Bild von Jan Van Bizar auf Pixabay

Die zweite Durchsuchungsentscheidung kommt dann auch vom LG Nürnberg-Fürth. Das hat dann im LG Nürnberg-Fürth, Beschl. v. 27.01.2025 – 12 Qs 60/24 – zur  vollständige Spiegelung der Patientendaten einer Arztpraxis im Wege einer virtuellen Maschine zur Durchführung der Durchsicht bei einer Durchsuchung Stellung genommen.

Gestritten wird um die Beschlagnahme einer sog. virtuellen Maschine durch die StA. Dem liegt zugrunde: Der Beschuldigte ist als Arzt zur vertragsärztlichen Versorgung zugelassen. Die GenStA Nürnberg verdächtigt ihn des Abrechnungsbetrugs gegenüber der Kassenärztlichen Vereinigung Bayern (KVB) in den Quartalen 3/2019 bis 3/2021. Das AG erließ dementsprechend Durchsuchungsbeschlüsse, u.a. auch für die Praxisräume des Beschuldigten, die am 09.10.2024 vollzogen wurden.

Im Rahmen der Durchsuchung wurden in der Praxis Daten sichergestellt. Dies geschah in der Weise, dass Daten von Praxisrechnern auf dienstliche Datenträger gespiegelt wurden. Gespiegelt wurde auch die Praxissoftware CGM Medistar in Form einer sog. virtuellen Maschine vom Arbeitsplatzrechner des Beschuldigten. Diese virtuelle Maschine wurde aus dem auf dem Praxisrechner installierten Verwaltungsprogramm für virtuelle Maschinen Microsoft Hyper-V direkt exportiert und auf einem dienstlichen Datenträger gespeichert.

Noch während der laufenden Datensicherung ordnete der in der Praxis anwesende Oberstaatsanwalt die Beschlagnahme der genannten Daten an, um dem Beweismittelverlust durch einen befürchteten (Fern-)Zugriff des Beschuldigten zuvorzukommen. Er begründete das damit, dass der Beschuldigte vor Beendigung der Sicherung die Praxis verlassen habe. Bei Durchsuchungsbeginn habe der Beschuldigte erklärt, die gesuchten Daten lägen nur elektronisch vor und er habe auf sie von seinem Praxisrechner und vom Homeoffice aus Zugriff.

Das AG hat die Beschlagnahme der virtuellen Maschine bestätigt. Die Beschlagnahme sei verhältnismäßig und für die Ermittlungen notwendig.

Dagegen die Beschwerde, die Erfolg hatte. Die angegriffene Beschlagnahme war nahc Auffassung des LG unverhältnismäßig und damit rechtswidrig:

„b) Der Durchsicht außerhalb der Praxisräume standen Rechtsgründe nicht entgegen. Die Durchsicht großer Datenmengen, erst recht, wenn es sich um sensible Gesundheitsdaten handelt, unterliegt allerdings in strikter Weise dem Verhältnismäßigkeitsgrundsatz, was verfahrensrechtliche Sicherungen, einschließlich Löschungen nicht benötigter Daten beinhalten kann (vgl. BVerfG, Beschluss vom 12.04.2005 – 2 BvR 1027/02, juris 106 ff.; Park, NStZ 2023, 646, 647 ff.).

aa) Im ersten Schritt war es zulässig, dass die die Arztpraxis durchsuchenden Ermittler den kompletten Datenbestand von Medistar durch die Erzeugung einer virtuellen Maschine spiegelten und diese mitnahmen.

(1) Ist am Durchsuchungsort eine Durchsicht und Sortierung der Daten nach ihrer Verfahrensrelevanz nicht möglich oder erlaubt die – auch technische – Erfassbarkeit des Datenbestands eine unverzügliche Zuordnung nicht, kann die vorläufige Sicherstellung des gesamten Datenbestands erfolgen, an die sich die Durchsicht gemäß § 110 StPO zur Feststellung der potenziellen Beweiserheblichkeit und -verwertbarkeit der einzelnen Datensätze anschließt (BVerfG, Beschluss vom 15.08.2014 – 2 BvR 969/14, juris Rn. 44). Begrenzt wird ein solcher umfassender Zugriff durch das Übermaßverbot (BVerfG, Beschluss vom 12.04.2005 – 2 BvR 1027/02, juris 120).

Nach den technischen Gegebenheiten des vom Beschuldigten verwendeten Programms Medistar war vor Ort eine nach bestimmten allgemeinen Parametern vorzunehmende Sortierung und ein entsprechend umgrenzter Datenexport in angemessener Zeit nicht möglich. Die unvollständige Spiegelung von Programm und Patientendaten oder etwaige zu dem Zeitpunkt durchgeführten Löschungen hätten dazu geführt, dass die virtuelle Maschine nicht mehr lauffähig ist und daher später nicht gesichtet und ausgewertet werden kann. Insofern war die Erzeugung der virtuellen Maschine zur Durchführung der Ermittlungen erforderlich und geeignet.

(2) Nichts anderes folgt aus dem Hinweis der Beschwerde auf ein anderes Ermittlungsverfahren, in dem Krankenhausmitarbeiter zusammen mit den Ermittlern vor Ort die dortige Datenbank durchgegangen seien und potenziell beweisrelevante Datensätze per Screenshot gesichert haben sollen, sodass die anschließende Auswertung sich allein darauf bezogen habe. Wenn die tatsächlichen Umstände dieses der Kammer nicht bekannten Verfahrens das hergegeben haben, so mag das so sein. Wenn es aber – wie hier – wohl um mehrere Tausend Patienten-Datensätze geht, die einzeln gesichtet werden müssten, so hätte die Durchführung der vorgeschlagenen Prozedur die tage- oder wochenlange Lahmlegung der Arztpraxis zur Folge gehabt, weil Medistar während der Durchsicht zur Meidung von Datenmanipulationen dem Zugriff des Praxispersonals entzogen werden müsste. Die Kammer vermag darin kein milderes Mittel zu erkennen. Die Ermittlungspersonen müssten auch in diesem Fall, den technischen Möglichkeiten von Medistar folgend, alle Datensätze einzeln sichten. Zudem wäre die Binnenorganisation der Ermittlungsbehörden empfindlich gestört, denn die Sichtung vor Ort müsste – zwangsläufig – umgehend erfolgen, was die Ermittlungspersonen für deren Dauer entsprechend binden und sie damit an der Teilnahme an anderen, möglicherweise länger geplanten und koordinierten Ermittlungen hindern würde. Auch das ist im Blick zu behalten.

(3) Die Kammer vermag weiterhin dem Argument der Beschwerde nicht zu folgen, wonach § 500 StPO mit §§ 48, 46 Nr. 14 Buchstabe d BDSG der Sicherstellung der vollständigen Patientendatenbank entgegengestanden hätte. Diese Vorschriften des BDSG sind insoweit nicht anwendbar. Nur der (spätere) Umgang mit den durch strafprozessuale Ermittlungsmaßnahmen gewonnenen Daten richtet sich nach dem spezifischen Datenschutzrecht, das sich in Teil 3 des BDSG und in den speziellen Datenschutzregelungen der StPO findet. Die strafprozessualen Ermittlungsmaßnahmen – und um deren Beurteilung geht es hier – richten sich dagegen nach den Vorschriften der StPO und der hierzu ergangenen Rechtsprechung, weil ihnen als bereichsspezifischen Sonderregelungen der Vorrang gebührt (BGH, Beschluss vom 27.04.2023 – 5 StR 421/22, juris Rn. 4 m.w.N. auch zur a.A.; LR-StPO/Böß, 27. Aufl., § 500 Rn. 6 f.; Meyer-Goßner/Schmitt/Köhler, StPO, 67. Aufl., § 500 Rn. 2).

(4) Das Übermaßverbot wäre durch die Virtualisierung von Medistar allerdings dann verletzt, wenn der die Durchsuchung begründende Tatverdacht insgesamt als nicht hinreichend gewichtig zu werten wäre, um den erheblichen Eingriff zu rechtfertigen (vgl. BVerfG, Beschluss vom 18.06.2008 – 2 BvR 1111/08, juris Rn. 4; LR-StPO/Tsambikakis, 27. Aufl., § 110 Rn. 23). Das war aber nicht der Fall, denn die in der Strafanzeige der KVB vorgelegten Anlagen belegen eine Vielzahl von Unregelmäßigkeiten, die geeignet sind, den Verdacht umfänglichen Abrechnungsbetrugs durch den Beschuldigten zu tragen. Die Bekämpfung von systematischem Abrechnungsbetrug in dem auf Vertrauen basierenden Abrechnungssystem der gesetzlichen Krankenversicherung stellt bei dieser Abwägung einen gewichtigen, gegen den Beschuldigten streitenden Belang dar (vgl. BGH, Beschluss vom 14.04.1993 – 4 StR 144/93, juris Rn. 2 f.; Urteil vom 21.05.1992 – 4 StR 577/91, juris Rn. 34).

bb) Im zweiten Schritt wäre das Aussondern von möglicherweise verfahrensrelevanten Datensätzen im Wege der Sichtung angestanden. Hierbei hätten die Ermittlungsbehörden dem begrenzenden Zweck des im Durchsuchungsbeschluss formulierten Tatverdachtes Rechnung zu tragen gehabt, was einer gezielten Suche nach Zufallsfunden in der Masse der gespiegelten Daten von vornherein Schranken gesetzt haben würde (vgl. Park, NStZ 2023, 646, 651). Der danach verbleibende Bestand potenziell beweisrelevanter Datensätze wäre tauglicher Gegenstand einer anschließenden Beschlagnahme.

c) Eine Durchsicht und damit eine Sortierung nach verfahrensrelevanten und -irrelevanten Datensätzen hat vor der Beschlagnahme jedoch nicht stattgefunden. Beschlagnahmt und damit als potenziell beweisbedeutsam erklärt wurde der gesamte Datenbestand aus den Jahren 2007 bis Ende 2024, obwohl nur der Zeitraum von zwei Jahren (Quartal 3/2019 bis 3/2021) zur näheren Untersuchung ansteht. Dass das, auch angesichts der Sensibilität der fraglichen Daten, die Grenzen der Angemessenheit und damit der Verhältnismäßigkeit überschreitet, liegt auf der Hand (vgl. auch LR-StPO/Menges, 27. Aufl., § 94 Rn. 51 ff.). Der Beschlagnahmebeschluss war daher insgesamt aufzuheben. Eine Teilbarkeit in dem Sinne, dass die Beschlagnahme aufrechterhalten bleibt, soweit sie allein die Daten aus den genannten Quartalen betrifft, war nicht gegeben, denn mangels vorangehender Durchsicht und Sortierung wäre sie (derzeit und absehbar) technisch nicht umsetzbar.“