Bericht: Apotheken verkaufen ungenügend anonymisierte Patientendaten
Das Apotheken-Rechenzentrum VSA soll Marktforschungsunternehmen Rezeptdaten verkaufen, aus denen sich die Versichertennummern der Patienten errechnen lassen.
Die deutschen Apothekenrechenzentren verkaufen die von ihnen erfassten Rezept- und Patientendaten an Marktforschungsinstitute wie das US-amerikanische Unternehmen IMS Health. Zwar ist der Handel mit Patientendaten grundsätzlich nicht verboten. Die Voraussetzung dafür ist jedoch, dass sie zuvor ausreichend anonymisiert werden. Bei diesem essenziellen Schritt wird offenbar geschlampt.
In einer Stellungnahme warnte Thilo Weichert, der Datenschutzbeauftragte des Landes Schleswig-Holstein, die Apothekerbranche bereits im Juli vor den Folgen der ungenügenden Absicherung der Patientendaten. In einer Analyse stellten die Datenschutzbehörden fest, dass die Patientendaten allenfalls "pseudoanymisiert" werden.
Einem Bericht des Nachrichtenmagazins Der Spiegel zufolge soll es möglich sein, aus dem im Rechenzentrum vergebenen 64-stelligen Code die ursprüngliche Versichertennummer zurückzugewinnen. Anhand dieser Informationen könnten etwa Pharmaunternehmen zurückverfolgen, welche Ärzte bestimmte Medikamente verschrieben haben. Damit ließe sich die Effektivität von Pharmavertetern bewerten.
(Bild: cc-by-2.0, cerberusofcologne2008 )
Das Norddeutsche Apothekenrechenzentrum (NARZ) soll bereits reagiert haben und seitdem ein besseres Anonymisierungsverfahren einsetzen. Andere Apothekenrechenzentren haben bisher aber nicht nachgezogen – angeblich aus Kostengründen. Konkret kritisiert Weichert das süddeutsche Apothekenrechenzentrum VSA. Statt sich an Datenschutzregeln zu halten, werde "geleugnet und verharmlost und auch schon mal gedroht."
Apothekenrechenzentren, die wissentlich unzureichend anonymisierte Daten weitergeben, setzen sich einer Strafverfolgung aus. Hier unterstreicht Weichert, dass man in dieser Sache "nicht den indirekten Austausch vor Gericht" scheue. Er hoffe aber, dass ein solcher Schritt nicht nötig wird.
Zur pseudozufälligen Patienten-ID erhalten die Marktforscher von den Apothekenrechenzentren zusätzlich Angaben über das Alter und Geschlecht des Patienten. Dem Spiegel zufolge zahlen Marktforscher pro Datensatz mitunter weniger als 1,5 Cent. IMS Health wertet nach eigenen Angaben die Rezeptdaten von 42 Millionen deutschen Versicherten aus.
Weichert gibt zu, dass das Bayerische Landesamt für Datenschutzaufsicht sich nicht der Ansicht der anderen Datenschutzbehörden angeschlossen habe, die Datensätze seien ungenügend anonymisiert. Dies habe das Amt aber "bis heute nicht nachvollzieh- und kritisierbar begründet".
Unter Weicherts Stellungnahme in der Deutschen Apotheker Zeitung findet sich ein Kommentar, dessen Autor sich als Frank Wartenberg bezeichnet. Sollte der Beitrag echt sein, stammt er vom Geschäftsführer des Bereichs Zentraleuropa von IMS Health. Er weist alle Vorwürfe weit vor sich: "IMS Health hat zu keinem Zeitpunkt illegal Daten von Apothekenrechenzentren erhalten" und lasse seine "Datenschutz-Compliance" "immer wieder" extern prüfen.
IMS Health habe auch eine Zertifizierung durch das Datenschutzzentrum Schleswig-Holstein erwogen. Dies schließe man jetzt aber aus – nämlich weil Weichert durch die Stellungnahme seine dienstliche Schweigepflicht verletzt habe. So kann man natürlich auch versuchen, auf den Vorwurf eines Datenschutzverstoßes zu reagieren: einfach mit dem Finger in die Gegenrichtung zeigen und hoffen, dass niemand das billige Spiel bemerkt.
[Update 19.08.2013 11:30]:
Mittlerweile hat IMS Health auch direkt zu dem Spiegel-Bericht Stellung genommen, über den Artikel von Frank Wartenberg in der Deutschen Apotheker Zeitung hinaus. In einer Erklärung zu den Vorwürfen heißt es unter anderem: "IMS Health erhält von Apothekenrechenzentren keine personenbezogenen Daten und benötigt diese auch nicht. Die Behauptung des Spiegel, es würden millionenfach Patienten- und Arztdaten ausgespäht, ist falsch. Es ist auch unzutreffend, dass Patientenidentitäten nur verschleiert werden oder rückrechenbar seien."
Gegen die erhobenen Vorwürfe wehre man sich entschieden, anonymsierte Daten würden keinen Ärzten, Apothekern oder Patienten zugeordnet. Auch sei den Datenschutzbehörden "kein einziger Fall bekannt, in dem dies bei IMS Health geschehen sein sollte". Dabei bezieht sich IMS Health auf den offiziell zuständigen bayerischen Datenschutzbeauftragten, geht aber auf die Stellungnahme des schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert nicht näher ein. Die Firma hält aber fest, dass der "deutsche Gesetzgeber die Verwendung anonymisierter Daten ausdrücklich erlaubt, um Marktforschung unter Berücksichtigung strenger Datenschutzmaßstäbe zu ermöglichen". Um deren Einhaltung sicherzustellen, stimme sich IMS Health seit vielen Jahren mit der zuständigen Datenschutzbehörde ab. "IMS Health gewährleistet stets einen hohen Datenschutzstandard und wird dies auch in Zukunft tun". (ghi)
