen Tätigkeit verarbeiten Diabetologen täglich viele Daten, dies gilt besonders bei der Nutzung von Diabetes-Software. CGM-Systeme speichern bekanntlich ein vollständiges Glukoseprofil und übertragen die Daten auf ein Handheld, eine Insulinpumpe oder über eine App auf ein Smartphone. Die Daten können auf einen Computer runtergeladen werden und dort durch eine Software des Herstellers analysiert werden. Die Güte der Glukosekontrolle der Patienten kann so in der Praxis oder der Diabetesambulanz in einem Krankenhaus überwacht werden, vorausgesetzt, dass dort die Software zur Verfügung steht, die einen Download der Daten auf einen Computer ermöglicht.
Immer häufiger Cloud-Lösungen
Während bis vor Kurzem die herstellerspezifische Software noch kostenfrei für Arztpraxen, Diabetesambulanzen, Krankenhäuser und Patienten bereitgestellt wurde, stehen aktuell für die Gesundheitsdienstleister in Klinik und Praxis nur kostenpflichtige herstellerspezifische und herstellerunabhängige Softwareprogramme zur Verfügung. Bei den neuen Softwareprodukten handelt es sich um lokale Serverlösungen, immer häufiger aber auch um Cloud-Lösungen mit der Option für den Patienten, dem Arzt Zugriff auf die eigenen Daten zu ermöglichen.
Die Server dieser Programme stehen meist in der EU, aber teilweise sind Drittanbieter für die Software bzw. für die Sicherung von sog. Cloudspeichern im außereuropäischen Ausland ansässig. Damit treten im Rahmen der Lizenzvereinbarungen der Software sog. Auftragsverarbeitungsverträge, kurz AV-Verträge, in den Fokus.
Anforderungen schärfer durch DSGVO
Im Grunde befindet man sich immer dann im Bereich der Auftragsverarbeitung, wenn andere Unternehmen auf die Daten ihrer Kunden zugreifen. Schon vor dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) bestand eine ähnliche Vorschrift, welche durch die alte Version des Bundesdatenschutzgesetzes (§ 11) geregelt wurde. Der AV-Vertrag ist daher nicht neu, jedoch sind durch die DSGVO die Anforderungen schärfer geworden, indem die Inhalte und die Rechtsbeziehung zwischen Auftraggeber und Auftragnehmer präzisiert wurden (Art. 28 DSGVO).
Während niedergelassene Diabetologen solche Verträge nach eigener Prüfung oder mithilfe einer ITFachberatung unterschreiben können, unterliegt im Krankenhaus die Einführung einer Software einem sich zum Teil inhaltlich überschneidenden Verfahren:
- Prüfung der Software durch die IT (Verfahrensbeschreibung und Sicherheitsprüfung)
- Prüfung des Vertrags durch den Datenschutzbeauftragten (AV-Vertrag, Einhalten der Vorgaben der DSGVO)
- Prüfung des Vertrags durch das Justiziariat
Gibt es keine Kritikpunkte, kann der AV-Vertrag unterzeichnet werden. Gibt es Fragen oder einen Wunsch nach Erklärung oder Ergänzungen, wird der AV-Vertrag zum Anbieter zurückgeschickt und dort werden die angefragten Punkte geprüft.
Bewertung der Softwarelösungen aufwendig
Die Bewertung der verschiedenen Softwarelösungen und AV-Verträge in Bezug auf die Vorgaben der DSGVO ist inhaltlich und zeitlich ausgesprochen aufwendig. Dies führt dazu, dass aktuell in vielen Krankenhäusern die benötigten, aktuellen Softwarelösungen nicht verfügbar sind, d.h., eine kontinuierliche Betreuung der Patienten und eine angemessene Therapieanpassung ist gar nicht bzw. nur eingeschränkt möglich.
Dr. Simone von Sengbusch, Lübeck; Dr. Dr. Fabian Frielitz, Lübeck; Sandra Schlüter, Northeim; Dr. Guido Freckmann, Ulm; Prof. Dr. Lutz Heinemann, Düsseldorf