Rechenzentren streiten über Datenlieferung Alexander Müller, 08.07.2013 10:24 Uhr
Die Rechenzentren streiten weiter öffentlich über den zulässigen Umfang der Datenlieferungen. NARZ-Chef Dr. Jörn Graue hatte die Konkurrenz zuletzt bei der eigenen Mitgliederversammlung angegriffen. Nach der Süddeutschen VSA weist auch das ARZ Darmstadt die Vorwürfe zurück, Daten nicht ausreichend zu anonymisieren.
In dem Streit geht es um verschlüsselte Daten aus der Rezeptabrechnung, die die Rechenzentren an Marktforschungsunternehmen wie IMS Health und Insight Health verkaufen. Das NARZ hatte seine Lieferungen in Abstimmung mit den zuständigen Datenschützern stark eingeschränkt und damit auch Einnahmeverluste in Kauf genommen. Die anderen Rechenzentren betonen, dass ihre Lieferungen ebenfalls mit den Datenschützern abgestimmt sind.
Das ARZ Darmstadt liefere nur nach dem aktuellen Stand der Technik verschlüsselte Verordnungsdaten an die Marktforschungsunternehmen, sagte Geschäftsführer Reiner Haupt. Die Verschlüsselung erfolge mit einem durch ein akkreditiertes Trustcenter generierten so genannten Public Key. „Der zugehörige Private Key wurde unter Aufsicht vernichtet. Der Schlüssel basiert auf dem Sicherheitsstandard mit 2048Bit RSA und SHA-512“, teilte das ARZ mit.
Die genannten Verfahren seien mit den Aufsichtsbehörden abgestimmt, so Haupt. Verbesserungspotenziale würden in den jeweiligen Verfahren zur Datenlieferung entsprechend berücksichtigt. „In der jüngsten Vergangenheit gab es seitens der zuständigen Aufsichtsbehörde keinen signifikanten Anpassungsbedarf“, betont Haupt. Die besondere Situation in Hessen sei, dass die Behörde auch für die beiden etablierten Marktforschungsunternehmen zuständig sei.
Warum das NARZ die Lieferungen weitergehend eingeschränkt hat, kann die Konkurrenz nicht verstehen: „Nach unserem Kenntnisstand hat die Bremer Datenschutzbehörde gegenüber NARZ/GfI keine Untersagung der Datenlieferung ausgesprochen“, so Haupt.
Es sei daher vollkommen unverständlich, warum Graue die Umstellung der Datenlieferungen des NARZ angeordnet habe und damit massive Einnahmeverluste in Kauf nehme. „Ohne ausreichende Kompensation dieser Einnahmeverluste könnten sich für einzelne Rechenzentren existenzbedrohende Szenarien ergeben“, so Haupt.
Rückendeckung erhält Graue von Dr. Thilo Weichert, der das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) leitet und als Hardliner unter den Datenschützern gilt. „Die nach der Kritik vom NARZ vorgenommenen Änderungen wurden als richtungsweisend akzeptiert“, so Weichert.
Er kritisiert die Position seiner Kollegen in anderen Bundesländern: „Es ist ärgerlich, dass Bayern und Hessen ausgeschert sind“, so Weichert. Das Bayerische Landesamt für Datenschutzaufsicht habe bis heute seine abweichende Position nicht nachvollziehbar begründet.
In diesem Zusammenhang warnt Weichert auch die Apotheken, in deren Auftrag die Rezeptdaten schließlich verarbeitet würden. Apotheker seien an ihr Berufsgeheimnis gebunden und blieben für ihre Rezeptdaten rechtlich verantwortlich. Ein Verstoß gegen die Schweigepflicht setze die Apotheken der Gefahr der Strafverfolgung aus. Seine Behörde habe den Apotheken in Schleswig-Holstein daher dringend von der Beauftragung von Rechenzentren ohne hinreichende Anonymisierung abgeraten, so Weichert.
Der Datenschützer pflegt einen engen Kontakt zum NARZ und den angeschlossenen Apothekerverbänden in Schleswig-Holstein und Hamburg. Zuletzt war er sogar bei Veranstaltungen der Verbände als Gastredner aufgetreten.