Datenschützer über Patientendaten: „Das Gesetz ist klar“
Der Jurist Thilo Weichert spricht angesichts des Handels mit Patientendaten vom größten Skandal mit medizinischen Informationen in der Nachkriegszeit.
taz: Herr Weichert, das Magazin Der Spiegel berichtet, das süddeutsche Apothekenrechenzentrum VSA verkaufe unzureichend verschlüsselte Patientendaten an das US-Marktforschungsunternehmen IMS. VSA und IMS dementieren: alles korrekt. Was stimmt denn nun?
Thilo Weichert: Im konkreten Fall handelt es sich genau genommen nicht um eine Verschlüsselung, sondern eine Pseudonymisierung. Das heißt: Jeder Datensatz ist ein eindeutiger und individueller Datensatz, der jederzeit identifizierbar ist. Anonymisierung im Sinne des Gesetzes wird damit nicht erreicht. Schon im September vergangenen Jahres hatten wir als Landesdatenschutzbehörde dies mit den anderen Ländern intensiv diskutiert und nachgewiesen. Bis auf die Behörden Bayerns und Hessens stimmten die anderen 14 Stellen überein, dass die Pseudonymisierung von VSA und anderen Rechenzentren nicht den Anforderungen genügt. Hier handelt es sich meines Erachtens tatsächlich um den größten Datenskandal im medizinischen Bereich in der Nachkriegsgeschichte.
Was bedeutet das für Patienten?
Patientinnen und Patienten müssen davon ausgehen, dass zu ihrer Person ein Datensatz vorhanden ist, der unter Umständen über Jahre hinweg nachvollzieht, welche Medikamente verschrieben werden. Konkret kann ein Pharmaunternehmen sehen: Welcher Arzt hat wann welches Medikament verschrieben. Wird zum Beispiel ein Produkt weniger oft verschrieben, kann bei Ärzten gezielt dafür geworben werden. Das bedeutet: Die Pharmaunternehmen nehmen mit den Daten Einfluss auf eine medizinische Behandlung, was gesundheitliche Folgen für die Betroffenen zur Folge haben kann.
Welche Verantwortung haben die Ärzte und Apotheker?
Die Ärzte sind bei diesem Verfahren nur indirekt beteiligt. Die Apotheken hingegen sind rechtlich verantwortlich für die Vertraulichkeit – auch für ihre Auftragnehmer, die Rechenzentren. Wenn sie wissen, dass ihr Rechenzentrum unzulässig handelt, sind sie mitverantwortlich.
57, ist Jurist und Datenschutzbeauftragter des Landes Schleswig-Holstein. Seit 2004 leitet er außerdem das Unabhängige Landeszentrums für Datenschutz
Dem Gesetz nach dürfen Patientendaten zu „anderen Zwecken“ weitergegeben werden. Muss hier klarer formuliert werden?
Nein, das Gesetz ist klar. Die Daten dürfen ja weitergegeben werden, sie müssen lediglich hinreichend anonymisiert werden. Das ist hier aber nicht der Fall. Hinzu kommt, dass eine Bereicherungsabsicht besteht. Vor 2012 war kein Verfahren der Rechenzentren datenschutzkonform, das heißt, jeder gesetzlich Krankenversicherte war potenziell betroffen, dass seine Daten bei einer Weitergabe nicht sicher anonymisiert sind. Einige Rechenzentren, wie etwa das Norddeutsche Apothekenzentrum (NARZ) haben ihr Verfahren technisch umgestellt, sodass nun eine wirksame Anonymisierung erfolgt.
Was müsste konkret für einen besseren Schutz von Patientendaten getan werden?
Je größer der Druck auf die Rechenzentren und die zuständigen Behörden wird, umso größere Chancen bestehen, den Datenschutz durchzusetzen. Ich bin da ganz großer Hoffnung. Ich hab mich sehr gefreut, dass das Gesundheitsministerium nun die Verfahren prüft und dass die Krankenkassen sich positioniert haben, dass es so nicht weitergeht. Wichtig ist, dass die zuständige Staatsanwaltschaft, die Landesdatenschutzbehörde Bayern und die handelnden Firmen sich eines Besseren besinnen.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen
meistkommentiert
Alleingang des Finanzministers
Lindner will Bürgergeld kürzen
Putins Brics-Gipfel in Kasan
Club der falschen Freunde
Deutsche Asylpolitik
Die Hölle der anderen
Kritik an Initiative Finanzielle Bildung
Ministeriumsattacke auf Attac
Linke in Berlin
Parteiaustritte nach Antisemitismus-Streit
Investitionsbonus für Unternehmen
Das habecksche Gießkannenprinzip