Foto: tostphoto / AdobeStock

E-Rezept

Wer worauf zugreifen darf

Neue datenschutzrechtliche Fragen durch die Einführung des E-Rezepts

Mit der verpflichtenden Nutzung des elektronischen Rezepts für die Abgabe verschreibungspflichtiger Arzneimittel an GKV-Versicherte werden sich ab dem 1. Januar 2022 nicht nur so manche Abläufe in den Apotheken ändern, sondern es stellen sich auch neue datenschutzrecht­liche Fragen. | Von Timo Kieser und Svenja Buckstegge

Jede Einlösung und Abrechnung von Rezepten geht mit der Verarbeitung personenbezogener Daten in der Apotheke einher, weshalb datenschutzrechtliche Vorgaben zu beachten sind. So finden sich auf einem Muster-16-Rezept u. a. Angaben zu Name und Geburtsdatum des Patienten, seiner Krankenkasse, Versichertennummer und seinem Versicherungsstatus sowie den verordneten Arzneimitteln. Bei letzteren handelt es sich um Gesundheitsdaten, die besonders sensibel und daher im Datenschutzrecht besonders geschützt sind. Daneben finden sich auf dem Rezept personenbezogene Daten des ausstellenden Arztes. All diese Daten verarbeitet die Apotheke auch zukünftig bei der Einlösung eines E-Rezepts. Allerdings verändert sich die Art und Weise der Verarbeitung.

Der Weg der Daten beim E-Rezept

Stellt der Arzt dem Patienten ein E-Rezept aus, wird dieses auf dem E-Rezept-Fachdienst abgelegt [1]. Es handelt sich dabei um einen zentralen Server in der Telematikinfrastruktur (TI), auf dem das E-Rezept gespeichert wird. Zugriff auf das dort abgelegte E-Rezept kann nehmen, wer über den E-Rezept-Token verfügt. Diesen E-Rezept-Token kann der Arzt dem Patienten zum Beispiel in Form eines 2D-Codes auf einem Ausdruck zur Verfügung stellen. Mit diesem Ausdruck kann der Patient anschließend sein Rezept in der Apotheke vor Ort einreichen. Zur Einlösung scannt die Apotheke den 2D-Code ein.

Die Verwendung von Papierausdrucken soll jedoch nicht der Standardfall sein, sondern die elektronische Verwaltung des E-Rezepts über eine E-Rezept-App [2]. Der Gesetzgeber hat die gematik mit der Entwicklung einer entsprechenden E-Rezept-App beauftragt [3]. Mit der E-Rezept-App der gematik kann der Patient seinen 2D-Code auf seinem Smartphone in der Apotheke vor Ort vorzeigen und so sein E-Rezept einlösen. Er könnte außerdem vorab das Rezept einer Apotheke zuweisen und damit das verordnete Arzneimittel für die spätere Abholung reservieren. Zudem hat er die Möglichkeit, vorab die Verfügbarkeit des Arzneimittels in der Apotheke abzufragen.

Hat die Apotheke den 2D-Code mittels Scanner eingelesen oder den E-Rezept–Token elektronisch übermittelt be­kommen, kann sie das E-Rezept vom zentralen E-Rezept-Fachdienst laden [4]. Dies erfolgt mithilfe der sogenannten dezentralen Telematikinfrastruktur. Insbesondere benötigt die Apotheke einen Konnektor, ein Kartenterminal, eine Institutionskarte (SMC-B) sowie einen Heilberufsausweis, um E-Rezepte vom E-Rezept-Fachdienst zu laden sowie diese zu signieren. Dabei ist eine einfache Signatur ausreichend, wenn keine Änderung der Verschreibung erfolgt (§ 17 Abs. 6 ApBetrO). Im Falle einer Änderung der Verschreibung ist diese auf der Verschreibung zu vermerken und das Gesamtdokument mit einer qualifizierten elektronischen Signatur zu versehen (§ 17 Abs. 5 Satz 4 ApBetrO). Die weitere Bearbeitung des E-Rezepts, insbesondere die Übermittlung an ein Rechenzentrum und/oder die Krankenkasse erfolgt dann außerhalb der Telematikinfrastruktur.

Verantwortlichkeit für die Datenverarbeitung

Die wohl wichtigste datenschutzrechtliche Frage für Apo­theken in Zusammenhang mit der Verarbeitung personen­be­zogener Daten des E-Rezepts dürfte sein, für welche Datenverarbeitungen sie (allein) verantwortlich ist. Denn nur wenn die Apotheke ihre datenschutzrechtliche Verantwortlichkeit kennt, kann sie im Hinblick darauf auch ihre datenschutzrechtlichen Pflichten erfüllen. Gesetzgeber und die Datenschutzaufsicht sind sich in diesem Punkt allerdings wie so oft nicht ganz einig.

Klar ist, dass die Apotheke die alleinige datenschutzrechtliche Verantwortlichkeit trägt, sobald sich das E-Rezept nach dem Laden vom zentralen E-Rezept-Fachdienst außerhalb der zentralen und dezentralen Telematikinfrastruktur in den Systemen der Apotheke befindet für die dort von der Apotheke vorgenommenen Datenverarbeitungen, beispielsweise zur Abrechnung mit den gesetzlichen Krankenkassen. Die Apotheke hat diesbezüglich, wie auch schon bisher bei der Einlösung der Papierrezepte, die datenschutzrecht­lichen Vorgaben zu beachten, insbesondere für ein angemessenes Datenschutzniveau zu sorgen, die Patienten über die Datenverarbeitung zu informieren und auf den Grundsatz der Speicherbegrenzung zu achten. Klar ist auch, dass die Apotheke keine datenschutzrechtliche Verantwortung trägt für Verarbeitungsprozesse, auf die sie keinen Einfluss nimmt, etwa die Datenverarbeitung in der zentralen Zone der Telematikinfrastruktur.

Problematisch ist dagegen die Definition der datenschutzrechtlichen Verantwortlichkeit an der Stelle, an der sich Tätigkeiten der gematik und der Leistungserbringer überschneiden, namentlich an der dezentralen Zone der Telematikinfrastruktur. Die Datenverarbeitung ist an dieser Stelle einerseits geprägt durch die Vorgaben der gematik. Denn für den Zugriff beispielsweise auf den Fachdienst E-Rezept hat die Apotheke die Konnektoren und Kartenterminals nach den von der gematik vorgegebenen Konfigurationen und Spezifikationen zu verwenden. Andererseits hängt die Datenverarbeitung auch von der korrekten Anwendung dieser Bestandteile der dezentralen Infrastruktur durch die Apotheke ab [5]. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat diese Thematik schon vor einiger Zeit ­gesehen und ihre Auffassung in einem Beschluss vom 12. September 2019 geäußert. Darin haben die Aufsichtsbehörden die Auffassung vertreten, dass gematik und Leistungserbringer gemeinsam verantwortlich sind für die dezentrale Zone der Telematik­infrastruktur (Art. 26 DSGVO) und den Gesetzgeber aufgerufen, den Umfang der Verantwortung der gematik gesetzlich zu regeln [6].

Eine Regelung hat der Gesetzgeber mit dem Patienten-Datenschutz-Gesetz (PDSG) [7] daraufhin auch getroffen, allerdings nicht im Sinne der Datenschutzaufsichtsbehörden. Denn nach § 307 Absatz 1 Satz 1 SGB V sind grundsätzlich diejenigen, die die Komponenten der dezentralen Infrastruktur verwenden, also die Leistungserbringer, für die Verarbeitung der personenbezogenen Daten allein verantwortlich. Für die gematik besteht nach § 307 Absatz 5 SGB V nur eine Art Auffangverantwortlichkeit. Sie soll für die Verarbeitung personenbezogener Daten in der Telematik­infrastruktur verantwortlich sein, soweit sie über die Mittel der Datenverarbeitung mitbestimmt und keine Verantwortlichkeit einer anderen Stelle begründet ist. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht dies kritisch, wie er in seinem letzten Tätigkeitsbericht geäußert hat [8]. Es bleibt zudem nach der Regelung leider schwammig, wo genau die Grenze der Verantwortlichkeiten zwischen Leistungserbringern und gematik verläuft.

Für die Apotheken bedeutet dies derzeit jedenfalls, dass kein Vertrag über eine gemeinsame Verantwortlichkeit mit der gematik zu schließen ist. Es bedeutet aber auch, dass sie allein verantwortlich sind im Hinblick auf die Verarbeitung der personenbezogenen Daten über die dezentrale Infrastruktur. Insbesondere müssen sie die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten sicherstellen, wie auch durch das sich gerade im Gesetzgebungsverfahren befindliche Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) [9] klargestellt werden soll.

Datenschutz-Folgenabschätzung

Das DVPMG wird außerdem Regelungen zur Datenschutz-Folgenabschätzung enthalten. Die Datenschutz-Folgen­abschätzung ist ein Instrument, um vor der Verarbeitung personenbezogener Daten die damit einhergehenden Risiken zu bewerten. Sie ist immer dann durchzuführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen zur Folge haben kann (Art. 35 DSGVO). Solche Risiken können sich insbesondere auch aus der Verwendung neuer Technologien und/oder der umfangreichen Verarbeitung besonders sensibler Daten, wie Gesundheitsdaten, ergeben. Nach den Erwägungsgründen zur Datenschutz-Grundverordnung soll allerdings jedenfalls die übliche Verarbeitung personenbezogener Daten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs (bspw. Apotheker) nicht als umfangreiche Verarbeitung von Gesundheitsdaten gelten [10]. Es ist fraglich, ob sich das Risiko der Datenverarbeitung bei der Rezepteinlösung in Apotheken allein dadurch signifikant erhöht, dass die Rezeptdaten aus der Telematikinfrastruktur abgelesen und Verordnungen elektronisch signiert werden. Wie sich aus der Gesetzesbegründung zum DVPMG ergibt, hat auch der Gesetzgeber Zweifel, ob kleine Arztpraxen allein aufgrund der Verwendung der Komponenten der dezentralen Infrastruktur zur Vornahme einer Datenschutz-Folgen­abschätzung verpflichtet sind. Im Hinblick auf (kleinere) Apotheken dürfte insofern nichts anderes gelten. Vorsorglich sieht der Gesetzgeber dennoch im Entwurf zum DVPMG eine gesetzliche Datenschutz-Folgenabschätzung für die Leistungserbringer vor. Damit sollen die einzelnen Leistungserbringer entlastet werden. Sofern das DVPMG wie vorgesehen in Kraft tritt, müssten die Apotheken und anderen Leistungserbringer daher im Hinblick auf die Verwendung der Komponenten der dezentralen Telematikinfrastruktur für die Verarbeitung der E-Rezepte keine eigene Datenschutz-Folgenabschätzung durchführen.

Datenschutzbeauftragter

Eine weitere, damit in Zusammenhang stehende Problematik würde das DVPMG ebenfalls lösen. Nach den Vorgaben des Bundesdatenschutzgesetzes führt die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gleichzeitig zu der Pflicht, einen Datenschutzbeauftragten zu bestellen. Würde man davon ausgehen, dass jede Apotheke wegen der Verwendung der dezentralen Komponenten der Telematikinfrastruktur eine Datenschutz-Folgenabschätzung durchführen müsste, wäre daher auch jede Apotheke zur Bestellung eines Datenschutzbeauftragten verpflichtet. In dem Gesetzesentwurf zum DVPMG ist daher vorgesehen, dass allein aufgrund einer möglichen Verpflichtung, eine Datenschutz-Folgenabschätzung für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Telematikinfrastruktur durchzuführen, eine Pflicht zur Bestellung eines Datenschutzbeauftragten nicht entstehen soll.

Weitere datenschutzrechtliche Vorgaben

Im Übrigen gelten bei der Verarbeitung von personenbezogenen Daten im Rahmen der Einlösung von E-Rezepten die allgemeinen Anforderungen des Datenschutzrechts, die auch bei der Einlösung von Papierrezepten zu beachten sind. Insbesondere sind die Patienten über die Datenverarbeitung zu informieren. Hier werden ggfs. Ergänzungen in den Datenschutzinformationen der Apotheke notwendig werden, sofern neue Datenverarbeitungsvorgänge hinzukommen, beispielsweise zur Datenverarbeitung bei der Verfügbarkeitsanfrage. Weiterhin ist ein angemessenes Datenschutzniveau sicherzustellen und sofern Dritte eingebunden werden (bspw. IT-Dienstleister) sind die datenschutzrechtlichen Verantwortlichkeiten zu prüfen und mit ihnen ggfs. Auftragsverarbeitungsverträge zu schließen. Außerdem können Patienten ihre Betroffenenrechte gegenüber der Apotheke geltend machen (bspw. Auskunft über die Datenverarbeitung oder Datenlöschung verlangen). Da für die Patienten nicht leicht ersichtlich ist, wer bei Einlösung des E-Rezepts für welche Datenverarbeitung verantwortlich und insofern der passende Ansprechpartner ist, hat die gematik eine koordinierende Stelle einzurichten, die allgemeine Informationen zur Telematikinfrastruktur sowie Auskunft über die Verantwortlichkeiten erteilen soll (§ 307 Abs. 5 SGB V). Einzelfragen, wie weit die Pflicht zur Erfüllung der Betroffenenrechte reicht und wer für Fehler und Störungen der Komponenten der Telematikinfrastruktur verantwortlich ist, werden aufgrund der schwammigen Abgrenzung der datenschutzrechtlichen Verantwortlichkeiten jedoch vorerst verbleiben. |

 

Literatur

 [1] gematik: Systemspezifisches Konzept E-Rezept, Version 1.0.0. CC6 v. 30.04.2020, S. 8.

 [2] gematik: Systemspezifisches Konzept E-Rezept, Version 1.0.0. CC6 v. 30.04.2020, S. 8.

 [3] §§ 311 Absatz 1 Nr. 10, 360 Abs. 5 SGB V.

 [4] gematik: Systemspezifisches Konzept E-Rezept, Version 1.0.0. CC6 v. 30.04.2020, S. 9.

 [5] Vgl. BfDI, 28. Tätigkeitsbericht 2019, S. 27.

 [6] DSK, Beschluss vom 12.09.2019 zur datenschutzrechtlichen Verantwortlichkeit innerhalb der Telematik-Infrastruktur, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20190912_beschluss_zur_gematik.pdf.

 [7] Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur v. 14.10.2020, BGBl. 2020 I, S. 2115 ff.

 [8] BfDI, 29. Tätigkeitsbericht 2020, S. 36.

 [9] Entwurf eines Gesetzes zur digitalen Modernisierung von Versorgung und Pflege, BT-Drs. 19/27652.

[10] ErwG 91 DSGVO.

Autoren

Dr. Svenja Buckstegge, Studium in Jena und Dijon, Rechtsanwältin seit 2016, ­Oppenländer Rechtsanwälte Stuttgart

 

Dr. Timo Kieser, Studium an den Universitäten Mannheim und Amien, Rechtsanwalt seit 2000, Oppenländer Rechtsanwälte Stuttgart

Testen, testen, testen – Regulatorische Aspekte einer neuen Dienstleistung

Corona-Tests durch Apotheken sind wichtig und sinnvoll. Gleichwohl stellen sich dabei viele regulatorische Fragen. Nicht selten erweisen sich Gespräche zwischen Apotheken und Aufsichtsbehörden als schwierig. Nicht für jede Apotheke, die testen will, eröffnet sich hierfür ein Weg. Umso wichtiger ist es, die rechtlichen Rahmenbedingungen und Möglichkeiten rund ums Testen näher zu beleuchten: Wie sieht es aus mit der Raumbindung und Raumeinheit? Kann eine Apotheke auf dem Parkplatz vor der Apotheke, in separaten angemieteten Räumlichkeiten, in Schulen, Kindergärten, Altenheimen testen? Gibt es Anzeigepflichten? Welches Personal kommt zum Einsatz, was ist zu beachten? Wie sieht es versicherungs- und abrechnungstechnisch aus? Was sind die Dos and Don‘ts und wer ist eigentlich für was zuständig? Die Durchführung von Corona-Tests als pharmazeutische Dienstleistung ist dabei ein besonderer Probelauf für die generelle Erweiterung des - zu vergütenden - Katalogs pharmazeutischer Dienstleistungen, die durch das Vor-Ort-Apotheken-Stärkungs­gesetz (VOASG) Ende 2020 eingeführt worden sind.

Vortrag von Rechtsanwalt Dr. Timo Kieser auf dem ApothekenRechtTag online anlässlich der Interpharm online am Donnerstag, 6. Mai 2021, 11.45 bis 12.45 Uhr.

Jetzt anmelden unter www.interpharm.de

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.