Datenschützer über Patientendaten: „Das Gesetz ist klar“
Der Jurist Thilo Weichert spricht angesichts des Handels mit Patientendaten vom größten Skandal mit medizinischen Informationen in der Nachkriegszeit.
taz: Herr Weichert, das Magazin Der Spiegel berichtet, das süddeutsche Apothekenrechenzentrum VSA verkaufe unzureichend verschlüsselte Patientendaten an das US-Marktforschungsunternehmen IMS. VSA und IMS dementieren: alles korrekt. Was stimmt denn nun?
Thilo Weichert: Im konkreten Fall handelt es sich genau genommen nicht um eine Verschlüsselung, sondern eine Pseudonymisierung. Das heißt: Jeder Datensatz ist ein eindeutiger und individueller Datensatz, der jederzeit identifizierbar ist. Anonymisierung im Sinne des Gesetzes wird damit nicht erreicht. Schon im September vergangenen Jahres hatten wir als Landesdatenschutzbehörde dies mit den anderen Ländern intensiv diskutiert und nachgewiesen. Bis auf die Behörden Bayerns und Hessens stimmten die anderen 14 Stellen überein, dass die Pseudonymisierung von VSA und anderen Rechenzentren nicht den Anforderungen genügt. Hier handelt es sich meines Erachtens tatsächlich um den größten Datenskandal im medizinischen Bereich in der Nachkriegsgeschichte.
Was bedeutet das für Patienten?
Patientinnen und Patienten müssen davon ausgehen, dass zu ihrer Person ein Datensatz vorhanden ist, der unter Umständen über Jahre hinweg nachvollzieht, welche Medikamente verschrieben werden. Konkret kann ein Pharmaunternehmen sehen: Welcher Arzt hat wann welches Medikament verschrieben. Wird zum Beispiel ein Produkt weniger oft verschrieben, kann bei Ärzten gezielt dafür geworben werden. Das bedeutet: Die Pharmaunternehmen nehmen mit den Daten Einfluss auf eine medizinische Behandlung, was gesundheitliche Folgen für die Betroffenen zur Folge haben kann.
Welche Verantwortung haben die Ärzte und Apotheker?
Die Ärzte sind bei diesem Verfahren nur indirekt beteiligt. Die Apotheken hingegen sind rechtlich verantwortlich für die Vertraulichkeit – auch für ihre Auftragnehmer, die Rechenzentren. Wenn sie wissen, dass ihr Rechenzentrum unzulässig handelt, sind sie mitverantwortlich.
57, ist Jurist und Datenschutzbeauftragter des Landes Schleswig-Holstein. Seit 2004 leitet er außerdem das Unabhängige Landeszentrums für Datenschutz
Dem Gesetz nach dürfen Patientendaten zu „anderen Zwecken“ weitergegeben werden. Muss hier klarer formuliert werden?
Nein, das Gesetz ist klar. Die Daten dürfen ja weitergegeben werden, sie müssen lediglich hinreichend anonymisiert werden. Das ist hier aber nicht der Fall. Hinzu kommt, dass eine Bereicherungsabsicht besteht. Vor 2012 war kein Verfahren der Rechenzentren datenschutzkonform, das heißt, jeder gesetzlich Krankenversicherte war potenziell betroffen, dass seine Daten bei einer Weitergabe nicht sicher anonymisiert sind. Einige Rechenzentren, wie etwa das Norddeutsche Apothekenzentrum (NARZ) haben ihr Verfahren technisch umgestellt, sodass nun eine wirksame Anonymisierung erfolgt.
Was müsste konkret für einen besseren Schutz von Patientendaten getan werden?
Je größer der Druck auf die Rechenzentren und die zuständigen Behörden wird, umso größere Chancen bestehen, den Datenschutz durchzusetzen. Ich bin da ganz großer Hoffnung. Ich hab mich sehr gefreut, dass das Gesundheitsministerium nun die Verfahren prüft und dass die Krankenkassen sich positioniert haben, dass es so nicht weitergeht. Wichtig ist, dass die zuständige Staatsanwaltschaft, die Landesdatenschutzbehörde Bayern und die handelnden Firmen sich eines Besseren besinnen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Abschiebung erstmal verhindert
Pflegeheim muss doch nicht schließen
Hoffnung und Klimakrise
Was wir meinen, wenn wir Hoffnung sagen
US-Interessen in Grönland
Trump mal wieder auf Einkaufstour
Negativity Bias im Journalismus
Ist es wirklich so schlimm?
Künstler Mike Spike Froidl über Punk
„Das Ziellose, das ist doch Punk“
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an