Bundesdatenschutz: Keine weiteren Prüfungen am E-Rezept

Marit Hansen, die Landesdatenschützerin Schleswig-Holsteins, hat sich in der vergangenen Woche kritisch zu einigen Teilen des E-Rezept-Projekts in Schleswig-Holstein geäußert. Die Kassenärztliche Vereinigung (KV) des Landes war neben der KV Westfalen-Lippe die einzige KV, die das neue Verordnungssystem in einigen Praxen testen wollte. Doch Hansen hatte der KVSH auf Nachfrage mitgeteilt, dass sie die von der KVSH und dem Software-Anbieter Medisoftware angedachte E-Rezept-Weiterleitung via E-Mail kritisiert. Konkret hatte Hansen bemängelt, dass die Weiterleitung von Codes via Mail oder Smartphone-App grundsätzlich unsicher sei, weil diese in einigen Apps von Versandhändlern und Apotheken-Plattformen problemlos eingelesen und entschlüsselt werden könnten.

Automatisch stellt sich vor diesem Hintergrund die Frage, welche Auswirkungen die Einschätzungen Hansens auf den weiteren, bundesweiten Roll-out des E-Rezept-Systems haben. Ist nun auch das in Westfalen-Lippe geplante Projekt hinfällig? Was sagt der Bundesdatenschutz zu diesen Fragen? Die PZ hat sich diesbezüglich an den Landesdatenschutz Nordrhein-Westfalen und den Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, gewendet. In den Antworten zeigt sich, dass Hansen die Tragweite der Problematik offenbar frühzeitig erkannte und beide Behörden mit ins Boot holte.

Die NRW-Landesdatenschützer, die für die Überwachung des Pilotprojekts in Westfalen-Lippe zuständig sind, erklären gegenüber der PZ, dass es einen entsprechenden Austausch mit den Kollegen aus Schleswig-Holstein gab. Auch die KV Westfalen-Lippe sei an die Behörde herangetreten, um das am 1. September startende Pilotprojekt datenschutzrechtlich prüfen zu lassen. Die Landesdatenschützer haben laut einem Sprecher »den geplanten alternativen Übermittlungsweg des E-Rezepts per E-Mail« geprüft. Klar ist also: Auch in Westfalen-Lippe sollen die E-Rezept-Codes offenbar via E-Mail versendet werden. Die NRW-Landesdatenschützer erklärten gegenüber der PZ, dass man der KV klargestellt habe, dass ein unverschlüsselter Versand von E-Rezept-Daten ausgeschlossen werden müsse. Der Sprecher wörtlich: »Der Versand von E-Mail-Nachrichten, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, muss regelmäßig durch eine Ende-zu-Ende-Verschlüsselung geschützt sein.« Sollte es alternative Weiterleitungswege geben, dürften diese nicht hinter der Ende-zu-Ende-Verschlüsselung zurückbleiben.

Hansen hatte ihre Kritik am Vorgehen in Schleswig-Holstein mit Smartphone-Apps aus dem Apothekenmarkt erklärt. Sie hatte beschrieben, dass es in einigen Apps möglich sei, die Codes abzuscannen und anschließend die Rezept- und Versichertendaten einzusehen. In NRW hat man die Smartphone-Apps der Plattformen und Versender nicht in die Prüfung miteinbezogen, so der Sprecher.

Auch die Anfrage beim BfDI ergab, dass man mit dem Landesdatenschutz Schleswig-Holstein über das E-Rezept-System gesprochen habe. Laut einem BfDI-Sprecher ging es dabei um die folgenden Themen:

- Die Auslegung von § 360 SGB V. Zur Erklärung: Dort ist in  Absatz 2 festgehalten, dass die Kassenärzte ab Januar dieses Jahres elektronisch verordnen müssen und dabei die Dienste der Telematik-Infrastruktur (TI) zu verwenden haben.

- Die Möglichkeiten zur »Authentisierung in der TI« für Patientinnen, Patienten, Leistungserbringende oder Verordnende.

- Vorgaben zum Umgang mit Verordnungen.

- Regelungen zur Herausgabe von abgerufenen Verordnungsdaten durch Leistungserbringende und

- Vorgaben für die (Weiter-)Verarbeitung von Verordnungsdaten, die Leistungserbringende aus der TI abgerufen haben.

Der BfDI-Sprecher stellte aber auch klar, dass er nach dem Austausch mit dem Landesdatenschutz Schleswig-Holsteins keine weiteren Prüfungen durchführe. Wörtlich hieß es: »Der BfDI unternimmt aktuell keine weiteren datenschutzrechtlichen Prüfungen zum Thema E-Rezept.« Einschränkend fügte der Sprecher aber hinzu, dass für den nicht-öffentlichen Bereich grundsätzlich die jeweiligen Landesbeauftragten für den Datenschutz zuständig seien. Daher könne der BfDI weder das Mail-Angebot in Schleswig-Holstein noch die Angebote der Plattformen und Versender kommentieren.

Offensichtlich ist aber auch, dass die Beratungen rund um das Thema Datenschutz bei der E-Rezept-Einführung in den kommenden Wochen und Monaten erst so richtig an Fahrt aufnehmen werden. Denn Bundesgesundheitsminister Professor Karl Lauterbach (SPD) hat erst am vergangenen Freitag mitgeteilt, dass er dafür sorgen wolle, dass E-Rezepte auch via E-Mail und SMS weitergeleitet werden können. Dafür liegen aber noch keine bundesweit einheitlichen, sicheren Verfahren vor. Der BfDI-Sprecher erklärte, man stehe grundsätzlich im Austausch mit der Gematik, äußerte sich aber nicht zum Inhalt dieser Gespräche.