Apothekenrechenzentrum VSA

Interne Weitergabe von Rezeptdaten war „in der Branche üblich“

Stuttgart - 24.02.2016, 17:50 Uhr

Rezeptverarbeitung bei der VSA: Laut Bußgeldbescheid gab es jahrelang Datenschutz-Probleme. (Foto: VSA)

Rezeptverarbeitung bei der VSA: Laut Bußgeldbescheid gab es jahrelang Datenschutz-Probleme. (Foto: VSA)


Laut einem Spiegel Online vorliegenden Entwurf eines Bußgeldbescheids hat die VSA jahrelang unbefugt Rezeptdaten ohne geeignete Anonymisierung an eine Tochterfirma weitergegeben. Das vorgesehene Bußgeld beträgt insgesamt 150.000 Euro. Es sei mit Zusatzinformationen möglich gewesen, Versicherte zu identifizieren. 

Zur schon lange kritisch diskutierten Weitergabe von Rezeptdaten des Münchner Apothekenrechenzentrums VSA ist ein Dokument aufgetaucht, das über einige neue Aspekte Aufschluss gibt: Spiegel Online erhielt den Entwurf eines Bußgeldbescheids, der für die VSA zusammen mit einer Tochterfirma eine Strafe von insgesamt 150.000 Euro vorsah. Gegenüber DAZ.online bestätigte die VSA, dass sie den Bußgeldbescheid erhalten hätte und dass er vollstreckt wurde. Das Apothekenrechenzentrum wollte jedoch weder Details zum Inhalt nennen noch die Vorgänge kommentieren – es sei in der Vergangenheit „alles schon hinlänglich beantwortet“ worden.

Wie bekannt war, verhängte der Bayerische Landesbeauftragte für den Datenschutz, Thomas Kranig, im Berichtsjahr 2013/2014 Bußgelder in Gesamthöhe von 200.000 Euro. Darunter waren drei Bußgeldbescheide, die wegen „unzulässiger Datenverarbeitungen im Zusammenhang mit der Tätigkeit von Apothekenrechenzentren“ erteilt wurden. Details wollte Kranig gegenüber DAZ.online nicht herausgeben, doch dem Vernehmen nach entfiel der Löwenanteil auf die in Bayern tätigen Rechenzentren. Die Bußgelder hätten sich auf Vorgänge aus dem Jahr 2008 bezogen – unklar ist, ob es sich hier um zusätzliche Fälle handelt. 

Auszug aus dem von Spiegel Online veröffentlichten Entwurf

Unbefugte Verarbeitung

Neu an der Recherche von Spiegel Online ist nun die Höhe sowie der Inhalt des Bescheids. Kritisiert wird die „unbefugte Erhebung und unbefugte Verarbeitung personenbezogener Daten“ durch die Tochterfirma, welche die Informationen von 1998 bis 2010 „monatlich in unverschlüsselter elektronischer Form“ erhalten hätte. Die Strafe bezieht sich auf einen Zeitraum von elf Monaten, da der Rest als verjährt galt, wie Spiegel Online am Montag schrieb.

Auf Anfrage teilte die VSA dem Nachrichtenportal mit, es habe sich um einen internen Prozess gehandelt. „Keineswegs wurden Daten unverschlüsselt an Dritte (zum Beispiel Pharmaunternehmen) weitergegeben und von diesen verwendet“, so die VSA. Aktuell würden die Rezeptdaten besser geschützt, damit sie anschließend anonymisiert durch Fremdfirmen ausgewertet werden können. Die Tochtergesellschaft sei auf die Aufsichtsbehörde zugegangen, die seit 2010 keine datenschutzrechtlichen Verstöße gefunden hätte. 

Vergleichsweise hohe Strafe

War also alles halb so wild? Die Gesamtstrafe von 150.000 Euro spricht laut dem Berliner Datenschutzjuristen Niko Härting dagegen: „Im bundesweiten Vergleich ist das eine erstaunlich hohe Summe“, zitiert ihn Spiegel Online. Zur Entlastung der VSA und ihrer Tochtergesellschaft schrieb der Ersteller des Bescheids, „dass die geübte Praxis in der Branche üblich war“. Doch dürfte dies eher neue Fragen aufwerfen, als entlastend wirken. War die unbefugte interne Weitergabe weit verbreitet? 

Die Tochterfirma hätte die Rezeptdaten für „Zielgruppenbestimmungen zur Einordnung von Ärzten anhand von Klassifikationsalgorithmen im Auftrag von Arzneimittelherstellern“ genutzt, so heißt es laut dem Nachrichtenportal im Entwurf des Bußgeldbescheids. Zwar fand der Datenschützer keine konkreten Anhaltspunkte für eine Identifizierung von Patienten, doch war dies laut Bescheidentwurf unter Hinzunahme von Zusatzwissen möglich. 

Keine Hinweise für Versicherte

Obwohl der Fall rund ein Drittel aller gesetzlich Versicherten betreffen dürfte, da die VSA größter Anbieter für Rezeptabrechnungen ist, sind weder die Höhe des Bußgelds noch weitere Details im Jahresbericht des bayrischen Datenschutzbeauftragten Thomas Kranig aufgeführt.

Laut Härting liege ein Grund für die Hilflosigkeit beim Schutz der Rezeptdaten in der Überforderung der Datenschutzbeauftragten, die dringend eine höhere IT-Kompetenz benötigen würden. Er forderte gegenüber Spiegel Online auch eine „starke bundeseinheitliche Datenschutzaufsicht“. 

Schon zuvor hatte der „Spiegel“ mehrfach über Datenschutz-Probleme bei der Weitergabe von Rezeptdaten berichtet. Ein wichtiger Aspekt ist hierbei, ob die für die Marktforschung verwendeten Daten tatsächlich keinen Rückschluss auf Versicherte mehr zulassen.

Wie anonym sind die weitergegebenen Daten?

Einem früheren Bericht des Magazins hatte die VSA widersprochen, da jeglicher Personenbezug durch ein vom Landesamt für Datenschutzaufsicht geprüftes Verfahren eliminiert würde. Laut der Analyse eines Fraunhofer-Instituts sei diese Methode gesetzeskonform, so die VSA.

Klar ist jedoch auch, dass weiterhin der Bezug zu Versicherten nicht ganz entfernt sondern nur verschlüsselt wird. Wie dies genau erfolgt, verrät die VSA nicht.

Im Norden werden die Daten entfernt

Anders praktiziert es laut Tätigkeitsbericht 2015 des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein zum Beispiel das Norddeutsche Apotheken-Rechenzentrum, welches sicherheitshalber nur noch aggregierte Daten liefere. Die dortige Aufsichtsbehörde hatte die Praxis des „süddeutschen“ Rechenzentrums sowie auch weiterer Apothekenrechenzentren in ihrem Bericht als rechtswidrig bewertet.

Frühere staatsanwaltschaftliche Ermittlungen gegen die VSA waren aus formalen Gründen eingestellt worden


Diesen Artikel teilen:


1 Kommentar

Dieser Kommentar wurde von der Redaktion aufgrund eines Verstoßes gegen die allgemeinen Verhaltensregeln gelöscht.

Das Kommentieren ist aktuell nicht möglich.