Dienstag, 23. August 2022

E-Rezept-Verfahren: maschinenlesbare Codes schützen!

Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das „E-Rezept“ in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

Das Verfahren „E-Rezept“ ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:

  1. Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.
     
  2. Alternativ kann ein Ausdruck erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Dieses vom Bundesgesetzgeber vorgesehene Verfahren „E-Rezept“ hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet noch wurde eine Untersagung für das E-Rezept ausgesprochen.

Da nicht allen Nutzenden ein neueres Smartphone und eine kompatible Gesundheitskarte zur Verfügung stehen, ist ein flächendeckender Einsatz zurzeit nicht möglich. Alternativ zum gesetzlich ausdifferenzierten Verfahren „E-Rezept“ wird von einigen Leistungserbringern nun überlegt, wie ein anderes Verfahren umgesetzt werden könnte, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln zu verarbeiten.

Im Juli wandte sich in diesem Kontext die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen. Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.

Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann. Ein Schutz gegen Missbrauch – z. B. eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – ist bei diesen Apps nicht vorgesehen.

Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.

In der Beratung der KVSH hat das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems „Kommunikation im Medizinwesen“ (KIM) oder ein digitaler Versand z. B. per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.

Die Landesbeauftragte für Datenschutz, Marit Hansen, begrüßt, dass sie vor dem Ausrollen des E-Rezepts im Beratungswege eingebunden wurde. Ihre Aussage ist aber klar: „Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten Systeme mit einem angemessenen Schutz einzusetzen.“

 

Fragen und Antworten:

 

Hat das ULD das Verfahren „E-Rezept“ geprüft? Ist es gescheitert?

Nein, das Verfahren „E-Rezept“ gemäß der Spezifikation auf Bundesebene und auch die E-Rezept-App sind nicht vom ULD geprüft worden.

Hat das ULD das Verfahren „E-Rezept“ in Schleswig-Holstein untersagt?

Nein.

Ändert sich beim Verfahren „E-Rezept“ etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?

Nein, die Arztpraxen haben dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen ärztlicher Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. Ein Versand per Postkarte würde dem nicht genügen, E-Mail ohne weitere Absicherung (Stichwort: Ende-zu-Ende-Verschlüsselung) ebenfalls nicht.

Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?

Selbstverständlich. Hier geht es um den Schutz der Patientinnen und Patienten.

Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?

Nein, das ULD wendet insbesondere Art. 32 DSGVO an und bezieht auch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 zu der Frage ein, unter welchen Umständen im Ausnahmefall auf technische und organisatorische Maßnahmen verzichtet werden kann.

Gibt es rechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich?

Ja, das ULD hat auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: per E-Rezept-App, über das bundesweit nutzbare System „Kommunikation im Medizinwesen“ (KIM) oder, wenn E-Mail zum Einsatz kommen sollte, mit zusätzlicher Verschlüsselung.

 

Dokumente:

 

Bei Nachfragen wenden Sie sich bitte an:

Landesbeauftragte für Datenschutz
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstraße 98, 24103 Kiel

Tel.: 0431 988-1200, Fax: -1223

E-Mail: mail@datenschutzzentrum.de