Geschäftsmodell Apotheken-Plattform vor dem Aus?

Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) hat am gestrigen Montag erklärt, dass sie alle weiteren Bemühungen rund um die E-Rezept-Testphase einstellen werde. Die Beteiligung der KVSH war wichtig für die gesamte E-Rezept-Einführung: Denn neben ihr hatte sich nur noch die KV Westfalen-Lippe bereit erklärt, das E-Rezept zu testen. Nun ist das Pilotprojekt also auf Westfalen-Lippe beschränkt – und auch dort stellt sich die Frage, ob überhaupt ernsthafte Tests stattfinden können. Die PZ hatte kürzlich berichtet, dass sich von rund 10.000 Kassenärzten bislang nur 150 bereit erklärt hatten, an dem Projekt teilzunehmen.

Zur Erinnerung: Die Gematik hatte in ihrer Gesellschafterversammlung – zu der auch die Kassenärzte gehören – beschlossen, dass in den beiden Pilotregionen bestimmte Qualitätskriterien erfüllt werden müssen, damit die Tests erfolgreich abgeschlossen werden können. Eines der Qualitätskriterien ist, dass in beiden Regionen während der Testphase mindestens 25 Prozent aller Arzneimittel-Verordnungen über das neue, digitale Verordnungssystem abgewickelt werden müssen. Nach dem Ausstieg der KVSH kann dies in Schleswig-Holstein sicherlich nicht mehr erreicht werden. Und auch in Westfalen-Lippe ist es nur schwer vorstellbar, dass die 150 teilnehmenden Praxen pro Monat rund 1,3 Millionen E-Rezepte ausstellen. (Im Quartal 1/2022 wurden in Westfalen-Lippe rund 16 Millionen E-Rezept-fähige Rezeptpositionen verordnet). Kurzum: Die Gematik und das Bundesgesundheitsministerium (BMG) müssen sich nun ernsthaft Gedanken machen, wie der bislang verfolgte Plan zur Einführung des E-Rezepts gerettet werden kann.

Aber es ist die Widerspruchsbegründung der Landesdatenschutzbeauftragten aus Schleswig-Holstein, Marit Hansen, die mit Blick auf die bisherige Konstruktion des E-Rezept-Systems noch viel größere Fragen aufwirft. Denn die Kritik der Datenexpertin bezieht sich nicht auf das grundsätzliche Konstrukt des gesetzlich vorgegebenen und von der Gematik aufgebauten Verordnungssystems. Vielmehr übt die Datenschutzbeauftragte Kritik an einem Programm, das eigentlich nur in der Pilotregion Schleswig-Holstein zur Anwendung kommen sollte – in seinen Grundzügen aber den Geschäftsmodellen aller großen Versandhändler und Apotheken-Plattformen ähnelt. Es geht um das Mail-Angebot des Praxissoftware-Herstellers Medisoftware, der insbesondere im nördlichsten Bundesland viele Arztpraxen als Kunden hat. Medisoftware hatte eine Weiterleitung des E-Rezept-Codes, mit denen die Patienten die Apotheke ihrer Wahl mit der Belieferung beauftragen, via E-Mail etabliert.

Gegenüber der PZ erklärt Medisoftware-Gründer Jan Meincke, wie das Programm funktionierte: »Wir hatten dazu unser Produkt als Alternative zum Ausdruck auf Papier mit einer tief integrierten Mail-Versand Funktion ausgestattet. Vor der Nutzung musste der Arzt patientenindividuell das Einverständnis dokumentieren, die Mailadresse und ein Verfallsdatum, nach dem die Mail nicht mehr genutzt werden darf, in der Software hinterlegen. Danach haben wir dann nur den 2D-Code in einem PDF als Anhang zur Mail an den Patienten oder die von ihm benannte Apotheke versendet. Weder der Name des absendenden Arztes noch Patientennamen etc. sind in der PDF enthalten. Der Mailversand erfolgt von einer nicht rückverfolgbaren Absenderadresse, sodass nicht herausbekommen werden kann, aus welcher Praxis die Mail stammt.«

Aus Sicht der Landesdatenschutzbeauftragten Marit Hansen ist aber genau dieses Übermittlungsverfahren nicht zulässig. Sie bemängelt, dass man Rezept- und Patientendaten nach dem Einlesen des E-Rezept-Codes in der App frei einsehen kann. In ihrem Schreiben an die KVSH, das der PZ vorliegt, erklärt Hansen ihre Bedenken mit dem Konzept von Smartphone-Apps aus dem Apothekenmarkt, bei denen genau diese Code-Weiterleitung praktiziert wird: »Dabei ist zu berücksichtigen, dass auf dem Markt frei erhältliche Apps aus dem Apothekenumfeld jeder Person, die befugt oder unbefugt im Besitz des jeweiligen QR-Codes ist, die Kenntnisnahme von in der Telematikinfrastruktur der Gematik enthaltenen Daten einer Verordnung zu verschreibungspflichtigen Arzneimitteln ermöglicht: Beim Einlesen von QR-Codes in solche Apps werden die Verordnungsdaten ermittelt und den App-Nutzenden angezeigt.«

Auf Nachfrage der PZ fügt Hansen hinzu, dass auch die Angebote bestimmter Online-Apotheken diese aus Ihrer Sicht unzulässige E-Rezept-Weiterleitung anbieten. »Wenn ohne weitere Berechtigungsprüfung jeder, der auf den QR-Code Zugriff hat, mit einfachen Mitteln wie kostenlosen Apps oder durch Nutzung von Online-Apotheken das vollständige E-Rezept sichtbar machen kann, kommt dies der Übermittlung von Gesundheitsdaten gleich.« Auf die Frage der PZ, welche Beispiele im Markt sie als unzulässig betrachte, wies Hansen auf das App-Angebot des Apotheken-Softwareherstellers Pharmatechnik hin, der in seiner Anwendung »Meine Apotheke« eine E-Rezept-Weiterleitung via App anbietet.

Aber Hansen übt grundsätzlich Kritik an der derzeitigen Praxis aller Plattformen und Versandhändler, die ihren Kunden für die E-Rezept-Codes die Foto-Funktion anbieten. »Hinzu kommt die Nutzungsmöglichkeit von Online-Apotheken, die ein E-Rezept-Scanning ohne Berechtigungsprüfung anbieten«, so die Landesdatenschutzbeauftragte wörtlich. Zur Erklärung: Weil über die E-Rezept-App der Gematik wegen des komplexen NFC-Zugangs nur sehr wenige E-Rezepte weitergeleitet werden konnten, hatten die Plattformen und Versender damit begonnen, ihren Kunden Foto-Anwendungen bereitzustellen, mit denen sie die Papierausdrucke der E-Rezept-Codes abfotografieren konnten, um diese an die Plattform beziehungsweise den Versender weiterzuleiten.

Für alle Betreiber von Apotheken-Plattformen und Versandhandel-Apps bleibt nach dem Statement der Landesdatenschutzbeauftragten die Frage, ob die von ihnen verfolgten Geschäftsmodelle überhaupt noch praktikabel sind. Denn erst vor wenigen Tagen hatten die Betreiber schon eine Niederlage in Sachen E-Rezept-Übermittlung kassiert: Das Bundesgesundheitsministerium hatte einen Gesetzentwurf veröffentlicht, in dem Institutionen im Gesundheitswesen festgelegt werden sollen, die über die Schnittstellen der Telematikinfrastruktur Verordnungsinformationen beziehen und verarbeiten dürfen – dazu sollen unter anderem Apotheken, Arztpraxen und Krankenkassen gehören – die Betreiber von Apotheken-Plattformen sind dort nicht aufgelistet. Sollte der Bundestag dies so beschließen, wäre die E-Rezept-Weiterleitung via Foto-Funktion vielleicht der letztmögliche Weg für die Plattformen. Nach dem Statement der Landesdatenschutzbeauftragten Hansen bröckelt nun aber auch diese Möglichkeit. Denn sollte sich diese Ansicht durchsetzen, wäre eine Weiterleitung von E-Rezept-Codes nur noch innerhalb der Telematikinfrastruktur möglich. Auch Jan Meincke, Inhaber von Medisoftware, schätzt die Lage so ein: »Nach unserer Interpretation der Stellungnahme (…) sind alle Wege außerhalb der Telematik für die QR-Codes letztlich unzulässig, weil sie a) nicht vom Gesetzgeber explizit erlaubt wurden und b) weil sie nicht dasselbe technische Sicherheitsniveau bezüglich Authentifizierung und Verschlüsselung aufweisen wie Anwendungen in der Telematik selber.«

Warum die KVSH nun ihre gesamte Beteiligung am E-Rezept-Start zurückzieht, ist allerdings mehr als fraglich. Schließlich bezieht sich die Kritik der Datenschutzexpertin lediglich auf eine E-Rezept-Weiterleitungsoption – das Mail-Programm des Anbieters Medisoftware. Auch Hansen selbst zeigt sich verwundert. Denn: »Die von der Gematik entwickelten Lösungen wie die E-Rezept-App und die Nachrichten im System Kommunikation im Medizinwesen (KIM) bieten die nötige Sicherheit. Das Argument der KVSH, dass diese Lösungen zurzeit nicht ausreichend verbreitet sind und deswegen nicht zum Einsatz kommen sollten, ist zweischneidig: Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten sicheren Systeme einzusetzen.« Klar ist aber: Sowohl die Gematik-App als auch die Rezept-Weiterleitung via KIM sind derzeit keine massentauglichen Alternativen. Denn für die Gematik-App gibt es weiterhin das sehr komplexe Anmeldeverfahren über die NFC-Technologie und der KIM-Messenger ist in Apotheken und Arztpraxen noch nicht ausreichend etabliert.

Auch ein Gematik-Sprecher wies auf Nachfrage der PZ darauf hin, dass es für den E-Rezept-Start auch in Schleswig-Holstein zulässige Wege zur Code-Übermittlung gebe. »Es gab und gibt die E-Rezept-App und den Ausdruck des E-Rezepts als Weg, ein E-Rezept einzulösen.« Dass die KVSH nun wegen des Scheiterns der Mail-Lösung von Medisoftware zurückzieht, stößt offenbar auch in der Gematik auf Verwunderung. Denn: »SMS oder E-Mail waren nie als sichere Einlösewege des E-Rezepts Bestandteil der Gematik-Spezifikationen, sondern eine individuelle, von nur sehr wenigen Herstellern angebotene Entwicklung der Software-Industrie. Die Gematik hat in der Vergangenheit bereits diesbezüglich auf Regulierungsbedarfe hingewiesen.« Der Sprecher wies zudem daraufhin, dass die Kassenzahnärztliche Vereinigung weiterhin für den E-Rezept-Start zur Verfügung stehe.

Der Landesapothekerverband Schleswig-Holstein zeigte auf Nachfrage Verständnis für die Bedenken der Landesdatenschutzbeauftragten: »Mit der Telematikinfrastruktur stellt der Gesetzgeber sichere Übermittlungswege zur Verfügung. Wenn diese sicheren Übermittlungswege aus Sicht der Ärzteschaft nicht praktikabel sind, kann die Alternative nicht die Verwendung unverschlüsselter und unsicherer Übermittlungswege sein, die erhebliche und nicht dem Stand der Technik entsprechende Risiken für den Gesundheitsdatenschutz unserer Kundinnen und Kunden und die Cybersichersicherheit der Apotheken bergen«, so der LAV-Sprecher. Der Sprecher erinnerte auch daran, dass ab dem kommenden Jahr mit der elektronischen Gesundheitskarte (EGK) ein weiterer sicherer Übermittlungsweg für das E-Rezept breitstehe. In jedem Fall gehe man davon aus, dass – wie von der Gematik gefordert – bis zum 1. September alle Apotheken E-Rezept-ready seien.