Im Jahr 1949 beschrieb George Orwell in seinem Roman "1984", wie es so sein würde: Rückwirkend wird Information in den Archiven des Wahrheitsministeriums verändert, damit unliebsame Information verschwindet oder so verändert wird, dass die wahre Geschichte nicht mehr auffindbar ist. Ein bisschen ähnlich gruselig fühlen sich für mich gerade die Anrufe und Mails der Firma IMS Health an, die mich auffordert zu meinem Kommentar Stellung zu nehmen, den ich in "Die Zeit" vor ein paar Wochen veröffentlich habe. 

"Objektiv unwahre Behauptungen"

Hier schrieb ich: "Die Krankenakten, die österreichische Kliniken in den vergangenen Jahren an die US-Firma IMS Health verkauften, brachten immerhin 432 Euro pro Stück und Jahr." IMS Health schreibt mir, ich habe "objektiv unwahre Behauptungen" gemacht, die "das Unternehmen in dessen Ruf schädigen". Es sei nun in ihrer "Intention, die Sache so schnell und effizient wie möglich zu bereinigen".

Was sich hinter dem Wort "bereinigen" verbirgt, weiß ich noch nicht so genau. Das Wort fühlt sich selbst aus dem Elfenbeinturm der Wissenschaft heraus recht unangenehm an, denn zum einen will ich wirklich nicht bei Orwells Bereinigungsszenarien landen (sprich online meinen Kommentartext verändern). Aber einen Rechtsstreit mit IMS Health will ich natürlich auch nicht, denn Professoren verdienen leider dieser Tage auch nicht so viel, dass man sich Rechtsstreits gegen Konzerne leicht leisten kann.

Widersprüchliche Informationen

Ich will mich daher am liebsten offiziell entschuldige wenn ich einen Fehler gemacht habe.  Allerdings bin ich doch etwas verwirrt, denn meine Information für den "Zeit"-Artikel stammt aus der seriösen österreichischen Tageszeitung "Die Presse", wo am 22. August 2013 stand: "In dem Vertrag (mit IMS Health) verpflichtet sich der Arzt, die Daten seiner Patienten monatlich und für mindestens ein Jahr zu liefern. Lohn: zwölf Mal 30 Euro, zuzüglich Mehrwertsteuer, 432 Euro brutto im Jahr. Was der Praxisbetreiber dafür hergibt? Fast alles. Die Liste ist lang. Sie beginnt mit Patientennummer, Geschlecht, Geburtsjahr und Krankenscheinart. Hinzu kommen Dauer- und Akutdiagnosen des Arztes sowie – im Vertrag fett hervorgehoben – alle Verordnungen."  Dazu schreibt die Presse noch, dass ihr ein solcher Vertrag sogar vorliegt.

Was soll ich als Kommentatorin oder Bloggerin jetzt tun? Der Presse vertrauen oder IMS Health? Wo liegt der Fehler in meinem Kommentar? Ich habe geschrieben, dass "Kliniken" die Information verkauft haben. Und IMS Health schreibt mir nun: "Tatsächlich haben wir niemals Krankenakten oder Patientendaten von Kliniken in Österreich gekauft." Ok, also keine Kliniken. Am 22. August 2013 schrieb Standard.at allerdings: "Die private Vizenz-Gruppe (zu ihr gehören sieben Ordensspitäler) bestätigte dies: Sie füllt vier Mal pro Jahr eine Liste über den Medikamentenverbrauch für IMS aus und bekommt dafür jährlich 1.700 Euro und Informationen über andere Spitäler." Also doch Kliniken? Oder zumindest Ordensspitäler? Aber dann eben andere Informationen. 

IMS Health: kein Handel mit "Krankenakten"

Die IMS Health sagt, dass sie auf jeden Fall nicht mit "Krankenakten" handelt. Und ich vermute, dass eine "Krankenakte" im Verständnis von IMS Health den Namen des Patienten enthält; also nur dann den Namen "Krankenakte" verdient, wenn ein Name darauf verzeichnet steht. Das bedeutet für mich: Ich habe einen Fehler gemacht, den ich hiermit offiziell zurücknehmen möchte! Ich habe geschrieben, dass es sich um "Krankenakten" handelt, obwohl das nicht stimmt und es sich lediglich um eine recht genaue und juristisch eventuell "personenbeziehbare" Gesundheitsinformation handelt, nicht jedoch um Information zu einem konkreten Patienten. Die Personenbeziehbarkeit wird jetzt von der österreichischen Datenschutzkommission geprüft. Update: Auf jeden Fall wäre es wohl richtiger gewesen zu schreiben, dass "Daten aus Krankenakten" verkauft wurden. Außerdem haben mich meine Blog-Leser in ihren Kommentaren freundlicherweise darauf aufmerksam gemacht, dass ein Arzt nur insgesamt 432 Euro erhielt für alle Daten die er geliefert hat und nicht pro Datensatz.

Datenweitergabe erlaubt

Die Weitergabe solcher möglicherweise personenbeziehbaren Informationen ist rechtlich übrigens erlaubt! Allerdings nur dann, wenn der Patient seine informierte Zustimmung gegeben hat zu dieser Weitergabe. IMS Health bzw. die Ärzte, die hier mitgemacht haben, verstoßen also gegen kein Gesetz, sofern sie diese Zustimmung von den Patienten eingeholt haben. Da ich beim Arzt aber erst mal alles unterschreibe (weil ich behandelt werden will) und weil ich außerdem zu den über 90 Prozent Bevölkerung gehöre, die die kleingedruckten AGB Informationen nicht lesen (auch nicht in einem vollgestopften Wartezimmer) bin ich trotzdem verunsichert.

Ich will einfach nicht, dass meine Krankengeschichte verkauft wird und auch nicht, welche Medikamente ich nehme. Das will ich auch dann nicht, wenn diese meine Informationen "anonymisiert" werden, denn als Forscherin im Bereich Datenschutz weiß ich, dass es derzeit keine gesetzlich anerkannten Standards gibt, was "Anonymisierung" von Daten eigentlich sein muss, damit man wirklich davon ausgehen kann, anonym zu bleiben. Stattdessen gibt es Studien die belegen, dass schon drei Datenpunkte ausreichen (Alter, Geschlecht und Postleitzahl), um über 80 Prozent der Individuen in einem "anonymisierten" Datenset zu reidentifizieren.

Anonymisierbarkeit

Ich hoffe vor dem Hintergrund dieser Klarstellung, dass IMS Health meine Entschuldigung annimmt. Wirklich freuen würde ich mich allerdings, wenn die Firma ihre wertvolle Zeit in Zukunft nicht damit verbringen würde, die Presse und Blogger "bereinigen" zu wollen, sondern ihre Datenbasis. Wenn es stimmen sollte, dass nur der Name von den Gesundheitsinformationen getrennt wird (wie es der "Presse"-Artikel suggeriert), dann reicht das für mich aus Patientensicht leider nicht aus für eine wahrhaft vertrauenserweckende Anonymisierung.

Die Firma würde ein gutes Werk tun, mit zu helfen, für den Gesundheitssektor die Grenzen technischer Anonymisierbarkeit auszuloten, damit sie selbst und die Forschung in Zukunft gerade in diesem lebenswichtigen Bereich mit guten Datensätzen arbeiten kann, die keinen in seiner Privatsphäre bedrohen können. (Sarah Spiekermann, derStandard.at, 31.10.2013)