Werden deutsche Patienten millionenfach ausgespäht? Das kritisierte Unternehmen dementiert - und wird auch von der Datenschutzbehörde in Schutz genommen. Foto: dpa

Werden deutsche Patienten millionenfach ausgespäht? Das kritisierte Unternehmen dementiert - und wird auch von der Datenschutzbehörde in Schutz genommen.  

München - Die bayerische Datenschutzaufsicht hat das süddeutsche Apothekenrechenzentrum VSA gegen den Vorwurf in Schutz genommen, unzureichend verschlüsselte Patientendaten an einen US-Datenhändler zu verkaufen. „Die gesetzlichen Voraussetzungen an die Anonymisierung sind erfüllt“, sagte Landesamts-Präsident Thomas Kranig am Montag unter Verweis auf eine umfassende Prüfung Anfang 2013. „Wir haben das geprüft und sind der Auffassung: Das passt so.“

Allerdings war das nicht immer so: Bis ins Jahr 2010 hinein gab es demnach durchaus Mängel bei der Anonymisierung von Patientendaten durch die VSA. „Es gab früher Verfahren, die nicht in Ordnung waren. Bei früheren Verfahren war nicht sichergestellt, dass die Daten anonymisiert das Rechenzentrum verlassen haben“, sagte Kranig.

Bahr: "Patientendaten sind hochsensibel"

Bundesgesundheitsminister Daniel Bahr (FDP) rief zu genauem Hinsehen auf. „Patientendaten sind hochsensibel und dürfen nicht zweckentfremdet werden“, sagte er in Berlin. „Wenn es neue Vorwürfe gibt, dann müssen die Behörden diesen nachgehen.“ Wenn da etwas falsch gelaufen sei, müsse dies geahndet werden.

Der „Spiegel“ hatte unter Hinweis auf zahlreiche vertrauliche Dokumente berichtet, dass das Rechenzentrum VSA unzureichend verschlüsselte Daten verkaufe. Denn ein 64-stelliger Schutzcode lasse sich leicht auf die tatsächliche Versichertennummer zurückrechnen: „Die realen Patienten, die sich hinter derartigen Pseudonymen verbergen, lassen sich ohne größeren Aufwand identifizieren.“ Der „Spiegel“ schrieb von „kosmetischen Schein-Anonymisierungen“.

Dem widersprach der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. Die gesetzlichen Anforderungen an die Anonymisierung der Daten seien erfüllt. Kranig verwies auf das Bundesdatenschutzgesetz, wonach die Daten bei einer Anonymisierung so aufbereitet sein müssen, dass sie „nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft“ einer Person zugeordnet werden können. Dies sei hier der Fall.

Unternehmen weist Vorwürfe zurück

Auch das Unternehmen selbst wies die Vorwürfe zurück. Die Aussage des „Spiegels“ sei „schlichtweg falsch“, teilte das Unternehmen am Montag mit. „Die VSA übermittelt keinerlei personenbezogene Daten - weder an Marktforschungsunternehmen noch an die Pharmaindustrie.“ Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert, versicherte das Unternehmen. Der US-Datenhändler IMS Health hatte bereits am Sonntag betont, dass er von Apothekenrechenzentren keine personenbezogenen Daten bekomme.

Kranig berichtete aber, ohne auf Details einzugehen: „Es gab bis 2010 ein Verfahren, das wir nicht für in Ordnung gehalten haben.“ Das sei damals auch beanstandet und abgestellt worden. Die VSA sei im Laufe des Prozesses auch mehrmals auf das Landesamt zugekommen mit der Bitte, die überarbeiteten Anonymisierungsverfahren zu prüfen.

Der Verband der Ersatzkassen (vdek), also von Barmer, GEK, Techniker Krankenkasse und anderen, forderte ein gesetzliches Verbot des Handels mit Rezeptdaten. Die Krankenkassen hätten sich schon vor Jahren gegen einen Verkauf der Daten an die Pharmaindustrie oder an Marketingunternehmen gewandt, sagte vdek-Vorstandschefin Ulrike Elsner. „Die jetzt bekanntgewordenen Fälle zeigen noch einmal deutlich, dass diese Praxis gesetzlich unterbunden werden muss.“

Der Vorsitzende des Deutschen Apothekerverbandes, Fritz Becker, betonte: „Deutschlands Apotheker vertrauen darauf, dass die für sie tätigen Dienstleister alle Daten nach Recht und Gesetz verarbeiten.“ Am Schutz der Daten hätten auch die Apotheker ein hohes Interesse.