Verkaufte Rezeptdaten "Keine Verschlüsselung, sondern Verschleierung"

Deutsche Rechenzentren verkaufen sensible Rezeptdaten. Eigentlich sollten die Datensätze zu diesem Zweck anonymisiert werden - doch das geschah in der Vergangenheit manchmal offenbar nicht. Fachleute warnen vor vermeintlicher Verschlüsslung.
Rezeptübergabe in der Apotheke: Sehr private Daten verkauft

Rezeptübergabe in der Apotheke: Sehr private Daten verkauft

Foto: Arno Burgi/ picture alliance / dpa

Wer in der Apotheke ein Rezept einlöst, muss damit rechnen, dass seine Rezeptdaten hinter seinem Rücken an Marktforschungsfirmen im In- und Ausland weiterverkauft werden. Das geschieht ohne Einwilligung und ohne eine Opt-Out-Möglichkeit. Den meisten Versicherten dürfte der Verkauf ihrer Rezeptdaten-Daten nicht recht sein, legt eine aktuelle Studie nahe.

Die Weitergabe erfolgt teils über Apothekenrechenzentren, die für die Abrechnung mit den Krankenkassen beauftragt sind. Den wenigsten Patienten ist dieser Handel mit ihren Krankheitsdaten bewusst.

Die verkauften Rezeptdetails sind umfassend: Medikament, Geburtsjahr und Geschlecht der Patienten, Ausstellungsdatum, Abgabedatum und vieles mehr.

Rezeptdaten sind brisant. Die Information, dass ein Arbeitnehmer zum Beispiel Medikamente gegen Wahnvorstellungen verschrieben bekommt, könne "Karrieren brechen", warnt ein Gutachten . Begehrt dürften auch Einblicke in das Verschreibungsverhalten von Ärzten sein - um sie gezielt durch Außendienstmitarbeiter von Pharmaherstellern zu beeinflussen.

Der Verkauf von Rezeptdaten ist legal , allerdings unter einer Bedingung: Laut Sozialgesetzbuch (SGBV, § 300, (2))  müssen die Daten vor der Weitergabe an Dritte anonymisiert werden. Zudem werden personenbezogene Daten wie die Versichertennummer oder Arztnummer vor dem Verkauf verschlüsselt, um einen Rückschluss auf Patienten oder Arzt auszuschließen. Das war aber nicht immer so.

Letztes Jahr zum Beispiel hat Thomas Kranig, der Leiter des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) mitgeteilt, dass beim süddeutschen Apothekenrechenzentrum VSA in München "die Verfahrensweise bis zum Jahr 2010 nicht den gesetzlichen Vorgaben  entsprach" beim Verkauf der Rezeptdaten: Unverschlüsselte und nicht gesetzeskonform anonymisierte Daten wurden von den beteiligten Firmen übermittelt, abgerufen und gespeichert.

Die verkauften Rezeptdaten wurden laut einem vertraulichen Schreiben eines Anwalts im Namen des Rechenzentrums an das BayLDA offenbar auch zum "Patiententracking" benutzt. Auch die "Zuordnung einzelner Verordnungen zu einem bestimmten Arzt" und "Aussagen zu einzelnen Ärzten" waren demnach möglich. Das aber wäre illegal, sollte es zutreffen.

Untaugliches Anonymisierungsverfahren

Die Weitergabe vertraulicher Patientendaten betrifft nicht nur ein paar lokale Apotheken. Das bayerische Apothekenrechenzentrum VSA verarbeitet die Rezeptdaten von rund einem Drittel aller in Deutschland gesetzlich Versicherten.

Der illegale Umgang mit Rezeptdaten gehöre seit 2010 der Vergangenheit an, so der bayerische Datenschützer: "Im Abschlussbericht vom 9. Januar 2013 hat das BayLDA keine datenschutzrechtlich unzulässigen Datenverarbeitungen durch die VSA festgestellt." Doch Wissenschaftler bezweifeln diese Darstellung. Der umstrittene Umgang mit Rezeptdaten dauert schon über zehn Jahre an . Informatiker warnen nun, dass das Rechenzentrum VSA möglicherweise noch bis 2012 ein untaugliches Anonymisierungsverfahren eingesetzt habe.

Das Apothekenrechenzentrum VSA lässt zu diesem Vorwurf über eine Anwaltskanzlei mitteilen: "Bis Mai 2012 verschlüsselte unsere Mandantin Daten nach dem Verfahren SHA-256. Dieses Verfahren war bei dessen Einführung State of the Art und gilt bis heute als ein sicheres Verfahren."

Viele namhafte Computerexperten sehen das anders: "Ich finde das Verfahren nicht passend, um eine angemessene Anonymisierung durchzuführen. Ich würde es lieber eine Verschleierung nennen", warnt etwa Norbert Pohlmann, Professor für Informatik am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen.

Nägel mit einem Stuhl einschlagen?

Etliche Sicherheitsexperten stimmen ihm zu (siehe Kasten unten): SHA-256 sei zwar ein weit verbreitetes Standardverfahren für andere Zwecke, aber zum Schutz von Versichertennummern ungeeignet. Das sei auch schon im Jahr 2012 der Fall gewesen. "Ein Stuhl ist auch ein weit verbreitetes Verfahren zum Sitzen", sagt Peter Leppelt, Gründer der Sicherheitsfirma Praemandatum aus Hannover: "Aber ein Stuhl eignet sich eben nicht dazu, einen Nagel einzuschlagen."

Die Rückrechnung einer Versichertennummer, die mit SHA geschützt ist, dauere mit einem herkömmlichen PC nur wenige Minuten. Mit ein paar einfachen Tricks lasse es sich in Sekunden erledigen. Selbst Datenschützer Kranig teilt mit: "SHA-256 ist kein Verschlüsselungsverfahren." Damit scheint er sich der Professorenmeinung anzuschließen.

Das Rechenzentrum VSA widerspricht: Es sei nicht wahr, dass "das Verfahren SHA-256 bei dessen Einführung bis heute nicht State of the Art gewesen" sei. Es stimme auch nicht, dass "dieses Verfahren von Experten nicht als sicher bezeichnet" werde.

Nicht einmal das genaue Datum der Löschung ist bekannt

Seit 2012 hat das Apothekenrechenzentrum seine Anonymisierungsmethoden dennoch umgestellt auf ein "Trustcenter"-Verfahren mit "Krypto-Box" und dem Verschlüsselungsverfahren AES. Im April 2014 hat es für den Datenverarbeitungsprozess sogar ein Iso-Zertifikat bekommen .

Trotz der fundamentalen Meinungsverschiedenheiten zwischen dem Datenschützer und dem Rechenzentrum taucht das Problem im Datenschutzbericht  für die Jahre 2011/2012 aber gar nicht auf. Datenschützer Kranig will sich zu den Vorgängen nicht äußern: Die "Ergebnisse unser Datenschutzprüfungen" würden "ohne Einwilligung der betroffenen Unternehmen nur in Extremfällen der Öffentlichkeit und der Presse" mitgeteilt.

Der Fall sei abgeschlossen, lässt Kranig lediglich wissen. Außerdem seien die umstrittenen Datensätze gelöscht worden. "Das Löschprotokoll liegt dem Bayerischen Landesamt für Datenschutzaufsicht vor", schreibt auch die VSA.

Das genaue Datum der Datenlöschung wollen allerdings weder VSA noch BayLDA verraten. Auf Nachfrage antwortet die VSA, sie habe "bereits versichert, dass die Löschung vorgenommen wurde. Dies müssen wir Ihnen nicht durch Unterlagen beweisen."

Experten warnen: Wenn unverschlüsselte Patientendaten einmal in falsche Hände gelangen, ist es sehr schwierig, diese Daten im Nachhinein wieder zurückzufordern, zumal von ausländischen Firmen. Ein Passwort oder eine Kreditkartennummer lässt sich nach einem Datenleck leicht ändern. Ihre Versichertennummer dagegen behalten Patienten meist ein Leben lang.

Paul Francis vom Max-Planck-Institut für Softwaresysteme in Kaiserslautern warnt: Sensible Daten sollten erst gar nicht in die Hände Dritter gelangen, denn es sei nie klar, welche Formen von Auswertung künftig möglich sein würden.

Es gäbe eine einfache gesetzliche Lösung

Der Datenschutz ist in Deutschland föderal organisiert, in anderen Bundesländern herrscht eine andere Praxis. Das norddeutsche Apothekenrechenzentrum  zum Beispiel liefert keine detaillierten Rezeptdaten mehr an Marktforschungsfirmen: Das Datenfeld für die Versichertennummer etwa wird nicht verschlüsselt, sondern einfach leer gelassen. Sogar das Deutsche Arzneiprüfinstitut (DAPI) , das die Medikamentensicherheit überwacht, gibt sich mit derartig bereinigten Datensätzen zufrieden.

Das Bundesministerium für Gesundheit (BMG) hielt bislang die Weitergabe und Nutzung von Rezeptdaten durch Apothekenrechenzentren für unproblematisch. Annette Widmann-Mauz (CDU), Staatssekretärin im BMG, antwortete vor einem Jahr auf eine Kleine Anfrage der Grünen : "Aus Sicht der Bundesregierung wäre es zu begrüßen, wenn sich die Datenschutzaufsichtsbehörden der Länder auf eine einheitliche Auffassung verständigten." Man werde die weitere Entwicklung "sorgfältig dahingehend beobachten, ob gesetzlicher Änderungsbedarf besteht".

Eine bundeseinheitliche Regelung wäre einfach zu erreichen. Der Bundestag könnte zum Beispiel beschließen, den einen Halbsatz im Sozialgesetzbuch  zu streichen, der den Handel mit den Rezeptdaten erlaubt. Er lautet: "...anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden."

Der wirtschaftliche Schaden, der den Apothekenrechenzentren entstünde, wenn sie die Rezeptdaten nicht mehr an Marktforscher weiterverkaufen dürften, ist überschaubar. Pro Rezept bekommen sie etwa anderthalb Cent.

Expertenmeinungen zur Anonymisierung von Versichertennummern beim Verkauf von Rezeptdaten mit Hilfe des Verfahrens SHA-256 im bayerischen Apothekenrechenzentrum VSA zwischen 2010 und 2012