Datenschützer über Patientendaten: „Das Gesetz ist klar“

Der Jurist Thilo Weichert spricht angesichts des Handels mit Patientendaten vom größten Skandal mit medizinischen Informationen in der Nachkriegszeit.

Wer hat ihr welches Medikament verschrieben? Fragen Sie doch Ihren Arzt oder Ihr Apothekenrechenzentrum. Bild: ap

taz: Herr Weichert, das Magazin Der Spiegel berichtet, das süddeutsche Apothekenrechenzentrum VSA verkaufe unzureichend verschlüsselte Patientendaten an das US-Marktforschungsunternehmen IMS. VSA und IMS dementieren: alles korrekt. Was stimmt denn nun?

Thilo Weichert: Im konkreten Fall handelt es sich genau genommen nicht um eine Verschlüsselung, sondern eine Pseudonymisierung. Das heißt: Jeder Datensatz ist ein eindeutiger und individueller Datensatz, der jederzeit identifizierbar ist. Anonymisierung im Sinne des Gesetzes wird damit nicht erreicht. Schon im September vergangenen Jahres hatten wir als Landesdatenschutzbehörde dies mit den anderen Ländern intensiv diskutiert und nachgewiesen. Bis auf die Behörden Bayerns und Hessens stimmten die anderen 14 Stellen überein, dass die Pseudonymisierung von VSA und anderen Rechenzentren nicht den Anforderungen genügt. Hier handelt es sich meines Erachtens tatsächlich um den größten Datenskandal im medizinischen Bereich in der Nachkriegsgeschichte.

Was bedeutet das für Patienten?

Patientinnen und Patienten müssen davon ausgehen, dass zu ihrer Person ein Datensatz vorhanden ist, der unter Umständen über Jahre hinweg nachvollzieht, welche Medikamente verschrieben werden. Konkret kann ein Pharmaunternehmen sehen: Welcher Arzt hat wann welches Medikament verschrieben. Wird zum Beispiel ein Produkt weniger oft verschrieben, kann bei Ärzten gezielt dafür geworben werden. Das bedeutet: Die Pharmaunternehmen nehmen mit den Daten Einfluss auf eine medizinische Behandlung, was gesundheitliche Folgen für die Betroffenen zur Folge haben kann.

Welche Verantwortung haben die Ärzte und Apotheker?

Die Ärzte sind bei diesem Verfahren nur indirekt beteiligt. Die Apotheken hingegen sind rechtlich verantwortlich für die Vertraulichkeit – auch für ihre Auftragnehmer, die Rechenzentren. Wenn sie wissen, dass ihr Rechenzentrum unzulässig handelt, sind sie mitverantwortlich.

57, ist Jurist und Datenschutzbeauftragter des Landes Schleswig-Holstein. Seit 2004 leitet er außerdem das Unabhängige Landeszentrums für Datenschutz

Dem Gesetz nach dürfen Patientendaten zu „anderen Zwecken“ weitergegeben werden. Muss hier klarer formuliert werden?

Nein, das Gesetz ist klar. Die Daten dürfen ja weitergegeben werden, sie müssen lediglich hinreichend anonymisiert werden. Das ist hier aber nicht der Fall. Hinzu kommt, dass eine Bereicherungsabsicht besteht. Vor 2012 war kein Verfahren der Rechenzentren datenschutzkonform, das heißt, jeder gesetzlich Krankenversicherte war potenziell betroffen, dass seine Daten bei einer Weitergabe nicht sicher anonymisiert sind. Einige Rechenzentren, wie etwa das Norddeutsche Apothekenzentrum (NARZ) haben ihr Verfahren technisch umgestellt, sodass nun eine wirksame Anonymisierung erfolgt.

Was müsste konkret für einen besseren Schutz von Patientendaten getan werden?

Je größer der Druck auf die Rechenzentren und die zuständigen Behörden wird, umso größere Chancen bestehen, den Datenschutz durchzusetzen. Ich bin da ganz großer Hoffnung. Ich hab mich sehr gefreut, dass das Gesundheitsministerium nun die Verfahren prüft und dass die Krankenkassen sich positioniert haben, dass es so nicht weitergeht. Wichtig ist, dass die zuständige Staatsanwaltschaft, die Landesdatenschutzbehörde Bayern und die handelnden Firmen sich eines Besseren besinnen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.