Elektronisches Rezept: Datenschützer untersagen unverschlüsselten Versand per Mail

Ärzte in Schleswig-Holstein dürfen ihren Patienten nun doch kein E-Rezept ausstellen. Datenschützer fordern eine Ende-zu-Ende-Verschlüsselung.

Artikel veröffentlicht am ,
Die Einführung des E-Rezeptes verzögert sich weiter.
Die Einführung des E-Rezeptes verzögert sich weiter. (Bild: Gematik)

Die geplante Ausgabe von elektronischen Rezepten an Patienten in Schleswig-Holstein ist vorerst gestoppt worden. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen untersagte der dortigen Kassenärztlichen Vereinigung (KVSH) den Versand von QR-Codes über unverschlüsselte E-Mails. Das geht aus einem Schreiben Hansens vom 19. August 2022 (PDF) hervor.

Stellenmarkt
  1. Software Consultant/IT Project Manager (m/w/d)
    ecovium GmbH, Neustadt, Düsseldorf, Pforzheim (Home-Office möglich)
  2. IT-Administrator (m/w/d) mit Schwerpunkt VMware
    Bayerische Versorgungskammer, München (Home-Office möglich)
Detailsuche

Nach Einschätzung der Datenschutzbeauftragten werden mit dem Versenden des QR-Codes bereits Gesundheitsdaten nach der EU-Datenschutz-Grundverordnung (DSGVO) übermittelt. "Der QR-Code wirkt wie ein Link in das System der Telematik-Infrastruktur, wo die medizinischen Verordnungen abgespeichert sind", erläuterte Hansen auf Anfrage von Golem.de und fügte hinzu: "Als Arztpraxis oder Apotheke kann man dort zugreifen. Aber das funktioniert auch für jede Person, die eine dafür geeignete Apotheken-App verwendet oder sich einer Online-Apotheke bedient und das Rezept einscannt - nach unserer Kenntnis ohne weitere Berechtigungsprüfung."

Die KVSH teilte anschließend den Ärzten mit, sich aus der Rollout-Phase des E-Rezeptes zurückzuziehen. Die Situation sei "außerordentlich bedauerlich", denn die Ärzte hätten erstmals die Aussicht auf nutzbringende Anwendung der Telematik-Infrastruktur gehabt, heißt es in einem Schreiben an die Ärzteschaft. Darin schreibt die KVSH mehrfach von "datenlosen QR-Codes", was eine wenig nutzbringende Anwendung sein dürfte.

Apps können QR-Code auslesen

Nach Einschätzung Hansens würde die Versendung von QR-Codes per E-Mail ohne angemessene Verschlüsselung das Risiko erhöhen, dass die Gesundheitsdaten in unbefugte Hände gerieten. "Die frei erhältlichen Apps führen, soweit ersichtlich, keine Berechtigungsprüfung der Nutzenden durch, so dass der Name der versicherten Person, deren Geburtsdatum, Kontaktdaten des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel mangels ausreichender technischer Sicherung von unbefugten Personen eingesehen werden könnten", schreibt Hansen.

Golem Karrierewelt
  1. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    28.11.-01.12.2022, virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
Weitere IT-Trainings

Die Datenschutzbeauftragte hält eine reine Transportverschlüsselung zum Schutz der Gesundheitsdaten für nicht ausreichend. "Denkbar erscheint es, der versicherten Person auf sicherem Weg getrennt ein Passwort zur Entschlüsselung der E-Mail oder eines E-Mail-Anhangs zu übermitteln, welche den QR-Code enthält. Diese zusätzliche Verschlüsselung wäre insbesondere unter Berücksichtigung des Stands der Technik und der Implementierungskosten vertretbar", heißt es weiter.

Zustimmung reicht nicht aus

Eine Zustimmung von Versicherten in einen unverschlüsselten Versand sei rechtlich nicht möglich. "Denn die von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen", schreibt Hansen unter Verweis auf eine entsprechende Stellungnahme der Datenschutzkonferenz vom November 2021 (PDF).

Durch die Entscheidung der Behörde sei der digitale Weg des E-Rezepts nun für rund 99 Prozent aller Verordnungsfälle unterbunden, schreibt die KVSH. Zu den wenigen verbleibenden Möglichkeiten zähle beispielsweise der Versand eines Rezeptcodes über den Standard KIM (Kommunikation im Medizinwesen) an eine Apotheke, wenn der Patient dem zustimme. Das Einstellen eines E-Rezeptes in eine elektronische Patientenakte (ePA) scheitere momentan noch an deren Verfügbarkeit.

Unverständnis für Entscheidung

In dem Schreiben kritisiert die KVSH indirekt das Vorgehen der Datenschützer: "In der analogen Welt geht die Verantwortung für den formalen Umgang mit einem Rezept mit der Abgabe der Praxis an den Empfänger über. Was dieser/diese damit tut, ist allein seine/ihre Sache. In der digitalen Welt können Sie als Ärzte/Ärztinnen auch für Fehlverhalten oder missbräuchliche Anwendung datenloser QR-Codes durch Dritte in Haftung genommen werden, wie wir jetzt erfahren."

Dem widerspricht Hansen: "Die Übergabe des Rezepts muss sicher erfolgen; dafür ist die Ärztin beziehungsweise der Arzt verantwortlich. Das ist eben doch genau so wie in der analogen Welt, wenn ein Papierrezept ausgehändigt wird."

Das E-Rezept sollte ursprünglich schon zum Jahreswechsel 2021/2022 bundesweit eingeführt werden. Das Bundesgesundheitsministerium verschob jedoch die Einführung, weil die erforderlichen technischen Systeme noch nicht flächendeckend zur Verfügung standen. Auch nach Einführung des E-Rezepts können Patienten weiterhin einen Ausdruck des Rezepts in Form eines QR-Codes erhalten. Seit dem 1. Juli 2021 ist dazu eine entsprechende App in den Appstores von Apple, Google und Huawei verfügbar. Über die App ist es zudem möglich, direkt eine Versandapotheke aufzurufen.

Für die eigentliche Nutzung des E-Rezeptes ist die neueste Version der elektronischen Gesundheitskarte mit NFC-Schnittstelle und dazugehöriger PIN erforderlich. Das ist laut Gematik Voraussetzung, um die E-Rezept-App in vollem Umfang nutzen zu können. Die App setzt zudem Android 7 sowie iOS 14 voraus.

Ohne Anmeldung mit einer NFC-fähigen Gesundheitskarte kann man mit der App zumindest Rezeptcodes scannen und in der Apotheke vorzeigen. Es ist laut Gematik jedoch nicht möglich, die Inhalte eines E-Rezepts einzusehen oder über die App mit einer Apotheke zu kommunizieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 24. Aug 2022 / Themenstart

Man muss seine Bankkarte auch nicht an die Bank einschicken, um eine Online-Überweisung...

M.P. 24. Aug 2022 / Themenstart

Hmm, wenn Dir nachdem Google den Inhalt des Rezeptes decodiert hat plötzlich Werbung für...

n0x0n 23. Aug 2022 / Themenstart

Äh, doch, schon. Genau das ist doch das Problem

robinx999 23. Aug 2022 / Themenstart

Das e-Rezept soll aber langfristig das normale ablösen und wenn der Ausdruck dieses als...

Kommentieren



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /