Patientendaten Ausverkauf

18. August 2013

Verschiedene Medien (heise.de, zeit.de) berichten heute über den Handel mit Patientendaten - die deutschen Apothekenrechenzentren dürfen zwar grundsätzlich nach § 300 Abs. 2 SGB V Rezeptdaten in anonymisierter Form verarbeiten und nutzen - die Daten wurden hier aber offensichtlich lediglich pseudonymisiert.

Tatsächlich sei die Versichertennummer durch einen 64-stelligen Code ersetzt worden - hieraus liesse sich aber die Versichertennummer wieder herleiten. Die vom Gesetz vorgesehene anonyme Verarbeitung ist damit gerade nicht gewährleistet, zumal die meisten Patienten nicht regelmäßig die Krankenkasse wechseln bzw. mit der eGK die Versichertennummer sowieso gleichbleibt.


Datenschutzrechtlich handelt es sich bei der Verarbeitung der Rezeptdaten durch Apothekenrechenzentren um eine Auftragsdatenverarbeitung: verantwortlich für die ordnungsgemäße Behandlung der Daten bleibt also der einzelne Apotheker und der macht sich - wenn er von der fehlerhaften Pseudonymisierung weiß - möglicherweise strafbar nach § 203 Abs. 1 Nr. 1 StGB. Nach § 43 BDSG droht ein Bußgeld, viel gravierender dürfte aber wie immer der Vertrauensverlust der Patienten in ihre Apotheken sein.