Datenschutz: Vorwürfe gegen Apotheken-Rechenzentren |
Nach einem Bericht des Magazins «Der Spiegel» soll eine mit einigen Apothekerverbänden verbundene Firma unverschlüsselte Rezeptdaten verkauft haben. Die Gesellschaft für Datenverarbeitung GFD Pharmafakt soll nach eidesstattlicher Aussage eines ehemaligen Mitarbeiters Rezeptdaten gesammelt und mit anderweitig hinzugekauften Daten deanonymisiert haben. In welcher Form und zu welchem Preis die Daten, die Einblick in das Verordnungsverhalten von Ärzten geben könnten, eventuell an Pharmafirmen weiterverkauft wurden, ist laut «Spiegel» bislang unklar.
Gesellschafter der GFD sind neben dem apothekereigenen süddeutschen Rechenzentrum und IT-Dienstleister VSA auch die Landesapothekerverbände von Bayern, Baden-Württemberg und Sachsen. VSA wusste über die Vorgänge Bescheid, so die Vorwürfe des Informanten. Auch vom Norddeutschen Apothekenrechenzentrum (NARZ) habe GFD über den NARZ-Dienstleister Gesellschaft für Informations- und Datenverarbeitung (GFI) bis 2007 unverschlüsselte Rezeptdaten, danach verschlüsselte Daten erhalten. Die verschlüsselten Daten soll die GFD mit zugekauften Daten einer weiteren Firma deanonymisiert haben.
Die VSA betont in einer Stellungnahme, die Datenlieferung an die GFD sei nach gesetzlichen Vorgaben im Rahmen einer Auftragsdatenverarbeitung erfolgt. «Vor diesem Hintergrund wurde eine unverschlüsselte Datenlieferung als unbedenklich angenommen», heißt es in der Stellungnahme. «Von Seiten der Geschäftsführung von GFD wurde uns seinerzeit schriftlich bestätigt, dass die Datenlieferungen der VSA nur zu internen Zwecken und nicht zur Deanonymisierung verwendet werden.»
Im Jahr 2009 musste auf Druck der Gesellschafter der damalige GFD-Geschäftsführer gehen. Darauf folgte eine datenschutzrechtliche Prüfung und die Einrichtung eines sogenannten «Trustcenters». Seitdem liefern alle beteiligten Rechenzentren laut VSA sämtliche Daten nur noch verschlüsselt an das Trustcenter.
Im Spiegel-Artikel wird behauptet, die VSA habe die Rezeptdaten in zwei Versionen geliefert: Unverschlüsselt und verschlüsselt. Die VSA bestätigte, dass dies auf ausdrücklichen Wunsch des damaligen GFD-Geschäftsführers geschah. Allerdings habe der damalige Geschäftsführer bestätigt, die Daten nicht deanonymisiert zu verwenden. Zum anderen sei man zum damaligen Zeitpunkt von der Rechtmäßigkeit der Datenverarbeitung ausgegangen. «Wir stellen insbesondere klar, dass die GFD keine personenbezogenen Daten von Versicherten weitergegeben hat und damit der Versichertendatenschutz zu jeder Zeit voll gewährleistet war», heißt es bei der VSA.
Beim NARZ will man das Verhalten der GFD noch nicht abschließend bewerten. Bislang gebe es keinen Beweis dafür, dass der Dienstleister die Daten tatsächlich unverschlüsselt verkauft habe, sagte der Datenschutzbeauftragte der NARZ-Tochter GFI, Michael Irmer der PZ. Man selbst habe die Daten immer verschlüsselt an die GFD weitergeleitet. Irmer: «Wir haben nach bestem Wissen und Gewissen gehandelt.» Misstrauen gegen die GFD muss es aber gegeben haben. Schließlich schaltete das Unternehmen Ende 2011 die Bremer Datenschutzbeauftragte Imke Sommer ein und stoppte die Datenlieferung an die GFD. Sommer habe dem Unternehmen bestätigt, richtig gehandelt zu haben. Ende Februar will die Datenschutzbeauftragte ihren Bericht vorlegen. Dann will man beim NARZ entscheiden, wie es weitergeht. (db/dr)
Lesen Sie dazu auch GFD weist Vorwurf des Datenklaus zurück
13.02.2012 l PZ
Foto: Fotolia/IckeT
