Trotz Datenschutzproblemen: E-Rezept-Abruf via eGK nun doch möglich?
In Deutschland wird die ganz große Mehrheit der E-Rezepte derzeit ausgedruckt. Der eigentlich vorgesehene Weg über die Gematik-App wird kaum genutzt. Den meisten Versicherten fehlen die dafür notwendigen Zugangsvoraussetzungen – eine NFC-fähige Versichertenkarte (eGK) plus PIN.
Um den Zugang zu „echten“, also papierlosen E-Rezepten für mehr Patienten möglich zu machen, war geplant, den Abruf mittels eGK zu etablieren. Die Kassenärztliche Vereinigung in Westfalen-Lippe, wo derzeit das E-Rezept ausgerollt wird, hatte auf eine Umsetzung noch in diesem Jahr bestanden. Sonst würden sich die Praxen dort nicht mehr „aktiv“ an dem Projekt beteiligen, so die Drohung. Auch für Apotheken vor Ort wäre dieser Weg von Vorteil, weil Versender außen vor blieben. Eine entsprechende Spezifikation war auch von der Gematik schon erstellt worden. Im November sollte es losgehen. Die Softwarehäuser hatten bereits mit der Implementierung begonnen.
Doch sowohl der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) halten die von der Gematik vorgelegte Spezifikation für nicht datenschutzkonform. https://www.heise.de/news/Bundesdatenschuetzer-erteilt-drittem-Einloeseweg-ueber-E-Gesundheitskarte-Absage-7280467.html
Datenschützer sehen Versichertendaten nicht ausreichend geschützt
Ein wesentlicher Kritikpunkt des Datenschutzbeauftragten ist demnach, dass allein mit der Versichertennummer ohne weiteren Prüfnachweis, wie PIN oder Identitätsprüfung, auf Versichertendaten zugegriffen werden kann.
Konkret könnte die Apotheke dem vorliegenden Konzept zufolge alle Rezepte zu einer bekannten Krankenversichertennummer (KVNR) aus dem E-Rezept-Fachdienst herunterladen. Dazu muss die Apotheke zwar einen Nachweis mitliefern, dass die elektronische Gesundheitskarte zu dieser KVNR in ihrem Kartenleser steckt. Diesen Nachweis soll das Versichertenstammdatenmanagement (VSDM)-System der Telematik-Infrastruktur ausstellen. Doch dieser Nachweis sei nicht signiert und wäre somit ohne weiteres fälschbar, moniert Kelber. Somit könnten Angreifer mit einem Apotheken-Zugang zur TI (Apotheken-TI-ID) alle offenen E-Rezepte jeder Person, deren KVNR ihnen bekannt ist, abrufen.
Missbrauchsrisiko ist zu hoch
Die von der Gematik vorgeschlagene technische Lösung gefährde laut dem Bundesdatenschutzbeauftragten den für die bundesweite Nutzung zentralisiert ausgestalteten E-Rezept-Speicher. Daraus, dass dort sämtliche nicht eingelösten ärztlichen Verordnungen aller Versicherten zentral gespeichert sind, ergibt sich für ihn ein hohes Risiko des missbräuchlichen Zugriffs auf besonders sensitive Gesundheitsdaten. Den Missbrauchsanreiz erachtet Kelber vor dem Hintergrund eines zentralen E-Rezepte-Speichers für alle deutschen versicherten Personen sehr hoch. Das Eintrittsrisiko sei angesichts von über 18.000 Apotheken in Deutschland mit unterschiedlich stark aufgestellter IT-Sicherheit ebenfalls sehr hoch.
Dass im Krankenhauspflegeentlastungsgesetz ein Bußgeldtatbestand beim Missbrauch der E-Rezept-Daten ergänzt werden soll, beruhigt den Datenschützer offenbar nicht, weil dieser nicht präventiv wirke, die DSGVO aber auf Prävention ausgelegt sei.
Gematik will E-Rezept via eGK dennoch umsetzen
Die Hüter des Datenschutzes fordern daher Nachbesserungen und haben dabei auch ihre Unterstützung angeboten. Derzeit laufen Gespräche, um eine Lösung zu finden, die praktikabel, aber auch sicher ist. „Die Gematik hat auf das BfDI-Schreiben und die Vorschläge des BfDI reagiert und umgehend eine ‚Härtung‘ – also ein weiteres ‚Sicherheitsschloss‘ für die Spezifikation vorgeschlagen“, erläutert der Sprecher gegenüber dem Ärzteblatt. „Dazu stehen wir aktuell im engen fachlichen Austausch, insbesondere mit BfDI und BSI.“
Offenbar hofft die Gematik nun, dass die Datenschützer beide Augen zudrücken und das Verfahren zunächst dulden. Das erklärte Gematik-Chef Markus Leyck Dieken einem Bericht des Ärzteblatts zufolge vergangenen Donnerstag in Berlin. Eine Entscheidung des Bundesdatenschutzbeauftragten Ulrich Kelber werde innerhalb der kommenden sieben bis zehn Tage erwartet, heißt es. Mitte kommenden Jahres soll das neue Verfahren dann implementiert werden.