DAZ aktuell

Diskussion um Rezeptdaten geht weiter

BERLIN/STUTTGART (lk/wes). In der Diskussion um die Verarbeitung und Nutzung von Rezeptdaten durch Apothekenrechenzentren hat sich nun auch das Bundesgesundheitsministerium (BMG) zu Wort gemeldet. Das BMG erinnert daran, dass nur anonymisierte Daten für andere Zwecke als die Rezeptabrechnung weiterverarbeitet werden dürfen.

Apotheken könnten nach § 300 Abs. 2 Fünftes Buch Sozialgesetzbuch (SGB V) zur Abrechnung der zulasten der gesetzlichen Krankenversicherung verordneten Rezepte Rechenzentren in Anspruch nehmen. "Diese Rechenzentren dürfen die Daten jedoch nur für im Sozialgesetzbuch bestimmte Zwecke und nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten und nutzen, soweit sie dazu von einer berechtigten Stelle beauftragt worden sind. Lediglich anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden", so das BMG. Welche gesetzlichen Anforderungen an eine Anonymisierung gestellt werden, sei in § 3 Absatz 6 Bundesdatenschutzgesetz (BDSG) und § 67 Absatz 8 des Zehnten Buches Sozialgesetzbuch geregelt.

Die Kontrolle der datenschutzrechtlichen Vorgaben falle unter die Verantwortung der Länder, heißt es aus dem BMG. Die Landesdatenschutzbeauftragten seien in der Ausübung ihrer Tätigkeit unabhängig. Insoweit könne es auch zu unterschiedlichen datenschutzrechtlichen Bewertungen der ihnen von den einzelnen Apothekenrechenzentren vorgelegten Konzepte kommen. "Hier obliegt es den Landesdatenschutzbeauftragten, sich gegebenenfalls auf eine einheitliche Aufsichtspraxis zu verständigen", so das Ministerium. Das BMG hat hierzu keine Weisungs- oder Prüfbefugnisse.

In der vergangenen Woche hatte der Präsident der Bundesapothekerkammer Dr. Andreas Kiefer im Gespräch mit der Apotheker Zeitung (AZ 2013, Nr. 29) betont, dass aus seiner Sicht eine Weiterverarbeitung von Rezeptdaten für Marketingzwecke der Pharmaindustrie nicht zulässig sei. Diese Daten seien Sozialdaten, die einem besonderen Schutz unterliegen. Hier sei das Vertrauensverhältnis zwischen Apotheker und Patient betroffen: "Dieses Vertrauensverhältnis müssen wir mit allen Mitteln und unter allen Umständen schützen."

Kiefer, der auch Vorsitzender des Deutschen Arzneiprüfungsinstituts (DAPI) ist, betonte, dass sich die Arbeit des DAPI elementar von der der Marktforschungsinstitute unterscheide. "Der Gesetzgeber, der Gemeinsame Bundesauschuss (G-BA) und die Krankenkassen haben im Sozialgesetzbuch die Apothekerschaft verpflichtet, Rezeptdaten auszuwerten. Die ABDA bedient sich des DAPI, diese Pflicht zu erfüllen." Solche pharmazeutischen Studien könnten nicht mit Marktforschung für Marketingzwecke verglichen werden.

Anfang Juli hatte der schleswig-holsteinische Landesdatenschützer Dr. Thilo Weichert die schon länger schwelende Diskussion über die datenschutzkonforme Lieferung von Rezeptdaten an Marktforschungsinstitute angeheizt. In einer Einschätzung (s. Kasten) warf Weichert Apothekenrechenzentren und Marktforschern Leugnung, Verharmlosung und Drohungen vor.


Meinung


Der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Dr. Thilo Weichert, zur aktuellen Diskussion über den Datenschutz bei Rezeptdaten:

"Die Diskussion um die Weitergabe von Rezeptverschreibungsdaten von Apothekenrechenzentren an Bedarfsträger in der Wirtschaft, u. a. an die Firma IMS Health, erinnert mich ein wenig an die aktuelle Diskussion um die Abhörprogramme der US-amerikanischen und der britischen Sicherheitsbehörden: Über Jahre hinweg wurde im Dunkeln agiert. Als nun bekannt wurde, dass gegen Datenschutzregelungen verstoßen wird, wird geleugnet und verharmlost und auch schon mal gedroht. Die Bereitschaft zur freiwilligen Beachtung der Regeln zum Datenschutz ist keine Selbstverständlichkeit – hätte dies doch zur Folge, auf äußerst lukrative bzw. als vorteilhaft empfundene langjährige Praktiken verzichten zu müssen.

Es ist nun schon mehr als ein Jahr her, dass "Der Spiegel" über illegale Praktiken bei der Weitergabe von Rezeptverschreibungsdaten berichtete. Die Datenschutzbehörden nahmen daraufhin ihre Ermittlungen auf. Die Ergebnisse wurden im Herbst 2012 ausgetauscht und zusammengefasst: Entgegen der Regelung in § 300 Sozialgesetzbuch V gaben die Apothekenrechenzentren (ARZ) an IMS Health und andere keine anonymisierten, sondern – unzulässig – pseudonymisierte Daten heraus. Das Ergebnis beruhte auf einer fundierten Analyse der genutzten Datensätze und der Verarbeitungsprozesse. Die nach der Kritik vom Norddeutschen Apothekenrechenzentrum (NARZ) vorgenommenen Änderungen wurden als richtungsweisend akzeptiert. Das Bayerische Landesamt für Datenschutzaufsicht hat seine abweichende Position bis heute nicht nachvollzieh- und kritisierbar begründet.

In den jüngsten Äußerungen des süddeutschen Apothekenrechenzentrums VSA wird indirekt zugegeben, dass von ihr keine vollständig anonymisierten Datenlieferungen erfolgen. Das verlangt aber das Gesetz. Wenn das NARZ seine Datenlieferung umgestellt hat, so nicht aus "vorauseilendem Gehorsam", sondern aus Rechtstreue. Diese hat übrigens das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in einem Gespräch mit IMS Health eingefordert. Es hat angeboten, ein entsprechend geändertes Verfahren förmlich zu zertifizieren. Entsprechende Dokumente sowie ein Antrag auf ein Gütesiegel sind beim ULD bisher nicht eingegangen. Unklar ist, welches Zertifizierungsverfahren nun das VSA durchführen lässt. Außer dem eigenen ist dem ULD kein förmliches Datenschutzzertifizierungsverfahren bekannt. Wohlgemerkt: Es geht hier um Datenschutz, also Rechtmäßigkeit – nicht um technisch-organisatorische Datensicherheit.

In diesem Zusammenhang sei auf Folgendes hingewiesen: ARZ verarbeiten im Auftrag von Apotheken Rezeptdaten. Diese sind strafrechtlich an ihr Berufsgeheimnis gebunden und bleiben für ihre Rezeptdaten im ARZ als Auftraggeber rechtlich verantwortlich. Ein Verstoß gegen die Schweigepflicht setzt die Apotheken der Gefahr der Strafverfolgung aus, wenn sie – was inzwischen bekannt ist – von der nicht hinreichend anonymisierten Datenweitergabe wissen. Das ULD hat daher den Apotheken in Schleswig-Holstein dringend von der Beauftragung von ARZ ohne hinreichende Anonymisierung abgeraten.

Während die US-amerikanische und britische Nachrichtendienste mit dem Terrorismus drohen, schwingen ARZ nun mit der Gebührenkeule. Ein illegales Geschäftsmodell wird dadurch nicht besser, dass es billiger und lukrativer sein soll. Die Datenschutzbehörden im Düsseldorfer Kreis haben immer den direkten Austausch von Argumenten gesucht. Wir scheuen aber nicht den indirekten Austausch vor Gericht. Es wäre jedoch traurig, wenn die Dienstleister des Vertrauensberufs "Apotheker" erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären. Vom britischen Geheimdienst erwarten wir die Beachtung des Datenschutzgrundrechtes auch nicht erst, nachdem der Europäische Gerichtshof ihn verurteilt hat."


Dr. Thilo Weichert

NARZ: Nur anonyme Daten

Kurz zuvor war Dr. Jörn Graue als Vorstandsvorsitzender des NARZ wiedergewählt worden. Graue war in seiner Rede vor der Mitgliederversammlung ausführlich auf die Datenschutzproblematik eingegangen (DAZ 2013, Nr. 27). Das NARZ und seine Betriebsgesellschaft, die GfI, liefere seit einiger Zeit nur noch Daten ohne jeglichen Personenbezug – und werde dies auch zukünftig tun.

VSA: "Datenschutz wird strikt eingehalten"

Die VSA kritisierte mehrere Aussagen Graues scharf. Es werde suggeriert, dass die Apothekenrechenzentren den Datenschutz nicht ausreichend berücksichtigten und dass lediglich pseudonymisierte und nicht anonymisierte Daten geliefert würden. "Wir widersprechen dieser Auffassung entschieden und betonen, dass wir die gesetzlichen Bestimmungen des Datenschutzes und des SGB V strikt einhalten. Diese Aussage kann sicherlich auch auf die anderen Apothekenrechenzentren übertragen werden", heißt es in einer Stellungnahme der VSA-Geschäftsführung. "Nach unserem Kenntnisstand hat die Bremer Datenschutzbehörde bisher keine Umstellung auf vollständig anonymisierte Datenlieferungen gefordert. Vor diesem Hintergrund ist völlig unverständlich, warum Herr Graue gewissermaßen in vorauseilendem Gehorsam die Umstellung der Datenlieferungen des NARZ angeordnet hat und damit hohe Einnahmeausfälle sowie gerichtliche Auseinandersetzungen mit den Datenempfängern in Kauf nimmt."

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.