Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
E-Health

E-Rezept: Braut sich datenschutzrechtliches Unheil zusammen?

A&W Redaktion
Foto: utah51 - stock.adobe.com

Am 1. September sollte es losgehen: der große Feldversuch des E-Rezepts in Schleswig-Holstein und Westfalen-Lippe. Doch eine Woche vor dem Start kam es zum großen Knall: Die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen meldete datenschutzrechtliche Bedenken an. Daraufhin stellte die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) den geplanten Rollout ein. Doch was hat es damit genau auf sich?

Wie soll(te) das E-Rezept funktionieren?

Nach Darstellung der KVSH solle das E-Rezept über die Praxisverwaltungssoftware erstellt und über die Telematikinfrastruktur (TI) an die gematik weitergeleitet werden. Parallel würde dem Patienten ein QR-Code ohne die genauen Daten quasi als Schlüssel zugeschickt. Diesen Code könne dann die Apotheke scannen und so auf die Daten zugreifen.

Soweit so gut: Problematisch ist hier die Art der Übermittlung. Grundsätzlich sind für die Übermittlung nur die E-Rezept-App via TI oder ein Ausdruck des QR-Codes auf Papier vorgesehen.  Ob eine vermeintlich einfachere Übermittlung per E-Mail oder SMS datenschutzrechtlich zulässig ist, ist umstritten.

Aktuelle Probleme bei der Übermittlung des E-Rezepts über die TI

Momentan zählt das herkömmliche Verfahren über die TI als recht aufwendig und beansprucht einige zeitliche, personelle und materielle Ressourcen. So benötigt ein Patient für eine Übermittlung durch die TI eine neue Gesundheitskarte mit NFC-Technologie, eine 6-stellige PIN, ein NFC-fähiges Handy oder eine gesonderte Krankenkassen-App, für welche er sich erst persönlich in der Krankenkassengeschäftsstelle oder per Post-Ident-Verfahren authentifizieren müsste. Das schafft für den Patienten weitere Hürden. Nicht zuletzt, weil eine Video-Ident-Verifizierung nicht mehr möglich ist. Zudem ist die elektronische Patientenakte (ePA) und die KIM-Schnittstelle (Kommunikation im Medizinwesen) bei Ärzten und Apotheken noch nicht flächendeckend verbreitet. So besitzen in Schleswig-Holstein nur eine Handvoll Apotheken eine KIM-Adresse.  Aufgrund der komplexen technischen Voraussetzungen geht der Chaos Computer Club (https://www.zdf.de/nachrichten/politik/e-rezept-gesundheit-apotheke-100.html) davon aus, dass von 73 Millionen Versicherten gerade mal 500.000 das E-Rezept per App nutzen könnten.

Was spricht für eine QR-Code-Übermittlung per E-Mail oder SMS?

Aus den soeben dargestellten Problemen durch die „klassische“ TI-Übermittlung ergeben sich die Vorteile für die pragmatische Übermittlung per E-Mail oder SMS.

Würde man nun einfach den Code per E-Mail oder SMS versenden, so benötigte man nicht die aufgezählten technischen Verfahren, welche sowohl auf Patienten-, Ärzte- als auch Apothekenseite noch nicht ausreichend vorhanden sind. Zudem würde es den Registrierungsprozess stark vereinfachen und entbürokratisieren. Das könnte den flächendeckenden Ausbau des E-Rezepts deutlich vereinfachen, beschleunigen und zu mehr Akzeptanz unter den Versicherten führen.

Datenschutzprobleme beim Versand des QR-Codes per E-Mail oder SMS

Jedoch sah beispielsweise das Unabhängige Landeszentrums für Datenschutz (ULD) Schleswig-Holstein in dem datenlosen Transfer des QR-Codes eine Übermittlung von Gesundheitsdaten. Nach der Landesdatenschutzbeauftragten Marit Hansen müssten sich diese Daten mit dem Schutzniveau des Art. 32 EU-DSGVO messen lassen, was einer umfassenden Abwägung bedürfe. Danach lasse sich feststellen, dass sich der per E-Mail versendete Code mit frei verfügbaren Apotheken-Apps auslesen lassen könne und so gegebenenfalls unberechtigte Dritte Zugriff auf die Gesundheitsdaten haben könnten. Zudem wurde angemerkt, dass es auch keine Verpflichtung gebe, die Codes per E-Mail zuzuschicken – vielmehr sei eine gesicherte Übermittlung per Telematik vorgesehen.

Weiterhin könne auch ein Patient aufgrund einer objektiven Rechtspflicht zum Schutze der Gesundheitsdaten nicht in die mutmaßlich unsichere E-Mail- oder SMS-Übermittlung einwilligen.

Wie könnte man das Problem lösen?

Grundsätzlich präferieren viele Datenschützer eine gesicherte Übermittlung durch die TI, zum Beispiel über die E-Rezept-App oder durch den Versand des Codes durch den Arzt direkt an eine Apotheke via KIM.

Für eine datenschutzkonforme Übermittlung des Codes per E-Mail oder SMS ist eine gesicherte Ende-zu-Ende-Verschlüsselung oder ein getrenntes Verschicken eines Passworts auf sicherem Wege zur Entschlüsselung der E-Mail oder SMS oder dessen Anhangs denkbar.

Ausblick

Grundsätzlich sind die datenschutzrechtlichen Bedenken nachvollziehbar. Gleichwohl stimmt es einen nachdenklich, da so die gute Kernidee des E-Rezepts durch die hohen technischen und rechtlichen Hürden nicht so zur Geltung kommen kann, wie es angedacht war. So sollte das E-Rezept eigentlich (Zeit-)Aufwand für die Patienten reduzieren und die Flexibilität für Ärzte, Patienten und Apotheken erhöhen. Fraglich, ob diese Ziele dadurch effizient und zügig erreicht werden können.

Jedenfalls schaltete sich jüngst Bundesgesundheitsminister Karl Lauterbach in die Debatte ein und begrüßte die Übermittlung des E-Rezepts per E-Mail oder SMS und würde an einer datenschutzkonformen Lösung arbeiten. Trotz aller Bemühungen ist von einer guten Nutzbarkeit des E-Rezepts erst ab 2023 auszugehen.

Autor: Johannes T. Kayser