Bayern / Datenschutz / Medizinrecht /
Artikelnummer: 13090121
Trennlinien
DATENSCHUTZ BEI APOTHEKENRECHENZENTRUM IN BAYERN
Das Bayerische Landesamt für Datenschutzaufsicht hat im Januar 2013 die Überprüfung des Apothekenrechenzentrums VSA GmbH in München abgeschlossen und keine datenschutzrechtlichen Verstöße festgestellt.
1. Die VSA GmbH ist eines der Apothekenrechenzentren, die gemäß § 300 Abs. 2 SGB V „Daten für im Sozialgesetzbuch bestimmte Zwecke und ab dem 1. Januar 2003 nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten und nutzen [dürfen], soweit sie dazu von einer berechtigten Stelle beauftragt worden sind; anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden.“ Gemäß § 3 Abs. 6 BDSG ist „Anonymisieren [ist] das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ Prüfungsmaßstab für das Bayerische Landesamt für Datenschutzaufsicht war und ist deshalb ausschließlich, ob die Daten, die die VSA GmbH verlassen, anonymisiert sind oder nicht. Keine Rolle darf bei dieser Bewertung spielen, ob man die möglichen Zwecke der Nutzung anonymisierter Rezeptdaten für gut hält oder nicht. 2. Das Bayerische Landesamt für Datenschutzaufsicht hatte schon früher den Datenumgang bei der VSA GmbH überprüft. Dabei wurde festgestellt, dass die Verfahrensweise bis zum Jahr 2010 nicht den gesetzlichen Vorgaben entsprach, weil die Anonymisierung nicht bei der VSA GmbH, sondern einem beauftragten Dritten umgesetzt wurde. 3. Die VSA GmbH hatte diese Verfahrensweise eingestellt, in der Folgezeit von sich aus das Gespräch mit der Aufsichtsbehörde gesucht und entsprechend der Beratung durch die Aufsichtsbehörde ihre Verfahren umgestellt. Im Frühjahr 2012 hat das Bayerische Landesamt für Datenschutzaufsicht die Datenverarbeitung bei der VSA GmbH einer intensiven Prüfung einschließlich einer Kontrolle der Geschäftsräume unterzogen. Die VSA GmbH hat im Rahmen dieser Prüfung der Aufsichtsbehörde alle geforderten Informationen zur Verfügung gestellt. Anregungen des Bayerische Landesamt für Datenschutzaufsicht insbesondere zur Erhöhung der Qualität des Anonymisierungsverfahrens hat die VSA GmbH während des Prüfverfahrens unverzüglich umgesetzt. Soweit in den Medienberichten wiederholt unter Bezugnahme auf „vertrauliche Dokumente“ von einer unzureichenden „Verschleierung der Identität der Patienten durch einen 64-stelligen Code“ verwiesen wird, mag dies einen Zustand beschreiben, den es schon lange nicht mehr gibt. Heute wird zur Verschlüsselung das - dem Stand der Technik entsprechende - Verfahren RSA mit einer Schlüssellänge von 2048 Bit eingesetzt. 4. Da es mehrere Apothekenrechenzentren in der Bundesrepublik Deutschland gibt, die der Aufsicht unterschiedlicher Behörden unterliegen, hatte das Bayerische Landesamt für Datenschutzaufsicht alle Datenschutzaufsichtsbehörden im Rahmen einer so genannten „Ad-Hoc-Arbeitsgemeinschaft Apothekenrechenzentren“ zu einer internen Sitzung der Aufsichtsbehörden am 19. Juni 2012 nach Berlin eingeladen. Ziel der Sitzung war es, sich darüber zu verständigen, wie die oben genannten Vorschriften des § 300 Abs. 2 Satz 2 SGB V in Verbindung mit der Definition für die Anonymisierung in § 3 Abs. 6 BDSG vollzogen werden sollen. Vom Bayerischen Landesamt für Datenschutzaufsicht wurden dabei den anderen Aufsichtsbehörden Kriterien für ein ausreichendes Anonymisierungsverfahren vorgestellt und intensiv diskutiert. Als Ergebnis wurde unter anderem festgehalten, dass es am 23. Juli 2012 in Ansbach einen weiteren Termin auch mit Vertretern von Apothekenrechenzentren und Auswertungsgesellschaften geben soll. Eine einvernehmliche Auffassung über die Anforderungen an die Anonymisierung wurde bei diesem Gespräch nicht erreicht. Vom Bayerischen Landesamt für Datenschutzaufsicht wurde abschließend erklärt, dass es auf der Basis der eigenen Rechtsauffassung nunmehr das Prüfungsverfahren fortführen und abschließen werde. Das Bayerische Landesamt für Datenschutzaufsicht hatte ferner die Erwartung geäußert, dass die Aufsichtsbehörden, die der Auffassung sind, dass Apothekenrechenzentren in ihrem Bereich nicht ausreichend anonymisierte Daten an Auswertungsgesellschaften übermitteln, diese Praxis gegebenenfalls durch Erlass eines Bescheides untersagen, damit im Interesse aller Beteiligten (wie dies z.B. in den Bereichen des Bau- oder Immissionsschutzrechts gängige Praxis ist) gerichtlich geklärt werden kann, wie die oben genannten Vorschriften auszulegen sind. 5. Im Abschlussbericht vom 9. Januar 2013 hat das Bayerische Landesamt für Datenschutzaufsicht keine datenschutzrechtlich unzulässigen Datenverarbeitungen durch die VSA GmbH festgestellt. Eine Freigabe des Verfahrens durch die Aufsichtsbehörde erfolgte nicht, weil dies gesetzlich nicht vorgesehen und auch nicht möglich ist. 6. Nach Kenntnis des Bayerischen Landesamtes für Datenschutzaufsicht hat keine Aufsichtsbehörde eine gerichtlich überprüfbare Anordnung gegen ein Apothekenrechenzentrum wegen unzulässiger Datenübermittlung an Auswertungsgesellschaften erlassen. Ob dies daran liegt, dass Apothekenrechenzentren keine Daten mehr an Auswertungsgesellschaften liefern, auf Grund von Empfehlungen ihrer zuständigen Datenschutzaufsichtsbehörde ihr Verfahren umgestellt haben oder sonstige Gründe vorliegen, entzieht sich der Kenntnis des Bayerischen Landesamtes für Datenschutzaufsicht.

Quelle: Bayerisches Landesamt für Datenschutzaufsicht - PM vom 20.08.2013 von 20.08.2013
http://www.lda.bayern.de/ Externer Link
ArtikelübersichtFacebookNach oben