CardLink nur mit deutschen Handynummern

Die technische Spezifikation für das CardLink-Verfahren wurde vergangene Woche von der Gematik veröffentlicht. Das Verfahren ermöglicht es, E-Rezepte ortsunabhängig mittels Versichertenkarte abzurufen, bislang ist das nur in der Apotheke vor Ort möglich. Ins Spiel gebracht wurde die Technik von den großen Arzneimittelversendern, die bei der Stecklösung in der Apotheke vor Ort außen vor sind. 

Das Smartphone des Versicherten fungiert dabei als mobiles Kartenlesegerät. Die Karte wird an das Handy gehalten, auf dem eine entsprechende App installiert ist. Diese verbindet sich über den eHealth-CardLink, der in einem Rechenzentrum betrieben wird, mit dem Konnektor einer Apotheke. Nach einem Abgleich der Versichertenstammdaten können dann E-Rezepte vom Fachdienst abgerufen werden. Der dahinterstehende technische Prozess entspricht ab diesem Punkt dem Abruf mittels Stecken der eGK in der Apotheke.   

eGK muss mit der Telefonnummer des Nutzers verknüpft werden 

Bevor der Datenabruf erfolgt, muss der Nutzer einen Code eingeben, der per SMS zugesandt wird. Der Code gilt jeweils 15 Minuten. Bei erstmaliger Verwendung einer eGK muss diese mit der Telefonnummer des Nutzers verknüpft werden. Laut Gematik handelt es sich dabei aber nicht um eine Zwei-Faktor-Authentifizierung, so wie es sie beispielsweise beim Online-Banking gibt, sondern das SMS-Code-Verfahren dient der Protokollierung der Zugriffe auf den eHealth-CardLink. Es soll das Entdeckungsrisiko missbräuchlicher Zugriffe erhöhen, weil immer nachvollziehbar ist, von welcher Handynummer der Zugriff erfolgt ist. Der Anbieter des eHealth-CardLink muss die vorhandenen Daten hinsichtlich möglicher Anomalien analysieren. Somit soll Missbrauch beim CardLink-Verfahren sogar besser nachvollziehbar sein, als bei der Stecklösung. Dort werden nämlich keine Hinweise und Daten zu der Person protokolliert, die die eGK vorlegt.   

Jede eGK nur mit einer Handynummer verknüpfbar 

Zudem kann jede eGK nur mit einer Handynummer verknüpft werden. Wird die Karte an ein Handy mit einer anderen Nummer als bisher gehalten, zum Beispiel weil sie entwendet wurde oder weil der Nutzer eine neue Nummer hat, wird der „Nutzer, mit dessen Telefonnummer die eGK bisher verknüpft war, über einen verfügbaren Kommunikationsweg informiert, dass die Verknüpfung mit der eGK aufgrund einer neuen Zuordnung aufgehoben wurde und dabei der Zeitpunkt der neuen Verknüpfung angegeben“, heißt es in der Spezifikation.   

Das CardLink-Verfahren nutzen kann allerdings nur, wer eine Handynummer eines deutschen Anbieters hat. Der Anbieter des eHealth-CardLinks muss sicherstellen, dass der SMS-Code ausschließlich an Telefonnummern von deutschen Anbietern versendet wird. Ob diese Regelung Bestand hat, wird sich zeigen.   

Bislang steht das Verfahren für die Patient*innen noch nicht nur zur Verfügung. Auf Basis der veröffentlichen Spezifikation müssen Betreiber und Hersteller ihr Produkte erst von der Gematik zertifizieren können, bevor sie in den Markt kommen. 

Die ABDA hatte vergangene Woche die Mitglieder des Gesundheitsausschusses des Bundestages aufgefordert, das Vorhaben zu stoppen. In einem Brief erläuterte Präsidentin Gabriel Regina Overwiening gegenüber den Parlamentariern, warum das Verfahren in den Augen der ABDA die Patientenversorgung verschlechtert.