Der Netzwerk Datenschutzexpertise um den früheren schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert wirft BinDoc vor, reidentifizierbare Daten von Kliniken zu sammeln und kommerziell zu vermarkten.
Krankenhäuser sind nach § 21 Abs. 2 Nr. 2 KHEntgG gesetzlich verpflichtet, dem
Institut für das Entgeltsystem im Krankenhaus GmbH (InEK) detaillierte Angaben zur Person und zur behandelten Krankheit bereitzustellen.
BinDocs Geschäftsmodell basiert auf der Auswertung dieser Daten für Krankenhäuser und Dritte hinsichtlich Wirtschaftlichkeit und Marktanalyse zur Angebotsoptimierung, dies in „vorgeblich anonymisierter Form“. BinDoc behaupte, dass die Verarbeitung in eigener Verantwortung ausschließlich mit anonymisierten Daten erfolge, damit ließen die Daten keinerlei Personenbezug zu und unterliegen nicht dem Datenschutz. Das Netzwerk Datenschutzexpertise hält diese Aussage für falsch.
Tatsächlich verarbeite das Unternehmen die Daten nur in pseudonymisierter Form, so die Verfasser des Berichts. Die vorgebliche „Anonymisierung“ erfolge beispielsweise durch Entfernung bestimmter Datenfelder aus dem Datensatz, durch Ersatz durch einen Hashwert oder durch Kategorisierung in Wertegruppen. Diese Ansätze könne man jedoch leicht aushebeln. Durch Erstellung des Hashwertes einer bekannten Versicherungs-ID und Abgleich mit der Datenbank oder oder Abgleich mit krankenhausinternen Kennzeichen seien Rückschlüsse auf bestimmte Patienten möglich. Durch Zusatzwissen, zB aus einer Selbsthilfegruppe, seinen Rückschlüsse auf bestimmten Personen zuordenbare Datensätze möglich.
Bestenfalls könne die Ersetzung durch gehashte Werte als Verschleierung durch Pseudonymisierung bezeichnet werden. Man habe es dann jedoch nach wie vor mit personenbezogenen Daten zu tun, die unter den Geltungsbereich der DSGVO und anderer Datenschutzbestimmungen fallen.
BinDoc ist für circa 300 Unternehmen tätig, hierzu gehören Universitätskliniken, Medizintechnik- und Pharmaunternehmen, Banken und Ministerien.
BinDoc weist die Vorwürfe zurück. Der Aufbau der Datenbank sei kontinuierlich durch renommierte Datenschutz-Experten begleitet worden. Das Unternehmen habe daher bereits Widerspruch gegen die Vorwürfe bei Datenschutzbeauftragten von Baden-Württemberg eingereicht und diesen zum Einschreiten aufgefordert.
Quellen:
https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2024_06_bindoc.pdf