Datenschutz in der Kritik |
 | 20.08.2013 18:35 Uhr |
Von Ev Tebroke / Apothekenrechenzentren ist es gesetzlich erlaubt, Patientendaten zu Markforschungszwecken weiterzuverkaufen. Allerdings unter strengen Auflagen. Inwieweit diese ausreichend eingehalten werden, darüber gibt es geteilte Ansichten.
Der Vorwurf wiegt schwer: Einem Bericht des Nachrichtenmagazins »Der Spiegel« zufolge soll die Verrechnungsstelle der Süddeutschen Apotheken (VSA) Millionen Patientendaten nur unzureichend verschlüsselt an den Gesundheitsdienstleister und Marktforscher IMS Health verkauft haben. Laut »Spiegel« wird die Identität der Patienten dabei lediglich durch einen 64-stelligen Code verschleiert, »der sich leicht auf die tatsächliche Versichertennummer zurückrechnen lässt, wie vertrauliche Dokumente belegen«. Darüber hinaus würden auch Alter und Geschlecht an die Marktforscher weitergegeben.
Rechenzentren dürfen Daten grundsätzlich verkaufen, sofern diese zuvor ausreichend anonymisiert wurden. Rückschlüsse auf Personen dürfen nicht mehr möglich sein.
Foto: imago/Kraehn
VSA weist Vorwürfe zurück
Das Apothekenrechenzentrum VSA dementierte umgehend. Die Aussage des »Spiegel« sei »schlichtweg falsch«, heißt es in einer Stellungnahme. Das Rechenzentrum übermittle keinerlei personenbezogene Daten – weder an Marktforschungsunternehmen noch an die Pharmaindustrie. Auch IMS Health weist die Vorwürfe zurück. Das Unternehmen erhalte von Apothekenrechenzentren keine personenbezogenen Daten und benötige diese auch nicht, heißt es in einer Erklärung. Es sei auch unzutreffend, dass Patientenidentitäten nur verschleiert würden oder rückrechenbar seien, so der Gesundheitsdienstleister. Die Daten könnten auch nicht einzelnen Ärzten oder Apothekern zugeordnet werden.
Bis zu 1,5 Cent erhalten die Apothekenrechenzentren nach Angaben des »Spiegel« pro Rezeptdatensatz. Grundsätzlich ist der Verkauf von Patientendaten zum Zwecke der Marktforschung auf Grundlage des Sozialgesetzbuchs V unter strengen Auflagen erlaubt. Die Daten müssen jedoch ausreichend verschlüsselt sein, sodass keine Rückschlüsse auf einzelne Personen mehr möglich sind. Oft würden die Daten allerdings nur pseudonymisiert und nicht komplett anonymisiert, so der Vorwurf des »Spiegel«.
Nach Angaben der VSA hingegen wird bei allen Rezeptdaten jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert. Die zweite Anonymisierung erfolge dabei nicht bei der VSA, sondern durch eine unabhängige Clearingstelle. Erst dann würden die Daten in einem Trustcenter zur weiteren Verwendung für die Marktforschung aufbereitet.
Auch das zuständige Bayerische Landesamt für Datenschutzaufsicht kann die gegen das Rechenzentrum erhobenen Vorwürfe nicht nachvollziehen. »Wir haben das Prozedere der VSA eingehend geprüft und festgestellt, das alles den gesetzlichen Anforderungen entspricht und die Daten ausreichend anonymisiert sind«, sagte der Präsident der Datenaufsichtsbehörde, Thomas Kranig, der Pharmazeutischen Zeitung. Dies bescheinige auch der offizielle Prüfbericht vom 9. Januar 2013. »Wir sind der Auffassung, das ist so in Ordnung«, so Kranig. Eine Rückführbarkeit der Daten auf den Patienten sei definitiv nicht gegeben. Kranig räumte allerdings ein, dass die VSA die Patientendaten bis 2010 nicht ausreichend anonymisiert hatte. Dieser Mangel sei aber definitiv behoben. Seiner Meinung nach beziehen sich die im »Spiegel« zitierten Quellen auf den Zustand vor 2010.
Am Schutz der Daten hätten die Apotheker ein genau so hohes Interesse wie die Patienten, betonte Fritz Becker, Vorsitzender des Deutschen Apothekerverbandes (DAV). Die Apothekenrechenzentren garantierten den abrechnenden Apotheken die korrekte Anwendung sämtlicher Datenschutzvorschriften. Wie die ABDA in einer Presserklärung mitteilte, handele es sich bei den nun erhobenen Vorwürfen aber um Vorgänge, die mit der eigentlichen Abrechnung nichts zu tun hätten.
Gesundheitsminister Daniel Bahr (FDP) forderte vor dem Hintergrund der aktuellen Debatte ein Einschreiten der Justiz. »Ich fordere die zuständigen Stellen, wie zum Beispiel die Staatsanwaltschaft auf, möglichen neuen Vorwürfen gegen Apothekenrechenzentren nachzugehen«, so Bahr.
Kassen fordern Verbot
Auch Forderungen nach gesetzlichen Maßnahmen wurden laut. Aus Sicht der Kassen sollte der Verkauf von Rezeptdaten generell verboten werden. »Der Gesetzgeber muss dringend handeln«, so die Vorstandsvorsitzende des Verbandes der Ersatzkassen, Ulrike Elsner. Für den gesundheitspolitischen Sprecher der Union, Jens Spahn (CDU), wäre ein gesetzliches Verbot des Datenhandels die Ultima Ratio. »Erhärtet sich der Missbrauchsverdacht, müsste man die Verwendung der Daten für andere als Abrechnungszwecke völlig verbieten«, sagte er. Nach Ansicht der Linken-Gesundheitsexpertin Kathrin Vogler müssten die Abrechnungszentren zur Not per Gerichtsbeschluss oder mit einem neuen Gesetz gezwungen werden, die Weiterleitung unzureichend verschlüsselter Daten zu stoppen.
Die aktuellen Vorwürfe sind nicht neu. Bereits seit einiger Zeit streiten Datenschützer in Deutschland darüber, in welcher Form Patientendaten an Marktforschungsunternehmen weitergeleitet werden dürfen. Das Norddeutsche Apothekenrechenzentrum (NARZ) hatte Anfang des Jahres aufgrund datenschutzrechtlicher Bedenken die Übermittlung von Daten stark eingeschränkt.
In Nordrhein-Westfalen wiederum streiten seit einiger Zeit das Apothekenrechenzentrum ARZ Haan und der zuständige Datenschutzbeauftragte Ulrich Lepper darüber, in welcher Form das Unternehmen die Rezeptdaten weitergeben darf. Am vergangenen Montag hat die Datenschutzbehörde ein Anhörungsverfahren gegen das Rechenzentrum eröffnet. Aus Sicht der Datenschützer sind die Daten des ARZ Haan nicht ausreichend anonymisiert, wie ein Behördensprecher sagte. Das Unternehmen habe nun bis zum 6. September Zeit zur Stellungnahme. /
