Drucken über VPN auf Drucker im Heimnetz

[rgo83]

Hallo,

leider geht mir auch nach vielem Grübeln und Recherchen kein Licht auf, wie ich folgendes Problem lösen kann (ich muss jedoch gleich zugeben, dass ich kaum Erfahrung im Bereich VPN habe):

Ein Kunde möchte sich von zu Hause aus über VPN auf seinen PC in der Arztpraxis einwählen. Dort eingeloggt möchte er von der dortigen Praxissoftware (TurboMed) z. B. Rezepte usw. ausdrucken - diese sollen jedoch auf seinem Drucker zu Hause ausgedruckt werden. Dieser Drucker ist ein Netzwerkdrucker und befindet sich im selben (Heim-)Netzwerk wie der PC, von dem aus sich der Kunde über VPN in die Praxis wählen wird.

Gibt es irgendwo im Netz noch von mir unentdeckte Anleitungen zu dem Thema oder "opfert" sich jemand mir hier ein paar Gedankenanstöße zu geben?

Danke schonmal für euere Mühe.

[127.0.0.1]

der kunde benötigt ein site-to-site-vpn.

z.b. jeweils eine fritzbox in der praxis und eine zu hause.

das andere konzept bei vpn heißt end-to-site. damit lässt sich dieses szenario nicht abbilden.

du kannst beide begriffe mal durch die google-bildersuche schicken. dann wird dir der unterschied klar

[afo]

Wenn er sich per RDP verbindet, den clientdrucker in mstsc.exe "freigibt" und auf dem Remoterechner der passende Treiber installiert ist müßte das gehen. Leider kommt es hierbei oft zu Problemen mit Treibern...

[127.0.0.1]

Ein Arzt hat mit seiner Schweigepflicht eine ganz besondere Rechtsstellung. Diese muss sich auch in der Umsetztung der IT widerspiegeln. Das RDP gilt als nicht besonders sicher. Und da hier sensibele Patientendaten über das Internet gesendet werden muss man schon besonders vorsichtig sein.

[afo]

Ein Arzt hat mit seiner Schweigepflicht eine ganz besondere Rechtsstellung. Diese muss sich auch in der Umsetztung der IT widerspiegeln. Das RDP gilt als nicht besonders sicher. Und da hier sensibele Patientendaten über das Internet gesendet werden muss man schon besonders vorsichtig sein.

Wie soll er sich dann auf den Praxis-PC einloggen? Glaubst du irgendeine VNC-Software ist wesentlich sicherer?

[bLinDy*]

Wie soll er sich dann auf den Praxis-PC einloggen? Glaubst du irgendeine VNC-Software ist wesentlich sicherer?

hallo afo. was 127.0.0.1 damit sicher sagen will ist das RDP traffic grundsätzlich unverschlüsselt übers netz geht. das ist für einen arzt undenkbar. sicherlich kann du RDP oder VNC verwenden, wenn du vorher einen tunnel zwischen dem haus und der praxis des arztes aufgebaut hast.

[afo]

hallo afo. was 127.0.0.1 damit sicher sagen will ist das RDP traffic grundsätzlich unverschlüsselt übers netz geht. das ist für einen arzt undenkbar. sicherlich kann du RDP oder VNC verwenden, wenn du vorher einen tunnel zwischen dem haus und der praxis des arztes aufgebaut hast.

Was du schreibst ergibt keinen Sinn.

1. ist RDP meines Wissens seit Version 6 oder so verschlüsselt.

2. spielt das keine Rolle, weil der Op doch schreibt, dass er ein VPN hat.

[bLinDy*]

entspann dich doch mal. keiner versucht dir hier ans bein zu ****en.

wenn die fragestellung richtig interpretiere ist die VPN lösung noch nicht implementiert. was die verschlüsselung angeht muss ich dir recht geben, das habe ich gerade auf wiki nachgelesen.

[rgo83]

Euch allen erstmal vielen Dank für die Antworten. Die Begriffe helfen mir schoneinmal ein ganzes Stück weiter, damit ich den Rest für die Umsetzung recherchieren kann.

Eine Frage hätte ich jedoch noch ...

Man müsste ja auf beiden Seiten einiges ändern (Router austauschen) / einrichten (VPN-Tunnel, Dyn-DNS(?) etc.). Was haltet ihr, gerade in Bezug auf Sicherheit, vom "Fertigprodukt" LogMeIn?

LogMeIn stellt sich selbst in Punkte Sicherheit ja sehr gut dar (Link: https://secure.logmein.com/DE/products/pro/security.aspx) allerdings würden mich euere objektiven Meinungen dazu interessieren (?).

[afo]

Probier doch erstmal ob meine Lösung mit der vorhandenen VPN-Einwahl funktioniert. Kann aber sein, dass das ein Terminal-Server-Feature ist und wenn man sich auf einen Client verbindet nicht zur Verfügung steht.

[127.0.0.1]

Im Hinblich auf §203 StGB würde ich von jeder Lösung abraten, die über die Server einer Drittfirma läuft. Wo stehen den diese Server? Welches Recht gilt dort? Was kann der dortige Admin (und die Azubis) an sensiblen Daten sehen?

die kosten sind überschaubar. viel gewartet werden muss da auch nicht. lediglich die erste einrichtung benötigt etwas an zeit. aber nur so hast du die volle kontrolle über das system.

Man müsste ja auf beiden Seiten einiges ändern (Router austauschen) / einrichten (VPN-Tunnel, Dyn-DNS(?) etc.).

Du solltest mit deinem Kunden über diese Problematik reden und vorschlagen, die Expertiese eines Anwaltes einzuholen. Evtl hat der Arzt auch über seine Berufsvereinigung Zugang zu diesem Spezialwissen. wenn er sagt, dass es ihm egal ist und er auch mit "linkmeIn" zufrieden ist, dann würde ich das im abnahmeprotokoll auch genau so vermerken, damit der arzt nicht später auf mich zurück kommt, wenn er in regress genommen wird und mir eine haftungsklage wegen falschberatung ans bein binden möchte.

Die technische Realisierung ist die eine Sache, der rechtliche Rahmen der andere.

Bearbeitet 8. Mai 2012 von 127.0.0.1

[Guybrush Threepwood]

Wie wärs wenn er einfach mal den Anbieter seiner Software fragt wie man das am besten, sichersten und gesetzes konformsten Realisieren könnte anstatt da selber irgendwas zusammenzufrickeln?

[DerMarcus]

Oder du wirfst einen Blick ins Bundesdatenschutzgesetz. Da sind auch ensprechende Verweise auf besondere Geheimhaltungspflichten für Ärzte, Anwälte, etc. enthalten.

Vom Prinzip her geht es dabei aber weniger um die technische Umsetzung, als die Frage, wer auf welche Daten zugreifen darf.

Wenn der Arzt einen VPN-Tunnel auf den Praxisserver aufbaut und dann etwas zu Hause ausdrucken will, ist die rechtliche Frage zunächst, ob er das darf. Wie du das nun technisch realisierst ist prinzipiell erstmal egal. Das BDSG sieht in solchen Fällen in der Regel "den Stand der Technik" vor. Das mag bei einer W-Lan Verschlüsselung beispielsweise noch WPA sein, WEP aber nicht. Ein IPSec-VPN-Tunnel wäre zB schon okay. Damit bist du raus.

Wie der Arzt mit seinen Patientendaten verfährt ist nicht dein Bereich. Solange du eine Lösung auf dem aktuellen Stand der Technik bietest, hast du alles getan, was du konntest und musstest.

Dennoch solltest du vorsichtig sein, wenn du deinem Kunden empfiehlst, einen Service zu nutzen, bei dem die Daten über fremde Server gehen. Du verlierst halt Kontrolle und das kann problematisch sein. (Da lohnt ein Blick ist TKG und TMG).

Und kleiner Tipp: Die Pros schauen nicht ins StGB. Da steht nur drin, was passiert, wenn schon ein Verstoß vorliegt. Da stehen keine Definitionen darüber drin, was eingehalten werden muss.

[127.0.0.1]

Wenn der Arzt einen VPN-Tunnel auf den Praxisserver aufbaut und dann etwas zu Hause ausdrucken will, ist die rechtliche Frage zunächst, ob er das darf.

Hä? Warum soll er das nicht dürfen sollen? Der Arzt darf seinen Patienten fragen, wo er Schmerzen hat und er darf diese Daten speichern. Aber er darf nicht auf diese gespeicherten Daten zugreifen? Achso, in seiner Praxis darf er und von zuhause über VPN darf er nicht?

dieser einwurf ist völliger käse....

Und kleiner Tipp: Die Pros schauen nicht ins StGB. Da steht nur drin, was passiert, wenn schon ein Verstoß vorliegt. Da stehen keine Definitionen darüber drin, was eingehalten werden muss.

also so einen blödsinn liest man ja selten.... wie kommst du denn bitte auf so etwas? hast du jemals ins stgb reingeschaut?

btw: wo schaut der profi denn nach?

[afo]

btw: wo schaut der profi denn nach?

Im MüKo.

[127.0.0.1]

Im MüKo.

und ich dachte schon hier...

[DerMarcus]

Hä? Warum soll er das nicht dürfen sollen? Der Arzt darf seinen Patienten fragen, wo er Schmerzen hat und er darf diese Daten speichern. Aber er darf nicht auf diese gespeicherten Daten zugreifen? Achso, in seiner Praxis darf er und von zuhause über VPN darf er nicht?

Bei Berufen mit besonderen Datenschutzbestimmungen kann es sein, dass die Nutzung der Daten insofern eingeschränkt ist, dass er sich keine Kopien zu Hause anfertigen darf, ja. Ich habe das nicht konkret für den Arzt geprüft, weil es nur darum ging, auf die Problematik hinzuweisen. Kannst ja mal nachgucken.

also so einen blödsinn liest man ja selten.... wie kommst du denn bitte auf so etwas? hast du jemals ins stgb reingeschaut?

btw: wo schaut der profi denn nach?

Ja, hab ich. Das ist in diesem Fall aber nicht notwendig, es sei denn, du willst erfahren, wie ein Verstoß gegen bestimmte Regelungen gahandhabt/geahndet wird. du erfährst im StGB allerdings nichts darüber, wie dein Spielraum definiert ist. Im StGB findest du zwar den Straftatbestand. Aber woher willst du wissen, wann beispielsweise eine Datenschutzverletzung vorliegt? Das steht nicht im StGB. Das steht zum Beispiel im BDSG (oder einer der anderen DSG).

Im Zweifelsfall schaut der Profi erstmal nach, welche Gesetze denn überhaupt relevant sind. Dafür darf man auch gern Google benutzen, hauptsache, man landet beim korrekten Gesetz.

Edit:

Du Pfeife!

[127.0.0.1]

Edit:

Du Pfeife!

dieser kommentar spiegelt das niveau deiner ausführungen zum stgb wider. der "pro" hätte beispiele und quellen für seine behauptungen geliefert.....

[DerMarcus]

dieser kommentar spiegelt das niveau deiner ausführungen zum stgb wider. der "pro" hätte beispiele und quellen für seine behauptungen geliefert.....

Mir ist lediglich aufgefallen, dass das Posting zu viel Inhalt und zu wenig Polemik für ein Posting bei fi.de hatte.

Deshalb musste ich das als Edit nachreichen. Das nächste mal denke ich bestimmt vorher dran.

[127.0.0.1]

entschuldigung angenommen. :nett:

[DerMarcus]

entschuldigung angenommen. :nett:

Aber weißt du was, was solls. Du wolltest Beispiele:

Die Folgen der Datenschutzproblematik finden wir im StGB beispielsweise in den §§201ff.

Nehme wir mal $202a - Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Direkt am Anfang von Absatz 1 findest du das Problem, das ich beim StGB ansprochen haben. "Wer unbefugt sich oder einem anderen [...] Zugang zu Daten verschafft [...]". Wer unbefugt ist, geht aus dem StGB nicht hervor. Weil es nicht die Aufgabe des StGB ist, das zu definieren.

Ob du befugt bist, auf Daten zuzugreifen, kann von vielen Faktoren abhängen.

Nehmen wir mal das Arztbeispiel. Ein Arzt behandelt einen Patienten und hat die entsprechenden Daten über ihn aufgenommen.

§28 BDSG regelt die Datenerhebung und -speicherung für eigene Geschäftszwecke. Der Arzt benötigt Zugriff auf personenbezogener Daten besonderer Art (§3). Dass er die erheben darf, steht im Absatz 7 des §28.

(7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. [...]

Wenn er allerdings beispielsweise in seinem Aufnahmeformular die religiöse Ausrichtung aufnimmt, verstößt er gegen geltendes Datenschutzrecht, da es sich hierbei um personenbbezogene Daten besonderer Art handelt, die nicht für die Untersuchung notwendig sind.

Dann greift das StGB und regelt, wie mit dem Arzt verfahren werden soll. Vermutlich §202a, weil er sich unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt sind.

[afo]

Wenn er allerdings beispielsweise in seinem Aufnahmeformular die religiöse Ausrichtung aufnimmt, verstößt er gegen geltendes Datenschutzrecht, da es sich hierbei um personenbbezogene Daten besonderer Art handelt, die nicht für die Untersuchung notwendig sind.

Dann denk mal über die Haltung der Zeugen Jehovas zu Bluttransfusionen nach. Ich weiß nicht ob das korrekt ist, mir geht es aber darum zu zeigen, dass das vielleicht nicht so einfach ist wie du denkst.

Dann greift das StGB und regelt, wie mit dem Arzt verfahren werden soll. Vermutlich §202a, weil er sich unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt sind.

Äh, nein.

[DerMarcus]

Dann denk mal über die Haltung der Zeugen Jehovas zu Bluttransfusionen nach. Ich weiß nicht ob das korrekt ist, mir geht es aber darum zu zeigen, dass das vielleicht nicht so einfach ist wie du denkst.

Da hast du durchaus recht. Es ging mir auch lediglich darum, die Zuständigkeit des StGB aufzuzeigen.

Ich hab Recht nicht studiert, natürlich ist das nicht alles hieb- und stichfest. Aber das ist zumindest schonmal eine belegbare Grundlage.

Äh, nein.

Klar. Personenbezogene Daten dürfen nur mit einer entsprechenden Grundlage erhoben werden (z.B. mit Einwilligung des Betroffenen). Bei personenbezogener Daten besonderer Art ist das sogar noch schärfer geregelt.

Wenn der Arzt nun die Religion abfragen darf - gut. Gewerkschaftsmitgliedschaften gehören meines Wissens aber auch dazu. Das dürfte er z.B. nicht abfragen.

[127.0.0.1]

wenn der arzt gegen das bdsg verstößt, dann verstößt er gegen das bdsg und wird dementsprechend zur rechenschaft gezogen. geregelt in §43f. warum da das stgb "greifen" soll ist und bleibt ein rätsel. und dann noch $202a?! da steht doch -du hast ihn selbst zitiert- dass man sich zugang zu daten verschaffen muss, und diese daten müssen auch noch besonders gesichert sein. der paragraf kommt direkt nach dem § für das briefgeheimnis. der 202a tritt in kraft, wenn man eine patientenakte klaut oder eine datenbank hackt. solche "dicken" kaliber, nicht, wenn man im aufnahmebogen ungerechtfertigt nach der religion fragt.

wo du auch so munter die §§ des bdsg jongliert hast: hast du denn überhaupt geprüft, ob der privat praktizierende arzt überhaupt unter das bdsg fällt? oder ist mit dem in §28 genannten arzt vielleicht nur der amtsarzt oder bundeswehrarzt gemeint....?

ums vorweg zu nehmen - er ist eingeschlossen (§§1+2)

Wer unbefugt ist, geht aus dem StGB nicht hervor. Weil es nicht die Aufgabe des StGB ist, das zu definieren.

Ob du befugt bist, auf Daten zuzugreifen, kann von vielen Faktoren abhängen.

ja, vollkommen richtig. und wo ist das problem? wo ist die unklarheit?

der gesetzgeber sanktioniert, wenn sich jemand auf zugriff auf daten verschafft, die nicht für ihn bestimmt sind und dabei schutzmechanismen außer kraft setzt.

es liegt an den ermittlungsbehörden, dir nachzuweisen, dass du nicht befugt bist - genau so kannst du versuchen nachzuweisen, dass du befugt bist. wie du schon erwähnt hast. es kommt auf die umstände an.

wie soll den bitte eine allgemeine rechtsnorm aussehen, die alle möglichen fallkonstellationen benennt?

[DerMarcus]

wo du auch so munter die §§ des bdsg jongliert hast: hast du denn überhaupt geprüft, ob der privat praktizierende arzt überhaupt unter das bdsg fällt? oder ist mit dem in §28 genannten arzt vielleicht nur der amtsarzt oder bundeswehrarzt gemeint....?

Alle öffentlichen Stellen, Ämter und damit verbundene Stellen (z.B. Amtsärzte) fallen unter das LDSG, nicht das BDSG. Hätte ich von einem Amtsarzt gesprochen, hätte ich also da nachgesehen.

ja, vollkommen richtig. und wo ist das problem? wo ist die unklarheit?

der gesetzgeber sanktioniert, wenn sich jemand auf zugriff auf daten verschafft, die nicht für ihn bestimmt sind und dabei schutzmechanismen außer kraft setzt.

es liegt an den ermittlungsbehörden, dir nachzuweisen, dass du nicht befugt bist - genau so kannst du versuchen nachzuweisen, dass du befugt bist. wie du schon erwähnt hast. es kommt auf die umstände an.

Es geht nicht um mein Beispiel. Das haben Beispiele so an sich, dass sie nur etwas verdeutlichen sollen. Als ich klein war, dachte ich eine Zeitlang, der oft genutzt Ausdruck "zum Beispiel" hieße "zum Ballspiel". Ich weiß nicht, wann ich es mitbekommen habe, aber ich wurde auch nie korrigiert. Die Benutzung der Bezeichung "zum Ballspiel" machte für mich sogar einigen Sinn, da Beispiele oft einen Sachverhalt spielerisch beeschreiben. Jedenfalls erinnere ich mich daran, dass ich mich mit einem Schulfreund damals böse gestritten habe, wie es nun korrekt heißt. Wir haben es nie rausgefunden, aber wir reden heute nicht mehr miteinander. Er hatte recht, trotzdem ist er in einem Planschbecken ertrunken, als er behauptet hat, er könne mit selbst geschnittenen Kiemen atmen.

wie soll den bitte eine allgemeine rechtsnorm aussehen, die alle möglichen fallkonstellationen benennt?

Ich muss dich enttäuschen, aber die gibt es nicht in Deutschland.