Aufsichtsbehörde bestätigt korrekten Datenschutz im Rechenzentrum

Das kritisierte süddeutsche Apothekenrechenzentrum VSA bekommt Rückendeckung von der zuständigen bayerischen Datenschutzaufsicht. Der Vorwurf sei nicht gerechtfertigt, unzureichend verschlüsselte Patientendaten an einen US-Datenhändler verkauft zu haben. Der Landesamts-Präsident Thomas Kranig sagte am 19.8.2013, dass die gesetzlichen Voraussetzungen an die Anonymisierung sind erfüllt seien. Er verwies auf eine umfassende Prüfung Anfang 2013: "Wir haben das geprüft und sind der Auffassung: Das passt so."

Datenschutz war lückenhaft

Allerdings war nicht immer alles in Ordnung: Bis ins Jahr 2010 hinein war die Anonymisierung von Patientendaten durch die VSA mangelhaft. Frühere Verfahren wären  nicht in Ordnung gewesen. Damals sei nicht sichergestellt gewesen, dass die Daten anonymisiert das Rechenzentrum verlassen haben, sagte Kranig.

Patientendaten müssen geschützt werden

Bundesgesundheitsminister Daniel Bahr fordert, dass beim Sozialdatenschutz genau Hingesehen wird. "Patientendaten sind hochsensibel und dürfen nicht zweckentfremdet werden", sagte er in Berlin. Er forderte die Aufsichtsbehörden auf, neuen Vorwürfen nachzugehen. Wenn da etwas falsch gelaufen sei, müsse der Verantwortliche bestraft werden.

Daten nur "scheinbar" anonym

Das Nachrichtenmagazin Spiegel hatte unter Berufung auf vertrauliche Dokumente vom Verkauf unzureichend verschlüsselter Rezeptdaten durch das Rechenzentrum VSA berichtet. Da sich ein 64-stelliger Schutzcode leicht entschlüsseln lasse, sei dies lediglich eine "kosmetische Schein-Anonymisierung". Die realen Patienten, die sich hinter derartigen Pseudonymen verbergen, lassen sich ohne größeren Aufwand identifizieren, so der Spiegel.

Datenschutzaufsicht bestätigt Einhaltung gesetzlicher Vorschriften

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht widerspricht dem Vorwurf der Datenschutzverletzung. Die gesetzlich geforderte Anonymisierung der Daten sei erfüllt. Nach dem Bundesdatenschutzgesetz müssten die Daten bei einer Anonymisierung so aufbereitet sein, dass sie „nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft“ entschlüsselt und einer Person zugeordnet werden können. Dies sei hier der Fall.

Kein unzulässiger Datenhandel

Auch das Apothekenrechenzentrum VSA wies die Vorwürfe als "schlichtweg falsch" zurück. "Die VSA übermittelt keinerlei personenbezogene Daten - weder an Marktforschungsunternehmen noch an die Pharmaindustrie." Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung unterbunden, versicherte das Unternehmen. Nach der erstmaligen Verfahrensbeanstandung 2010 habe die VSA mehrfach die überarbeiteten Anonymisierungsverfahren von der Datenschutzbehörde prüfen lassen.

Der US-Datenhändler IMS Health hatte bereits am 18.8.2013 betont, dass er von Apothekenrechenzentren keine personenbezogenen Daten bekomme.

Krankenkassen wollen Patientenrecht schützen und Datenhandel verbieten

Der Verband der Ersatzkassen (vdek) forderte ein gesetzliches Verbot des Handels mit Rezeptdaten. Schon vor Jahren hätten sich die Krankenkassen gegen einen Verkauf von Daten an die Pharmaindustrie oder an Marketingunternehmen stark gemacht, so vdek-Vorstandschefin Ulrike Elsner. Durch die jetzt bekanntgewordenen Fälle würde deutlich, dass der Handel mit Rezeptdaten gesetzlich unterbunden und die Patientenrechte besser geschützt werden müssen.

Apotheker vertrauen auf Datenschutz durch Dienstleister

Der Vorsitzende des Deutschen Apothekerverbandes, Fritz Becker, betonte, dass  auch die Apotheker ein hohes Interesse am Schutz der Patientendaten hätten. Denn die Apotheker vertrauen darauf, dass die für sie tätigen Dienstleister die gesetzlichen Datenschutzvorschriften einhielten.