Apothekenrechenzentren: Datenschutz in der Kritik |
Der Vorwurf wiegt schwer: Einem Bericht des Nachrichtenmagazins «Der Spiegel» zufolge soll die Verrechnungsstelle der Süddeutschen Apotheken (VSA) Millionen Patientendaten nur unzureichend verschlüsselt an den Gesundheitsdienstleister und Marktforscher IMS Health verkauft haben. Laut «Spiegel» wird die Identität der Patienten dabei lediglich durch einen 64-stelligen Code verschleiert, «der sich leicht auf die tatsächliche Versichertennummer zurückrechnen lässt, wie vertrauliche Dokumente belegen». Darüber hinaus würden auch Alter und Geschlecht an die Marktforscher weitergegeben.
Das Apothekenrechenzentrum VSA dementierte umgehend. Die Aussage des «Spiegel» sei «schlichtweg falsch», heißt es in einer Stellungnahme. Das Rechenzentrum übermittle keinerlei personenbezogene Daten – weder an Marktforschungsunternehmen noch an die Pharmaindustrie. Auch IMS Health weist die Vorwürfe des «Spiegel» zurück. Das Unternehmen erhalte von Apothekenrechenzentren keine personenbezogenen Daten und benötige diese auch nicht, heißt es in einer Erklärung. Es sei auch unzutreffend, dass Patientenidentitäten nur verschleiert würden oder rückrechenbar seien, so der Dienstleister. Die anonymisierten Kennzahlen, mit denen die VSA die Verordnungsdaten an IMS Health liefere, würden nicht an die Kunden weiter gegeben. Die Daten könnten auch nicht einzelnen Ärzten oder Apothekern zugeordnet werden, heißt es seitens des Gesundheitsdienstleisters.
Bis zu 1,5 Cent erhalten die Apothekenrechenzentren nach Angaben des «Spiegel» pro Rezeptdatensatz. Grundsätzlich ist der Verkauf von Patientendaten zum Zwecke der Marktforschung auf Grundlage des Sozialgesetzbuchs (SGB) V unter strengen Auflagen erlaubt. Die Daten müssen jedoch ausreichend verschlüsselt sein, sodass keine Rückschlüsse auf einzelne Personen mehr möglich sind. Oft würden die Daten allerdings nur pseudonymisiert und nicht komplett anonymisiert, so der Vorwurf des «Spiegel». Nach Angaben der VSA hingegen wird bei allen Rezeptdaten jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert. Die zweite Anonymisierung erfolge dabei nicht bei der VSA, sondern durch eine unabhängige Clearingstelle. Erst dann würden die Daten in einem Trustcenter zur weiteren Verwendung für die Marktforschung aufbereitet. «Dieses Vorgehen wurde von dem Bayerischen Landesamt für Datenschutzaufsicht umfassend überprüft und freigegeben», heißt es seitens der VSA. Die Behörde stellte demnach in ihrem Jahresbericht 2011/2012 fest, dass «die praktizierte Verfahrensweise den Vorgaben entspricht».
Der Vorwurf des Verkaufs von unzureichend verschlüsselten Patientendaten zu Marktforschungszwecken ist nicht neu. Bereits seit einiger Zeit sind sich die Datenschützer in Deutschland uneins darüber, in welcher Form Patientendaten an Marktforschungsunternehmen weitergeleitet werden dürfen. Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert beispielsweise kritisiert den Handel mit Rezeptinformationen als einen «der größten Datenskandale der Nachkriegszeit». Nach Protesten des Hamburger Apothekervereins schränkte das Norddeutsche Apothekenrechenzentrum (NARZ) dann auch die Übermittlung von Daten ein. In Nordrhein-Westfalen streiten das Apothekenrechenzentrum Haan (ARZ) und der zuständige Datenschutzbeauftragte Ulrich Lepper nach wie vor darüber, in welcher Form das Unternehmen die Rezeptdaten weitergeben darf. Mittlerweile belastet die Diskussion auch das Verhältnis der Rechenzentren untereinander. So hatte das NARZ bei seiner Mitgliederversammlung im Juli der VSA und dem ARZ Haan vorgeworfen, den Datenschutz nicht ausreichend zu berücksichtigen und pseudonymisierte statt anonymisiert Daten weiterzugeben. (et)
19.08.2013 l PZ
Foto: Fotolia/maxkabakov
