DAZ aktuell

Spiegel: „Pillendreher als Datendealer“ – Rechenzentren wehren sich

BERLIN (lk). Eine hitzige und kontroverse Debatte um den Datenschutz bei der Weiterverarbeitung von Rezeptdaten durch Apothekenrechenzentren und Marktforschungsunternehmen hat seit dem Wochenende ein zweiter Bericht des Nachrichtenmagazins „Der Spiegel“ ausgelöst. Damit hat das Thema eine breite Öffentlichkeit erreicht. Politiker meldeten sich zu Wort. Apothekenrechenzentren und IMS Health wehren sich mit Stellungnahmen gegen die erhobenen Vorwürfe.
Foto: ABDA
Weitergabe verbieten? Der Verband der Ersatzkassen fordert seit Langem ein Verbot des Handels mit Rezeptdaten. Auch bei den Apothekern gibt es entsprechende Stimmen.

Zum zweiten Mal nach anderthalb Jahren berichtet das Nachrichtenmagazin „Der Spiegel“ in seiner aktuellen Ausgabe unter der Überschrift „Pillendreher als Datendealer“ über den Umgang der Apothekenrechenzentren mit Rezeptdaten und vor allem über die Weiterverarbeitung durch Marktforscher. Im Zentrum des Spiegel-Berichts: IMS Health und der Nord-Süd-Konflikt zwischen den Apothekenrechenzentren. Im Zentrum der „Spiegel“-Vorwürfe steht vor allem wiederum das Münchner Apothekenrechenzentrum VSA.

Apothekenrechenzentren verkauften Rezeptdaten an die Pharmaindustrie. Norddeutsche Verbände kämpften für mehr Datenschutz – im Süden wollten sie weiter an Patientendaten verdienen, leitet der Spiegel seinen Text ein. Dann wird IMS Health als eine Geheimdienstzentrale der etwas anderen Art dargestellt. Der US-Konzern zähle zu den weltgrößten Sammlern von Krankheitsdaten. In firmeneigenen Datenzentren wühlten sich rund 5000 IMS-Server jedes Jahr durch über 40 Milliarden Datensätze. Das Unternehmen verfolge die Krankheiten von über 300 Millionen Patienten – darunter auch „42 Millionen verschiedene gesetzlich Versicherte“ in Deutschland, zitiert der Spiegel aus einem internen Papier. Viele Patientenkarrieren seien bis 1992 zurückverfolgbar.

Die Apotheken-Rechenzentren „verhökerten“ die Rezeptdaten für 1,5 Cent an IMS und das Frankfurter Unternehmen erstelle daraus wertvolle Studien für die Pharmazeutische Industrie. Dem Spiegel liege ein IMS-Health-Angebot an Sanofi-Aventis über Insulinverordnungen für 86.400 Euro vor. IMS sei der Platzhirsch neben kleineren deutschen Datenaufbereitern wie Insight Health oder Idapharm.

Dem Spiegel liegen nach eigenen Angaben Listen von Kliniken und Apotheken vor, die bestimmte Krebsmedikamente nutzen, teils mit Umsatzzahlen, Klarnamen und Telefonnummern. Diese sensiblen Daten lagerten laut Spiegel unverschlüsselt auf dem privaten Internetrechner eines IMS-Mitarbeiters. Der Kieler Datenschützer Thilo Weichert sprach im „Spiegel“ von einem „der größten Datenskandale der Nachkriegszeit“.

„Schlichtweg falsch“

Mit Gegenäußerungen setzten sich umgehend VSA und IMS Health zu Wehr. VSA wies den Inhalt des „Spiegel-Berichts“ als „schlichtweg falsch“ zurück. Die VSA übermittele keinerlei personenbezogene Daten – weder an Marktforschungsunternehmen noch an die Pharmaindustrie. Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert. Die zweite Anonymisierung erfolge dabei nicht bei der VSA, sondern durch eine unabhängige Clearingstelle. Dieses Vorgehen sei vom dem Bayerischen Landesamt für Datenschutzaufsicht umfassend überprüft und freigegeben worden. Insofern seien die Aussagen des Spiegels in keinster Weise nachvollziehbar und entbehren jeglicher Grundlage. Selbstverständlich erfülle die VSA dabei die sehr strengen Auflagen des Sozialgesetzbuches und des Datenschutzgesetzes. Das bestätige auch der aktuelle Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht vollumfänglich.

IMS Health wies die „Spiegel“-Behauptungen ebenfalls als falsch zurück: „IMS Health erhält von Apothekenrechenzentren keine personenbezogenen Daten und benötigt diese auch nicht“. Auch sei es unzutreffend, dass Patientenidentitäten nur verschleiert würden oder rückrechenbar seien. Die anonymisierten Daten würden von IMS Health keinen Ärzten, Apothekern oder Patienten zugeordnet, betonte Dr. Frank Wartenberg, Geschäftsführer von IMS Health in Deutschland. IMS Health erhalte Rezeptdaten nur in „aggregierten Segmenten“, erklärt das Unternehmen: „Es werden Segmente mit durchschnittlich zehn Ärzten oder Apothekern gebildet.“

Datenschutzaufsicht: „Gesetzliche Voraussetzungen erfüllt“

Auch die bayerische Datenschutzaufsicht nahm VSA gegen den Vorwurf in Schutz, unzureichend verschlüsselte Patientendaten an IMS Health zu verkaufen. „Die gesetzlichen Voraussetzungen an die Anonymisierung sind erfüllt“, reagierte Landesamts-Präsident Thomas Kranig auf den „Spiegel“-Bericht unter Verweis auf eine umfassende Prüfung Anfang 2013. „Wir haben das geprüft und sind der Auffassung: Das passt so.“ Allerdings habe es bis ins Jahr 2010 hinein durchaus Mängel bei der Anonymisierung von Patientendaten durch die VSA gegeben. „Es gab früher Verfahren, die nicht in Ordnung waren. Bei früheren Verfahren war nicht sichergestellt, dass die Daten anonymisiert das Rechenzentrum verlassen haben“, sagte Kranig.

Bundesgesundheitsminister Daniel Bahr (FDP) rief zu genauem Hinsehen auf. „Patientendaten sind hochsensibel und dürfen nicht zweckentfremdet werden“, sagte er. „Wenn es neue Vorwürfe gibt, dann müssen die Behörden diesen nachgehen.“ Wenn da etwas falsch gelaufen sei, müsse dies geahndet werden.

Der Verband der Ersatzkassen (vdek), also von Barmer, GEK, Techniker Krankenkasse und anderen, forderte ein gesetzliches Verbot des Handels mit Rezeptdaten. Die Krankenkassen hätten sich schon vor Jahren gegen einen Verkauf der Daten an die Pharmaindustrie oder an Marketingunternehmen gewandt, sagte vdek-Vorstandschefin Ulrike Elsner. „Die jetzt bekannt gewordenen Fälle zeigen noch einmal deutlich, dass diese Praxis gesetzlich unterbunden werden muss.“

Mit einem Verbot der Weiterverarbeitung drohte auch der gesundheitspolitische Sprecher der CDU/CSU-Bundestagsfraktion, Jens Spahn. Eine Rückverfolgbarkeit auf Ärzte oder Patienten dürfe auf keinen Fall möglich sein. Sollten sich die im „Spiegel“-Bericht erhobenen Vorwürfe erhärten, müsse der Gesetzgeber diese Art der Weiterverarbeitung verbieten. Auf DAZ.online-Nachfrage sagte Spahn: „Die gesetzlichen Regelungen zielen ganz klar darauf ab, eine Rückverfolgbarkeit arzt- oder gar patientenspezifisch gänzlich auszuschließen. Sollten Rechenzentren dies tatsächlich hintergehen, wäre das widerrechtlich. Erhärtet sich der Missbrauchsverdacht, müsste man die Verwendung der Daten für andere als Abrechnungszwecke völlig verbieten.“

Becker: Rechenzentren garantieren korrekte Anwendung

Die Bundesvereinigung Deutscher Apothekerverbände (ABDA) betonte, sie vertraue, dass die mit der Rezeptabrechnung beauftragten Apothekenrechenzentren die Datenschutzbestimmungen in vollem Umfang einhalten. Dies werde den Apothekern von den Unternehmen garantiert. Am Schutz der Daten hätten die Apotheker ein genauso hohes Interesse wie die Patienten. „Deutschlands Apotheker vertrauen darauf, dass die für sie tätigen Dienstleister alle Daten nach Recht und Gesetz verarbeiten“, so Fritz Becker, Vorsitzender des Deutschen Apothekerverbandes (DAV). „Die Apothekenrechenzentren garantieren den abrechnenden Apotheken die korrekte Anwendung sämtlicher Datenschutzvorschriften. Dies ist uns Apothekern von den dienstleistenden Unternehmen immer wieder bestätigt worden. Wir gehen deshalb davon aus, dass sich diese Unternehmen der Sensibilität bei der Verarbeitung von personenrelevanten Daten voll bewusst sind. Am Schutz der Daten haben die Apotheker ein genau so hohes Interesse wie die Patienten.“

In einem AZ-Interview hatte der Präsident der Bundesapothekerkammer, Dr. Andreas Kiefer, erst im Juli erklärt, dass er die Weiterverarbeitung von Rezeptdaten für Marketingzwecke der pharmazeutischen Industrie für nicht zulässig hält. „Das sind Sozialdaten, die einem besonderen Schutz unterliegen“, sagte Kiefer im Gespräch mit der Apotheker Zeitung (AZ). Zugleich begründete Kiefer als Vorsitzender des Deutschen Arzneiprüfinstitutes (DAPI) die Auswertung von Rezeptdaten zur Qualitätssicherung in der Arzneimittelversorgung und der Versorgungsforschung. Die Apotheke sei der Ort eines besonderen Vertrauensverhältnisses zum Patienten. „Dieses Vertrauensverhältnis müssen wir mit allen Mitteln und unter allen Umständen schützen und verteidigen“, sagte Kiefer.  

NRW: Verfahren gegen ARZ Haan eingeleitet

Der NRW-Datenschutzbeauftragte Ulrich Lepper hat jetzt das angekündigte förmliche Anordnungsverfahren gegen das Apothekenrechenzentrum ARZ Haan eingeleitet. Nach Ansicht der Aufsichtsbehörde verkauft ARZ Haan sensible Patientendaten an Marktforschungsunternehmen, obwohl diese nicht ausreichend verschlüsselt sind. Die monatelangen Gespräche zwischen der Behörde und ARZ zur Kompromisssuche waren erfolglos geblieben.

Der „bisher friedliche Verhandlungsweg“ habe zu keinem Ergebnis geführt, bestätigte Nils Schröder, Sprecher des Datenschutzbeauftragten, gegenüber DAZ.online. Es gebe die Befürchtung, dass die Angaben nur pseudonymisiert statt vollkommen anonymisiert werden, so Schröder weiter. Es dürfe nicht sein, dass mit wenigen Zusatzinformationen sensible Rezeptdaten Patienten, Apothekern und Ärzten zugeordnet werden könnten.

Das förmliche Anordnungsverfahren startet mit einer erneuten schriftlichen Anhörung. Die Frist für die Abgabe einer Stellungnahme von ARZ Haan endet am 6. September. Danach entscheidet der NRW-Datenschutzbeauftragte Lepper über eine Anordnung mit Vorgaben zur Datenweiterverarbeitung. Sollte das ARZ diese nicht befolgen, drohen Buß- und Zwangsgelder. Gegen diese Anordnung kann ARZ Haan jedoch Rechtsmittel einlegen. Dann müssten die Verwaltungsgerichte den Streit über den Datenschutz bei Rezeptdaten klären.

Letzten Mittwoch hatte ARZ Haan noch innerhalb der vom Landesdatenschützer gesetzten Frist einen neuen Vorschlag vorgelegt. Dieser sei bis gestern geprüft worden, sagte Schröder. Die Nachbesserungen seien aber nicht ausreichend gewesen.

„Dem mit gestrigem Datum angeordneten Anhörungsverfahren des LDI stehen wir offen und konstruktiv gegenüber. Eine weitere Stellungnahme möchten wir aufgrund des schwebenden Verfahrens nicht abgeben“, teilte ARZ Haan mit. Bereits letzte Woche hatte ARZ Haan die Vorwürfe des Datenschutzbeauftragten zurückgewiesen und Kritik am Vorgehen von NRW-Landesdatenschützer Ulrich Lepper geübt. Leppers Schritt sei weder nachvollziehbar noch hinnehmbar, teilte ARZ Haan mit. „Dass nunmehr das LDI NRW – in Widerspruch zu anderen Aufsichtsbehörden – die rechtliche Zulässigkeit der bisherigen Praxis grundsätzlich infrage stellt, ist für die ARZ weder nachvollziehbar noch im Hinblick auf eine erforderliche bundeseinheitliche rechtliche Beurteilung hinnehmbar“ sagte Stefan Mühr, Geschäftsführer der ARZ Service GmbH.

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

DAZ.online mit Werbung und Tracking

Nutzen Sie den Newsbereich von DAZ.online wie gewohnt kostenlos. Alle Details zu unseren Werbe- und Trackingverfahren finden Sie hier.

DAZ.online – ohne Tracking

Nutzen Sie DAZ.online ohne verlagsfremde Werbung und ohne Werbetracking für 9,80 Euro pro Monat.
Alle Details zu unserem DAZ.online PUR-Abo finden Sie hier.

Jetzt DAZ.online PUR-Zugang buchen

(Sie können Ihren DAZ.online PUR-Zugang jederzeit kündigen.)