Mit unseren Daten wird gehandelt. Egal, um welche Daten es geht. Beim täglichen Einkauf (Bonussyteme, z.B. Payback), bei Onlinebestellungen (Amazon, Ebay). Und auch wenn das nicht hinnehmbar ist, ist es doch ein altbekanntes Problem. Neu ist allerdings die Erkenntnis, dass wohl auch im Gesundheitssystem fleißig unsere Daten gehortet und gehandelt werden [1]. Ohne unser Wissen, ohne unsere aktive Teilnahme, ohne unser Einverständnis. Und das bei hochsensiblen, personenbezogenen Daten, nämlich unser aller Medikation.
Die Brisanz dieses Datenhandels wird noch dadurch verschärft, dass unsere schützenswertesten, privaten Daten u.a. an US-amerikanische Unternehmen verkauft wurden. In den USA gelten, wie wir wissen, erheblich laxere Datenschutzvorschriften. Aber so können unsere von der NSA gesammelten Kommunikationsdaten wenigstens auch sofort unseren Gesundheitsdaten hinzugefügt werden. Der gläserne Mensch wird Realität.
Was im Strafgesetzbuch mit Freiheitsstrafen belegt ist, wird hier schamlos und hunderttausendfach zur Geschäftemacherei genutzt. Und das seit anscheinend über 20 Jahren. Hier geht es nicht mehr nur um die lückenlose Aufklärung des Sachverhaltes, hier geht es auch um die Anwendung unserer Datenschutzgesetze. Der Bürger kann vom Staat erwarten, dass bestehende Gesetze [2] per Strafverfolgung durchgesetzt werden. Das deutsche Strafgesetzbuch sieht dazu im §203 Abs. 5 eine Freiheitsstrafe von bis zu zwei Jahren vor, wenn der Täter „gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern“ handelt. Hier ist die bayrische Staatsanwaltschaft aufgefordert, sofort entsprechende Ermittlungen aufzunehmen. Da es entsprechende Abrechnungsstellen aber in jedem Bundesland gibt, muss deutschlandweit geprüft werden, ob weitere Verstöße vorliegen.
Die Stellungnahme der VSA [3] zur Datenweitergabe lässt keinerlei Problembewusstsein erkennen. Die Daten werden offenbar nur pseudonymisiert und unzureichend verschlüsselt übertragen, so dass eine Entschlüsselung und Zuordnung auf einzelne Personen jederzeit möglich ist. Das ist anscheinend nicht mal dem bayerischen Datenschutzbeauftragten aufgefallen [4]. Eine echte Anonymisierung würde bedeuten, alle Personendaten aus den Datensätzen zu entfernen. Die Daten lediglich zu verschlüsseln, und das wohl auch noch sehr einfach, hilft hier nicht. Bei der eingesetzten Verschlüsselung kann man davon ausgehen, dass die Marketingunternehmen maximal ein paar Tage benötigen, um die Daten wieder zu entschlüsseln [5].
Das Fazit kann nur lauten: Der Handel mit Daten aus dem Gesundheitssystem ist ohne Ausnahme zu verbieten. Bis zu diesem Verbot muss die bisherige Praxis gestoppt werden. Und der jetzt bekannt gewordene Fall muss ebenso wie alle zukünftigen Fälle konsequent strafrechtlich verfolgt werden.
[2] http://de.wikipedia.org/wiki/Verschwiegenheitspflicht
[3] http://www.vsa.de/news/news/artikel/3102/stellungnahm-3/
[4] http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht20112012.pdf#75
Ein Verbot ist in meinen Augen nicht notwendig. Die bestehenden Gesetze müssen nur strikt angewendet werden. Und Verfehlungen müssen konsequent verfolgt und bestraft werden.
Die bestehenden Gesetze sind offensichtlich leider so komplex, dass nicht mal der Datenschutzbeauftragte sie verstanden hat. 🙁
Ist doch eigentlich gar nicht so schwer aus meiner Sicht. Im Datenschutz gilt das Verbot mit Erlaubnisvorbehalt. D.h. das alles was nicht erlaubt ist, verboten ist. Man müsste jetzt nur eruieren, welche Erlaubnis den Datenhandel ermöglicht und nur die entsprechende Erlaubnis im Gesetzestet streichen.
Völlig richtig. Genau das streben wir an.
Sozialdaten unterliegen besonders hohen Schutzanforderungen. Bitte auch ins SGB gucken!
Das ist richtig. Genauso richtig ist aber die Annahme, dass hier möglicherweise – was zu prüfen bleibt – Verstoß vorliegt. Nach § 300 Absatz 2, Satz 2 (insbesondere 2. Halbsatz) SGB V ist den Rechenzentren zwar indirekt erlaubt, die Daten weiterzugeben. Zwingende Voraussetzung ist jedoch eine Anonymisierung. Eine Pseudonymisierung reicht nicht aus. Ein Tatbestand, wonach sich VSA auf lediglich eine Anonymisierungspflicht berufen könnte, liegt nicht vor.
Sollte sich also herausstellen, dass auch die Stellungnahme des Apothekenzentrums VSA, es habe die Daten anonymisiert weiter gegeben, falsch ist, liegt nicht nur ein Datenschutzverstoß und ein Verstoß gegen das SGB V vor, sondern eine Straftat.
Unabhängig davon muss das Petitum lauten: Jeglicher Handel mit Gesundheitsdaten ist zu untersagen und im Fall der Zuwiderhandlung unter Strafe zu stellen. Hier ist der Bundesgesetzgeber gefordert.
Der oberste bayrische Datenschützer sieht die Sache in einer pressemitteilung auf seiner Homepage so. Da steht u.a.:
Die Äußerung von Herrn Dr. Weichert, das BayLDA habe “bis heute nicht nachvollzieh- und kritisierbar begründet”, warum es zu der in seinem Prüfungsbericht enthaltenen Auffassung gekommen sei, spricht deshalb für sich. Das Nichterscheinen mag auch ein Grund dafür sein, warum er ungetrübt von Sachkenntnis im konkreten Fall nur auf der Basis von „Unterlagen, die uns in Auszügen zugespielt wurden“ ohne Rücksicht auf eine mögliche Rufschädigung der beteiligten Unternehmen „einen der größten Datenskandale der Bundesrepublik in der Nachkriegszeit“ herbeiredet.
Unzufriedenheit mit der bestehenden Gesetzeslage rechtfertigt in meinen Augen keinen Rufmord.