Das amerikanische Marktforschungsunternehmen IMS Health soll mit Hilfe des Apothekenrechenzentrums VSA an die Daten Millionen Deutscher gekommen sein. Beide Firmen dementieren, und nun verteidigen auch Datenschützer deren Vorgehen. Indes werden in Österreich neue Fälle bekannt.

01:22 min

Politik 19.08.13

Patienten und Ärzte ausgespäht? Apotheken-Rechenzentrum verkauft angeblich Daten

Die bayerische Datenschutzaufsicht hat das süddeutsche Apothekenrechenzentrum VSA gegen den Vorwurf in Schutz genommen, unzureichend verschlüsselte Patientendaten an einen US-Datenhändler zu verkaufen. "Die gesetzlichen Voraussetzungen an die Anonymisierung sind erfüllt", sagte Landesamts-Präsident Thomas Kranig unter Verweis auf eine umfassende Prüfung Anfang 2013. "Wir haben das geprüft und sind der Auffassung: Das passt so."

Allerdings war das nicht immer so: Bis ins Jahr 2010 hinein gab es demnach durchaus Mängel bei der Anonymisierung von Patientendaten durch die VSA. "Es gab früher Verfahren, die nicht in Ordnung waren. Bei früheren Verfahren war nicht sichergestellt, dass die Daten anonymisiert das Rechenzentrum verlassen haben", sagte Kranig.

Bundesgesundheitsminister Daniel Bahr (FDP) rief zu genauem Hinsehen auf. "Patientendaten sind hochsensibel und dürfen nicht zweckentfremdet werden", sagte er in Berlin. "Wenn es neue Vorwürfe gibt, dann müssen die Behörden diesen nachgehen." Wenn da etwas falsch gelaufen sei, müsse dies geahndet werden.

"Kosmetische Schein-Anonymisierungen"

Der "Spiegel" hatte unter Hinweis auf zahlreiche vertrauliche Dokumente berichtet, dass das Rechenzentrum VSA unzureichend verschlüsselte Daten verkaufe. Denn ein 64-stelliger Schutzcode lasse sich leicht auf die tatsächliche Versichertennummer zurückrechnen: "Die realen Patienten, die sich hinter derartigen Pseudonymen verbergen, lassen sich ohne größeren Aufwand identifizieren." Der "Spiegel" schrieb von "kosmetischen Schein-Anonymisierungen".

Dem widersprach der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. Die gesetzlichen Anforderungen an die Anonymisierung der Daten seien erfüllt. Kranig verwies auf das Bundesdatenschutzgesetz, wonach die Daten bei einer Anonymisierung so aufbereitet sein müssen, dass sie "nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft" einer Person zugeordnet werden können. Dies sei hier der Fall.

Auch das Unternehmen selbst wies die Vorwürfe zurück. Die Aussage des "Spiegels" sei "schlichtweg falsch".  "Die VSA übermittelt keinerlei personenbezogene Daten - weder an Marktforschungsunternehmen noch an die Pharmaindustrie", so ein Sprecher. Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert. Der US-Datenhändler IMS Health hatte bereits am Sonntag betont, dass er von Apothekenrechenzentren keine personenbezogenen Daten bekomme.

Kranig berichtete aber, ohne auf Details einzugehen: "Es gab bis 2010 ein Verfahren, das wir nicht für in Ordnung gehalten haben." Das sei damals auch beanstandet und abgestellt worden. Die VSA sei im Laufe des Prozesses auch mehrmals auf das Landesamt mit der Bitte zugekommen, die überarbeiteten Anonymisierungsverfahren zu prüfen.

Verband fordert Rezepthandelverbot

Der Verband der Ersatzkassen (vdek), zu dem unter anderem Barmer, die GEK und Techniker Krankenkasse gehören, forderte ein gesetzliches Verbot des Handels mit Rezeptdaten. Die Krankenkassen hätten sich schon vor Jahren gegen einen Verkauf der Daten an die Pharmaindustrie oder an Marketingunternehmen gewandt, sagte vdek-Vorstandschefin Ulrike Elsner. "Die jetzt bekanntgewordenen Fälle zeigen noch einmal deutlich, dass diese Praxis gesetzlich unterbunden werden muss."

Der Vorsitzende des Deutschen Apothekerverbandes, Fritz Becker, betonte: "Deutschlands Apotheker vertrauen darauf, dass die für sie tätigen Dienstleister alle Daten nach Recht und Gesetz verarbeiten." Am Schutz der Daten hätten auch die Apotheker ein hohes Interesse.

Auch aus Österreich erhielt IMS Health Patientendaten. 350 Ärzte sollen im Alpenland ihre Rezeptdaten gegen Geld an das Marktforschungsunternehmen verkauft haben, wie die österreichische Niederlassung der US-Firma bestätigte. Die Daten seien allerdings mit einer anderen Verschlüsselung als in Deutschland übertragen worden, Rückschlüsse auf Patienten seien nicht möglich, sagte eine Sprecherin dem ORF. Die Daten seien aber nach Altersgruppen und Geschlecht aufgeschlüsselt.