Pharmazeutische Zeitung online
Apothekenrechenzentren

Kritik an Datenweitergabe

02.04.2013
Datenschutz bei der PZ

Von Stephanie Schersch / Berlins Datenschutzbeauftragter Alexander Dix hat sich in seinem aktuellen Jahresbericht mit der Weitergabe von Verordnungsdaten durch Apothekenrechen­zentren befasst. Darin kommt er zu dem Schluss, dass die Rezeptabrechnungsstelle Berliner Apotheker (RBA) Daten nicht ausreichend anonymisiert.

Grundsätzlich dürften Rechenzentren Verordnungsdaten an Dritte übermitteln, so Dix. Zuvor müssten sie die Angaben aber so verändern, dass keine Rückschlüsse auf einzelne Patienten oder Ärzte möglich seien. Genau das berücksichtige die RBA nur unzureichend. Dort werde die Versichertennummer des Patienten teilweise durch einen Code ersetzt, der sich aus ihr errech­net. Die Arztnummer werde durch eine Angabe über die Zugehörigkeit zu einer Arztgruppe ersetzt. Welcher Mediziner welcher Gruppe angehöre, werde dabei vom Auftraggeber festgelegt.

Methode mit Schwachstellen

 

Dix hält diese Methode für zu schwach. Denn: »Ist die Regel zur Berechnung des Codes öffentlich bekannt, so ist ein Rückrechnen durch Anwendung der Regel auf alle möglichen Versicherungsnummern möglich«, heißt es im dem Bericht. Selbst wenn die Berechnungsme­thode geheim sei, könnten über den Code in einem Datenbestand gezielt alle Angaben zu einem einzelnen Patienten zusammengeführt werden. Die Codes dürften daher nur ein einziges Mal verwendet werden, so Dix. Tauche der gleiche Patient in einer späteren Datenlieferung erneut auf, müsse ihm ein neuer Code zugeordnet werden.

 

Auch die Einteilung der Ärzte in Gruppen hält Dix für problematisch, zumindest dann, wenn der Auftraggeber über die Zusammensetzung entscheidet. Rückschlüsse auf einen einzelnen Arzt seien auf diese Weise unter Umständen möglich. Ein Beispiel: Fragt der Auftraggeber zunächst eine Gruppe von vier Medizinern ab und im Anschluss eine Fünfergruppe, der die zuvor genannten vier Ärzte angehören, so könnten die Verordnungen des fünften Mediziners zielgenau isoliert werden. Die Zuordnung von Ärzten in Gruppen sei daher nur dann zulässig, wenn diese Gruppen groß genug seien und die Einteilung unabhängig vom Auftraggeber erfolge, so Dix. Man werde nun aufmerksam verfolgen, wie die Rezeptabrechnungsstelle Berliner Apotheker ihre Verarbeitungsvorgänge an die gesetzlichen Vorgaben anpasse.

 

Die RBA ist eine Einrichtung des Berliner Apothekervereins. Dort weist man die Vorwürfe des Landesdatenschutzbeauftragten zurück. »Für die RBA gilt, dass bei der Verarbeitung von Rezeptdaten die Regeln des Datenschutzes strikt eingehalten werden«, sagte ein Sprecher gegenüber der Pharmazeutischen Zeitung.

 

Er wies auch darauf hin, dass die Datenschutzbeauftragen der einzelnen Bundesländer offenbar unterschiedliche Auffassungen in Bezug auf die Anonymisierung von Versicherten- und Rezeptdaten durch Apothekenrechenzentren hätten. »Das führt im Ergebnis dazu, dass in anderen Bundesländern die vom Berliner Datenschutzbeauftragten vorgenommene Bewertung offenbar nicht getragen wird.« Die Weitergabe von Daten hat die RBA nun vorerst gestoppt. Mitte April soll es ein Gespräch mit Dix geben, um offene Fragen im Detail zu klären. /

Mehr von Avoxa