E-Rezept mit Gesundheitskarte: Datenschützer erteilen spezifiziertem Weg Absage

Der Bundesdatenschutzbeauftragte hält von der Gematik spezifizierten Einlöseweg von E-Rezepten mit der Gesundheitskarte für mangelhaft, schlägt Alternativen vor

In Pocket speichern vorlesen Druckansicht 129 Kommentare lesen
Electronic,Signature,Concept,,Electronic,Signing,Businessman,Signs,Electronic,Documents,On, E-Rezept, elektronische Signatur

(Bild: Thapana_Studio/Shutterstock)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Da es umständlich ist, das E-Rezept mit der E-Rezept-App einzulösen, hat die für die Digitalisierung zuständige Gematik GmbH einen zusätzlichen Weg spezifiziert, nach dem das E-Rezept auch mit der elektronischen Gesundheitskarte (eGK) eingelöst werden kann. Diese Spezifikation halten Datenschützer allerdings für problematisch. Sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch das Bundesamt für Sicherheit in der Informationstechnik halten diesen Einlöseweg für nicht datenschutzkonform. Also werden für E-Rezepte notwendige 2D-Token vorerst weiterhin auf Papier ausgedruckt oder direkt an die E-Rezept-App übermittelt.

Als kritisch erachtet der BfDI, dass ohne einen Prüfnachweis Zugang zu den Daten Versicherter möglich ist, die in unverschlüsselter Form in einer vertrauenswürdigen Ausführungsumgebung (VAU) zur Bearbeitung liegen. So könnten sich Unbefugte allein mit der Versichertennummer die Daten des E-Rezepts ansehen, etwa Mitarbeiter in einer Apotheke oder IT-Personal.

Als Lösungsmöglichkeiten schlägt der BfDI unter anderem vor, dass ein Zugangstoken durch das Versichertenstammdatenmanagement (VSDM) ausgestellt werden kann. Dieser kann auch über das Internet verschickt werden – dies sei auch transportverschlüsselt möglich. Auch die Spezifikation "Einlösen ohne Anmeldung am E-Rezept-Fachdienst im E-RezeptFdV" der Gematik sieht das vor.

Eine "direkte Kommunikation zwischen VSDM-Dienst und dem E-Rezept-Fachdienst und die Zuordnung mittels einer Vorgangsnummer" sei eine denkbare Alternative. Hierfür wären zwar Änderungen am Apothekenverwaltungsdienst und dem E-Rezept-Fachdienst nötig, dies sei aber auch bei den anderen geplanten Methoden überfällig. Der BfDI begründet seine Entscheidung unter anderem damit, dass das Missbrauchsrisiko "vor dem Hintergrund eines zentralen E-Rezepte-Speichers für alle deutschen versicherten Personen sehr hoch" sei. Das Eintrittsrisiko schätzt er aufgrund von mehr als 18.000 Apotheken in Deutschland mit "unterschiedlich stark aufgestellter IT-Sicherheit" ebenfalls als sehr hoch ein. Zwar sieht er, dass der Gesetzgeber das geplante Krankenhauspflegeentlastungsgesetz um einen Bußgeldtatbestand beim Missbrauch der E-Rezept-Daten ergänzen will, allerdings schütze diese Regelung nicht präventiv. Die DSGVO sei auf Prävention ausgelegt.

Nachdem der Chaos Computer Club (CCC) unter anderem kritisiert hatte, dass die Daten in der VAU unverschlüsselt vorliegen, erwiderte Leyck Dieken, dass diese Sicherheitslücke in Kauf genommen wurde. Man habe sich ein Beispiel an anderen Ländern genommen. Die Daten seien "bewusst nicht Ende-zu-Ende verschlüsselt", da die Gematik das so wollte. Dadurch könnten auf die Daten erneut zugegriffen und Forschung betrieben werden: "Strukturierte Daten werden wir nie haben, wenn wir Ende-zu-Ende verschlüsseln."

Ursprünglich sollte dieser weitere Einlöseweg im November ermöglicht werden, wie die Kassenärztliche Vereinigung Westfalen-Lippe (KVWL) gefordert hat. Andernfalls wolle neben der Kassenärztlichen Vereinigung Schleswig-Holstein auch die KVWL mit angeblich 250 Praxen sich nicht mehr "aktiv" an der Einführung des E-Rezepts beteiligen.

(mack)