Deutsche Patientendaten in Vietnam: Ein illegaler Transfer und die Folgen

Begonnen von Wilddieb Stuelpner, 16:32:04 Fr. 18.März 2005

⏪ vorheriges - nächstes ⏩

Wilddieb Stuelpner

ARD, Sendung "monitor": Deutsche Patientendaten in Vietnam: Ein illegaler Transfer und die Folgen

MONITOR Nr. 530 am 17. März 2005

Bericht: Kim Otto, Volker Happe

Sonia Mikich: "Ärzte haben eine gesetzliche Schweigepflicht. Wir Patienten bauen darauf, dass der Arzt unsere Leiden unter Verschluss hält und niemandem Gelegenheit gibt, mit unseren Gesundheits- oder Krankheitsdaten Geschäfte zu machen. Also, Versicherungen oder Pharma-Firmen oder Arbeitgebern keine Informationen über unseren gesundheitlichen Zustand verkaufen.

MONITOR deckt einen Datenschutz-Skandal auf, der Millionen chronisch Kranke betreffen kann. Kim Otto, Volker Happe und Herbert Stelz haben herausgefunden, wie Informationen über Schwerkranke zur Bearbeitung ins fernste Ausland gelangen und welche Folgen das hat."

-------------------------------------------------------------------------

In einer Frankfurter Praxis: Dr. Eckard Starke und sein Diabetes-Patient Rolf Franke nehmen am so genannten Disease-Management-Programm teil, dessen Ziel ist, die beste Behandlung von chronisch Kranken herauszufinden. Dazu werden die Daten der Patienten, wie etwa der Blutdruck von Rolf Franke ermittelt und festgehalten. In Meldebögen werden die Daten eingetragen und an private EDV-Firmen verschickt. Dort sollen sie verarbeitet werden. Und zwar pseudonymisiert, das heißt ohne Namensnennung. Gesundheitsministerin Ulla Schmidt machte sich stark für das Programm.
  Ulla Schmidt, Bundesgesundheitsministerin, 01.07.2002: "Was wir gemacht haben ist, dass es einen großen Datensatz gibt, der ist aber pseudonymisiert, der ist nicht zurückzuführen, das brauchen wir, um nebenbei zu kontrollieren, helfen die Programme, was können wir noch verbessern und wie vergleichen wir verschiedene Programme. Das dient also der wissenschaftlichen Sicherung."

Auch dem privaten Geschäft mit Gesundheitsdaten. Im Verwaltungs-Vereinfachungs-Gesetz wurde Unternehmen erstmals erlaubt, Gesundheitsdaten zu verarbeiten. Bei dem Disease-Management-Programm darf man:
"... dem Auftragnehmer die Verarbeitung des gesamten Datenbestandes übertragen." Im Klartext bedeutet das: Die Datenströme fließen in private Firmen. Ein Millionengeschäft mit sensiblen Gesundheitsdaten. Aber auch gefährlich. Das erfuhren Anfang der Woche Dr. Eckhard Starke und sein Diabetespatient Rolf Franke. Denn sensible medizinische Befunde sind in Vietnam gelandet. Vollkommen ungesichert.

Dr. Eckhard Starke, Allgemeinmediziner: "Das ist schon ein ... auch für mich ein sehr schwerer Schlag. Denn ... das Vertrauen in mich als Arzt und auch meine Verschwiegenheit als Arzt ist eines der höchsten Güter, die wir hier in der Praxis haben."

Rolf Franke: (Dialekt) "Ja, das ist schon eine bodenlose Frechheit so etwas überhaupt zu machen, weil des ist ja gar nicht sicher. Jeder kann, wenn er will, und es gibt ja so viele Personen, die da die Möglichkeit habe, die Daten rauszukriegen, zu knacken und dann ihr persönliches Geschäft damit zu machen. Mich persönlich in meinem Alter trifft's vielleicht nicht mehr so, aber wenn jetzt einer 'ne Lebensversicherung abschließen will. Oder in seinem Beruf oder in seinem weiteres Fortkommen, und er hat jetzt so gewisse Krankheiten, wo dann ein Arbeitgeber sagt: 'Ach ne, lieber net.' Für die Leute ist das ausschlaggebend."

Was war passiert? Die GHP Document-Service hier in Bamberg hatte den lukrativen Auftrag, die elektronischen Daten zu verarbeiten. Wichtig dabei: Daten müssen in Deutschland bleiben, weil die Unternehmen gesetzlich solche Auflagen zum Schutz der Daten haben. Doch das nahm die Firma offenbar nicht so genau. Sie schickte per Datenleitung mindestens 20.000 von sensiblen Patientendateien einmal um den Globus in das Billiglohnland Vietnam. Aufnahmen der Firma GHP VAI in Saigon, rund 10.000 Kilometer entfernt von Deutschland. Hier arbeiten 260 Mitarbeiter. Hauptsächlich verarbeiten sie Daten aus Deutschland. Darunter in der Vergangenheit offenbar auch die sensiblen medizinischen Befunde. Wir sprechen mit einem Systemadministrator der GHP in Deutschland, der unerkannt bleiben will.

Reporter: "Was ist denn mit den Daten in der Firma passiert?"

Systemadministrator der GHP (nachgestellt): "Bereits jetzt ist ja durch Protokolle nachgewiesen, dass im Zeitraum März 2004 bis Ende Januar 2005 mindestens 20.000 Dateien nach Vietnam geschickt wurden. Das waren gescannte Meldebögen mit Namen von Ärzten, von ihren Patienten und ihren Krankheiten: Diabetes, Krebs ... Und natürlich die Versicherungsnummern. Ich konnte das alles aus nächster Nähe beobachten. Das ganze wurde über eine völlig unverschlüsselte Internetverbindung und völlig ungesichert nach Vietnam übertragen. Und die bearbeiteten Daten kamen auf dem gleichen Weg zurück. Die hätte jeder lesen können."

Wir haben Vorwürfe des Mitarbeiters der Firma vorgelegt. Doch die verantwortliche Firma gibt uns kein Interview. Aber: Es gibt schriftliche Mitteilungen.

Im vergangenen Jahr seien lediglich Daten zu Testzwecken nach Vietnam übermittelt worden. Außerdem habe man diese Daten unkenntlich gemacht.

Allerdings: um Daten unkenntlich zu machen, braucht man ein Programm. Datenschützer überprüften inzwischen den Datenstrom und machten eine merkwürdige Entdeckung: Als die Firma ihnen ein Programm zeigte, mit dem die Daten angeblich im letzten Jahr pseudonymisiert worden seien. AOK-Prüfer stellten fest, dass die präsentierte Pseudonymisierungs-Software:
"... tatsächlich erst am 31.01.05 entwickelt wurde und vorher nicht zu Einsatz gekommen war." Selbst wenn die Daten pseudonymisiert worden sein sollten, können sie wieder zusammengesetzt werden, sagen Datenschützer.

Thilo Weichert, Datenschutzbeauftragter Schleswig-Holstein: "Es ist ein gewaltiger Datenschutzskandal. Daten werden nach Vietnam gegeben, wo es keine Datenschutzstandards gibt, wo es keine gesetzlichen Regelungen, keine Kontrolle gibt. Mit den Daten kann dort gemacht werden, was die Firma jetzt möchte. Ich hab' die große Angst, dass diese Daten unter Umständen weiterverkauft wird, etwa an Pharma-Unternehmen oder an Versicherungs-Unternehmen. Die Konsequenz kann sein, dass dann Versicherungs-Unternehmen aufgrund dieser ja hoch sensiblen Daten von chronisch Kranken Versicherungsverträge verweigern. Es kann gut sein, wenn die Daten an Arbeitgeber weitergegeben werden, dass Arbeitsverhältnisse gekündigt werden. Das können alles Konsequenzen für die jeweiligen Patienten sein."

Ein Datenskandal bahnt sich an. Zwar behauptet die Firma, es seien keine Daten aus dem Betrieb herausgegangen, das Problem aber: Die Firma in Vietnam unterliegt nicht dem strengen deutschen Datenschutz. Weltweit werden solche Daten teuer gehandelt.

Zurück in Deutschland. Welche weiteren Daten hat die Firma verarbeitet? In einer Datenbank der Europäischen Union werden wir fündig. Die Arbeitsgemeinschaft Disease-Management-Programm für Brustkrebs in Hessen vergab einen Auftrag zur Verarbeitung von sensiblen Patientendaten in Höhe von 3,9 Millionen Euro. Das war nicht der einzige Auftrag. Es folgten viele aus anderen Bundesländern. Deren Patientendaten könnten in Vietnam gelandet sein. Die Gesamtauftragssumme: Über 7 Millionen Euro. Wir befragen einen der Auftraggeber.

Johannes Lack, Arbeitsgemeinschaft DMP, Mecklenburg-Vorpommern: "Ich hätte es nicht für möglich gehalten, dass es zu so einem Datenverstoß kommt. Wir sind auch schockiert und sind jetzt natürlich darauf aus, hier entsprechende Konsequenzen zu ziehen. Welche, muss man juristisch, aber auch unter datenschutz-rechtlichen Dingen sehen, aber wir können nicht ausschließen, dass es auch zu einer fristlosen Vertragsauflösung kommen wird."

Reporter: "Stehen Sie denn auch mal ein bisschen in der Verantwortung, weil Sie dem billigsten Anbieter den Auftrag gegeben haben?"

Johannes Lack, Arbeitsgemeinschaft DMP, Mecklenburg-Vorpommern: "Nein, ich glaube nicht, dass das eine Frage des Preises ist. Qualität ist eigentlich nie eine Frage des Preises, sondern Qualität ist immer eine Frage der Verantwortung, und darum geht es hier."

Systemadministrator der GHP (nachgestellt): "Ich glaube, dass der Auftrag nach Vietnam gegangen ist, weil es natürlich viel billiger ist, die Daten der Meldebögen in Vietnam erfassen zu lassen. Bei den niedrigen Löhnen in Vietnam können dort natürlich viel mehr Menschen damit beschäftigt werden als bei uns. Wir haben im Betrieb geschätzt, dass die Firma unter Umständen 75 bis 80 % der Kosten im Vietnam einspart."

Wir wollten von Gesundheitsministerin Schmidt wissen, ob sie sich mitverantwortlich fühlt, dass sensible Gesundheitsdaten in Vietnam gelandet sind. Doch ein Interview mag sie nicht geben.

Thilo Weichert, Datenschutzbeauftragter Schleswig-Holstein: "Aus meiner Sicht ist die Gesundheitsministerin mitverantwortlich für diesen Skandal. Wir haben vor einem Jahr ganz klar gewarnt, dass, wenn eine Freigabe von Daten an private Firmen erfolgt, dass diese Daten nicht mehr unter Kontrolle sein könnten. Frau Schmidt hat unsere Warnung missachtet, hat die Gesetze geändert, aus dem Interesse möglichst billig die Datenverarbeitung vornehmen zu können. Der größte anzunehmende Unfall ist jetzt passiert. Ich denke, dass eine gewisse Mitverantwortung auch bei der Gesundheitsministerin liegt."

-------------------------------------------------------------------------

Links zum Thema:

Bundesbeauftragter für Datenschutz mit allen Landesbeauftragten

Bundesministerium für Gesundheit und Soziale Sicherung

Homepage der GHP

  • Chefduzen Spendenbutton