Bundesdatenschützer will sichere Lösung bis Sommer 2023

Das E-Rezept muss einen Rückschlag nach dem anderen wegstecken. Zwar sind die Apotheken seit Anfang September grundsätzlich und bundesweit bereit fürs E-Rezept. Doch der Rollout in den (Zahn-)Arztpraxen in Westfalen-Lippe und Schleswig-Holstein läuft bescheiden. Die Kassenärztliche Vereinigung (KV) Schleswig-Holstein machte von Anfang an nicht mit, vergangene Woche ist auch die KV Westfalen-Lippe ausgestiegen. 

Der Grund für den Rollout-Stopp in Westfalen-Lippe sind datenschutzrechtliche Streitigkeiten um den E-Rezept-Abruf via elektronischer Gesundheitskarte (eGK), den sich Praxen wie Apotheken schnellstmöglich wünschen.

Doch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, bleibt dabei: Er erteilt der Feature-Spezifikationsvariante „Abruf der E-Rezepte in der Apotheke nach Autorisierung“ der Gematik nicht sein Einvernehmen. Schon im September hatten er und das Bundesamt für Sicherheit in der Informationstechnik (BSI) klargestellt, dass sie diese von der Gematik vorgelegte Spezifikation für nicht datenschutzkonform halten. Die geplante Schnittstelle sei nicht nach dem Stand der Technik abgesichert. Der wesentliche Kritikpunkt: So wie von der Gematik vorgesehen, könne allein mit der Versichertennummer ohne weiteren Prüfnachweis, wie PIN oder Identitätsprüfung, auf Versichertendaten zugegriffen werden. So könnten etwa Apotheken-Mitarbeiter:innen oder theoretisch sogar IT-Personal die auf dem Server gespeicherten E-Rezepte abrufen.

In einer Pressemitteilung erklärt Kelber, es sei „unverständlich“ ist, dass die KVen und der Apothekerverband „dieses Problem, das ihnen seit Monaten und damit länger als dem BfDI selbst bekannt ist, nicht wahrnehmen wollen und stattdessen schon Basisabsicherungen von IT-Lösungen als überzogen diffamieren“. Leidtragende seien die Patient:innen, die gerne das E-Rezept auf einem der bereits funktionierenden Wege nutzen möchten.

Kelber erwartet Lösung bis Sommer 2023

Falls es zu einem „Hack“ bei der von den Datenschützern nicht freigegebenen Umsetzungsvariante gekommen wäre, hätte das Vertrauen in das E-Rezept und andere Digitalisierungen des Gesundheitssystems enorm gelitten, so Kelber weiter. „Ich erwarte von allen Beteiligten, dass bis zum Sommer 2023 eine sichere Lösung für das Abholen von E-Rezepten durch Stecken der eGK zur Verfügung steht“. Die KVen sollten ihren Ausstieg aus dem Pilotprojekt überdenken und nicht angeblich überzogene IT-Sicherheits- und Datenschutzanforderungen vorschieben. Schließlich stünden alle Möglichkeiten der Einreichung von E-Rezepten, die auch zum Start des Pilotprojektes vorhanden waren, weiter uneingeschränkt zur Verfügung. Neue Funktionalitäten müssen aber Standardanforderungen an die IT-Sicherheit erfüllen und dürfen nicht dem unberechtigten Zugriff auf den gesamten Bestand der E-Rezepte Tür und Tor öffnen. Eine Umsetzungszeit von sechs Monaten sei dabei in der Softwareentwicklung durchaus üblich und notwendig. Unzureichend gesicherte Schnellschüsse könne der BfDI bei seinem gesetzlichen Auftrag nicht mittragen.

Der BfDI fordert außerdem, dass das Bundesministerium für Gesundheit und der Bundestag durchsetzen, dass vorhandene sichere und bequeme Authentisierungsmittel zum Standard werden. Dabei denkt er an eine PIN für die Gesundheitskarte oder den elektronischen Personalausweis: All dies sei überprüft und da – nur müssten die Krankenkassen endlich ihre Versicherten mit der PIN zur eGK versorgen.