Sie sind hier: Home » Markt » Hintergrund

Codes des E-Rezept-Verfahrens sind zu schützen


Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich?
Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes




Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das "E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

Das Verfahren "E-Rezept" ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:

1. Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.

2. Alternativ kann ein Ausdruck erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Dieses vom Bundesgesetzgeber vorgesehene Verfahren "E-Rezept" hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet, noch wurde eine Untersagung für das E-Rezept ausgesprochen.

Da nicht allen Nutzenden ein neueres Smartphone und eine kompatible Gesundheitskarte zur Verfügung stehen, ist ein flächendeckender Einsatz zurzeit nicht möglich. Alternativ zum gesetzlich ausdifferenzierten Verfahren "E-Rezept" wird von einigen Leistungserbringern nun überlegt, wie ein anderes Verfahren umgesetzt werden könnte, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln zu verarbeiten.

Im Juli wandte sich in diesem Kontext die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen. Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.

Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann. Ein Schutz gegen Missbrauch – z. B. eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – ist bei diesen Apps nicht vorgesehen.

Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.

In der Beratung der KVSH hat das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems "Kommunikation im Medizinwesen" (KIM) oder ein digitaler Versand z. B. per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.

Die Landesbeauftragte für Datenschutz, Marit Hansen, begrüßt, dass sie vor dem Ausrollen des E-Rezepts im Beratungswege eingebunden wurde. Ihre Aussage ist aber klar: "Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten Systeme mit einem angemessenen Schutz einzusetzen."

Fragen und Antworten:
Hat das ULD das Verfahren "E-Rezept" geprüft? Ist es gescheitert?
Nein, das Verfahren "E-Rezept" gemäß der Spezifikation auf Bundesebene und auch die E-Rezept-App sind nicht vom ULD geprüft worden.

Hat das ULD das Verfahren "E-Rezept" in Schleswig-Holstein untersagt?
Nein.

Ändert sich beim Verfahren "E-Rezept" etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?
Nein, die Arztpraxen haben dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen ärztlicher Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. Ein Versand per Postkarte würde dem nicht genügen, E-Mail ohne weitere Absicherung (Stichwort: Ende-zu-Ende-Verschlüsselung) ebenfalls nicht.

Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?
Selbstverständlich. Hier geht es um den Schutz der Patientinnen und Patienten.

Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?
Nein, das ULD wendet insbesondere Art. 32 DSGVO an und bezieht auch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 zu der Frage ein, unter welchen Umständen im Ausnahmefall auf technische und organisatorische Maßnahmen verzichtet werden kann.

Gibt es rechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich?
Ja, das ULD hat auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: per E-Rezept-App, über das bundesweit nutzbare System "Kommunikation im Medizinwesen" (KIM) oder, wenn E-Mail zum Einsatz kommen sollte, mit zusätzlicher Verschlüsselung.

Dokumente:
Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) vom 22. August 2022:
https://www.kvsh.de/praxis/praxisfuehrung/newsletter/erezept-ausstieg-aus-dem-rollout
Schreiben des ULD vom 19. August 2022 an die KVSH mit dem Ergebnis der Beratung zur Übersendung im Verfahren "E-Rezept":
https://www.datenschutzzentrum.de/artikel/1413-eRezept.html

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen vom 24. November 2021:
https://uldsh.de/dsk-2111
(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein – ULD: ra)

eingetragen: 21.09.22
Newsletterlauf: 25.10.22

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Entwicklung der HR-Softwareindustrie

    Human Resources gilt heutzutage als Rückgrat eines jeden Unternehmens. Die Verwaltung von Mitarbeiterdaten, die Durchführung von Rekrutierungsprozessen und die Entwicklung von Talenten sind nur einige der vielfältigen Aufgaben, die die Personalabteilung täglich bewältigen.

  • Mittelstand im Regulierungskorsett

    Ziel des Data Acts ist es, einen Wettbewerbsmarkt für Daten zu schaffen und die Wettbewerbs- und Innovationsfähigkeit der EU zu stärken. Durch die Förderung eines fairen, transparenten und wettbewerbsfähigen digitalen Marktes adressiert er die Notwendigkeit einer verstärkten Datenmobilität und -nutzung.

  • Paragrafen 201b Strafgesetzbuch vorgeschlagen

    Das Bundeskabinett hat am 21. August 2024 zu einer bayerischen Initiative zum strafrechtlichen Schutz von Persönlichkeitsrechten vor Deepfakes Stellung genommen. Im Juli dieses Jahres hatte der Bundesrat den bayerischen Gesetzentwurf verabschiedet.

  • Bekämpfung neuer Kriminalitätsphänomene

    Seit 2015 ermittelt die Zentralstelle Cybercrime Bayern (ZCB) bei der Generalstaatsanwaltschaft Bamberg erfolgreich in herausgehobenen Verfahren im Bereich Cyberkriminalität. Die ZCB verfügt über zahlreiche nationale und internationale Kontakte. Durch die internationale Zusammenarbeit konnte erstmals ein Zwangsarbeiter einer Betrugsfabrik in Asien nach Bayern eingeflogen und durch die Staatsanwälte der ZCB vernommen werden.

  • EU-Finanzmarktintegration muss vorangehen

    Der Rat der Wirtschafts- und Finanzminister hat die Ausrichtung der EU-Gesetzesvorschläge zur Überarbeitung des Rahmens für Krisenmanagement und Einlagensicherung (CMDI-Review) verabschiedet. "Der Entwurf ist ein Schritt in die richtige Richtung und eine deutliche Verbesserung gegenüber den Vorschlägen der EU-Kommission", sagte Heiner Herkenhoff, Hauptgeschäftsführer des Bundesverbandes deutscher Banken.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen