Schriftliche Anfrage der Abgeordneten Kerstin Celina, Dr. Sepp Dürr und Ulli Leiner BÜNDNIS 90/DIE GRÜNEN vom 20.11.2013 Datenschutz im Gesundheitswesen – Konsequenzen aus den Skandalen im Rezeptdatenhandel Wir fragen die Staatsregierung: 1. Welche Rechenzentren (z. B. Apothekenrechenzent­ ren und Auswertungsgesellschaften) sind in Bayern mit der Verarbeitung und Weitergabe von gesund­ heitsbezogenen Patienten­ und Verordnungsdaten be­ fasst? 2. Welche Fälle unter Beteiligung in Bayern ansässiger Unternehmen, in denen es zu Problemen und Unre­ gelmäßigkeiten bei der Einhaltung der Datenschutz­ vorschriften im Bereich der Patienten­ und Verord­ nungsdaten gekommen ist, sind der Staatsregierung seit 2008 bekannt geworden? 3. Welche Erkenntnisse hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) aus der Aufarbei­ tung dieser Fälle gewonnen? 4. Welche Konsequenzen wurden in Bayern aus den Datenschutzskandalen im Gesundheitswesen für die künftige Sicherung der Patientenrechte gezogen? a) Führt das BayLDA mittlerweile unangemeldete und stichprobenhafte Kontrollen der Einhaltung des Daten­ schutzes bei den Rechenzentren und anderen privaten Unternehmen, die mit Rezeptdaten handeln, durch? b) Wie wird verhindert, dass wie im „Fall Novartis“ in am­ bulanten Arztpraxen unverschlüsselte Patienten­ und Verordnungsdaten an Pharmareferenten weitergege­ ben werden bzw. von diesen entwendet werden kön­ nen? c) Wie wird verhindert, dass Datenaufbereitungsunter­ nehmen (z. B. IMS Health GmbH & Co.OHG) unzurei­ chend verschlüsselte Daten an die Pharmaindustrie verkaufen? 5. Wie wird sichergestellt, dass Apothekenrechenzentren bei der Übermittlung von Rezeptdaten an Dritte für an­ dere als im Sozialgesetzbuch bestimmte Zwecke die gesetzliche Verpflichtung zur Anonymisierung lücken­ los umsetzen? 6. Sieht die Staatsregierung Bedarf für Veränderungen in den Rechtsgrundlagen, um den Datenschutz im Ge­ sundheitswesen bei der Weitergabe von Rezeptdaten zu gewährleisten? Wenn ja, welche? Antwort des Staatsministeriums des Innern, für Bau und Verkehr vom 07.01.2014 Die Schriftliche Anfrage wird im Einvernehmen mit dem Staatsministerium für Gesundheit und Pflege wie folgt be­ antwortet: Die Fragen 1 bis 5 der Anfrage betreffen den Vollzug der da­ tenschutzrechtlichen Vorschriften im nicht­öffentlichen Be­ reich, dessen Überwachung dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in völliger Unabhängig­ keit übertragen ist. Daher wurde das BayLDA gebeten, zu diesen Fragen Stellung zu nehmen. Das Antwortschreiben des Präsidenten des Landesamts für Datenschutzaufsicht zu den Fragen 1 bis 5 ist als Anlage beigefügt. Zu 6.: Die in der Stellungnahme des BayLDA dargestellten Vor­ gänge geben aus Sicht der Staatsregierung bislang keinen Anlass, für eine Veränderung der bundesgesetzlichen Vor­ gaben bei der Verarbeitung von Rezeptdaten einzutreten. Im Arzneimittel­ und Apothekenrecht gibt es keine Vorga­ ben, über welche Stellen die Abrechnungen von (ärztlichen) Verschreibungen ablaufen müssen. Im Bereich der gesetz­ lichen Krankenversicherung können Apotheken nach § 300 Abs. 2 SGB V zur Abrechnung der zu Lasten der gesetz­ lichen Krankenversicherung verordneten Verschreibungen sogenannte Rechenzentren in Anspruch nehmen, müssen dies aber nicht. Gemäß § 300 Abs. 2 Satz 2 SGB V dürfen die Rechenzentren die Daten für im Sozialgesetzbuch be­ stimmte Zwecke und seit dem 01.01.2003 nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten und nut­ zen, soweit sie dazu von einer berechtigten Stelle beauftragt worden sind; anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden. Drucksachen, Plenarprotokolle sowie die Tagesordnungen der Vollversammlung und der Ausschüsse sind im Internet unter www.bayern.landtag.de –Dokumente abrufbar. Die aktuelle Sitzungsübersicht steht unter www.bayern.landtag.de – Aktuelles/Sitzungen/Tagesübersicht zur Verfügung. 17. Wahlperiode 14.02.2014 17/358 ... Briefanschrift Postfach 6 06, 91511 Ansbach Frachtanschrift Promenade 27, 91522 Ansbach Dienstgebäude Promenade 27 (Schloss) Telefon 0981 53-1300 Telefax 0981 53-5300 E-Mail poststelle@lda.bayern.de Internet www.lda.bayern.de Öffentliche Verkehrsmittel Bushaltestellen Schlossplatz oder Bahnhof der Stadt- und Regionallinien Schriftliche Anfrage der Abgeordneten Kerstin Celina, Dr. Sepp Dürr und Ulli Leiner: „Datenschutz im Gesundheitswesen – Konsequenzen aus den Skandalen im Rezeptdatenhandel “ Sehr geehrte Damen und Herren, zur schriftlichen Anfrage „Datenschutz im Gesundheitswesen – Konsequenzen aus den Skandalen im Rezeptdatenhandel“ nehmen wir wie folgt Stellung: 1. Welche Rechenzentren (z.B. Apothekenrechenzentren und Auswertungsgesellschaften) sind in Bayern mit der Verarbeitung und Weitergabe von gesundheitsbezogenen Patienten- und Verordnungsdaten befasst? Dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) sind in Bayern als Apothekenrechenzentrum die VSA GmbH und als Auswertungsgesellschaften für entsprechende Rezeptdaten die idapharm - Institut für Daten und Analyse GmbH und die pharmafakt GmbH bekannt. 2. Welche Fälle unter Beteiligung in Bayern ansässiger Unternehmen, in denen es zu Problemen und Unregelmäßigkeiten bei der Einhaltung der Datenschutzvorschriften im Bereich der Patienten - und Verordnungsdaten sind der Staatsregierung seit 2008 bekannt geworden? In den vom BayLDA veröffentlichten Tätigkeitsberichten finden sich jeweils im Abschnitt „Gesundheitswesen “ Ausführungen zu datenschutzrechtlichen Problemen, die dem BayLDA während des jeweiligen Berichtszeitraums im Bereich des Gesundheitswesens bekannt geworden sind. Ausführungen zu den Fällen seit dem Jahr 2008 finden sich auf S. 42 f. des 3. Tätigkeitsberichts 2008, S. 77 ff. des 4. Tätigkeitsberichts 2009/2010 sowie S. 69 ff. des 5. Tätigkeitsberichts 2011/2012. BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Bayer. Landesamt für Datenschutzaufsicht • Postfach 6 06 • 91511 Ansbach Bayerisches Staatsministerium des Innern, für Bau und Verkehr Odeonsplatz 3 80539 München Ihr Zeichen Ihre Nachricht vom Unser Zeichen (Bitte bei Antwort angeben) Ihre Ansprechpartnerin/Ihr Ansprechpartner E-Mail: poststelle@lda.bayern.de LDA 3 - Telefon / Fax 0981 53-1300/ -5300 Erreichbarkeit Datum 16.12.2013 - 2 - Die Tätigkeitsberichte des BayLDA sind auf folgender Internetseite abrufbar: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_taetigkeitsberichte.htm 3. Welche Erkenntnisse hat das bayerische Landesamt für Datenschutzaufsicht (BayLDA) aus der Aufarbeitung dieser Fälle gewonnen? Soweit es um die Übermittlung von Daten durch Apothekenrechenzentren geht, hatte das BayLDA bereits früher den Datenumgang bei der VSA GmbH (VSA) geprüft und dabei festgestellt , dass deren Verfahrensweise bis zum Jahr 2010 nicht den gesetzlichen Vorgaben entsprach . Die VSA hatte aber diese Verfahrensweise eingestellt, in der Folge von sich aus das Gespräch mit dem BayLDA gesucht und entsprechend der Beratung durch das BayLDA ihr Verfahren umgestellt. Im Frühjahr 2012 hat das BayLDA die Datenverarbeitung bei der VSA einer intensiven Prüfung unterzogen. Anregungen des BayLDA insbesondere zur Erhöhung der Qualität des Anonymisierungsverfahrens hat die VSA unverzüglich umgesetzt. Bei der Anfang 2013 abgeschlossenen Überprüfung der VSA wurden vor diesem Hintergrund keine datenschutzrechtlichen Verstöße mehr festgestellt. Da es mehrere Rechenzentren in der Bundesrepublik Deutschland gibt, die der Aufsicht verschiedener Behörden unterliegen, hatte das BayLDA zu gemeinsamen Sitzungen der Aufsichtsbehörden eingeladen, um sich darüber auszutauschen, wie die einschlägigen datenschutzrechtlichen Vorschriften, insbesondere die Regelungen über die Anonymisierung von personenbezogenen Daten, zu vollziehen sind. Nach Kenntnis des BayLDA hat bislang keine Aufsichtsbehörde eine gerichtlich überprüfbare Anordnung gegen ein Apothekenrechenzentrum wegen unzulässiger Datenübermittlung an Auswertungsgesellschaften erlassen. Neben diesen Fragen im Zusammenhang mit Datenübermittlungen durch Apothekenrechenzentren hat sich das BayLDA im Bereich des Gesundheitswesens zuletzt insbesondere mit dem Datenschutz in Arztpraxen ausführlich befasst (vgl. Antwort zu Frage 4b). 4. Welche Konsequenzen wurden in Bayern aus den Datenschutzskandalen im Gesundheitswesen für die künftige Sicherung der Patientenrechte gezogen? Auch wenn, wie oben ausgeführt, die Verarbeitung der Rezeptdaten durch das Apothekenrechenzentrum in Bayern zeitweise nicht datenschutzkonform gewesen ist, ist das BayLDA nicht von einem Datenschutz“skandal“ ausgegangen, insbesondere da sich Anhaltspunkte für eine zielgerichtete missbräuchliche Verwendung von Arzt- oder gar Patientendaten bei den durchgeführten Prüfungen nicht ergeben haben. a. Führt das BayLDA mittlerweile unangemeldete und stichprobenhafte Kontrollen der Einhal- tung des Datenschutzes bei den Rechenzentren und anderen privaten Unternehmen, die mit Rezeptdaten handeln durch? Wie bereits in der Antwort zu Frage 3 ausgeführt, hat das BayLDA bereits früher den Datenumgang u.a. bei der VSA geprüft. Generell führt das BayLDA anlasslose und stichprobenhafte Prüfungen im Rahmen seiner Ressourcen durch und wird dies auch weiterhin tun. b. Wie wird verhindert, dass wie im „Fall Novartis“ in ambulanten Arztpraxen unverschlüsselte Patienten- und Verordnungsdaten an Pharmareferenten weitergegeben werden bzw. von diesen entwendet werden können? Vorab ist darauf hinzuweisen, dass im genannten Fall die betroffenen Arztpraxen keine Daten an Pharmareferenten weitergegeben, sondern auf deren Initiative an externe Berater übermittelt haben, und diese Vorfälle in keinem Zusammenhang mit den oben genannten Verfahren bezüglich der Datenübermittlung durch Apothekenrechenzentren stehen. - 3 - Um den Datenschutz in Arztpraxen zu verbessern, hat das BayLDA insbesondere im Jahr 2012 einen Schwerpunkt seiner Tätigkeit auf diesen Bereich gelegt. Der Grund hierfür lag jedoch nicht darin, dass besonders viele Datenschutzverstöße durch Arztpraxen festgestellt worden wären; Hintergrund war vielmehr, dass wegen der hohen Sensibilität und Schutzbedürftigkeit von gesundheitsbezogenen Daten erhöhte Anforderungen an einen sorgsamen Umgang mit diesen sensiblen Daten bestehen. Zu diesem Zweck hat das BayLDA sog. anlasslose Prüfungen in Arztpraxen aus unterschiedlichen Bereichen vor Ort durchgeführt. Um darüber hinaus den Ärzten allgemein die notwendigen Informationen für einen sicheren Umgang mit Patientendaten an die Hand zu geben, hat das BayLDA im Anschluss bayernweite Informationsveranstaltungen in Kooperation mit den Ärztlichen Kreis- und Bezirksverbänden durchgeführt. Ausgehend von den Erkenntnissen, die durch die Vor-Ort-Prüfungen gewonnen wurden, hat das BayLDA dabei die rechtlichen und technischen Grundlagen für den Umgang mit Patientendaten im Praxisalltag dargestellt und aktuelle Datenschutzfragen aufgegriffen . c. Wie wird verhindert, dass Datenaufbereitungsunternehmen (z.B. IMS Health GmbH & Co. OHG) unzureichend verschlüsselte Daten an die Pharmaindustrie verkaufen? Den Prüfungen des BayLDA zufolge sind bereits die Daten, die vom Apothekenrechenzentrum für andere als im Sozialgesetzbuch bestimmte Zwecke übermittelt werden (vgl. § 300 Abs. 2 Satz 2 SGB V), ausreichend anonymisiert (vgl. Antwort zu Frage 3). Vor diesem Hintergrund liegen dem BayLDA keine Erkenntnisse vor, wie Datenaufbereitungsunternehmen unzureichend verschlüsselte Daten an die Pharmaindustrie verkaufen könnten. Im Hinblick auf das in der Frage angesprochene Unternehmen IMS Health GmbH & Co. OHG ist zudem zu berücksichtigen, dass sich der Sitz dieses Unternehmens in Frankfurt am Main befindet und daher der Hessische Datenschutzbeauftragte zuständige Aufsichtsbehörde ist. 5. Wie wird sichergestellt, dass Apothekenrechenzentren bei der Übermittlung von Rezeptdaten an Dritte für andere als im Sozialgesetzbuch bestimmte Zwecke die gesetzliche Verpflichtung zur Anonymisierung lückenlos umsetzen? Hierzu wird auf die Antwort zu den Fragen 3 und 4a verwiesen. 6. Sieht die Landesregierung Bedarf für Veränderungen in den Rechtsgrundlagen, um den Daten- schutz im Gesundheitswesen bei der Weitergabe von Rezeptdaten zu gewährleisten? Wenn ja, welche? Insbesondere vor dem Hintergrund der Anfang 2013 abgeschlossenen Prüfung (vgl. Frage 3), bei der keine datenschutzrechtlichen Verstöße mehr festgestellt wurden, sieht das BayLDA derzeit keine Notwendigkeit für eine Änderung der Rechtsgrundlagen. Das BayLDA wird die weitere Entwicklung im Auge behalten und dabei auch beobachten, ob sich Bedarf für eine Änderung der bundesgesetzlichen Vorschriften des SGB V und/oder des Bundesdatenschutzgesetzes (BDSG) ergibt. Mit freundlichen Grüßen gez. K r a n i g Präsident