piwik no script img

Datenschützer über Patientendaten„Das Gesetz ist klar“

Der Jurist Thilo Weichert spricht angesichts des Handels mit Patientendaten vom größten Skandal mit medizinischen Informationen in der Nachkriegszeit.

Wer hat ihr welches Medikament verschrieben? Fragen Sie doch Ihren Arzt oder Ihr Apothekenrechenzentrum. Bild: ap

taz: Herr Weichert, das Magazin Der Spiegel berichtet, das süddeutsche Apothekenrechenzentrum VSA verkaufe unzureichend verschlüsselte Patientendaten an das US-Marktforschungsunternehmen IMS. VSA und IMS dementieren: alles korrekt. Was stimmt denn nun?

Thilo Weichert: Im konkreten Fall handelt es sich genau genommen nicht um eine Verschlüsselung, sondern eine Pseudonymisierung. Das heißt: Jeder Datensatz ist ein eindeutiger und individueller Datensatz, der jederzeit identifizierbar ist. Anonymisierung im Sinne des Gesetzes wird damit nicht erreicht. Schon im September vergangenen Jahres hatten wir als Landesdatenschutzbehörde dies mit den anderen Ländern intensiv diskutiert und nachgewiesen. Bis auf die Behörden Bayerns und Hessens stimmten die anderen 14 Stellen überein, dass die Pseudonymisierung von VSA und anderen Rechenzentren nicht den Anforderungen genügt. Hier handelt es sich meines Erachtens tatsächlich um den größten Datenskandal im medizinischen Bereich in der Nachkriegsgeschichte.

Was bedeutet das für Patienten?

Patientinnen und Patienten müssen davon ausgehen, dass zu ihrer Person ein Datensatz vorhanden ist, der unter Umständen über Jahre hinweg nachvollzieht, welche Medikamente verschrieben werden. Konkret kann ein Pharmaunternehmen sehen: Welcher Arzt hat wann welches Medikament verschrieben. Wird zum Beispiel ein Produkt weniger oft verschrieben, kann bei Ärzten gezielt dafür geworben werden. Das bedeutet: Die Pharmaunternehmen nehmen mit den Daten Einfluss auf eine medizinische Behandlung, was gesundheitliche Folgen für die Betroffenen zur Folge haben kann.

Welche Verantwortung haben die Ärzte und Apotheker?

Die Ärzte sind bei diesem Verfahren nur indirekt beteiligt. Die Apotheken hingegen sind rechtlich verantwortlich für die Vertraulichkeit – auch für ihre Auftragnehmer, die Rechenzentren. Wenn sie wissen, dass ihr Rechenzentrum unzulässig handelt, sind sie mitverantwortlich.

Bild: ap
Im Interview: Thilo Weichert

57, ist Jurist und Datenschutzbeauftragter des Landes Schleswig-Holstein. Seit 2004 leitet er außerdem das Unabhängige Landeszentrums für Datenschutz

Dem Gesetz nach dürfen Patientendaten zu „anderen Zwecken“ weitergegeben werden. Muss hier klarer formuliert werden?

Nein, das Gesetz ist klar. Die Daten dürfen ja weitergegeben werden, sie müssen lediglich hinreichend anonymisiert werden. Das ist hier aber nicht der Fall. Hinzu kommt, dass eine Bereicherungsabsicht besteht. Vor 2012 war kein Verfahren der Rechenzentren datenschutzkonform, das heißt, jeder gesetzlich Krankenversicherte war potenziell betroffen, dass seine Daten bei einer Weitergabe nicht sicher anonymisiert sind. Einige Rechenzentren, wie etwa das Norddeutsche Apothekenzentrum (NARZ) haben ihr Verfahren technisch umgestellt, sodass nun eine wirksame Anonymisierung erfolgt.

Was müsste konkret für einen besseren Schutz von Patientendaten getan werden?

Je größer der Druck auf die Rechenzentren und die zuständigen Behörden wird, umso größere Chancen bestehen, den Datenschutz durchzusetzen. Ich bin da ganz großer Hoffnung. Ich hab mich sehr gefreut, dass das Gesundheitsministerium nun die Verfahren prüft und dass die Krankenkassen sich positioniert haben, dass es so nicht weitergeht. Wichtig ist, dass die zuständige Staatsanwaltschaft, die Landesdatenschutzbehörde Bayern und die handelnden Firmen sich eines Besseren besinnen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

7 Kommentare

 / 
  • DZ
    David Zwilling

    Immer schön Werbung für das NARZ machen, Herr Weichert! Die Konkurrenz mit Dreck beschmeissen, in der Hoffnung ein paar Neukunden an Land zu ziehen? Wie sagt der bayerische Landesdatenschützer u.a. auf seiner Homepage:

    ..

    Die Äußerung von Herrn Dr. Weichert, das BayLDA habe "bis heute nicht nachvollzieh- und kritisierbar begründet", warum es zu der in seinem Prüfungsbericht enthaltenen Auffassung gekommen sei, spricht deshalb für sich. Das Nichterscheinen mag auch ein Grund dafür sein, warum er ungetrübt von Sachkenntnis im konkreten Fall nur auf der Basis von „Unterlagen, die uns in Auszügen zugespielt wurden“ ohne Rücksicht auf eine mögliche Rufschädigung der beteiligten Unternehmen „einen der größten Datenskandale der Bundesrepublik in der Nachkriegszeit“ herbeiredet.

  • "Wenn sie wissen, dass ihr Rechenzentrum unzulässig handelt, sind sie mitverantwortlich."

     

    Und dann müssen sie womöglich Pensionszahlungen befürchten - oder was?

  • A
    AskWhy

    Was mich wundert:

    - Warum wurde der bis 2012 illegale, weil für Personen zusammenführbare und vermutlich zusammengeführte Datenbestand bei VSA nicht gelöscht?

    - Warum haben die Datenschutzbeauftragteb dies nicht gefordert?

    - Warum gibt es für die Nutzer von Apotheken keinen Hinweis auf die Praktiken?

    - Wenn die Verarbeitung "im Auftrag" erfolgt, warum haben dann die Auftraggeber nicht kontrolliert?

    Warum haben die Datenschutzbeautragten nicht 2012 die Öffentlichkeit über den Missbrauch von patientendaten informiert?

  • B
    Bastler4711

    Wo war der gemütliche beamtenschwätzer Weichert denn als der CCC den Bundestrojaner aufgeckte?

    Wo war der Schwätzer als deer Spiegel den PSkandal aufdeckte?

    Wo ist der Schwätzer, wenn Beamte aus den tausendfachen täglichen Kontoabfragen eine lohnenden Nebenverdienst für makler, Vermieter, etc machen?

     

    Richtig! Da ist er nicht!

     

    Weichert ist immer nur da, wo es billige mediale Aufmerksamkeit gibt, wo er im Rampenlicht steht.

    Damit er das sagen kann, was alle sagen.

    Der gemütlichste Beamtenjob in BRD!

  • G
    Gastlichket

    Gastlichkeit

    Och, die Kaufmännische Krankenkasse reicht seit Jahren Gesundheits- und Sozialdaten an Dritte (ohne Zustimmung der bei ihr Versicherten) weiter.

    Wenn jemande dem widerspricht, erpresst die KKH denjenigen / diejenige, die med. Leistungen nicht zu finanzieren.

    Im Strafrecht wird solcherart Vorgehen ERPRESSUNG genannt. Bei der KKH zählt das als Art der Kommunikation.

  • E
    ekkalis

    hier handelt es sich um organisierte Kriminalität oder auch Mafia genannt. Und hier etwas für die Überwachungsorgane:ICH HABE DEN GLAUBEN AN DEN DEUTSCHEN RECHTSSTAAT UNWIEDERBRINGLICH VERLOREN. Nichts für ungut.

  • L
    Leser

    Ich hatte mich immer schon gewundert, woher die Pharmavertreter wussten, was ein einzelner Arzt verschrieben hatte. Na jetzt ist es raus.