Suche

Elektronisches Rezept: Datenschützer untersagen unverschlüsselten Versand per Mail

Ärzte in Schleswig-Holstein dürfen ihren Patienten nun doch kein E-Rezept ausstellen. Datenschützer fordern eine Ende-zu-Ende-Verschlüsselung.

Artikel veröffentlicht am ,
Die Einführung des E-Rezeptes verzögert sich weiter. (Bild: Gematik)

Die geplante Ausgabe von elektronischen Rezepten an Patienten in Schleswig-Holstein ist vorerst gestoppt worden. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen untersagte der dortigen Kassenärztlichen Vereinigung (KVSH) den Versand von QR-Codes über unverschlüsselte E-Mails. Das geht aus einem Schreiben Hansens vom 19. August 2022 (PDF) hervor.
Anzeige

Nach Einschätzung der Datenschutzbeauftragten werden mit dem Versenden des QR-Codes bereits Gesundheitsdaten nach der EU-Datenschutz-Grundverordnung (DSGVO) übermittelt. "Der QR-Code wirkt wie ein Link in das System der Telematik-Infrastruktur, wo die medizinischen Verordnungen abgespeichert sind", erläuterte Hansen auf Anfrage von Golem.de und fügte hinzu: "Als Arztpraxis oder Apotheke kann man dort zugreifen. Aber das funktioniert auch für jede Person, die eine dafür geeignete Apotheken-App verwendet oder sich einer Online-Apotheke bedient und das Rezept einscannt - nach unserer Kenntnis ohne weitere Berechtigungsprüfung."

Die KVSH teilte anschließend den Ärzten mit, sich aus der Rollout-Phase des E-Rezeptes zurückzuziehen. Die Situation sei "außerordentlich bedauerlich", denn die Ärzte hätten erstmals die Aussicht auf nutzbringende Anwendung der Telematik-Infrastruktur gehabt, heißt es in einem Schreiben an die Ärzteschaft. Darin schreibt die KVSH mehrfach von "datenlosen QR-Codes", was eine wenig nutzbringende Anwendung sein dürfte.

Apps können QR-Code auslesen

Nach Einschätzung Hansens würde die Versendung von QR-Codes per E-Mail ohne angemessene Verschlüsselung das Risiko erhöhen, dass die Gesundheitsdaten in unbefugte Hände gerieten. "Die frei erhältlichen Apps führen, soweit ersichtlich, keine Berechtigungsprüfung der Nutzenden durch, so dass der Name der versicherten Person, deren Geburtsdatum, Kontaktdaten des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel mangels ausreichender technischer Sicherung von unbefugten Personen eingesehen werden könnten", schreibt Hansen.
Anzeige

Die Datenschutzbeauftragte hält eine reine Transportverschlüsselung zum Schutz der Gesundheitsdaten für nicht ausreichend. "Denkbar erscheint es, der versicherten Person auf sicherem Weg getrennt ein Passwort zur Entschlüsselung der E-Mail oder eines E-Mail-Anhangs zu übermitteln, welche den QR-Code enthält. Diese zusätzliche Verschlüsselung wäre insbesondere unter Berücksichtigung des Stands der Technik und der Implementierungskosten vertretbar", heißt es weiter.

Zustimmung reicht nicht aus

Eine Zustimmung von Versicherten in einen unverschlüsselten Versand sei rechtlich nicht möglich. "Denn die von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen", schreibt Hansen unter Verweis auf eine entsprechende Stellungnahme der Datenschutzkonferenz vom November 2021 (PDF).

Durch die Entscheidung der Behörde sei der digitale Weg des E-Rezepts nun für rund 99 Prozent aller Verordnungsfälle unterbunden, schreibt die KVSH. Zu den wenigen verbleibenden Möglichkeiten zähle beispielsweise der Versand eines Rezeptcodes über den Standard KIM (Kommunikation im Medizinwesen) an eine Apotheke, wenn der Patient dem zustimme. Das Einstellen eines E-Rezeptes in eine elektronische Patientenakte (ePA) scheitere momentan noch an deren Verfügbarkeit.

Unverständnis für Entscheidung

In dem Schreiben kritisiert die KVSH indirekt das Vorgehen der Datenschützer: "In der analogen Welt geht die Verantwortung für den formalen Umgang mit einem Rezept mit der Abgabe der Praxis an den Empfänger über. Was dieser/diese damit tut, ist allein seine/ihre Sache. In der digitalen Welt können Sie als Ärzte/Ärztinnen auch für Fehlverhalten oder missbräuchliche Anwendung datenloser QR-Codes durch Dritte in Haftung genommen werden, wie wir jetzt erfahren."

Dem widerspricht Hansen: "Die Übergabe des Rezepts muss sicher erfolgen; dafür ist die Ärztin beziehungsweise der Arzt verantwortlich. Das ist eben doch genau so wie in der analogen Welt, wenn ein Papierrezept ausgehändigt wird."

Das E-Rezept sollte ursprünglich schon zum Jahreswechsel 2021/2022 bundesweit eingeführt werden. Das Bundesgesundheitsministerium verschob jedoch die Einführung, weil die erforderlichen technischen Systeme noch nicht flächendeckend zur Verfügung standen. Auch nach Einführung des E-Rezepts können Patienten weiterhin einen Ausdruck des Rezepts in Form eines QR-Codes erhalten. Seit dem 1. Juli 2021 ist dazu eine entsprechende App in den Appstores von Apple, Google und Huawei verfügbar. Über die App ist es zudem möglich, direkt eine Versandapotheke aufzurufen.

Für die eigentliche Nutzung des E-Rezeptes ist die neueste Version der elektronischen Gesundheitskarte mit NFC-Schnittstelle und dazugehöriger PIN erforderlich. Das ist laut Gematik Voraussetzung, um die E-Rezept-App in vollem Umfang nutzen zu können. Die App setzt zudem Android 7 sowie iOS 14 voraus.

Ohne Anmeldung mit einer NFC-fähigen Gesundheitskarte kann man mit der App zumindest Rezeptcodes scannen und in der Apotheke vorzeigen. Es ist laut Gematik jedoch nicht möglich, die Inhalte eines E-Rezepts einzusehen oder über die App mit einer Apotheke zu kommunizieren.