Gegendarstellung zur gutachterlichen Stellungnahme Versichertenstammdatendienst (VSD) in der Arztpraxis und Strafbarkeitsrisiken für Ärzte nach § 203 StGB (Fassung vom 11.09.2014) Gegendarstellung zur gutachterlichen Stellungnahme Versichertenstammdatendienst (VSD) in der Arztpraxis und Strafbarkeitsrisiken für Ärzte nach § 203 StGB (Fassung vom 11.09.2014) Seit einigen Tagen kursiert in den Medien eine Meldung, dass sich der Arzt bei der Verwendung der eGK strafbar macht. Diese Meldung nimmt Bezug auf eine gutachterliche Stellungnahme von Dr. André Zilch und RAin Dr. Franziska MeyerHesselbarth. Diese gutachterliche Stellungnahme basiert auf veralteten Grundlagendokumenten und trifft falsche fachliche Annahmen. Zudem wird der juristische Sachverhalt nicht beschrieben, so dass eine rechtliche Auseinandersetzung mit dem Gutachten im Detail nicht möglich ist. Die Ausführungen zum subjektiven Tatbestand sind aber juristisch nicht haltbar. Eine Strafbarkeit des Arztes bei Verwendung der eGK kann ausgeschlossen werden. Hierzu im Einzelnen: 1. Veraltete Grundlagendokumente Zunächst einmal ist festzuhalten, dass sich die gutachterliche Stellungnahme zum „Versichertenstammdatendienst (VSD) in der Arztpraxis und Strafbarkeitsrisiken für Ärzte nach § 203 StGB (Fassung vom 11.09.14)“ auf eine Reihe von veralteten Dokumenten bezieht. Das in der Stellungnahme zitierte Sicherheitskonzept stammt aus dem Jahr 2008 und gilt nicht für den Online-Rollout (Stufe 1) inkl. VSDM. Das eGovernment-Handbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2003 wird nicht mehr durch das BSI publiziert bzw. eingesetzt. Grundsätzlich ist die elektronische Gesundheitskarte (eGK) gemäß § 291 Abs. 2a Satz 4 SGB V technisch in der Lage eine elektronische Signatur sowie eine Authentifizierung und Verschlüsselung zu ermöglichen. Die derzeit von der gematik spezifizierten eGKs der Generationen 1, 1+ und 2 sind nicht mit Material zur elektronischen Signatur ausgestattet. Daher unterliegt die eGK nicht den strengen Vorschriften der Identitätsprüfung und der Herausgabe im Sinne des Signaturgesetzes. 2. Falsche fachliche Annahme - Kein Zugriff auf medizinische Daten durch Authentisierung des Versicherten mittels der eGK Zudem geht das Gutachten implizit davon aus, dass alleine durch die Authentisierung als „Versicherter XYZ“ mittels der eGK ein Zugriff auf medizinische Daten möglich wäre. Dies ist jedoch nicht der Fall. Der Versicherte weist sich bei einem Versichertenstammdaten-Update nicht mittels der AUT und AUTN Zertifikate der eGK gegenüber der Telematikinfrastruktur aus. Im Fall eines VSD-Updates dient die eindeutige Chipkartenseriennummer (ICCSN) der eGK zur Identifizierung der eGK bzw. des Versicherten gegenüber der Telematikinfrastruktur (vgl. gemSysL_VDSM). Bei freiwilligen Anwendungen gemäß § 291a Abs. 3 SGB V wird gematik_Gegendarstellung_Gutachten_VSD M_20140926_fin.doc © öffentlich Seite 1 von 4 Stand: 29.09.2014 Gegendarstellung zur gutachterlichen Stellungnahme Versichertenstammdatendienst (VSD) in der Arztpraxis und Strafbarkeitsrisiken für Ärzte nach § 203 StGB (Fassung vom 11.09.2014) zusätzlich durch die PIN-Eingabe des Versicherten das Einverständnis in den Zugriff auf medizinische Daten erteilt. Die eGK selbst ist nur Datenträger oder ermöglicht mit kartenindividuellen Schlüsseln die dezentrale Entschlüsselung von Daten in der Arztpraxis. Wenn ein Angreifer also auf medizinische Daten des Versicherten zugreifen will, so braucht er seine aktuelle eGK, die PIN und die Hilfe eines Arztes der unter Anwendung des Zwei-Schlüssel-Prinzips zusammen mit seinem Heilberufsausweis die Daten ausliest. Zudem enthalten alle von einer Krankenkasse versendeten neuen eGKs keine medizinischen Daten. Die Sicherheitskonzepte der Telematikinfrastruktur sehen somit an keiner Stelle vor, dass alleine auf Basis eine Authentisierung des Versicherten mittels eGK ein Zugriff auf medizinische Daten gewährt wird. 3. Rechtlicher Sachverhalt unklar Eine juristische Auseinandersetzung mit der gutachterlichen Stellungnahme ist im Detail nicht möglich, da die Stellungnahme den konkreten tatbestandlichen Sachverhalt verschweigt. Es wird nicht beschrieben, wer wem gegenüber in welcher Situation ein fremdes Geheimnis offenbart. Auf Seite 3 wird ausgeführt, dass die Bereitstellung einer unsicheren IT-Infrastruktur einen Verstoß i.S.v. § 203 StGB darstellen kann. Auf Seite 5 wird der objektive Tatbestand des § 203 StGB in sämtlichen Fällen erfüllt, in denen die Identität falsch angegeben wird und die Angaben im Rahmen des VSD zugrunde gelegt werden. Das tatbestandliche Handeln des Arztes wird nicht beschrieben. 4. Rechtliche Stellungnahme der gematik Der Arzt würde sich strafbar machen, wenn er die Voraussetzungen des § 203 StGB erfüllt. Nach § 203 Abs. 1 Nr. 1 StGB macht sich strafbar, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm beispielsweise als Arzt anvertraut worden oder sonst bekannt worden ist. a) Es muss zunächst ein fremdes Geheimnis vorliegen. Die medizinischen Daten eines Patienten sind ein Geheimnis. Zwar wird der genaue Vorgang in der gutachterlichen Stellungnahme nicht dargestellt, es ist aber davon auszugehen, dass dem Täuschenden das Geheimnis eines Dritten preisgegeben wird. Das Geheimnis ist dem Täuschenden demnach auch fremd. b) Der Täter muss zu den in § 203 Abs. 1 Nr. 1 – 6 StGB genannten Berufsgruppen gehören. Ärzte oder Zahnärzte gehören zu den Berufsgruppen und werden in Nr. 1 explizit genannt. c) Der Arzt muss das Geheimnis auch offenbart haben. Offenbaren ist jedes Mitteilen eines zur Zeit der Tat noch bestehenden Geheimnisses oder einer Einzelangabe gematik_Gegendarstellung_Gutachten_VSD M_20140926_fin.doc © öffentlich Seite 2 von 4 Stand: 29.09.2014 Gegendarstellung zur gutachterlichen Stellungnahme Versichertenstammdatendienst (VSD) in der Arztpraxis und Strafbarkeitsrisiken für Ärzte nach § 203 StGB (Fassung vom 11.09.2014) an einen Dritten, der diese nicht, nicht in dem Umfange, nicht in dieser Form oder nicht sicher kennt. Hierbei stellt sich die Frage, ob der Patient bereits durch den Zugang zur elektronischen Gesundheitskarte durch die Krankenkasse Kenntnis von dem Geheimnis hatte. Eine tatsächliche inhaltliche Kenntnisnahme ist dabei nicht erforderlich. Die Übergabe der elektronischen Gesundheitskarte könnte hierfür ausreichend sein. Bereits hier kann man argumentieren, dass eine Kenntnisnahme der Geheimnisse bereits mit der Übergabe der elektronischen Gesundheitskarte an den Täuschenden durch die Krankenkasse erfolgt ist. Die gutachterliche Stellungnahme geht auf die rechtliche Problematik nicht ein, dass der Täuschende das Geheimnis „mitbringt“. d) Das fremde Geheimnis muss dem Arzt oder Zahnarzt auch anvertraut oder sonst bekannt worden sein. In welchem Zusammenhang dem Arzt oder Zahnarzt das Geheimnis anvertraut oder sonst bekannt wurde, ist der gutachterlichen Stellungnahme nicht zu entnehmen. Es ist zu vermuten, dass es nicht um Geheimnisse geht, die der betroffene Dritte dem Arzt oder Zahnarzt mitgeteilt hat. In diesem Fall hätte der betroffene Dritte den Arzt vorher schon einmal aufgesucht; der Arzt kennt also den Dritten. Dieses Szenario hat gegenüber der bisherigen Praxis durch die elektronische Gesundheitskarte keine neue Qualität erhalten – abgesehen von der verbesserten Identifizierungsmöglichkeit anhand des Lichtbildes. Vermutlich wurde bei der gutachterlichen Stellungnahme an das Szenario gedacht, in dem der Täuschende mit der erschlichenen elektronischen Gesundheitskarte das erste Mal in die Praxis kommt und den Arzt dazu benutzt, die Geheimnisse von der Karte oder mit der Hilfe der Karte zu lesen (zur technischen Möglichkeit siehe unter 2.). Der Täuschende vertraut in diesem Fall dem Arzt das Geheimnis an - das Anvertrauen ist das Einweihen in ein Geheimnis unter Umständen, aus denen sich eine Pflicht zur Verschwiegenheit ergibt. Allerdings wäre es systemwidrig, in diesem Fall auch eine Offenbarung (siehe unter c)) gegenüber dem Täuschenden anzunehmen. Es liegt also entweder kein „Offenbaren“ oder kein „Anvertrauen“ vor. Der Tatbestand des § 203 StGB ist nicht erfüllt. e) Nimmt man vorsorglich an, dass Konstellationen denkbar sind, in denen der Arzt ein anvertrautes und fremdes Geheimnis offenbart und damit der objektive Tatbestand des § 203 StGB vorliegt, so handelt der Arzt bei Prüfung der eGK auf keinen Fall vorsätzlich (subjektiver Tatbestand). Zwar hat der Arzt bewusst etwas mitgeteilt, jedoch unter der Annahme, dass die Mitteilung nicht an einen Dritten erfolgt - das Geheimnis dem Täuschenden also bekannt ist - und damit keine Offenbarung im Sinne des § 203 StGB vorliegt. Die Ausführungen in der gutachterlichen Stellungnahme zum Tatbestandsmerkmal „unbefugt“ sind an dieser Stelle irreführend und juristisch nicht haltbar. Der Arzt wird nicht über das Vorliegen einer Einwilligung getäuscht sondern über die Tatsache, dass die Mitteilung an den Berechtigten erfolgt. Für einen bedingten Vorsatz muss der Arzt es zumindest für möglich halten, dass er das Geheimnis einem gematik_Gegendarstellung_Gutachten_VSD M_20140926_fin.doc © öffentlich Seite 3 von 4 Stand: 29.09.2014 Gegendarstellung zur gutachterlichen Stellungnahme Versichertenstammdatendienst (VSD) in der Arztpraxis und Strafbarkeitsrisiken für Ärzte nach § 203 StGB (Fassung vom 11.09.2014) Dritten mitteilt. Eine mediale Berichterstattung über das rechtswidrige Verhalten anderer (Missbrauchsfälle) führt dabei nicht dazu, dass der Arzt die reale Möglichkeit einer Rechtsgutverletzung erkennen muss. Zunächst muss er selber objektiv sorgfaltswidrig handeln. Dieser Sorgfaltsmaßstab wird im Bundemantelvertrag definiert. Gemäß § 19 Bundesmantelvertrag i.V.m. Anlage 4a, Anhang 1.2 BMV-Ä muss eine Prüfung der Identität des Versicherten bei einem Leistungserbringer vor der Erhebung von medizinischen Daten auf der eGK anhand der eGK erfolgen. Findet diese Prüfung statt, ist dem Arzt kein fahrlässiges geschweige denn vorsätzliches Verhalten vorzuwerfen. Zudem wird in der gutachterlichen Stellungnahme der rechtstheoretische Meinungsstand zum Eventualvorsatz aufgeführt, die Voraussetzungen des Eventualvorsatzes allerdings nur lückenhaft wiedergegeben. Zu dem oben dargestellten Wissenselement („Möglichkeit“) kommt nach ständiger Rechtsprechung zudem ein voluntatives Element. Der Arzt muss auch mit dem Eintritt des Erfolges in dem Sinne einverstanden sein, dass er ihn billigend in Kauf nimmt. Dies wird grundsätzlich nicht der Fall sein. Der subjektive Tatbestand des § 203 StGB wird nicht erfüllt. Der Arzt macht sich nicht strafbar. Zu den Verfassern des juristischen Gutachtens Dr. André Zilch ist Geschäftsführer der 2004 gegründeten Firma „ValiPic“, heute „ValiPro, zu deren Parnter (neben Fujitsu und CitiPost) der Centralverband der Berufsfotografen gehört. Zum Leistungsspektrum gehört eine Schnittstelle zur elektronischen Annahme von Daten (einschließlich Lichtbild) für Krankenkassen. ValiPro stellt den Krankenkassen eine Schnittstelle zur elektronischen Annahme von Daten zur Verfügung. RAin Dr. Franziska Meyer-Hesselbarth hat bereits im Jahr 2010 ein Gutachten gegen den neuen Personalausweis erstellt, dessen Einführung angeblich „massive rechtliche Fragen“ aufwerfe. Das Gutachten wurde im Auftrag des Centralverbands der Berufsfotografen erstellt, der seine Interessen durch das Angebot biometrischer FotoDienstleistungen in Bürgerämtern bedroht sah. gematik_Gegendarstellung_Gutachten_VSD M_20140926_fin.doc © öffentlich Seite 4 von 4 Stand: 29.09.2014