Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!b
© Pavel Danilyuk, Pexels
Das E-Rezept und der Datenschutz: Ein schwieriges Verhältnis
Zuletzt aktualisiert: 16. Januar 2022
Neben der elektronischen Patientenakte kommt nun auch das elektronische Rezept (E-Rezept) und soll den pinken Zettel ablösen. Nach einem bereits holprigen Start – verschobene Fristen und abgebrochene Projekte – gibt es weiterhin Schwierigkeiten bei der Einführung.
Aus verschiedenen Ecken wurde das E-Rezept in Bezug auf Datenschutz und Sicherheit kritisiert. Die Folge: Geplante Pilotprojekte wurden gestoppt. Wie es nun weitergeht, ist unklar. Die Verantwortlichen halten aber an den gesetzten Zielen fest.
Doch welche Datenschutzbedenken gibt es? Wie sicher ist das E-Rezept? Und kommen Datenschutz und Digitalisierung am Ende doch noch zusammen?
Die Idee des E-Rezepts
Das E-Rezept soll Abläufe in medizinischen Praxen und Apotheken vereinfachen und durch die Digitalisierung des gedruckten Rezepts unnötige Gänge verhindern. Geregelt ist die Einführung des E-Rezepts durch das im Oktober 2020 in Kraft getretene „Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG)“.
Gesetzlich Versicherte können E-Rezepte mit der E-Rezept-App der gematik elektronisch empfangen und in einer Apotheke ihrer Wahl einlösen. Die E-Rezepte werden dabei ausschließlich digital erstellt und signiert und über die Telematikinfrastruktur im Gesundheitswesen übermittelt. Für die Nutzung der App benötigen Versicherte eine NFC-fähige elektronische Gesundheitskarte und ihren Versicherten-PIN. Alternativ können E-Rezepte auch ausgedruckt werden.
Neben dem simplen Einlösen von Rezepten kommen Medikationserinnerungen und Medikationspläne mit eingebautem Wechselwirkungscheck hinzu und machen die App so zu einem umfangreichen Tool. Vor allem bei Videosprechstunden ist das E-Rezept hilfreich. Folgerezepte können einfach über die App digital übermittelt werden – ohne Gang in die Praxis. 100 Tage nach der Einlösung des Rezepts wird dieses automatisch gelöscht. Zudem können Versicherte ihre E-Rezepte auch selbst löschen. Zudem gibt es eine Familienfunktion, mit der Versicherte ihre Rezepte, auf ausdrücklichen Wunsch hin, in die Rezepte-App von anderen Personen übermitteln können.
Bereits seit dem 1. September 2022 sind Apotheken in ganz Deutschland in der Lage, E-Rezepte einzulösen und mit den Krankenkassen abzurechnen. In Laufe des Jahres 2023 sollen E-Rezepte auch direkt unter Vorlage der elektronischen Gesundheitskarte einlösbar sein. Künftig soll auch eine Synchronisation mit der E-Patientenakte möglich sein.
Kritik: mangelnder Datenschutz und geringe Sicherheit
Gerade, wenn es um sensible Gesundheitsdaten geht, sollten diese besonders gut geschützt werden. Laut gematik, dem Anbieter der Telematikinfrastruktur, sind sowohl die App als auch die Erstellung und Übermittlung der E-Rezepte sicher und datenschutzkonform.
Der Chaos Computer Club (CCC) hat das auf den Prüfstand gestellt und bei Tests zeigte sich: „im Klartext gespeicherte medizinische Gesundheitsdaten, Verfügbarkeit und Datenschutz mangelhaft und beim Abruf des E-Rezepts nur ein Witz statt ordentlicher Sicherheit.“ So fürchtet der CCC, dass es bei einem Ausfall zentraler Dienste der Telematikinfrastruktur (zuletzt 2020) wochenlang unmöglich wäre, E-Rezepte einzulösen.
Zudem kritisiert der CCC die Verschlüsselung. Eine Ende-zu-Ende-Verschlüsselung – der Industriestandard – liege nicht vor. Stattdessen liegen medizinische Daten an zentraler Stelle im Klartext vor, da die Verarbeitung unverschlüsselt erfolge. Ob die Verarbeitung wirklich in einer vertrauenswürdigen Ausführungsumgebung erfolgt, wie die gematik verspricht, lasse sich als User:in nicht nachvollziehen. Nicht zuletzt sei dies eine veraltete Technologie, so der CCC.
Auch das Abrufen von E-Rezepten nur mit der elektronischen Gesundheitskarte kritisiert Luepke, ein Sicherheitsforscher des CCC. Hier fehlen Prüfungen im Backend. Der CCC fordert daher, eine Ende-zu-Ende-Verschlüsselung und einen individuellen Schlüssel, den Patient:innen für ihre Gesundheitsdaten selbst in die Hand bekommen.
Die gematik hat sich im Rahmen einer Stellungnahme zu den Kritikpunkten des CCC geäußert und versichert, dass an die Verfügbarkeit des E-Rezept sehr hohe Anforderungen gestellt werden. Diese seien darüber hinaus in mehreren Stresstests mit deutlich mehr E-Rezepten als täglich zu erwarten sind, bestätigt worden. Außerdem stehe bei Ausfällen das bisherige Papierformular weiterhin zur Verfügung.
Eine Ende-zu-Ende-Verschlüsselung lehnt die gematik allerdings ab und verweist auf die 19 anderen europäischen Länder mit E-Rezept, von denen keines eine Ende-zu-Ende-Verschlüsselung einsetze. Das E-Rezept solle vor allem auch praktikabel sein. Zudem betont die gematik die vertrauenswürdige Ausführungsumgebung, durch die Administrator:innen keinen Zugriff auf die Daten haben.
Neben dem CCC kam auch Kritik vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber. Kelber spricht sich gegen die geplante Abrufvariante mit der elektronischen Gesundheitskarte ohne Eingabe einer PIN aus, da diese nicht nach dem Stand der Technik abgesichert sei und somit gegen die DSGVO verstoße. Weder das Bundesamt für Sicherheit in der Informationstechnik noch der BfDI geben diese Variante frei. Prinzipiell sei auch das Abrufen mit der Karte umsetzbar, allerdings müssen die Sicherheitsmaßnahmen erhöht werden. Dazu hat der BfDI bereits einen Vorschlag gemacht.
Besonderes Unverständnis hat Kelber für die kassenärztlichen Vereinigungen und Apothekerverbände, die bereits seit Monaten von dem Sicherheitsproblem wussten, dies aber ignoriert haben und schon Basisabsicherungen als überzogen bezeichnen. Laut Kelber wäre ein Hack leicht umsetzbar – mit massiven Folgen für das Vertrauen in das E-Rezept und andere Digitalisierungsvorhaben im Gesundheitssystem.
Der BfDI erwartet von allen Beteiligten bis zum Sommer 2023 eine sichere Lösung. Alles nötige zur Umsetzung sei bereits vorhanden und geprüft, wenn z. B. Krankenkassen Versicherte mit einer PIN für die elektronische Gesundheitskarte versorgen würden.
Pilotprojekte zur Einführung des E-Rezepts gefährdet
Schritt für Schritt war das Motto bei dem Rollout des E-Rezepts und den ersten Pilotprojekten. Das gilt nicht nur für die zu verschreibenden Produkte: Zunächst gibt es das E-Rezept nur für verschreibungspflichtige Arzneimittel. Später sollen z. B. auch Betäubungsmittel und digitale Gesundheitsanwendungen hinzukommen.
Ähnlich war der physische Rollout geplant. Zunächst sollte es nur in Westfalen-Lippe und Schleswig-Holstein Pilotprojekte geben. Beide wurden allerdings wegen der Kritik am mangelnden Datenschutz und Lücken in der Sicherheit abgebrochen.
In Westfalen-Lippe boten seit September 250 Praxen das E-Rezept an. Das sollte Schritt für Schritt gesteigert werden. Nun hat die Kassenärztliche Vereinigung Westfalen-Lippe (KVWL) den Stopp verkündet. Laut dem Vorstand Thomas Müller sei die Entscheidung Kelbers „eine Bankrotterklärung für die Digitalisierung im Gesundheitswesen“. Die Ablehnung des Abrufs mit elektronischer Gesundheitskarte bedeute eine Verzögerung bis Mitte 2023, da technische Anpassungen notwendig seien. Diese Wartezeit sei nicht zumutbar. Müller fordert erneut eine rein digitale Lösung, erst dann könne der Rollout fortgesetzt werden.
Kelber hingegen bedauert die Unterbrechung des Pilotprojekts. Die drei ursprünglichen Einlösungswege, die auch zu Beginn des Projekts zur Verfügung standen, seien konsentiert und funktionsfähig. Und auch die Nutzung der Gesundheitskarte sei umsetzbar – mit den richtigen Sicherheitsmaßnahmen. Der BfDI will die großen Risiken für die Nutzer:innen nicht tragen, das Pilotprojekt hätte allerdings nicht gestoppt werden müssen.
Schleswig-Holstein brach sein Pilotprojekt ebenfalls aus Datenschutzgründen ab. Hier hatte die Landesdatenschutzbeauftragte Bedenken zum geplanten Einsatz von SMS und E-Mails geäußert.
Wie es mit dem E-Rezept weitergeht
Wie genau es mit dem E-Rezept nun weitergeht, ist nicht ganz klar. Die gematik will in einer Versammlung die nächsten Schritte abstimmen. Das Ziel, das E-Rezept im Jahr 2023 flächendeckend einzuführen, bleibe aber bestehen. Auch ein Sprecher des Bundesministeriums bedauerte zwar die Entscheidung der KVWL, betonte aber, dass die Einführung des E-Rezepts weitergehe und es weiterhin bundesweit eingesetzt werden könne.
Quellen
Bundesministerium für Gesundheit (2022): „Das E-Rezept startet“, 22. August 2022, https://www.bundesgesundheitsministerium.de/e-rezept.html, letzter Zugriff am 20. Dezember 2022.
Chaos Computer Club (2022): „E-Rezept: Sicherheit nicht ausreichend, Datenschutz mangelhaft“, erdgeist, 08. September 2022, https://www.ccc.de/de/updates/2022/erezept-mangelhaft, letzter Zugriff am 20. Dezember 2022.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2022): „Abruf des E-Rezepts per eGK? Aber sicher!“, 07. November 2022, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html, letzter Zugriff am 20. Dezember 2022.
gematik (2022): „Stellungnahme: Kritik des Chaos Computer Clubs am E-Rezept“, 12. September 2022, https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-kritik-des-chaos-computer-clubs-am-e-rezept, letzter Zugriff am 20. Dezember 2022.
gematik (o. J.): „E-Rezept: Der schnelle Weg zum richtigen Medikament“, https://www.gematik.de/anwendungen/e-rezept, letzter Zugriff am 20. Dezember 2022.
Kassenärztliche Vereinigung Westfalen-Lippe (2022): „KVWL sieht sich gezwungen, E-Rezept-Rollout auszusetzen: Datenschützer lehnt Einsatz der elektronischen Gesundheitskarte ab“, 03. November 2022, https://www.kvwl.de/suche/news/nachricht-default-8ac86f91b3-7, letzter Zugriff am 20. Dezember 2022.
Tagesschau (2022): „Digitalisierung im Gesundheitswesen: Weiterer Rückschlag fürs E-Rezept“, 03. November 2022, https://www.tagesschau.de/inland/e-rezept-103.html, letzter Zugriff am 20. Dezember 2022.