Nutzung von personenbezogenen Rezeptdaten durch Apothekenrechenzentren nur zu Abrechnungszwecken zulässig
Apotheken sind gemäß § 300 Abs. 2 SGB V befugt, zur Abrechnung mit den Krankenkassen Apothekenrechenzentren einzuschalten. Hiervon machen nahezu alle Apotheken auch Gebrauch und übermitteln die bei ihnen eingelösten Rezepte an ein solches Rechenzentrum, welches die darauf enthaltenen Daten einliest, nach Krankenkassen sortiert und mit diesen die Kostenerstattung abwickelt.
Über diese - gesetzeskonforme - Tätigkeit hinausgehend haben die Apothekenrechenzentren in den letzten Jahren eine zusätzliche Verwendung der Rezeptdaten entwickelt. Als "Serviceleistung" wird den Apotheken eine Sammlung der bei ihnen angefallenen Patientendaten, meist auf einer CD, angeboten, die diese zur Speicherung und Auswertung nutzen können.
Diese Praxis ist vom Unabhängigen Landeszentrum für Datenschutz (ULD) in der Vergangenheit mehrfach als unzulässig kritisiert worden (vgl. 24. Tätigkeitsbericht, Tz. 4.8.7, S. 56 f.). Das ULD hat darauf hingewiesen, dass eine personenbezogene Übermittlung von Patientendaten durch die Apotheken an das Rechenzentrum zwecks Aufbereitung und Rückgabe an sie zur weiteren Nutzung nicht zulässig ist. In § 300 Abs. 2 SGB V ist vielmehr die Befugnis der Rechenzentren zur Datenverarbeitung abschließend geregelt. Aufgrund des abschließenden Charakters dieser Regelung kann auch eine Einwilligung der Patienten eine weitergehende Datenverarbeitung nicht legitimieren. Hinzu kommt, dass aufgrund der Komplexität der anfallenden Daten die Patienten den Umfang und die Folgen einer Speicherung und Aufbereitung sowie die Möglichkeiten zur Auswertung dieser Daten bei der Erteilung der Einwilligung kaum absehen können.
Diese Ansicht wird nicht von allen Datenschutzaufsichtsbehörden geteilt. Teilweise wird die Auffassung vertreten, eine über die in § 300 Abs. 2 SGB X genannten Zwecke hinausgehende Datenverarbeitung sei mit Einwilligung des Patienten zulässig.
Das Bundesministerium für Gesundheit und Soziale Sicherung (BMGS) hat nun die Position des ULD bestätigt. In einem Schreiben führt das BMGS zu dieser Thematik aus:
"§ 300 Abs. 2 SGB V erlaubt den Apothekenrechenzentren die Datenverarbeitung in zwei Alternativen, nämlich die personenbezogene für Zwecke des SGB, sofern sie dazu von Dritten beauftragt worden sind und die anonymisierte auch für andere Zwecke. Die von Ihnen genannten Zwecke - Zuzahlungsbescheinigung für Patienten, Rezeptrecherche für Patienten und Ärzte sowie Retaxation - sind keine Aufgaben, die das SGB den Apotheken zuweist. Vielmehr handelt es sich um Serviceangebote von Rechenzentren an Apotheken bzw. von Apotheken an Patienten und Ärzte."