Das Apothekenrechenzentrum VSA in München verkauft Patientendaten an Marktforscher und verlangt für den einzelnen Datensatz nur wenige Cent. Bei den Informationen handelt es sich um Rezeptdaten der deutschen Versicherten. Zu den Kunden zählt auch der US-Konzern IMS Health, der nach eigenen Angaben die Krankheiten von weltweit 300 Millionen Patienten untersucht, unter ihnen auch 42 Millionen Deutsche.
Wie viele Deutsche Datensätze auf diese Art weiter gegeben wurden, ist noch nicht klar. „Viele Patientenkarrieren sind zurück bis 1992 verfolgbar", berichtet der Spiegel. Eigentlich ist der Handel mit Rezeptdaten legal, solange die Daten hinreichend verschlüsselt weitergegeben werden. Selbst in verschlüsselter Form lassen sich für Marktforscher noch wertvolle Informationen aus den Rohdaten ermitteln.
Im aktuellen Fall wurden die Daten jedoch nur unzureichend von dem VSA verschlüsselt. Die Marktforscher von IMS Health konnten die Anonymisierung leicht umgehen. Der 64-stellige Code, mit dem die Daten verschlüsselt wurden, lässt sich leicht auf die tatsächliche Versichertennummer zurückrechnen, mit dessen Hilfe Daten wie Alter und Geschlecht ermittelt werden können.
Das ist ein direkter Verstoß gegen die Datenschutzrechte der deutschen Versicherten.
Für jeden Datensatz eines deutschen Versicherten muss der IMS-Konzern 1,5 Cent an das Rechenzentrum der Apotheken bezahlen. Verkauft werden die Datenpakete für mehrere hunderttausend Euro an die Pharmaindustrie.
Die gewonnenen Daten können den Pharmaunternehmen sehr nützlich sein. Sie können ermitteln, welcher Arzt in welchem Umfang welche Medikamente verschrieben hat. Das hat Auswirkungen auf die Vertriebsaktivitäten. Außendienstmitarbeiter könnten gezielt auf Ärzte zugehen, die noch keine oder wenige Medikamente eines Pharmaherstellers verschreiben.
Die Rechenzentren der Apotheken argumentieren, eine verbesserte Verschlüsselung würde ihre Dienste verteuern. Für Datenschützer Thilo Weichert zielt das Argument ins Leere. „Ein illegales Geschäftsmodell wird dadurch nicht besser, dass es billiger und lukrativer sein soll." Für die Apotheken könnte es noch ein Nachspiel geben, wenn diese weiterhin ungesicherte Daten von Rechenzentren verarbeiten lassen. Das könnte als Verstoß gegen die Schweigepflicht der Apotheken gewertet werden.
Weichert vermutet, dass Rechenzentren schon seit Jahren auf diese Weise Handel mit Rezeptdaten der Versicherten betreiben. In der Deutschen Apotheker Zeitung gab Weichert eine ausführliche Einschätzung ab:
„Über Jahre hinweg wurde im Dunkeln agiert. Als nun bekannt wurde, dass gegen Datenschutzregelungen verstoßen wird, wird geleugnet und verharmlost und auch schon mal gedroht. Die Bereitschaft zur freiwilligen Beachtung der Regeln zum Datenschutz ist keine Selbstverständlichkeit – hätte dies doch zur Folge, auf äußerst lukrative bzw. als vorteilhaft empfundene langjährige Praktiken verzichten zu müssen.“
Weichert erwägt, gegen das Rechenzentrum der Apotheken vor Gericht zu ziehen, sollte sich die Situation nicht verbessern. „Es wäre jedoch traurig“, so Weichert, wenn Apotheker „erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären“.
Der Datenhandel ist weltweit mittlerweile eines der begehrtesten Geschäftsfelder: Die amerikanischen Telekommunikations-Unternehmen sind soeben bei der US-Regierung vorstellig geworden: Sie wollen die Daten ihrer Kunden ganz legal nach Belieben weiterverkaufen können. Sonst hätten sie, so lautet die Argumentation, einen eklatanten Wettbewerbsnachteil gegenüber Google und Facebook.
Es ist eben alles immer nur eine Frage der Blickwinkels.