Startseite » Digitalisierung » Recht »

Mit Daten geht technisch mehr als rechtlich erlaubt ist

Big Data in der Medizintechnik
Mit Daten geht technisch mehr als rechtlich erlaubt ist

Mit Daten geht technisch mehr als rechtlich erlaubt ist
Meine Daten gehören mir! Oder? Es gilt, geschickte Einwilligungsformulare zusammenzustellen, um überhaupt Daten nutzen zu dürfen. Doch zum Teil ist nicht klar geregelt, wer die Rechte an von Medizinprodukten gemessenen Werten hat Bild: Fotolia/the_lightwriter
Big Data in der Medizintechnik | Moderne Medizingeräte sammeln immer mehr Daten. Aber um ihren langfristigen wirtschaftlichen Erfolg nicht zu gefährden, sollten Hersteller bei Innovationen Haftungsfallen und regulatorische Fallstricke für digital vernetzte Medizinprodukte im Blick behalten.

Laurent Meister Menold Bezler Rechtsanwälte Partnerschaft, Stuttgart

Smarte Clips, Pflaster mit Messsensoren für die Kontrolle chronischer Krankheiten wie Asthma oder Diabetes, hochkomplexe Programme, die Schlagworte als Hinweis auf bestimmte Krankheiten auswerten, um Ärzte bei der Diagnose zu unterstützen und geeignete Therapien vorzuschlagen – die Zahl der digitalen Neuerungen in der Medizin ist fast unübersehbar.
Daten, die mit Hilfe von Medizinprodukten erhoben werden, bieten zweifellos ein Geschäftsfeld mit hohem Wachstumspotenzial. Der Vision vom gläsernen Patienten, der man mit der Digitalisierung näher kommt, begegnen aber viele mit Skepsis. Schon jetzt hat Datenmissbrauch in der Medizin Konsequenzen, und der Gesetzgeber stellt Leitplanken für den Umgang mit sensiblen Gesundheitsdaten auf.
Allgemein lässt sich sagen, dass sich digitale Geschäftsmodelle aufgrund der besonderen Sensibilität der medizinischen Daten nicht ohne weiteres aus dem Consumer-Bereich auf die Gesundheitsversorgung übertragen lassen.
Schon das Medizinproduktegesetz (MPG) liefert Anhaltspunkte für telemedizinische Produkte wie Software, die hilft, Krankheiten zu erkennen, zu überwachen oder zu behandeln. Es greift immer dann, wenn der Hersteller sein Produkt auch mit einer spezifisch medizinischen Zweckbestimmung entwickelt hat. Das Smartphone selbst ist also kein Medizinprodukt, auch wenn eine Gesundheits-App heruntergeladen wird. Die Medizin-App, mit der Erkrankungen wie Diabetes oder Asthma überwacht werden, kann aber durchaus unter die Vorgaben des MPG fallen. Auch für Software, die in Medizinprodukte wie Diabetiker-Kontaktlinsen integriert wird, um die Blutzuckerwerte zu kontrollieren, gilt das Gesetz. In diesem Fall sind vor der Markteinführung eine CE-Kennzeichnung sowie eine klinische Bewertung und Prüfung notwendig. Bei Verstößen drohen Geld- oder Freiheitsstrafe bis zu drei Jahren.
Es gibt aber noch ein weitere Gesetz, das in diesem Zusammenhang eine Rolle spielt: Da die meisten Informationen, die Medizinprodukte über den Patienten sammeln, personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) sind, müssen auch dessen Regelungen beachtet werden. Das schließt das so genannte Tracking ein, also das Sammeln von Daten durch Apps wie Runtastic, die eine gelaufene Strecke und diebenötigte Zeit erfassen – oder Fitnessarmbänder, welche die persönliche Kondition ermitteln. Auch wenn diese Anwendungen in der Regel keine Medizinprodukte sind, sammeln sie personenbezogene Daten, wofür das BDSG im Zweifel eine Einwilligung des Nutzers erfordert. Das gilt erst recht, wenn zum Beispiel Daten aus einem Fitnessarmband an eine Krankenversicherung weitergegeben werden sollen.
Weitergabe ans Krankenhaus erfordert gesonderte Erlaubnis
Erfassen Medizinprodukte Gesundheitsdaten mit Hilfe von Messsensoren, so sind diese Daten besonders geschützt und nur dem behandelnden Arzt im Rahmen der Behandlung zugänglich – auch ohne dass der Patient eine gesonderte Einwilligung geben muss. Werden die Blutzuckerwerte aber an ein Krankenhaus übermittelt, muss der Betroffene bereits explizit zustimmen.
Das Formulieren einer Einwilligungserklärung ist aber für die Hersteller nicht trivial: Sie müssen hier den Zweck der Datenerhebung und -verarbeitung nennen. Bei neuen datenbasierten Geschäftsmodellen ist dieser nicht immer von Anfang an erkennbar, so dass die einmal vom Nutzer erteilte Einwilligung möglicherweise für die spätere Verwendung gar nicht ausreicht.
Die Verantwortlichen im Unternehmen sollten deshalb schon im Stadium der Produktentwicklung so konkret wie möglich klären: Zu welchen Zwecken sollen die gesammelten Daten genutzt werden? Und welche Anforderungen des Datenschutzes gelten hierfür? Zweifelsfälle sollten sie mit der Datenschutzbehörde abklären. Auf dieser Basis gilt es, möglichst weitgehende Einwilligungserklärungen zu formulieren.
Eine zweite Lösung ist die Anonymisierung oder Pseudonymisierung der Daten, so dass keine Rückschlüsse mehr auf eine einzelne Person möglich sind. Dies ist jedoch in vielen Fällen problematisch, weil Angaben über Alter, Blutgruppe oder andere Informationen aus Krankenakten diese Rückschlüsse schnell ermöglichen.
Rechtlich nicht eindeutig geklärt ist bislang, wem die Daten aus smarten Produkten wie einer Diabetiker-Kontaktlinse gehören: Hat der Hersteller das alleinige Verfügungsrecht? Kann der Patient zum Beispiel einem Insulin-Produzenten den Zugriff auf die Daten verweigern? Dementsprechend sollten Unternehmen vorausschauende Verträge mit Patienten und Geschäftspartnern schließen, die Spielräume für Big-Data-basierte Innovationen lassen.
Die neue EU-Datenschutzgrundverordnung, die im Mai 2018 in Kraft tritt, sorgt für gewisse Erleichterungen, indem sie beispielsweise definiert, was unter Gesundheitsdaten, genetischen oder biometrischen Daten zu verstehen ist. Auch gewährt sie Medizinprodukteherstellern größere Spielräume durch Ausnahmetatbestände für die Gesundheitsvorsorge oder Diagnostik. Teilweise verschärft sie aber auch Anforderungen, indem beispielsweise nur Fachpersonal oder andere einer Schweigepflicht unterliegende Berufe Daten verarbeiten dürfen.
Die Anforderungen an privacy by design und privacy by default, die den Datenschutz durch Voreinstellungen einer Software sicherstellen sollen, sind künftig verpflichtend. Zugleich drohen mit Bußgeldern von bis zu 4 % des weltweiten Konzernumsatzes viel strengere Sanktionen als bisher.
Das hohe Datenschutzniveau in Europa ist zugleich eine hohe Hürde für ausländische Hersteller, etwa aus den USA. Grundsätzlich ist eine Übermittlung personenbezogener Daten ins Ausland nur möglich, wenn dort ein Schutzniveau gewährleistet ist, das dem europäischen ähnlich ist. Infolgedessen müssen amerikanische und europäische Unternehmen, die Daten in den USA verarbeiten wollen, zumindest die Anforderungen des Privacy-Shield-Abkommens zwischen der EU und den USA erfüllen.
Angesichts der wachsenden Gefahr durch Hacker ist bei sensiblen Gesundheitsdaten die IT-Sicherheit von großer Bedeutung. Das Bundesdatenschutzgesetz verpflichtet Hersteller digitaler Gesundheitsprodukte, durch Voreinstellungen im Sinne von Privacy by Design Fremdzugriffe wesentlich zu erschweren. Um Schadensersatzansprüchen vorzubeugen, müssen Medizinproduktehersteller zudem prüfen, ob sie unter das Gesetz des Bundesamtes für Sicherheit in der Informationstechnik fallen (BSIG).
Der Datenschutz muss aber kein Hemmschuh sein, das Geschäftspotenzial durch Innovationen zu nutzen. Wer die Vorgaben zuverlässig erfüllt, wird sich das Vertrauen der Anwender erschließen. Und ohne dieses werden sich die Produkte langfristig nicht verkaufen lassen. ■
Unsere Whitepaper-Empfehlung
Aktuelle Ausgabe
Titelbild medizin technik 1
Ausgabe
1.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Titelthema: PFAS

Medizintechnik ohne PFAS: Suche nach sinnvollem Ersatz

Alle Webinare & Webcasts

Webinare aller unserer Industrieseiten

Aktuelles Webinar

Multiphysik-Simulation

Medizintechnik: Multiphysik-Simulation

Whitepaper

Whitepaper aller unserer Industrieseiten


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de