Diabetologie und Stoffwechsel 2020; 15(04): 312-316
DOI: 10.1055/a-1185-8945
Originalarbeit

Der Auftragsverarbeitungsvertrag (AV-Vertrag): Relevanz und praktische Bedeutung für die Diabetologie

The contract data processing contract (DP contract): Relevance and practical significance for diabetology
Fabian Simon Frielitz
1   Institut für Sozialmedizin und Epidemiologie, University of Lübeck, Germany
,
Sandra Schlüter
2   AGDT, Arbeitsgemeinschaft Diabetes & Technologie der Deutschen Diabetes Gesellschaft e. V., Ulm, Germany
,
Lutz Heinemann
2   AGDT, Arbeitsgemeinschaft Diabetes & Technologie der Deutschen Diabetes Gesellschaft e. V., Ulm, Germany
,
Guido Freckmann
2   AGDT, Arbeitsgemeinschaft Diabetes & Technologie der Deutschen Diabetes Gesellschaft e. V., Ulm, Germany
,
Simone von Sengbusch
3   Klinik für Kinder und Jugendmedizin, Universitätsklinikum Schleswig-Holstein – Campus Lübeck, Lübeck, Germany
› Author Affiliations

Zusammenfassung

Hintergrund Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ist bei der praktischen Nutzung von Diabetessoftware im ambulanten und stationären Bereich die Frage nach einem Abschluss eines „Auftragsverarbeitungsvertrags“ (AV-Vertrag) maßgeblich geworden.

Material Viele der aktuellen Diabetestechnologien (insbesondere CGM-Systeme, Insulinpumpen, Blutzuckermesssysteme) erlauben die Speicherung (lokal oder cloudbasiert) der generierten Daten in der jeweiligen herstellereigenen Softwarelösung. Aus einem datenschutzrechtlichen, aber auch aus einem versorgungsrelevanten Blickwinkel ergibt sich eine Reihe von Fragen und Aspekten, die es zu klären gilt.

Ergebnisse Grundsätzlich sind Patienten frei in der Wahl der Software, um ihre Diabetesdaten auszulesen und ein Daten-PDF zu erzeugen. Für die Ersteinstellung und Langzeitbetreuung benötigen die Ärzte in Kliniken oder Praxen die erhobenen Daten, um die Therapieeinstellung zu kontrollieren. In diesem Zusammenhang werden auch durch die behandelnden Ärzte in Gesundheitseinrichtungen oftmals Diabetesprogramme eingesetzt, die einen Datenzugriff auf die in der Software des Patienten gespeicherten Daten ermöglichen. Mit der Arztsoftware ist es möglich, auf die Patientendaten stetig zuzugreifen. Durch diese Form findet ein Auslesen, Anpassen, Speichern oder Ändern der therapierelevanten Daten statt und begründet eine Datenverarbeitung im Sinne von Art. 4 DSGVO, die den Abschluss eines AV-Vertrags vorsieht.

Schlussfolgerung Fachabteilungen in Kliniken und Praxen sollten sich neben den Diabetessoftwarelösungen auch mit der Thematik von AV-Verträgen auseinandersetzen, um beim Einsatz von Software stets für ihre Patienten Rechtssicherheit gewährleisten zu können. Eine juristische Vorprüfung der komplexen Verträge durch die großen Diabetesfachorganisationen wäre wünschenswert.

Abstract

Background Since the General Data Protection Regulation (GDPR) came into force, the question of concluding a “data processing contract” (AV contract) became decisive for the practical use of diabetes software in the outpatient and inpatient sector.

Material Many of the current diabetes technologies (CGM systems, insulin pumps, blood glucose monitoring systems) allow the local or cloud-based storage of the generated data in the cloud of the respective manufacturers. Cloud-based services are expected to increase in the future to overcome interoperability challenges. A number of questions and issues arise from a data protection law perspective, but also from a supply-related perspective, which need to be clarified.

Results In principle, patients are free to choose the read-out software for their diabetes data and the generation of the respective PDF-file. For the initial treatment and long-term care, medical doctors in clinics or practices need the collected data to control the therapy adjustment. In this context, attending physicians in health care facilities often use software based diabetes programs, which allow access to the data stored in the patient’s software. It is possible with the physician’s software to access the patient data continuously. This form of access allows to read-out, adapt, save and change the data relevant to therapy and constitutes data processing within the meaning of Art. 4 GDPR, which provides for the conclusion of an AV contract.

Conclusion In addition to diabetes software solutions, specialist departments in hospitals and medical practices should also deal with the topic of AV contracts in order to be able to guarantee legal certainty for their patients when using such software. A preliminary legal review of the complex contracts by the large diabetes specialist organisations would be desirable.



Publication History

Received: 11 March 2020

Accepted: 22 May 2020

Article published online:
19 June 2020

© Georg Thieme Verlag KG
Stuttgart · New York