E-Rezept-Token = sensible Patientendaten?

KVSH geht wegen eines Zeitungsberichts auf Apothekerverband los

Berlin - 23.08.2022, 17:50 Uhr

Besteht  bei einem unverschlüsselten Versand des DataMatrix-Codes ein Risiko für die betroffenen Personen? Darüber streitet man sich aktuell in Schleswig-Holstein.  (Foto: PHarmatechnik)

Besteht  bei einem unverschlüsselten Versand des DataMatrix-Codes ein Risiko für die betroffenen Personen? Darüber streitet man sich aktuell in Schleswig-Holstein.  (Foto: PHarmatechnik)


Ist der E-Rezept-Token mit sensiblen Patientendaten gleichzusetzen? So scheint es zumindest die Landesdatenschutzbeauftragte in Schleswig-Holstein zu sehen. Eine Zeitung veröffentlichte jetzt in einem Bericht ein Zitat von AVSH-Geschäftsführer Georg Zwenke, das in eine vergleichbare Richtung geht – nun kriselt es offenbar zwischen Kassenärzten und Apothekern im Norden.

Eigentlich untypisch norddeutsch, ist Schleswig-Holstein derzeit offenbar ein Pulverfass: Am vergangenen Montag hatte die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) ihren Rückzug aus dem am 1. September startenden Rollout des E-Rezepts bekannt gegeben. Grund ist, dass die Landesdatenschutzbeauftragte Marit Hansen den Versand des Tokens via E-Mail untersagt hat – offenbar war das im Norden ein beliebter Transportweg für den E-Rezept-Schlüssel gewesen.

Nun geht die KVSH auch auf den Apothekerverband los: Dessen Geschäftsführer Georg Zwenke wurde in einem Beitrag der „Lübecker Nachrichten“ (Dienstag) zum Thema mit den Worten zitiert: „Die E-Mail ist unverschlüsselt und es handelt sich um sensible Patientendaten.“ Die Kassenärzte sind erbost: „Dies ist eine Falschbehauptung, gegen die sich die KVSH rechtliche Schritte vorbehält“, schreiben sie in einer Pressemitteilung vom Dienstag.

Per Mail übertragen wurde demnach ausschließlich ein QR-Code, der weder Patienten- noch Arzt- oder Medikamentendaten enthält. „Dieser Code ist ein Schlüssel, mit dem in Apotheken die Daten eines Rezepts erst sichtbar gemacht werden können“, erläutert die KVSH.

Landesdatenschutzbehörde wertet Token wie Patientendaten

Dem widerspricht allerdings eine Mitteilung des Unabhängigen Landeszentrums für Datenschutz (ULD): Wie das ULD schreibt, sei die KV mit der Fragestellung an die Behörde herangetreten, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen.

„Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte“, informiert das ULD. „Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann.“

Kassenärzte teilen Einschätzung der Datenschützer nicht

Die KVSH hat für diese Sichtweise offenbar gar nichts übrig. Bei richtigem Umgang mit dem Code stelle das Verfahren „eine deutliche Erleichterung für Patienten dar, weil es Ihnen mehrfache Wege erspart“, unterstreicht sie. „Es muss aber eingestellt werden, weil ein kriminelles Hacking von Mails aus Smartphones von Patienten niemals absolut ausgeschlossen werden kann. Unbefugte könnten so an den Code gelangen und unter Nutzung frei zugänglicher Apotheken-Apps die vollständigen Daten sichtbar machen.“

Wie es nun zwischen Apothekerverband und Kassenärztlicher Vereinigung weitergeht, bleibt zunächst offen. Zwenke wollte sich auf Nachfrage nicht zu den Vorwürfen äußern. Eigentlich ist Schleswig-Holstein dafür bekannt, dass dort die heilberufliche Zusammenarbeit besonders gut klappt – erst Mitte August hatte der Geschäftsführer der Apothekerkammer, Felix-Alexander Litty, gegenüber der DAZ das konstruktive Miteinander mit den Kassenärzten bei der E-Rezept-Einführung gelobt.


Christina Müller, Apothekerin und Redakteurin, Deutsche Apotheker Zeitung (cm)
redaktion@daz.online


Diesen Artikel teilen:


3 Kommentare

Zuviel Gedanken

von ratatosk am 05.09.2022 um 15:40 Uhr

Hier wird zuviel Mühe auf Argumente gelegt - ja Genau so ist es gemeint ! Wir diskutieren echte Probleme rauf und runter - aber der Sinn des e-rezeptes war und ist die Befriedigung der Interessen der Versender, alles andere sind Nebelkerzen. Diese langangelegte Strategie wurde vor Jahren auch von der Politik eingeräumt, als man das e-rezept als unabdingbare Komponente für die Online Praxen bezeichnet hat. Im Digitalen spielt nur Größe und Kapital eine Rolle, leider glauben manche großen Apotheken tatsächlich, daß sie in dieser Liga irgendwas zu melden hätten. Nebengeschäfte durch Verweisungen gehören dann als Zusatz natürlich auch dazu.
Und daß die digitalen Daten sicher seien , glauben ja nur ahnungslose Politiker und Gematik etc. Die die es besser wissen, schweigen laut, werden ihre Gründe schon dafür geboten haben.

» Auf diesen Kommentar antworten | 0 Antworten

Wie bewertet das ULD den Ausdruck des E-Rezeptes?

von Egon Schmidt am 24.08.2022 um 8:49 Uhr

Das ist eine interessante Haltung des ULD. Die gleiche Argumentation kann man auch auf den Ausdruck des E-Rezeptes mit Datamatrix-Code anwenden, hier ist der Token ebenfalls ungeschützt vor dem Zugriff Dritter und beliebig kopierbar.

Und wie ist das eigentlich beim herkömmlichen Kassenrezept? Da stehen die Verordnungsdaten sogar im Klartext drauf - da war die Übermittlung bisher kein Problem.

» Auf diesen Kommentar antworten | 1 Antwort

AW: Wie bewertet das ULD den Ausdruck des E-

von Cornelius Zink am 25.08.2022 um 10:14 Uhr

Das würde ich so nicht sehen.

Es ist ein Unterschied, ob Daten per unverschlüsselter E-Mail durch das Netz gesendet werden oder ob ich eine analoge Kopie bzw. das Muster 16 in meine Tasche stecke.
Ja, die Daten stehen im Klartext auf einem Muster 16. Aber wer versendet ein Muster 16 per Post in einem Klarsichtumschlag von Deutschland nach z.B. Zypern und zurück?

Ob Apps zur Imageübermittlung eines Muster 16 verschlüsselt sind kann ich nicht sagen. Wenn nicht, dann besteht ganz klar ein datenschutzrechtliches Problem. Hat vielleicht bisher einfach niemanden interessiert. Eine Übermittlung per Fax ist m. E. auch für Muster 16 nicht zulässig.

Der große Unterschied: Kopiert man den Data-Matrix-Code, dann kann man die Verordnung einlösen. Besitze ich die Daten eines Muster 16 oder eine Kopie, dann geht das im Prinzip nicht.

Das Kommentieren ist aktuell nicht möglich.