Sie sind hier: Home » Markt » Hintergrund

Codes des E-Rezept-Verfahrens sind zu schützen


Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich?
Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes



Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das "E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

Das Verfahren "E-Rezept" ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:

1. Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.

2. Alternativ kann ein Ausdruck erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Dieses vom Bundesgesetzgeber vorgesehene Verfahren "E-Rezept" hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet, noch wurde eine Untersagung für das E-Rezept ausgesprochen.

Da nicht allen Nutzenden ein neueres Smartphone und eine kompatible Gesundheitskarte zur Verfügung stehen, ist ein flächendeckender Einsatz zurzeit nicht möglich. Alternativ zum gesetzlich ausdifferenzierten Verfahren "E-Rezept" wird von einigen Leistungserbringern nun überlegt, wie ein anderes Verfahren umgesetzt werden könnte, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln zu verarbeiten.

Im Juli wandte sich in diesem Kontext die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen. Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.

Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann. Ein Schutz gegen Missbrauch – z. B. eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – ist bei diesen Apps nicht vorgesehen.

Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.

In der Beratung der KVSH hat das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems "Kommunikation im Medizinwesen" (KIM) oder ein digitaler Versand z. B. per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.

Die Landesbeauftragte für Datenschutz, Marit Hansen, begrüßt, dass sie vor dem Ausrollen des E-Rezepts im Beratungswege eingebunden wurde. Ihre Aussage ist aber klar: "Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten Systeme mit einem angemessenen Schutz einzusetzen."

Fragen und Antworten:
Hat das ULD das Verfahren "E-Rezept" geprüft? Ist es gescheitert?
Nein, das Verfahren "E-Rezept" gemäß der Spezifikation auf Bundesebene und auch die E-Rezept-App sind nicht vom ULD geprüft worden.

Hat das ULD das Verfahren "E-Rezept" in Schleswig-Holstein untersagt?
Nein.

Ändert sich beim Verfahren "E-Rezept" etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?
Nein, die Arztpraxen haben dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen ärztlicher Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. Ein Versand per Postkarte würde dem nicht genügen, E-Mail ohne weitere Absicherung (Stichwort: Ende-zu-Ende-Verschlüsselung) ebenfalls nicht.

Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?
Selbstverständlich. Hier geht es um den Schutz der Patientinnen und Patienten.

Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?
Nein, das ULD wendet insbesondere Art. 32 DSGVO an und bezieht auch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 zu der Frage ein, unter welchen Umständen im Ausnahmefall auf technische und organisatorische Maßnahmen verzichtet werden kann.

Gibt es rechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich?
Ja, das ULD hat auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: per E-Rezept-App, über das bundesweit nutzbare System "Kommunikation im Medizinwesen" (KIM) oder, wenn E-Mail zum Einsatz kommen sollte, mit zusätzlicher Verschlüsselung.

Dokumente:
Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) vom 22. August 2022:
https://www.kvsh.de/praxis/praxisfuehrung/newsletter/erezept-ausstieg-aus-dem-rollout
Schreiben des ULD vom 19. August 2022 an die KVSH mit dem Ergebnis der Beratung zur Übersendung im Verfahren "E-Rezept":
https://www.datenschutzzentrum.de/artikel/1413-eRezept.html

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen vom 24. November 2021:
https://uldsh.de/dsk-2111
(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein – ULD: ra)

eingetragen: 21.09.22
Newsletterlauf: 25.10.22

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hintergrund

  • Datenkontrolle im Zeitalter der KI

    Keepit veröffentlichte ihren Berichts "Intelligent Data Governance: Why taking control of your data is key for operational continuity and innovation" (Intelligente Data-Governance: Warum die Kontrolle über Ihre Daten entscheidend für betriebliche Kontinuität und Innovation ist). Der Bericht befasst sich mit der grundlegenden Bedeutung der Datenkontrolle im Zeitalter der KI, wobei der Schwerpunkt auf der Sicherstellung der Cyber-Resilienz und Compliance moderner Unternehmen liegt.

  • Vorbereitung wird zum Wettbewerbsfaktor

    Zwischen dem 14. und dem 28. April 2025 mussten Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) geraten damit viele IT-Dienstleister ohne unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck.

  • Investitionen in Photovoltaikprojekte

    Vor 25 Jahren schuf das Erneuerbare-Energie-Gesetz (EEG) die Grundlage für den erfolgreichen Ausbau der Photovoltaik in Deutschland. Feste Einspeisevergütungen, garantierte Laufzeiten und unbürokratische Abwicklung sorgten für Vertrauen - nicht nur bei Projektierern, sondern auch bei Banken und institutionellen Investoren. "Diese Planbarkeit ermöglichte umfangreiche Investitionen in Photovoltaikprojekte", weiß Thomas Schoy, Mitinhaber und Geschäftsführer der Unternehmensgruppe Privates Institut. "Die damals garantierten Erlöse deckten Finanzierungskosten, Betriebsausgaben und Risikozuschläge gleichermaßen zuverlässig ab."

  • Bayern verstärkt Kampf gegen Geldwäsche

    Allein in Deutschland ist nach Schätzungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Geldwäsche bis zu 100 Milliarden Euro im Jahr auszugehen. Bayern verstärkt im Kampf gegen Geldwäsche seine Strukturen erneut und erweitert die Kompetenzen der bei der Generalstaatsanwaltschaft München angesiedelten Zentral- und Koordinierungsstelle Vermögensabschöpfung (ZKV) auf Geldwäsche.

  • Von Steuerreform bis Deutschlandfonds

    Benjamin Bhatti, Geschäftsführer der bhatti.pro Steuerberatungsgesellschaft mbH, durchforstet die Wahlprogramme der möglichen Koalitionspartner und betrachtet ihre Steuervorhaben aus wirtschaftlicher und politischer Sicht.

KI: Die Zukunft im Rückspiegel Deutsche Kreditwirtschaft startklar

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen