Rezeptdaten

Weichert: Es wird geleugnet und verharmlost

Berlin - 04.07.2013, 09:04 Uhr


In die neu entbrannte Diskussion um den datschutzkonformen Umgang mit Rezeptdaten hat sich erneut der Landesbeauftragte für Datenschutz Schleswig-Holstein. Dr. Thilo Weichert, eingeschaltet. Er wirft in seiner Stellungnahme Datenverarbeitern vor, jahrelang im Dunkeln agiert zu haben. Außerdem erinnert Weichert die Apotheker an das Berufsgeheimnis und ihre Schweigepflicht.

Lesen Sie hier die vollständige Einschätzung des Leiters des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Dr. Thilo Weichert, zur aktuellen Diskussion:

Die Diskussion um die Weitergabe von Rezeptverschreibungsdaten von Apothekenrechenzentren an Bedarfsträger in der Wirtschaft, u. a. an die Firma IMS Health, erinnert mich ein wenig an die aktuelle Diskussion um die Abhörprogramme der US-amerikanischen und der britischen Sicherheitsbehörden: Über Jahre hinweg wurde im Dunkeln agiert. Als nun bekannt wurde, dass gegen Datenschutzregelungen verstoßen wird, wird geleugnet und verharmlost und auch schon mal gedroht. Die Bereitschaft zur freiwilligen Beachtung der Regeln zum Datenschutz ist keine Selbstverständlichkeit – hätte dies doch zur Folge, auf äußerst lukrative bzw. als vorteilhaft empfundene langjährige Praktiken verzichten zu müssen.

Es ist nun schon mehr als ein Jahr her, dass „Der Spiegel“ über illegale Praktiken bei der Weitergabe von Rezeptverschreibungsdaten berichtete. Die Datenschutzbehörden nahmen daraufhin ihre Ermittlungen auf. Die Ergebnisse wurden im Herbst 2012 ausgetauscht und zusammengefasst: Entgegen der Regelung in § 300 Sozialgesetzbuch V gaben die Apothekenrechenzentren (ARZ) an IMS Health und andere keine anonymisierte, sondern – unzulässig – pseudonymisierte Daten heraus. Das Ergebnis beruhte auf einer fundierten Analyse der genutzten Datensätze und der Verarbeitungsprozesse. Die nach der Kritik vom Norddeutschen Apothekenrechenzentrum (NARZ) vorgenommenen Änderungen wurden als richtungsweisend akzeptiert. Das Bayerische Landesamt für Datenschutzaufsicht hat seine abweichende Position bis heute nicht nachvollzieh- und kritisierbar begründet.

In den jüngsten Äußerungen des süddeutschen Apothekenrechenzentrums VSA wird indirekt zugegeben, dass von ihr keine vollständig anonymisierten Datenlieferungen erfolgen. Das verlangt aber das Gesetz. Wenn das NARZ seine Datenlieferung umgestellt hat, so nicht aus „vorauseilendem Gehorsam“, sondern aus Rechtstreue. Diese hat übrigens das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in einem Gespräch mit IMS Health eingefordert. Es hat angeboten, ein entsprechend geändertes Verfahren förmlich zu zertifizieren. Entsprechende Dokumente sowie ein Antrag auf ein Gütesiegel ist beim ULD bisher nicht eingegangen. Unklar ist, welches Zertifizierungsverfahren nun das VSA durchgeführen lässt. Außer dem eigenen ist dem ULD keine förmliches Datenschutzzertifizierungsverfahren bekannt.  Wohlgemerkt: Es geht hier um Datenschutz, also Rechtmäßigkeit – nicht um technisch-organisatorische Datensicherheit.

In diesem Zusammenhang sei auf Folgendes hingewiesen: ARZ verarbeiten im Auftrag von Apotheken Rezeptdaten. Diese sind strafrechtlich an ihr Berufsgeheimnis gebunden und bleiben für ihre Rezeptdaten im ARZ als Auftraggeber rechtlich verantwortlich. Ein Verstoß gegen die Schweigepflicht setzt die Apotheken der Gefahr der Strafverfolgung aus, wenn sie – was inzwischen bekannt ist – von der nicht hinreichend anonymisierten Datenweitergabe wissen. Das ULD hat daher den Apotheken in Schleswig-Holstein dringend von der Beauftragung von ARZ ohne hinreichende Anonymisierung abgeraten.

Während die US-amerikanische und britische Nachrichtendienste mit dem Terrorismus drohen, schwingen ARZ nun mit der Gebührenkeule. Ein illegales Geschäftsmodell wird dadurch nicht besser, dass es billiger und lukrativer sein soll. Die Datenschutzbehörden im Düsseldorfer Kreis haben immer den direkten Austausch von Argumenten gesucht. Wir scheuen aber nicht den indirekten Austausch vor Gericht. Es wäre jedoch traurig, wenn die Dienstleister des Vertrauensberufs „Apotheker“ erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären. Vom britischen Geheimdienst erwarten wir die Beachtung des Datenschutzgrundrechtes auch nicht erst, nachdem der Europäische Gerichtshof ihn verurteilt hat.


Lothar Klein