Weitergabe von Rezeptdaten "Die geübte Praxis war in der Branche üblich"

Datenschützer verhängten offenbar eine Strafe von insgesamt 150.000 Euro wegen illegaler Weitergabe vertraulicher Rezeptdaten. In dem Bußgeldbescheid steht Alarmierendes: Derartiges Verhalten habe es häufiger gegeben.

Von

Apotheke, Rezept: 150.000 Euro Strafe für illegale Datenweitergabe
pa/ obs/ ABDA Bundesvgg. Dt. Apothekerverbände

Apotheke, Rezept: 150.000 Euro Strafe für illegale Datenweitergabe


Jahrelang übertrug Deutschlands größtes Apothekenrechenzentrum VSA in München streng vertrauliche Verschreibungsdaten von gesetzlich Versicherten aus weiten Teilen Deutschlands zu Marktforschungszwecken an ein Tochterunternehmen. Das belegen Unterlagen, die SPIEGEL ONLINE vorliegen. Betroffen ist rund ein Drittel aller gesetzlich Versicherten. Offenbar ging es um eine Strafe von insgesamt 150.000 Euro gegen das Apothekenrechenzentrum VSA und die Tochterfirma.

Der Entwurf eines Bußgeldbescheides des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) von 2013 belegt detailliert, wie gravierend der Fall unerlaubter Datenübermittlung war.

Die "unbefugte Weitergabe personenbezogener Daten" des Apothekenrechenzentrums VSA an eine Tochterfirma lief laut Entwurf des Bußgeldbescheids im Zeitraum von 1998 bis 2010 "monatlich in unverschlüsselter elektronischer Form". Die Strafe allerdings bezieht sich nur auf einen Zeitraum von 11 Monaten, der Rest galt als verjährt.

"Von sich aus das Gespräch mit der Aufsichtsbehörde gesucht"

Das Apothekenrechenzentrum VSA lässt dazu auf Anfrage mitteilen: "Hierbei handelte es sich um einen internen Prozess. Keineswegs wurden Daten unverschlüsselt an Dritte (zum Beispiel Pharmaunternehmen) weitergegeben und von diesen verwendet." Außerdem würden die Patientendaten heutzutage vor der Weitergabe zur anonymisierten Auswertung durch Fremdfirmen besser geschützt, unter anderem mit einer sogenannten Kryptobox. Die Tochterfirma beteuert, man habe "von sich aus das Gespräch mit der Aufsichtsbehörde gesucht". Und die habe "keine datenschutzrechtlichen Verstöße seit 2010 festgestellt." Gegen Mutter und Tochterfirma wurden Bußgelder in Höhe von insgesamt 150.000 Euro verhängt, der obige Ausriss bezieht sich auf die Tochterfirma.

Ganz so unproblematisch erschien der illegale Rezeptdatenweitergabe der zuständigen Behörde allerdings wohl nicht, sonst hätte sie kaum eine Gesamtstrafe von 150.000 Euro verhängt. "Im bundesweiten Vergleich ist das eine erstaunlich hohe Summe", sagt Niko Härting, ein Berliner Juraprofessor und Rechtsanwalt, der auf Datenschutz spezialisiert ist.

Das Apotheken-Rechenzentrum VSA bekommt seine Daten von Apotheken, für die sie eigentlich nur die Abrechnung mit der Krankenkasse abwickeln soll. Das Gesetz erlaubt allerdings auch eine Nutzung zu anderen Zwecken, wenn die Daten anonymisiert sind.

Rund ein Drittel aller gesetzlich Versicherten Deutschen sind von einer Auswertung ihrer Rezeptdaten durch die VSA betroffen:Wenn sie in einer Apotheke ein Rezept einlösen, werden in München ihre Daten erfasst - und dann für Zwecke der Marktforschung ausgewertet. Über zwölf Jahre lang geschah die Übermittlung der Daten an das damit befasste Tochterunternehmen der VSA ohne geeignete Anonymisierung. Die Rezeptdaten seien von der Tochterfirma für "Zielgruppenbestimmungen zur Einordnung von Ärzten anhand von Klassifikationsalgorithmen im Auftrag von Arzneimittelherstellern" genutzt worden, so heißt es im Entwurf des Bußgeldbescheids.

Die unzulässig übermittelten Daten eröffneten laut Bescheid die Möglichkeit, unter Hinzunahme von Zusatzwissen genau zu verfolgen, was Ärzte so verschreiben - und ihr Verschreibungsverhalten etwa durch Vertreterbesuche zu beeinflussen. Dabei sei es bei Vorliegen von entsprechendem weiteren Zusatzwissen "auch nicht auszuschließen gewesen, dass einzelne Versicherte hätten identifiziert werden können", so der Bußgeldbescheid weiter. Dafür, dass das wirklich geschehen ist, konnten die Datenschützer aber keine Anhaltspunkte finden.

Zwölf Jahre andauernde illegale Weitergabe von Rezeptdaten

"Patientendaten sind lebenslänglich", erläutert dazu Klaus Müller, Leiter des Verbraucherzentrale Bundesverband, die besondere Brisanz beim Verkauf von Rezeptdaten: "Wenn mir eine Kreditkarte geklaut wird, bekomme ich eine neue, mit einer neuen Nummer. Wenn dagegen meine Patientendaten geklaut wurden, kann ich meine Versichertennummer nicht so einfach ändern."

Trotz der Höhe des Bußgeldes erwähnte der bayerische Landesdatenschützer Thomas Kranig in seinem Jahresbericht weder die Höhe der Strafe noch die Details der illegalen Rezeptdaten-Weitergabe. Die betroffenen Patienten, Ärzte und Apotheken wurden nicht über das Ausmaß der zwölf Jahre andauernden illegalen Weitergabe von Rezeptdaten informiert.

Besonders aufhorchen lässt insbesondere ein Satz im Bußgeldbescheid. Er ist entlastend gemeint, wirkt aber alarmierend:"Zu ihren Gunsten ist zu berücksichtigen, dass die geübte Praxis in der Branche üblich war."

Schuld an der Hilflosigkeit gegenüber der weit verbreiteten Rezeptdatenweitergabe sei schlichtweg die Überforderung nicht nur des bayerischen Datenschutzbeauftragten, sagt der Berliner Anwalt und Professor Niko Härting, spezialisiert auf Datenrecht: "Wir brauchen dringend eine starke bundeseinheitliche Datenschutzaufsicht, die Zersplitterung in Länder ist anachronistisch. Gleichzeitig braucht der Datenschutz dringend eine höhere IT-Kompetenz." Bislang säßen dort vor allem Juristen. "Und die sind oft heillos überfordert von Big Data."

Das Problem ließe sich einfach lösen. Der Verkauf von Rezeptdaten ist derzeit legal, allerdings unter einer Bedingung: Laut Sozialgesetzbuch (SGBV, § 300, (2) müssen die Daten vor der Weitergabe an Dritte anonymisiert werden. Das scheint nicht immer zu klappen. Die Abgeordneten könnten die informationelle Selbstbestimmung der Versicherten schützen, indem sie einfach den einen Halbsatz im Sozialgesetzbuch streichen, der die Verwendung von Rezeptdaten "für andere Zwecke" erlaubt.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
peterle3 22.02.2016
1. Das scheint branchenüblich zu sein
Neulich, beim Augenarzt meiner Mutter, kämpften die Mitarbeiterinnen mit einer neuen Software und fanden den Datensatz meiner Mutter nicht. Dafür aber den Datensatz meines Sohnes, der definitiv nie bei einem Arzt dieses Landkreises auch nur im Wartezimmer war. Gehört es zum besonderen Service der Software-Hersteller, gleich die Patientendaten mit zuliefern? Woher??
endymion- 22.02.2016
2. Einfach Halbsatz streichen..?
Man nähme an VW manipuliert die Abgase und darf deshalb keine Autos mehr produzieren. In der Auswirkung wäre das ungefähr gleich. Warum?! Welches erfolgreiche marktwirtschaftliche Unternehmen stützt ihre Unternehmensstruktur nicht auf Analyse der vorhandenen Marktdaten von Marktbewegungen um den Bedarf der Menschen zu ermitteln?! Wenn Pharmaunternehmen dies nicht mehr dürften, würden sie im Blindflug durch die Lande fliegen und Medikamente für Erkrankungen entwickeln, die nicht gebraucht werden und andere die wichtig wären würden fehlen weil die Einschätzung fehlt was benötigt wird. Das hätte unweigerlich die Insolvenz zur Folge wenn man bedenkt dass die Entwicklung eines einzigen Medikaments ca. eine Milliarde Euro kostet Was das wiederum für die Gesundheitssysteme bedeuten würde, brauche ich hier nicht erläutern. Welchen kurzsichtigen uns offensichtlich fachfremden Journalisten haben Sie denn auf dieses Thema angesetzt? Solche Halbsätze sind Brand gefährlich, denn sie suggerieren einfache Lösungen für komplexe Zusammenhänge.
bacillus.maximus 22.02.2016
3.
Zitat von endymion-Man nähme an VW manipuliert die Abgase und darf deshalb keine Autos mehr produzieren. In der Auswirkung wäre das ungefähr gleich. Warum?! Welches erfolgreiche marktwirtschaftliche Unternehmen stützt ihre Unternehmensstruktur nicht auf Analyse der vorhandenen Marktdaten von Marktbewegungen um den Bedarf der Menschen zu ermitteln?! Wenn Pharmaunternehmen dies nicht mehr dürften, würden sie im Blindflug durch die Lande fliegen und Medikamente für Erkrankungen entwickeln, die nicht gebraucht werden und andere die wichtig wären würden fehlen weil die Einschätzung fehlt was benötigt wird. Das hätte unweigerlich die Insolvenz zur Folge wenn man bedenkt dass die Entwicklung eines einzigen Medikaments ca. eine Milliarde Euro kostet Was das wiederum für die Gesundheitssysteme bedeuten würde, brauche ich hier nicht erläutern. Welchen kurzsichtigen uns offensichtlich fachfremden Journalisten haben Sie denn auf dieses Thema angesetzt? Solche Halbsätze sind Brand gefährlich, denn sie suggerieren einfache Lösungen für komplexe Zusammenhänge.
Kann ich sachlich nicht so ganz nachvollziehen. Die Notwendigkeit der Entwicklung, und auch die Kosten in allen Ehren, aber warum namentlich personifiziert? Für die Marktforschung wären doch auch anonymisierte Daten ausreichend, es reicht ja zu wissen daß derselbe unbekannte Patient die Medikamente X, Y und Z benötigt, wer genau der Patient namentlich ist spielt doch dafür keine Rolle, oder sehe ich das falsch? Warum da explizit eine Person als Individuum erkennbar sein soll erschließt sich mir nicht.
sabbajohne 22.02.2016
4. vagabundierende Daten....
sind eine Schande für einen Rechtsstaat. Es scheint ja relativ billig zu sein, sich als Händler auch wieder freizukaufen. Die Wirtschaft kann (Lobby sei Dank) so ziemlich machen was sie will, ohne größere Befürchtungen wegen des Strafmaß' haben zu müssen.
dialogischen 22.02.2016
5. Patientennutzen nicht vergessen
Bislang fehlt ein Hinweis, dass Daten, welche Versichertennummer welche Arzneimittel verordnet bekam, von der Tochterfirma an Dritte herausgegeben wurden. Ich bezweifle, dass derartiges zweckmässig oder lohnend gewesen wäre. Die Daten als solche ( anonymisiert ) sind wichtig und ihre Nutzung durch Dritte dient der Verbesserung der Versorgung ( was kranke Kassen naturgemäß ungern sehen ). Es schadet nicht zu erfahren, wenn ein relevanter Patientenanteil eine bestimmte Medikation unregelmäßig einnimmt oder gar häufig abbricht. Vielmehr helfen Erkenntnisse aus solchen Daten, Probleme zu erkennen - und ggf. zu beseitigen, was eine regelmäßige und wirksame Medikation verhinderte. Hier gehen Patientennutzen und Anbieternutzen Hand in Hand - eher regelmäßig, denn selten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.