Nach Ausstieg der KVSH aus dem E-Rezept-Rollout

Dürfen Apotheken E-Rezept-Token via E-Mail annehmen?

Berlin - 23.08.2022, 15:30 Uhr

Ärzte dürfen keine E-Rezept-Token per E-Mail an ihre Patienten schicken. Doch wie verhält es sich, wenn die Versicherten die Token auf diesem Weg an die Apotheken senden? (b/Foto: Schelbert)

Ärzte dürfen keine E-Rezept-Token per E-Mail an ihre Patienten schicken. Doch wie verhält es sich, wenn die Versicherten die Token auf diesem Weg an die Apotheken senden? (b/Foto: Schelbert)


Dass Ärzte in Schleswig-Holstein den E-Rezept-Token per E-Mail an ihre Patienten schicken, hat die Landesdatenschutzbeauftragte unterbunden. Doch wie verhält es sich, wenn der Versicherte einen Token per E-Mail an eine Apotheke schickt? Darf diese ihn annehmen? Und welche Konsequenzen hat die Entscheidung für Plattformen und Versender? Die Datenschützerin äußert sich dazu jetzt gegenüber der DAZ.

Es war ein Paukenschlag am gestrigen Montag: Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) steigt aus dem E-Rezept-Rollout im Norden aus. Vorausgegangen war diesem Schritt eine Entscheidung der Landesdatenschützerin Marit Hansen, dass der Versand des E-Rezept-Tokens in einer ungeschützten E-Mail nicht erlaubt ist. Dieser Übertragungsweg war offenbar bei Ärzten in Schleswig-Holstein sehr beliebt – nun ist Schluss damit.

„Damit ist der für Patienten praktikabelste Transportweg versperrt“, schreibt die KVSH in einer Pressemitteilung vom Montag. Der Arztsoftware-Hersteller medisoftware hat bereits darüber informiert, dass die Funktion kurzfristig deaktiviert werden wird. „Wir bedauern diese Entwicklung sehr, zumal dieser komfortable Übermittlungsweg zu den meistgenutzten in den Praxen gehört“, betont das Unternehmen, dessen Produkt nach eigenen Angaben etwa 1.200 Arztpraxen, MVZ und Krankenhäuser in Schleswig-Holstein, Hamburg und Mecklenburg-Vorpommern nutzen.

Datenschutzzentrum beanstandet nicht das E-Rezept an sich

Heute nimmt auch das zuständige „Unabhängige Landeszentrums für Datenschutz“ (ULD) Schleswig-Holstein Stellung zu der aktuellen Entwicklung. In einem Schreiben, das auf der ULD-Website zu finden ist, betont es, dass es keineswegs das E-Rezept oder einen der gesetzlich vorgesehenen Transportwege für den Token beanstandet habe. Bei der Überprüfung sei es lediglich um die Übertragung per E-Mail oder SMS gegangen – diese stuft das ULD als unsicheres Verfahren ein, da der Token mit Apps aus dem Apothekenumfeld, mit denen man online Medikamente bestellen kann, ausgelesen werden könne.

„Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen“, betont das ULD. Das hält es offenbar für nicht akzeptabel. „Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des Data-Matrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden.“

ULD zeigt Lösungen auf

In der Beratung der KVSH habe das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: „Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems ‚Kommunikation im Medizinwesen‘ (KIM) oder ein digitaler Versand zum Beispiel per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.“ Zudem bestehe nach wie vor die Möglichkeit, die Gematik-App für den Transport zu nutzen oder den Token dem Patienten als Ausdruck mitzugeben.

Doch was bedeutet diese Entwicklung für die Apotheken? Immerhin ist es durchaus denkbar, dass bei ihnen noch Versicherte versuchen, E-Rezepte einzulösen, deren Token sie via E-Mail oder SMS bekommen haben. Bereits gestern hatte die Redaktion bei Datenschützerin Hansen angefragt, ob Apotheken Token annehmen dürfen, die sie von den Patienten über einen dieser Wege erhalten.

DSGVO richtet sich an Arztpraxen

Hansen stellt jetzt gegenüber der DAZ klar, dass die Datenschutz-Grundverordnung (DSGVO) generell die Verantwortlichen trifft – das sind der Datenschützerin zufolge zunächst die Arztpraxen bei der Aushändigung der elektronischen Verordnung. „Die Patientinnen und Patienten können dann selbst entscheiden, wie sie dies an die Apotheken übergeben“, schreibt Hansen. Die Apotheke als Verantwortliche müsse dann bei der Verarbeitung auch auf die DSGVO-Konformität achten. Wenn der Data-Matrix-Code zum Beispiel zwischen Arztpraxis und Apotheke ausgetauscht wird, müsse dies Ende-zu-Ende-verschlüsselt erfolgen.

„Davon unabhängig ist die Frage, ob ein von Patientenseite der Apotheke aufgedrängter Data-Matrix-Code nicht angenommen werden dürfte“, unterstreicht die Informatikerin. „Dies läge meiner Meinung nach in der Verantwortung des Patienten und könnte dann auch von Apothekenseite bearbeitet werden. Hier wäre dennoch dafür Sorge zu tragen, dass die Codes nicht in falsche Hände kommen können (also anschließend aus dem System löschen, bei Papierausdrucken schreddern usw.) – das wäre wieder im Verantwortungsbereich der Apotheke.“

Token per Foto an Plattformen und Versender?

Und wie verhält es sich mit Angeboten der Versender und einiger Plattformbetreiber, bei denen die Versicherten den Token abfotografieren und hochladen können? Auch hier sieht Hansen grundsätzlich kein datenschutzrechtliches Problem. „Der Patient ist nicht Adressat des Datenschutzrechts (höchstens wenn er für andere Personen Risiken verursacht)“, antwortet sie auf entsprechende Nachfrage der Redaktion. „Er ist also nicht darin beschränkt, seinen eigenen Data-Matrix-Code bei einer Online-Apotheke hochzuladen. Die Online-Apotheken müssen ihre Angebote aber datenschutzkonform gestalten. Hier könnte es Restriktionen geben – je nach Gestaltung.“


Christina Müller, Apothekerin und Redakteurin, Deutsche Apotheker Zeitung (cm)
redaktion@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

E-Rezept-Token = sensible Patientendaten?

KVSH geht wegen eines Zeitungsberichts auf Apothekerverband los

Landesdatenschutz: „Kein Token-Versand per E-Mail“ / Kassenärzte sehen keine Alternative

E-Rezept-Roll-out ohne die KV Schleswig-Holstein

Welche datenschutzrechtlichen Veränderungen sich durch das E-Rezept ergeben

Geübte Praxis oder alles neu?

9 Kommentare

Fehlersuche

von J.M.L. am 24.08.2022 um 14:11 Uhr

Der halbwüchsige, internetaffine Kevin (Name frei erfunden) sitzt mit seiner ultra high-resolution 108.6 Megapixel Handykamera im Wartezimmer. Er knipst ein Foto just in dem Moment, als die Sprechstundenhilfe der noch NICHT im heiligen Gral der Silversurfer angekommenen Kreszentia Huber (Name frei erfunden) das papiergetragene eRezept aushändigt. Mittels Bildbearbeitungsfunktionen wie Rotationszoom und Crop Cutout ist der Code nun urplötzlich auch auf dem Smartphone des Kevin angekommen. Jetzt beginnt das berühmte Rennen 'Hase und Igel'. Während die liebe und nette Fr. Huber mit ihrer Hüftarthrose und dem papierenen eRezept in die Apotheke humpelt, hat der mit seinem blaugefärbten Haarschopf noch immer im Wartezimmer aus seine Krankmeldung wartende Kevin den Code bereits bei I-Swallow-Your-Pill-24 hochgeladen und eingelöst. Dank der Services im Bereich der letzten Meile hat er 'sein' Medikament bereits bei Rückkehr aus der Arztpraxis nach Hause geliefert bekommen, noch ehe Fr. Huber ihre Stammapotheke betritt. Dort erklärt Ihr der Apotheker sichtlich ratlos, dass der QR-Code nicht funktioniert, weil er offenbar schon eingelöst worden ist. Frau Huber beteuert unter Tränen, sie sei doch seit Jahrzehnten langjährige Stammkundin und würde NIE woanders das Rezept einlösen. Der Apotheker ist um Schadensbegrenzung bemüht und holt zum akuten Trost eine Umschau unter der Theke hervor. Genau in diesem Moment verkauft der blaugeschopfte Kevin im besten Fall das Medikament höchstbietend auf 'eBEI' und finanziert sich damit seine nächste 'Es-Bringt-Fernando'-Pizza... Alle Entscheidungsträger bitte Aufwachen, mal 5min. nachdenken und dann: Willkommen in 2022 !

» Auf diesen Kommentar antworten | 1 Antwort

AW: Fehlersuche

von Martin Straulino am 24.08.2022 um 16:20 Uhr

Ich danke Ihnen für ihren gelungenen Kommentar.
Es gibt ja sogar Menschen wie den Gesundheitsminister, die ihren "Corona-Impf-QR-Code" in die Kamera halten.
So einen "Paukenschlag" wie von der KV wünsche ich mir sehnlichst mal von der ABDA. Einfach mal nicht lächeln und erst mal sagen: NEIN - wir sind nicht (mehr) zu allen bereit!!

@armin heller

von Andreas Grünebaum am 23.08.2022 um 22:12 Uhr

es gibt keine an die Gematik angebundene Dritthersteller App und solche soll es auch in Zukunft nicht geben. An die Gemaitk sind ausschließlich die Leistungserbringer angeschlossen.

» Auf diesen Kommentar antworten | 1 Antwort

AW: @armin heller

von Armin Heller am 24.08.2022 um 12:15 Uhr

Wenn das so wäre, wie kommt der Datenschützer denn darauf, dass mit solchen Drittanbieter-Apps und NUR dem QR-Code die Klardaten vom Gematik-Server abgerufen werden können. Das war doch deren zentrales und einziges Argument.

Unwissen der Datenschutzbeauftragten über die Vorgänge?

von Andreas Grünebaum am 23.08.2022 um 18:50 Uhr

Ist das Ganze nicht eher ein sehr hypothetisches und unwahrscheinliches Risiko? Wer kann denn überhaupt irgendwelche Daten aus dem QR-Code auslesen? Daraus kann ein Unbedarfter noch nicht mal den Kaffeesatz mit einer App auslesen. Dazu müßte der Datenklauer zumindest selbst über die Gematik eingebunden sein. Ein Weiterverkauf z.B. an eine Apotheke zwecks Einlösung des Rezeptes wäre zwar prinzipiell möglich, aber eindeutig auf den mißbräuchlichen Nutzer zurückzuführen. Da nun auch noch der Patient ohnehin mit dem Code machen darf, was er will, wird die Situation zur Groteske. Dazu auch noch der Hinweis, in der Apotheke müsste dann die Email (sicher) gelöscht und der Code geschildert werden. Herr gib Hirn: wenn das Rezept eingelöst wurde, bekommt man beim Einscannen nur noch den Hinweis darauf aus der Warenwirtschaft, dass dieses Rezept schon eingelöst wurde. Da werden keine Daten mehr angezeigt und der Ausdruck dient bestenfalls als WC-Papier Ersatz. Die Rezeptdaten sind jedoch verständlicherweise wie bei den Muster 16 Rezepten zur Kontrolle und Abrechnung wie bisher in der Warenwirtschaft und beim Rechenzentrum gespeichert.
In der Zwischenzeit wandern bestimmt auch weiterhin Zigtausende von kopierten Muster 16 Rezepten über die Faxgeräte der Arztpraxen und Apotheken - völlig sicher, solange die MFA nicht die falsche Taste am Fax drückt!

» Auf diesen Kommentar antworten | 1 Antwort

AW: Unwissen der Datenschutzbeauftragten ü

von Armin Heller am 23.08.2022 um 20:37 Uhr

Was ich aus der Kritik der DSB herauslese ist: irgendjemand fischt in betrügerischer Absicht einen einen noch nicht eingelösten QR-Code aus dem Emailverkehr und liest deb dann in eine an die Gematik angebundene x-beliebige Drittanbieter App ein, die dann angeblich sofort alle Daten des Patienten im Klartext preisgibt. Wenn das so stimmt, ist das natürlich ein Fehler in der Schnittstellenarchitektur, die aber leicht behoben werden kann. Siehe mein Post unten.

E Rezept und kein Ende

von Matthias Lingen am 23.08.2022 um 16:38 Uhr

Also, wer das juristische Geschwafel noch versteht, herzlichen Glückwunsch!
Am besten das ganze Projekt einstampfen und vernünftig
neu entwickeln, und zwar so, dass es hieb und stich fest ist, wenn man es sartet.Aber so etwas geht in diesem Land sowieso nicht mehr, seitdem wir von der "Generation Doof" gelenkt werden.

» Auf diesen Kommentar antworten | 0 Antworten

Leicht zu behebendes Problem

von Armin Heller am 23.08.2022 um 15:51 Uhr

Der Knackpunkt ist doch offenbar: „Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen“
Das ist natürlich ein Geburtsfehler des Ganzen, kann aber ganz einfach dadurch abgestellt werden, dass die Gematik-Schnittstelle den Zugriff auf die Klardaten über den QR-Schlüssel nur erlaubt, wenn zusätzlich das zugehörige Geburtsdatum und der Nachname eingegeben werden oder in der Apotheken-App hinterlegt sind. Diese beiden Daten dürfen dann eben in der QR-Code Datei / Bild / PDF nicht standardmäßig mit übermittelt werden.

» Auf diesen Kommentar antworten | 1 Antwort

AW: Leicht zu behebendes Problem

von Andreas Grünebaum am 23.08.2022 um 18:55 Uhr

Unnötiger Aufwand: kein unberechtigter Dritter mit Ausnahme von über die Gematik angebundenen Leistungserbringern könnte mit dem Code irgendetwas auslesen. Falls die Praxis aus Versehen das Rezept in die falsche Apotheke sendet, so wäre das über eine sichere End-zu-End Verbindung oder über KIM das gleiche Problem.

Das Kommentieren ist aktuell nicht möglich.