Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Das Verfahren „E-Rezept“ ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:

1. Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.
2. Alternativ kann ein Ausdruck erfolgen, der dann weitgehend der bisherigen rosafarbenen papierenen ärztlichen Verordnung entspricht: Die Papierversion des E-Rezepts enthält zusätzlich einen maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Dieses vom Bundesgesetzgeber vorgesehene Verfahren „E-Rezept“ hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet noch wurde eine Untersagung für das E-Rezept ausgesprochen.

Die E-Rezept-App erfordert ein Smartphone  und eine kompatible Gesundheitskarte. Da diese technischen Voraussetzungen heute für viele Nutzende noch nicht gegeben sind, ist ein flächendeckender  Einsatz nicht möglich. Alternativ zum gesetzlich ausdifferenzierten Verfahren „E-Rezept“ per App oder der spezifizierten Papier-Variante wurde von einigen Leistungserbringern überlegt, wie ein anderes Verfahren umgesetzt werden könnte, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln zu verarbeiten. So war beabsichtigt, den Patientinnen und Patienten den in den Arztpraxen erzeugten Data-Matrix-Code (ähnlich einem QR-Code) per E-Mail zuzusenden.  

Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass Daten der elektronischen Verordnungen abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung (DSGVO) fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.

Apotheken müssen ebenfalls sicherstellen, dass Patientinnen und Patienten die Möglichkeit haben, ihre Verordnungen sicher in der Apotheke ihrer Wahl einlösen können. Dies gilt auch für Online-Apotheken.

 

Hat das ULD das Verfahren „E-Rezept“ geprüft? Ist es gescheitert?

Nein, das Verfahren „E-Rezept“ gemäß der Spezifikation auf Bundesebene und auch die E-Rezept-App sind nicht vom ULD geprüft worden.

Hat das ULD das Verfahren „E-Rezept“ in Schleswig-Holstein untersagt?

Nein.

Ändert sich beim Verfahren „E-Rezept“ etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?

Nein, die Arztpraxen haben dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen ärztlicher Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. Ein Versand per Postkarte würde dem nicht genügen, E-Mail ohne weitere Absicherung (Stichwort: Ende-zu-Ende-Verschlüsselung) ebenfalls nicht.

Welche Möglichkeiten sieht der Gesetzgeber vor, damit Patientinnen und Patienten von ihren Ärztinnen bzw. Ärzten ihre Verordnungen erhalten?

Es besteht eine gesetzgeberische Vorgabe, dass für die Übermittlung der Verordnungen von verschreibungspflichtigen Arzneimitteln die Dienste und Komponenten der Telematikinfrastruktur der Gematik zu nutzen sind. E-Mail als Übertragungsweg an Patientinnen und Patienten ist bisher nicht vorgesehen.

In der Diskussion etwa seit August 2022 bei der Einführung des E-Rezepts geht es um Angebote von Ärztinnen und Ärzten, die über die Kommunikation per Telematikinfrastruktur hinausgehen, um Verordnungen elektronisch zu übertragen.

§ 360 Abs. 2 i.V.m. Abs. 1 SGB V sieht für die Übermittlung der Verordnungen von verschreibungspflichtigen Arzneimitteln vor, dass Dienste und Komponenten der Telematikinfrastruktur der Gematik zu nutzen sind. Es besteht keine gesetzliche Verpflichtung, auf andere (elektronische) Übertragungswege auszuweichen. Eine Übermittlung per E-Mail wird daher vom Gesetzgeber nicht gefordert. Versicherte haben nach § 360 Abs. 9 Satz 1 SGB V gegenüber den in § 360 Abs. 2 Satz 1 SGB V genannten Leistungserbringern sowie den in § 360 Abs. 4 Satz 1 SGB V genannten Psychotherapeuten ein Wahlrecht, ob ihnen die für den Zugriff auf ihre ärztliche oder psychotherapeutische Verordnung erforderlichen Zugangsdaten barrierefrei entweder durch einen Ausdruck in Papierform oder elektronisch bereitgestellt werden sollen. Auch hierbei hatte der Gesetzgeber die Nutzung der Telematikinfrastruktur der Gematik im Blick. Für eine geplante oder gesetzlich geforderte Versendung von DataMatrix-Codes per E-Mail an die versicherten Personen oder Apotheken bestehen keine Anhaltspunkte.

Welche Risiken sieht das ULD bei der Übertragung von DataMatrix-Codes?

Wer in den Besitz des DataMatrix-Codes kommt, kann zwar aus dem Code ohne Hilfsmittel keine Informationen ziehen. Mit geringem Aufwand – über Apps oder andere Angebote aus dem Apothekenumfeld – lassen sich jedoch die Inhalte der Verordnung (Name der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel) ganz oder teilweise einsehen.

In dieser Situation würden mit der Versendung von DataMatrix-Codes an versicherte Personen oder Apotheken bereits Gesundheitsdaten nach Art. 4 Nr. 14 DSGVO i.V.m. Art. 9 Abs. 1 DSGVO übermittelt. Dabei ist zu berücksichtigen, dass auf dem Markt frei erhältliche Apps aus dem Apothekenumfeld jeder Person, die befugt oder unbefugt im Besitz des jeweiligen DataMatrix-Codes ist, die Kenntnisnahme von in der Telematikinfrastruktur der Gematik enthaltenen Daten einer Verordnung zu verschreibungspflichtigen Arzneimitteln ermöglicht: Beim Einlesen von DataMatrix-Codes in solche Apps können bestimmte Verordnungsdaten ermittelt und den App-Nutzenden dargestellt werden. Zwar enthält der DataMatrix-Code die Verordnungsdaten nicht direkt, ermöglicht aber über den beschriebenen Weg eine Kenntnisnahme von Verordnungsdaten für jede Person, über den Code verfügt: Die dafür nutzbaren frei erhältlichen Apps führen, soweit ersichtlich, keine Berechtigungsprüfung der Nutzenden durch. Auf diese Weise lassen sich auch durch unbefugten Personen Inhalte einer Verordnung wie Name der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel ganz oder teilweise einsehen. Ähnliches wird wohl bei der Nutzung von Online-Apotheken ermöglicht.

Im Ergebnis sind DataMatrix-Codes als vergleichbar sensibel einzustufen wie die Verordnungsdaten selbst, solange mit ihrer Hilfe die Verordnungsdaten mit geringem Aufwand ermittelt werden können.

Welche Risiken sieht das ULD bei der Übertragung von DataMatrix-Codes per E-Mail?

Die Versendung von DataMatrix-Codes per E-Mail ohne angemessene Verschlüsselung würde das Risiko erhöhen, dass die Gesundheitsdaten in unbefugte Hände geraten. Ist das Risiko beim Papierausdruck noch überschaubar und kann (im Falle des Verlusts) eindeutig bemerkt werden, kann beim unverschlüsselten E-Mail-Versand nicht mehr erkannt werden, ob und von wie vielen Geräten oder Systemen die Nachricht eingesehen wurde.

Gesundheitsdaten weisen eine hohe Sensibilität auf. Deren Übermittlung per E-Mail ist an den Vorgaben von Art. 32 DSGVO zu messen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen die Leistungserbringer geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen auch die Wahl einer angemessenen Verschlüsselung ein, Art. 32 Abs. 1 Buchst. a DSGVO. Eine Transportverschlüsselung wäre für den Versand der E-Mails nicht ausreichend. Die Inhalte der E-Mails bedürfen eines zusätzlichen Schutzes. Denkbar erscheint es, der versicherten Person auf sicherem Weg getrennt ein Passwort zur Entschlüsselung der E-Mail oder eines E-Mail-Anhangs zu übermitteln, welche den DataMatrix-Code enthält. Diese zusätzliche Verschlüsselung wäre insbesondere unter Berücksichtigung des Stands der Technik und der Implementierungskosten vertretbar. Auch andere verschlüsselte und gegen unbefugte Zugriffe geschützte Kommunikationswege zwischen Leistungserbringern und versicherten Personen sind prinzipiell denkbar.

Bei der Gestaltung von datenschutzkonformen Lösungen, die – wie im Fall der Ärztinnen und Ärzte – auch die besonderen Anforderungen an Berufsgeheimnisträger erfüllen müssen, wären weitere Risiken des Versands, beispielsweise in Bezug auf Metadaten wie Sender, Empfänger und Betreff einer E-Mail, zu berücksichtigen. 

Wer trägt die datenschutzrechtliche Verantwortung bei der Übertragung eines DataMatrix-Codes?

Entsprechend den Vorschriften der Datenschutz-Grundverordnung (DSGVO) liegt die datenschutzrechtliche Verantwortung bei der Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet („Verantwortlicher“) – das sind in Bezug auf die Aushändigung bzw. Übermittlung der elektronischen Verordnung die Arztpraxen. Die Patientinnen und Patienten können anschließend, d. h. nach Erhalt der Verordnung, selbst entscheiden, wie sie diese an die Apotheken übergeben. Die Apotheken als Verantwortliche müssen bei ihren Verarbeitungen personenbezogener Daten ebenfalls auf die DSGVO-Konformität achten.

Übermittelt eine Ärztin bzw. ein Arzt einen DataMatrix-Code an eine Patientin oder einen Patienten, liegt also die Verantwortung für die Sicherheit dieser Übermittlung bei dem Verantwortlichen, also der Arztpraxis. Dies gilt auch, wenn der DataMatrix-Code z. B. zwischen Arztpraxis und Apotheke ausgetauscht wird. Die Übermittlung muss grundsätzlich Ende-zu-Ende-verschlüsselt durchgeführt werden.

Dies gilt ebenso in der Papierwelt: Arztpraxen sind dafür verantwortlich, einen sicheren Transportweg für Papier-Verordnungen oder E-Rezept-Ausdrucke auszuwählen.

Ist es Apotheken untersagt, per (unverschlüsselter) E-Mail zugesandte E-Rezepte oder DataMatrix-Codes anzunehmen und die Arzneimittel zu liefern?

Wenn der Apotheke eine elektronische Verordnung oder ein DataMatrix-Code per unverschlüsselter E-Mail übermittelt wird, liegt die Verantwortung für diese unsichere Übermittlung bei der übermittelnden Stelle. Unabhängig davon, ob die Übermittlung durch den Patienten oder durch eine Arztpraxis erfolgte, könnte von Apothekenseite die Bestellung bearbeitet werden.

Die Apotheke muss jedoch dafür Sorge tragen, dass elektronische Verordnungen und auch die DataMatrix-Codes nicht in falsche Hände kommen können (also anschließend aus dem Kommunikationssystem löschen, bei Papierausdrucken schreddern usw.). Auch muss die Apotheke sicherstellen, dass für eine weitere elektronische Kommunikation mit den Patienten bzw. Arztpraxen z.B. eine Ende-zu-Ende-Verschlüsselung erfolgt. Dies liegt im Verantwortungsbereich der Apotheke.

Ist eine Weitergabe des DataMatrix-Codes durch die Patientin oder den Patienten an Versand- bzw. Onlineapotheken zulässig?

Grundsätzlich kann dies zulässig sein. Wichtig ist aber, dass die Versand- bzw. Online-Apotheken ihre Angebote (z. B. Apps) bei der Entgegennahme der Daten der ärztlichen Verordnung ebenfalls datenschutzkonform gestalten.

Können Ärztinnen und Ärzte verlangen, dass Patientinnen oder Patienten in eine unsichere Übermittlung von Verordnungen einwilligen?

Eine Zustimmung von Versicherten in einen unverschlüsselten Versand ist rechtlich nicht möglich. Eine Einholung von „Einwilligungen“  oder „Zustimmungen“ der versicherten Personen durch die Leistungserbringer, bei der Übermittlung der DataMatrix-Codes (per E-Mail an die versicherte Person selbst oder an Apotheken) auf angemessene Verschlüsselung zu verzichten, wäre unzulässig: Die von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen. Hierzu hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einem Beschluss vom 24.11.2021 Stellung genommen:

• https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf
• Kurzlink: https://uldsh.de/dsk-2111

Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?

Selbstverständlich. Hier geht es um den Schutz der Patientinnen und Patienten.

Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?

Nein, das ULD wendet insbesondere Art. 32 DSGVO an und bezieht auch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 zu der Frage ein, unter welchen Umständen im Ausnahmefall auf technische und organisatorische Maßnahmen verzichtet werden kann.

Sind denn datenschutzrechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich überhaupt denkbar?

Ja. Das ULD hat in seiner Beratung auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: Außer der E-Rezept-App könnte man Verfahren wie das bundesweit nutzbare System „Kommunikation im Medizinwesen“ (KIM) einsetzen, das u. a. über eine Ende-zu-Ende-Verschlüsselung zwischen Arztpraxis und Apotheke verfügt. Auch kämen unter bestimmten Bedingungen E-Mail-Zusendungen mit zusätzlicher Verschlüsselung infrage.