Apotheken in der Anonymitäts-Falle

Laut Sozialgesetzbuch (SGB V) dürfen Rezeptdaten nur für die Abrechnung mit den Krankenkassen verwendet werden; nur in anonymisierter Form ist eine weitergehende Nutzung möglich. Seit einem Jahr debattieren die 16 Datenschützer in Deutschland darüber, wie diese Formulierung auszulegen ist: Dürfen Informationen über einen virtuellen „Patienten X“ weitergegeben werden oder muss die Pharmaindustrie ganz auf Einzelauswertungen und Zeitverläufe verzichten?

Einen Konsens gibt es bislang nicht. Auch nach zwei Treffen haben die Datenschützer unterschiedliche Auffassungen. Je nach Sichtweise der zuständigen Aufsichtsbehörde haben die Rechenzentren bereits reagiert: Das NARZ und die Rezeptabrechnungsstelle Berliner Apotheker liefern nur noch aggregierte Daten. VSA, ARZ Darmstadt und ARZ Haan stellen Marktforschungsunternehmen wie IMS Health weiterhin Einzelinformationen zur Verfügung, die einmal im Rechenzentrum selbst und ein zweites Mal in einem unabhängigen Trustcenter anonymisiert werden.

Die von der VSA mit der Prüfung beauftragte Kanzlei CMS Hasche Sigle erklärt den Unterschied: Neben der „absoluten Anonymisierung“, bei der keinerlei Rückschlüsse auf bestimmte Personen mehr möglich ist, gibt es Verfahren zur „faktischen Anonymisierung“: Dabei ist eine Deanonymisierung zwar theoretisch möglich, der Aufwand aber – anders als bei der reinen Pseudonymisierung – unverhältnismäßig hoch. Und das wiederum entspricht den Experten zufolge exakt den Voraussetzungen laut Bundesdatenschutzgesetz.

Genauso sieht es der Präsident des bayerischen Landesamtes für Datenschutzaufsicht, Thomas Kranig. „Die gesetzlichen Voraussetzungen sind erfüllt.“ Eine Anonymisierung sei nicht alleine wegen der theoretischen Möglichkeit unzureichend, dass mit krimineller Energie die Codierungsschlüssel rekonstruiert und damit Klardaten wiederhergestellt würden.

Das sieht Dr. Thilo Weichert vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anders. Alleine die bloße Möglichkeit, aus den codierten Daten Rückschlüsse auf die tatsächliche Identität von Patient oder Arzt zu ziehen, erfordern aus seiner Sicht eine absolute Anonymisierung. Wenn ein Medikament etwa nur sehr selten verordnet werde, sei es extrem einfach, Arzt und Patienten zu identifizieren.

Dass dies in der Praxis nicht vorkomme, spielt laut Weichert keine Rolle: „Das Gesetz gibt nicht vor, dass es nicht gewollt wird, sondern dass es nicht möglich ist.“ Der als Hardliner bekannte Datenschützer fordert, dass standardmäßig mehrere Datensätze aggregiert werden müssen: Anonymität gibt es demnach erst, wenn mindestens drei Fälle zusammengefasst werden.

Dass er die Deutungshoheit an sich reißt, obwohl es in seinem Zuständigkeitsbereich gar kein Apothekenrechenzentrum gibt, spielt für ihn keine Rolle. Weichert sieht sich als Experte für Datenschutz im medizinischen Bereich in der Pflicht und außerdem „direkt betroffen“: Zum einen halte sich das NARZ an Recht und Gesetz, sodass die Datenweitergabe der VSA einen „Wettbewerbsnachteil für uns“ darstelle. Außerdem seien einzelne Apotheken in Schleswig-Holstein betroffen, die sich an die Datenschützer gewandt hätten.

Dass sich die betroffenen Unternehmen im Sinne der Apotheken nicht mit ganzer Kraft gegen die Vorwürfe zur Wehr setzen können, liegt womöglich daran, dass früher nicht immer alles glatt lief. Bis 2009 lieferte die VSA unverschlüsselte Daten an ihre Tochterfirma GFD. Weil dort auch Daten anderer Rechenzentren gesammelt wurden, stand das Unternehmen vor einem Jahr im Verdacht, Schlüssel für die Dechiffrierung geliefert zu haben.

„Es gab bis 2010 ein Verfahren, das wir nicht für in Ordnung gehalten haben“, sagt Kranig etwa über die VSA. „Bei früheren Verfahren war nicht sichergestellt, dass die Daten anonymisiert das Rechenzentrum verlassen haben. Das ist aber alles Schnee von gestern.“