BinDoc: Skandal um sensible Patientendaten – Verstoß gegen Datenschutz und Strafgesetzbuch
BinDoc, das Unternehmen aus Tübingen, steht momentan im Rampenlicht – allerdings nicht unbedingt auf positive Weise. Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, und seine Co-Autorin Karin Schuler haben in einem aktuellen Gutachten festgestellt, dass BinDoc sensible Patientendaten von Krankenhäusern sammelt und diese gewerblich vermarktet. Klingt nicht gerade nach dem Vertrauensverhältnis, das man von einem Unternehmen im Gesundheitssektor erwartet, oder?
Der Hauptkritikpunkt liegt dabei auf dem Umgang von BinDoc mit zeitbezogenen Informationen, die mit der Aufnahme und Behandlung von Patienten in Krankenhäusern zusammenhängen. Diese Daten werden fortlaufend erfasst, um den Verlauf einer Krankheit darzustellen. An sich ist das nichts Ungewöhnliches – Krankenhäuser sind gesetzlich dazu verpflichtet, diese Informationen zur Verfügung zu stellen. BinDoc bietet den Krankenhäusern jedoch die Möglichkeit, diese Daten für interne Analysen und Vergleiche mit anderen medizinischen Einrichtungen zu nutzen. Soweit so gut.
Das Problem liegt jedoch darin, dass BinDoc angeblich nur anonymisierte Daten verwendet. In Wirklichkeit werden die Patientendaten lediglich pseudonymisiert, was bedeutet, dass sie mit zusätzlichen Informationen wieder identifizierbar sind. Das ist natürlich nicht das, was man unter Anonymisierung versteht – und auch nicht das, was die Datenschutzgesetzgebung vorsieht.
Um die Informationen zu anonymisieren, unternimmt BinDoc angeblich drei Maßnahmen: bestimmte Datenfelder werden entfernt, andere durch einen Hashwert ersetzt oder in Wertegruppen kategorisiert. Klingt technisch und sicher, oder? Leider nicht. Diese Ansätze können problemlos umgangen werden. Im Falle einer Datenpanne könnten Unbefugte durch das Ausprobieren bekannter Versicherten-IDs oder interner Kennzeichen des Krankenhauses Rückschlüsse auf Patienten ziehen und deren Falldaten eindeutig zuordnen. Nicht gerade das, was man sich unter Datenschutz vorstellt.
Neben dem Verstoß gegen Datenschutzbestimmungen missachtet BinDoc auch Paragraf 203 des Strafgesetzbuchs (StGB), der die Privatgeheimnisse von Ärzten schützt. Keine gute Ausgangslage für ein Unternehmen, das Dienstleistungen für rund 300 Unternehmen erbringt, darunter deutsche Universitätskliniken und Krankenhäuser der Sana-, Artemed- und Agaplesion-Gruppe. BinDoc bietet außerdem Analysedienstleistungen für Unternehmen im Bereich Medizintechnik und Pharma, Banken sowie Ministerien an. Da ist es verständlich, dass die Verstöße gegen das Recht ernst genommen werden sollten.
Die Autoren des Gutachtens betonen auch die Konsequenzen für die gesamte Sekundärnutzung von Gesundheitsdaten, die politisch erwünscht ist. Initiativen wie das Gesundheitsdatennutzungsgesetz (GDNG) und der Europäische Gesundheitsdatenraum (EHDS) sollen diese Sekundärnutzung vorantreiben. Doch wenn Unternehmen wie BinDoc die Daten nicht gemäß den rechtlichen Anforderungen verarbeiten und schützen, wird das Vertrauen in das Gesundheitssystem erheblich beeinträchtigt.
Selbstverständlich hat BinDoc die Vorwürfe vehement zurückgewiesen. Der Chief Experience Officer, Sven Seemann, betonte, dass das Unternehmen von Anfang an den Aufbau der Datenbank durch externe Datenschutz-Gutachten begleitet habe. Es bleibt abzuwarten, welche Erklärung BinDoc in dieser Woche abgeben wird.
Insgesamt zeigt dieser Fall, dass der Umgang mit sensiblen Gesundheitsdaten ein heikles Thema ist. Unternehmen müssen sich bewusst sein, dass sie nicht nur rechtliche, sondern auch ethische Verantwortung tragen. Der Datenschutz darf nicht auf die leichte Schulter genommen werden, denn das Vertrauen der Menschen in das Gesundheitssystem steht auf dem Spiel.
Schlagwörter: BinDoc + Thilo Weichert + Karin Schuler
Wie bewerten Sie den Schreibstil des Artikels?