Schlagwort-Archive: Dechiffrierung

Zur Strafbarkeit eines Zahnarztes / Arztes beim Einsatz von Cloud Computing in der Praxis

Veröffentlicht am von
16

von Haya Hadidi

Cloud Computing ist ein Trend: Es verspricht sicher, einfach und all zeit verfügbar zu sein. (zur aktuellen Diskussion auf der Ebene der EU, s. z.B.http://www.trend-zeitschrift.de/2012/07/06/cloud-computing-%E2%80%93-zwischen-wachstum-und-datenschutz/):  Der professionelle oder private Anwender ist in der Lage, seinen Datenmengen und -anwendungen Herr zu werden, ohne eigenen Speicherplatz und IT-Ressourcen managen zu müssen. Dazu gehört, dass er sich z.B. auch nicht um das Backup seiner Daten oder auch das Virusscannen kümmern muss. Inzwischen gibt es zahlreiche Anbieter auf dem deutschen Markt, sowohl aus Deutschland als auch aus dem Ausland. Dabei ist zu beachten, dass Cloud Computing eine Form der Auftragsdatenverarbeitung ist und nach den Vorschriften des § 11 Bundesdatenschutzgesetzes (BDSG) gesondert vereinbart werden muss.

Für Berufsgeheimnisträger wie z.B. Ärzte und Zahnärzte stellt sich jedoch die Frage, ob sie sich bei der Nutzung von Clouddiensten im Rahmen ihrer beruflichen Tätigkeit möglicherweise wegen des unbefugten Offenbarens von Geheimnissen nach § 203 Strafgesetzbuch (StGB) strafbar machen.

Was ist Cloud Computing? 

Unter Cloud Computing versteht man, dass Daten, Soft- und sogar Hardware nicht mehr ausschließlich lokal nutzbar sind, sondern dass Aufgaben wie Datenspeicherung, -bearbeitung und -ausführung auf sogenannten Cloud-Servern innerhalb einer mehr oder weniger – abhängig vom Umfang der genutzten Dienste- komplexen Netzwerkinfrastruktur erledigt werden können. Diese Dienste werden dem Nutzer üblicherweise in Echtzeit über weit verbreitete Schnittstellen, wie z.B. Webbrowser, bereitgestellt. Cloud Computing ist ein bedeutender Wirtschaftsfaktor geworden: Der wissenschaftliche Dienst des Bundestags veröffentlichte 2010, dass nach einer Schätzung der International Data Corporation (IDC) der Branchenumsatz europäischer Clouddienste von 971 Millionen Euro im Jahre 2008 auf etwa 6 Milliarden Euro im Jahre 2013 ansteigen wird (s. http://www.bundestag.de/dokumente/analysen/2010/cloud_computing.pdf).

Wie könnte sich ein Zahnarzt / Arzt strafbar machen, wenn er Clouddienste z.B. für seine Praxis nutzt ?

Nach § 203 StGB machtsich ein Zahnarzt / Arzt strafbar, wenn er unbefugt ein fremdes Geheimnis offenbart, das ihm in seiner beruflichen Eigenschaft anvertraut oder sonst bekannt geworden ist.

Denkbar wäre es also, dass der Zahnarzt durch das Hochladen von Patientendaten auf einen Cloudserver, diese als fremde Geheimnisse den Clouddiensteanbietern offenbart. § 203 StGB bedroht die unbefugte Offenbarung von Geheimnissen mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Es handelt sich also um eine minder schwere Straftat, um ein sogenanntes Vergehen gemäß § 12 StGB. Auch ein Vergehen kann beispielsweise die Zahlung einer Geldstrafe aufgrund eines berufsgerichtlichen Verfahrens vor der Ärztekammer nach sich ziehen. Nach einem rechtskräftigen Urteil kann als Folge auch das Ruhen der Approbation und/oder der Kassenzulassung für einen bestimmten Zeitraum angeordnet werden.

Was ist ein Geheimnis im Sinne von § 203 StGB?

Ein Geheimnis ist eine Tatsache, die sich auf die Person des Betroffenen bezieht. Diese muss geheim sein. Das bedeutet, dass sie höchstens einem beschränkten Personenkreis bekannt sein darf. Außerdem muss der Betroffene auch ein Interesse an der Geheimhaltung durch den Geheimnisträger haben: Es muss sich also objektiv und subjektiv um ein Geheimnis handeln (s. § 203 StGB Rn. 4 ff.  in : Fischer, StGB, 56. Aufl. 2009). Alle Voraussetzung werden von Patientendaten wie z.B. Notizen zu durchgeführten  Behandlungen, Diagnosen, Röntgenbildern etc. erfüllt. Bei Patientendaten handelt es sich also um ein taugliches Tatobjekt.

Offenbaren?

Liegt denn nun auch ein Offenbaren darin, dass die Daten in die Cloud hochgeladen werden? Offenbaren ist jedes Mitteilen eines zur Zeit der Tat noch bestehenden Geheimnisses. Dies kann auch in der Verschaffung von Zugang zu Dateien gesehen werden, wenn die Offenbarung sowohl Tatsache als auch Person des Berechtigten umfasst. Genau dies tut der Zahnarzt ja im Normalfall, wenn er die Dateien auf den Server hochlädt. Man mag nun annehmen, dass dieses Problem nicht mehr gegeben sei, wenn die Dateien verschlüsselt auf dem Server abgelegt werden. Zumindest bei amerikanischen Clouddiensten, wie z.B. bei Apples iCloud-Dienst, ist dies jedoch nicht der Fall: „So kann Apple trotz verschlüsselter Speicherung in der angebotenen iCloud auf die Kundendaten im Klartext zugreifen“ (so Foresman, C. (2012): „Apple holds the master decryption key when it comes to iCloud security, privacy.“, Ars technica, 03.04.2012, http://arstechnica.

com/apple/news/2012/04/apple-holds-the-master-key-when-it-comesto-

icloud-security-privacy.ars aus: Marit Hansen, Vertraulichkeit und Integrität von

Daten und IT-Systemen im Cloud-Zeitalter, DuD 2012, S. 407 ff.).

Unbefugt? 

Das Offenbaren müsste auch unbefugt sein. Eine Befugnis ist gegeben, wenn die Mitteilung der Patientendaten – oder eben auch das Speichern der Daten in der Cloud – z.B. auf einer Einwilligung beruht. Praktisch könnte der Zahnarzt also, wenn er eine Cloud für die Daten benutzen möchte, eine Einwilligung seiner Patienten einholen, ähnlich der Einwilligung der Weitergabe von Patientendaten an Verrechnungsstellen. Zwar ist die Einwilligung im Bereich des Strafrechts grundsätzlich formfrei möglich (s. Fischer, aaO, Rnr. 33), aus eigenem Interesse für den Fall eines späteren Streits sollte die Einwilligung jedoch schriftlich eingeholt werden. Nun könnte man meinen, durch die Einwilligung sei nun das Problem leicht lösbar. Die Frage ist nur, wie damit umgegangen werden soll, wenn Patienten nicht einwilligen oder ihre Einwilligung später widerrufen. In diesem Fall müsste auf die Verwendung der Cloud verzichtet werden, was den Betrieb einer parallelen Datenstruktur außerhalb der Cloud bedeutenden würde. Dies ist jedoch im Einzelfall unwirtschaftlich und umständlich und daher keine stets erstrebenswerte Lösung.

Lösungsmöglichkeiten

Was gibt es nun für Ansätze, einer möglichen Strafbarkeit zu entgehen, aber dennoch die Cloud zu nutzen?

Zum einen sind technisch-organisatorische Lösungsmöglichkeitendenkbar, d.h. es wird z.B. ein Clouddienst verwendet, in welchem sichergestellt ist, dass die Daten verschlüsselt  abgelegt werden können und auf welche dann im entschlüsselten Zustand auch nur der Zahnarzt Zugriff hat. Nachteil dieser Lösung ist jedoch, dass die Daten nicht so schnell für Anwendungen verfügbar sind und zahlreiche Zusatzdienste der Clouddienste nicht mehr nutzbar sind, als Backupvariante ist dies jedoch vorstellbar (s. hierzu: http://www.spiegel.de/netzwelt/web/verschluesselte-cloud-so-machen-sie-ihre-wolke-sicher-a-828372.html).

Schließlich wäre noch eine vertragsrechtliche Lösung denkbar: Erfolgt das Offenbaren gegenüber „berufsmäßig tätigen Gehilfen“ so ist der Arzt straffrei, da die Gehilfen (z.B. die Zahnarzthelfer/innen) als befugte Mitwisser zwar nicht selbst Adressat des Anvertrauens sind, aber an dem Vertrauensverhältnis zwischen Arzt und Patient teilnehmen. Dies können z.B. auch ehrenamtlich oder nur zeitweise in der Praxis tätige Personen sein, wie z.B. Familienangehörige. Nicht umfasst sind jedoch zum einen Personen, deren Tätigkeitsbereich nicht notwendig mit der Kenntnis des Geheimnisses zusammenhängen (z.B. Reinigungspersonal, Boten, Kraftfahrer, Pförtner) und externe Dienstleister, wie z.B. Mitarbeiter zahntechnischer Labors, EDV-Wartungskräfte. Als Lösungsmöglichkeit in Betracht kommt also der Abschluss eines Doppelarbeitsverhältnisses bzw. der Arbeitnehmerüberlassung mit den betroffenen Externen. Für große Clouddiensteanbieter ist dies jedoch nicht denkbar, da regelmäßig eine unbestimmte Anzahl wechselnder Personen mit den personenbezogenen Daten in Berührung kommen.

Fazit

Es gibt derzeit leider keine für jeden Fall empfehlenswerte Variante der Cloudnutzung für Berufsgeheimnisträger. Zwar gibt es Möglichkeiten der gesetzeskonformen Nutzung, diese haben jedoch Nachteile in der Handhabbarkeit. Es wäre daher aus Sicht der Berufsgeheimnisträger wünschenswert, dass sich die Auslegung des Begriffs des „berufsmäßig tätigen Gehilfen“ dahingehend ändert, dass hiervon auch externe IT-Dienstleister erfasst werden (so auch: Maisch / Seidl in: Cloud-Nutzung für Berufsgeheimnisträger – § 203 StGB als „Showstopper“?, Datenschutz Berater S. 127 ff., 2012). Derzeit ist dies jedoch nicht der Fall und es sollte in jedem Einzelfall geprüft werden, ob sich der Berufsgeheimnisträger nach § 203 StGB strafbar macht.