Pharmazeutische Zeitung online
Digitale Verordnungen

Gematik bestreitet Datenleck im E-Rezept-System

Ab 2022 werden alle Arzneimittel-Verordnungen in Deutschland digital abgewickelt. Die vom Bundesgesundheitsministerium kontrollierte Gematik erarbeitet dazu ein E-Rezept-System. Der Deutsche Apothekerverband beschwert sich nun darüber, dass rein theoretisch kritische Datenzugriffe auf die Verordnungen möglich wären. Die Gematik weist dies von sich.
Benjamin Rohrer
26.10.2020  15:00 Uhr

Die flächendeckende Einführung des E-Rezepts rückt näher: Mitte 2021 soll die Gematik die für das künftige E-Rezept-System benötigten Komponenten zur Verfügung stellen, unter anderem eine Handy-App zur Abwicklung der digitalen Verordnungen. Ab 2022 sollen Ärzte dann nur noch digital verordnen: Patienten erhalten dann einen QR-Code, mit dem sie die Apotheke ihrer Wahl dazu ermächtigen auf ihre Verordnung zuzugreifen. Dieser Code kann über die Gematik-App oder andere Anbieter in die Apotheken gelangen, er soll aber auch ausgedruckt werden können.

Damit es dazu kommen kann, hat die Gematik schon in diesem Jahr (Ende Juni) sogenannte Spezifikationen veröffentlicht, in denen gewissermaßen die Grundstruktur und die Spielregeln des künftigen E-Rezept-Systems beschrieben werden. Der Deutsche Apothekerverband ist der Meinung, dass diese Spezifikationen zumindest rein theoretisch und unter bestimmten Umständen Zugriffe auf die E-Rezept-Daten ermöglichen. Der IT-Experte des DAV, Sören Friedrich, hatte dies kürzlich bei einer Veranstaltung erklärt, in der Folge berichteten mehrere Medien darüber.

DAV: Datenverarbeitung ist möglich

Auf Nachfrage beim DAV erläuterte Friedrich gegenüber der PZ, dass die Apotheker – wie derzeit im Berliner E-Rezept-Modellprojekt praktiziert – auf eine Ende-zu-Ende-Verschlüsselung gesetzt hatten. »Das heißt, das E-Rezept wird erst bei dessen Einlösung durch den Patienten in der Apotheke entschlüsselt«, so Friedrich. Allerdings: »Die zum 30. Juni 2020 veröffentlichten Spezifikationen der Gematik sehen für das E-Rezept nun jedoch eine Verarbeitung von Informationen innerhalb einer vertrauenswürdigen Ausführungsumgebung vor, das ist ‚ein geschützter Raum‘ innerhalb der Telematik-Infrastruktur.«

Friedrich erklärt weiter, dass die Lösung der Gematik zwar »dasselbe Sicherheitsniveau einer Ende-zu-Ende-Verschlüsselung« haben solle. Allerdings bestehe über die vertrauenswürdige Ausführungsumgebung die Möglichkeit, innerhalb des gesetzliches Rahmens Daten zu verarbeiten. »Ob, wann und wie dazu ein rechtlicher Rahmen des Bundesgesundheitsministeriums geschaffen wird, bleibt abzuwarten«, so der IT-Experte des DAV. Aus Sicht des DAV werde es nun insbesondere auf die Bereitstellung der E-Rezept-App ankommen, schließlich würden dort weitere wichtige Parameter für das E-Rezept definiert, so Friedrich.

Gematik: Sicherheit auch ohne Ende-zu-Ende-Verschlüsselung

Die PZ hat bei der Gematik dazu nachgefragt. Die Sprecherin bestreitet nicht, dass man nicht auf eine Ende-zu-Ende-Verschlüsselung setze. Denn: »Die gesetzlichen Vorgaben fordern keine bestimmte Technologie.« Allerdings sei das von der Gematik entwickelte System »ebenfalls zu jeder Zeit verschlüsselt«. Wörtlich erklärt die Sprecherin: »Es ist während der Übertragung, Verarbeitung und Speicherung zu jeder Zeit vor unbefugtem Zugriff geschützt. Auch der Betreiber des E-Rezept-Dienstes oder die Gematik sind technisch vom Zugriff ausgeschlossen.«

Zur Erklärung: Die vom BMG kontrollierte Gesellschaft hat die Konstruktion und den Betrieb des E-Rezept-Fachdienstes ausgeschrieben und sucht derzeit nach passenden Bewerbern, die den E-Rezept-Server bauen können. Folgt man der Gematik-Sprecherin, können also weder die Gematik selbst noch der künftige Betreiber auf die Verordnungen zugreifen.

Die Gematik-Sprecherin erläutert weiter, dass die Datensicherheit neben der eingesetzten Verschlüsselungstechnologie durch die »Vertrauenswürdige Ausführungsumgebung« erreicht, die auch der DAV-Experte Friedrich beschrieben hatte. Im Gegensatz zu Friedrich bezeichnet die Gematik selbst die Ausführungsumgebung aber als »eine spezielle sichere Enklave, in der Verarbeitungsvorgänge selbst vor Zugriffen der Administratoren der Server verborgen bleiben«. Die Gesellschaft erinnerte gegenüber der PZ nochmals daran, dass inzwischen auch der Sourcecode des E-Rezepts im Internet veröffentlicht worden sei, so dass sich Daten- und Sicherheitsexperten die Konstruktion anschauen können.

Warum keine Ende-zu-Ende-Verschlüsselung?

Natürlich stellt sich allerdings die Frage: Warum hat die Gematik dann nicht die von den Apothekern präferierte Ende-zu-Ende-Verschlüsselung gewählt und eine andere Verschlüsselung gebaut? Will man sich einen Zugriff auf die Daten zu einem späteren Zeitpunkt offen halten? Die Sprecherin dazu: »Der E-Rezept Server soll z. B. in der Lage sein, technische Fehler im Rezept gleich bei der Speicherung zu erkennen und Arbeitsabläufe direkt zu unterstützen. Ebenso hat die gematik eine Lösung gewählt, die eine spätere Einlösung des Rezeptes im europäischen Ausland ermöglichen kann. Dennoch haben weder die gematik noch irgendjemand anderes Einblick in die Verarbeitungsvorgänge.«

Auch bei der Expopharm Impuls war das E-Rezept ein viel diskutiertes Thema. Gematik-Geschäftsführer Dr. Markus Leyck-Dieken äußerte sich beispielsweise zu den künftigen Plänen. Und die beiden Gematik-Fachexperten Hannes Neumann und Sabine von Schlippenbach gaben erste Einblicke in die E-Rezept-Anwendungen. Hier die Videos dazu:

Mehr von Avoxa