Das transparente E-Rezept?

Die deutschlandweite Einführung des elektronischen Rezepts rückt näher. Am 1. Juli 2021 soll der Startschuss fallen, ab 2022 sollen Arzneimittel zulasten der GKV nur noch digital verordnet werden dürfen. Die Spezifikationen für die Gematik-App, die für den Transport des E-Rezepts nötig ist, liegen bereits seit Juni 2020 vor: Zunächst stellt der Arzt in seiner Praxissoftware ein E-Rezept aus und signiert es mithilfe seines elektronischen Heilberufsausweises (HBA). Per Gematik-App kann der Versicherte seine Verordnung in der Telematikinfrastruktur (TI) einsehen. Er hat dann die Möglichkeit, das Rezept zu löschen, direkt in einer Präsenzapotheke einzulösen oder über eine Weiterleiten-Funktion an eine Apotheke seiner Wahl zu übermitteln. Die Apotheke liest den 2D-Code aus und beliefert die Verordnung.

Auch die Juristen Dr. Elmar Mand und Professor Hilko Meyer machen in einer Analyse auf die bedrohliche Sicherheitslücke aufmerksam. So könnte ein Makelverbot für das E-Rezept leicht ausgehebelt werden. Dabei geht es um die Trennung zwischen E-Rezept und dessen Zugriffscode, dem E-Rezept-Token. Die gesetzlichen Sicherheitsregeln für die Speicherung und den Transport würden sich bisher nur auf das E-Rezept beziehen, aber nicht für den Token gelten, den der Patient außerhalb der TI nach Belieben weiterleiten könne. Die Gematik habe dazu erklärt: „E-Rezept-Token, die außerhalb der TI transportiert werden, können durch die TI nicht geschützt werden.“

Die problematische Sicherheitsarchitektur um das E-Rezept ist nun auch in der Berichterstattung einiger weiterer Medien angekommen. „Heise online“ weist direkt in der Einleitung eines entsprechenden Beitrags darauf hin: „Die Einführung des E-Rezepts ist für 2022 geplant, allerdings ohne Ende-zu-Ende-Verschlüsselung. Aufseiten der Telematik-Infrastruktur kann mitgelesen werden.“ Das Portal „Medical Tribune“ zitiert eine Aussage von ABDA-TI-Leiter Sören Friedrich im DAZ-Artikel. Die jetzige Rechtslage bezüglich des E-Rezeptes sehe vor, so Friedrich, dass die Rezeptdaten vor der Verschlüsselung innerhalb der TI gelesen werden könnten.

Eine Sprecherin des DAV bestätigt auf Anfrage des Nachrichtenportals, dass sich der DAV als Gesellschafter der Gematik für eine E-Rezept-Lösung eingesetzt habe, die eine Gesamtverschlüsselung des Rezeptes von der Arztpraxis bis zur Apotheke beinhaltet. Leider habe sich der Großteil der Gesellschafter gegen eine Umsetzung im Rahmen einer Ende-zu-Ende-Verschlüsselung ausgesprochen.

Wenn tatsächlich keine dezentrale Lösung des E-Rezeptes mit Ende-zu-Ende-Verschlüsselung mehr in Betracht kommt, könnte es verschiedene alternative Wege heraus aus dem Sicherheitsproblem geben: Laut Dr. Peter Froese müsste man den Export der Daten komplett verbieten oder einen digitalen und analogen Kopierschutz einführen. Ein solcher umfassender Kopierschutz würde dann auch bei ausgedruckten Barcodes funktionieren. Mit dieser Forderung sollten sich die Apotheker bei der Diskussion über noch anstehende Rechtsverordnungen und Gesetzesinitiativen positionieren. Denkbar wäre also, dass in das gestern bekannt gewordene Gesetzesvorhaben aus dem Bundesgesundheitsministerium noch weitere Details über das E-Rezept eingearbeitet werden könnten.

Die Juristen Mand und Meyer fordern, die tatsächliche Funktion des E-Rezept-Tokens rechtlich unbedingt zu berücksichtigen. Insbesondere müsse klargestellt werden, dass die Zuweisungs- und Makelverbote den Token einbeziehen.