E-Rezept-Anwendung wird „Trusted App“

eRiXa: Erst kritisiert, dann zertifiziert

Stuttgart - 13.01.2021, 10:45 Uhr

Die E-Rezept-App eRiXa gilt nun als datenschutzrechtlich unbedenklich. (c / Foto: I Viewfinder /stock.adobe.com)

Die E-Rezept-App eRiXa gilt nun als datenschutzrechtlich unbedenklich. (c / Foto: I Viewfinder /stock.adobe.com)


Die E-Rezept-App „eRiXa“ hat den Auditprozess des Hannoveraner Unternehmens MediaTest digital durchlaufen und darf zukünftig das „Trusted App“-Siegel führen. Damit wird Nutzern signalisiert, dass Sicherheitsbedenken und Risiken im Hinblick auf den Datenschutz ausgeschlossen werden können. Ein Versprechen, das für „eRiXa“-Entwickler Stefan Odenbach eigentlich selbstverständlich ist. Doch erst im vergangenen November waren er und sein Produkt noch unfreiwillig – und aus heutiger Sicht offenbar unberechtigt – an den Pranger gestellt worden.

Die Vorkommnisse im November vergangenen Jahres erscheinen nicht nur für Stefan Odenbach selbst, sondern auch für Unbeteiligte äußerst merkwürdig: Odenbach, der mit seiner Firma PSO die E-Rezept-App „eRiXa“ entwickelt und anbietet, wird von einem Redakteur der Hannoveraner Tageszeitung „Neue Presse“ mit Testergebnissen konfrontiert, die der App Schwachstellen beim Datenschutz attestieren sollen. Der Artikel steht zu dem Zeitpunkt praktisch vor seiner Finalisierung – der Journalist will nur noch einige Statements übernehmen. Für Odenbach ergeben sich jedoch gleich mehrere Fragen: Seit wann interessiert sich die norddeutsche Lokalpresse für sein schwäbisches Unternehmen? Und vor allem: Weshalb liegen einer Zeitungsredaktion detaillierte Testergebnisse vor, die er bis dato selbst nicht kannte und die seiner E-Rezept-App „große Schwachstellen“ hinsichtlich des Datenschutzes nachweisen sollen? Nach wie vor ist ungeklärt, ob es sich hierbei um den gezielten Cyber-Angriff eines Mitbewerbers handelt oder um versuchte Rufschädigung. Denn fest steht: Solch ein Test gibt es nicht umsonst - fünfstellige Beträge sind für einmalige Aktionen in der Branche üblich. Doch zunächst muss Odenbach auf die Fragen des Pressevertreters antworten, der seine Story alsbald veröffentlichen möchte.

„eRiXa“ sei „eher abschreckend als Vorfreude erweckend“ – damit leitet der Zeitungsartikel ein, und mit diesem Vorwurf muss sich Odenbach damals auseinandersetzen. Vor allem geht es bei „eRiXa“ um Arzneimittelverordnungsdaten, die zwischen Ärzten und Patienten ausgetauscht werden. „eRiXa“ ermöglicht, dass Patienten ihre elektronischen Rezepte in Apotheken einlösen können – vor allem dann, wenn E-Rezepte im Laufe dieses Jahres flächendeckend eingeführt werden. Darüber hinaus bietet die App eine Chatfunktion an sowie den Transfer von Arztbriefen und Diagnosen. Insgesamt ist „eRiXa“ inzwischen so ausgereift, dass Patienten über die Plattform Ärzte kontaktieren und die Verordnungen anschließend direkt in eine Vor-Ort-Apotheke ihrer Wahl leiten können. Ermöglicht wird dies vor allem durch die seit Oktober bestehende Kooperation zwischen „eRiXa“ und apotheken.de, einem Tochterunternehmen des Deutschen Apothekerverlages.

Mehr zum Thema

Die App-Tester der Hannoveraner Firma MediaTest digital geben in ihrem Prüfbericht vom November jedoch an, dass sie beim Datenverkehr von Rezepten, E-Mails, Passwörtern, Namen und Metadaten mitlesen konnten. Ein zentraler Vorwurf aus dem Artikel, der sich inzwischen als falsch herausgestellt hat. Odenbach selbst liegen zum damaligen Zeitpunkt die Testergebnisse nicht vor, dafür zitiert ihm der Redakteur aus den entsprechenden Passagen. Die Datenschutzexperten halten es demnach für kritisch, dass „eRiXa“ den Microsoft Cloud-Dienst „Azure“ verwendet, weil der US-Konzern Microsoft angeblich Zugriff auf „einige Daten“ hätte. Gleichzeitig wird im Zeitungsartikel relativiert, dass sich das Rechenzentrum jedoch in der EU befinde, „wo der Datenschutz strikter als in den USA ist“. Tatsache ist jedoch, dass die eigentlichen Rezeptdaten auf Hochsicherheitsservern eines TÜV-zertifizierten Rechenzentrums bei Nürnberg liegen. Im Gespräch mit DAZ.online kündigt Odenbach zudem an, dass für das erste Quartal 2021 geplant ist, von "Azure" zum deutschen Rechenzentrum IONOS mit Standorten in Frankfurt und Berlin umzuziehen

MediaTest-Geschäftsführer Sebastian Wolters kommt im Zeitungsartikel zu Wort. Er moniert auch die fehlende Ende-zu-Ende-Verschlüsselung bei der App, obwohl ihm bekannt sein müsste, dass es die von Bundesgesundheitsminister Jens Spahn beauftragte Gematik war, die sich genau gegen diese Sicherheitstechnologie entschieden hat und stattdessen eine Punkt-zu-Punkt-Verschlüsselung bei der Übertragung von Rezeptdaten bevorzugt. Ein Umstand, der Odenbach dazu animierte, seine App auf Grundlage dieser Spezifikation weiterzuentwickeln.

Ein Missverständnis und kleine Nachbesserungen

App-Tester Wolters beanstandet im Bericht der „Neuen Presse“ schließlich noch einen Punkt, bei dem es sich aus heutiger Sicht um ein Missverständnis handeln muss: „Beim Senden von Rezeptdaten an eine Demo-Apotheke landeten die Daten in einem E-Mail-Postfach des Anbieters, was aus Datenschutzsicht ebenfalls höchst bedenklich ist“. Odenbach stellt gegenüber DAZ.online klar, dass damit nicht die E-Rezepte selbst gemeint waren, sondern die jeweiligen Benachrichtigungen, die der Apotheke signalisieren, dass neue E-Rezepte auf dem Server bereitliegen.

Einige Verbesserungsvorschläge der App-Tester aus Hannover von damals sind jedoch berechtigt und werden von Odenbach in der Folgezeit berücksichtigt. So wird die Datenschutzerklärung kritisiert, weil an einigen Stellen von „Arbeitszeugnissen“ die Rede gewesen sei. Ursächlich dafür ist eine Dokumentenvorlage, die ursprünglich nicht nur für „eRiXa“ vorgesehen war, sondern auch für andere Anwendungen aus Odenbachs Firma PSO. Im Zeitungsartikel kündigt der App-Entwickler an, die Bedenken an einen externen Datenschutzbeauftragten weiterzuleiten und im Detail zu analysieren. Für Odenbach steht fest, dass die im Labor gefundenen Schwachstellen keine schwerwiegenden Mängel seien, sondern „eher theoretisch und nur Kleinigkeiten“. Ein Telefongespräch mit MediaTest-Chef Sebastian Wolters, das er noch vor der Veröffentlichung des Artikels führen kann, führt zur Entscheidung, dass sie „diese Themen so bald wie möglich gemeinsam lösen“ und „eRiXa“ mit einem „Trusted App“-Siegel „by Appvisory“ zertifizieren. Die Entscheidung kündigt Odenbach auf seiner PSO-Website unter der Überschrift „Kooperation statt Konfrontation“ an.

eRiXa ist nun „Trusted App“

Rund einen Monat später, zum Jahreswechsel, sind alle Kritikpunkte behoben und der Auditprozess der App-Tester durchlaufen. „eRiXa“ ist nun eine „Trusted App“. Die Zertifizierung signalisiert den Nutzern, dass Sicherheitsbedenken und Risiken hinsichtlich des Datenschutzes ausgegrenzt werden können. MediaTest digital bewirbt das Siegel mit den Argumenten, dass es sich um ein „glaubwürdiges Sicherheitsversprechen“ handelt sowie ein „auffälliges Unterscheidungsmerkmal“ ist, das eine „Orientierungshilfe bei Kauf- bzw. Downloadentscheidung“ bieten kann. Darüber hinaus biete die „Trusted App“-Zertifizierung einen „Schutz vor Negativschlagzeilen“.

Stefan Odenbach sieht das Siegel für seine „eRiXa“-App weniger als ein notwendiges Aushängeschild. Für ihn ist es vielmehr eine Bestätigung für seine bisherige Arbeit und der verantwortungsvolle Umgang mit sensiblen Patientendaten, wie er gegenüber DAZ.online erklärt.



Dr. Armin Edalat, Apotheker, Chefredakteur DAZ
redaktion@deutsche-apotheker-zeitung.de


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.