Düsseldorf/Haan. Das Apothekenrechenzentrum in Haan verkauft Rezeptdaten unzureichend verschlüsselt, kritisiert der Landesdatenschutzbeauftragte. Der Streit schwelt seit einigen Monaten. Nun hat der Datenschützer ein Verfahren gegen das Unternehmen eingeleitet. Die Firma kann die Kritik nicht nachvollziehen.
Der Landesdatenschutzbeauftragte hat ein Verfahren gegen das Apothekenrechenzentrum (ARZ) in Haan im Kreis Mettmann eingeleitet. Demnach soll das Unternehmen Daten von Rezepten nur unzureichend verschlüsselt weitergegeben haben. Die ARZ Service GmbH rechnet laut eigenen Angaben jährlich deutschlandweit über 74 Millionen Rezepte ab. In NRW und Brandburg sei das Unternehmen Marktführer.
Daten von Rezepten dürften nur anonymisiert, also ohne Personenbezug, weiterverkauft werden, erklärt Nils Schröder, Sprecher des Landesdatenschutzbeauftragten. Streitpunkt zwischen den Datenschützern und dem ARZ sei, ob dieses die Daten anonymisiert weiterleite.
Landesdatenschützer kann Änderungen bei der Datenweitergabe anordnen
Der Streit zieht sich bereits seit dem letzten Jahr hin. Nun hat der NRW-Datenschützer offenbar genug und eröffnet ein Verfahren gegen das ARZ. Man könne die bisherige Praxis der Verschlüsselung untersagen und eine Änderung anordnen, erklärt Schröder. Zunächst soll nun das Unternehmen angehört werden.
Es gehe um Angaben zu Patienten, Medikamenten, Kosten oder behandelndem Arzt, sagt Schröder. Das ARZ anonymisiere diese nicht, sondern versehe sie lediglich mit einem Pseudonym. Damit sei aber eine Zuordnung, etwa über den behandelnden Arzt noch möglich. "Unserer Ansicht nach ist die Rückführbarkeit auf einzelne Personen so möglich", sagt Schröder.
Pharmaunternehmen haben Interesse an Patienten-Historie
Die Rezeptdaten werden von Apothekern für die Abrechnung mit den Krankenkassen an das Rechenzentrum weitergegeben. Schröder gibt zu Bedenken: "Die ärztliche Schweigepflicht trifft auch Apotheker." Für die Patienten sei es sicherlich unangenehm, dass Dritte über ihre Krankheiten bescheid wüssten.
Die Unternehmen, die die Daten kaufen, hätten wahrscheinlich vorrangig Interesse an den Historien der Patienten. Pharmaforscher können beispielsweise ableiten, wie lange ein Medikament eingenommen wurde oder welches Präparat bei einem Medikamentenwechsel verschrieben wurde.
Auch interessant
Aber auch über den Arzt ließen sich Informationen gewinnen, mit denen man dann gezielt Pharmavertreter losschicken könne, nennt Schröder ein Beispiel. Für solche Szenarien sei aus Sicht der Firmen die individuelle Zuordnung von Daten hilfreich.
ARZ wehrt sich gegen die Vorwürfe des Landesdatenschutzbeauftragten
Beim ARZ stößt die Kritik auf Unverständnis: Dass nunmehr der Landesdatenschutzbeauftragte "- in Widerspruch zu anderen Aufsichtsbehörden - die rechtliche Zulässigkeit der bisherigen Praxis grundsätzlich in Frage stellt, ist für die ARZ weder nachvollziehbar, noch im Hinblick auf eine erforderliche bundeseinheitliche rechtliche Beurteilung, hinnehmbar“ sagt Stefan Mühr, Geschäftsführer der ARZ Service GmbH.
Die Prozesse beim ARZ würden permanent datenschutzrechtlichen Prüfungen unterzogen. Man sei davon überzeugt, dass die firmeneigenen Normen den gesetzlich verankerten Bestimmungen mehr als genügen.
Das ARZ ist laut Angaben des Landesdatenschutzbeauftragten das einzige Apothekenrechenzentrum mit Sitz in NRW.