von Haya Hadidi
Cloud Computing ist ein Trend: Es verspricht sicher, einfach und all zeit verfügbar zu sein. (zur aktuellen Diskussion auf der Ebene der EU, s. z.B.http://www.trend-zeitschrift.de/2012/07/06/cloud-computing-%E2%80%93-zwischen-wachstum-und-datenschutz/): Der professionelle oder private Anwender ist in der Lage, seinen Datenmengen und -anwendungen Herr zu werden, ohne eigenen Speicherplatz und IT-Ressourcen managen zu müssen. Dazu gehört, dass er sich z.B. auch nicht um das Backup seiner Daten oder auch das Virusscannen kümmern muss. Inzwischen gibt es zahlreiche Anbieter auf dem deutschen Markt, sowohl aus Deutschland als auch aus dem Ausland. Dabei ist zu beachten, dass Cloud Computing eine Form der Auftragsdatenverarbeitung ist und nach den Vorschriften des § 11 Bundesdatenschutzgesetzes (BDSG) gesondert vereinbart werden muss.
Für Berufsgeheimnisträger wie z.B. Ärzte und Zahnärzte stellt sich jedoch die Frage, ob sie sich bei der Nutzung von Clouddiensten im Rahmen ihrer beruflichen Tätigkeit möglicherweise wegen des unbefugten Offenbarens von Geheimnissen nach § 203 Strafgesetzbuch (StGB) strafbar machen.
Was ist Cloud Computing?
Unter Cloud Computing versteht man, dass Daten, Soft- und sogar Hardware nicht mehr ausschließlich lokal nutzbar sind, sondern dass Aufgaben wie Datenspeicherung, -bearbeitung und -ausführung auf sogenannten Cloud-Servern innerhalb einer mehr oder weniger – abhängig vom Umfang der genutzten Dienste- komplexen Netzwerkinfrastruktur erledigt werden können. Diese Dienste werden dem Nutzer üblicherweise in Echtzeit über weit verbreitete Schnittstellen, wie z.B. Webbrowser, bereitgestellt. Cloud Computing ist ein bedeutender Wirtschaftsfaktor geworden: Der wissenschaftliche Dienst des Bundestags veröffentlichte 2010, dass nach einer Schätzung der International Data Corporation (IDC) der Branchenumsatz europäischer Clouddienste von 971 Millionen Euro im Jahre 2008 auf etwa 6 Milliarden Euro im Jahre 2013 ansteigen wird (s. http://www.bundestag.de/dokumente/analysen/2010/cloud_computing.pdf).
Wie könnte sich ein Zahnarzt / Arzt strafbar machen, wenn er Clouddienste z.B. für seine Praxis nutzt ?
Nach § 203 StGB machtsich ein Zahnarzt / Arzt strafbar, wenn er unbefugt ein fremdes Geheimnis offenbart, das ihm in seiner beruflichen Eigenschaft anvertraut oder sonst bekannt geworden ist.
Denkbar wäre es also, dass der Zahnarzt durch das Hochladen von Patientendaten auf einen Cloudserver, diese als fremde Geheimnisse den Clouddiensteanbietern offenbart. § 203 StGB bedroht die unbefugte Offenbarung von Geheimnissen mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Es handelt sich also um eine minder schwere Straftat, um ein sogenanntes Vergehen gemäß § 12 StGB. Auch ein Vergehen kann beispielsweise die Zahlung einer Geldstrafe aufgrund eines berufsgerichtlichen Verfahrens vor der Ärztekammer nach sich ziehen. Nach einem rechtskräftigen Urteil kann als Folge auch das Ruhen der Approbation und/oder der Kassenzulassung für einen bestimmten Zeitraum angeordnet werden.
Was ist ein Geheimnis im Sinne von § 203 StGB?
Ein Geheimnis ist eine Tatsache, die sich auf die Person des Betroffenen bezieht. Diese muss geheim sein. Das bedeutet, dass sie höchstens einem beschränkten Personenkreis bekannt sein darf. Außerdem muss der Betroffene auch ein Interesse an der Geheimhaltung durch den Geheimnisträger haben: Es muss sich also objektiv und subjektiv um ein Geheimnis handeln (s. § 203 StGB Rn. 4 ff. in : Fischer, StGB, 56. Aufl. 2009). Alle Voraussetzung werden von Patientendaten wie z.B. Notizen zu durchgeführten Behandlungen, Diagnosen, Röntgenbildern etc. erfüllt. Bei Patientendaten handelt es sich also um ein taugliches Tatobjekt.
Offenbaren?
Liegt denn nun auch ein Offenbaren darin, dass die Daten in die Cloud hochgeladen werden? Offenbaren ist jedes Mitteilen eines zur Zeit der Tat noch bestehenden Geheimnisses. Dies kann auch in der Verschaffung von Zugang zu Dateien gesehen werden, wenn die Offenbarung sowohl Tatsache als auch Person des Berechtigten umfasst. Genau dies tut der Zahnarzt ja im Normalfall, wenn er die Dateien auf den Server hochlädt. Man mag nun annehmen, dass dieses Problem nicht mehr gegeben sei, wenn die Dateien verschlüsselt auf dem Server abgelegt werden. Zumindest bei amerikanischen Clouddiensten, wie z.B. bei Apples iCloud-Dienst, ist dies jedoch nicht der Fall: „So kann Apple trotz verschlüsselter Speicherung in der angebotenen iCloud auf die Kundendaten im Klartext zugreifen“ (so Foresman, C. (2012): „Apple holds the master decryption key when it comes to iCloud security, privacy.“, Ars technica, 03.04.2012, http://arstechnica.
com/apple/news/2012/04/apple-holds-the-master-key-when-it-comesto-
icloud-security-privacy.ars aus: Marit Hansen, Vertraulichkeit und Integrität von
Daten und IT-Systemen im Cloud-Zeitalter, DuD 2012, S. 407 ff.).
Unbefugt?
Das Offenbaren müsste auch unbefugt sein. Eine Befugnis ist gegeben, wenn die Mitteilung der Patientendaten – oder eben auch das Speichern der Daten in der Cloud – z.B. auf einer Einwilligung beruht. Praktisch könnte der Zahnarzt also, wenn er eine Cloud für die Daten benutzen möchte, eine Einwilligung seiner Patienten einholen, ähnlich der Einwilligung der Weitergabe von Patientendaten an Verrechnungsstellen. Zwar ist die Einwilligung im Bereich des Strafrechts grundsätzlich formfrei möglich (s. Fischer, aaO, Rnr. 33), aus eigenem Interesse für den Fall eines späteren Streits sollte die Einwilligung jedoch schriftlich eingeholt werden. Nun könnte man meinen, durch die Einwilligung sei nun das Problem leicht lösbar. Die Frage ist nur, wie damit umgegangen werden soll, wenn Patienten nicht einwilligen oder ihre Einwilligung später widerrufen. In diesem Fall müsste auf die Verwendung der Cloud verzichtet werden, was den Betrieb einer parallelen Datenstruktur außerhalb der Cloud bedeutenden würde. Dies ist jedoch im Einzelfall unwirtschaftlich und umständlich und daher keine stets erstrebenswerte Lösung.
Lösungsmöglichkeiten
Was gibt es nun für Ansätze, einer möglichen Strafbarkeit zu entgehen, aber dennoch die Cloud zu nutzen?
Zum einen sind technisch-organisatorische Lösungsmöglichkeitendenkbar, d.h. es wird z.B. ein Clouddienst verwendet, in welchem sichergestellt ist, dass die Daten verschlüsselt abgelegt werden können und auf welche dann im entschlüsselten Zustand auch nur der Zahnarzt Zugriff hat. Nachteil dieser Lösung ist jedoch, dass die Daten nicht so schnell für Anwendungen verfügbar sind und zahlreiche Zusatzdienste der Clouddienste nicht mehr nutzbar sind, als Backupvariante ist dies jedoch vorstellbar (s. hierzu: http://www.spiegel.de/netzwelt/web/verschluesselte-cloud-so-machen-sie-ihre-wolke-sicher-a-828372.html).
Schließlich wäre noch eine vertragsrechtliche Lösung denkbar: Erfolgt das Offenbaren gegenüber „berufsmäßig tätigen Gehilfen“ so ist der Arzt straffrei, da die Gehilfen (z.B. die Zahnarzthelfer/innen) als befugte Mitwisser zwar nicht selbst Adressat des Anvertrauens sind, aber an dem Vertrauensverhältnis zwischen Arzt und Patient teilnehmen. Dies können z.B. auch ehrenamtlich oder nur zeitweise in der Praxis tätige Personen sein, wie z.B. Familienangehörige. Nicht umfasst sind jedoch zum einen Personen, deren Tätigkeitsbereich nicht notwendig mit der Kenntnis des Geheimnisses zusammenhängen (z.B. Reinigungspersonal, Boten, Kraftfahrer, Pförtner) und externe Dienstleister, wie z.B. Mitarbeiter zahntechnischer Labors, EDV-Wartungskräfte. Als Lösungsmöglichkeit in Betracht kommt also der Abschluss eines Doppelarbeitsverhältnisses bzw. der Arbeitnehmerüberlassung mit den betroffenen Externen. Für große Clouddiensteanbieter ist dies jedoch nicht denkbar, da regelmäßig eine unbestimmte Anzahl wechselnder Personen mit den personenbezogenen Daten in Berührung kommen.
Fazit
Es gibt derzeit leider keine für jeden Fall empfehlenswerte Variante der Cloudnutzung für Berufsgeheimnisträger. Zwar gibt es Möglichkeiten der gesetzeskonformen Nutzung, diese haben jedoch Nachteile in der Handhabbarkeit. Es wäre daher aus Sicht der Berufsgeheimnisträger wünschenswert, dass sich die Auslegung des Begriffs des „berufsmäßig tätigen Gehilfen“ dahingehend ändert, dass hiervon auch externe IT-Dienstleister erfasst werden (so auch: Maisch / Seidl in: Cloud-Nutzung für Berufsgeheimnisträger – § 203 StGB als „Showstopper“?, Datenschutz Berater S. 127 ff., 2012). Derzeit ist dies jedoch nicht der Fall und es sollte in jedem Einzelfall geprüft werden, ob sich der Berufsgeheimnisträger nach § 203 StGB strafbar macht.
Wenn ich als Patient wüsste, das mein Zahnarzt Daten in der Wolke speichert, ob verschlüsselt oder nicht, wäre ich sofort dort weg. Ein Schreiben meines Rechtsanwaltes würde folgen :-) Patientendaten gehören definitiv nicht die Wolke!
… kann mich dieser Meinung nur anschließen, LG, Philipp Schönwälder
Die US-Administration nutzt z. B. Google-Apps, d. h., Regierungsdokumente liegen auf Google-Servern. Wer die Cloud nicht will, verpaßt einen Großteil aktueller und zukünftiger EDV. Es kann angesichts der Vorteile durch die Cloud nur um die verantwortungsvolle Nutzung gehen, unter Berücksichtung der in Deutschland besonders strengen Datenschutzgesetzgebung. Und ich halte eine solche Nutzung heute schon für möglich. Die Zukunft wird noch spannender: Werden wir noch Datenbankserver in der Praxis haben? Oder stehen die virtuellen Server der Praxen in der z. B. vom Anbieter des Praxisverwaltungssystems angemieteten und gewarteten Cloud? Das brächte deutlich niedrigere Kosten für die Praxen bei vermutlich höherer Betriebssicherheit.
Hallo Frau Hadidi, schönen Dank für Ihre Darstellung, die ich im Wesentlichen teile. Es gibt allerdings mindestens eine Lösung, die komfortables Backup in der Cloud mit Versionierung erlaubt, bei der die Daten vorher lokal verschlüsselt werden (http://www.duplicati.com/), so daß die Cloud-Nutzung dann keine Auftragsdatenverarbeitung nach BDSG §11 ist, weil keine personenbezogenen Daten übertragen und gespeichert werden. In der Praxis werden heute oft rechtswidrig personenbezogene Daten unverschlüsselt per Email übertragen. Auch hier sind technische Lösungen verfügbar, leider etwas komplex in Einrichtung und Nutzung. Ein Vortrag von mir dazu, zusammengestellt für den IT-Ausschuß der Zahnärztekammer Nds. (ZÄKN): http://www.logies.de/verschluesselung.zip
Hallo Herr Logies,
sind Sie sich sicher, dass dann keine Auftragsdatenverarbeitung vorliegt, wenn die Daten zuvor verschlüsselt werden? ;-) Hierzu diskutieren die Juristen eifrig, z.B. hier: http://blog.beck.de/2011/01/14/cloud-computing-und-datenschutz-macht-die-verschluesselung-einen-unterschied
Herzlichen Dank für den Link zu Ihrem Vortrag, den ich sehr interessant finde. Offensichtlich scheuen Sie weder die Beschäftigung mit Recht noch mit IT. :-) Zum Thema Zeitstempel könnte ich noch einiges schreiben. Nur soviel: Derzeit werden qualifizierte Zeitstempel ausschließlich mit qualiifizierten elektronischen Signaturen erbracht. Eine aktuelle Liste von Zertifizierungsdiensteanbietern, die größtenteils auch qualif. Zeitstempel ausstellen finden Sie auf den Seiten der Bundesnetzagentur: http://www.bundesnetzagentur.de/cln_1931/DE/Sachgebiete/QES/Veroeffentlichungen/Zertifizierungsdiensteanbieter/ZertifizierungsDiensteAnbietr_node.html#doc157728bodyText1
Herzliche Grüße
Haya Hadidi
Hallo Frau Hadidi, danke für den Hinweis auf die Diskussion! Das Argument, daß der Anbieter des Cloud-Speichers keinen Schlüssel haben darf, teile ich, deshalb habe ich meine verschlüsselte Datenablage beim weltweit führenden Backup-Anbieter beendet, der mittlerweile leider aufgekauft wurde und dessen Schwerpunkt sich damit auch änderte (www.connected.com). Duplicati verschlüsselt mit SHA-256, das ist derzeit das Maß der Dinge. Ich habe 2 Anbieter genutzt, die qualifizierte Zeitstempel ohne Signatur angeboten habe, derzeit nutze ich davon noch einen (Signtrust). Der Zeitserver von Signtrust ist sogar offen, d. h., mit jeder Software, die das Protokoll beherrscht, können Sie einen qualifizierten Zeitstempel abholen. Sie können mir gerne eine kleine Datei mailen (logies@web.de), dann maile ich die einmal nur mit Zeitstempel und einmal mit Zeitstempel/qualifizierter Signatur zurück (Openlimit Signcube). Mit der kostenlosen Software von Openlimit lassen sich beide prüfen. Ich habe mir das „Elektronische Signatur
Signtrust Set“ zugelegt, um meine elektronische Kartei monatlich zeitstempeln zu können. Beste Grüße, M. L.
Hallo Frau Hadidi,
vielen Dank für die Aufarbeitung des Themas.
Ich handhabe es so, daß die wirklich relevanten Patienten Daten umständlich verschlüsselt online als Backup gesichert werden.
Im Rahmen der Sicherung größerer Datenmengen beim digitalen Röntgen, insbesondere der DVT Daten, werde ich auch sehr konservative Onlinerichtlinien befolgen, wenn ich überhaupt meine DVT-Daten online sichere – und nicht eher per tragbare Festplatte…
Apple und die anderen Anbieter haben eine Diktatur eingerichtet, die wir alle jeden Tag akzeptieren und unterstützen. Sie greifen mehr oder weniger ständig auf unsere intimsten Daten zurück. Gut, daß Sie dieses Thema berufsrechtlich aufgegriffen haben und unseren Verstand geschärft haben – denn stoppen kann man die Ausspähung wohl kaum mehr, aber wenigstens für sich etwas lenken, wenn man Praxisdaten nicht einfach in die nächste Cloud legt…
Herzliche Grüße Stefan Verch
Hallo Herr Verch,
idealerweise verschlüsseln Sie lokal und speichern dann als Backup, z.B. auch online. Damit entgehen Sie der in meinem Beitrag beschriebenen Gefahr der Strafbarkeit wirksam. Es freut mich, wenn Sie meinen Beitrag als sinnvollen Input in dieses Forum empfinden.
Herzliche Grüße
Haya Hadidi
@ Herrn Kuepper: Und wie halten Sie es mit privaten Abrechungsstellen? Denen gegenüber erfolgt ja auch eine Preisgabe Ihrer medizinischen Informationen… Davon abgesehen gib es zahlreiche denkbare Kriterien, nach denen ich meinen Zahnarzt auswähle – ob er Daten in einer Cloud speichert zählt für mich nicht dazu. ;-) Hier ist eher das Verantwortungsbewusstsein der Ärzte und Zahnärzte gefragt, wie sie das Ihnen entgegengebrachte Vertrauen wertschätzen durch entsprechende Sicherungsmaßnahmen. Nicht zuletzt wäre mir als (Zahn-)Arzt die Vorstellung auch nicht sehr angenehm, mich potentiell strafbar zu machen. Die Strafbarkeit in solchen Fällen wurde beispielsweise auch vom Oberlandesgericht Düsseldorf festgestellt (CR 1997, S. 536). Dennoch gibt es rechtmäßige Ausgestaltungen der Cloudnutzung und die sollte man Medizinern auch zugestehen.
@ Herrn Logies: Das Thema Servervirtualisierung ist natürlich noch weitgehender als eine Cloudnutzung. ;-) Hierfür, denke ich, muss sich zunächst die Rechtslage, wie in meinem Beitrag beschrieben, ändern.
Kleiner Nachtrag: „Ein Tier genießt keinen Geheimnisschutz im Sinne des § 203 StGB.“ Das hat das OLG Zweibrücken kürzlich entschieden. ;-) Das heißt also, Veterinärmediziner haben das Problem mit Patientendaten in dieser Form nicht.
Herzliche Grüße
Haya Hadidi
Kleiner Nachtrag 2: Im aktuellen CHIP-Magazin wird gemeldet, dass Cisco die Nutzer seiner WLAN-Router EA2700, EA3500 und EA4500 per Firmware-Update in die eigene Cloud zwingt. Wer weiterhin ins Internet möchte, muss sich in der Cloud registrieren und der Lizenzvereinbarung zustimmen. Inkludiert ist dabei der firmenseitige Zugriff auf die Firmware des Routers, aber auch auf andere „sensible Zugangsdaten“. Nach Protesten sei das automatische Update vorerst gestoppt und Cisco prüfe den Sachverhalt erneut.
So schnell kann’s also gehen mit dem Einstieg in die Cloud… ;-)
Kleiner Nachtrag 3: Angeblich soll es in Kürze Zertifizierungskriterien für Clouds von staatlicher Stelle in Zusammenarbeit mit der Versicherungswirtschaft geben: http://www.gdv.de/2012/03/bsi-und-versicherungswirtschaft-entwickeln-erstmals-zertifizierungskriterien-fuer-cloud-technologie/
Man darf gespannt sein. ;-)
Nachtrag 4: Ein aktueller Artikel zum Zugriff der US-Behörden auf Clouddienste: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,876789,00.html
Nachtrag 5: Die EU-Kommission plant unter dem Motto: „Unleashing the potential of cloud computing in Europe“ eine einheitliche Regelungen für Cloud-Computing, welches gefördert werden soll. Es soll zunächst eine einheitliche Grundlage für die Dienste geschaffen werden, weiterhin sollen Musterverträge erstellt und eine Europäische Cloud-Partnerschaft etabliert werden. S. weitergehende Informationen hier: http://ec.europa.eu/information_society/activities/cloudcomputing/docs/com/com_cloud.pdf
Hallo – schon einmal was von Protonet gehört? http://www.protonet.info – scheint dem ganzen auf den Grund zu gehen!
Mir ist nicht klar, wofür ein Zahnarzt so viel Speicherplatz nach außen hin verfügbar machen sollte. Wenn dieser Speicherplatz in den eigenen Räumen steht, handelt es sich nicht um ein räumlich getrenntes Backup.
Ich habe übrigens, um mich auf das Auslaufen der Sicherheitsupdates für Windows XP April 2014 vorzubereiten, meine XP-Rechner auf Anwendungsebene vom Internet genommen (mittels Sandboxie, http://www.sandboxie.com). Stattdessen greifen meine Helferinnen jetzt per RDP (RDP-Client ist bei Windows dabei) auf einen virtualisierten Linux-Terminalserver zu, der das Surfen im Internet erlaubt (Fedora/Xfce mit XRDP, Vmware). Funktioniert gut.