VSA: Apothekenzentrum handelt mit Patientendaten

Das vor allem in Süddeutschland aktive Apothekenrechenzentrum VSA, das Teil der Unternehmensgruppe VSA ist, handelt laut einem Bericht des Nachrichtenmagazins Der Spiegel mit Patientendaten, die unzureichend verschlüsselt sind. VSA pseudonymisiert die Daten nur mit einem 64-stelligen Code. Dieser kann laut Spiegel aber zurückgerechnet werden, so dass die Versicherungsnummer der Kunden offenbart wird. Das Magazin berichtet gar von einem "Ausspähen" von Patienten - ein Begriff, der ein aktives Vorgehen nahelegt und von anderen Medien aufgegriffen wurde.

Konkreter Kunde solcher Datensätze mit 64-stelligem Pseudonym ist das US-Unternehmen IMS Health. IMS erhält auch das Alter und Geschlecht des jeweiligen Patienten. Das Unternehmen zahlt pro Patientendatensatz gerade einmal 1,5 Cent und verkauft die Daten dann selbst in mehr als hundert Länder.

Patientenindividuelle Angebote

IMS Health verwaltet wohl 42 Millionen deutsche Versicherte. Wie viele Daten davon von VSA stammen, ist unbekannt. VSA ist zwar überregional aktiv, die Schwerpunkte liegen aber in Bayern, Sachsen und Sachsen-Anhalt und Baden-Württemberg. IMS sei etwa in der Lage "patientenindividuelle" Informationen aus Insulinrezepten mit 12-Monats-Updates anderen Unternehmen anzubieten, so Der Spiegel, dem ein solches Angebot vorliegt. Ob es dem IMS gelungen ist, das Pseudonym in eine Versicherungsnummer zurückzurechnen, geht daraus nicht hervor.

Der Datenschutzbeauftragte Thilo Weichert kritisierte letzten Monat in der Deutschen Apotheker Zeitung (DAZ) solche Methoden und erinnerte Apotheken daran, dass sie eigentlich einem Berufsgeheimnis und einer Schweigepflicht unterliegen. Bereits 2012 hatte Der Spiegel einen Skandal um die Weiterreichung von pseudonymisierten Patientendaten aufgedeckt. Auch hier war IMS Health ein Kunde. Das Norddeutsche Apothekenzentrum hat bereits reagiert und seine Datenweitergabe umgestellt. Das hat allerdings keine Auswirkungen auf bereits weitergegebene Daten.

Inwiefern sich der Patient vor dem Datenhandel schützen kann, ist nicht bekannt. Möglicherweise hilft es erst einmal, bei der eigenen Apotheke zu fragen, ob eigene Daten an ein Apothekerzentrum weitergegeben werden und das dann entsprechend zu untersagen. Laut Weichert sind Apotheken weiterhin strafrechtlich an ihr Berufsgeheimnis gebunden, auch wenn sie die Abrechnungen durch ein Apothekenrechenzentrum durchführen lassen. Weichert hat bereits Reaktionen der Zentren beobachtet. Sie senken ihre Gebühren. Von der Nutzung eines Apothekenrechenzentrums ohne ausreichende Anonymisierung rät er grundsätzlich ab.

In der DAZ deutet Weichert Konsequenzen an: "Wir scheuen aber nicht den indirekten Austausch vor Gericht. Es wäre jedoch traurig, wenn die Dienstleister des Vertrauensberufs 'Apotheker' erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären."

In der VSA-Unternehmensgruppe befindet sich neben Abrechnungsdienstleistern für Apotheker, Ärzte, Drogerien und Physiotherapeuten auch eine Marktforschungsfirma. Die hat für Apotheken ein recht attraktives Angebot und zahlt jährlich bis zu 1.800 Euro für die Teilnahme an Befragungen. Zusätzlich lockt ein Gewinnspiel mit Barpreisen von 200 bis 2.000 Euro. Das zeigt, dass das Apothekenrechenzentrum und seine Unternehmen ein sehr großes Interesse an Daten hat.