Vor gut einem Jahr berichtete der „Spiegel“ von vermeintlichen Datenpannen bei Rechenzentren. Jetzt legt das Nachrichtenmagazin nochmals nach und kritisiert mit Rückendeckung durch Informatiker mangelhafte Standards.
„Pillendreher als Datendealer“, so titelte der „Spiegel“ im letzten Jahr. Der VSA GmbH, bekannt als „Verrechnungsstelle der Süddeutschen Apotheker“, wurde vorgeworfen, Abrechnungsdaten in unzureichend verschlüsselter Form verkauft zu haben. Damit sei möglicherweise nachvollziehbar, welcher Arzt welche Medikamente verordnet hätte, hieß es weiter. Die VSA dementierte und erwirkte eine einstweilige Verfügung gegen das Magazin. Der Deutsche Presserat sah jedoch keinen Grund, Rügen auszusprechen. Jetzt kam ein weiterer Paukenschlag.
In Deutschland ist der Verkauf von Rezeptdaten legal, falls ausreichende Maßnahmen zur Anonymisierung getroffen werden. Laut Thomas Kranig, Leiter des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), habe bei der VSA allerdings „die Verfahrensweise bis zum Jahr 2010 nicht den gesetzlichen Vorgaben entsprochen“. Das Rechenzentrum dementiert mit Hinweis auf das SHA-256-Verfahren: ein Standard, der bis Mai 2012 gegolten habe. Genau hier setzt der „Spiegel“ an. Mehrere Informatiker kritisieren, SHA-256 sei zum Schutz von Versichertennummern ungeeignet – eine Rückrechnung gelinge selbst mit heimischen Computern in wenigen Minuten. Sie sehen hier keine Verschlüsselung, sondern eine Verschleierung von Informationen.
An und für sich sind die Probleme hausgemacht. Das Norddeutsche Apothekenrechenzentrum (NARZ) lässt Felder für sensible Daten einfach leer, anstatt diese zu verschlüsseln. Damit gibt sich sogar das Deutsche Arzneiprüfinstitut (DAPI) zufrieden. Trotzdem fordern Datenschützer bundeseinheitliche Lösungen – momentan gelten föderale Regelungen. Besonders elegant wäre, den Paragraphen 300 im V. Sozialgesetzbuch zusammenzustreichen und jeglichen Datenhandel zu unterbinden. Das kann noch dauern.