Skandal um Patientendaten
In Deutschland werden nach Informationen des Nachrichtenmagazins „Spiegel“ Millionen Ärzte und Patienten ausgespäht. Das süddeutsche Apothekenrechenzentrum VSA in München verkaufe Patientendaten in unzureichend verschlüsselter Form an Marktforschungsunternehmen wie den US-Konzern IMS Health, berichtete das Magazin in seiner jüngsten Ausgabe.
Dieser Artikel ist älter als ein Jahr.
Laut „Spiegel“ verfolgt das Unternehmen nach eigenen Angaben die Krankheiten von über 300 Millionen Patienten - darunter auch „42 Millionen verschiedene gesetzlich Versicherte“ in Deutschland. „Viele Patientenkarrieren sind zurück bis 1992 verfolgbar“, zitiert das Magazin aus einem internen Papier.
Code lässt Schlüsse auf Versichertennummer zu
Dem „Spiegel“ liegt nach eigenen Angaben ein Angebot des in mehr als hundert Ländern aktiven IMS-Konzerns an den französischen Pharmakonzern Sanofi-Aventis vom April 2012 vor. Darin biete IMS die Informationen aus Insulinrezepten für 86.400 Euro an - „patientenindividuell“ und mit „zwölf Monatsupdates“.
Bei der Lieferung von Rezeptdaten an IMS werde die Identität der Patienten lediglich durch einen 64-stelligen Code verschleiert, berichtete das Magazin. Der Code lasse sich jedoch leicht zurückrechnen auf die tatsächliche Versichertennummer, wie vertrauliche Dokumente belegten. Zusätzlich würden auch Alter und Geschlecht der Patienten an die Marktforscher weitergegeben.
„Einer der größten Datenskandale“
Pro Rezeptdatensatz von deutschen Versicherten zahle der amerikanische IMS-Konzern teils unter 1,5 Cent an Apothekenrechenzentren, heißt es weiter in dem Bericht. Der Handel mit Rezeptinformationen sei „einer der größten Datenskandale der Nachkriegszeit“, kritisierte der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Thilo Weichert. „Es wäre traurig, wenn die Dienstleister des Vertrauensberufs Apotheker erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären.“
Bayern nimmt VSA in Schutz
Die bayerische Datenschutzaufsicht nahm unterdessen das süddeutsche Apothekenrechenzentrum VSA in Schutz. „Die gesetzlichen Voraussetzungen an die Anonymisierung sind erfüllt“, sagte Landesamtspräsident Thomas Kranig am Montag unter Verweis auf eine umfassende Prüfung Anfang 2013. „Wir haben das geprüft und sind der Auffassung: Das passt so.“
Kranig verwies bei den gesetzlichen Voraussetzungen auf das Bundesdatenschutzgesetz, wonach die Daten bei einer Anonymisierung so aufbereitet sein müssen, dass sie „nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft“ einer Person zugeordnet werden können. Dies sei hier der Fall.
Bis 2010 „Mängel in Anonymisierung“
Allerdings war das nicht immer so: Bis ins Jahr 2010 hinein gab es demnach durchaus Mängel bei der Anonymisierung von Patientendaten durch die VSA. „Es gab früher Verfahren, die nicht in Ordnung waren. Bei früheren Verfahren war nicht sichergestellt, dass die Daten anonymisiert das Rechenzentrum verlassen haben“, sagte Kranig.
Kranig berichtete aber, ohne auf Details einzugehen. „Es gab bis 2010 ein Verfahren, das wir nicht für in Ordnung gehalten haben.“ Das sei damals auch beanstandet und abgestellt worden. Die VSA sei im Laufe des Prozesses auch mehrmals auf das Landesamt zugekommen mit der Bitte, die überarbeiteten Anonymisierungsverfahren zu prüfen.
Unternehmen verteidigt sich
Auch das Unternehmen selbst wies die Vorwürfe zurück. Die Aussage des „Spiegels“ sei „schlichtweg falsch“, teilte IMS am Montag in München mit. „Die VSA übermittelt keinerlei personenbezogene Daten - weder an Marktforschungsunternehmen noch an die Pharmaindustrie.“
Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert, versicherte das Unternehmen. Die zweite Anonymisierung erfolge auch nicht bei der VSA, sondern durch eine unabhängige Clearingstelle. Erst dann würden die Daten zur weiteren Verwendung für die Marktforschung aufbereitet. Der US-Datenhändler IMS Health hatte bereits am Sonntag betont, dass er von Apothekenrechenzentren keine personenbezogenen Daten bekomme.
Links:
