Ein Artikel im aktuellen „Spiegel“ wirft einem süddeutschen Rechenzentrum vor, Rezeptdaten in unzureichend anonymisierter Form an Marktforscher zu verkaufen. Was ist dran an den Vorwürfen? Und was passiert eigentlich mit einem Rezept, nachdem es in der Apotheke eingereicht wurde?
Wenn ein gesetzlich Versicherter ein Rezept in seiner Apotheke abgibt, prüft der Apotheker kurz, ob das Verordnungsblatt korrekt ausgefüllt ist und übergibt dem Kunden das verordnete Medikament. Etwa zwei Mal im Monat holt ein Dienstleister die gesammelten Rezepte aus der Apotheke. Er bringt sie in ein Rechenzentrum, das die Rezepte den Apotheken zuordnet und einscannt. Diese digitalisierten Daten dienen zur Abrechnung gegenüber den Krankenkassen und den Apotheken.
Doppelt anonymisierte Daten
Die Rechenzentren, die die Rezepte verarbeiten, werden überwiegend von der Apothekerschaft, teils aber auch privatwirtschaftlich betrieben. Es ist ausdrücklich erlaubt, die Verordnungsdaten für statistische Zwecke zu nutzen und sie in anonymisierter Form an Marktforschungsunternehmen weiterzugeben.
Der „Spiegel“ wirft einem der privatwirtschaftlich betriebenen Rechenzentren vor, die Daten vor der Weitergabe nicht ausreichend zu anonymisieren. Die betroffene VSA GmbH weist die Vorwürfe zurück: „Die Aussage des Spiegels, die VSA würde unzureichend verschlüsselte Daten an Marktforschungsunternehmen wie IMS verkaufen, ist schlichtweg falsch. […] Bei allen Rezeptdaten wird jeglicher Personenbezug durch eine doppelte Anonymisierung eliminiert. Die zweite Anonymisierung erfolgt dabei nicht bei der VSA, sondern durch eine unabhängige Clearingstelle. Erst dann werden die Daten in einem Trustcenter zur weiteren Verwendung für die Marktforschung aufbereitet. Dieses Vorgehen wurde von dem Bayerischen Landesamt für Datenschutzaufsicht umfassend überprüft und freigegeben. Insofern sind die Aussagen des Spiegels in keinster Weise nachvollziehbar und entbehren jeglicher Grundlage.“
Statistische Informationen über den Krankheitsverlauf
Auch das Marktforschungsunternehmen IMS Health, das als Käufer der Daten genannt wird, setzt sich gegen den Bericht zur Wehr: „Es werden Segmente mit durchschnittlich zehn Ärzten oder Apothekern gebildet. Bei den Ärzten werden die Segmente pro Facharztgruppe gebildet. IMS Health kann nicht nachvollziehen, welche Rezepte welcher Arzt ausgestellt oder welcher Apotheker sie eingelöst hat. Dieses Verfahren der Segmentbildung ist seit vielen Jahren als ausreichendes Mittel der Anonymisierung akzeptiert. Auch die Lieferungen von IMS Health an ihre Kunden erfolgen nur unter Verwendung entsprechender Segmentierungen, so wie es vom Gesetzgeber vorgeschrieben wird.“
Aus den weitergegebenen Daten lässt sich nachvollziehen, wie lange bzw. wie oft ein bestimmtes Präparat verordnet wurde – daraus können Markforschungsunternehmen z.B. statistische Daten über die Häufigkeit und Dauer bestimmter Krankheitsbilder gewinnen. Die Identität des Versicherten bleibt jedoch durch einen 64-stelligen Code geschützt. Ebenso wenig ist der Name der abgebenden Apotheke oder des verordnenden Arztes aus den Daten heraus erkennbar.