Rechtsanwalt Oliver Ebert gibt Ihnen in der Rubrik Rechteck Antworten auf Rechtsfragen rund um das Thema Diabetes.

Die Frage:

Gelten Insulingaben mit der Pumpe, also beispielsweise Basalraten und Boli, als personenbezogene Daten? Immerhin geben diese Daten ja sehr viel über den Menschen preis (z. B. Essenszeiten, Sportabsenkungen) … Falls nein: Gibt es irgendetwas, auf das man eine solche Bewertung stützen könnte?

Falls ja: Gibt es Bestrebungen, dass Software für das Auslesen der Pumpe (ohne rtCGM!) wie z. B. CareLink Personal die Pumpen-Daten nicht mehr einfach in Medtronics Cloud auslesen und speichern darf, sondern eine Stand-alone-Software angeboten werden muss? Oder dass bei der YpsoPump, für die es zwar eine Offline-Software gibt, der Bolusrechner aber nur als App mit den bekannten Problemen („Nach-Hause-Telefonieren“) erhältlich ist, der Bolusrechner bereits in die Pumpe integriert sein muss?

Xenia R.


Die Antwort von Oliver Ebert:

Ja, auch Basalraten oder Pumpenboli können personenbezogene Daten sein, sofern diese Insulingaben einer Person zugeordnet werden könn(t)en. Dies dürfte aber fast immer der Fall sein, beispielsweise weil die Daten zusammen mit der Seriennummer der Pumpe erhoben werden, diese ist aber ja in der Regel bei Hersteller oder möglicherweise auch Krankenkasse registriert. Ein Personenbezug liegt auch vor, wenn die Daten in ein Cloud-Konto geladen werden, bei dem man sich einloggen muss.

Selbst ein als „anonym“ behaupteter Upload der isolierten Insulingaben muss nicht zwingend tatsächlich anonym sein – denn möglicherweise lässt sich aufgrund eines Mustervergleichs mit einem bereits vorhandenen Datenbestand (z. B. bei sehr auffälligen Ausreißern oder Datenkonstellationen) dann doch wieder ein Personenbezug herstellen. Dies dürfte vor allem in Kombination mit CGM-Daten relevant sein – hier reichen bereits wenige Messwerte eines einzigen Tages, um einen Abgleich zu einer bestimmten Person im Datenbestand herzustellen.

Was die Offline-Software angeht: Nach meiner Einschätzung ist es unzulässig, wenn ein von der Krankenkasse bezahltes System nur dann vollständig genutzt werden kann, solange man seine Gesundheitsdaten an einen Dritten übermittelt.

Juristisch gesehen stellt dies einen erheblichen Mangel des Produkts dar, der grundsätzlich zu Gewährleistungsansprüchen berechtigt. Auch datenschutzrechtlich ist es unzulässig, die vollumfängliche Nutzung eines rtCGM bzw. einer Insulinpumpe von der Einwilligung in die geschäftliche Nutzung der damit erhobenen Gesundheitsdaten abhängig zu machen.

Wenn der Hersteller nur eine Cloud-Lösung zur Datenauswertung anbietet, dann ist das allein noch nicht unzulässig. Der Patient muss dann aber eine echte Wahl haben, ob er die geschäftliche Nutzung seiner Gesundheitsdaten durch den Anbieter bzw. Dritte akzeptiert oder nicht. Für den Fall, dass er nicht einverstanden ist, dürfen ihm keine Nachteile bei der Produktnutzung entstehen.

Soweit ich das überblicken kann, erfüllt aber keine einzige der momentan kommerziell angebotenen Cloud-Lösungen diese Voraussetzungen – es wird vom Patienten immer abverlangt, seine Gesundheitsdaten für geschäftliche Zwecke nutzen zu dürfen.


von RA Oliver Ebert
REK Rechtsanwälte Stuttgart, Balingen
E-Mail: sekretariat@rek.de
Internet: www.diabetes-und-recht.de


Erschienen in: Diabetes-Journal, 2020; 69 (4) Seite 50