Oberster Datenschützer klärt die häufigsten Fragen

Mit Beginn dieses Jahres wurde das altbekannte rosa Rezept durch das E-Rezept abgelöst. Arztpraxen dürfen nun verschreibungspflichtige Medikamente im Allgemeinen nur noch auf elektronischem Wege verordnen. Obwohl die Neuerung jahrelang angekündigt, erprobt und dazu kommuniziert wurde, wirft die Neuerung bei den Patientinnen und Patienten noch etliche Fragen auf. Viele Menschen sind anscheinend nach wie vor unsicher, was es mit dem E-Rezept auf sich hat und wie dies datenschutzrechtlich geregelt ist. Antworten auf die häufigsten Fragen gibt es jetzt von oberster Stelle in einem FAQ des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Die Bundesbehörde reagiert damit nach eigenen Angaben auf die Fülle an Nachfragen, die dort zur Einführung des E-Rezepts eingegangen sind.

Das E-Rezept, welches derzeit via elektronischer Gesundheitskarte (EGK), Gematik-App oder per Papierausdruck eingelöst werden kann, ist die erste medizinische Pflichtanwendung der Datenautobahn des deutschen Gesundheitswesens, der Telematik-Infrastruktur (TI).

• Wo werden meine E-Rezepte gespeichert? Die Rezepte werden in der Arztpraxis erstellt und von dort in ein deutschlandweit zentrales System (den sogenannten E-Rezept-Fachdienst) übertragen. Die Apotheken rufen die Rezeptdaten vom E-Rezept-Fachdienst ab. Die E-Rezepte sind nicht auf Ihrer elektronischen Gesundheitskarte (EGK) gespeichert.
• Wie kommt mein gespeichertes E-Rezept in die Apotheke? Die Apotheke Ihrer Wahl muss die Daten zum E-Rezepte erhalten, damit Ihnen das verordnete Medikament ausgehändigt werden kann. Es gibt drei Möglichkeiten, wie die Apotheke an die Daten gelangt:
  Melden Sie sich in der E-Rezept-App der Gematik an. Dort sehen Sie alle Ihre Rezepte auf dem E-Rezept-Speicher. Dann können Sie Ihre Apotheke auswählen und dieser ihr Rezept digital zuweisen. Stecken Sie in der Apotheke Ihre elektronische Gesundheitskarte in das Lesegerät. Ihre Apotheke erhält dadurch Zugriff auf alle Ihre E-Rezepte auf dem Speicher.
  Jedes E-Rezept hat Zugangsdaten in Form eines 2D-Codes ähnlich einem QR-Code. Der 2D-Code muss Ihnen auf Wunsch in der Arztpraxis auf Papier ausdruckt werden. Geben Sie ihn in der Apotheke ab.
  Falls Sie sich besonders schützen wollen, nutzen Sie die E-Rezept-App der Gematik. Dort melden Sie sich mit Ihrer elektronischen Gesundheitskarte an. So können Sie für jedes Rezept einzeln auswählen, welche Apotheke darauf zugreifen kann und so Einblick in Ihre Rezepte und die Zugangsprotokolle nimmt.
• Wer kann auf meine E-Rezepte zugreifen? Zugriff auf Ihre E-Rezepte haben nur die einstellenden ärztlichen Praxen, Sie selbst (beziehungsweise auch Ihre Vertreter) und die Apotheken, denen Sie Rezepte zuweisen. Prüfen Sie regelmäßig die Zugangsprotokolle über die E-Rezept-App für Handy oder Computer, falls Sie Missbrauch befürchten.
• Gibt es eine Forschungsfreigabe? Eine Freigabe für Forschungsinstitutionen, direkt Daten aus dem E-Rezept-Fachdienst zu beziehen, gibt es nicht. Forschungsinstitutionen können allerdings Zugriff auf E-Rezepte erhalten, wenn sie zukünftig in die elektronische Patientenakte übertragen werden.

• Kann ich mich auch gegen ein E-Rezept entscheiden? Gibt es noch Papierrezepte? Muss ich den digitalen Weg gehen? In ärztlichen Praxen müssen E-Rezepte ausgestellt werden. Eine Wahlmöglichkeit für Versicherte für ein klassisches Rezept gibt es nicht. Das ist auch nach europäischer Datenschutzgrundverordnung zulässig. Allerdings können Sie nach der jetzigen Regelung immer verlangen, dass der Zugangscode zum E-Rezept auf Papier ausgedruckt wird. Sie können den Ausdruck dann wie das bisherige Papierrezept zur Apotheke bringen und erhalten Ihre Medikamente, ohne ein Smartphone oder Stecken der Gesundheitskarte.
• Muss ich die E-Rezept-App nutzen? Nein. Da Sie das E-Rezept auch mit Ihrer elektronischen Gesundheitskarte oder einem Ausdruck mit Code einlösen können, müssen Sie die E-Rezept-App nicht benutzen. Um Einblick in die über Sie gespeicherten Daten zu erhalten, benötigen Sie allerdings die App für Smartphone oder Computer.
• Ich habe keine Einwilligung zu Datenverarbeitung abgegeben. Ist das E-Rezept damit unrechtmäßig? Für das E-Rezept gibt es in § 360 SGB V eine gesetzliche Grundlage, die das E-Rezept verpflichtend vorsieht. Da diese Verarbeitung also gesetzlich vorgeschrieben ist, ist eine zusätzliche Einwilligung durch die Versicherten nicht notwendig und auch nicht vorgesehen.
• Wie kann ich meine Betroffenenrechte ausüben? Für die Verantwortlichen gelten selbstverständlich grundsätzlich jeweils die üblichen Pflichten der Datenschutzgrundverordnung (DSGVO), insbesondere die Pflicht zur transparenten Information. Tatsächlich können für Anwendungen der Telematik-Infrastruktur aber einige Rechte der DSGVO eingeschränkt sein. Der Anbieter des E-Rezept-Fachdiensts könnte Ihnen daher den Auskunfts-, Korrektur- oder Löschanspruch in Bezug auf E-Rezept-Daten verweigern. Das ist auch durchaus sinnvoll. Beim E-Rezept-Fachdienst wird technisch verhindert, dass der Anbieter selbst Zugriff auf die E-Rezepte hat, um vor Missbrauch zu schützen. Da der Anbieter selber keine Informationen über Ihre E-Rezepte hat, kann er Ihnen auch keine Auskunft geben. Hier nun eine »Hintertür« einzubauen, könnte die Sicherheit des Systems heruntersetzen. Sie können allerdings mit einem sogenannten Frontend – etwa der der E-Rezept-App auf dem Smartphone – Einblick in alle Ihre gespeicherten E-Rezepte nehmen und dort auch Rezepte löschen.
• Der BfDI fordert, dass auch Menschen, die kein Frontend nutzen, die Möglichkeit haben sollten, Einsicht in Ihre E-Rezepte und Zugriffprotokolle zu nehmen.

• Wer ist datenschutzrechtlich verantwortlich für das E-Rezept? Hier gibt es verschiedene datenschutzrechtlich Verantwortliche. Für die Verarbeitung in der ärztlichen Praxis oder Apotheke (etwa Ausfüllen der Daten in das Praxisverwaltungssystem oder Anzeige im Apothekensystem) ist in der Regel die Leistungserbringerinstitution (also Arzt, Ärztin, die Apotheke) verantwortlich.
• Wer ist die zuständige Datenschutzaufsichtsbehörde für den E-Rezept-Fachdienst (zentraler E-Rezept-Speicher)? Für die IBM Deutschland und damit den E-Rezept-Fachdienst ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg die zuständige Datenschutzaufsichtsbehörde.

• Wieso werden die E-Rezepte zentral gespeichert? Ist das sinnvoll und sicher? Die gesetzliche Grundlage für die technische Infrastruktur des E-Rezepts legt leider wichtige Leitplanken nicht fest, so dass viele Fragestellungen nachgelagert in der technischen Konzeption entschieden wurden. Der BfDI hat in den Beratungen zur technischen Ausgestaltung für eine dezentrale Speicherung der Rezeptdaten und Ende-zu-Ende-Verschlüsselung plädiert. In der Abwägung – unter anderem mit dem Schutz vor Manipulation und Rezepthandel – hat sich bei den Verantwortlichen der Telematik-Infrastruktur jedoch die nun geltende zentrale Lösung durchgesetzt. 
  Die Ende-zu-Ende-Verschlüsselung erhöht im Wesentlichen die Vertraulichkeit, während dezentrale Systeme zusätzlich robuster gegen Ausfälle ausgestaltet werden können. Unter Abwägung aller Umstände können aber auch andere technische und organisatorische Maßnahmen gewählt werden, wenn nachgewiesen werden kann, dass damit die Datenschutzgrundsätze gewahrt bleiben. Durch die Wahl einer zentralen Datenhaltung muss jetzt mit technischen Maßnahmen ausgeschlossen werden, dass dem Anbieter des E-Rezept-Fachdiensts oder Dritten vertrauliche oder zur Profilbildung geeignete Daten zur Kenntnis gelangen können. Auch wenn der BfDI in den Beratungen für eine andere Lösung plädiert hat, liegen keine Erkenntnisse vor, dass die in den Anforderungen der Gematik formulierten Maßnahmen nicht wirksam sind.
• Kann der Anbieter des E-Rezept-Fachdiensts meine E-Rezepte lesen? Dem Anbieter des E-Rezept-Fachdiensts werden von der Gematik Vorgaben gemacht, die Profilbildung ausschließen sollen. Beispielsweise muss der Fachdienst die E-Rezepte in speziellen Ausführungsumgebungen verarbeiten, die sicherstellen, dass Mitarbeitende des Betreibers keinen Einblick haben können. Der Betreiber hat generell kein Zugriffsrecht auf die personenbezogenen Daten. E-Rezepte werden nicht dauerhaft auf dem Speicher vorgehalten, sondern nach Einlösung gelöscht. Die Datenhaltung in der Apotheke und in der ärztlichen Praxis ändert sich nicht.
• Dürfen meine E-Rezepte im Ausland verarbeitet werden? Gemäß Vorgaben der Gematik muss der Betrieb des Fachdiensts innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraum stattfinden. So sollte grundsätzlich sichergestellt sein, dass Daten nur im Geltungsbereich der DSGVO verarbeitet werden.
• Wie lange werden meine E-Rezepte gespeichert? Gemäß Spezifikation der Gematik werden E-Rezepte spätestens nach 100 Tagen gelöscht.
• Welche Verbindung gibt es zur elektronischen Patientenakte? Mit dem Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (DigiG) wurden neue Regelungen zur elektronischen Patientenakte (EPA) eingeführt. Ab 2025 erhalten alle Versicherten, die nicht aktiv widersprechen, eine EPA von ihrer Krankenkasse. Mit dieser wird der elektronische Medikationsprozess neu eingeführt. Bei diesem werden die E-Rezepte automatisch in die EPA überführt und dort dauerhaft vorgehalten. Auch diesem Teilprozess können Sie widersprechen.

Darüber hinaus informiert der oberste Datenschützer über seine Rolle beim E-Rezept. Der BfDI berate die Bundesregierung bei Gesetzesvorhaben zur Digitalisierung des Gesundheitswesens. Und er berate auch die Gematik bei der Erstellung der technischen Vorgaben (Spezifikationen) für die Telematik-Infrastruktur. Für die Gematik-App sei der BfDI zuständig, soweit personenbezogene Daten verarbeitet werden. Nicht zuständig sei die Behörde aber für die Verarbeitung der E-Rezepte im zentralen E-Rezept-Speicher, heißt es.

Auch die Rolle der Gematik wird klar umrissen. Diese trage die Gesamtverantwortung für die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen. Neben der Entwicklung und Bereitstellung der Rezept-App als Zugriffsmöglichkeit für Versicherten erarbeite sie auch die technischen Vorgaben für das E-Rezept. Auf Grundlage dieser Spezifikationen habe sie das technische Produkt, also den zentralen E-Rezept-Speicher (E-Rezept-Fachdienst) zugelassen, betreibe diesen aber nicht selbst. Anbieter und Betreiber des E-Rezept-Fachdiensts ist demnach die IBM Deutschland, das den Fachdienst nach Gematik-Vorgaben entwickelt hat.