Forum für

Autisten und interessierte Zeitgenossen

Nicht einmal Staatsanwälte oder Richter können sie zwingen, über Patienten Auskunft zu geben. Wer seinem Arzt intimste Geheimnisse offenbart, muss darauf vertrauen können, dass sie geheim bleiben. Andernfalls wird ein Patient nicht offen sprechen, und gefährliche Krankheiten können unentdeckt bleiben. Deswegen die Schweigepflicht. Dem Arzt, der sie missachtet, droht Gefängnis.

Normalerweise. Doch was ist noch normal im Zeitalter des Datenhandels?

Normal ist mittlerweile Folgendes: Pharmaunternehmen, die bundesweit auf Patientendaten zugreifen möchten, bezahlen für den Zugang zu einer entsprechenden Datenbank teilweise mehrere Hunderttausend Euro im Jahr. Sie beauftragen externe Berater, die anhand der Daten herausarbeiten, welche Medikamente neu entwickelt und in welchen Regionen vertrieben werden können. (So werden beispielsweise in den neuen Bundesländern deutlich mehr Antidepressiva verschrieben als in den alten. Oder es wird in einer Region um Würzburg auffällig häufig Ritalin verordnet.)

Dafür werden pro Berater Tagessätze von bis zu 5.000 Euro fällig. Zuletzt schicken die Pharmafirmen ihre Vertreter (Kosten an die 130.000 Euro pro Vertreter im Jahr) in die Praxen, um exakt jene Pillen, Salben, Tropfen und Zäpfchen an den Arzt zu bringen, die dort ohnehin nachgefragt werden. Während sich ein Patient also im Behandlungszimmer über Diagnose und Therapie informiert, verdient längst eine ganze Industrie an ihm.

Krankheitsdaten sind außerordentlich wertvoll. Allein mit Patientendaten würden jährlich in Deutschland bis zu 30 Millionen Euro Umsatz gemacht, schätzen Branchenexperten. Pharmakonzerne geben bis zu ein Drittel ihres Umsatzes für Marketing und Vertrieb aus – weitaus mehr, als es in der Automobil- oder Lebensmittelindustrie üblich ist. Je mehr die Unternehmen über die Patienten wissen, desto leichter lassen sich Wettbewerber vom Markt drängen. Die Daten verraten, wann und wo Leute über Sodbrennen, Haarausfall oder Magenkrämpfe klagen – und welche Gegenmittel man unters Volk bringen könnte.

[...]

Die Frau, die sich hinter Nummer 36288244 verbirgt, ist erst 19 Jahre alt. Ihr Einverständnis zur Weitergabe ihrer Daten hat sie nie gegeben, und sie weiß auch nicht, dass jemand damit Schindluder treibt. Und doch kann man ihre Unterlagen kaufen. Name und Adresse tauchen in den der „Zeit“ vorliegenden Dokumenten zwar nicht auf. „Aber die Unternehmen könnten durchaus über Methoden verfügen, die Anonymisierung zu entschlüsseln und die Person zu identifizieren“, sagt der Jurist Thomas Giesen vom Institut für Informationsordnung in Dresden.

Er befasst sich seit Jahrzehnten mit Persönlichkeitsrechtsfragen in der Medizin. „Die Daten werden nicht anonymisiert, nur pseudonymisiert. Das ist nur auf den ersten Blick diskret, weil man in besonderen Konstellationen durchaus Rückschlüsse auf bestimmte Patienten ziehen kann, etwa bei der Kombination seltener Diagnosen und seltener Verordnungen.“ Giesen hält die Übermittlung solcher Patientendaten an die Industrie per Software für nicht erlaubt: "Pseudonyme Daten sind personenbeziehbar und unterstehen dadurch natürlich auch der ärztlichen Schweigepflicht." Die Bundesärztekammer wollte sich gegenüber der „Zeit“ zu diesem Thema nicht äußern.

Zum gläsernen Kranken wird man jedenfalls schneller als gedacht. Oft reicht schon die Adresse des Arztes. Wer dann noch ein halbwegs auffälliges Leiden hat oder auf dem Land wohnt, ist bei allem Datenschutz rasch aufgestöbert. Wie viele übergewichtige 19-jährige Frauen mit Akne und Zerrung an der Halswirbelsäule wird es wohl in einem 2.000-Seelen-Dorf geben? Um da den passenden Namen herauszufinden, braucht es keinen Computer.

Mit der Digitalisierung nahm das Übel seinen Anfang. Die Ärzte legten ihre Patienteninformationen nicht mehr in Papierakten ab, sondern speicherten sie in Computerdateien. So erinnert sich ein Spezialist, der selbst zahllose Modelle für die ökonomische Nutzbarmachung von Patientendaten entwickelt hat. Einmal gespeichert, erschienen die Daten den Marktforschern zum Greifen nah. Die nächste Idee war so simpel wie skandalös: Ärzte wurden gefragt, ob sie etwas dagegen hätten, den Marktforschungsunternehmen ihr Datenkonvolut teilweise zur Verfügung zu stellen. Natürlich bloß zu statistischen Zwecken. Und so läuft es größtenteils bis heute.

[...]

Franz-Xaver Thalmeir, General Manager bei der Konzernmutter Cegedim, erklärt das Verfahren in einer E-Mail so: „Über eine Software im Abrechnungssystem des Arztes werden dann nur bestimmte Fall-Daten übermittelt. Das System vergibt dabei nach einem nur dem Software-Haus bekannten Algorithmus eine Nummer pro Patient, die mit keiner anderen Versicherten- oder sonstigen Nummer korreliert.

[...]

Die zweite große Quelle für die Datenschlürfer sind Apotheken. Der „Zeit“ liegt ein Direktvertrag von IMS Health mit einer Apotheke vor. In diesem soll sie sich verpflichten, „IMS wöchentlich die Ein- und Verkaufsdaten sowie einmal monatlich die Lagerdaten ihres pharmazeutischen und nichtpharmazeutischen Sortiments“ zu übermitteln. Zum Lohn soll die Apotheke Marktanalysen und 450 Euro im Jahr bekommen. In dem Vertrag steht auch, dass die Daten zu statistischen Zwecken erhoben und vertraulich behandelt werden. Auch sie werden mittels einer Software übermittelt. IMS Health bestätigte, über Compugroup Daten von Apotheken zu erhalten, die Namen der Patienten seien allerdings anonymisiert. Das IMS-Apothekerpanel umfasse 4.000 Apotheken – also fast 20 Prozent aller deutschen Apotheken.

Eine besonders eigenartige Rolle in diesem Handel spielen die 26 Apothekenrechenzentren in Deutschland. Diese sind seltsame Gebilde, die im Verborgenen gewaltige Mengen Gesundheitsdaten verwalten. Immer wieder geraten sie in die Kritik.

Die Rechenzentren wurden Mitte der achtziger Jahre von den Apotheken als private Dienstleistungsunternehmen gegründet. Als solche müssen sie normalerweise Gewinne erwirtschaften. Schon bald entdeckten einige von ihnen, dass nicht nur die Speicherung, sondern auch der Verkauf von Daten eine wunderbare Einnahmequelle darstellen. Die Marktforscher und die Pharmaindustrie zahlen dafür freudig, was freilich kein Kranker ahnt, der dem freundlichen Mann im weißen Apothekerkittel das Rezept für ein Krebsmedikament oder eine Hämorrhoidencreme überreicht.

[...]

Derzeit verdächtigen Datenschützer in Nordrhein-Westfalen das Apothekenrechenzentrum Haan, Informationen nicht sicher zu verschlüsseln. Kinderleicht sei es, die Informationen bestimmten Personen zuzuordnen.

[...]

Der Dresdner Datenrechtler Giesen wurde neulich selbst Zeuge, als der Chef eines Unternehmens bloß durch geschickte Suchmethoden aus Millionen von Daten einen einzigen Patienten herausfilterte.

Die Methodik sei sehr ausgefeilt, berichten Insider, und überaus erfolgreich. Manche Ärzte hätten sich sogar schon bei Pharmafirmen über deren Vertreter beschwert. Die Konzernabgesandten wussten nämlich auffällig gut darüber Bescheid, welche Menge eines bestimmten Medikaments in der jeweiligen Praxis verschrieben wird – und drängten darauf, noch mehr zu verordnen.

So kommt es, dass manche Konzerne über das Innenleben einer Arztpraxis besser Bescheid wissen als der Doktor selbst. Vom Patienten ganz zu schweigen. Denn obwohl ein Kranker riesige Datenmengen produziert, ist im Gesundheitswesen nicht einmal die Frage geklärt, wem diese Daten gehören: den Ärzten, weil sie sie erheben? Den Apotheken, weil sie das Rezept liefern? Den Kassen, weil sie die Behandlung bezahlen? Oder gehören die Daten doch denen, um die es geht – den Patienten?

Inzwischen bereitet die Pharmalobby in Brüssel schon die nächste Sammelphase vor. Sie versucht, die Gesetze aufzuweichen, die verhindern, dass Pharmaunternehmen einzelne Patienten gezielt mit Werbung behelligen. Wirtschaftlich hochinteressant sind vor allem Patienten, die an sogenannten "seltenen Krankheiten" leiden. Dazu gehört unter anderem die Enzymmangelerkrankung Morbus Gaucher: Die paar Hundert Betroffenen in Deutschland schlucken jährlich Medikamente für bis zu 400.000 Euro pro Person.

Das Geschäft mit solchen Patienten versuchen die Marktforschungsunternehmen bislang über Selbsthilfegruppen abzuwickeln.

Cyber-Attacken auf Krankenhäuser sind nach Einschätzung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) ein wachsendes Problem