Wann ist Datenverlust strafbar?

[fleur_de_lys]

Hallo,
ich nenne 2 Beispiele für den Verlust sensibler Daten und würde gerne wissen, ob diese Fälle strafbar wären:

1. Bei einem Einbruch in eine Arztpraxis wird die EDV-Einrichtung entwendet, womit auch sensible Daten in fremde Hände gelangen.

2. Einem Arzt wird am Bahnhof sein Laptop gestohlen, wodurch Fremde Zugriff auf Patientendaten erhalten.


In beiden Fällen liegen Daten unverschlüsselt auf den PCs.

Das Recht auf Schadensersatz regelt §7 des Bundesdatenschutzgesetzes:

§ 7 Schadensersatz
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

Wo ist nun die "gebotene Sorgfalt" definiert? Soweit ich weiß, liegt die sehr stark im Ermessensspielraum des Richters.

[mknf]

Ich schätze die Situation wie folgt ein:

Bei besonders sensiblen Daten, wie es ja bei Patientendaten der Fall ist, ist besondere Sorgfalt geboten.
Das schließt die Verschlüsselung dieser Daten ein.

Gerade bei dem Fall des Laptops ist es zumindest nicht unwahrscheinlich, dass ein mobiles Gerät abhanden kommt.

Wenn schon im privaten Bereich geurteilt wird, dass WLAN-Betreiber ihre Netze nach dem aktuellen Stand der Technik mit einem individuellen WLAN-Schlüssel zu sichern haben, sollte für derart sensible Daten ein Gericht nicht nachsichtig sein.
Kenne da aber keinen Fall.

[fleur_de_lys]

Das ganze Thema ist in Bezug auf den Datenschutz sehr kritisch, denn es könnte ja eine finanzstarke, kriminelle Organisation andere Menschen dafür bezahlen, dass sie wichtige Daten, z.B. polizeiliche Ermittlungsunterlagen, "verlieren".

Es fehlt ein wirtschaftlicher Anreiz in der Form, dass ein Verlust sensibler Daten für die Stelle ein bedeutendes finanzielles Risiko darstellt.

[hera]

Zitat:

Zitat von fleur_de_lys

Das ganze Thema ist in Bezug auf den Datenschutz sehr kritisch, denn es könnte ja eine finanzstarke, kriminelle Organisation andere Menschen dafür bezahlen, dass sie wichtige Daten, z.B. polizeiliche Ermittlungsunterlagen, "verlieren".

Es fehlt ein wirtschaftlicher Anreiz in der Form, dass ein Verlust sensibler Daten für die Stelle ein bedeutendes finanzielles Risiko darstellt.

och, da genügt ggf schon der "ehren"-codex der ärzteschaft, um mal eben einem kollegen verlustreich unter die arme zu greifen ..

kinder nennen das spiel "schraps hat den hut verloren"
http://de.answers.yahoo.com/question...2062432AAoN3BV

und wenn einer der beteiligte sagt, ich habe die unterlagen weitergegeben und der angebliche empfänger den empfang bestreitet, kann (oder will) man niemandem die lüge beweisen ....maxmal eine kleine lücke in der "buchführung" ...

[hera]

dieser link pass ganz gut zum thema

7.11.2011, P R E S S E M I T T E I L U N G
ULD zum Psychiatriedatenleck: „Desorganisation war Hauptursache“

https://www.datenschutzzentrum.de/pr...atriedaten.htm

[TomRohwer]

Zitat:

Zitat von fleur_de_lys

Hallo,
ich nenne 2 Beispiele für den Verlust sensibler Daten und würde gerne wissen, ob diese Fälle strafbar wären:

1. Bei einem Einbruch in eine Arztpraxis wird die EDV-Einrichtung entwendet, womit auch sensible Daten in fremde Hände gelangen.

2. Einem Arzt wird am Bahnhof sein Laptop gestohlen, wodurch Fremde Zugriff auf Patientendaten erhalten.


In beiden Fällen liegen Daten unverschlüsselt auf den PCs.

Punkt 1 ist unrealistisch, weil die Patientendaten auf den Rechnern einer Arztpraxis über Arztprogramme gespeichert werden und nicht "irgendwie". ("Irgendwie" macht für einen Arzt keinen Sinn, er braucht die Daten in seiner Arztsoftware.)

Gängige Arztsoftware ist so abgesichert, daß ein Unbefugter, der den Rechner klaut, nicht einfach mal so eben die Daten auslesen kann. Die Patientendaten werden nicht als Klartext abgelegt, sondern codiert, sprich verschlüsselt.

Einen 100prozentigen Schutz gibt es aber nicht, nirgendwo, der ist technisch auch nicht möglich.

Punkt 2 dito - wenn der Arzt auf einem Laptop seine Arztsoftware mitführt, dann gilt für die dasselbe. Wenn der Arzt "einfach so" bei Hausbesuchen Patientendaten auf einem Laptop speichern würde, dann könnte man fragen, ob das fahrlässig ist - nur macht das kein Arzt, weil es doppelte Arbeit bedeuten würde, wer soll denn den Kram anschließend in die Praxis-EDV übertragen?

Müssen die Patientendaten besonders verschlüsselt gesichert werden?

Das Gesetz schreibt es nicht vor, die Rechtsprechung verlangt es m.W. auch nicht, manche Datenschützer fänden es gut.

Nur: Patientenunterlagen aus Papier (oder Film, Röntgenaufnahmen) müssen auch lediglich verschlossen im Aktenschrank in der Praxis aufbewahrt werden; es braucht dafür keinen Safe. Jeder, der die Praxistür knackt, kann mit einem Schraubenzieher (um das Schloss vom Aktenschrank zu knacken) in jede Patienten-Akte aus Papier hineinschauen...

Verschlossen sein müssen die Schränke mit Patienten-Unterlagen allerdings schon, sonst könnten nämlich z.B. die Putzfrauen unbefugt hineingucken. Die müssen, wenn sie in einer Arztpraxis arbeiten, zwar auch extra über die Schweigepflicht belehrt werden - falls sie mal etwas zu sehen bekommen, das sie eigentlich nicht sehen sollen, aber trotzdem darf auch in einer Arztpraxis oder einem Krankenhaus nur der Zugang zu schweigepflichts-relevanten Daten haben, der dies von Berufs wegen haben muß. (Also im Regelfall das ärztliche Assistenzpersonal.) Aber ein "Panzerschrank" müssen sie, wie gesagt, nicht sein.

Auch Papierakten können übrigens "im Bahnhof" oder "aus dem Auto" gestohlen werden - dann nämlich, wenn der Arzt sie bei Hausbesuchen in seinem Arztkoffer aufbewahrt, und ihm dieser gestohlen wird.

Handelsübliche Arztsoftware hat Datenverschlüsselung - solche nicht zu benutzen könnte dem Arzt also unter Umständen schon als fahrlässig ausgelegt werden, weil im Zweifelsfall alles, das nicht dem aktuellen Stand der durchschnittlichen Technik entspricht, "fahrlässig" ist.

Zitat:

Das Recht auf Schadensersatz regelt §7 des Bundesdatenschutzgesetzes

"Schadensersatz" setzt immer einer bezifferbaren materiellen Schaden voraus - das wird beim Verlust einer Patientenakte im Regelfall aber nicht vorliegen. Im Einzelfall ist es aber natürlich denkbar, daß eine Sorgfaltsverletzung bei der Schweigepflicht auch Schadensersatzansprüche nach sich zieht.

Zitat:

Wo ist nun die "gebotene Sorgfalt" definiert? Soweit ich weiß, liegt die sehr stark im Ermessensspielraum des Richters.

"Gebote Sorgfalt" ist immer eine Definition der Rechtsprechung, das Gesetz sagt ja nur "gebotene Sorgfalt".

Die gebotene Sorgfalt ist die, die im Verhältnis zum potentiellen Schaden/Rechtsverstoß und zum technisch/finanziell/praktisch Zumutbaren eben geboten ist.

Sie wäre mit Sicherheit verletzt, wenn Computer-Hardware, auf der einmal Patientendaten gespeichert waren, bei Ausmusterung nicht fachgerecht entsorgt, also von einem Fachbetrieb kontrolliert vernichtet wird. Will sagen: Datenträger werden am besten von einer Fachfirma geschreddert, Patientenakten auf Papier nach Ausmusterung von einem Fachbetrieb vernichtet.

Gängige Arztsoftware, wie gesagt, verschlüsselt. Wenn ein Arzt sich einfach in einer Text-Datei sensible Daten notieren sollte und anschließend nicht auf seinen Laptop ausreichend aufpasst, ist das dann "fahrlässig"?

Gegenfrage: wenn ein Arzt sich Patientendaten auf einem Zettel notiert, weil gerade kein Computer zur Hand ist, und anschließend wird ihm die Aktentasche oder der Arztkoffer gestohlen - ist das dann "fahrlässig"?

Eher nicht.

Allerdings dürfte sich die Menge an sensiblen Patientendaten, die ein Arzt außerhalb seiner Arztsoftware gespeichert hat, auch stark in Grenzen halten.

Sollte der Arzt indessen auf die Idee kommen, seine komplette Patientendatei auf einem Laptop gespeichert mit sich herumzutransportieren und den Laptop stundenlang im Kofferraum des in einem Parkhaus geparkten Autos liegenzulassen...

Da würden ihm vermutlich Landesdatenschutzbeauftragter und u.U. auch die Staatsanwaltschaft auf's Dach steigen.

......................

In Schleswig-Holstein hat ein niedergelassener Arzt unlängst ein Bußgeld von 300 Euro aufgebrummt bekommen, weil folgendes passiert war:

Der Arzt hatte einen Privatpatienten, bei dem ein diagnostischer Eingriff gemacht wurde, für den bestimmte Kanülen erforderlich sind. Diese Kanülen muß der Patient als "Sachkosten" dem Arzt bezahlen, er findet das auf seiner Rechnung nach GOÄ, die er vom Arzt bekommt.

Der Arzt nun kooperiert mit einer Klinik und bezieht von dort die Kanülen, was an sich sehr patientenfreundlich ist, auf diesem Weg sind die Kanülen nämlich eine Ecke billiger als wenn er sie selbst über eine Apotheke oder einen Medizinbedarfshändler in Kleinmengen kauft.

Der Patient war allerdings erstaunt, daß er die Rechnung über die Kanülen vom Krankenhaus bekam - und nicht von seinem Arzt. Dieser hatte nämlich nicht, was möglich gewesen wäre, dem Patienten gesagt "Passen Sie mal auf, ich beziehe die Kanülen von der Klinik, wird billiger, darf ich Ihre Daten weitergeben, dann bekommen Sie direkt von der Klinik die Rechnung dafür".

Und er hatte auch nicht, was ebenfalls möglich gewesen wäre, den Patienten gleich selbst in die (benachbarte) Klinik geschickt, die Kanülen abzuholen und mitzubringen.

Nein, er hatte einfach die Daten des Patienten mit der Bestellung der Kanülen an die Klinik weitergereicht, zwecks direkter Rechnungsstellung.

Ein klarer Verstoß gegen die ärztliche Schweigepflicht (§203 StGB) und gegen die einschlägigen Datenschutzvorschriften, und auch gegen die Berufsordnung für Ärzte. Sicherlich überhaupt nicht "böse gemeint", sicher auch nicht wirklich "sorglos". Aber trotzdem absolut unzulässig. (Unter anderem kann man auch allein schon aus der Verwendung der Kanülen schließen, welche Verdachtsdiagnose der Patient hat...)

Der Patient war Jurist und in der Materie bewandert, und so trug er zur Rechtsfortbildung der hiesigen Ärzteschaft bei, die über den Fall in der Zeitung ihrer Landesärztekammer informiert wurde.

....................

Ärzte nehmen ihre Schweigepflicht durchaus sehr ernst, allein schon aus Standesbewußtsein. (Was in dem Fall mal positiv wirkt.)

Es gibt im ärztlichen Alltag aber so einige Dinge, die sich im Laufe der Jahre eingeschlichen haben, ohne daß je einer mal gründlich unter dem Aspekt "Schweigepflicht/Datenschutz" darüber nachgedacht hat...

Es war auch unser hiesiges Landesdatenschutz-Zentrum, das der weitverbreiteten Praxis ein Ende machte, ohne gesonderte Einwilligung des Patienten zusammen mit Gewebe- oder Blutproben Patientendaten an die Laborärzte weiterzugeben. Geht nicht, Verstoß gegen die Schweigepflicht.

Die berüchtigte "Kurzwartezone" direkt neben der Tür zum Sprechzimmer des Herrn Doktor oder der Frau Doktor... Geht - aber nur mit schallgedämpfter Tür. Wenn man in der "Kurzwartezone" hören kann, was drinnen gesprochen wird - Schweigepflichtsverletzung.

Bevor ein Arzt seine GOÄ-Rechnungen von einer Ärztlichen Verrechnungsstelle erstellen und verschicken lassen darf - braucht er die ausdrückliche Zustimmung des Patienten, sonst muß er sie selbst in seiner eigenen Praxis schreiben (lassen).

Manchmal hilft man sich mit der "konkludenten Zustimmung" des Patienten. Häufiger als man denkt dünnes Eis.

Ehefrau ruft in der Arztpraxis an und fragt die MFA: "Mein Mann hatte um 11.00 Uhr einen Termin bei Ihnen. Ist er schon wieder auf dem Heimweg, oder sitzt er noch bei Ihnen? Ich würde gern wissen, ob ich mit dem Mittagessen noch warten muß."

Wenn die Arztpraxis wirklich korrekt arbeitet, darf sie der Ehefrau nicht einmal bestätigen (oder verneinen), daß ihr Gatte dort Patient ist. Auch das fällt schon unter die Schweigepflicht, die uneingeschränkt auch gegenüber dem Ehegatten gilt.

Darf man unterstellen, es sei im wohlverstandenen Interesse des Patienten und dieser willige konkludent in solche Auskünfte an die Gattin ein, wenn er sich ins Wartezimmer setzt?

Eindeutig nicht, es sei denn, es hätte in der Vergangenheit anderslautende Informationen gegeben, wie z.B. "Wenn meine Frau nachfragt, dann sagen Sie ihr doch bitte..." - das kann man wohl auch beim nächsten Besuch noch als konkludente Einwilligung nehmen.

Besser aber nicht. Besser sagt man immer: "Da darf ich Ihnen leider keine Auskunft geben."

[TomRohwer]

Zitat:

Zitat von hera

dieser link pass ganz gut zum thema

7.11.2011, P R E S S E M I T T E I L U N G
ULD zum Psychiatriedatenleck: „Desorganisation war Hauptursache“

https://www.datenschutzzentrum.de/pr...atriedaten.htm

Sofern man es überhaupt als vertretbar ansehen will, die praxisinterne EDV einfach mit externen Netzwerken zu verbinden (z.B. Internet), wird man auf jedenfall verlangen müssen, daß die EDV dann umfassend und auf dem neuesten Stand der Technik und regelmäßig kontrolliert mit aller nötigen und erhältlichen Sicherheitstechnik ausgestattet ist. So daß z.B. ein Zugriff von außen auf Patientendaten unmöglich ist.

Vernünftigerweise trennt man aber das, was für den internen Gebrauch nötig ist und das, was zur Kommunikation mit der KV, Laboren usw. gebraucht wird, geschweige denn für "Surfen im Internet" (was ja u.U. für die Arbeit gemacht wird).

Die EDV-Technik in Arztpraxen wird zum Glück im Regelfall von Fachfirmen gewartet, die z.B. auch die Updates für die Arztsoftware einspielen - wobei manchmal auch Patientendaten bewegt werden müssen.

Auf jeden Fall ein heißes Thema, auch und gerade im Zusammenhang mit der elektronischen Patientenakte auf dem Chip in der Krankenversicherungskarte.

[Humungus]

Zitat:

Zitat von fleur_de_lys

Hallo,
ich nenne 2 Beispiele für den Verlust sensibler Daten und würde gerne wissen, ob diese Fälle strafbar wären:

1. Bei einem Einbruch in eine Arztpraxis wird die EDV-Einrichtung entwendet, womit auch sensible Daten in fremde Hände gelangen.

2. Einem Arzt wird am Bahnhof sein Laptop gestohlen, wodurch Fremde Zugriff auf Patientendaten erhalten.


In beiden Fällen liegen Daten unverschlüsselt auf den PCs.

Nimmt man den Sachverhalt als heilig muss geprüft werden, ob der Arzt sich ausreichend um die Datensicherung gekümmert hat. Dazu müsste die Praxis zumindest ausreichend einbruchgesichert sein, der Arzt das Laptop mit der gebührenden Sorgfat behandelt haben (beispielsweise nicht in der Bahnhofskneipe auf den Tresen gelegt haben).

IRL sind wie bereits gesagt die Daten auch gesichert, und man benötigt mehrere Passworte, um an diese zu kommen (bzw. ausgeklügelte Knackverfahren).

Das Thema wird wieder interessant, wenn die eGK eingeführt wird, dann braucht der Hacker gar nicht mehr in eine Arztpraxis einzusteigen, sondern bedient sich bequem am Zentralserver.

@TomRohwer:
- die Updates werden normalerweise vom Praxisinhaber bzw. den Angestellten eingespielt, es sei denn, man ist entweder ein Computernerd oder hat eine Fernwartung. In beiden Fällen ist zu berücksichtigen, dass Dritte Zugriff auf Praxisdaten kriegen können, was verhindert werden muss (beispielsweise durch speziellen Update-Zugang ohne Datenzugriff)
- die ärztliche Schweigepflicht wird von Kollegen teilweise ärgerlich lax gesehen, ich habe mehrfach erlebt, wie Fälle auch mit Namen genannt werden mit dem Zusatz "Sie sind ja auch Arzt und fallen unter die Schweigepflicht, da darf man das ja"
- ein Richter verlangte nach einem Attest eine genaue Auskunft und behauptete, mit dem Attest wäre eine Entbindung von der Schweigepflicht konkludent "drin". Die Bitte nach einer entsprechenden Rechtsquelle blieb unerfüllt
- ein Psychologe verlangte Auskunft über einen Patienten. Ich wies ihn darauf hin, dass diese ohne Entbindung nicht erteilt werden dürfte und dass er nicht einmal offenbaren dürfte, dass er der behandelnde Psychologe eines Patienten sei. Auch hier war plötzlich Schweigen im Walde.

In Hinsicht auf Datenschutz und Schweigepflicht besteht erheblicher Nachholbedarf!

[hera]

Zitat:

Zitat von TomRohwer

["Schadensersatz" setzt immer einer bezifferbaren materiellen Schaden voraus - das wird beim Verlust einer Patientenakte im Regelfall aber nicht vorliegen.

ich kenne einen fall, da wurde der "wert" der patientenakte in einer klage auf herausgabe vom gericht mit 3000 euronen festgelegt.

[hera]

Zitat:

Zitat von TomRohwer

Auf jeden Fall ein heißes Thema, auch und gerade im Zusammenhang mit der elektronischen Patientenakte auf dem Chip in der Krankenversicherungskarte.

wobei du das grundanliegen (wiedermal) nicht verstanden hast: es ging im urteil um organitorische mängel - ich hatte das urteil nur zur vervollständigung beigesteuert ....das thema war aus Juli