Erste Vorgaben zur Weiterleitung von E-Rezept-Daten

Das E-Rezept wird viele Erleichterungen mit sich bringen. Mit der Anwendung, die laut Bundesgesundheitsminister Professor Karl Lauterbach (SPD) ab 1. Juli nun bundesweit auch via elektronischer Gesundheitskarte (EGK) verfügbar sein soll, soll es Patienten auch ermöglicht werden, ihre Verordnungsdaten etwa an Apotheken, Ärzte und Krankenkassen weiterzuleiten, beziehungsweise bestimmten Apps Zugriff auf die Verordnungsdaten zu gestatten. Wie dies datenschutzrechtlich sicher ablaufen soll, regelt nun ein Verordnungsentwurf aus dem Bundesgesundheitsministerium (BMG).

Mit besagter Vorgabe, der sogenannten E-Rezept-Fachdienst-Schnittstellen-Verordnung (EFSVO), unternimmt der Gesetzgeber den Spagat zwischen einerseits einem Maximum an Datenschutz-Garantie auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und andererseits dem Anspruch, die E-Rezept-Nutzung möglichst innovationsoffen zu gestalten, also auch Anbietern einen Zugriff zu ermöglichen, die sich künftig innerhalb der Telematik-Infrastruktur autorisieren werden, wie etwa weitere Hersteller von digitalen Gesundheitsanwendungen (DiGA).

Wichtigste Voraussetzung für die Anbindungsmöglichkeit eines Anbieters an die E-Rezept-Schnittstelle ist demnach dessen authentifizierte Einbindung in die Telematik-Infrastruktur (TI). Ebenso wichtig ist die Tatsache, dass der Patient jedem Zugriff auf seine Verordnungsdaten explizit zustimmen muss. »Bei den Anwendungen, die mit dieser Verordnung ermöglicht werden sollen, muss die versicherte Person im Mittelpunkt der Verwaltung der Daten im Zusammenhang mit ihren elektronischen Verordnungen stehen und stets die Kontrolle über ihre Daten behalten«, heißt es in dem Entwurf, der der PZ vorliegt. Besonders zu beachten sei dabei, dass es sich bei den meisten der dabei verarbeiteten Daten um besondere Kategorien personenbezogener Daten im Sinne des Artikel 9 der Verordnung (EU) 2016/679 DSGVO handele. Weiter heißt es: »Ziel sollte es aber sein, dass auch das Innovationspotenzial weiterer Anbieter für die Patientinnen und Patienten nutzbar gemacht werden kann, mit dem Ziel, die Versorgung für die Patientinnen und Patienten weiter zu verbessern und die Benutzerfreundlichkeit und das Vertrauen in das E-Rezept weiter zu steigern.«

Mit der Verordnung werde den Versicherten »die Möglichkeit zur freiwilligen Übermittlung ihrer Verordnungen an vertrauenswürdige Gruppen von Datenempfängern eingeräumt, nämlich an solche, die an die sichere Telematik-Infrastruktur angeschlossen und mit deren Mitteln authentifiziert sind. Die Datenhoheit verbleibt unter größter Transparenz bei den Versicherten«, heißt es im Entwurf.

Laut Verordnung dürfen im Einvernehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik je nach Anbieter ausschließlich ausgewählte Verordnungsdaten übermittelt werden, die je nach Datenempfänger differieren. Genaueres ist in einer Anlage geregelt. So haben etwa Hersteller von DIGA teils andere oder auch weniger Zugriffsrechte als etwa Krankenkassen oder Apotheken. Zum Beispiel das DMP-Kennzeichen (Disease-Management-Plan): Diese Daten dürfen nur die Krankenversicherungen übermittelt bekommen, Apotheken, Ärzte oder DIGA-Hersteller nicht. Die Adresse und das Geburtsdatum des Patienten wiederum darf nicht an DIGA-Hersteller gehen, alle anderen dürfen bei Einwilligung des Patienten diese Daten erhalten. Den Status Mehrfachverordnung dürfen alle übermittelt bekommen, die Arzneimittelkategorie ebenfalls, jedoch von den Daten zur Darreichungsform sind etwa die Kassen ausgeschlossen. Auch dürfen sie keine Infos darüber erhalten, ob eine Substitution erlaubt ist oder nicht.

Im Entwurf liest sich dieses Vorgehen so: »Die Gesellschaft für Telematik darf über die Schnittstellen der Dienste nach § 360 Absatz 1 des Fünften Buches Sozialgesetzbuch (E-Rezept-Fachdienst) aus den in Anlage 1 bezeichneten technischen Profilen und Datenfeldern der jeweiligen elektronischen Verordnung nur die dafür jeweils als zulässig übermittelbar genannten technischen Profile und Datenfelder an authentifizierte Berechtigte nach § 361a Absatz 1 des Fünften Buches Sozialgesetzbuch übermitteln« – die Einwilligung des jeweiligen Versicherten in die Übermittlung in der Anwendung vorausgesetzt.

Der Versicherte muss laut Verordnung aktiv einwilligen, ob und welche Daten übermittelt werden dürfen, unmittelbar nach erfolgter Übermittlung soll er eine Dokumentation dieser Daten einsehen können.

Eine Datenverarbeitung zu Werbezwecken ist explizit verboten: »Eine Verarbeitung von personenbezogenen Daten durch die Empfangsberechtigten zu Werbezwecken ist ausgeschlossen«, heißt es in § 2 der Verordnung.

Die ABDA hatte zuletzt auf ein eindeutiges Verbot der Weiterleitung von Verordnungsdaten an Drittanbieter außerhalb der TI gepocht. Die Standesvertretung der Apothekerinnen und Apotheker fürchtet, dass ansonsten trotz aller Regelungen ein Graumarkt mit Rezeptdaten entstehen könnte. Ein klares Verbot findet sich im Verordnungsentwurf zwar nicht. Er erlaubt aber im Umkehrschluss die Weiterleitung der Daten explizit nur an Gruppen innerhalb der TI, diese waren mit dem Krankenhauspflege-Entlastungsgesetz (KHPflEG) festgelegt worden.

An folgende Gruppen ist eine einwilligungsbasierte Übermittlung von Daten aus vertragsärztlichen elektronischen Verordnungen; Verordnungsermächtigung möglich (§ 361a SGB V):