Softwareanbieter schaltet Datenschützer ein

Schnelltests: Apotheken in der Abrechnungsfalle

, Uhr
Berlin -

Der Datenschutz in der Apotheke bleibt ein Minenfeld. Zwar gehen sie routinemäßig mit besonders sensiblen – und deshalb zu schützenden – Gesundheitsdaten um. Doch besonders mit der Durchführung kostenloser Bürgertests fielen in den vergangenen Monaten massenhaft sensible Daten an, die nur unter entsprechenden Bedingungen gespeichert und verarbeitet werden durften. Nach zahlreichen größeren und kleineren Skandalen um Missbrauchsfälle im Zusammenhang mit Testzentren will das Bundesgesundheitsministerium (BMG) nun mehr Kontrollmöglichkeiten – und verlangt von den Apotheken die Offenlegung aller Tests, samt Name und Ergebnis. Softwareanbieter Tracemedics ist darüber empört – muss sich der neuen Gesetzeslage aber auch fügen.

Die kostenlosen Testungen in Apotheken hatten eine ähnliche Genese wie viele Projekte in der Coronakrise: schnell entschieden, schnell umgesetzt. Konstruktionsfehler im durchaus komplexen Geschehen wurde erst im laufenden Betrieb erkannt und daraufhin nachgesteuert – einerseits bei der Vergütung, andererseits bei der Regulierung. Nachdem immer mehr Fälle bekannt wurden, in denen Testzentrumsbetreiber mit fragwürdigen Methoden gearbeitet haben, wollte das BMG mehr Kontrollmöglichkeiten und zog die Zügel mit der neuen Testverordnung (TestV) an: Unter anderem wurde festgelegt, dass ohne Anbindung an die Corona-Warn-App (CWA) keine Vergütung mehr gezahlt wird.

Um die Betrugsmöglichkeiten einzuschränken – beziehungsweise möglichen Betrug besser zu erkennen – hat das BMG die Kassenärztlichen Vereinigungen (KV) mit der neuen Testverordnung außerdem verpflichtet, Plausibilitätsprüfungen vorzunehmen. „Für die Durchführung der Prüfung sind die Leistungserbringer und die sonstigen abrechnenden Stellen verpflichtet, der Kassenärztlichen Vereinigung auf Verlangen alle Auskünfte zu erteilen und Dokumentationen zu übersenden, die für die Prüfung erforderlich sind“, heißt es dazu in § 7a TestV. Dazu zählen insbesondere die Auftrags-, Leistungsdokumentation Rechnungsdokumentation. Die KVen sind befugt, die Daten zu Prüfungszwecken zu verarbeiten, und können geeignete Dritte mit der Prüfung beauftragen.

Demselben Paragraphen zufolge sind wiederum die Leistungserbringer dazu verpflichtet, den KVen die gesamte Dokumentation zur Verfügung zu stellen – explizit auch die Ergebnisse. Genau die haben viele Softwareanbieter aber aus nachvollziehbaren Gründen von den sonstigen Personendaten getrennt. „Wir waren bisher angehalten, Patientendaten und Ergebnisse strikt getrennt zu halten“, sagt Dr. Tobias Fries vom Softwareanbieter Tracemedics aus Zürich, der zahlreiche deutsche Apotheken mit seiner Lösung bedient.

Auf die neuen Regelungen aufmerksam gemacht wurde er von mehreren Apothekenkunden, die von den Abrechnungsstellen darüber informiert wurden, welche Daten sie nun einreichen müssen. „Ein halbes Jahr lang haben wir ihnen gesagt, dass es nicht geht, ihnen gleichzeitig Listen mit Patientendaten und Ergebnissen zu übertragen. Jetzt plötzlich muss es also sein.“ Fries wandte sich an die Abrechner, darunter die KV Niedersachsen (KVN) – und hielt deren Vorgehen zuerst für übergriffig. „Aber der KVN kann ich letztlich auch keinen Vorwurf machen, denn es steht ja so im Gesetz“, sagt Fries.

Letztlich sei die Übermittlung der Ergebnisse aber gar nicht relevant für die Plausibilitätsprüfung: Wenn es beispielsweise um die Frage gehe, ob das Verhältnis positiver Testergebnisse zur Gesamtzahl als Indikator herangezogen wird, könne Tracemedics auch eine anonymisierte Aufstellung zur Verfügung stellen, aus der das hervorgeht. Doch seine Einwände halfen nichts. Für Fries ist die Neuregelung damit nicht nur ein Ärgernis, weil jetzt nachgearbeitet werden muss, was zuvor tunlichst vermieden werden sollte, sondern auch, weil eine unnötige neue Sicherheitslücke entstehe. „Ich bin nicht pingelig, was Datenschutz angeht, und finde, dass Datenschützer oft etwas übertreiben. Aber das hier geht gar nicht“, sagt er. „Selbst die Namenslisten allein sind schon schwierig, weil man daraus schon Rückschlüsse ziehen könnte. Aber nach all den Sicherheitspannen der letzten Monate muss doch klar sein, welches Risiko man damit eingeht.“

Fries erinnert beispielsweise an den Fall des Testzentrumsbetreibers 21dx, bei dem im März wegen einer Sicherheitslücke über 136.000 Testergebnisse von über 80.000 Personen einsehbar waren. „Und da war nur ein Einzelzugriff möglich – hier sollen jetzt komplette Listen versandt und gespeichert werden. Das macht einen ganz wesentlichen Unterschied.“ Nicht nur mangelhafte IT-Sicherheit, sondern schon ein kleiner Fauxpas wie ein Tippfehler könne dann dazu führen, dass tausende Testergebnisse samt Identität öffentlich einsehbar werden. „Man muss sich nur vorstellen, aus irgendwelchen Gründen wird so eine Liste öffentlich. Dann steht es in den Medien und schuld sind wieder die Apotheken.“

Tracemedics habe sich deshalb entschieden, die Listen nicht zu versenden, sondern sie den Apotheken als Download zur Verfügung zu stellen. „Wir stellen diese Daten nur extrem widerwillig zur Verfügung. Aber die Apotheken stehen ja genauso zwischen den Stühlen wie die KV und wir: Es hat für sie eine extrem hohe Relevanz, weil es sehr wichtig ist, dass die Abrechnung richtig funktioniert“, so Fries. Haben sich die Apotheken die Daten vom Server gezogen, habe er allerdings auch keine Einwirkungsmöglichkeiten mehr, wie sicher sie dort verwaltet werden.

Eines blieb ihm aber noch: Fries wendete sich an den Bundesdatenschutzbeauftragten. „Wir wissen, dass eine Überprüfung der Testzentren stattfinden muss, können aber nicht verstehen, aus welchem Grund das Ergebnis mit übertragen werden soll. Dies bietet unserer Meinung nach keinen Mehrwert in der Auswertung, da es andere Parameter sind, mit denen geprüft werden kann. Schon die vollen Adressdaten sind unserer Meinung nach grenzwertig aus Datenschutzperspektive“, heißt es in der E-Mail, die APOTHEKE ADHOC vorliegt. Er bittet darin den Bundesdatenschutzbeauftragten, in diesem Fall aktiv zu werden. Allzu viel Hoffnung, dass der etwas ändern kann, habe er zwar nicht, so Fries. Aber: „Ich will mich nicht nachher rechtfertigen müssen, sondern wenigstens bereits im Vornherein auf das Problem hingewiesen haben.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Mehr zum Thema
Feld nicht den Versendern überlassen
Card Link: Gedisa bringt standeseigene Lösung
Marburger Bund punktet bei Tarifverhandlungen
Unikliniken: 10 Prozent mehr bei reduzierter Stundenzahl

APOTHEKE ADHOC Debatte