"Mistkäfer" als Datendealer?

Von


Fotostrecke

11  Bilder
Rezeptdatenverkauf: "Mistkäfer" als Datendealer?
Das apothekereigene Rechenzentrum VSA verkauft Rezeptdaten an Marktforschungsfirmen. Ein prominenter Kritiker bezeichnet die dortige Auffassung von Datenschutz als "juristischen und technischen Witz".

Titelbild
Mehr dazu im SPIEGEL
Heft 34/2013
Wie der VW-Konzern die Welt überrollt

Das Thema Rezeptdatenhandel kocht immer weiter hoch. Am 18. August berichtete ich im SPIEGEL darüber, dass das süddeutsche Apothekenrechenzentren VSA Rezeptdaten an Marktforschungsfirmen verkauft. Das kritisierte Apothekenrechenzentrum VSA schoss in einer Pressemitteilung scharf zurück: "Die Aussage des SPIEGELS, die VSA würde unzureichend verschlüsselte Daten an Marktforschungsunternehmen wie IMS verkaufen, ist schlichtweg falsch. Die VSA übermittelt keinerlei personenbezogene Daten - weder an Marktforschungsunternehmen noch an die Pharmaindustrie."

Was aber versteht das Apothekenrechenzentrum VSA unter "personenbezogene Daten" und "anonym"? Um diese Definition dreht sich der gesamte Streit. Dazu später mehr.

Der SPIEGEL soll eine Unterlassungserklärung unterzeichnen, fordern Anwälte der VSA. Auch der Datenschützer Thilo Weichert soll eine Unterlassungserklärung unterschreiben. Beide haben abgelehnt. Bald könnten die Gerichte entscheiden.

Vielen ist das Thema unangenehm so kurz vor der Bundestagswahl (am 22. September) und der Landtagswahl in Bayern (am 15. September). Auch Bundesgesundheitsminister Daniel Bahr (FDP) mischt sich ein: "Die zuständigen Stellen, wie z. B. die Staatsanwaltschaften sind aufgefordert, möglichen neuen Vorwürfen gegen Apothekenrechenzentren nachzugehen."

Seit der Veröffentlichung meines Artikels habe ich auch Leserbriefe von Apothekern zum Artikel bekommen - teils in wütendem Ton. Auch im SPIEGEL-ONLINE-Forum ging es in über 300 Beiträgen hoch her, ebenso wie auf den Seiten von Branchenmedien wie der "Deutschen Apothekerzeitung". Etliche Beiträge stellen allerdings auch besorgte Fragen an Apothekenrechenzentren. Mehr dazu weiter unten.

Mit diesem Blogbeitrag möchte ich durch ein paar Dokumente und Erläuterungen zur Versachlichung der Debatte beitragen.

Mein Artikel bringe "eine ganze Berufsgruppe in Misskredit", lautet ein Vorwurf. Wie das? Mein Artikel schildert einfach den Streit zwischen norddeutschen und süddeutschen Apothekenrechenzentren und Datenschützern. Ich erwähne ausdrücklich, dass sich einige Apotheker für starken Datenschutz beim Umgang mit Rezeptdaten einsetzen. Eine Methode: Das norddeutsche Apothekenrechenzentrum (Narz) gibt sensible Rezeptdaten gar nicht erst an Marktforscher weiter. Das ist billig, einfach, nachvollziehbar: Daten, die nicht weitergegeben werden, können auch nicht entschlüsselt werden.

Knapp zusammengefasst für eilige Leser: Es geht in der Debatte natürlich um die Frage der Legalität, aber auch der Legitimität. Welches Interesse sollten Patienten und Ärzte daran haben, dass ihre Rezeptdaten überhaupt an Marktforscher weitergegeben werden, egal ob unverschlüsselt oder anonym? Angenommen, man würde Ärzte oder Patienten in Praxis oder Apotheke um die Zustimmung zur anonymisierten Weitergabe ihrer Rezeptdaten an Marktforschungsfirmen bitten: Wie viele würden so etwas unterschreiben?

Nun zu ein paar Details.

Auch der Bayerische Apothekerverband BAV hat sich in die Debatte eingeschaltet. Er hat eine Beschwerde beim Deutschen Presserat gegen mich eingereicht. Es geht dabei vor allem um zwei Punkte: Die Überschrift "Pillendreher als Datendealer" und die Abbildung eines Apothekentresens.

Mit dem Foto werde suggeriert, so der BAV, "dass Apothekerinnen und Apotheker Patientendaten verkaufen".

Nun, die Infografik neben dem Foto beschreibt detailliert, wie die Daten von der Apotheke zum Marktforschungsunternehmen gelangen. Selbst wer den Artikel nicht liest, kapiert mit der Grafik auf einen Blick, worum es geht.

Es scheint in der Tat so, dass Apotheker Verantwortung tragen für das, was das süddeutsche Apothekenrechenzentrum VSA mit ihren Daten tut: Das Apothekenrechenzentrum VSA gehört dem Apothekerverein FSA, dessen Mitglieder approbierte Apotheker sein müssen, wie es in der Satzung eindeutig heißt. "Aufgrund dieser besonderen Gesellschafterstruktur ist die VSA GmbH zu 100% ein apothekereigenes Unternehmen", heißt es auf der Website: "Denn der FSA garantiert den apothekereigenen Charakter der VSA." Der FSA gehört rund 4500 Apotheken. So einfach ist das.

Außerdem ist das Apothekenrechenzentrum VSA eng mit dem Bayerischen Apothekerverband (BAV) verbunden. Josef Kammermeier zum Beispiel sitzt nicht nur im Vorstand des (BAV), sondern auch im Aufsichtsrat des Apothekenrechenzentrums VSA. Außerdem betreibt er selbst eine Apotheke. Sechs von neun Aufsichtsratsmitgliedern der VSA sind Apotheker. Und jede Apotheke hat die freie Wahl, an welches Apothekenrechenzentrum sie ihre Rezeptdaten schickt. Hamburger Apotheker können die VSA wählen, Münchner Apotheker das norddeutsche Rechenzentrum Narz.

Einige Apotheker fühlen sich zu Unrecht an den Pranger gestellt: "Auch wir Apotheker verurteilen diesen Handel mit Daten, haben aber keinen Einfluss auf die Politik der Rechenzentren außer den Wechsel zu einem anderen. Dies wäre aber mit extremen rechtlichen Streitereien verbunden bzgl. laufender Abrechnungen oder Retaxations- und Rückforderungsverfahren der Kassen während des Wechsels." Das schreibt Chris Hellinger von der Delphin-Apotheke in Leipzig in einem Leserbrief. Es gibt Gerüchte, dass sich einige Apotheker nun zusammentun, um Anwälte einzuschalten gegen Apothekenrechenzentren.

Als zweiten wichtigen Punkt kritisiert der Bayerische Apothekerverband: "Apotheker werden als 'Pillendreher' bezeichnet, als Insekten, die im Volksmund als 'Mistkäfer' bekannt sind".

Ein Blick in den Duden hätte genügt: "Pillendreher" ist einfach ein Synonym für Apotheker. Es ist "scherzhaft und umgangssprachlich". Der Begriff kommt aus einer Zeit, als Apotheker ganz wörtlich ihre eigenen Pillen drehten. Es gibt mindestens eine österreichische und eine deutsche Apotheken-Website, die beide den Begriff "Pillendreher" verwenden. Nein, wendet der BAV auf Nachfrage ein: "Der fränkische Kabarettist Michl Müller nennt sich selbst z.B. 'Dreggsagg'", er "dürfe aber jemand anderes nicht so bezeichnen." Der Vergleich hinkt. Der Duden beschreibt "Drecksack" im Gegensatz zu "Pillendreher" als "derb emotional abwertend".

Zum Verdacht aber, dass unzureichend verschlüsselte Rezeptdaten vom Apothekenrechenzentrum VSA an Firmen wie IMS Health weitergegeben werden könnten, antwortet der Bayerische Apothekerverband (im Schulterschluss mit VSA und IMS): "Nach unserer Kenntnis hat IMS Health keine patientenindividuellen Auswertungen verkauft. Die Apothekerinnen und Apotheker würden sofort strenge Konsequenzen ziehen, wenn in der Verarbeitungskette von sensiblen Patientendaten nachweislich ein Leck im Datenschutz aufgedeckt würde."

Diese Antwort ist erstaunlich. Denn ich hatte doch in meinem Artikel aus einem Angebot zitiert, das dem SPIEGEL vorliegt. In dem Angebot bietet IMS dem französischen Pharmakonzern Sanofi-Aventis Informationen aus Insulin-Rezepten - "patientenindividuell" und mit "zwölf Monats-Updates" - für 86.400 Euro an. In anderen Dokumenten bewirbt IMS aggressiv seine Steckbriefe zur "Identifizierung der spezialisierten Ärzte". Sind das nicht Hinweise auf Lücken im Datenschutz, fragen sich Kritiker?

IMS Health widerspricht der Kritik, die ich in meinem Artikel wiedergegeben habe: "Es ist zu keiner Zeit ein Rückschluss auf einzelne Ärzte oder einzelne Patienten weder bei IMS Health noch bei unseren Kunden möglich."

Wie plausibel sind die Versicherungen von IMS Health und vom Bayerischen Apothekerverband? Letztendlich müssen das wohl Datenschützer oder Gerichte bewerten.

Das IMS-Angebot

Das IMS-Angebot

Viele Patienten, Ärzte und Apotheker fragen sich, ob es eine gute Idee ist, sensible Rezeptdaten an Firmen wie IMS Health zu übertragen. Einige Brancheninsider packen nun gegenüber Ermittlern und Presse aus. Teilweise tun sie das aus echter Besorgnis; teilweise, weil sie der Konkurrenz schaden wollen; teilweise, weil sie hoffen, besser dazustehen im Falle einer Strafverfolgung. Doch einige Dokumente sind besorgniserregend, finden Kritiker.

Hier nur ein paar Beispiele von Dokumenten, die dem SPIEGEL vorliegen:

Fotostrecke

11  Bilder
Rezeptdatenverkauf: "Mistkäfer" als Datendealer?
IMS Health kommentiert die obigen internen Unterlagen auf Nachfrage folgendermaßen: "Die Angebote sind allesamt datenschutzkonform, es handelt sich um anonymisierte Daten auf aggregiertem Analyseniveau. Wie in unserer Stellungnahme auf Ihre Anfrage im August bereits erläutert, meint der Begriff 'patientenindividuell' stets nicht namentlich genannte Patienten, es geht hier ausschließlich um statistische Daten zu Krankheitsverläufen, die IMS Health anbietet." Und weiter: "IMS Health hat Arztdaten immer nur in Segmenten erhalten, die Einzelanalysen für individuell gebildete Arztgruppen nicht ermöglichen."

Außerdem äußert sich IMS ausführlich zu den von mir genannten Vorwürfen und schreibt unter anderem: "Die Praxen oder Apotheken werden in den Datenlieferungen an uns Segmenten zugeordnet, die durchschnittlich 10 und mindestens 3 Praxen bzw. Apotheken enthalten."

Trotz dieser Versicherungen dürften manche Fragen einige Apotheker nachdenklich machen: Ist es wirklich in ihrem Interesse, dass die Rezeptdaten ihrer Kunden für die in den Unterlagen genannten Zwecke verwendet werden könnten? Der Datenschützer Thilo Weichert Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) findet deutlichere Worte zum obigen Statement von IMS: "Die Äußerungen von IMS Health sind Bestandteil der Strategie, Nebelkerzen zu werfen und zugleich im Walde zu pfeifen. 'Patientenindividuell' heißt personenbeziehbar. Niemand hat irgendwann einmal behauptet, dass durch VSA oder IMS Patienten 'namentlich' genannt würden. Das Gesetz fordert Anonymität, nicht das Verändern des Namens."

Der Gesetzgeber schreibt eindeutig vor: Rezeptdaten müssen laut Sozialgesetzbuch V (SGBV, § 300) vor der Weitergabe an Marktforschungsunternehmen anonymisiert werden.

Wie eng und präzise der Gesetzgeber den Rezeptdatenhandel beschränkt, geht aus der Bundestagsdrucksache vom 1. Februar 2007 hervor (16/4247) hervor: Es sollen "keine Datengrundlagen für Prämiensysteme an Pharmaberater bereitgestellt werden können, durch die eine gezielte Förderung von Verordnungszuwächsen bei einzelnen Ärzten belohnt wird." Deutlicher geht es kaum.

Ob das Herunterbrechen auf "durchschnittlich 10 und mindestens 3 Praxen" durch Firmen wie IMS zu diesen Vorgaben passt, bezweifeln einige Fachleute. Das Originaldokument der Bundestagsdrucksache befindet sich hier (Pdf, S. 59).

Wie aber kann ein Marktforschungsunternehmen wie IMS überhaupt patientenindividuelle Krankheitsverläufe analysieren? IMS lässt mitteilen: "Die Analysen zu den bezeichneten Substanzen basieren teilweise auch auf Rezeptdaten."

In einer internen E-Mail bei Vertragsverhandlungen zwischen Rezeptdatennutzern heißt es: "Eine vollständige Anonymisierung würde die Daten für den Empfänger wertlos machen, d.h. ein Interesse an solchen Daten dürfte nur bestehen, wenn die Verschlüsselung in der Praxis nicht zu einer vollständigen und tatsächlichen Anonymisierung führt." Die Verantwortlichen wiegeln ab, das Schreiben sei "im sprachlichen Ausdruck in einem nun völlig anderen Zusammenhang gestellt", der "möglicherweise Interpretationsspielraum zulässt". Ob derlei Indizien dazu geeignet sind, das Vertrauen in den Datenschutz beim Rezeptdatenhandel zu stärken, mag jeder für sich beurteilen.

Nun schicken mir IMS und VSA nach langem, hartnäckigen Nachfragen eine Verpflichtungserklärung und eine Eidesstattliche Versicherung. Darin versichert das Marktforschungsunternehmen IMS der VSA unter anderem: "Kein Patient braucht Sorge zu haben, dass die an uns gelieferten Rezeptdaten missbräuchlich verwendet werden."

Die Eidesstattliche Versicherung und die Verpflichtungserklärung klingen erst einmal beruhigend. Doch was versteht man bei der VSA unter "anonym" und "missbräuchlich"? Das fragen sich Datenschützer. Und sind die sensiblen Rezeptdaten wirklich durch Verschlüsselung und Eidesstattliche Versicherungen ausreichend geschützt? Oder wäre es für das Vertrauen zwischen Patient und Apotheker nicht vielleicht doch besser, man würde sensible Rezeptdaten erst gar nicht an Marktforscher übertragen?

Der IMS-Gechäftsführer Frank Wartenberg lässt mir am 6. September bestätigen, dass er von Apothekenrechenzentren wie VSA tatsächlich Rezeptdaten erhält. Darin sind nicht nur Datum, Medikament, Dosierung aufgelistet ist, sondern auch: eine anonyme Versichertennummer, das Geschlecht des Versicherten, das Geburtsjahr des Versicherten. IMS weist aber darauf hin: "Es werden von den Apothekenrechenzentren ausschließlich anonymisierte Daten geliefert."

Ist es also zulässig, zusammen mit Medikamentendetails auch das Geburtsjahr und Geschlecht von Patienten an Marktforschungsfirmen zu übertragen? Vielen Patienten dürfte nicht bewusst sein, dass diese Daten an Dritte verkauft werden, nachdem sie in der Apotheke ein Rezept einlösen. Dennoch ist es millionenfache Praxis in Deutschland. Dazu dürften bald einige Entscheidungen fallen. "Mir reichen diese Angaben, um unzweifelhaft in rechtlich zutreffender Weise feststellen zu können, dass die nach §300 SGBV geforderte Anonymisierung nicht erfolgt", schreibt mir der Datenschützer Thilo Weichert auf Nachfrage.

Aggressiv drängt IMS derzeit Zulieferfirmen, wie gehabt detaillierte Rezeptdaten zu liefern. Angeblich forderte IMS letzten Donnerstag eine Zulieferfirma auf, sensible Rezeptdetails preiszugeben. Über die Weigerung der Zulieferfirma spottet der Anwalt von IMS: "Die Klägerin sagt, sie müsse nur Datenfelder liefern, diese könnten aber leer bleiben. Das wäre so, als wenn man eine Vergütung für ein paar Schuhe verlangt, wenn man nur den leeren Schuhkarton liefert." Der Fall beschäftigt das Landgericht Frankfurt.

Ist es ok, dass ein US-Konzern die Herausgabe von deutschen Rezeptdaten verlangt, auf denen neben den Medikamenten auch Alter, Geschlecht und (verschlüsselte) Versichertennummer stehen? Das fragen sich derzeit einige Juristen, Patienten, Ärzte und Apotheker. Und wie sicher sind die von Apothekenrechenzentren übertragenen Rezeptdaten bei einer Firma wie iMS mit ihren 5 000 Servern? Sind die Rezeptdaten der VSA dort in guten Händen?

Ein Vertreter des Apothekenrechenzentrums VSA beschreibt ein kompliziertes, mehrteiliges Verschlüsselungsverfahren mit "High-Security-Modul" in einer "Kryptobox". Das Ergebnis der Verschlüsselung, so VSA: "Gleiche Arztnummern führen zu gleichen Arztanonymen. Gleiche Apothekennummern führen zu gleichen Apothekenanonymen und so weiter."

Gleiche Arztnummern führen zu gleichen Anonymen? Genau davor aber warnen Kritiker: Diese eineindeutige Zuordnung von Code und Arztnummer sei eben keine Anonymisierung, wie es das Gesetz vorschreibt, sondern lediglich eine Pseudonymisierung.

Thomas Kranig, der Leiter des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) gibt in einer Pressemitteilung zu, dass beim Apothekenrechenzentrum VSA "die Verfahrensweise bis zum Jahr 2010 nicht den gesetzlichen Vorgaben entsprach, weil die Anonymisierung nicht bei der VSA, sondern einem beauftragten Dritten umgesetzt wurde." Doch die Probleme seien schon lange gelöst, schreibt Kranig weiter: "Soweit in den Medienberichten wiederholt unter Bezugnahme auf 'vertrauliche Dokumente' von einer unzureichenden 'Verschleierung der Identität der Patienten durch einen 64-stelligen Code' verwiesen wird, mag dies einen Zustand beschreiben, den es schon lange nicht mehr gibt. Heute wird zur Verschlüsselung das - dem Stand der Technik entsprechende - Verfahren RSA mit einer Schlüssellänge von 2048 Bit eingesetzt."

Die Pressemitteilung gehe allerdings haarscharf am Thema vorbei, finden einige Experten. Umstritten ist nicht die Schlüssellänge, sondern die Möglichkeit, einzelne Rezepte einzelnen Ärzten oder Patienten zuzuordnen.

Die von der VSA eingeräumte eineindeutige Zuordnung von Rezeptdaten und der dazugehörigen Versicherungsnummer oder Arztnummer gilt vielen als problematisch. IMS, VSA und Kranig nennen ein solches Ersetzen einer Kennziffer durch eine andere "anonym". Andere fordern das komplette Weglassen von besonders sensiblen Daten wie Arztnummer und Versichertennummer vor der Weitergabe von Rezeptdaten an Marktforscher. So macht es derzeit das norddeutsche Apothekenrechenzentrum Narz.

Vor allem aber stellt sich diese Frage: Sind die genannten Probleme längst bekannt und längst gelöst? Manch einem Beobachter scheint es nicht so zu sein.

Mir liegt ein Brandbrief vom 27. Juni 2012 vom Apothekenrechenzentrum VSA an die Marktforschungsfirma IMS vor, der von einer "kritischen Neubewertung" bei der Lieferung von Daten spricht: "Die entsprechende Zuarbeit durch Ihr Haus ist bislang nicht erfolgt." Und weiter: "Tatsächlich wurde das Verfahren von Ihnen vorgegeben". Aus Datenschutzbedenken müsse die VSA daher die Übermittlung von Rezeptdaten an IMS verschieben: "Bitte haben Sie Verständnis dafür, dass die Datenlieferung bereits wie angekündigt erst erfolgen kann, wenn die weiteren Fragen geklärt sind". All das wirkt auf manche Kritiker nicht gerade so, als würde mein Artikel "einen Zustand beschreiben, den es schon lange nicht mehr gibt."

Hier ein Ausriss aus dem Schreiben

Hier ein Ausriss aus dem Schreiben

Anonymisiert nun also das süddeutsche Apothekenrechenzentrum VSA die Rezeptdaten ausreichend vor der Weitergabe an Marktforscher? Wenn ja, seit wann genau? Oder kaschiert die VSA die Identität lediglich durch die Zuteilung eines Pseudonyms? Der Streit um diese Fragen spitzt sich zu.

Je heftiger sich die VSA mit Pressemitteilungen gegen Kritik wehrt, desto erstaunlichere Details werden dabei bekannt.

Durch die PR-Agentur Engel & Zimmermann AG ließ die VSA nach Erscheinen meines jüngsten Artikels ausrichten: "...nach vollständiger Löschung der alten Daten und nach Vorlage des Löschprotokolls erfolgte die Lieferung der anonymisierten Daten im neuen Format (doppelt verschlüsselt)."

Fachleute rätseln nun: Wenn VSA die Rezeptdaten ohnehin korrekt anonymisiert und verschlüsselt an Marktforscher verkauft hat - wieso mussten sie dann nachträglich gelöscht werden? Was war der Grund für eine solche aufwendige Löschaktion?

Auch ein anderes Statement der VSA gibt Insidern Rätsel auf: "Selbstverständlich wurde IMS dann auch Backdata im neuen Format zur Verfügung gestellt, um die Daten für Zeitreihen z. B. für Compliance-Analysten und Nutzenbewertungen verwendbar zu halten".

Aber wie verhindert das süddeutsche Apothekenrechenzentrum VSA, dass Unbefugte einfach die neuen und die alten Datensätze vergleichen und damit auch den neuen Code knacken könnten? Das fragen sich Experten nun. Durch den Abgleich von neu und alt hätten Angreifer den Schlüssel zur Entschlüsselung der neuen Datensätze. Ob die "Verschlüsselung" dabei auf dem alten 64-stelligen Code basiert oder auf einer Schlüssellänge von 2048 Bit, finden manche Fachleute zweitrangig.

Die VSA erklärt, dass sie die neuen Daten erst geliefert hätte "nach vollständiger Löschung der alten Daten und nach Vorlage des Löschprotokolls". Doch auch diese Darstellung wirft für viele Beobachter neue Fragen auf: Viele IMS-Server stehen im Ausland, wo deutsches Recht nicht gilt - wurde auch dort alles gelöscht?

Bis das genaue Verfahren nachvollziehbar gemacht wird, bleiben bei Kritikern Fragen wie diese: Laut Gerüchten gibt es einen über 20 Seiten langen Abschlussbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) nach einer Prüfung der VSA im Jahr 2012. Was stand darin? Und stimmt es, dass der Abschlussbericht auch ein Ordnungsgeld gegen die VSA erwähnt? Oder diese Frage: Gemäß Tätigkeitsbericht des BayLDA 2011/2012 sind die kryptografischen Schlüssel sicher zu erzeugen, regelmäßig zu wechseln und sicher zu verwahren. Wie genau wird das bei der VSA umgesetzt? Und wer genau verfügt über diese Schlüssel? Die VSA antwortet lediglich schwammig: "Schlüsselwechsel sind vorgesehen, wenn dies technisch/kryptografisch notwendig ist. Entsprechende Prüfungen finden in regelmäßigen Abständen statt. Die aktuellen Vereinbarungen sehen eine Speicherung von maximal 42 Monatsdatensätzen im Trustcenter vor." Dieser Zeitraum sei zu lang, kritisieren Brancheninsider.

All das sind zulässige Fragen, die für betroffene Apotheker, Patienten und Ärzte von Interesse sind. Das hat nichts mit einer Kampagne zu tun. Sie zu stellen bedeutet auch nicht, "ungetrübt von Sachkenntnis" zu sein. Sondern lediglich, es genauer wissen zu wollen. Im Interesse von Patienten, Ärzten und Apothekern.

VSA hat viele Fragen trotz mehrfacher Bitte nicht beantwortet. Begründung: Das würde gegen Datenschutzgesetze verstoßen. Außerdem gehe es um Geschäfts- und Betriebsgeheimnisse. Der Ablehnungsbrief endet mit dem Hinweis: "Dieses Schreiben ist allein zur Interessenwahrnehmung bestimmt und darf weder wörtlich noch sinngemäß in Teilen oder ganz veröffentlicht werden." Auch dem Datenschützer Thilo Weichert droht VSA mit ähnlichen Formulierungen. Weichert betrachtet das als leere Drohgebärde und kommentiert nur trocken: "Als im Informationsrecht relativ gut bewanderter Jurist ist mir diese Aussage unverständlich geblieben."

Trotz aller Versuche, die öffentliche Diskussion abzublocken, wird nach und nach erkennbar, von welchen Grundannahmen die Leitung des Apothekenrechenzentrums VSA bei der Anonymisierung von Rezeptdaten ausgeht. Letzte Woche ließ mir das Apothekenrechenzentrum VSA mitteilen, vermittelt über die Agentur Engel & Zimmermann AG: "Selbst bei Kenntnis der Versichertennummer wäre indes kein Rückschluss auf den Versicherten möglich, da Name und Anschrift nicht im Datensatz weitergegeben werden." Und am Freitag stellt der VSA-Geschäftsführer Andreas Lacher noch einmal klar: "So noch ein letzter Satz: Ihnen ist auch klar, dass für alle versicherten bezogenen Analysen der einzelne Versicherte nicht im entferntesten eine Bedeutung hat und Ihnen ist auch klar, dass bei Kenntnis der Versichertennummer ein Rückschluss auf den Patienten faktisch unmöglich ist."

Das ist eine bemerkenswerte Aussage.

Experten staunen: Rezeptdaten gelten bei der VSA also als anonym, so lange kein Name und keine Patientenadresse weitergegeben werden? Klar, das Rechenzentrum VSA beteuert immer wieder, dass die Versichertennummer mehrfach verschlüsselt sei. Dennoch bleibt die Frage wichtig, wie sensibel denn nun die Weitergabe einer Versichertennummer oder Arztnummer ist.

Für viele Experten fällt die Weitergabe einer Versichertennummer ganz klar unter den Datenschutz: "Die lebenslange Versichertennummer kann von vielen Beteiligten, also den mit dem Patienten in Kontakt stehenden Ärzten, Apothekern und manchen Mitarbeitern der Krankenkasse dem konkreten Patienten zugeordnet werden", sagt etwa der Rechtsanwalt Thomas Giesen, der früher Datenschutzbeauftragter in Sachsen war: "Also ist an mehreren Stellen das Zusatzwissen greifbar, den bestimmten betroffenen Patienten zu outen." Und weiter: "Gerade diese Möglichkeiten, den einzelnen Patient und im vorliegenden Zusammenhang den einzelnen Arzt herauszufinden, muss aber verlässlich und gänzlich ausgeschlossen sein, wenn der Begriff noch irgendeinen Wert behalten soll", so der Anwalt. Sein Fazit ist deutlich: "Die Auffassung, eine Versichertennummer sei anonym, ist ein juristischer und technischer Witz."

Der Handel mit Rezeptinformationen sei "einer der größten Datenskandale der Nachkriegszeit", kritisiert der Datenschützer Thilo Weichert. Wegen dieser und ähnlicher Äußerungen ließ ihn das süddeutsche Apothekenrechenzentrum VSA über eine Anwaltskanzlei auffordern, eine Unterlassungserklärung zu unterschreiben. Doch Weichert weigert sich, den Mund zu halten. Und begründet seine Kritik am Verschlüsselungsverfahren, das die VSA benutzt, um Rezeptdaten zu anonymisieren: "Eine Reidentifizierungsmöglichkeit besteht also nicht nur über die personalen Identifizierungsdaten von Patient, Arzt und Apotheke, sondern auch über die Angaben zum konkreten Rezept: Abrechnungsjahr und -monat, Versichertenstatus, Geburtsjahr, Apothekenregionalkennzeichen, Apothekenklassifikation, Kassenkennzeichen, Angaben zu Kostenträger und Versichertenausweis, Kassenärztliche Vereinigung, Angaben zum Arzt (Fachgruppe, Art der Arztnummer), Ausstelldatum, Abgabedatum...".

Nach Einschätzung von unabhängigen Experten kommt es nicht darauf an, ob die Verschlüsselung einer Versichertennummer im Einzelnen sicher ist. Sondern darauf, ob das Gesamtverfahren ausreichend als robust gilt - selbst dann, wenn mit Zusatzwissen und Methoden von Big Data und Supercomputern an einen Datensatz herangegangen wird. Die VSA dagegen beteuert: "Bei allen Rezeptdaten wird jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert. Die zweite Anonymisierung erfolgt dabei nicht bei der VSA, sondern durch eine unabhängige Clearingstelle. Erst dann werden die Daten in einem Trustcenter zur weiteren Verwendung für die Marktforschung aufbereitet. Dieses Vorgehen wurde von dem Bayerischen Landesamt für Datenschutzaufsicht umfassend überprüft und freigegeben." Andreas Kranig, der Präsident des Bayerischen Landesamts für Datenschutzaufsicht bekräftigt: "Im Abschlussbericht vom 9. Januar 2013 hat das BayLDA keine datenschutzrechtlich unzulässigen Datenverarbeitungen durch die VSA festgestellt." Doch nicht jeder ist von der Zulässigkeit des VSA-Verfahrens überzeugt. Weichert schreibt: "Unabhängig davon ist auch die Wirksamkeit der angeblich doppelten Anonymisierung der Identifizierungsdaten zu hinterfragen. Hierauf kommt es aber nicht an, da die Reidentifizierung schon auf der Grundlage der Merkmalsdaten von Datensätzen möglich ist."

Ist die Warnung vor dem Herumschnüffeln in individuellen Krankheitsverläufen reine Angstmacherei? Nein, schreibt Weichert: Er sei über Fälle informiert worden, "bei denen Patienten mit einer spezifischen Krankheit von Pharmafirmen angeschrieben und zum Erwerb eines auf diese Krankheit genau passenden Arzneimittels beworben wurden."

Außerdem verweist Weichert auf ein brisantes Rechtsgutachten der Rechtsanwälte Christian Schnoor und Thomas Giesen (Pdf). Giesen ist der bereits zitierte ehemalige Landesdatenschützer in Sachsen. Sein Gutachten warnt Apotheker vor strafrechtlichen Konsequenzen, falls sie mit Rezeptdaten schlampen:

"Insbesondere dürfen die Apothekenrechenzentren keine Daten übermitteln, die für Entscheidungen über irgendwelche individuelle werbliche Ansprache von Ärzten relevant sein könnten", heißt es im Gutachten. Fazit: "Die rechtliche, auch strafrechtliche, Verantwortung, trifft in erster Linie diejenigen, die Leitungsverantwortung für das Apothekenrechenzentrum haben, daneben aber grundsätzlich auch jeden einzelnen Apotheker, der über das betreffende Apothekenrechenzentrum abrechnet."

Das Gutachten unterstreicht den Ernst des Themas: "Verordnungsdaten können z. B. Karrieren brechen. Anders als unerbetene Werbung (§ 7 UWG) oder selbstveranlasst veröffentlichte Daten (Facebook) greifen Informationen über verordnete Medikamente in falschen Händen (Köpfen) tief in das Persönlichkeitsrecht ein. So wird eine Person, von der bekannt ist, dass ihr bestimmte Dosen eines Neuroleptikums verschrieben wurden, bei Headhuntern, Arbeitgebern, Kranken- und Lebensversicherern oder Banken keine reelle Chance auf faire Behandlung haben. Sie ist auf Dauer sozial stigmatisiert."

Dies Gutachten ist seit knapp einem Jahr bekannt und frei online verfügbar. Und es gibt etliche Alarmsignale, wie etwa die oben erwähnte Werbung der Marktforschungsfirma IMS für "arztgenaue" und "patientenindividuelle Studien". Schon im Februar 2012 hatte ich über Datenschutzprobleme bei Apothekenrechenzentren berichtet. Das Thema spaltet die Apothekerschaft in Nord und Süd. Der Norden hat die feinteilige Lieferung von Daten eingestellt. Die VSA bislang nicht. Welche Seite wird sich durchsetzen?

Mittlerweile schreiben einige Patienten, Ärzte und Apotheker nicht nur Leserbriefe an den SPIEGEL. Denn der ist ja schließlich nur Überbringer der Nachricht. Einige Betroffene verlangen nun von Rechenzentren Auskunft darüber, was mit ihren Rezeptdaten geschieht. Und ob und in welcher Form sie an Marktforscher weiterverkauft werden. Ein Aktivist aus Berlin hat ein Formblatt entworfen, das die Einsichtnahme erleichtern soll.

Wie geht es weiter? Am 11. und 12. September steht das nationale Treffen der Landesdatenschützer an, der sogenannte Düsseldorfer Kreis. Thomas Kranig, der für die VSA zuständige Leiter des Bayerischen Landesamts für Datenschutzaufsicht, darf laut Insidern nicht auf allzu viel Unterstützung für seine Position hoffen. Die Mehrheit der Landesdatenschützer hat sich Weicherts strengerer Auslegung der einschlägigen Gesetze angeschlossen. Dabei könnte sich auch zeigen, ob "die Aussagen des SPIEGELS schlichtweg falsch sind", wie es die VSA behauptet.

Eine Woche nach dem Datenschützergipfel trifft sich, ebenfalls in Düsseldorf, der Deutsche Apothekertag. Für genügend Gesprächsstoff dürfte auch dort gesorgt zu sein.

Zum Abschluss noch ein Wort des Trostes an den Bayerischen Apothekerverband. Der Pillendreher, im Volksmund Mistkäfer, hieß im alten Ägypten Skarabäus. Er wurde als ein heiliges Tier verehrt. Ein derartig positives Selbstbild könnte hilfreich sein bei der Klärung einiger drängender Fragen.

Weiteres Material

Stellungnahme von IMS Health zu meinem Artikel im SPIEGEL, 6. September 2013:



Diskutieren Sie mit!
3 Leserkommentare
spon-facebook-10000136654 11.09.2013
jamshedp 12.09.2013
spon-facebook-10000510519 12.09.2013

© DER SPIEGEL 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.