Mit der „Verordnung (…) über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ sollen Ermittlungsbehörden künftig unkomplizierten Zugriff auf Cloud-Daten erhalten. Nach derzeitigem Stand sind für Gesundheitsdaten keine Ausnahmen vorgesehen – was auch und gerade für Diabetiker erhebliche Probleme bringen kann.
Die geplante Verordnung sieht vor, dass Cloud-Anbieter in der Europäischen Union (EU) relativ einfach dazu verpflichtet werden können, die bei ihnen gespeicherten Cloud-Inhalte an Strafverfolgungsbehörden, wie Staatsanwaltschaften, Antikorruptionsbehörden und Steuerfahndung, herauszugeben. Voraussetzung hierfür ist eine Herausgabeanordnung (EPO, European Production Order), mit welcher die Behörden unter anderem vollständige Auskunft über Transaktions- oder Inhaltsdaten eines Cloud-Kontos verlangen könnten.
Herausgabeanordnung: Über deutsches Recht hinaus
Eine solche EPO kann bei Ermittlungen zu Straftaten erlassen werden, die im Staat der Anordnung mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren geahndet werden kann. Dies ist jedoch keine nennenswerte Hürde – nach deutschem Strafrecht wäre diese Voraussetzung schon beim Vorwurf einer fahrlässigen Körperverletzung (§ 229 StGB) erfüllt.
Zwar ist dann erforderlich, dass die EPO von einem Richter des betreffenden Lands erlassen oder zumindest überprüft wurde. Allerdings gilt dabei nicht das deutsche Strafrecht, sondern es gelten die Gesetze des Anordnungsstaats. Auch Rechtsmittel vor einem deutschen Gericht sind nicht vorgesehen. Ein deutscher Cloud-Provider müsste beispielsweise einer Anordnung aus Polen oder Griechenland nachkommen, ohne dass man sich hiergegen direkt vor einem deutschen Gericht wehren bzw. dies dort selbst überprüfen lassen könnte. Mit der EPO können grundsätzlich auch Daten verlangt werden, die nach deutschem Recht der beruflichen Schweigepflicht unterliegen – beispielsweise elektronische Patientenakten, die ein Arzt in einer Gesundheits-Cloud speichert.
Der Cloud-Anbieter – nicht der Betroffene – kann zwar Rechtsbehelf gegen eine EPO einlegen. Hierzu müsste der Cloudbetreiber der ausländischen Behörde einen den gesetzlichen Anforderungen genügenden, „begründeten Einwand“ übermitteln. Die Vorgehensweise ist aber relativ aufwendig. Der Cloud-Anbieter hätte einen hohen administrativen Aufwand und würde erhebliche Sanktionen riskieren, wenn seine Entscheidung, der Anordnung nicht nachzukommen, sich letztlich als fehlerhaft bzw. rechtsirrtümlich erweist.
Beispiel: Schwangerschaftsabbruch
Besonders deutlich zeigen sich die möglichen Konsequenzen am Beispiel eines Schwangerschaftsabbruchs, der nicht in allen EU-Ländern straffrei möglich ist. Eine in Deutschland lebende Patientin, welche die polnische Staatsbürgerschaft hat bzw. von einem polnischen Staatsbürger schwanger ist und hier legal einen Schwangerschaftsabbruch vornehmen lässt, hat auch jetzt schon das Risiko, dass polnische Strafbehörden gegen sie bzw. den Vater ermitteln, beispielsweise aufgrund einer Strafanzeige oder anonymer Hinweise.
Da alle Informationen zum Eingriff aber der ärztlichen Schweigepflicht unterliegen und nicht an die Ermittlungsbehörden herausgegeben werden müssen, bestand bislang keine große Gefahr einer solchen Strafverfolgung. Mit der EPO könnten die polnischen Behörden nun aber den Cloud-Provider des Arztes verpflichten, die Patientendaten herauszugeben, in denen sich die Dokumentation des Eingriffs befindet. Das Risiko einer Strafverfolgung und Verurteilung wird daher deutlich größer.
Problem auch für Menschen mit Diabetes
Auch im Zusammenhang mit Diabetes ist das problematisch: Kommt es im Straßenverkehr zu einem Unfall mit Personenschaden und besteht die Möglichkeit, dass dabei der Diabetes eine Rolle gespielt haben könnte, ist größte Vorsicht geboten. Man kann dann relativ schnell im Gefängnis landen bzw. mit hohen Strafen und existenzbedrohenden Kosten belastet werden. Die beim Arzt befindlichen Behandlungsdaten unterliegen allerdings der ärztlichen Schweigepflicht; dazu zählen auch die Sensor- oder Insulinpumpendaten, die in der Praxis gespeichert sind.
Viele Diabetes-Patienten speichern ihre Werte jedoch auch selbst in Diabetes-Clouds, die beispielsweise von CGM-System- oder Insulinpumpenanbietern angeboten werden und die in EU-Nachbarländern (z. B. Irland, Schweden) betrieben werden. Auch manche Ärzte nutzen solche Clouds zum Diabetes-Datenmanagement und überlassen dabei die Daten ihrer Patienten den jeweiligen CGM-System- bzw. Insulinpumpenanbietern zur kommerziellen Nutzung.
Online-Petition
Der Entwurf der Verordnung wird gegenwärtig im Rat der Europäischen Union und im Europäischen Parlament beraten. Dieses Vorhaben stößt aber zwischenzeitlich auf erhebliche Bedenken. Mehrere ärztliche Organisationen – beispielsweise die Freie Ärzteschaft – oder der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) fordern, dass Gesundheitsdaten, insbesondere die zukünftigen Cloud-gespeicherten ePA-Daten gesetzlich Versicherter besonders geschützt und die ärztliche Schweigepflicht gewahrt werden müssen.
Die Deutsche PsychotherapeutenVereinigung (DPtV) und das Deutsche Psychotherapeuten Netzwerk (DPNW) haben sogar eine Online-Petition eingereicht und rufen alle Bürger EU-weit auf, diese Petition zu unterstützen. Bislang haben schon einige Tausend Personen unterzeichnet – wer mitmachen will, kann dies tun unter www.change.org.
Im Rahmen von Ermittlungen zu einem Verkehrsunfall könnten Polizei bzw. Staatsanwaltschaft mit einer EPO diese gespeicherten Glukosewerte bzw. Pumpendaten vom Cloud-Betreiber verlangen. Dies kann zu einem erheblichen Problem werden, denn je mehr Daten vorliegen, desto mehr Anknüpfungspunkte können sich hieraus für den Vorwurf eines (fahrlässigen) Fehlverhaltens ergeben. So könnte ein Gutachter anhand dieser Daten beispielsweise zur Auffassung kommen, dass man bereits deutlich vor dem Unfall hätte anhalten müssen, dass man ohnehin mit zu niedrigen Werten unterwegs war, dass man zu wenig gescannt hat, dass man nicht (richtig) kalibriert hat, dass man nach Warnungen des CGM-Systems nicht gleich angehalten hat usw.
Auch für das Behandlungsteam kann dies juristische Konsequenzen haben: Wenn angesichts der Glukosewerte erkennbar war, dass der Patient diabetesbedingt gar nicht hätte fahren dürfen oder zusätzlicher Aufklärungsbedarf bestand, wird man mit strafrechtlichen Ermittlungen und Schadensersatzforderungen rechnen müssen. Denn das Unfallopfer bzw. dessen Versicherung könnte grundsätzlich Einsicht in die strafrechtlichen Ermittlungsakten erhalten und über die Cloud-Inhalte auch Einblick in die ärztliche Tätigkeit bekommen. Dies könnte dazu führen, dass auch der Arzt sich verantworten muss.
Autor:
|
|
Erschienen in: Diabetes-Journal, 2022; 71 (2) Seite 49-47
