Die Genfer Cour de Justice hat am 26. März 2025 ein Urteil zur Strafbarkeit einer Verletzung der Mindestvorgaben an die Datensicherheit gefällt (Urteil ACPR/239/2025), über das François Charlet bei Swissprivacy bereits berichtet hat.
Hintergrund war ein Ausbildungsgang an einer Handelsschule, bei dem Klinikmitarbeiterin E ihrer Klassenkollegin A medizinische Angaben über eine andere Klassenkollegin mitgeteilt haben soll. A war bei derselben Klinik in psychiatrischer Betreuung und wollte in der Folge wissen, ob vielleicht auch auf ihre Daten zugegriffen worden war. Tatsächlich ergab eine Überprüfung einen Zugriff durch E auch auf ihre Daten. Es gab in der Folge eine weitere Diskussion und eine polizeiliche Untersuchung über Gründe und Ausmass des Zugriffs. Offenbar war E in der Buchhaltung der Klinik beschäftigt und konnte deshalb auf die Patientenakte zugreifen, und zwar auch auf medizinische Daten, weil die Kliniksoftware keinen nur eingeschränkten Zugriff erlaubte.
Das Verfahren wurde von der Staatsanwaltschaft nicht einmal an die Hand genommen. Die Beschwerde von A gegen die Nichtanhandnahme lehnt die Cour de Justice mit knappen Begründungen ab:
Eine Verletzung des Auskunftsrechts nach Art. 60 Abs. 1 DSG konnte nicht festgestellt werden. Zwar war A nicht mitgeteilt worden, auf welche ihrer Daten genau zugriffen worden war, aber das sei unschädlich:
[Es ist] unerheblich, dass die mitgeteilte Information nicht angibt, ob […] tatsächlich auf medizinische Elemente zugegriffen wurde. Im Sinne von Art. 60 Abs. 1 DSG ist allein die vollständige Information über den Umfang des Zugriffsrechts des Verwaltungspersonals entscheidend. Hinzu kommt der ausschliesslich vorsätzliche Charakter des Verstosses gegen Art. 60 DSG.
Auch eine Verletzung der Mindestvorgaben an die Datensicherheit – wegen des umfassenden statt beschränkten Zugriffs auf die Patientenakte sei nicht erstellt:
- Aufgrund der Unklarheit von Art. 61 Abs. 1 lit. c DSG können nur offensichtliche Verletzungen erfasst sein, etwa wäre das vollständige Fehlen von Sicherheitsmassnahmen, nicht aber bloss unzureichende Massnahmen oder eine unvollständige Regelung, denn hier seien Risikoüberlegungen und Angemessenheitsfragen massgebend.
- Hier gab es grundsätzlich einen Anlass für den strittigen Zugriff, weshalb kein klarer Fall vorliege. Zudem unterliege E als Hilfsperson ja auch dem Patientengeheimnis
Das Urteil ist im Ergebnis wenig überraschend:
- Es dürfte kaum Appetit bestehen, Datenschutzverletzungen strafrechtlich zu verfolgen, und das selbst in einem Fall wie hier, bei dem es um einen zumindest höchst fragwürdigen Zugriff auf Gesundheitsdaten ging. Insbesondere legitimiert ein begründetes Zugriffsrecht nicht jeden effektiven Zugriff. Insofern kann man der Beschwerdeführerin nachempfinden, dass sie den Fall nicht mit einem Nichteintreten auf sich beruhen lassen wollte.
- Richtig ist aber, dass sich die Cour de Justice der kritischen Literatur angeschlossen hat und nur absolut offensichtliche Fälle von Sicherheitsverletzungen als potentiell strafrechtlich relevant einstuft. Im weiten Graubereich der „angemessenen“ Datensicherheit wäre eine Strafbarkeit tatsächlich kaum mit dem Bestimmtheitsgrundsatz vereinbar (dazu hier).
Nicht geprüft wurde eine Verletzung von Art. 321 StGB oder Art. 62 DSG. Beides wäre nicht a priori auszuschliessen, zumindest wenn man davon ausgeht, dass eine Offenbarung innerhalb der Organisation einer juristischen Person tatbestandsmässig sei kann (a.A. nun Reto Ferrari-Visca, in seiner Diss, Rz. 958: kein bankinternes Bankgeheimnis; mit Blick auf die persönliche Trägerschaft des Geheimnisses und auf den AXA-Pensionskassenentscheid des BVGer zumindest fraglich).