x.panel: Medatixx tauscht Patientendaten gegen Preisnachlass bei Software

Das Gesundheitsdatennutzungsgesetz soll den Zugang zu Gesundheitsdaten verbessern, um diese für die Forschung und Entwicklung in der Pharmabranche zu nutzen. Ebenfalls zunutze macht sich die neue Regelung neuerdings der Praxisverwaltungssystemhersteller Medatixx GmbH & Co. KG, der nach eigenen Angaben anonymisierte Behandlungsdaten aus Arztpraxen sammelt und für wissenschaftliche Zwecke zur Verfügung stellt.

Teilnehmende Praxen, die die Software von Medatixx nutzen, erhalten für die Bereitstellung der Patientendaten einen Rabatt zwischen 30 und 40 Euro – je nach Anzahl der Ärzte. Damit könnte die monatliche Gebühr der Praxissoftware bis zu 28 Prozent günstiger werden. Darüber berichtete zuerst der Ärztenachrichtendienst (Aend). Zuvor müssen Ärzte ihre Patienten informieren, heißt es von Medatixx auf Anfrage. Der Software-Hersteller stelle für die Information der Patienten Textbausteine bereit.

Medatixx-Projekt "x.panel"

Für sein Vorhaben hat Medatixx das Projekt "x.panel" ins Leben gerufen. Die anonymisierten Daten werden in einer sicheren Umgebung gesammelt und an ausgewählte Datenempfänger weitergegeben, wobei eine Rückverfolgung auf einzelne Praxen, Ärztinnen, Ärzte oder Patienten ausgeschlossen ist. Die Bundesdruckerei unterstützt das Projekt als Vertrauensstelle. Forschungspartner sind unter anderem forschende Arzneimittelhersteller und wissenschaftliche Einrichtungen.

"Das Anonymisierungskonzept entspricht den rechtlichen Rahmenbedingungen der Datenschutz-Grundverordnung (DSGVO) und des deutschen Bundesdatenschutzgesetzes (BDSG). Für die Sicherstellung der Anonymität wird zusätzlich die Bundesdruckerei GmbH als Vertrauensstelle eingesetzt", heißt es auf der Website von Medatixx. Derzeit wird das Thema Anonymisierung kontrovers diskutiert, wie auch die Hessische Datenschutzbehörde weiß, die Medatixx zu x.panel beraten hat.

"Für den Vorgang der Anonymisierung bedarf es jedoch einer Rechtsgrundlage, da es sich auch bei der Anonymisierung um eine Datenverarbeitung handelt. Hierfür können aber regelmäßig gesetzlich Rechtsgrundlagen herangezogen werden, für Zwecke der wissenschaftlichen Forschung z.B. § 27 Abs. 1 Bundesdatenschutzgesetz (BDSG)", so der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) gegenüber heise online. § 6 Abs. 3 S. 3 des Gesundheitsdatennutzungsgesetzes erlaube es demnach "ausdrücklich, dass datenverarbeitende Gesundheitseinrichtungen die gemäß Art. 9 Abs. 2 lit. h) DS-GVO gespeicherten Gesundheitsdaten anonymisieren dürfen, um die anonymisierten Daten zu den in § 6 Abs. 1 S. 1 GDNG genannten Zwecken an Dritte zu übermitteln".

"Wir haben verschiedene Sicherheitsnetze gespannt. Bereits lokal in der Praxissoftware werden die Daten anonymisiert", heißt es auf Anfrage von Medatixx. Um die Anonymität sicherzustellen, wolle Medatix mittels "individuell festgelegter Schwellenwerte" gewährleisten, dass auch mit Hintergrundwissen keine Re-Identifizierung möglich sei. Für die Prüfung der Anonymität komme ein "von der Berliner Charité speziell für Forschungsdaten entwickeltes Tool" zum Einsatz. Auch ein Zurückführen der Daten auf einzelne Praxen sei nicht möglich. Genauere Details, beziehungsweise das Anonymisierungskonzept, das mit dem HBDI finalisiert wurde, wollte Medatixx aus Gründen des Geschäftsgeheimnisschutzes nicht nennen. Bei den Methoden, die zum Einsatz kommen, verweist Medatixx unter anderem auf k-Anonymität.

Unklarheiten bei der Nachnutzung von Daten

Thilo Weichert, ehemaliger Datenschutzbeauftragte von Schleswig-Holstein, weist darauf hin, dass bisher ungeklärt ist, inwieweit Dienstleister angeblich anonymisierte Daten ihrer Auftraggeber weiternutzen dürfen. "Der EuGH ist bisher stets ein sehr weites Verständnis von Personenbezug gezeigt. Bei der Breyer- und der IAB-Entscheidung betonte der EuGH die Relevanz von verfügbarem Zusatzwissen. Derartiges Zusatzwissen ist bei ärztlichen Behandlungen wegen der Vielzahl von Sozialbezügen schwerlich hinreichend geheim zu halten", so Weichert. Regelmäßig stehen neue Daten im Darknet zum Verkauf, die Täter zum De-anonymisieren weiterer gestohlener Datensätze nutzen können. Besonders heikel ist laut Weichert eine nicht gelungene Anonymisierung, wenn Patienten nicht darüber aufgeklärt werden, dass ihr Arzt diese sensiblen Daten preisgibt.

(mack)