"Das ist einfach falsch"

Es ist meines Wissens bisher unbestritten, dass bis 2007 über Jahre hinweg von allen Apothekenrechenzentren nicht hinreichend anonymisierte Daten ausgeliefert wurden. Die danach vorgenommenen Änderungen waren nicht ausreichend. Dies wurde den Datenschutzaufsichtsbehörden, die wegen ihrer begrenzten personellen Kapazitäten keine anlasslosen Kontrollen durchführen, ansatzweise erst durch einen Artikel im Spiegel 7/2012 bekannt.

Danach erfolgte eine intensive Diskussion unter den Datenschutzaufsichtsbehörden, die letztlich im Düsseldorfer Kreis am 26./27.02.2013 einen – vorläufigen – Abschluss fand. Nach einer umfassenden technischen Darstellung und rechtlichen Bewertung kamen die Datenschutzbehörden zu dem Ergebnis, dass die bisher von Apothekenrechenzentren (ARZ) an IMS Health gelieferten Daten nicht den Anonymisierungsanforderungen des § 300 Abs. 2 S. 2 SGB V genügen. Auf dieser Sitzung wurde auch das Konzept der Anonymisierung, wie es jetzt im NARZ anscheinend praktiziert wird und das auch dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bzgl. wesentlicher Grundparameter bekannt ist, erörtert. Dabei konnte kein endgültiges Ergebnis erzielt werden, weil die Verfahrensdetails nicht vorlagen. Es bestand aber Konsens bei den Anwesenden, dass die verwendeten Anonymisierungsverfahren geeignet sein können, eine gesetzeskonforme Anonymisierung sicherzustellen. Eine Bewertung im Detail muss die Bremische Beauftragte für Datenschutz und Informationsfreiheit vornehmen.

Verblüffend ist, dass IMS Health behauptet, es könne die Argumente der Datenschutzbehörden nicht nachvollziehen. Im Rahmen der Imagekampagne besuchten die Herren Wartenberg und Dörr das ULD in Kiel. Hierbei kam es sowohl zu einer detaillierten technischen und rechtlichen Diskussion. Das ULD legte dar, wie einfach eine Reidentifizierung der von ARZ angelieferten Daten möglich ist, allein schon anhand des gelieferten Datensatzes, aber erst recht durch die Daten, die IMS durch Einzelverträge mit Apotheken und Ärzte, z. B. im Rahmen von Betreuungsverträgen zu Arztinformationssystemen, erhält. Die Vertreter von IMS Health nahmen die Kommentare des ULD ohne inhaltlichen Widerstand zur Kenntnis.

Es mag zutreffen, dass nicht alle Datenschutzbehörden eine tiefe Durchdringung der Thematik vorgenommen haben. Es trifft aber auf jeden Fall zu, dass die früheren Bewertungen, die von den Datenschutzkollegen in Bayern und Hessen vorgelegt wurden, von den anderen Kollegen kritisch hinterfragt wurden. Es ist schon irritierend, wenn Vertreter von IMS Health sich tatsächlich getrauen, im Kontakt mit Datenschutzbehörden über die Verarbeitung von Datensätzen zu sprechen, die mit einem "Patientenanonym" markiert sind. Es ist einfach falsch, wenn Herr Dörr behauptet, es bestünde mit den Kritikern Einvernehmen, dass der Aufwand einer Deanonymisierung in der Regel zu hoch sei.

Auch die Datenschützer sind an einer fachlichen öffentlichen Debatte interessiert. Das ULD hat IMS Health angeboten, im Rahmen eines formalisierten Verfahrens eine umfassende Auditierung der von diesem Unternehmen vorgenommenen Verarbeitung vorzunehmen, deren Ergebnis danach umfassend diskutiert werden kann. Im Fall einer positiven Bewertung hat das Unternehmen sogar die Möglichkeit, förmlich ein Datenschutz-Gütesiegel zu erhalten. Jede Selbstzertifizierung muss zwangsläufig parteiisch sein. Eine objektive Bewertung ist nur möglich, wenn ein unabhängiger Gutachter die Bewertung der Verarbeitungsabläufe unter Hinzuziehung der vorhandenen Organisationsstrukturen und Vertragswerke vornimmt. Die wesentlichen Ergebnisse sollten öffentlich diskutiert werden.

Es geht hier den Datenschutzbehörden nicht um überzogenen Datenschutz. Es geht nicht um eine akademische Diskussion über unterschiedliche Anonymisierungsphilosophien. Ziel ist es auch nicht, irgendwelche zulässigen Geschäftsmodelle zu zerstören oder zu behindern. Den Datenschutzbehörden geht es ausschließlich darum, angesichts der hohen Sensibilität der Verschreibungsdaten die Einhaltung der bestehenden Gesetze zu gewährleisten.

Ich begrüße es ausdrücklich, wenn IMS Health und die ARZ, wie von Herrn Wartenberg benannt, auf Aufklärung und Information setzen. Dies setzt aber eben voraus, dass die von den ARZ angelieferten Datensätze im Detail dargestellt werden und dann die Zusatzinformationen offengelegt werden, die IMS Health über andere Wege zur Verfügung hat. Dies dürfte der richtige Weg sein, um die Diskussion zu versachlichen und die derzeit erfolgende Polarisierung zu beenden.

DAZ 2013, Nr. 14, S. 16