Bundesdatenschützer zum eGK-Problem: Wie ein Fahrrad ohne Bremsen

Das Veto des Bundesdatenschutzbeauftragten Ulrich Kelber gegen den „dritten Weg“ des E-Rezepts zieht Kreise. Nun hat auch die „Frankfurter Allgemeine Zeitung“ nachgehakt. Im Interview erklärt Kelber nochmals die aus seiner Sicht bestehende Sicherheitslücke im Gematik-Konzept für den Abruf via elektronischer Gesundheitskarte (eGK) ohne PIN: „Es muss sichergestellt sein, dass die Stelle, die ein Rezept anfordert, auch dazu berechtigt ist. Diese Verifikation wurde im Entwurf aber nicht signiert. Mit solch einer Signatur wird nachvollzogen, von wem die Information stammt und ob sie unverändert ist. Sonst könnte diese Information ausgetauscht werden“. 

Das bedeute: „Man brauchte nur die Krankenkassennummer von jemandem und kann dann von über 18.000 Stellen in Deutschland sehen, welche E-Rezepte diese Person derzeit noch nicht eingelöst hat, und auf die damit zusammenhängenden Krankheiten schließen“. Diese Sicherheitslücke, so Kelber, könne relativ leicht geschlossen werden. Dabei gehe es noch nicht einmal um erhöhte Sicherheitsanforderungen. „Das ist vergleichbar mit der Forderung, dass ein Fahrrad eine Bremse haben muss, bevor es für den Straßenverkehr zugelassen werden kann“.

Der Gematik habe man deshalb mitgeteilt, dass diese Umsetzung leider nicht gehe. „Aber wenn ihr die Lösung im Hintergrund anders absichert, könnt ihr sie benutzen – bei gleicher Bedienung für die Patienten, die Ärzte und Apotheken“.

Kein Einverständnis für unsicheres System 

Eine duldende Zwischenlösung kam für den Bundesdatenschutzbeauftragten nicht in Betracht: „Als Aufsichtsbehörde können wir kein Einverständnis geben, erst einmal sechs Monate lang ein unsicheres System zu nutzen, bis alle offenen Fragen geklärt sind. Wenn mir die kassenärztlichen Vereinigungen sagen, sie wollten jetzt erst einmal sechs Monate Fahrrad ohne Bremse fahren, rüsten die dann aber nach, sage ich Ihnen: Dann wartet sechs Monate, bis die Bremsen dran sind, und geht so lange zu Fuß zum Bäcker. Dann fahrt ihr auf dem Weg dahin auch niemanden über den Haufen“.

Saubere Lösung braucht Zeit

Das Problem mit der Digitalisierung in Deutschland sieht Kelber darin, dass diese einerseits zu langsam und oft nicht in der richtigen Reihenfolge erfolge. Auf der anderen Seite lasse man sich für eine saubere IT-Lösung oft zu wenig Zeit, weil politischer und medialer Druck ausgeübt werde. „Da wird die Nutzung der elektronischen Gesundheitskarte für das E-Rezept gefordert – und zwar sofort. Dann ist man nicht bereit, eine gewisse Zeit für Entwickeln, Testen und Ausrollen zuzugestehen“. Das Projekt sei „absolut sinnvoll“, betont Kelber. Aber die Kassenärztlichen Vereinigungen (KVen) müssten akzeptieren, dass eine saubere Umsetzung einige Monate brauche. „Hätte man das direkt in Angriff genommen, als die Idee geboren und zwischen kassenärztlichen Vereinigungen und Gematik im Juni diskutiert wurde, wäre man bis Ende des Jahres fertig geworden“, so der Bundesdatenschutzbeauftragte.

Kelber betont überdies, dass das E-Rezept bereits nutzbar ist. Mit der Gematik-App und über den Weg des ausgedruckten QR-Codes. Letzteres sei „natürlich nicht sonderlich digital und auf Dauer keine sinnvolle Lösung“. Ärzte können den QR-Code übrigens auch per verschlüsselter E-Mail zusenden. Das machten aber derzeit nur wenige.

Das Problem mit der App sei, dass das zuvor nötige Identifizierungsverfahren einigen Menschen zu umständlich sei. „Wenn wir endlich mit einer elektronischen Identität einen Weg hätten, sich im Internet auszuweisen, wäre auch das leichter“.