Datenschutzrechtliche Bedenken: Dürfen Apotheken E-Rezepte per Mail annehmen?
Es war ein Paukenschlag am vergangenen Montag: Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) steigt aus dem E-Rezept-Rollout im Norden aus. Vorausgegangen war diesem Schritt eine Entscheidung der Landesdatenschützerin Marit Hansen, dass der Versand des E-Rezept-Tokens in einer ungeschützten E-Mail nicht erlaubt ist. Dieser Übertragungsweg war offenbar bei Ärzten in Schleswig-Holstein sehr beliebt – nun ist Schluss damit.
„Damit ist der für Patienten praktikabelste Transportweg versperrt“, schreibt die KVSH in einer Pressemitteilung vom Montag. Vom Transport des Tokens per Ausdruck ist man nicht überzeugt und digitale Wege seien kaum zu realisieren.
Zur Erinnerung: Wie lässt sich das E-Rezept digital übermitteln?
Theoretisch lassen sich E-Rezepte rein elektronisch übertragen: Der Arzt lädt die Verordnung in den Fachdienst hoch, der Patient erhält auf seinem Smartphone den sogenannten Token, den Schlüssel zum E-Rezept in Form eines DataMatrix-Codes. Diesen kann er einer Apotheke seiner Wahl elektronisch zuweisen oder die Apotheke scannt ihn vor Ort vom Smartphone des Kunden ab. Der Token berechtigt die Apotheke, die Verordnung aus dem Fachdienst abzurufen.
Dieser papierlose Prozess ist derzeit für die große Mehrheit in Deutschland allerdings nur eine theoretische Option. Denn dazu benötigt man die App der Gematik in Kombination mit einer NFC-fähigen Versichertenkarte sowie einer PIN. Die beiden letzteren Komponenten hat aber kaum jemand und das dürfte sich so schnell nicht ändern – dem Chipmangel sei Dank. /jb
Übersetzung der Token wohl mit gängigen Apps möglich
Wie das zuständige „Unabhängige Landeszentrum für Datenschutz“ (ULD) Schleswig-Holstein erklärt, wurde die Übertragung per E-Mail oder SMS als unsicheres Verfahren eingestuft, da der Token mit Apps aus dem Apothekenumfeld, mit denen man online Medikamente bestellen kann, ausgelesen werden könne.
„Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen“, betont das UDL. Das hält es offenbar für nicht akzeptabel. „Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden.“
Vorsicht beim Öffnen von E-Mail-Anhängen
Der Transport des Tokens via E-Mail kann für Apotheken ohnehin problematisch sein: Denn der Token befindet sich dabei als PDF im Anhang. Diese müssen Mitarbeitende erst öffnen, um die Bearbeitung zu ermöglichen. Wenn Kriminelle dieses Einfallstor ausnutzen, könnte so allerlei Schadsoftware auf die Apothekenrechner gelangen.
Mehrere Alternativen zur Übermittlung möglich
Zugleich nennt das UDL mögliche Alternativen: So könne für die Übermittlung beispielsweise das System „Kommunikation im Medizinwesen“ (KIM) oder eine E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung genutzt werden. Zudem bestehe nach wie vor die Möglichkeit, die Gematik-App für den Transport zu nutzen (s. o.) oder den Token dem Patienten als Ausdruck mitzugeben.
Doch was bedeutet diese Entwicklung für die Apotheken? Immerhin ist es denkbar, dass bei ihnen Versicherte versuchen, E-Rezepte einzulösen, deren Token sie via E-Mail oder SMS bekommen haben.
DSGVO richtet sich an Arztpraxen
Datenschützerin Hansen stellt klar, dass die Datenschutz-Grundverordnung (DSGVO) generell die Verantwortlichen trifft: das seien zunächst die Arztpraxen bei der Aushändigung der elektronischen Verordnung. „Die Patientinnen und Patienten können dann selbst entscheiden, wie sie dies an die Apotheken übergeben“, schreibt Hansen. Die Apotheke als Verantwortliche müsse dann bei der Verarbeitung auch auf die DSGVO-Konformität achten. Wenn der DataMatrix-Code zum Beispiel zwischen Arztpraxis und Apotheke ausgetauscht wird, müsse dies Ende-zu-Ende-verschlüsselt erfolgen.
„Davon unabhängig ist die Frage, ob ein von Patientenseite der Apotheke aufgedrängter DataMatrix-Code nicht angenommen werden dürfte“, unterstreicht die Informatikerin. „Dies läge meiner Meinung nach in der Verantwortung des Patienten und könnte dann auch von Apothekenseite bearbeitet werden. Hier wäre dennoch dafür Sorge zu tragen, dass die Codes nicht in falsche Hände kommen können (also anschließend aus dem System löschen, bei Papierausdrucken schreddern usw.) – das wäre wieder im Verantwortungsbereich der Apotheke.“
Token per Foto an Plattformen und Versender?
Und wie verhält es sich mit Angeboten der Versender und einiger Plattformbetreiber, bei denen die Versicherten den Token abfotografieren und hochladen können? Auch hier sieht Hansen grundsätzlich kein datenschutzrechtliches Problem. „Der Patient ist nicht Adressat des Datenschutzrechts (höchstens wenn er für andere Personen Risiken verursacht)“, antwortet sie auf entsprechende Nachfrage der Redaktion. „Er ist also nicht darin beschränkt, seinen eigenen DataMatrix-Code bei einer Online-Apotheke hochzuladen. Die Online-Apotheken müssen ihre Angebote aber datenschutzkonform gestalten. Hier könnte es Restriktionen geben – je nach Gestaltung.“