Spezifikation zu Card Link ist da

Es dürfte nun recht schnell gehen. Nachdem heute die Gematik die Spezifikation für die Umsetzung eines weiteren Wegs zur E-Rezept-Einlösung veröffentlicht hat, können die Entwickler loslegen. Schätzungen zufolge könnten nach erfolgter Zulassung in acht bis zehn Wochen die ersten Apps vorliegen, mit denen Patienten über ihr NFC-fähiges Smartphone ein E-Rezept online einlösen können. Bislang ist eine Einlösung nur via Tokenausdruck, Einstecken der elektronischen Gesundheitskarte (EGK) oder per E-Rezept-App der Gematik möglich.

Wie in der Spezifikation beschrieben, soll mit dem Verfahren der Aufbau einer sicheren Verbindung von einer Smartphone-App zur TI möglich sein. »Der eHealth-Card-Link (eH-CL) verbindet sich nach innen mit einem Konnektor und nach außen mit einem Kartenlesegerät des Nutzers, der eine Karte anbinden möchte.« In beiden Richtungen komme das TLS-Protokoll (Transport Layer Security) zur Absicherung der Verbindung zum Einsatz – ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet – wobei unterschiedliche Vertrauensräume Anwendung fänden. Nach innen Richtung Konnektor werde der Vertrauensraum der Telematik-Infrastruktur (TI) genutzt. Nach außen Richtung Client des Nutzers werde der »Vertrauensraum Internet« verwendet, heißt es in der Gematik-Festlegung.

Da sich der eH-CL gegenüber dem Konnektor wie ein E-Health-Kartenterminal (eHKT) verhalte, sollen für Card Link alle Anforderungen bezüglich der TLS aus der Gematik-Spezifikation E-Health-Kartenterminal gelten. Diese Anforderungen werden entsprechend im Produkttypsteckbrief des eH-CL genannt. Des Weiteren sind genaue technische Vorgaben aufgeführt, die die Absicherung der Verbindung nach außen zum NFC-fähigen Smartphone (Client des Nutzers) garantieren sollen.

Das Card-Link-Verfahren war zuletzt gegen den Willen der anderen Gematik-Gesellschafter vom Bundesgesundheitsministerium (BMG) durchgeboxt worden. Das Ministerium hält im Gematik-Gremium eine 51-Prozent-Mehrheit. Vertreter von Apotheken, Ärzten, Kliniken und Kassen hatte einstimmig dagegen gestimmt. Sie befürchten ein großes Sicherheitsrisiko bei dem Verfahren. Aus ihrer Sicht müssten beim Card-Link-Verfahren dieselben Sicherheitsanforderungen erfüllt werden, wie bei jeder anderen TI-Anwendung auch. Dies ist aus ihrer Sicht aber nicht der Fall.

So betonte etwa der GKV-Spitzenverband gegenüber der PZ, es sei »nicht angemessen«, dass es für die Apps in diesem Bereich kein gesondertes Zulassungsverfahren geben soll. Hier könne jeder Apps entwickeln und niemand prüfe, was die Apps dann mit den Daten machen. Es könne nicht sein, dass alles in der TI hochsicher und zugelassen sein müsse, hier aber nun der freie Markt ohne Überprüfung einfach eine App anbieten dürfe.

Die ABDA warnt ebenfalls ausdrücklich vor diesem Verfahren. Es bringe für die Patientinnen und Patienten »erhebliche Sicherheitsrisiken« mit sich, so ABDA-Präsidentin Gabriele Regina Overwiening. Der Deutsche Apothekerverband (DAV) und die anderen Gesellschafter mit Ausnahme des BMG hätten in den Gremien der Gematik mehrfach auf die Unsicherheiten bei Card Link hingewiesen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe Bedenken angemeldet, so Overwiening im Nachgang zum Gematik-Beschluss vergangene Woche.

Das nun bald zur Verfügung stehende Verfahren wurde auf Druck der Versandapotheken etabliert. Sie sahen sich bei der E-Rezept-Einlösung via EGK und PIN-Eingabe außen vor. Und hatten dem Bund mit Klage gedroht, falls für sie kein adäquater Einlöseweg für das E-Rezept etabliert würde.

Die Gematik ihrerseits sieht den vierten Einlöseweg via Card Link als eine befristete »Übergangslösung«. Für zukünftige Anwendungen soll primär die Gesundheits-ID zum Einsatz kommen.