18.08.2013

Größter Daten-Skandal der Nachkriegszeit
Millionen PatientInnen und ÄrztInnen
ausgespäht

Schlüsselloch Apotheken-Software
München (LiZ). Das Apotheken­rechenzentrum VSA verkaufte offenbar unzureichend verschlüsselte Daten von deutschen PatientInnen in die USA. Der belieferte US-Konzern verfolgt nach eigenen Angaben die Krankheiten von 42 Millionen gesetz­lich Versicherten in Deutschland.

Der von VSA belieferte US-Konzern IMS Health verkaufte die heißen Daten wiederum an Pharma-Unternehmen weltweit. Laut IMS Health ist ein Rückschluß "auf einzelne Ärzte oder einzelne Patienten weder bei IMS Health noch bei unseren Kunden möglich." Anhand der Daten ist jedoch ersichtlich, daß sich der 64-stellige Schutz-Code leicht auf die Versicherten-Nummer zurückrechnen läßt.

DatenschützerInnen sprechen vom "größten Daten-Skandal der Nachkriegszeit". Beim US-Konzern IMS Health handelt es sich um ein Unternehmen der "Marktforschung". IMS Health ist weltweit in mehr als hundert Ländern aktiv. Nach eigenen Angaben verfolgt das Unternehmen die Krankheiten von mehr als 300 Millionen PatientInnen, worunter sich 42 Millionen gesetzlich versicherte Deutsche befinden. "Viele Patientenkarrieren sind zurück bis 1992 verfolgbar," preist sich IMS Health selbst. "Patientenindividuelle Daten, die alle 12 Monate aktualisiert" werden, bietet IMS Health auf dem Pharma-Markt für 86.400 Euro an.

Solche Daten wären allenfalls legal, wenn sie anonymisiert in die Hände von Pharma-Konzernen gelangen - bei "patienten­individuellen Daten" ist dies jedoch auszuschließen. Selbst wenn die Daten mit einem 64-stelligen Code pro forma anonymisiert werden, ist es ein Leichtes, über die Versichertennummer den Namen der PatientInnen sowie deren Alter und Geschlecht auszulesen. Des weiteren ist es für die belieferten Pharma-Konzerne ohne großen Aufwand möglich aus solchen Daten die Informationen herauszulesen, welche Arztpraxen welche Medikamente verschrieben haben. Mit diesen Informationen können Pharma-Konzerne ihre AußendienstmitarbeiterInnen zielgerichtet auf die entsprechenden Arztpraxen ansetzen.

Bereits im März 2012 ging eine erste "Bombe" hoch. Bei der GE Healthcare GmbH mit Sitz in Freiburg hatte es eine "Datenpanne" gegeben. Der baden-württembergische Landesbeauftragte für Datenschutz erfuhr, daß bei einer "Fernwartung" per Datenverbindung in die USA personenbezogene Daten übertragen worden waren. Datenpakete mit "Produktleistungsdaten" enthielten die sensiblen Patientendaten und landeten auf dem Server des US-Atomenergie- und Misch-Konzerns General Electric. Enthalten waren die Namen von PatientInnen, klinische Informationen, Angaben über Geschlecht, Größe, Gewicht, Geburtsdatum und ID-Nummer sowie zugehörige Bild-Dateien. General Electric wartet mit Hilfe seines Service-Programms "iLink" Diagnostik-Geräte wie etwa Röntgenapparate oder Computertomographen in medizinischen Praxen und Labors aus der Ferne.

"Der Handel mit Rezept-Informationen ist einer der größten Daten-Skandale der Nachkriegszeit," sagt Thilo Weichert, der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Weichert befürchtet, daß "die Dienstleister des Vertrauensberufs Apotheker erst durch Gerichtsprozesse zur Vertraulichkeit" bewegt werden können.

In der 'Deutschen Apotheker Zeitung' vom 4. Juli warf Datenschützer Weichert bereits im Zusammenhang mit dem Umgang mit PatientInnen-Daten Datenverarbeitern vor, "jahrelang im Dunkeln agiert" zu haben. Laut Weichert wurde schon im Herbst 2012 bekannt, daß entgegen der Regelung in § 300 Sozialgesetzbuch V die Apothekenrechenzentren (ARZ) an IMS Health und andere US-Konzerne keine anonymisierten, sondern – illegal – pseudonymisierte Daten herausgaben. Diese Erkenntnis beruhte auf einer fundierten Analyse der genutzten Datensätze und der Verarbeitungsprozesse.

Weichert wies zugleich die gesamte Berufsgruppe darauf hin, daß Apothekenrechenzentren lediglich im Auftrag von ApothekerInnen Rezeptdaten verarbeiten. Diese sind strafrechtlich an ihr Berufsgeheimnis gebunden und bleiben für ihre Rezeptdaten auch in den Apothekenrechenzentren als AuftraggeberInnen rechtlich verantwortlich. Ein Verstoß gegen die Schweigepflicht setzt die ApothekerInnen der Gefahr der Strafverfolgung aus, wenn sie – was inzwischen bekannt ist – von der nicht hinreichend anonymisierten Datenweitergabe wissen.

 

LINKSZEITUNG

 

Anmerkungen

Siehe auch unsere Artikel:

      Washington Post deckt auf:
      NSA hat doch US-Recht gebrochen (16.08.13)

      Snowden beibt vorerst in Rußland
      "Keine Auslieferung an USA" (1.08.13)

      "Stop watching us"
      Bundesweit Demos gegen Geheimdienst-Schnüffelei
      (27.07.13)

      Big Brother hört mit
      Hintertür per SIM-Karte (21.07.13)

      Microsoft half offenbar bei Schnüffelei
      und unterstützte NSA
      beim Umgehen von Verschlüsselungen (12.07.13)

      Snowden entwischt
      Whistleblower flieht nach Ecuador (23.06.13)

      Snowden: Britischer Geheimdienst GCHQ
      spitzelt noch extremer als NSA (17.06.13)

      Prism ist nichts Neues
      Whistleblower macht latenten Skandal publik (7.06.13)

      Big Brother wächst
      Bundesrat macht Weg frei für Überwachungs-Staat (3.05.13)

      "Anti-Terror-Datei"
      Urteil der Bundesverfassungsgerichts
      ebnet Weg zu neuer Gestapo (25.04.13)

      Big Brother liest mit
      Allein im Jahr 2011: 2,9 Millionen eMails und SMS (5.04.13)

      Witz der Woche
      Privatsphäre bei facebook (4.07.12)

      Dein Handy, der Bewegungsmelder
      Mobilfunkanbieter speichern illegal (18.06.12)

      Schaar: Mit Staats-Trojaner
      wurden Grundrechte verletzt (16.02.12)

      Max-Planck-Institut:
      Vorratsdatenspeicherung völlig ineffektiv (27.01.12)

      Sicherheitslücke bei Apple entdeckt
      IT-Sicherheitsexperte ausgesperrt (9.11.11)

      Trojaner-Skandal weitet sich aus
      "Big Brother" kann noch mehr (19.10.11)

      0zapftis
      CCC analysiert "Bundes-Trojaner"
      Verfassungsignoranz und Dilettantismus (8.10.11)

      Vorratsdatenspeicherung
      Schünemann bestätigt KritikerInnen (6.06.11)

      Daten-Skandal
      Schnüffel-Software in Apples iPhone (21.04.11)

      Big Brother Award 2011 für
      Facebook, Apple und Daimler (1.04.11)

      EU mit Appetit auf Passagier-Daten
      Speicherung angeblich zum Zweck der Terrorabwehr
      (3.02.11)

      google und Zensur
      Deutschland weit vorne (21.04.10)

      Bundesverfassungsgericht:
      Vorratsdatenspeicherung war verfassungswidrig
      (2.03.10)

      CCC: Handys abhören leicht möglich
      Sicherheitsexperte knackt Mobilfunk-Code (29.12.09)

      Mielke geistert weiter durch deutsche Telefone
      Zahl der Abhör-Aktionen steigt dynamisch (23.09.09)

      Bundesverfassungsgericht stoppt Wahl-Computer
      Die Manipulierbarkeit von elektronischen Speichersystemen,
      'Wikipedia' und Internet-Umfragen (3.03.2009)

      Barack Obama und das Nadelöhr
      ... anderes zu erwarten als von Bush? (9.10.2008)