Verkauf von Patientendaten: Verfahren eingestellt

Die Datenschutzkommission hat ein Verfahren gegen eine Marktforschungsfirma eingestellt. Die Wiener Ärztekammer hatte die Firma verdächtigt, Patientendaten unzulässig gekauft und weitergegeben zu haben. Die Kommission sieht den Datenschutz nicht verletzt. Auch die Ärzte kommen ungeschoren davon.

Aufgekommen war die Geschichte im Zuge eines Skandals über die Weitergabe von Patientendaten an Marktforschungsunternehmen in Deutschland. Im August bestätigte die österreichische Niederlassung der US-Firma IMS Health, dass auch 350 österreichische Ärzte Informationen über Medikamentenverschreibungen an das Unternehmen verkaufen. Später wurde bekannt, dass auch Krankenhäuser mit der Firma kooperieren.

IMS Health versicherte zwar, dass die Daten verschlüsselt würden und Rückschlüsse auf einzelne Patienten „absolut nicht“ möglich wären. Dennoch forderte die Wiener Ärztekammer eine Überprüfung durch die Justiz und kündigte Disziplinarmaßnahmen gegen die involvierten Ärzte an - mehr dazu in Patientendaten: Ärztekammer kündigt Klagen an.

Kommission: Kein Personenbezug hergestellt

Die Datenschutzkommission leitete daraufhin eine Prüfung der Causa ein, kam nun aber zum Ergebnis, dass das Datenschutzgesetz durch die Firma nicht verletzt worden sei. In einer OTS-Aussendung der Kommission vom Montag beruft sich die Kommission auf ein vom Gesundheitsministerium in Auftrag gegebenes Gutachten. Dieses komme zur Auffassung, dass IMS Health „mit rechtlich zulässigen Mitteln“ einen Personenbezug auf Basis der übermittelten Daten nicht herstellen könne.

Die Datenschutzkommission selbst geht daher ebenfalls davon aus, „dass ein Personenbezug zu einzelnen Patienten durch IMS Health mit rechtlich zulässigen Mitteln nicht hergestellt werden kann bzw. dass dies technisch nicht möglich ist“.

Keine Disziplanarmaßnahmen gegen Ärzte

Was dies konkret bedeutet ist allerdings unklar. Die Aussendung der Kommission legt nämlich nahe, dass die elektronisch übermittelten Daten sehr wohl „einer Patientennummer zugeordnet“ wurden, während die nicht elektronische Ermittlung der Verschreibungsdaten durch Rezeptauszüge geschehen sei, „die von Anbeginn keinen Personenbezug enthielten“. Bei der Datenschutzkommission war nach Veröffentlichung der Entscheidung am Montagnachmittag niemand mehr für Rückfragen erreichbar.

Disziplinarmaßnahmen gegen die beteiligten Ärzte gab es laut dem Wiener Ärztekammerpräsidenten Thomas Szekeres nicht. Wie Szekeres der APA sagte, weiß die Kammer nach wie vor nicht, welche Ärzte mit der Firma kooperieren. Er hält auch die Übermittlung von mittels Patientennummer „pseudonymisierten Daten“ für problematisch. „Wenn ein Patient am Land eine ausgerissene Diagnose hat, dann ist das auch nicht wirklich geheim“, gibt Szekeres zu bedenken.