Alle großen Apothekenketten geben der Regierung ohne Durchsuchungsbefehl Zugriff auf medizinische Unterlagen
(techdirt.com)- Eine Untersuchung des Kongresses zeigt, dass große US-Apothekenketten sensible medizinische Unterlagen an Strafverfolgungsbehörden herausgeben, ohne dafür einen Durchsuchungsbefehl zu verlangen
- CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid und Amazon Pharmacy können Informationen, die die Nutzungshistorie verschreibungspflichtiger Medikamente und Gesundheitszustände enthalten können, bereits auf Basis einer Vorladung herausgeben
- CVS, Kroger und Rite Aid erklärten, dass sie Vorladungen von Regierungsstellen nicht einmal juristisch prüfen, was die Verfahren zur Bewertung der Rechtmäßigkeit solcher Anfragen besonders schwach macht
- HIPAA verhindert zwar unbefugte Offenlegungen gegenüber privaten Dritten, doch Anfragen von Strafverfolgungsbehörden können als Ausnahme required by law behandelt werden, wodurch eine Herausgabe ohne Durchsuchungsbefehl schwer zu verhindern ist
- Senator Ron Wyden sowie die Abgeordneten Pramila Jayapal und Sara Jacobs fordern, dass HHS die HIPAA-Regeln verschärft, damit Apotheken einen Durchsuchungsbefehl verlangen müssen
Durch die Third-Party Doctrine entstandene Grauzone bei medizinischen Unterlagen
- Der Schutz durch den 4. Zusatzartikel der US-Verfassung greift gegenüber der Third Party Doctrine oft nur schwach
- Informationen, die eine Person mit einem privaten Unternehmen geteilt hat, können von der Regierung in manchen Fällen ohne Durchsuchungsbefehl erlangt werden, unabhängig davon, ob die Weitergabe freiwillig erfolgte
- Deshalb gab es wiederholt Gesetzesinitiativen, um Standortdaten von Mobiltelefonen, die Apps sammeln, unter den Schutz des 4. Zusatzartikels zu stellen, sowie Debatten in Gerichten und im Kongress über eine Anpassung der Third-Party Doctrine
- Die Regierung versucht, möglichst viele Informationen ohne richterliche Prüfung zu erhalten, während private Unternehmen es aus Kostengründen für vorteilhafter halten können, staatlichen Anfragen nachzukommen, statt sie vor Gericht anzufechten
Praxis der großen Apothekenketten bei Herausgaben ohne Durchsuchungsbefehl
- Eine von Ars Technica behandelte Untersuchung des Kongresses bestätigte, dass große US-Einzelhandelsapotheken sensible medizinische Daten an die Regierung herausgegeben haben, ohne tatsächlich einen Durchsuchungsbefehl zu verlangen
- Gegenstand der Untersuchung waren die folgenden acht Apotheken
- CVS Health
- Walgreens Boots Alliance
- Cigna
- Optum Rx
- Walmart Stores, Inc.
- The Kroger Company
- Rite Aid Corporation
- Amazon Pharmacy
- Alle gaben an, keinen Durchsuchungsbefehl zu verlangen, wenn Strafverfolgungsbehörden Unterlagen anfordern, die die Nutzungshistorie verschreibungspflichtiger Medikamente oder Gesundheitszustände einer Person enthalten können
- Stattdessen geben sie Informationen bereits auf Basis einer Vorladung heraus, die von Regierungsstellen ausgestellt werden kann und keine Prüfung oder Genehmigung durch einen Richter erfordert
Unterschiede bei der juristischen Prüfung
- CVS, Kroger und Rite Aid erklärten dem Kongress, dass sie Vorladungen von Regierungsstellen nicht juristisch prüfen
- Diese Ketten scheinen Anfragen als gültig zu betrachten, sobald sie im Namen der Regierung gestellt werden
- Andere Apothekenketten beziehen bei der Bearbeitung von Datenanfragen zumindest Anwälte ein
Warum HIPAA kein ausreichender Schutzschild ist
- HIPAA ist ein Gesetz, das verhindern soll, dass medizinische Informationen ohne Einwilligung an nicht autorisierte private Dritte weitergegeben werden
- Anfragen von Strafverfolgungsbehörden werden meist als unter die Ausnahme required by law fallend behandelt
- Diese Ausnahme kann greifen, selbst wenn ein Anwalt des Apothekenunternehmens die Anfrage nicht geprüft hat oder wenn unklar ist, ob die Anforderung sensibler medizinischer Informationen tatsächlich gerechtfertigt ist
- Als Lösung wird genannt, dass HHS auch ohne Gesetzesänderung die HIPAA-Regeln ändern und den entsprechenden Daten eine Vermutung der Vertraulichkeit zuweisen könnte
Forderungen der Abgeordneten an HHS
- Senator Ron Wyden sowie die Abgeordneten Pramila Jayapal und Sara Jacobs schickten einen Brief an HHS-Minister Xavier Becerra und forderten eine Verschärfung der HIPAA-Regeln
- In dem Brief heißt es, Apotheken sollten einen Durchsuchungsbefehl verlangen müssen, und Strafverfolgungsbehörden sollten bei der Anforderung von Patientenakten allein per Vorladung eine gerichtliche Durchsetzung beantragen müssen
- Als Vergleich wird auch ein Fall zur E-Mail-Privatsphäre aus dem Jahr 2010 angeführt
- Nachdem ein Bundesberufungsgericht eine berechtigte Privatsphäreerwartung bei E-Mails anerkannt hatte, begannen große kostenlose E-Mail-Anbieter wie Google, Yahoo und Microsoft, vor der Herausgabe von E-Mails einen Durchsuchungsbefehl zu verlangen
- Die Abgeordneten hatten Becerra erstmals im Juli mitgeteilt, dass HHS nach der Dobbs-Entscheidung vom Juni 2022 stärkere Schutzmaßnahmen schaffen müsse, um zu verhindern, dass Personen wegen des Bezugs von Verhütungsprodukten strafrechtlich verfolgt werden
Transparenzversprechen und offene Fragen
- Einige Unternehmen versprechen mehr Transparenz bei der Zusammenarbeit mit der Regierung
- CVS, Walgreens und Kroger versprachen, regelmäßige Berichte zu Datenanfragen der Regierung zu veröffentlichen
- Amazon geht einen Schritt weiter, indem es Kunden informiert, wenn die Regierung Kundendaten anfordert
- Verschreibungsunterlagen sind nach Bundesrecht Informationen, die vor anderen Personen geschützt sind, sofern der Patient sie nicht ausdrücklich freigibt
- Offen bleibt das Problem, dass die Regierung die Verschreibungsunterlagen von Kunden nicht unter Verweis auf die Third-Party Doctrine wie ein offenes Buch behandeln sollte
- Veränderungen sind durch freiwillige Maßnahmen von Apotheken und Regierung oder durch gesetzgeberische Vorgaben möglich
1 Kommentare
Hacker-News-Kommentare
Ich habe in Ermittlungen, die ausschließlich Betäubungsmittel-Schmerzmittel betrafen, gearbeitet; betroffen war alles, bei dem verschreibungspflichtige Medikamente nicht für ihren eigentlichen legitimen medizinischen Zweck verwendet wurden.
Ärzte verkauften verschreibungspflichtige Medikamente teils für nichtmedizinische Zwecke, und medizinisches Personal stahl sie ebenfalls, aber der größte Anteil war Rezeptbetrug.
Dazu gehörten Fälle, in denen Arztrezepte gestohlen oder gefälscht wurden; wenn ein gesunder Mensch in seinen Zwanzigern 90 Tabletten Oxycodon 30 mg abholen wollte, war das normalerweise ein Rezept auf dem Niveau von „extreme Schmerzen und vermutlich im Sterben“, daher riefen Apotheke oder Arzt zur Bestätigung an.
Der Bundesstaat hatte bereits über das Prescription Monitoring Program alle Verschreibungsdaten, und Ärzte konnten eine Tabelle mit den in den letzten N Tagen unter ihrem Namen eingelösten Rezepten erhalten.
Wenn Dr. Adams sagte, dass er Bill nie etwas verschrieben habe, suchte man Bill nach ähnlichen verdächtigen Rezepten auf Namen wie Charles oder Daniels heraus; diese Ärzte bestätigten dann ebenfalls, dass die Person keine Patientin bzw. kein Patient von ihnen war, und so ließ sich mehr zu gefälschten Rezepten nachverfolgen.
Missbrauchspotenzial gab es, aber man konnte nicht einfach rechtmäßig in eine Apotheke gehen und beliebige Unterlagen verlangen oder im PMP nach irgendeinem Namen suchen; üblicherweise meldete ein Arzt oder Apotheker einen Verdacht, dann wurden die staatlichen Aufzeichnungen geprüft, der Arzt um Verifizierung gebeten und Papierbelege gesichert, von denen man bereits wusste, dass sie falsch waren.
Ein paar Mal ging eine Warnlampe an und ich rief den Arzt an, nur damit dieser sagte, es sei ein „legitimes Rezept“, und damit war die Sache erledigt; man musste nicht wissen, warum die Patientin oder der Patient narkotische Medikamente nahm, sondern nur, ob es Betrug war oder nicht.
Nach dem Recht des Bundesstaats hatte ich das Recht, Apothekenunterlagen wie Rezepte und Abholprotokolle ohne Durchsuchungsbeschluss anzufordern, und die meisten Apotheker gaben sie sofort heraus; einige wollten prüfen, ob das gegen HIPAA verstößt und ob es legal ist.
Allerdings gab es auch Fälle, in denen Mitarbeitende schon anfingen, mir Unterlagen auszuhändigen, bevor ich mich überhaupt ausgewiesen hatte, was beunruhigend war.
Kurz gesagt: Ohne konkreten und echten Verdacht auf eine Straftat wahllos in die medizinischen Unterlagen einer Person zu schauen, ist hochgradig illegal, und wenn es einen Grund gab, die Unterlagen anzusehen, dann deshalb, weil jemand aus dem Gesundheitswesen etwas Verdächtiges gemeldet hatte.
Dass Strafverfolgungsbehörden häufig gegen das Gesetz verstoßen, ist gut dokumentiert, und das scheint eher zu zeigen, wie normalisiert die Aushöhlung des 4. Verfassungszusatzes und von Verfahren zum Schutz der Privatsphäre von Patientinnen und Patienten geworden ist.
Es gibt den Vorschlag, diese Struktur zu ändern und einen Durchsuchungsbeschluss zu verlangen; selbst wenn eine bestimmte Behörde sorgfältig gehandelt hat, gibt es in den USA rund 18.000 Strafverfolgungsbehörden, und nicht wenige davon haben eine lange Geschichte übermäßiger und unangemessener Zugriffe auf Unterlagen.
Wenn auf private und vertrauliche Informationen zugegriffen wird, ist ein Durchsuchungsbeschluss mit richterlicher Aufsicht ein vernünftiger Standard.
Falls das so ist, scheint der Spielraum für Missbrauch viel zu groß zu sein.
Bei kommerziellen Datenbanken wie LexisNexis hieß es im Grunde nur, man solle kostenpflichtige Abfragen nicht verschwenden; bei staatlichen Systemen wie Abfragen von Vorstrafenregistern wurde hingegen stark vermittelt, dass eine Abfrage ohne legitimen rechtlichen Grund illegal ist, und wir sollten jeden Grund für jede Abfrage dokumentieren.
In den Schulungsunterlagen war auch ein Artikel über einen ehemaligen Polizisten enthalten, der wegen missbräuchlicher Nutzung einer Vorstrafendatenbank im Gefängnis landete, und bei einer jährlichen Prüfung musste man für einige Abfragen die Rechtfertigung erklären.
Jedes System ist fehleranfällig und kann von böswilligen Akteuren missbraucht werden und ist Gegenstand einer Kosten-Nutzen-Abwägung, aber ich halte die Struktur selbst, unter angemessenen Umständen sowie mit passenden Gesetzen und Checks and Balances, für legitim, nach der Strafverfolgungsbehörden auf sensible und nicht öffentliche Informationen zugreifen können.
Als ehemaliger Bundesbeamter in der Strafverfolgung habe ich vor langer Zeit schon einmal ohne Durchsuchungsbefehl auf Krankenakten zugegriffen
Ich kann nicht für alle Behörden sprechen, aber einiges von dem, was ich Anfang der 2000er ein paar Mal getan habe, hätten die meisten Leute auf HN wahrscheinlich ebenfalls für vernünftig gehalten
Ich war Offizier der Coast Guard und hatte Befugnisse zur Strafverfolgung sowohl nach dem Recht der öffentlichen Sicherheit als auch nach dem Strafrecht
Wenn sich auf Bundeswasserstraßen ein schwerer Unfall ereignete, bestand meine Aufgabe zunächst darin, die Gefährdung der öffentlichen Sicherheit zu untersuchen, und dazu gehörte die Befugnis, Vorladungen auszustellen
Das war eher vergleichbar mit dem, was NTSB oder FAA nach einem Unfall tun, und wenn ein Transportunternehmen Dinge tut, die dazu führen könnten, dass ein mit Xylol voll beladener Lastkahn in ein Sumpfgebiet neben einer Grundschule ausläuft, dann hat der Staat ein hinreichendes öffentliches Interesse daran, die Gefahr für die Allgemeinheit zu verstehen, sodass der 4. Verfassungszusatz dabei kein Hindernis sein sollte
Wenn sich die Untersuchung zur öffentlichen Sicherheit jedoch von der „Ermittlung einer öffentlichen Gefahr“ hin zu möglicher individueller strafrechtlicher Verantwortlichkeit verlagerte, musste man die betroffene Person darüber informieren, dass dies nun eine strafrechtliche Ermittlung war, und ab diesem Punkt galten der 4. Verfassungszusatz und das Erfordernis eines Durchsuchungsbefehls wieder
In der Praxis kam es tatsächlich ein paar Mal vor, dass jemand, der in den Unfall verwickelt war, sagte: „Das lag daran, dass ich meine Medikamente nicht genommen habe, nicht daran, dass ich betrunken war“, und dadurch die Untersuchung vor Ort verzögerte, oder dass angeblich ein verletzter Matrose im Krankenhaus sei
Dann musste ich ins Krankenhaus gehen, um eine Aussage aufzunehmen und das Ausmaß der Verletzungen zu prüfen; schwere Verletzungen erhöhten das Niveau der Untersuchung und die erforderlichen Ressourcen, und ich musste feststellen, ob der Matrose tatsächlich gesehen hatte, was geschehen war
Mehrfach haben Unternehmen auch vorgeschoben, jemand sei im Krankenhaus oder beim Arzt, um die Aufklärung ihrer eigenen Fehler zu verzögern, und in diesem Kontext erschien es mir völlig vernünftig, im Krankenhaus anzurufen und zu fragen: „Wurde vergangene Nacht jemand mit diesem Namen aufgenommen?“
Trotzdem fällt es schwer zu glauben, dass solche Befugnisse nicht häufig missbraucht werden, und auch wenn der Großteil der Strafverfolgungsbehörden wohl einfach nur seine Arbeit machen will, ist ein gesundes Misstrauen weiterhin angebracht
Die Third-Party Doctrine ist zu weit ausgedehnt worden, und es gibt viele Situationen, in denen Menschen Informationen mit Dritten teilen und dennoch ein Recht auf Privatheit in Bezug auf diese Informationen erwarten dürfen und sollten
Zu behaupten, HIPAA vermittle keine berechtigte Privatsphäreerwartung für Informationen, die mit Ärzt:innen oder Apotheker:innen geteilt werden, ist absurd; und selbst wenn das Gesetz ausdrücklich Ausnahmen für Strafverfolgungsbehörden vorsieht, ist eine berechtigte Privatsphäreerwartung ein verfassungsmäßiges Recht, sodass solche Ausnahmen als verfassungswidrig angesehen werden sollten
Wenn es sich nach privatem Datenschutzrecht um Informationen handelt, die ein Unternehmen schützen muss, dann sollte man sie generell von der Third-Party Doctrine ausnehmen und die Datenschutzgesetze so erweitern, dass ein Durchsuchungsbefehl erforderlich ist
Etwas wird nicht dadurch gerechtfertigt, dass es die Arbeit einfacher macht; verfassungsmäßige Rechte, Datenschutzgesetze und Rechtsprechung existieren, um polizeiliche Befugnisse zu begrenzen
Natürlich ist es einfacher, wenn die Polizei überhaupt keinen Durchsuchungsbefehl braucht, aber das ist kein tragfähiges Argument dafür, den Richtervorbehalt zu umgehen
Ebenso gilt: Nur weil es häufig vorkommt, dass Strafverfolgungsbeamte Zeug:innen in Interaktionen ohne Miranda-Hinweis hineinmanövrieren oder Aufforderungen ignorieren, um selbstbelastende Aussagen zu erhalten, ist das weder rechtlich noch ethisch gerechtfertigt
Auch die Annahme, „die meisten Strafverfolgungsbeamten wollen einfach nur ihre Arbeit machen“, ist angesichts der umfangreichen Belege für strukturellen Missbrauch polizeilicher Macht fragwürdig; und selbst wenn das so wäre, wäre es noch immer keine Verteidigung dafür, ausdrücklich vorgesehene staatliche Beschränkungen zu umgehen
Strafverfolgungsbehörden müssen die Verfassung einhalten, und das bedeutet, die Kontrolle durch die Einholung eines Durchsuchungsbefehls in Kauf zu nehmen
Wenn die Gründe wirklich überzeugend sind, sollte es kein Problem sein, eine Richterin, einen Richter oder eine Magistratsperson davon zu überzeugen
Angesichts der veränderten Rechtslage bei Abtreibung und Transrechten ist die Sorge berechtigt, dass ein eifriger Staatsanwalt in irgendeinem Bundesstaat Unterlagen zu Abtreibungsmedikamenten oder Pubertätsblockern vorladen könnte, um Menschen zu schikanieren oder anzuklagen
Es erscheint auch denkbar, dass ein Staatsanwalt eine Liste aller Personen verlangt, denen derzeit Pubertätsblocker verschrieben werden, und im ganzen Bundesstaat gegen jede einzelne Familie Verfahren des Jugendamts eröffnet
Letzte Woche gab es ebenfalls einen großen Thread
https://news.ycombinator.com/item?id=38719918
Vorletzte Woche auch
https://news.ycombinator.com/item?id=38615841
Pharmacies share medical data with police without a warrant, inquiry finds - https://news.ycombinator.com/item?id=38615841 - Dezember 2023, 46 Kommentare
Der Artikel von TechDirt stammt aus diesem Dokument des Finanzausschusses des Senats: https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...
Ich wünschte, jemand würde erklären, wem das außer Wiederverkäufern verschreibungspflichtiger Medikamente eigentlich schadet
Wahrscheinlich könnte man diese Informationen auch noch auf drei andere Arten bekommen
Der Staat kann Rechte verletzen, solange er nur über einen Dritten geht
Die Konsolidierung der Gesundheitsbranche war eine der schlimmsten Veränderungen, die ich in meinem Leben gesehen habe
Ich frage mich, was der Endzustand von all dem sein wird
Nur dass dieser Einheitsversicherer gewinnorientiert sein wird
Fairerweise liegt ein Teil der Konsolidierung auch daran, dass die Kosten des Geschäftsbetriebs so stark gestiegen sind, dass Ärzt:innen und Apotheker:innen nicht mehr unabhängig arbeiten können
Enorme Studienschulden, IT-Dienstleistungen und Compliance-Anforderungen sowie völlig absurde Immobilienkosten überall kommen noch dazu
Dieses Land scheint sich auf ein cyberpunkartiges Ende zuzubewegen, in dem Unternehmen Menschen besitzen