Kategorien
Cybercrime & IT-Strafrecht Strafrecht

Fahrlässige Tötung durch Schadsoftware im Krankenhaus?

Wer macht sich wegen fahrlässiger Tötung strafbar, wenn ein Schadsoftware-Befall in einem Krankenhaus zu einem Todesfall führt? Hintergrund dieser Fragestellung ist ein Vorfall an der Düsseldorfer Uniklinik, der durch Verwicklungen im Ablauf der Behandlung einer Frau zu deren – wohl vermeidbaren – Tod führte weswegen aktuelle Ermittlungen der Staatsanwaltschaft laufen. Dass der Befall des Krankenhauses dabei wohl unbeabsichtigt war, weil eigentliches Ziel die Universität war, verdeutlicht lediglich die Brisanz der Thematik. Und in der Tat ist es dringend notwendig, auf diesen Problembereich zu blicken.

Vorab: Stand der Cybersicherheit in Deutschland

Ohne einige Worte zur Cybersicherheit im Allgemeinen geht es nicht – dabei habe ich bereits in der Vergangenheit sehr deutlich Worte verloren: Man versucht in diesem Land eine sinnentleerte Pseudo-Digitalisierung seitens der Politik zu erzwingen, wobei die notwendigen Ausgaben im Bereich Sicherheit und Medienkompetenz seit Jahrzehnten gescheut werden. Das Ergebnis ist eine zunehmend halbgare Digitalisierung, ohne Strategie, ohne Budgets und mit zunehmend überforderten Nutzern. Dabei ist es längst kein Geheimnis mehr, dass gerade der chronisch unterfinanzierte Bereich der Gesundheit vor enormen Problemen steht – unbekannt dagegen ist der horrible Zustand der auf unterstem Niveau digitalisierten deutschen Justiz, die schon in Bälde bei Hackern auf der Tageskarte stehen dürfte. Einen ganz kleinen Vorgeschmack geben die bis heute wirkenden Vorfälle beim Kammergericht, wobei Profis sich hoffentlich einig sind, dass das nur ein Ausblick auf den Anfang ist.

Rechtsanwalt in Alsdorf & Aachen für Strafrecht und Verkehrsrecht - digitale Technologien, Medien- & Urheberrecht, Verträge und Arbeitsrecht
Angriffsszenarien auf Krankenhäuser aus: ENISA, Smart Hospitals, November 2016 (PDF)

Strafbarkeit der Beteiligten bei Tod eines Patienten

Natürlich stehen Strafbarkeiten bei einem Hack- und/oder Schadsoftware-Angriff auf ein Krankenhaus im Raum. Doch schon bei konkreterem Nachdenken wird schnell deutlich, dass alleine der Blick auf den “Hacker” nicht reicht. Denn zumindest drei Akteure sind aus meiner Sicht immer zwingend zu thematisieren bei der Frage nach Strafbarkeiten:

  • Einmal der Angreifer selbst, wobei man nicht so naiv sein sollte, sich den einen bösen Hacker vorzustellen; vielmehr geht es um Personengruppen die zudem auf externe Infrastruktur zurückgreifen, es geht also um eine Vielzahl von Personen mit einem Blumenstrauss an Straftaten und internationalen Verwicklungen. Für die Fragestellung hier soll die Vorstellung eines einzelnen Hackers aus Deutschland, der ein deutsches Krankenhaus angreift, genügen.
  • Dann muss man zwingend an die Geschäftsführung des Krankenhauses denken und die Frage stellen, ob hier im Bereich Cybersicherheit “genug” getan wurde.
  • Abschliessend – und das wird viele überraschen – muss man an Mitarbeiter denken, die arglos und vielleicht sogar unter Verletzung einer klaren dienstlichen Anweisung einen Dateianhang oder ein fremdes Speichermedium geöffnet haben und damit die Infektion der lokalen Systeme erst ermöglicht haben.

Strafbarkeit des Hackers wenn ein Patient stirbt

Natürlich liegt eine Vielzahl von Straftaten aus dem Kern des IT-Strafrechts vor, wenn ein Hacker ein fremdes System vorsätzlich infiziert – dies bleibt hier außen vor, da es mir alleine um die fahrlässige Tötung geht. Diese steht auch sofort auf dem Tapet bei der Prüfung der Strafbarkeiten des Hackers, denn wenn jemand gestorben ist, ist der tatbestandliche Erfolg eingetreten und in dem hiesigen Beispiel steht die Kausalität zwischen Hackerangriff und Tod der Person fest. Damit nun ein Fahrlässigkeitsdelikt aus dem Vorfall wird, muss eine “objektive Sorgfaltspflichtverletzung” vorliegen und der eingetretene Tod der Person “objektiv vorhersehbar sein”. Beides will ich bejahen.

Dass beim vorsätzlichen Infizieren einer Krankenhausinfrastruktur Menschen zu Schaden kommen können dürfte auf der Hand liegen, jedenfalls empfände ich Diskussionen in andere Richtung als eher lächerlich. Diskutabler dürfte die “objektive Vorhersehbarkeit” sein. Die aber versteht das deutsche Strafrecht keineswegs als Vorhersehbarkeit im engeren Sinne, also dahin, wie konkret die Abläufe waren und was genau zum Tod führte. Vielmehr genügt die allgemein vorhersehbare Folge des Todes eines Menschen, auch wenn dieser auf nur mittelbaren Faktoren beruht. Und dass etwa bei lahmgelegter Infrastruktur Risikopatienten nicht aufgenommen sondern an ein anderes Krankenhaus verwiesen werden ist weder schwer vorherzusehen noch fernliegend, sondern sogar naheliegend. Und dass eben diese Risikopatienten dann ein höheres Risiko zu sterben haben, drängt sich geradezu auf.

Und wie ist damit umzugehen, dass die Angreifer hier im konkreten Fall meinten, man wollte gar kein Krankenhaus angreifen? Nun, der generelle Irrtum hinsichtlich des Tatobjekts bei ansonsten gleich verlaufendem Tathergang und gleichem Taterfolg interessiert grundsätzlich im deutschen Strafrecht nicht, die Strafrechtler nennen das “Abberratio Ictus”.

Allerdings wird man auf der Ebene der Vorhersehbarkeit diskutieren können, ob der konkrete Verlauf des Befalls mit der Schadsoftware im Allgemeinen tatsächlich vorhersehbar war. Gegen die Täter im hier konkreten Fall spricht dabei allerdings schon jetzt, dass es gerade in der Natur der Schadsoftware liegt, sich unkontrolliert zu verbreiten – und dass zu erwarten ist, dass eine Universität mit medizinischer Abteilung nicht nur über ein Uniklinikum verfügt, sondern darüber hinaus die Infrastruktur wegen der Ausbildung der Mediziner, verknüpft ist.

avatar

Jens Ferner

Strafverteidiger

Abschliessend kommt sogar noch ein weiterer wesentlicher Aspekt: Auch wenn ich hier nur auf die fahrlässige Tötung eingehe, muss diese nicht alleine relevant sein. Wenn etwa ein Gericht auf Grund der Umstände – durchaus naheliegend! – davon ausging, dass sehenden Auges der Tod von Menschen in Kauf genommen wurde, rutscht man sogar in den Vorsatz. Denn es ist ein schmaler Grat zwischen bewusster Fahrlässigkeit (“es wird schon gutgehen”) und einem “Eventualvorsatz” (“mir doch egal wenn es nicht gut geht”). Und was davon vorliegt bewertet am Ende ein Gericht, gleich was der Angeklagte dazu erzählt – ausdrücklich ist es nämlich möglich, auch nur auf Grund indizierter Umstände auf das rückzuschliessen, was im Kopf des Angeklagten wohl vorgegangen sein könnte.

Fazit: Eine Strafbarkeit wegen fahrlässiger Tötung wird nach meinem Eindruck bei dem “Hacker” immer im Raum stehen.


Strafbarkeit der Geschäftsführung

Hier kann ich es nur kurz machen, weil eine ernsthafte Analyse zu viel Platz braucht: Es kommt drauf an. Wenn man sich um das Thema IT-Sicherheit gar nicht gekümmert hätte (was angesichts der Vorgaben im TMG, BSI-Gesetz samt der Änderungen durch das IT-Sicherheitsgesetz 1.0 in einem Krankenhaus vollkommen undenkbar ist!), wäre angesichts der Vorhersehbarkeit von Angriffen aus meiner Sicht in jedem Fall eine fahrlässige Strafbarkeit im Raum. Ein solches Szenario erscheint mir aber vollkommen unrealistisch. Naheliegender ist, dass im Nachhinein festgestellt wird, dass ein auf dem Papier vorhandenes Sicherheitskonzept in der Praxis untauglich war (Teils oder in Gänze) oder auch ein durchdachtes Sicherheitskonzept mangels nachhaltiger Pflege oder Budget schlicht nicht gelebt werden konnte.

Doch bevor man diesen Aspekt vertieft sollte ein anderer Themenkreis angesprochen werden: Schliesslich passiert hier nicht irgendein Unglück sondern ein Dritter – der Hacker – greift vorsätzlich und böswillig an. Wie geht man nun damit um, dass ein Dritter vorsätzlich agiert, kann da überhaupt noch eine Strafbarkeit wegen einer Fahrlässigkeit im Raum stehen? Und es mag überraschen, aber ja, auch wenn ein Dritter vorsätzlich Rechtsgüter verletzt kann ein anderer wegen Fahrlässigkeit strafbar sein.Und tatsächlich hat sich der Bundesgerichtshof erst kürzlich, wenn auch in anderem Zusammenhang, mit dieser Problematik nochmals sehr differenziert auseinander gesetzt.

Bundesgerichtshof zur strafrechtlichen Haftung für Verhalten Dritter

In BGH (2 StR 557/18) geht es um die strafrechtliche Verantwortlichkeit eines JVA-Vollzugsbeamten, wenn der Häftling während eines Freigangs Straftaten begeht. Auch wenn es hier um jemanden geht, der in originärer Verantwortung der JVA einen Freigang erhält, während beim Krankenhaus jemand agiert ausserhalb der Sphäre des Krankenhauses (wobei schon jetzt an Mitarbeiter zu denken ist!) – so äussert sich der BGH doch sehr ausführlich zur Frage der Vorhersehbarkeit im Sinne des Fahrlässigkeitstatbestandes “bei komplexen Geschehensabläufen, insbesondere bei selbst- und fremdgefährdendem Verhalten eines Dritten”. Dabei macht der BGH (nochmals) deutlich:

Die Verantwortlichkeit des Täters entfällt aber für solche Ereignisse, die so sehr außerhalb der gewöhnlichen Erfahrung liegen, dass der Täter auch bei der nach den Umständen des Falles gebotenen und ihm nach seinen persönlichen Fähigkeiten und Kenntnissen zuzumutenden Sorgfalt nicht mit ihnen zu rechnen braucht (…) Tritt der Erfolg erst durch das Zusammenwirken mehrerer Umstände ein, so müssen auch diese Umstände für den Täter erkennbar sein, weil nur dann der Erfolg für ihn voraussehbar ist (…)

Eingetretene Folgen können außerhalb der Lebenserfahrung liegen, wenn sich in den ursächlichen Zusammenhang zwischen dem Verhalten des Täters und dem Erfolg bewusste oder unbewusste Handlungen dritter Personen einschalten (…) Dies gilt jedenfalls dann, wenn der Beitrag anderer Personen zum Geschehen in einem gänzlich vernunftwidrigen Verhalten besteht (…)

BGH, 2 StR 557/18

Spätestens jetzt sollte klar sein: Es kommt auf die Einzelheiten an. Ein zunehmend komplexer Infektionsablauf der Infrastruktur bei einem jedenfalls Mehrschichtigen-Sicherheitssystem dürfte sich kaum mehr im Bereich der Fahrlässigkeit bewegen. Wären da nicht die Mitarbeiter (dazu sogleich). Ein Wischi-Waschi-Sicherheitskonzept dagegen, das weder gelebt noch geprüft wird, öffnet den Bereich der Fahrlässigkeit wie ein Scheunentor – denn mit Angriffen muss man rechnen und wo kein effektiver Schutz besteht hilft dann auch der Verweis auf ein komplexes Angriffsszenario nicht weiter, das den (nicht vorhandenen!) Schutz vielleicht ohnehin ausgehebelt hätte. Sollte also kein effektives Sicherheitskonzept vorhanden sein ist jeder Vorfall dieser Art ein Fall für die Staatsanwaltschaft auch hinsichtlich des angegriffenen Krankenhauses. Dabei muss man sich vor Augen halten, dass naturgemäß bereits der erfolgreiche Angriff an sich die Frage nach der Effektivität des Sicherheitskonzeptes aufwirft.

Literatur zum Handeln durch Dritte

Nur am Rande sei kurz hervorgehoben, dass das Ergebnis des BGH letztlich nicht überraschend ist und mit der juristischen Literatur im Einklang steht – die frühere Rechtsprechung sowie die aktuelle Literatur stellen allerdings auf den Vertrauensgrundsatz ab: Wer sich selber an die Regeln hält soll grundsätzlich darauf vertrauen dürfen, dass andere es auch tun. Das vorsätzliche böswillige Handeln eines Dritten eröffnet dann grundsätzlich keine eigene strafrechtliche Haftung (so Roxin in Strafrecht AT, §24, Rn.26 mwN; teilweise ist die Terminologie abweichend, im Schönke-Schröder etwa ist die Rede vom “Verantwortungsprinzip”, gemeint ist aber nach meinem Eindruck immer das Gleiche). Dies aber muss eben in einer Wechselwirkung gesehen werden, denn auch wenn man auf das Rechtmäßige Verhalten Dritter vertrauen darf, so sind Hacker-Angriffe eben faktischer Alltag, was auf diesem Wege nicht ignoriert werden darf. Vielmehr führt dieser Gedanke zu einem abgestuften Verhaltenskonzept, das mit einem effektiven Sicherheitskonzept beginnen muss.


Haftung des Mitarbeiters

Und was ist nun, wenn tatsächlich nachgewiesen wird, dass die Infektion der Infrastruktur auf einen einzelnen Mitarbeiter zurückzuführen ist, etwa weil er einen Dateianhang geöffnet hat? Hier kommt es auf meiner Sicht ebenfalls drauf an:

  • Sollte es keine Dienstanweisung geben, wie mit Dateianhängen umzugehen ist, sehe ich den Mitarbeiter eher nicht im Bereich eines fahrlässigen Handelns. Dies auch nicht vor dem Hintergrund, dass Hacker-Angriffe allgemein bekannt sein dürften, da immer auf konkrete Schutzmaßnahmen abzustellen ist die originär in die Verantwortung der Geschäftsführung fallen (hierzu zusammenfassend BGH, 4 StR 313/88).
  • Wenn es dagegen eine klare Dienstanweisung gab hinsichtlich des Umgangs mit Dateianhängen, externen Medien etc. und hiergegen verstossen wurde, dürfte eine Fahrlässigkeit vorliegen. Im Übrigen hätte dies auch noch arbeitsrechtliche Konsequenzen für den Mitarbeiter. (Wenn kein Verstoss vorliegt ergibt sich für mich kaum mehr eine Diskussion zur Fahrlässigkeit des Mitarbeiters – die Frage wird dann aber umso mehr auf Ebene der Geschäftsführung “geschoben”, weil die Effektivität des Sicherheitskonzepts zu hinterfragen ist!).

Doch es geht weiter: Wenn es nun eine konkrete Dienstanweisung gab muss der Arbeitgeber diese auch regelmässig kontrollieren, mangelnde Stichprobenkontrollen etwa könnten die Fahrlässigkeit der in der Geschäftsführung für das Sicherheitskonzept verantwortlichen Person wieder eröffnen (so auch BGH, 2 StR 557/18) – neben einer eventuellen Verantwortlichkeit des Mitarbeiters! Während dies strafrechtlich für den Mitarbeiter wohl kaum zu einer Privilegierung führen dürfte währe er zumindest arbeitsrechtlich etwas besser abgesichert.


Fazit zur strafrechtlichen Haftung bei Tod durch Schadsoftware

In meiner viel zu kurzen Darstellung, die ich gerne länger ausarbeiten würde (was aber hier den Rahmen sprengt) sehe ich in jedem Fall eine Strafbarkeit des Angreifers wegen fahrlässiger Tötung, der sogar noch in den Vorsatz “rutschen” könnte. Dabei dürfte es nicht beim Totschlag verbleiben, sondern wegen des monetären Hintergrunds wird ein Staatsanwalt immer sofort prüfen, ob nicht das Mordmerkmal der Habgier vorliegt.

Innerhalb des Krankenhauses muss man es differenzierter sehen und ich kann vorneweg feststellen: Eine Strafbarkeit der Geschäftsführung steht ebenso im Raum wie eine des Mitarbeiters, wenn einem konkreten Mitarbeiter die Verantwortlichkeit für Infektion unter Missachtung von Sicherheitsvorgaben überhaupt nachgewiesen werden kann. Die Geschäftsführung ist zur eigenen strafrechtlichen Absicherung gut beraten, ein effektives Sicherheitskonzept vorzuhalten, wozu zwingend auch ein ausreichendes Budget, regelmässige (Stichproben-)Kontrollen der Mitarbeiter und fortlaufende Evaluierung gehören. Sollte einer dieser Aspekte fehlen wäre sofort wieder die strafrechtliche Verantwortlichkeit eröffnet.

Kurz zur zu erwartenden Strafe: Es mag recht unbefriedigend anmuten, dass im schlimmsten Fall der einfache Mitarbeiter wegen eines Sekundenversehens strafrechtlich haftet, während ein dritter vorsätzlich und böswillig agierte und die Geschäftsführung sich mit einem Sicherheitskonzept exkulpieren kann. Allerdings dürfte in einem solchen, seltenen, Fall davon auszugehen sein, dass – wie bei dem Vorwurf fahrlässiger Tötung nach einem Verkehrsunfall – mit Augenmaß vorgegangen wird. Wenn nämlich der Vorwurf im untersten Bereich liegt haben wir hier Sachverhalte von Tötungen im Strassenverkehr mit Strafbefehlen und Geldstrafen bis zu 90 Tagessätze beenden können, so dass nicht einmal eine Eintragung im Führungszeugnis vorhanden ist hinterher.

Allerdings, und auch das muss betont werden, ist es weniger die ausgesprochene Strafe als vielmehr der moralische Vorwurf, der die betroffenen Menschen zeichnet, die sich bei überschaubarem Fehlverhalten letztlich erhebliche und teils lebenslange Vorwürfe machen – ein Aspekt, den man nicht empathielos verkennen sollte.

Rechtsanwalt & Strafverteidiger bei Anwaltskanzlei Ferner Alsdorf
Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.
Termin vereinbaren: 02404-92100 | kontakt@kanzlei-ferner.de | Notruf für dringende Fälle
Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727 (Alle anzeigen)

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727

Von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727

Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime sowie Arbeitsrecht und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.