Illegaler Rezeptdatenhandel?

Zum Hintergrund: Rezeptdaten, die bei Rechenzentren wie der Verrechnungsstelle der Süddeutschen Apotheken (VSA) erhoben werden, wecken bei Pharmafirmen naturgemäß Begehrlichkeiten. Mithilfe solcher Rezeptdaten lassen sich wertvolle Informationen zur Verordnung der Arzneimittel generieren und analysieren. Da Rezeptdaten aber unter den Datenschutz fallen, hat auch das Sozialgesetzbuch einen strengen Schutz vor Datendiebstahl und Datenhehlerei aufgebaut. Verstöße können mit bis zu zwei Jahren Freiheitsstrafe geahndet werden.

Laut Spiegel-Bericht fällt nun ein Verdacht auf die Firma Pharmafakt GFD, Gesellschaft für Datenverarbeitung mit Sitz in Karlsfeld bei Dachau. Gesellschafter der GFD sind die Apothekerverbände der Länder Bayern, Baden-Württemberg und Sachsen sowie die VSA GmbH, Deutschlands größtes Apothekenrechenzentrum in München. Die Pharmafakt GFD wertet Rezeptdaten der Rechenzentren aus und verkauft das Ergebnis an die Pharmaindustrie – was rechtens ist, solange die Daten verschlüsselt verwendet werden.

Einem Insider zufolge (dem Spiegel liegt eine eidesstattliche Erklärung dieses ehemaligen IT-Managers der GFD vor) seien die Rezeptdaten aber in unverschlüsselter Form gesammelt und gespeichert worden – auf ausdrückliche Weisung der Geschäftsführung und in Abstimmung mit der VSA. Daten sollen bis 2007 auch vom Norddeutschen Apothekenrechenzentrum (NARZ) gekommen sein, vermittelt über dessen Marktforschungs-Tochterfirma GFI.

Nachdem datenschutzrechtliche Bedenken aufgekommen seien, habe man einen Pseudo-Datenschutz aufgebaut: eine verschlüsselte Variante der Rezeptdatenlieferung für die Datenschützer und eine unverschlüsselte Lieferung, berichtet der Spiegel weiter. Die GFD soll dann – um die verschlüsselten Daten des NARZ zu deanonymisieren – weitere Daten hinzugekauft haben. Hierfür sei ein VPN-Tunnel (direkte sichere Datenverbindung) zur Gesellschaft für Statistik im Gesundheitswesen (GFS) in Dresden aufgebaut worden. Laut Spiegel ist die GFS ein Dienstleister, der u. a. Rezepte sämtlicher acht Millionen Mitglieder der Barmer GEK prüft.

Unklar sei bisher, zu welchem Preis und in welcher Form die Daten verkauft worden seien. Auf der Kundenliste der GFD stehen alle namhaften Pharmafirmen. Dem Spiegel-Bericht zufolge wird die Frage zu klären sein, ob die Unternehmen der Apothekerverbände Baden-Württemberg, Bayern und Sachsen illegal sensible Daten gesammelt haben und sie an Pharmaunternehmen weiterverkauft haben.

VSA: Versichertendatenschutz war gewährleistet

Wie aus der Stellungnahme der VSA zu den Vorwürfen des Spiegel-Berichts hervorgeht, wurde die GFD von der VSA und den Landesapothekerverbänden von Bayern, Baden-Württemberg und Sachsen im Jahre 1998 gegründet. Ziel der GFD ist es, so bestätigt es die VSA, Verordnungsdaten zu analysieren sowie Studien zum Verordnungsverhalten von Ärzten und Arztgruppen zu einzelnen Wirkstoffen zu erstellen. Zu diesem Zweck habe unter anderem die VSA unverschlüsselt Verordnungsdaten an die GFD geliefert. Die VSA vertrat dabei die Auffassung, dass die Übermittlung von Verordnungsdaten im Rahmen einer Auftragsdatenverarbeitung (§ 11 BDSG) erfolgte. Vor diesem Hintergrund nahm die VSA eine unverschlüsselte Datenlieferung als unbedenklich an.

Die Geschäftsführung der GFD habe der VSA seinerzeit schriftlich bestätigt, so heißt es in der Stellungnahme, dass die Datenlieferungen der VSA nur zu internen Zwecken und nicht zur Deanonymisierung verwendet werden. Im Jahre 2009 entschieden die Gesellschafter der GFD, sich von dem damaligen Geschäftsführer zu trennen und den Geschäftsführer der VSA, Herrn Dr. Lacher, interimsweise mit der Geschäftsführung zu betrauen. 

Aufgrund der Umstände des Ausscheidens des ehemaligen Geschäftsführers habe Dr. Lacher eine datenschutzrechtliche Überprüfung veranlasst. Dies habe man zum Anlass genommen, mit einer renommierten Anwaltskanzlei und dem Landesamt für Datenschutzaufsicht in Bayern die Situation grundlegend zu erörtern. Daraufhin habe man mit allen Gesellschaftern der GFD ein Trustcenter gegründet, an das sämtliche Daten nur noch verschlüsselt von allen beteiligten Rechenzentren geliefert worden seien. Dieses Modell entspreche bis heute den datenschutzrechtlichen Anforderungen.

Die VSA: "Wir stellen ferner fest: Der Wunsch nach einer unverschlüsselten und verschlüsselten Datenlieferung kam nicht von der VSA, sondern dem damaligen Geschäftsführer der GFD. Diesem Ansinnen ist die VSA aus zweierlei Gründen nachgekommen: Zum einen bestätigte uns der damalige GFD-Geschäftsführer, dass die Daten nicht zur Deanonymisierung verwendet würden. Zum anderen gingen wir zum damaligen Zeitpunkt – wie oben beschrieben – von der Rechtmäßigkeit der Datenverarbeitung aus. Wir stellen insbesondere klar, dass die GFD keine personenbezogenen Daten von Versicherten weitergegeben hat und damit der Versichertendatenschutz zu jeder Zeit voll gewährleistet war.

Mit Gründung eines Trustcenters wurden sämtliche Prozesse bereits ab Sommer 2010 in Abstimmung mit Rechtsexperten und der Datenschutzbehörde auf den neuesten datenschutzrechtlichen Stand gebracht. Die VSA behält sich rechtliche Schritte gegen unwahre Behauptungen und Falschaussagen vor und wird jegliche Vorwürfe mit Nachdruck entkräften."

GFD: Keine personenbezogenen Daten weitergegeben

Wie der Geschäftsführer der GFD, Dr. Dieter Wassener, gegen der DAZ erklärte, habe die GFD entgegen der im Spiegel formulierten Vorwürfe keine personenbezogenen Daten von Versicherten weitergegeben. Auch ein Verkauf von Daten habe nicht stattgefunden – sämtliche Daten waren lediglich die Grundlage für die Erstellung von Studien. Wassener: "Aus diesen Studien können keine Informationen bzw. Rückschlüsse über Patienten gewonnen werden, es geht ausschließlich um statistische Auswertungen und wissenschaftliche Interpretationen. Aussagen z. B. über das Verordnungsverhalten einzelner Ärzte im Gefolge des Besuches eines Pharmareferenten – wie es uns nun unterstellt wird – sind selbstverständlich nicht Bestandteil unserer Studien."

Die Studienmodelle der GFD seien jeweils auf datenschutzrechtliche Anforderungen hin überprüft worden. Vor dem Hintergrund der in den letzten Jahren sukzessive verschärften Auslegung datenschutzrechtlicher Bestimmungen durch Aufsichtsbehörden und Gerichte sei es dann ab 2009 zu einer kritischen Neubewertung ausgewählter Teilprozesse gekommen. Die GFD habe laut Wassener hierbei auch Kontakt zur zuständigen bayerischen Aufsichtsbehörde für den Datenschutz gesucht und nach Treffen und Schriftwechsel ein neues Modell für die Verarbeitung der Daten erarbeitet und vorgestellt. Hierzu wurde als Trustcenter eine neue Gesellschaft gegründet, die technisch, organisatorisch und rechtlich getrennt von der GFD die Daten von den Rechenzentren verschlüsselt erhält und Studien im Auftrag der GFD auf der Grundlage allein dieser verschlüsselten Daten erstellt. GFD-Chef Wassener: "Auf diese Weise haben wir sichergestellt, dass die GFD selbst keinerlei Zugriff auf unverschlüsselte bzw. nicht anonyme Daten erhält und das Trustcenter seinerseits keine Möglichkeit hat, die verschlüsselten Daten zu ‘deanonymisieren’.” 

Seit 1999 und bis 2011 kooperierte die GFD unter anderem auch mit der Gesellschaft für Statistik im Gesundheitswesen (GfS), einem Dienstleister für gesetzliche Krankenkassen. Im Rahmen dieser Kooperation konnte zunächst die GFD und dann das Trustcenter lediglich die ihnen vorliegenden Informationen auf Plausibilität prüfen und verifizieren.

Die GFD habe darüber hinaus kontinuierlich das derzeitige Konzept der Datenverschlüsselung in Zusammenarbeit mit einem unabhängigen IT-Dienstleister weiter ergänzt. Das neue Verfahren sieht laut GFD eine Doppelverschlüsselung aller relevanten Daten vor. So sei gewährleistet, dass keiner der Beteiligten – also weder die datenliefernden Rechenzentren noch der zwischengeschaltete Dienstleister (= Clearingstelle), noch das Trustcenter oder die GFD selbst – Daten deanonymisieren können. Parallel zu den dargestellten Verfahrensänderungen und in Ergänzung zum bereits mit der Datev erarbeiteten Sicherheitskonzept, extern überwachten Firewalls, umfassender technisch-organisatorischer Maßnahmen etc. sei eine Zertifizierung des Trustcenters durch den TÜV angestoßen. Diese Zertifizierung beinhalte alle Prozesse, sowie technischen und organisatorischen Maßnahmen des Trustcenters hinsichtlich der Rechts- und Datenschutzkonformität.

DAZ 2012, Nr. 7, S. 17