Wie der „Spiegel“ in seiner aktuellen Ausgabe berichtet, hat ein Dienstleister wahrscheinlich jahrelang Daten aus Rechenzentren an die Industrie verkauft. Die Beteiligten bestreiten jeglichen Vorwurf. Ein Nachgeschmack bleibt aber dennoch. Und so wird das Bild der ganzen Branche in Misskredit gebracht.
Ein Whistleblower sorgt für Aufruhr: Über zehn Jahre war er als IT-Manager für die pharmafakt Gesellschaft für Datenverarbeitung (GFD) in Karlsfeld bei Dachau tätig und musste jetzt gegenüber dem „Spiegel“ sein Gewissen erleichtern. Die Firma, 1998 von der Verrechnungsstelle der Süddeutschen Apotheken und den Landesapothekerverbänden Baden-Württemberg, Bayern und Sachsen gegründet, gilt als Dienstleister für wissenschaftliche Erhebungen zu Versorgungsdaten, arbeitet aber auch für die Industrie: Ausgewertet werden Daten des Norddeutschen Apotheken-Rechenzentrums (NARZ) und der Verrechnungsstelle der Süddeutschen Apotheken (VSA). Für pharmazeutische Hersteller sind das wahre Schätze, welche die GFD zu Tage fördert und gewinnbringend weiterverkauft – ganz legal, versteht sich, so lange alles anonymisiert wird. Und genau hier liegt der Hund begraben: Besagter Ex-Mitarbeiter musste laut eigenen Angaben Millionen unverschlüsselter Daten sammeln, aufbereiten und abspeichern, wohlgemerkt auf Weisung der GFD-Geschäftsführung.
Die guten ins Töpfchen…
Doch bereits 2007 drohte die virtuelle Ölquelle zu versiegen: Maßnahmen des GKV-Wettbewerbsstärkungsgesetz sollten Einflussmöglichkeiten der Pharmaindustrie verringern, auch beim Thema Rezeptabrechnung. Der Gesetzgeber schrieb vor, Verordnungsdaten zu anonymisieren und verpflichtete alle Beteiligten, Stichproben künftig so groß zu wählen, dass Rückschlüsse auf das Verordnungsverhalten einzelner Mediziner nicht mehr möglich wären: Ein Paket musste ab sofort mindestens 1.300 Ärzte beziehungsweise 300.000 Bürger umfassen (V. Sozialgesetzbuch, Paragraph 305a). Als es mit dem NARZ daraufhin zu Schwierigkeiten kam, es wurden keine Klardaten mehr bereitgestellt, galt es, andere Kanäle zu erschließen. Hier kam die Gesellschaft für Statistik im Gesundheitswesen (GFS) gerade recht, von der sich fehlende Informationen zukaufen ließen, um Arztnummern wiederherzustellen. Die VSA hingegen lieferte bis 2009 wertvolle Informationen, hier hatten sich GFD-Verantwortliche ein trickreiches System überlegt: Verschlüsseltes Material wurde angefordert, um Datenschützer zu beruhigen, gleichzeitig bekamen die Statistiker auch vollständige Informationen. Damit schließt sich der Kreis, und die GFD versorgte zahlreiche Konzerne mit möglicherweise sensiblen zum Verordnungsverhalten, so der jetzt geäußerte Verdacht.
Mein Schatz
Laut „Spiegel“ profitierten davon zahlreiche, auch nahmhafte Hersteller. Diese analysierten, wie oft Ärzte entsprechende Präparate verschrieben. Besonders problematisch angesichts der zunehmenden Generika-Substitution: Hatte so manches „Aut-idem-Kreuz“ wirklich seine pharmazeutische Berechtigung oder sollte lediglich der Absatz eines bestimmten Originalpräparats forciert werden? Dünnes Eis, und dementsprechend stellt das Sozialgesetzbuch Delikte rund um den Diebstahl und Verkauf dieser Daten auch unter Strafe, bis zu zwei Jahre hinter schwedischen Gardinen kann das Tätern einbringen.
Kampf den Kritikern
Sämtliche Vorwürfe wiegen schwer – allein die unterschiedlichen Reaktionen der Beteiligten sprechen Bände: Während das NARZ nach ersten Verdachtsmomenten selbst hellhörig wurde, weitere Übertragungen an die GFD stoppte und die Bremer Datenschutzbeauftragte einschaltete, beteuern die GFS und die GFD unisono ihre Unschuld. Sogar eine Verschwörung wird nicht ausgeschlossen – von der Konkurrenz, die bekanntlich immer auf Kundenfang ist. Um aber den Whistleblower zum Schweigen zu bringen, bemühten GFD-Vertreter die Justiz – und unterlagen vor einem Münchener Gericht. Mittlerweile hat der Fall juristische, wenn nicht sogar politische Dimensionen angenommen, Datenschutzbehörden sowie das Bundesversicherungsamt haben sich eingeschaltet. Doch widersprechen sich manche Aussagen der Beschuldigten in entscheidenden Punkten.
Zeit für Dementis
So beruft sich die Gesellschaft für Datenverarbeitung auf rein wissenschaftliche Arbeiten – bis 2010 seien Verschreibungsdaten lediglich für Studien im Auftrag von Verbänden, Forschungseinrichtungen oder Arzneimittelherstellern verwendet worden. Personenbezogene Informationen habe man nicht weitergegeben, auch seien keinerlei Rückschlüsse auf das Verordnungsverhalten einzelner Ärzte in Zusammenhang mit den Besuchen von Pharmareferenten möglich gewesen. Und an die Industrie habe man erst recht nichts außerhalb des gesetzlichen Rahmens verkauft.
Angesichts der Vorgeschichte werden jedoch Zweifel laut: Bereits 2009 war es zum Affront gekommen, nachdem der damalige GFD-Geschäftsführer auf Druck der Gesellschafter seinen Hut nehmen musste. Im Zuge des Wechsels an der Führungsspitze fand auch eine datenschutzrechtliche Überprüfung statt, die Defizite zu Tage brachte und mit dem Aufbau eines separaten Trustcenters endete. Hier würden laut GFD Daten verschlüsselt und wissenschaftlich ausgewertet – nach geltenden Standards.
Auch die Verrechnungsstelle der Süddeutschen Apotheken sieht sich zu Unrecht an den Pranger gestellt: Zwar bestätigen VSA-Vertreter, separate Datensätze an die GFD geliefert zu haben – in vollständiger beziehungsweise anonymisierter Form. Dies sei aber nur auf Wunsch des damaligen GFD-Chefs geschehen, angeblich für rein interne Zwecke. Besagte Transfers fielen laut VSA unter den Aspekt der Auftragsdatenlieferung (Bundesdatenschutzgesetz, Paragraph 11) und seien als unbedenklich angesehen worden. Man hätte sich dennoch vertraglich abgesichert, dass Klardaten nicht zu Zwecken der Deanonymisierung verwendet würden. Personenbezogenes Material sei hingegen nicht darunter gewesen, heißt es. Daran haben vor allem Versicherte der Barmer GEK mittlerweile Zweifel.
Kassen instrumentalisiert
Über die Gesellschaft für Statistik im Gesundheitswesen, sie überprüft als Retax-Dienstleister Rezepte dieser Kasse, waren jahrelang sensible Bits und Bytes an die Gesellschaft für Datenverarbeitung gelangt. Dass Mitarbeiter bereits im Oktober erste Verdachtsmomente geäußert haben sollen, die Chefetage jedoch weitere Maßnahmen unterband, sei so nicht korrekt, hieß es jetzt von oberster Stelle. Vielmehr gab es im September 2011 erste Verdachtsmomente, vorauf Datenschützer der Sache hausintern nachgingen. Ende November 2011 häuften sich die Beweise, und es war an der Zeit, externe Sachverständige sowie das das Bundesversicherungsamt zu informieren. Bei den veruntreuten Daten habe es sich um öffentlich zugängliche Informationen wie die Arztnummer oder die Betriebsstättennummer gehandelt, hieß es in einer Stellungnahme. Jetzt droht der GFS ungeachtet juristischer Konsequenzen auch noch eine Vertragsstrafe.
Völlig losgelöst von der endgültigen Klärung aller Schuldfragen kritisieren Insider eine ganz andere Problematik: Schwarze Schafe haben wieder einmal ihren Teil dazu beigetragen, eine ganze Branche als korrupt und geldgierig zu brandmarken.