ArchivDeutsches Ärzteblatt35-36/2013Handel mit Rezeptdaten: Ein bisschen anonym

POLITIK

Handel mit Rezeptdaten: Ein bisschen anonym

Dtsch Arztebl 2013; 110(35-36): A-1595 / B-1407 / C-1391

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Apothekenrechenzentren stehen in der Kritik, unzureichend anonymisierte Rezeptverschreibungsdatensätze an Dritte veräußert zu haben.

Einem Bericht des Magazins „Der Spiegel“ zufolge hat die Verrechnungsstelle der Süddeutschen Apotheken (VSA) Millionen Rezeptdaten nicht ausreichend anonymisiert an das Marktforschungsunternehmen IMS Health weitergegeben. Dadurch seien Rückschlüsse auf einzelne Ärzte und Patienten möglich. Vor allem das Verordnungsverhalten der Ärzte kann so durchleuchtet und gezielt für Pharmavertreter ausgewertet werden. Laut Spiegel beschert der Verkauf von Rezeptdaten den Apothekenrechenzentren (ARZ) jährlich mehrere Millionen Euro Zusatzeinkünfte.

Die betroffenen Unternehmen dementierten umgehend. Bei allen Rezeptdaten werde jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert, betonte die VSA. Die zweite Anonymisierung erfolge zudem durch eine unabhängige Clearingstelle. Und auch IMS Health Deutschland versicherte in einer Stellungnahme: „IMS Health kann nicht nachvollziehen, welche Rezepte welcher Arzt ausgestellt oder welcher Apotheker sie eingelöst hat.“

Anzeige

Andere Zwecke

Der Verkauf von Rezeptdaten ist in Deutschland nicht grundsätzlich verboten, allerdings müssen die Daten vollständig anonymisiert sein, um Missbrauch auszuschließen (Kasten). „Patientendaten sind hochsensibel und dürfen nicht zweckentfremdet werden“, kommentierte daher Bun­des­ge­sund­heits­mi­nis­ter Daniel Bahr (FDP) den Bericht. Wenn da etwas falsch gelaufen sei, müsse dies geahndet werden.

Die Vorwürfe sind nicht neu: Bereits Anfang 2012 hatte das Nachrichtenmagazin über illegale Praktiken in diesem Bereich berichtet. Dies hatte Ermittlungen der Datenschutzbehörden ausgelöst. „Bei der Prüfung hat sich herausgestellt, dass die Apothekenrechenzentren keine anonymisierten, sondern lediglich pseudonymisierte Daten herausgegeben haben“, bestätigte Dr. Thilo Weichert, der Landesdatenschutzbeauftragte von Schleswig-Holstein, dem Deutschen Ärzteblatt. Dieser Auffassung hätten sich alle Aufsichtsbehörden mit Ausnahme von Bayern und Hessen angeschlossen. Letztere hätten ihr abweichendes Votum jedoch nicht nachvollziehbar begründet.

Das für die VSA zuständige Bayerische Landesamt für Datenschutzaufsicht hat dem Unternehmen zwischenzeitlich Rückendeckung gegeben. Die gesetzlichen Voraussetzungen an die Anonymisierung seien erfüllt, das sei geprüft worden, wird der Landesamtspräsident Thomas Kranig von der Nachrichtenagentur dpa zitiert.

Entscheidend bei der Verarbeitung der Daten für andere Zwecke ist datenschutzrechtlich der Begriff der Anonymisierung, der offenbar aber unterschiedlich von den Datenschutzbehörden ausgelegt wird. „Wir haben keinen genauen Begriff der Anonymisierung“, erläuterte Dr. Thomas Giesen, ehemaliger Sächsischer Datenschutzbeauftragter. Der Gesetzgeber habe versäumt, hier Klarheit zu schaffen. Giesen zieht als Mitverfasser eines datenschutzrechtlichen Gutachtens zu diesem Thema das Fazit: „Eine Anonymisierung, die nicht verhindert, dass der verordnende Arzt personalisiert werden kann, erfüllt den gesetzlichen Anonymisierungsbegriff nur zum Schein. Darin sind die Apothekenrechenzentren wirkliche Meister.“ Die praktizierte Vergabe von Pseudonymen für die lebenslange Arztnummer etwa lasse sich mit dem Computer in wenigen Minuten knacken, kritisiert er.

Einfaches Löschen hilft

Dass es auch anders geht, beweist das Norddeutsche Apothekenrechenzentrum. Es hat sein Anonymisierungsverfahren zusammen mit der zuständigen Bremer Landesdatenschutzbeauftragten entwickelt und mit den Behörden in Hamburg und Schleswig-Holstein abgestimmt. „Der Personenbezug in den Abrechnungsdaten, also alle Patienten-, Arzt- und Apothekendaten werden gelöscht. Die Kernaussage dieses Anonymisierungsverfahrens lautet also, Anonymisierung durch Löschung“, erläuterte das Unternehmen auf Anfrage.

Heike E. Krüger-Brand

Rechtlicher Rahmen

Abrechnung: Apotheken sind nach § 300 Sozialgesetzbuch (SGB) V dazu verpflichtet, Daten zur Rezeptabrechnung elektronisch an die gesetzlichen Krankenkassen zu übermitteln. Hierfür nutzen sie Apothekenrechenzentren als Dienstleister, die die Daten in ihrem Auftrag sammeln, verarbeiten und an die Kassen weiterleiten.

Andere Zwecke: Darüber hinaus hat der Gesetzgeber die Nutzung der Daten auch „zu anderen Zwecken“ außerhalb des SGB, etwa für die Forschung oder für Wirtschaftlichkeitsanalysen in der Arzneimittelversorgung, ausdrücklich erlaubt, sofern die Datensätze anonymisiert weitergegeben werden (siehe § 300 Absatz 2 Satz 2, 2. Halbsatz SGB V: „. . . anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden“).

Anonymisieren von Daten bedeutet nach § 3 Absatz 6 Bundesdatenschutzgesetz: Die Daten werden so verändert, dass keinerlei Rückschlüsse auf natürliche Personen wie Patienten, Ärzte oder Apotheker möglich sind.

Info: Datenschutzrechtliches Gutachten zu § 300 SGB V (Februar 2013) von Dr. Thomas Giesen und Dr. Christian Schnoor unter www.infino.org

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema