- DAZ.online
- News
- Digitales
- Dürfen Apotheken E-...
Nach Ausstieg der KVSH aus dem E-Rezept-Rollout
Dürfen Apotheken E-Rezept-Token via E-Mail annehmen?
Dass Ärzte in Schleswig-Holstein den E-Rezept-Token per E-Mail an ihre Patienten schicken, hat die Landesdatenschutzbeauftragte unterbunden. Doch wie verhält es sich, wenn der Versicherte einen Token per E-Mail an eine Apotheke schickt? Darf diese ihn annehmen? Und welche Konsequenzen hat die Entscheidung für Plattformen und Versender? Die Datenschützerin äußert sich dazu jetzt gegenüber der DAZ.
Es war ein Paukenschlag am gestrigen Montag: Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) steigt aus dem E-Rezept-Rollout im Norden aus. Vorausgegangen war diesem Schritt eine Entscheidung der Landesdatenschützerin Marit Hansen, dass der Versand des E-Rezept-Tokens in einer ungeschützten E-Mail nicht erlaubt ist. Dieser Übertragungsweg war offenbar bei Ärzten in Schleswig-Holstein sehr beliebt – nun ist Schluss damit.
Mehr zum Thema
Kein Token-Versand per E-Mail
KV Schleswig-Holstein steigt aus E-Rezept-Rollout aus
KVSH steigt aus Rollout aus
Kein Versand des E-Rezept-Tokens via E-Mail – was bedeutet das für die Apotheken?
„Damit ist der für Patienten praktikabelste Transportweg versperrt“, schreibt die KVSH in einer Pressemitteilung vom Montag. Der Arztsoftware-Hersteller medisoftware hat bereits darüber informiert, dass die Funktion kurzfristig deaktiviert werden wird. „Wir bedauern diese Entwicklung sehr, zumal dieser komfortable Übermittlungsweg zu den meistgenutzten in den Praxen gehört“, betont das Unternehmen, dessen Produkt nach eigenen Angaben etwa 1.200 Arztpraxen, MVZ und Krankenhäuser in Schleswig-Holstein, Hamburg und Mecklenburg-Vorpommern nutzen.
Datenschutzzentrum beanstandet nicht das E-Rezept an sich
Heute nimmt auch das zuständige „Unabhängige Landeszentrums für Datenschutz“ (ULD) Schleswig-Holstein Stellung zu der aktuellen Entwicklung. In einem Schreiben, das auf der ULD-Website zu finden ist, betont es, dass es keineswegs das E-Rezept oder einen der gesetzlich vorgesehenen Transportwege für den Token beanstandet habe. Bei der Überprüfung sei es lediglich um die Übertragung per E-Mail oder SMS gegangen – diese stuft das ULD als unsicheres Verfahren ein, da der Token mit Apps aus dem Apothekenumfeld, mit denen man online Medikamente bestellen kann, ausgelesen werden könne.
„Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen“, betont das ULD. Das hält es offenbar für nicht akzeptabel. „Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des Data-Matrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden.“
ULD zeigt Lösungen auf
In der Beratung der KVSH habe das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: „Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems ‚Kommunikation im Medizinwesen‘ (KIM) oder ein digitaler Versand zum Beispiel per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.“ Zudem bestehe nach wie vor die Möglichkeit, die Gematik-App für den Transport zu nutzen oder den Token dem Patienten als Ausdruck mitzugeben.
Doch was bedeutet diese Entwicklung für die Apotheken? Immerhin ist es durchaus denkbar, dass bei ihnen noch Versicherte versuchen, E-Rezepte einzulösen, deren Token sie via E-Mail oder SMS bekommen haben. Bereits gestern hatte die Redaktion bei Datenschützerin Hansen angefragt, ob Apotheken Token annehmen dürfen, die sie von den Patienten über einen dieser Wege erhalten.
DSGVO richtet sich an Arztpraxen
Hansen stellt jetzt gegenüber der DAZ klar, dass die Datenschutz-Grundverordnung (DSGVO) generell die Verantwortlichen trifft – das sind der Datenschützerin zufolge zunächst die Arztpraxen bei der Aushändigung der elektronischen Verordnung. „Die Patientinnen und Patienten können dann selbst entscheiden, wie sie dies an die Apotheken übergeben“, schreibt Hansen. Die Apotheke als Verantwortliche müsse dann bei der Verarbeitung auch auf die DSGVO-Konformität achten. Wenn der Data-Matrix-Code zum Beispiel zwischen Arztpraxis und Apotheke ausgetauscht wird, müsse dies Ende-zu-Ende-verschlüsselt erfolgen.
„Davon unabhängig ist die Frage, ob ein von Patientenseite der Apotheke aufgedrängter Data-Matrix-Code nicht angenommen werden dürfte“, unterstreicht die Informatikerin. „Dies läge meiner Meinung nach in der Verantwortung des Patienten und könnte dann auch von Apothekenseite bearbeitet werden. Hier wäre dennoch dafür Sorge zu tragen, dass die Codes nicht in falsche Hände kommen können (also anschließend aus dem System löschen, bei Papierausdrucken schreddern usw.) – das wäre wieder im Verantwortungsbereich der Apotheke.“
Token per Foto an Plattformen und Versender?
Und wie verhält es sich mit Angeboten der Versender und einiger Plattformbetreiber, bei denen die Versicherten den Token abfotografieren und hochladen können? Auch hier sieht Hansen grundsätzlich kein datenschutzrechtliches Problem. „Der Patient ist nicht Adressat des Datenschutzrechts (höchstens wenn er für andere Personen Risiken verursacht)“, antwortet sie auf entsprechende Nachfrage der Redaktion. „Er ist also nicht darin beschränkt, seinen eigenen Data-Matrix-Code bei einer Online-Apotheke hochzuladen. Die Online-Apotheken müssen ihre Angebote aber datenschutzkonform gestalten. Hier könnte es Restriktionen geben – je nach Gestaltung.“
9 Kommentare
Fehlersuche
von J.M.L. am 24.08.2022 um 14:11 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Fehlersuche
von Martin Straulino am 24.08.2022 um 16:20 Uhr
@armin heller
von Andreas Grünebaum am 23.08.2022 um 22:12 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: @armin heller
von Armin Heller am 24.08.2022 um 12:15 Uhr
Unwissen der Datenschutzbeauftragten über die Vorgänge?
von Andreas Grünebaum am 23.08.2022 um 18:50 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Unwissen der Datenschutzbeauftragten ü
von Armin Heller am 23.08.2022 um 20:37 Uhr
E Rezept und kein Ende
von Matthias Lingen am 23.08.2022 um 16:38 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Leicht zu behebendes Problem
von Armin Heller am 23.08.2022 um 15:51 Uhr
» Auf diesen Kommentar antworten | 1 Antwort
AW: Leicht zu behebendes Problem
von Andreas Grünebaum am 23.08.2022 um 18:55 Uhr
Das Kommentieren ist aktuell nicht möglich.