Praxen dürfen beim E-Rezept nicht unsichere Verfahren nutzen

Neben der Kassenärztlichen Vereinigung Westfalen-Lippe gehörte die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) bis vor Kurzem zu den beiden KVen, in deren Region das elektronische Rezept ab 1. September getestet werden sollte. Am gestrigen Montag gab nun die KVSH bekannt, dass sie alle weiteren Aktivitäten zunächst einstellen wird. Die Körperschaft des öffentlichen Rechts begründet das auf ihrer Website damit, dass der »digitale Weg, den datenlosen QR-Code des eRezeptes per Mail- oder SMS-Verfahren an Patienten oder gegebenenfalls Apotheken zu senden, seitens der Datenschutzbehörde Schleswig-Holstein untersagt worden ist«. Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, hatte bereits gegenüber der PZ erklärt, dass sie grundsätzliche Bedenken bei der E-Rezept-Weiterleitung via Mail, SMS oder Smartphone-App habe. Als Beispiele nannte sie das App-Angebot von Online-Apotheken und des Apotheken-Softwareherstellers Pharmatechnik – in solchen Anwendungen können die Patienten ihre E-Rezept-Codes via Foto an die Apotheken-Plattform beziehungsweise den Versender schicken.

Am heutigen Dienstag hat sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Hansens Dienststelle, in einem längeren Statement weiter dazu erklärt. Dem ULD ist es wichtig klarzustellen, dass man nicht das E-Rezept als solches hinterfrage. Man habe »das vom Bundesgesetzgeber vorgesehene Verfahren E-Rezept weder aus datenschutzrechtlichen Gründen beanstandet noch eine Untersagung für das E-Rezept ausgesprochen«, teilt die Behörde mit. Das Verfahren »E-Rezept« sei auf Bundesebene für ganz Deutschland spezifiziert worden. Es seien mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangten:

Zum einen stehe Nutzern mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte demnach die E-Rezept-App zur Verfügung. Zum anderen könne ein Ausdruck erfolgen. Dieser unterscheide sich vom bisherigen Verfahren – dem rosafarbenen Papier-Rezept – durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Da nicht allen Nutzern ein neueres Smartphone und eine kompatible Gesundheitskarte zur Verfügung stünden, sei ein flächendeckender Einsatz des E-Rezeptes zurzeit nicht möglich, führt das ULD weiter aus. Zur Erklärung: Die Datenschützer beziehen sich hier auf die stockende Einführung der Gematik-App, zu der die Patienten nur einen Zugang haben, wenn sie über ein NFC-fähiges Smartphone und eine NFC-fähige Gesundheitskarte verfügen – was nur in wenigen Fällen auch so ist.

Vor diesem Hintergrund habe sich die KVSH im Juli dieses Jahres mit der Anfrage an das ULD gewandt, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um Patienten von Vertragsärzten ausgestellte elektronische Verordnungen von Arzneimitteln auszuhändigen. Das ULD prüfte dies und kam zu folgendem Schluss: Wer im Besitz dieses Codes ist, könne damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehöre beispielsweise zur Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann. »Ein Schutz gegen Missbrauch – zum Beispiel eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auf deren Inhalte zuzugreifen – ist mit diesen Apps nicht vorgesehen«, stellt die Datenschutzbehörde klar.

Arztpraxen müssten aber dafür Sorge tragen, den Patienten ihre Verordnungen auf sicherem Wege auszuhändigen, sagt die Landesdatenschutzbeauftragte Hansen. Das gelte auch für die Übertragung des DataMatrix-Codes. »Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert werden«, betont Hansen. Bei der Beratung der KVSH habe das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt. Selbst wenn die Ärzte wegen der NFC-Problematik die Gematik-App nicht empfehlen und auch die Papierausdrucke der Codes nicht anbieten wollen, könnten sie laut ULD den Messenger-Dienst KIM oder einen digitalen Versand per Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung nutzen. Schon gegenüber der PZ hatte sich Hansen verwundert geäußert, dass die KVSH ausschließlich wegen der Bedenken zu dem Mail-Programm der Firma Medisoftware das gesamte Projekt abgebrochen hat.

Die KVSH ihrerseits stellt klar, dass es »zu keinem Zeitpunkt ein offenes Mailing sensibler Gesundheitsdaten durch schleswig-holsteinische Praxen gegeben« habe. Das sei eine von Medien aufgegriffene Falschbehauptung des Landesapothekerverbandes Schleswig-Holstein, gegen die sich die KVSH rechtliche Schritte vorbehalte, heißt es in einer Mitteilung. Per Mail übertragen wurde ausschließlich ein Code, der weder Patienten- noch Arzt- oder Medikamentendaten enthalte. Dieser Code sei ein Schlüssel, mit dem in Apotheken die Daten eines Rezepts erst sichtbar gemacht werden könnten, erläutert die KVSH.