Pharmazeutische Zeitung online
Rezeptdaten

»Spiegel« stochert in der Geschichte

26.11.2014
Datenschutz bei der PZ

Von Daniel Rücker / Die Kontroverse über die Weitergabe von Abrechnungsdaten über Apothekenrechenzentren geht weiter. Allerdings gibt es keine neue Fakten. Bei der Verrechnungsstelle Süddeutscher Apotheker (VSA) wundert man sich zwar, bleibt aber entspannt.

Nachdem das Apotheken-Rechenzentrum VSA im Jahr 2012 die Verschlüsselung seiner Abrechnungsdaten auf ein Trust-Center-Verfahren mit einer sogenannten Kryptobox umgestellt hatte, war es ruhig geworden in dem Streit zwischen Rechenzentren und Datenschutzbeauftragten aus Süd- und Norddeutschland. Der bayerische Datenschutzbeauftragte Thomas Kranig hatte keine Beanstandungen gegen das Verfahren der VSA. Das Bundesgesundheitsministerium erklärte sich für nicht zuständig.

 

»Spiegel online« hat das Thema dennoch erneut aufgegriffen. Die Vorwürfe zielen vor allem in die Vergangenheit. Bis zum Jahr 2010 habe die VSA unverschlüsselte und nicht gesetzeskonforme Daten an die beteiligten Firmen geliefert, wird Kranig zitiert. Dies sei nicht legal gewesen. Der Verkauf von Rezeptdaten sei zwar nicht grundsätzlich verboten. Personenbezogene Daten müssten aber zuvor verschlüsselt und anonymisiert werden, schreibt »Spiegel online«.

 

Dieser Sachverhalt ist weitgehend unstrittig – auch bei der VSA. Mit der Kryptobox wendet sie seit 2012 ein Verschlüsselungsverfahren an, das Kranig als zuständiger Datenschutzbeauftrage im Januar 2013 abgenommen hatte. In einem Gutachten hat auch das Fraunhofer-Institut bestätigt, dass dieses Verfahren für die Anonymisierung von Rezeptdaten geeignet ist. »Spiegel online« hält sich deshalb vor allem an frühere Vorwürfe, die VSA habe bis 2012 Daten nach dem Verfahren SHA 256 verschlüsselt. Dieses sei jedoch untauglich zur Anonymisierung von personenbezogenen Daten. Einen Hinweis darauf, dass auch neuere Daten betroffen sein könnten, gibt es nicht.

 

Vorwürfe unzutreffend

 

Bei der VSA ist man über die »Spiegel-online«-Geschichte nicht sonderlich aufgeregt, aber auch nicht amüsiert. Der Beitrag greife zum wiederholten Male Verschlüsselungsverfahren der VSA aus der Vergangenheit auf und verbindet damit Vorwürfe beim Umgang mit Rezeptdaten, gegen die die VSA bereits einstweilige Verfügungen erwirkt habe. Schon 2013 hätten die Gerichte bestätigt, dass die Vorwürfe unzutreffend waren, heißt es in einer aktuellen Stellungnahme der VSA-Geschäftsführung.

 

Der auf »Spiegel online« wiedergegebenen Bewertung von SHA 256 widerspricht die VSA. Das Verfahren sei bei seiner Einführung ein gängiges, geeignetes und vom Bundesamt für Sicherheit in der Informationstechnik positiv bewertetes Mittel zur Datenverschlüsselung gewesen. Man habe es 2012 aufgegeben, weil es seitdem aktuellere Verfahren gebe. Alle mit der bis dahin angewendeten Methode verschlüsselten Daten seien beim Empfänger gelöscht worden.

 

Grundsätzlich stehe die VSA seit Jahren in engem Austausch mit dem Bayerischen Landesamt für Datenschutzaufsicht. /

Mehr von Avoxa