Schlagwort-Archive: Datenschutz

Zur Strafbarkeit eines Zahnarztes / Arztes beim Einsatz von Cloud Computing in der Praxis

Veröffentlicht am von
16

von Haya Hadidi

Cloud Computing ist ein Trend: Es verspricht sicher, einfach und all zeit verfügbar zu sein. (zur aktuellen Diskussion auf der Ebene der EU, s. z.B.http://www.trend-zeitschrift.de/2012/07/06/cloud-computing-%E2%80%93-zwischen-wachstum-und-datenschutz/):  Der professionelle oder private Anwender ist in der Lage, seinen Datenmengen und -anwendungen Herr zu werden, ohne eigenen Speicherplatz und IT-Ressourcen managen zu müssen. Dazu gehört, dass er sich z.B. auch nicht um das Backup seiner Daten oder auch das Virusscannen kümmern muss. Inzwischen gibt es zahlreiche Anbieter auf dem deutschen Markt, sowohl aus Deutschland als auch aus dem Ausland. Dabei ist zu beachten, dass Cloud Computing eine Form der Auftragsdatenverarbeitung ist und nach den Vorschriften des § 11 Bundesdatenschutzgesetzes (BDSG) gesondert vereinbart werden muss.

Für Berufsgeheimnisträger wie z.B. Ärzte und Zahnärzte stellt sich jedoch die Frage, ob sie sich bei der Nutzung von Clouddiensten im Rahmen ihrer beruflichen Tätigkeit möglicherweise wegen des unbefugten Offenbarens von Geheimnissen nach § 203 Strafgesetzbuch (StGB) strafbar machen.

Was ist Cloud Computing? 

Unter Cloud Computing versteht man, dass Daten, Soft- und sogar Hardware nicht mehr ausschließlich lokal nutzbar sind, sondern dass Aufgaben wie Datenspeicherung, -bearbeitung und -ausführung auf sogenannten Cloud-Servern innerhalb einer mehr oder weniger – abhängig vom Umfang der genutzten Dienste- komplexen Netzwerkinfrastruktur erledigt werden können. Diese Dienste werden dem Nutzer üblicherweise in Echtzeit über weit verbreitete Schnittstellen, wie z.B. Webbrowser, bereitgestellt. Cloud Computing ist ein bedeutender Wirtschaftsfaktor geworden: Der wissenschaftliche Dienst des Bundestags veröffentlichte 2010, dass nach einer Schätzung der International Data Corporation (IDC) der Branchenumsatz europäischer Clouddienste von 971 Millionen Euro im Jahre 2008 auf etwa 6 Milliarden Euro im Jahre 2013 ansteigen wird (s. http://www.bundestag.de/dokumente/analysen/2010/cloud_computing.pdf).

Wie könnte sich ein Zahnarzt / Arzt strafbar machen, wenn er Clouddienste z.B. für seine Praxis nutzt ?

Nach § 203 StGB machtsich ein Zahnarzt / Arzt strafbar, wenn er unbefugt ein fremdes Geheimnis offenbart, das ihm in seiner beruflichen Eigenschaft anvertraut oder sonst bekannt geworden ist.

Denkbar wäre es also, dass der Zahnarzt durch das Hochladen von Patientendaten auf einen Cloudserver, diese als fremde Geheimnisse den Clouddiensteanbietern offenbart. § 203 StGB bedroht die unbefugte Offenbarung von Geheimnissen mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Es handelt sich also um eine minder schwere Straftat, um ein sogenanntes Vergehen gemäß § 12 StGB. Auch ein Vergehen kann beispielsweise die Zahlung einer Geldstrafe aufgrund eines berufsgerichtlichen Verfahrens vor der Ärztekammer nach sich ziehen. Nach einem rechtskräftigen Urteil kann als Folge auch das Ruhen der Approbation und/oder der Kassenzulassung für einen bestimmten Zeitraum angeordnet werden.

Was ist ein Geheimnis im Sinne von § 203 StGB?

Ein Geheimnis ist eine Tatsache, die sich auf die Person des Betroffenen bezieht. Diese muss geheim sein. Das bedeutet, dass sie höchstens einem beschränkten Personenkreis bekannt sein darf. Außerdem muss der Betroffene auch ein Interesse an der Geheimhaltung durch den Geheimnisträger haben: Es muss sich also objektiv und subjektiv um ein Geheimnis handeln (s. § 203 StGB Rn. 4 ff.  in : Fischer, StGB, 56. Aufl. 2009). Alle Voraussetzung werden von Patientendaten wie z.B. Notizen zu durchgeführten  Behandlungen, Diagnosen, Röntgenbildern etc. erfüllt. Bei Patientendaten handelt es sich also um ein taugliches Tatobjekt.

Offenbaren?

Liegt denn nun auch ein Offenbaren darin, dass die Daten in die Cloud hochgeladen werden? Offenbaren ist jedes Mitteilen eines zur Zeit der Tat noch bestehenden Geheimnisses. Dies kann auch in der Verschaffung von Zugang zu Dateien gesehen werden, wenn die Offenbarung sowohl Tatsache als auch Person des Berechtigten umfasst. Genau dies tut der Zahnarzt ja im Normalfall, wenn er die Dateien auf den Server hochlädt. Man mag nun annehmen, dass dieses Problem nicht mehr gegeben sei, wenn die Dateien verschlüsselt auf dem Server abgelegt werden. Zumindest bei amerikanischen Clouddiensten, wie z.B. bei Apples iCloud-Dienst, ist dies jedoch nicht der Fall: „So kann Apple trotz verschlüsselter Speicherung in der angebotenen iCloud auf die Kundendaten im Klartext zugreifen“ (so Foresman, C. (2012): „Apple holds the master decryption key when it comes to iCloud security, privacy.“, Ars technica, 03.04.2012, http://arstechnica.

com/apple/news/2012/04/apple-holds-the-master-key-when-it-comesto-

icloud-security-privacy.ars aus: Marit Hansen, Vertraulichkeit und Integrität von

Daten und IT-Systemen im Cloud-Zeitalter, DuD 2012, S. 407 ff.).

Unbefugt? 

Das Offenbaren müsste auch unbefugt sein. Eine Befugnis ist gegeben, wenn die Mitteilung der Patientendaten – oder eben auch das Speichern der Daten in der Cloud – z.B. auf einer Einwilligung beruht. Praktisch könnte der Zahnarzt also, wenn er eine Cloud für die Daten benutzen möchte, eine Einwilligung seiner Patienten einholen, ähnlich der Einwilligung der Weitergabe von Patientendaten an Verrechnungsstellen. Zwar ist die Einwilligung im Bereich des Strafrechts grundsätzlich formfrei möglich (s. Fischer, aaO, Rnr. 33), aus eigenem Interesse für den Fall eines späteren Streits sollte die Einwilligung jedoch schriftlich eingeholt werden. Nun könnte man meinen, durch die Einwilligung sei nun das Problem leicht lösbar. Die Frage ist nur, wie damit umgegangen werden soll, wenn Patienten nicht einwilligen oder ihre Einwilligung später widerrufen. In diesem Fall müsste auf die Verwendung der Cloud verzichtet werden, was den Betrieb einer parallelen Datenstruktur außerhalb der Cloud bedeutenden würde. Dies ist jedoch im Einzelfall unwirtschaftlich und umständlich und daher keine stets erstrebenswerte Lösung.

Lösungsmöglichkeiten

Was gibt es nun für Ansätze, einer möglichen Strafbarkeit zu entgehen, aber dennoch die Cloud zu nutzen?

Zum einen sind technisch-organisatorische Lösungsmöglichkeitendenkbar, d.h. es wird z.B. ein Clouddienst verwendet, in welchem sichergestellt ist, dass die Daten verschlüsselt  abgelegt werden können und auf welche dann im entschlüsselten Zustand auch nur der Zahnarzt Zugriff hat. Nachteil dieser Lösung ist jedoch, dass die Daten nicht so schnell für Anwendungen verfügbar sind und zahlreiche Zusatzdienste der Clouddienste nicht mehr nutzbar sind, als Backupvariante ist dies jedoch vorstellbar (s. hierzu: http://www.spiegel.de/netzwelt/web/verschluesselte-cloud-so-machen-sie-ihre-wolke-sicher-a-828372.html).

Schließlich wäre noch eine vertragsrechtliche Lösung denkbar: Erfolgt das Offenbaren gegenüber „berufsmäßig tätigen Gehilfen“ so ist der Arzt straffrei, da die Gehilfen (z.B. die Zahnarzthelfer/innen) als befugte Mitwisser zwar nicht selbst Adressat des Anvertrauens sind, aber an dem Vertrauensverhältnis zwischen Arzt und Patient teilnehmen. Dies können z.B. auch ehrenamtlich oder nur zeitweise in der Praxis tätige Personen sein, wie z.B. Familienangehörige. Nicht umfasst sind jedoch zum einen Personen, deren Tätigkeitsbereich nicht notwendig mit der Kenntnis des Geheimnisses zusammenhängen (z.B. Reinigungspersonal, Boten, Kraftfahrer, Pförtner) und externe Dienstleister, wie z.B. Mitarbeiter zahntechnischer Labors, EDV-Wartungskräfte. Als Lösungsmöglichkeit in Betracht kommt also der Abschluss eines Doppelarbeitsverhältnisses bzw. der Arbeitnehmerüberlassung mit den betroffenen Externen. Für große Clouddiensteanbieter ist dies jedoch nicht denkbar, da regelmäßig eine unbestimmte Anzahl wechselnder Personen mit den personenbezogenen Daten in Berührung kommen.

Fazit

Es gibt derzeit leider keine für jeden Fall empfehlenswerte Variante der Cloudnutzung für Berufsgeheimnisträger. Zwar gibt es Möglichkeiten der gesetzeskonformen Nutzung, diese haben jedoch Nachteile in der Handhabbarkeit. Es wäre daher aus Sicht der Berufsgeheimnisträger wünschenswert, dass sich die Auslegung des Begriffs des „berufsmäßig tätigen Gehilfen“ dahingehend ändert, dass hiervon auch externe IT-Dienstleister erfasst werden (so auch: Maisch / Seidl in: Cloud-Nutzung für Berufsgeheimnisträger – § 203 StGB als „Showstopper“?, Datenschutz Berater S. 127 ff., 2012). Derzeit ist dies jedoch nicht der Fall und es sollte in jedem Einzelfall geprüft werden, ob sich der Berufsgeheimnisträger nach § 203 StGB strafbar macht.

Zum gegenwärtigen Stand der elektronischen Gesundheitskarte (eGK)

Veröffentlicht am von
18

von Haya Hadidi

Verehrte Leserschaft der WURZELSPITZE, im Folgenden möchte ich Ihnen in loser Reihenfolge Themen aus der Schnittmenge von IT und Rechtswissenschaften näher bringen.
Durch eine persönlich motivierte intensivere Beschäftigung mit der Zahnmedizin entdeckte ich die WURZELSPITZE und bin sofort ein Fan dieses Projekts geworden. Ich möchte es daher durch meinen juristisch-technischen Input unterstützen, da ich mir vorstellen kann und durch Gespräche mit Zahnärzten auch weiß, dass selbige in ihrem beruflichen Alltag in diesem Bereich des Öfteren Interessen/Fragen haben. Falls Sie, werte Leserinnen und Leser, also auch juristische bzw. juristisch-technische Fragestellungen haben, von denen Sie sich vorstellen können, dass Sie auch für das übrige Publikum von Interesse sind, dann zögern Sie bitte nicht, mir eine E-Mail (haya_at_hadidi.eu) mit einem Vorschlag für einen weiteren Beitrag zu schreiben. Natürlich können Sie mir auch gerne schreiben, wenn Sie Fragen zu meinen Beiträgen haben. Die Beiträge ersetzen keine Rechtsberatung im Einzelfall. Im Rahmen der Beiträge behandele ich ausschließlich abstrakte Fragestellungen. Die im folgenden dargestellten Informationen und Meinungen sind rein privater Natur und repräsentieren keinesfalls eine offizielle Meinung der Bundesnetzagentur für Post, Telekommunikation, Elektrizität und Gas.

Mein erstes Thema ist der eGK gewidmet und bietet einen Überblick über die aktuellen Aspekte der Einführung dieser flächendeckenden IT-Sicherheits-Infrastruktur.

Was macht die eGK aus?
Die eGK enthält – im Gegensatz zur KVK (Krankenversichertenkarte), auf der sich ein Speicherchip befindet – einen Prozessorchip für die Versichertendaten. Die Einführung und Entwicklung der eGK hat nun sechs Jahre gedauert und hat schätzungsweise Kosten in Höhe zwischen 500 Mio. und 1,4 Mrd. Euro verschlungen (s.http://www.gesundheitskarte.net/).
Und nun?
Vorerst ändert sich jedoch nicht viel für Arzt und Patient, da das ursprünglich hochambitionierte Projekt zunächst nur in einer Basisversion realisiert wurde. Die eGK trägt also neuerdings ein Foto des Patienten und soll so Missbrauch verhindern.
Geplant sind in den nächsten Jahren, laut Auskunft des Bundesgesundheitsministeriums, Zusatzfunktionen wie etwa die Editierung von Stammdaten durch Arzt und Patient (sog. Versichertenstammdatenmanagement, VSDM), die sichere Kommunikation zwischen Ärzten und die Einführung einer elektronischen Patientenakte (s. http://www.bmg.bund.de/krankenversicherung/elektronische-gesundheitskarte/fragen-und-antworten-einfuehrung-egk.html)
Mit dem VSDM wird technisch dann auch die gesetzliche Vorgabe des § 291 Abs. 2b SGB V umgesetzt. Hiernach sind die an der vertragsärztlichen Versorgung teilnehmende Ärzte, Zahnärzte und Einrichtungen verpflichtet, die vorgelegte eGK bei der erstmaligen Inanspruchnahme von Leistungen im Quartal auf Gültigkeit und Aktualität der Versichertendaten zu prüfen.
Liegen geänderte Patientenstammdaten bei einem Kostenträger vor, z. B. weil der Versicherte umgezogen ist, so sollen diese Informationen künftig auf der Karte aktualisiert werden können.

Was bringt’s dem Patienten?
Im Rahmen der ConHIT, der Berliner Messe für Health-IT, wurden im April bereits erste Anwendungen vorgestellt, mit denen der Bürger zukünftig seine eGK auch selbstständig sinnvoll nutzen können soll (s. http://www.heise.de/newsticker/meldung/Gesundheitskarte-Der-muendige-Buerger-kommt-an-seine-Daten-1558092.html).
Er soll z.B. in der Lage sein, an entsprechenden Terminals, sogenannten Wartezimmer-Kiosken, die eigenen Stammdaten auszulesen und zukünftig auch zu aktualisieren. Diese Terminals warten derzeit noch auf die Freigabe durch die Gematik GmbH, die aber dieses Jahr noch erfolgen soll. Weiterhin soll es auch Softwarelösungen geben, die es dem Nutzer ermöglichen, online von zu Hause aus mittels seiner eGK mit der Krankenkasse zu kommunizieren. Erste Entwicklungen hierzu gibt es z.B. vom Fraunhofer Institut Fokus in Zusammenarbeit mit der TK. …und den Ärzten?
Besonders interessant wäre es sicherlich, endlich eine sichere Möglichkeit der Online-Kommunikation zwischen Arzt und Patient sowie zwischen Arzt und Arzt einzuführen, die beispielsweise auch den Austausch sensibler Daten, wie etwa digitaler Röntgenbilder, erlaubt. Eine Anwendungssoftware in diesem Zusammenhang wurde beispielsweise im März auf der Cebit vorgestellt: Die SignaturApp mittels der zukünftig auch qualifizierte elektronische Signaturen (QES) erzeugt werden können, die rechtlich der handgeschriebenen Unterschrift gleichstehen (s.http://www.heise.de/newsticker/meldung/Signieren-mit-eGK-eAT-und-nPA-1466244.html). Derzeit gibt es jedoch, bis auf die Existenz der Software und Testsysteme, noch keine praktische Umsetzung dieser Idee auf dem Markt, da es bisher an verfügbaren Realisierungen der theoretischen Möglichkeiten im Unternehmensumfeld mangelt.

Was macht eigentlich der elektronische Zahnärzteausweis in diesem Zusammenhang?
Im Hinblick auf den elektronischen Zahnärzteausweis, mit welchem ebenfalls eine QES ermöglicht werden soll, um beispielsweise auch elektronische Kassenabrechnungen durchzuführen, gibt es seit Ende 2011 nichts Neues (s. http://www.bzaek.de/nc/berufsstand/zahnaerztliche-berufsausuebung/telematik.html?sword_list%5B0%5D=egk).

Wie weit ist die Verbreitung der eGK?
Sie schreitet unter den gesetzlich Versicherten enorm voran: heise berichtet, dass bis Ende 2012 sogar die gesetzlich festgelegte Zielvorgabe der Ausstattung von 70 % der Versicherten überschritten werden wird.

Wie stehen die Ärzte inzwischen zu dem Projekt? Was machen die Gegner? Selbstverständlich ruhen auch die Kritiker des Projekts nicht: Der Ärztetag hatte ja 2010 bekanntlich beschlossen, dass die eGK gescheitert sei (s. http://www.aerztezeitung.de/praxis_wirtschaft/gesundheitskarte/article/814270/aerztetag-beschliesst-e-card-gescheitert.html): „Der gigantomanische Anspruch, durch eine flächendeckende Elektronifizierung der Patientenversorgung unter Führung der Krankenkassen sowohl transparente Patienten wie auch transparente Ärzte herzustellen, widerspricht elementaren ärztlichen Grundwerten“. Ebenso ist auch das Aktionsbündnis „Stoppt die eGK“ weiter aktiv und forderte vor der CeBIT 2012 das Ende des Projekts (s. http://www.heise.de/newsticker/meldung/eGK-Aktionsbuendnis-warnt-vor-Risiken-und-Nebenwirkungen-1543860.html). Auch z.B. die Piratenpartei lehnt das weitere Rollout ab (s. http://wiki.piratenpartei.de/AG_Elektronische_Gesundheitskarte ). Vertreter vermittelnder Standpunkte befürchten – meines Erachtens zu Recht – dass sich die Ärzte durch eine einseitige Blockadehaltung von der konstruktiven Diskussion selbst ausschließen (http://www.aerztezeitung.de/praxis_wirtschaft/gesundheitskarte/article/814539/standpunkt-e-card-weg-online-konsens.html).
Inzwischen gibt es in der Ärzteschaft durchaus die Erkenntnis, dass die telemedizinische Versorgung von Patienten aus dem Praxisalltag nicht mehr wegzudenken sei (s. http://www.bundesaerztekammer.de/page.asp?his=3.71.8899.9873.9877).

Wie ist die Situation bei den ablehnenden Patienten?
Auch auf Seiten der Patienten gibt es nach wie vor hartnäckige Verweigerer: Am 28. Juni diesen Jahres wurde am Sozialgericht Düsseldorf der Fall eines Mannes verhandelt, der sich weigert, die eGK zu benutzen. Er führt hierfür vor allem Datenschutzbedenken ins Feld und wird von der freien Ärzteschaft unterstützt ( s. http://www.aerztezeitung.de/praxis_wirtschaft/gesundheitskarte/article/815528/sozialgericht-duesseldorf-verhandelt-e-card.html).
Zwischenzeitlich ist das Urteil ergangen (Az. S 9 KR 111/09): Der Kläger hat verloren und kann sich daher nicht erfolgreich gegen die Verwendung der eGK wehren. In der mündlichen Urteilsbegründung stellte das Gericht dar, dass es gesetzlich keine Befreiungsmöglichkeit von der eGK gibt. Außerdem ist die Verwendungspflicht auch nicht verfassungswidrig. Das grundgesetzlich geschützte Recht auf informationelle Selbstbestimmung sei im Ergebnis nicht beeinträchtigt. Schließlich bestimme der Versicherte selbst über die zusätzlichen Informationen, die auf der Karte künftig gespeichert werden können. Die Basispflichtangaben unterscheiden sich demgegenüber nicht von den Angaben, die auf der bisherigen KVK enthalten seien.
Hinsichtlich der künftigen Zusatzdaten traf das Gericht keine Entscheidung darüber, ob die datenschutzrechtlichen Bedenken des Klägers tragfähig seien, da es nicht Aufgabe des Gerichts ist, eine umfassende Rechtmäßigkeitsprüfung vorzunehmen, sondern es ausschließlich um die Entscheidung der konkreten Klage gehe (s. auch http://www.justiz.nrw.de/JM/Presse/presse_weitere/PresseLSG/28_06_2012/index.php). Das Urteil ist noch nicht rechtskräftig.

Gibt es noch weitere Entwicklungen?
Auf Seiten der Verwaltung und der Politik gibt es ebenfalls neue Vorstöße: So soll ab 2017 die Information über den Organspende-Status auf der eGK verfügbar sein (s. http://www.heise.de/newsticker/meldung/Organspende-Status-soll-ab-2017-auf-die-Gesundheitskarte-1585039.html). Dies wird allerdings ausschließlich die zweite Generation der eGK betreffen, die in diesem Zeitraum wegen Ablaufs der verwendeten Kryptoalgorithmen, eingeführt werden soll. Die Information zur Organspendebereitschaft soll durch den Arzt und/oder den Patienten (z.B. mittels der Wartezimmerkioske) editierbar sein.

Und außerhalb Deutschlands?
Während in Deutschland also weitere nutzbringende Anwendungen der eGK weiterhin noch Zukunftsmusik sind, ist man im Ausland schon weiter: So werden in Frankreich bereits medizinische Daten unterschiedlichen Ursprungs miteinander in einer einrichtungsübergreifenden elektronischen Patientenakte (EPA) verknüpft und zentral gespeichert. Dabei hat der Patient die Entscheidungsfreiheit darüber, welche Daten gespeichert werden, wodurch eine hohe Akzeptanz erreicht wird (s. http://www.gesundheitskarte.net).

Zur verbesserungswürdigen Situation im deutschen Gesundheitswesen gab es kürzlich eine Studie der Unternehmensberatung Accenture, die dem deutschen System zwar ein großes Potential bescheinigt, aber aufgrund der deutschen traditionellen Nicht-Kommunikation insgesamt ein schlechtes Zeugnis ausstellt ( s. http://www.presseportal.de/pm/39565/2241576/accenture-studie-zum-gesundheitswesen-durch-die-nicht-kommunikation-elektronisch-erfasster-daten).

Fazit?
Insgesamt kann man also festhalten, dass sich in Deutschland extrem schwer getan wird mit der Einführung einer derartigen neuen flächendeckenden Technologie. Es bleibt abzuwarten, ob die schrittweise Einführung erfolgreich ist oder ob dies die Gegenwehr nur später auf den Plan ruft. Hauptgrund für die Schwierigkeiten ist sicherlich das in Deutschland traditionell stark ausgeprägte Datenschutzbedürfnis, welches existiert, solange es nicht um Facebook und die Nutzung von Smartphones geht – aber das ist ein anderes Thema. ;-)

Fortsetzung folgt…