Doch kein unzulässiger Handel mit Patientendaten? Die Rezeptdaten seien anonymisiert und der Datenschutz gewährleistet gewesen. Die Datenschutzbehörde stärkt dem kritisierten Apothekenrechenzentrum den Rücken. Aber: Mängel im Datenschutz gab es sehr wohl in der Vergangenheit.
Das kritisierte süddeutsche Apothekenrechenzentrum VSA bekommt Rückendeckung von der zuständigen bayerischen Datenschutzaufsicht. Der Vorwurf sei nicht gerechtfertigt, unzureichend verschlüsselte Patientendaten an einen US-Datenhändler verkauft zu haben. Der Landesamts-Präsident Thomas Kranig sagte am 19.8.2013, dass die gesetzlichen Voraussetzungen an die Anonymisierung sind erfüllt seien. Er verwies auf eine umfassende Prüfung Anfang 2013: "Wir haben das geprüft und sind der Auffassung: Das passt so."
Datenschutz war lückenhaft
Allerdings war nicht immer alles in Ordnung: Bis ins Jahr 2010 hinein war die Anonymisierung von Patientendaten durch die VSA mangelhaft. Frühere Verfahren wären nicht in Ordnung gewesen. Damals sei nicht sichergestellt gewesen, dass die Daten anonymisiert das Rechenzentrum verlassen haben, sagte Kranig.
Patientendaten müssen geschützt werden
Bundesgesundheitsminister Daniel Bahr fordert, dass beim Sozialdatenschutz genau Hingesehen wird. "Patientendaten sind hochsensibel und dürfen nicht zweckentfremdet werden", sagte er in Berlin. Er forderte die Aufsichtsbehörden auf, neuen Vorwürfen nachzugehen. Wenn da etwas falsch gelaufen sei, müsse der Verantwortliche bestraft werden.
Daten nur "scheinbar" anonym
Das Nachrichtenmagazin Spiegel hatte unter Berufung auf vertrauliche Dokumente vom Verkauf unzureichend verschlüsselter Rezeptdaten durch das Rechenzentrum VSA berichtet. Da sich ein 64-stelliger Schutzcode leicht entschlüsseln lasse, sei dies lediglich eine "kosmetische Schein-Anonymisierung". Die realen Patienten, die sich hinter derartigen Pseudonymen verbergen, lassen sich ohne größeren Aufwand identifizieren, so der Spiegel.
Datenschutzaufsicht bestätigt Einhaltung gesetzlicher Vorschriften
Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht widerspricht dem Vorwurf der Datenschutzverletzung. Die gesetzlich geforderte Anonymisierung der Daten sei erfüllt. Nach dem Bundesdatenschutzgesetz müssten die Daten bei einer Anonymisierung so aufbereitet sein, dass sie „nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft“ entschlüsselt und einer Person zugeordnet werden können. Dies sei hier der Fall.
Kein unzulässiger Datenhandel
Auch das Apothekenrechenzentrum VSA wies die Vorwürfe als "schlichtweg falsch" zurück. "Die VSA übermittelt keinerlei personenbezogene Daten - weder an Marktforschungsunternehmen noch an die Pharmaindustrie." Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung unterbunden, versicherte das Unternehmen. Nach der erstmaligen Verfahrensbeanstandung 2010 habe die VSA mehrfach die überarbeiteten Anonymisierungsverfahren von der Datenschutzbehörde prüfen lassen.
Der US-Datenhändler IMS Health hatte bereits am 18.8.2013 betont, dass er von Apothekenrechenzentren keine personenbezogenen Daten bekomme.
Krankenkassen wollen Patientenrecht schützen und Datenhandel verbieten
Der Verband der Ersatzkassen (vdek) forderte ein gesetzliches Verbot des Handels mit Rezeptdaten. Schon vor Jahren hätten sich die Krankenkassen gegen einen Verkauf von Daten an die Pharmaindustrie oder an Marketingunternehmen stark gemacht, so vdek-Vorstandschefin Ulrike Elsner. Durch die jetzt bekanntgewordenen Fälle würde deutlich, dass der Handel mit Rezeptdaten gesetzlich unterbunden und die Patientenrechte besser geschützt werden müssen.
Apotheker vertrauen auf Datenschutz durch Dienstleister
Der Vorsitzende des Deutschen Apothekerverbandes, Fritz Becker, betonte, dass auch die Apotheker ein hohes Interesse am Schutz der Patientendaten hätten. Denn die Apotheker vertrauen darauf, dass die für sie tätigen Dienstleister die gesetzlichen Datenschutzvorschriften einhielten.