Die FTC nutzt ihre Befugnisse im Bereich „unlautere Praktiken“, um gegen Verstöße gegen den Schutz personenbezogener Gesundheitsdaten vorzugehen.

Als ob HIPAA nicht schon genug wäre...

Die Federal Trade Commission (FTC) leitet ein Verwaltungsverfahren gegen ein kleines medizinisches Labor ein, bei dem es zu zwei Datenschutzverletzungen kam, wodurch die geschützten Gesundheitsdaten seiner Patienten in die Hände von Identitätsdieben gelangten. Die Fakten dieses Falls sind unauffällig: Eine kleine Einrichtung erlitt eine Datenschutzverletzung und muss nun mit administrativen Konsequenzen rechnen. Das Besondere an diesem Fall ist vielmehr die Art der administrativen Konsequenzen, mit denen die Einrichtung konfrontiert ist. Weit davon entfernt, einer HIPAA-Untersuchung durch das Büro für Bürgerrechte des HHS ausgesetzt zu sein, sieht sich die Einrichtung stattdessen mit Anklagen der Federal Trade Commission konfrontiert, weil sie gegen ein 100 Jahre altes Verbraucherschutz- und Kartellgesetz verstoßen hat, das „unfaire oder irreführende Handlungen oder Praktiken im Handel oder mit Auswirkungen auf den Handel” verbietet.

Die Maßnahme der FTC ist eine erschreckende Erinnerung daran, dass Unternehmen, die mit PHI umgehen, nicht nur dem HIPAA unterliegen, sondern noch weiteren Gesetzen.

Sachverhalt

LabMD ist ein unabhängiges medizinisches Labor mit Sitz in Atlanta, das sich (bis zu seiner kürzlichen Schließung) auf Krebsdiagnostik spezialisiert hatte. Den in diesem Fall eingereichten Unterlagen zufolge wurde LabMD im Jahr 2008 darüber informiert, dass eine Kopie seiner Versicherungsakten – die detaillierte private Informationen über Tausende seiner Patienten enthielten – von einem unbefugten Dritten abgerufen worden war. Aufgrund einer anschließenden Untersuchung erfuhr LabMD, dass es sich bei dem Dritten um ein Cybersicherheitsunternehmen handelte, das eine von der Bundesregierung finanzierte Forschung zur Informationssicherheit im Gesundheitswesen unterstützte. LabMD erfuhr außerdem, dass dieser Dritte über eine Peer-to-Peer-Filesharing-Anwendung, die ein Mitarbeiter auf seinen Computer heruntergeladen hatte, auf die Versicherungsakte zugegriffen hatte. Als LabMD davon erfuhr, entfernte es umgehend die Filesharing-Software.

Vier Jahre später verhaftete die Polizei von Sacramento auf der anderen Seite des Landes eine Gruppe von Identitätsdieben und fand in deren Besitz Kopien verschiedener „Tagesberichte“ von LabMD, die Namen und Sozialversicherungsnummern von mehreren hundert Patienten enthielten. Bis heute ist unklar, wie diese Identitätsdiebe in den Besitz dieser Dokumente gelangt sind.

Stand des Rechtsstreits

Aufgrund der Versäumnisse von LabMD beim Schutz von Patientendaten erhob die FTC Verwaltungsanklagen wegen Verstoßes gegen Abschnitt 5 des FTC Act, der in dem relevanten Teil „unfaire oder irreführende Handlungen oder Praktiken im Handel oder mit Auswirkungen auf den Handel” verbietet. Wie dieser Korrespondent an anderer Stelle geschrieben hat, nutzt die FTC zunehmend ihre weitreichenden Befugnisse gemäß Abschnitt 5, um gegen Unternehmen vorzugehen, die Datenverstöße begangen haben, wenn auch unter sich wandelnden Rechtstheorien und ohne klare regulatorische Befugnis dazu.

Da unklar ist, wie die kalifornischen Identitätsdiebe an Kopien der LabMD-Tagesberichte gelangt sind, geht die FTC offenbar davon aus, dass es „unfair” von LabMD war, einem eigensinnigen Mitarbeiter zu erlauben, eine Peer-to-Peer-Filesharing-Anwendung auf einen Computer herunterzuladen, auf dem sich PHI befanden.

LabMD bekämpfte die FTC an zwei Fronten. LabMD reichte eine Klage beim Bundesbezirksgericht ein, um die Verwaltungsmaßnahme der FTC als außerhalb der Regulierungsbefugnis der FTC liegend zu untersagen. Und auf administrativer Ebene beantragte LabMD eine summarische Entscheidung gemäß den FTC-Vorschriften – ein Verfahren, das dem Antrag auf ein summarisches Urteil vor Gericht sehr ähnlich ist.

Zumindest vorläufig scheinen beide Bemühungen gescheitert zu sein. Am 12. Mai 2014 entschied das Bezirksgericht, dass die Klage der FTC erst dann gerichtlich überprüft werden kann, wenn die Kommission eine endgültige behördliche Entscheidung getroffen hat. Eine Woche später lehnte es der Elfte Bundesberufungsgerichtshof in einem einzeiligen Beschluss ab, seine Notfallbefugnisse zu nutzen, um diese Entscheidung zu kippen. Am selben Tag lehnte die FTC einstimmig den Antrag von LabMD ab, das Verfahren aufgrund der Sachlage zu beenden. Die Entscheidung bedeutet, dass der Fall nun vor einem Verwaltungsrichter verhandelt wird.

Die Entscheidung der FTC ist insofern bemerkenswert, als die Kommission das Argument zurückgewiesen hat, dass sie nur Datenverstöße anfechten kann, die gegen HIPAA verstoßen; vielmehr hat die Kommission festgestellt, dass ihre Befugnisse gemäß Abschnitt 5 völlig unabhängig von den Anforderungen von HIPAA sind. Nach Ansicht der Kommission hängt die Haftung von LabMD von einer reinen Frage gemäß Abschnitt 5 ab: ob seine „Datensicherheitspraktiken angemessen waren und ob sie den Verbrauchern einen erheblichen Schaden zugefügt haben oder zufügen konnten, der [für die Verbraucher] unvermeidbar und durch ausgleichende Vorteile nicht gerechtfertigt war“.

Mitbringsel

Die Entscheidung der FTC ist nicht überraschend, obwohl Anhänger der FTC überrascht sein werden, dass sie von Kommissar Wright verfasst wurde, der ein ausgesprochener Kritiker der weitreichenden Anwendung der Befugnisse gemäß Abschnitt 5 „Unfairness“ ist. Vor allem aber erinnert die Entscheidung auf unwillkommene Weise daran, dass die OCR nicht die einzige Regulierungsbehörde und HIPAA nicht das einzige Datenschutzgesetz ist, das betroffene Unternehmen und Geschäftspartner beachten müssen.

Die vielleicht beängstigendste Auswirkung der Maßnahme der FTC ist, dass die Verjährungsfrist für Verstöße gegen das HIPAA-Gesetz nun wohl länger geworden ist. Gemäß 45 C.F.R. § 160.522 gilt für HIPAA-Durchsetzungsmaßnahmen eine Verjährungsfrist von sechs Jahren. Abschnitt 5 des FTC Act enthält jedoch keine ausdrückliche Verjährungsbestimmung, und (obwohl dies noch lange nicht geklärt ist) haben zumindest einige Kommentatoren offen die Frage aufgeworfen, ob die FTC überhaupt eine Verjährungsfrist für Fälle nach Abschnitt 5 hat.

Allerdings sollte man bedenken, dass die Polizeibefugnisse der FTC begrenzt sind. Wie ein Gericht erst letzten Monat in einer Entscheidung zur Durchsetzung der Datensicherheit durch die FTC feststellte, „gibt diese Entscheidung der FTC keinen Freibrief, gegen jedes Unternehmen, das gehackt wurde, Klage zu erheben“. Neben anderen Einschränkungen scheint es, dass die FTC nur gegen Datenpraktiken vorgehen wird, die sie als unangemessen lax erachtet. Daher sollte zumindest zum jetzigen Zeitpunkt die Einhaltung der physischen, technischen und administrativen Sicherheitsvorkehrungen, die in den Sicherheitsvorschriften des HIPAA festgelegt sind, ausreichen, um zu verhindern, dass die FTC an Ihre Tür klopft.