„Keine Verschleierung“

„Deutsche Rechenzentren verkaufen sensible Rezeptdaten. Eigentlich sollten die Datensätze zu diesem Zweck anonymisiert werden – doch das geschah in der Vergangenheit manchmal offenbar nicht. Fachleute warnen vor vermeintlicher Verschlüsselung“, beginnt der Spiegel seinen Bericht. Wer in der Apotheke ein Rezept einlöse, müsse damit rechnen, dass seine Rezeptdaten hinter seinem Rücken an Marktforschungsfirmen im In- und Ausland weiterverkauft würden.

Laut „Spiegel“ warnen vom Nachrichtenmagazin befragte Computerexperten, dass „das Rechenzentrum VSA möglicherweise noch bis 2012 ein untaugliches Anonymisierungsverfahren eingesetzt habe“. Es geht um das Verfahren SHA-256, das die VSA bis Mai 2012 einsetzte. Laut VSA sei dieses Verfahren bei dessen Einführung State of the Art gewesen und gelte bis heute als ein sicheres Verfahren. Das bezweifeln die vom „Spiegel“ befragten Experten: „Ich finde das Verfahren nicht passend, um eine angemessene Anonymisierung durchzuführen. Ich würde es lieber eine Verschleierung nennen“, lässt sich Norbert Pohlmann, Professor für Informatik am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen zitieren.

SHA-256 sei zwar ein weit verbreitetes Standardverfahren für andere Zwecke, aber zum Schutz von Versichertennummern ungeeignet, so der „Spiegel“. Die Rückrechnung einer Versichertennummer, die mit SHA geschützt ist, dauere mit einem herkömmlichen PC nur wenige Minuten. Mit ein paar einfachen Tricks lasse es sich in Sekunden erledigen. Mit dem seit 2012 von der VSA verwendeten „Trustcenter“-Verfahren mit „Krypto-Box“ und dem Verschlüsselungsverfahren AES zeigt sich der „Spiegel“ hingegen einverstanden. Im April 2014 habe die VSA für den Datenverarbeitungsprozess sogar ein ISO-Zertifikat bekommen.

Laut VSA greife der aktuelle Spiegel online-Beitrag zum wiederholten Male Verschlüsselungsverfahren der VSA aus der Vergangenheit auf und verbinde damit Vorwürfe beim Umgang mit Rezeptdaten. Dagegen habe die VSA bereits erfolgreich einstweilige Verfügungen erwirkt. Schon 2013 hätten die Gerichte bestätigt, dass die Vorwürfe unzutreffend seien. Das Verschlüsselungsverfahren SHA 256 sei bei Einführung in der angewendeten Form und innerhalb der angewendeten Prozesse ein gängiges, geeignetes und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) positiv bewertetes Mittel zur Datenverschlüsselung gewesen. Im Rahmen turnusmäßiger Überprüfungen aller angewendeter Verfahren und nach Kenntnis über aktuellere und dem SHA 256 überlegene Verfahren seien die verwendeten Schlüssel in 2012 angepasst worden. Alle mit der bis dahin angewendeten Methode verschlüsselten Daten seien beim Empfänger gelöscht worden. Das Löschprotokoll sei dem Bayerischen Landesamt für Datenschutzaufsicht übermittelt worden. „Die Behauptungen, die Löschung sei nicht erfolgt, sind unzutreffend“, so VSA.

In allen Angelegenheiten zum Thema Datenschutz stehe die VSA seit Jahren in engem Austausch mit dem zuständigen Bayerischen Landesamt für Datenschutzaufsicht und lege größten Wert auf vollständige Gesetzeskonformität, die das Bayerische Landesamt für Datenschutzaufsicht bestätige. Darüber hinaus sei 2014 seitens der VSA ein Gutachten beim Fraunhofer Institut in Auftrag gegeben worden. In dieser wissenschaftlichen Untersuchung hätten Experten mehrere Monate vor Ort den Prozess zur Datenlieferung von anonymisierten Verordnungsdaten analysiert. VSA: „Als Ergebnis wurde auch hier festgestellt, dass das bei der VSA eingesetzte Verfahren zur faktischen Anonymisierung von Rezeptdaten den gesetzlichen Vorgaben entspricht.“