Medatixx, ein in Eltville im hessischen Rheingaukreis ansässiges Unternehmen, das Anbieter von Praxissoftware für Praxen von Ärzt*innen und Psychotherapeut*innen ist, eröffnet seit Ende 2022 den Inhaber*innen der genannten Praxen die Möglichkeit, gegen eine monatliche Aufwandsentschädigung von – je nach Anzahl der beteiligten Behandler*innen – 30,00 bis 40,00 € anonymisierte Gesundheits- und Behandlungsdaten ihrer jeweiligen Patient*innen zu verkaufen. Darüber – und über eine, leider ohne Antwort gebliebene, Anfrage an den Hesischen Datenschutzbeauftragten – haben wir bereits in einem Beitrag im November 2022 mit der gleichen Überschrift informiert.

Quelle: Homepage von medatixx

Auf der Homepage von medatixx wird dazu aktuell u. a. wie folgt für dieses „Angebot“ geworben: „x.panel ermöglicht Anwenderinnen und Anwendern einer Praxissoftware von medatixx eine datenschutzkonforme und anonymisierte Übermittlung von ambulanten Versorgungsdaten. Die Anonymisierung startet bereits lokal in der Praxissoftware; die Daten werden in einer sicheren Umgebung gesammelt und ausgewählten Datenempfängern für Forschungs- und statistische Zwecke zur Verfügung gestellt. Eine Zurückführung auf die einzelne Praxis, die behandelnde Ärztin und den behandelnden Arzt oder die einzelne Patientin und den einzelnen Patienten ist nicht möglich“.

Durch einen Bericht im Ärztenachrichtendienst (ÄND) vom 19.10.2024 wurde dieses Thema einem breiteren Kreis kritischer Ärzt*innen, Psychatherapeut*innen und Versicherten bekannt. Auch Mitglieder der Redaktion dieser Homepage haben dazu erneut recherchiert und fanden auf der Homepage vom medatixx den Text einer „Ergänzungsvereinbarung zum Praxissoftwarepflegevertrag der medatixx GmbH & Co. KG“ .

Darin wird auf Seite 4 erklärt: „1. Das Anonymisierungskonzept basiert auf den neuesten Erkenntnissen zu Anonymisierungstechniken und veröffentlichten Handlungsempfehlungen im Umgang mit personenbezogenen Daten. Das Anonymisierungskonzept entspricht den rechtlichen Rahmenbedingungen der Datenschutz-Grundverordnung (DS-GVO) und des deutschen Bundesdatenschutzgesetzes (BDSG).

Ebenso wurde das Konzept dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit zur Beurteilung vorgelegt.

Das Konzept stellt sicher, dass die aus der Software abfließenden Daten für den Empfänger (I-Motion) anonym sind, I-Motion aber gleichwohl in der Lage ist, zu einem späteren Zeitpunkt eintreffende Daten zum selben Patienten dessen bisherigen Daten zuzuordnen…“

Und weiter: „Konkret werden folgende Kategorien von Daten für die spätere Übertragung an I-Motion vorbehandelt: Behandlungsdaten und demographische Daten. Unter diese Kategorien fallen insbesondere folgende Datenarten:
Behandlungsdaten
• KBV-Muster/-Formulare
• Diagnosen
• Abrechnungsziffern
• Beobachtungsdaten
• DMP
• Laborbefunde
Demographische Daten
• PLZ-Bereich, Alter, Geschlecht des Behandelten
• PLZ-Bereich, Fachrichtung des Behandlers“.

Bereits auf Seite 1 des genannten Dokuments wird unter „Vorbemerkung“ festgehalten: „2. Der Auftraggeber stellt dem Auftragnehmer unter dem Hauptvertrag bestimmte Patienten- und Behandlungsdaten (nachfolgend ‚Auftraggeberdaten‘ zur Erbringung der durch den Auftragnehmer unter dem Hauptvertrag geschuldeten Leistungen zur Verfügung. Dies erfolgt im Rahmen einer Auftragsverarbeitung, bei der der Auftraggeber Verantwortlicher und der Auftragnehmer der Auftragsverarbeiter ist.“  Verantwortlicher i. S. d. Art. 4 Ziffer 7 DSGVO soll nach diesem Text also die Praxis sein, die medatixx die Gesundheits- und Behandlungsdaten zur Verfügung stellt. Danach blieben die Inhaber*innen der teilnehmenden Arztpraxen auch haftend für alle datenschutzrechtlichen Pannen und Fehler, die auftreten können. Und das für max. 40 € Prämie im Monat.

Und unter § 2 dieses Regelwerks (ebenfalls auf Seite 1) wird erklärt, dass zur Sicherstellung der Anonymisierung der ausgeleiteten personenbezogenen Daten (die großteils dem Bereich der besonders geschützten Daten gem. Art. 9 DSGVO zuzurechnen sind) meedatixx die Bundesdruckerei als „Vertrauensstelle“ zur Anonymisierung der Datenbestände eingeschaltet. Zitat: „Der Auftragnehmer wird die Auftraggeberdaten auf Weisung des Auftraggebers vorbehandeln und unter Einbindung einer Vertrauensstelle (derzeit Bundesdruckerei GmbH) an die I-Motion übertragen“.

Völlig abstrus erscheint die Stellungnahme einer Sprecherin von medatixx, die kürzlich gegenüber dem Ärztenachrichtendienst (ÄND) u. a. erklärt haben soll: „…für den Fall, dass Patientinnen und Patienten keine Datenweitergabe wünschen, gebe es eine klare Regelung: ‚Sie können der Nutzung ihrer Daten für das ‚x.panel‘ jederzeit ohne Angabe von Gründen widersprechen.‘“

Für die Redaktion dieser Homepage war die Meldung des ÄND und der Text der „Ergänzungsvereinbarung zum Praxissoftwarepflegevertrag der medatixx GmbH & Co. KG“ . Anlass für

Anfragen an den Hessischen Datenschutzbeauftragten und an die Bundesdruckerei.

Dem Hessischen Datenschutzbeauftragten wurden am 28.10.2024 folgende Fragen gestellt:

1. Wurde Ihrer Behörde das hier skizzierte „Konzept … zur Beurteilung vorgelegt“?
2.  Wie bewerten Sie die Behauptung von Medatixx, es handele sich um ein „Anonymisierungskonzept“ wenn zugleich mitgeteilt wird: „Das Konzept stellt sicher, dass die aus der Software abfließenden Daten für den Empfänger (I-Motion) anonym sind, I-Motion aber gleichwohl in der Lage ist, zu einem späteren Zeitpunkt eintreffende Daten zum selben Patienten dessen bisherigen Daten zuzuordnen…“ ? Letzteres sowie die Tätigkeitsbeschreibung der Vertrauensstelle („…Pseudonyme zu Patienten, Ärzten und der Praxis zu generieren…“) scheint uns darauf hinzudeuten, dass hier (vorsätzlich oder fahrlässig) nicht sauber zwischen Anonymisierung und Pseudonymisierung von Datenbeständen getrennt wird.
3. Ist diese Datenausleitung nach Ihrer Bewertung rechtlich zulässig? Es handelt sich dabei im wesentlichen um Daten, die gem. Art. 9 DSGVO einen besonderen Schutzstatus genießen.
4. Stimmen Sie der Bewertung von Medatixx zu, dass die Ärzt*innen, die einen entsprechenden Vertrag mit Medatixx abschließen, für die aus dem Praxisverwaltungssystem an Medatixx bzw. I-Motion ausgeleiteten Daten, weiterhin Verantwortlicher i. S. d. DSGVO sind?
5. Wie bewerten Sie die oben zitierte Aussage der Sprecherin von medatixx zum Widerspruchsrecht der Patient*innen?

Der Bundesdruckerei wurden auf der Grundlage der Informationsfreiheitsgesetzes (IFG) bereits am 27.10.2024 folgende Fragen gestellt:

1. Ist es zutreffend, dass es zwischen der medatixx GmbH & Co. KG (oder einem Tochterunternehmen) und der Bundesdruckerei GmbH einen Vertrag gibt, wonach die Bundesdruckerei GmbH die Aufgabe einer Vertrauensstelle zur Anonymisierung der ausgeleiteten personenbezogenen Daten wahrnimmt?
2. Sollte Frage 1 von Ihnen mit Ja beantwortet werden, bitte ich – unter Beachtung der Regelungen in § 6 IFG („Zugang zu Betriebs- oder Geschäftsgeheimnissen“) – um Überlassung des Vertrags in einer entsprechend den Vorgaben des § 6 IFG entsprechend geschwärzten Fassung.
3. Sollte Frage 1 von Ihnen mit Ja beantwortet werden teilen Sie mir bitte mit, mit welchem Verfahren von Ihnen sicher gestellt wird, „dass die aus der Software abfließenden Daten für den Empfänger (I-Motion) anonym sind, I-Motion aber gleichwohl in der Lage ist, zu einem späteren Zeitpunkt eintreffende Daten zum selben Patienten dessen bisherigen Daten zuzuordnen“ . Letzteres scheint mir darauf hinzudeuten, dass die medatixx GmbH & Co. KG hier (vorsätzlich oder fahrlässig) zwischen Anonymisierung und Pseudonymisierung von Datenbeständen nicht sauber trennt.

Die Antworten – so sie den kommen sollten – sind hoffentlich aussagekräftig.