Kategorie: Gesundheitsdatenschutz

E-Rezepte künftig auch mit elektronischer Gesundheitskarte (eGK) einlösbar – Wissenswertes rund um die eGK – Teil 2

16. September 2022

Letzte Woche ging es in Teil 1 um allgemeine Fragen über die eGK.
In Teil 2 geht es heute um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.

Wie werden die Daten auf der eGK geschützt?

Der Datenaustausch über die eGK findet über die sog. Telematikinfrastruktur (TI) statt. Für diese ist die gematik zuständig. In der TI werden die Gesundheitsdaten zu jedem Zeitpunkt verschlüsselt. Dadurch soll verhindert werden, dass Unbefugte die Daten lesen können. Ein Signaturverfahren schützt die Daten vor unberechtigter Veränderung und stellt die Urheberschaft der Daten sicher.

Zugriff auf die Daten der eGK hat nur ein gesetzlich festgelegter Personenkreis, z.B. (Zahn-)Ärztinnen und (Zahn-) Ärzte.

Möchten diese auf die gespeicherten Gesundheitsdaten des eGK zugreifen, erfolgt dies nach dem sog. „2-Schlüssel-System“. Die Versicherten müssen ihre Daten zunächst mit dem ersten „Schlüssel“ freischalten und dazu einen PIN eingeben. Dann müssen die Ärztinnen und Ärzte ihren zweiten „Schlüssel“ eingeben, dieser besteht aus ihren Heilberufsausweis und ebenfalls einer PIN.

Sollte der eGK einmal verloren gehen, muss dies der Krankenkasse gemeldet werden, damit der Versicherte eine neue eGK bekommt. Die auf dem Chip gespeicherten Daten sind durch ihre Verschlüsselung aber trotzdem vor unbefugten Zugriffen geschützt.

Wie kann man seine E-Rezepte zukünftig mit der eGK abholen?

Wenn man diese Funktion nutzen möchte, kann man zukünftig seine eGK in der Apotheke vorzeigen. Diese wird dann – wie in einer Arztpraxis- eingelesen. Dabei wird geprüft, ob die Karte auch nicht gesperrt und das Authentisierungszertifikat gültig ist. Ist dies gegeben, können die Versichertenstammdaten eingesehen werden. Auch offene Rezepte werden dann angezeigt, die in der Apotheke dann eingelöst werden können.

Für diese Verfahren soll die Eingabe einer PIN nicht erforderlich sein, damit auch Vertretungsfälle (Versicherter bittet z.B. Angehörigen, das Rezept einzulösen) möglich sind.

E-Rezepte künftig auch mit elektronischer Gesundheitskarte (eGK) einlösbar – Wissenswertes rund um die eGK – Teil 1

9. September 2022

Nachdem das neue, elektronische Rezept (auch E-Rezept) in den letzten Wochen aufgrund datenschutzrechtlicher Bedenken zum Übermittlungsvorgang bereits Gesprächsstoff war, gibt es dazu eine neue Ankündigung. So veröffentlichte die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte, Nationale Agentur für Digitale Medizin) eine Pressemitteilung, nach der Patientinnen und Patienten künftig auch mit ihrer elektronischen Gesundheitskarte (eGK) E-Rezepte für verschreibungspflichtige Arzneimittel einlösen können.

Wie die eGK eigentlich genau funktioniert und wie man damit seine E-Rezepte abholen soll, erläutern wir im Folgenden in einem zweiteiligen Beitrag.

In Teil 1 werden wir diese Woche zunächst allgemeines über die eGK erklären.

Was genau ist die eGK?

Die elektronische Gesundheitskarte gilt seit dem 01.01.2015 als Berechtigungsnachweis für gesetzlich Versicherte. Sie werden von den jeweiligen Krankenkassen an ihre Versicherten ausgeteilt. Sie dient als Ausweismöglichkeit in einer Arztpraxis oder einem Krankenhaus. Auf ihr können außerdem persönliche Daten gespeichert werden.

Welche Daten werden auf der eGK gespeichert?

Auf der Vorderseite der eGK selbst sind der Name des Versicherten und seine Versichertennummer, sowie ein Lichtbild abgedruckt.
In der Karte befindet sich ein Mikroprozessor-Chip. Auf diesem sind zunächst administrative Daten der Versicherten z.B. Name, Geburtsdatum, Anschrift und Angaben zur Krankenversicherung (Krankenversichertennummer und Versichertenstatus) gespeichert. Diese Daten werden auch Versichertenstammdatenmanagement (VSDM) genannt. Diese Daten auf dem Chip zu speichern ist Pflicht.

Auf Wunsch des Versicherten können zusätzlich Notfalldaten (NFDM) auf der eGK gespeichert werden. Dazu gehören z.B. Informationen zu Arzneimittelunverträglichkeiten, Allergien und chronischen Erkrankungen, sowie Kontaktdaten zu behandelnden Ärzten und zu Angehörigen.

Auch der elektronische Medikationsplan (eMP) und die elektronischen Patientenakte (ePA) können auch Wunsch der Versicherten genutzt werden.

Wie funktioniert die eGK?

Die eGK wird vor ärztlichen Behandlungen eingelesen, wobei die Praxen dann die auf dem Chip gespeicherten, administrativen Daten abrufen können. Bei Bedarf können die Praxen diese Daten aktualisieren. Dadurch wird geprüft, ob ein gültiges Versicherungsverhältnis besteht.

Neue Karten sind außerdem mit einer Near Field Communication (NFC) – Funktion versehen. Dadurch ist mit einem PIN ein kontaktloser Datenaustausch möglich.

Die Rückseite der eGK kann von den Krankenkassen als „Europäische Krankenversicherungskarte“ verwendet werden und macht somit eine unbürokratische Behandlung innerhalb Europas möglich.

In Teil 2 geht es dann nächste Woche um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.

Einführung des elektronischen Rezeptes in Schleswig-Holstein gestoppt

23. August 2022

Das elektronische Rezept, welches ab dem 01. September 2022 bundesweit eingeführt werden soll, wurde in Schleswig-Holstein aufgrund datenschutzrechtlicher Bedenken, gestoppt. 

Was ist das elektronische Rezept? 

Das elektronische Rezept (auch „E-Rezept“) ist ein Rezept, dass ausschließlich digital erstellt und signiert wird. Es soll laut Bundesgesundheitsministerium das Gesundheitswesen digitalisieren und Abläufe vereinfachen. Auch wer als Patient eine Videosprechstunde in Anspruch nimmt, soll sich danach den Weg in die Praxis für das Rezept-Abholen sparen können. Gleichzeitig soll das E-Rezept Behandlungen auch sicherer machen. Das E-Rezept soll auch weitere Anwendungen ermöglichen, z.B. eine Medikationserinnerung und einen Medikationsplan mit eingebautem Wechselwirkungscheck. Patienten können das Rezept über eine E-Rezepte-App verwalten und digital an die gewünschte Apotheke ihrer Wahl senden. Wer die App nicht nutzen möchte, kann sich die für die Einlösung des Rezeptes erforderlichen Zugangsdaten als Papierausdruck in der Arztpraxis aushändigen lassen. Das E-Rezept enthält einen Rezeptcode und ist ohne händische Unterschrift gültig (hier können Sie so einen Ausdruck sehen). Eingelöst werden können die E-Rezepte dann in jeder Apotheke oder Online-Apotheke. E-Rezepte sollen 100 Tagen nach der Einlösung automatisch gelöscht werden (weitere Fragen zur App werden hier beantwortet). 

Warum wurde es in Schleswig-Holstein gestoppt? 

In Schleswig-Holstein und Westfalen-Lippe wurden in einer Testphase Pilotprojekte des E-Rezeptes in ausgewählten Praxen und Krankenhäusern betrieben. Ab dem 01. September 2022 soll die „Rollout-phase“ beginnen und nach einem regional und zeitlich gestuften Verfahren nach und nach bundesweit das E-Rezept eingeführt werden.  

Nun hat sich die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) vorerst aus der Einführung des E-Rezeptes zurückgezogen. Grund dafür ist laut einer Pressemitteilung des Datenschutzbeauftragten Schleswig-Holstein (ULD), dass die KVSH vorgeschlagen hatte, die E-Rezepte per SMS oder E-Mail an Menschen ohne E-Rezepte-App zu versenden. Dies lehnte der ULD ab und verwies darauf, dass es sich bei dem E-Rezept um sensible Gesundheitsdaten handle. Diese per E-Mail zu versenden, stelle eine Übermittlung dieser Daten dar. Das Verfahren sei dafür zu unsicher. Die KVSH sieht durch diese Untersagung eine Alltagstauglichkeit des E-Rezeptes nicht mehr gegeben.  

Die Rezepte-App selbst wurde vom ULD nicht geprüft. Ob der Rückzug der KVSH einen Einfluss auf die Einführung des E-Rezeptes haben wird, bleibt abzuwarten.  

Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

Veröffentlichung von Gerichtsschriftsätzen:  Grund für außerordentliche Kündigung

2. Juni 2022

Das LAG Baden- Württemberg entschied am 25.03.2022 (Az. 7 Sa 63/21), dass eine außerordentliche Kündigung durch die unrechtmäßige Weitergabe besonderer Kategorien personenbezogener Daten begründet sein kann.

Der Sachverhalt

Hintergrund der außerordentlichen Kündigung war eine vom Kläger verschickte E-Mail, die personenbezogene Daten besonderer Kategorien enthielt. Konkret handelte es sich um Gesundheitsdaten. Diese sind personenbezogene Daten besonderer Kategorien i.S.d. Art. 9 Abs. 1 DSGVO.

Über einen Link in der E-Mail gelangte man auf Schriftsätze eines noch laufenden Verfahrens. Der Kläger wollte sich durch die Vorgehensweise gegen nicht gerechtfertigte Vorwürfe einer sexuellen Belästigung wehren. Zusätzlich forderte er dazu auf, die Schriftsätze weiter zu verbreiten und aus diesen ggf. zu zitieren.  

Die Entscheidung

Das LAG Baden- Württemberg entschied, dass der Kläger die namentlich in den Schriftsätzen genannte Person in ihren Persönlichkeitsrechten verletzte. Die Schriftsätze waren weder für die Allgemeinheit noch für eine betriebsinterne Veröffentlichung bestimmt. Alleiniger Zweck der Dokumente war die prozessuale Verwendung. Demnach handelte der Kläger bei Weiterleitung der Schriftsätze bewusst und gewollt.  

Außerdem stellte das Gericht die Rechtswidrigkeit der Verletzungshandlung fest. Aus Sicht des Gerichts könne sich der Kläger auf kein berechtigtes Interesse berufen. Das Gerichtsverfahren, aus welchem die Schriftsätze stammten, war noch nicht rechtskräftig abgeschlossen. Folglich waren die Entscheidungsgründe des Gerichts grundsätzlich unbekannt und etwaige Rechtsbehelfe gegen die noch ausstehende Entscheidung denkbar.

Der Kläger handelte darüber hinaus auch schuldhaft. Insbesondere könne er sich nicht auf einen möglichen Rechtsirrtum berufen. Er war Mitglied des Betriebsrates und des Personalausschusses. In dieser Funktion oblag ihm die Pflicht, an datenschutzrechtlichen Schulungen teilzunehmen. Demzufolge kannte der Kläger die datenschutzrechtlichen Vorschriften. Er sei geschult darin, rechtmäßig mit personenbezogenen Daten umzugehen, auch solche besonderer Kategorie.

Folglich konnte das Verhalten des Klägers, mit dem die betroffene Person in ihren Persönlichkeitsrechten verletzt wurde, seine außerordentliche Kündigung begründen.

Neuer europäischer Raum für Gesundheitsdaten

17. Mai 2022

Vor dem Hintergrund der COVID-19-Pandemie hat die Europäische Kommission Anfang des Monats den europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) auf den Weg gebracht. Dies geht aus einer Pressemitteilung der Kommission hervor.

Der EHDS soll dem Fortschritt der Gesundheitsversorgung der Menschen in Europa dienen und dabei einer der zentralen Bausteine einer starken europäischen Gesundheitsunion sein. Einer der Schwerpunkte des europäischen Raumes für Gesundheitsdaten soll, neben der Förderung eines Binnenmarktes für digitale Gesundheitsdienste und -produkte, die Nutzung und Kontrolle der Gesundheitsdaten durch die Betroffenen darstellen. Dabei soll diesen insbesondere der einfache Zugang zu den Daten in digitaler Form gewährt werden. Damit ist angedacht den Austausch zwischen Bürgerinnen und Bürgern und Angehörigen der Gesundheitsberufe und damit die europäische Gesundheitsversorgung zu fördern. Um dieses Ziel zu unterstützen, soll ebenfalls ein gemeinsames europäisches Datenformat erstellt werden sowie digitale Gesundheitsbehörden benannt werden, um die Wahrung der Rechte der Bürgerinnen und Bürger sicherzustellen.

Laut dem Vizepräsident der Europäischen Kommission, Margaritis Schinas, sei der EHDS ein „Neuanfang“ für die EU-Politik im Bereich der digitalen Gesundheit und werde die Gesundheitsdaten für die Bürgerinnen und Bürger sowie die Wissenschaft nutzbar machen. Die EU-Gesundheitskommissarin Stella Kyriakides betonte zudem, dass auf diese Daten unter Gewährleistung strikter Garantien für den Schutz der Privatsphäre und der Sicherheit zugegriffen werde.

Der von der Europäischen Kommission vorgelegte Vorschlag wird nun im Rat und im Europäischen Parlament erörtert.

Corona-Nachverfolgungsapp Luca löscht Nutzerdaten

4. Mai 2022

Die Entwickler der Luca-App haben nach eigenen Angaben sämtliche Daten, die seit dem Start der App erhoben und gespeichert wurden, von Ihren Servern gelöscht. Die Luca-App war zur Kontaktnachverfolgung in der Covid-Pandemie entwickelt worden. Sie speicherte Daten zwar verschlüsselt, wurde aber von Datenschützern immer wieder kritisiert.

Nach der Löschaktion der Entwickler seien die Daten jetzt nur noch lokal auf den jeweiligen Smartphones vorhanden, Luca selbst habe darauf keinen Zugriff mehr. Der Hamburger Datenschutzbeauftragte Thomas Fuchs hatte bereits empfohlen, bei der Deinstallation der Luca-App zuerst den eigenen Account zu löschen und dann die App selbst. Dadurch soll sichergestellt werden, dass auch alle Daten vollumfänglich gelöscht werden.

Die Luca-App selbst soll neu ausgerichtet und in Zukunft als Digitalisierungsservice und Bezahlanwendung für die Gastronomie verwendet werden können. Zukünftig soll sie ‚LucaPay‘ heißen.

Aus für Corona-Datenerfassung auch in Hamburg

28. April 2022

Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.

In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des „digitalen Frühjahrsputzes“ zu tun sei.

Corona-Daten von Mitarbeitern sollen spätestens jetzt gelöscht werden

21. April 2022

In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.

Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.

Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.

Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.

Großteil der EU-Onlineapotheken verstößt gegen die DSGVO

30. März 2022

Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.

Hintergrund

„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).

Ergebnis der Marktanalyse

„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.

So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.

62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.

Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.

Missbrauch von Gesundheitsdaten

Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.

Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.

1 2 3 14