Sie sind hier: Home » Markt » Hintergrund

Codes des E-Rezept-Verfahrens sind zu schützen


Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich?
Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes



Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das "E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

Das Verfahren "E-Rezept" ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:

1. Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.

2. Alternativ kann ein Ausdruck erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Dieses vom Bundesgesetzgeber vorgesehene Verfahren "E-Rezept" hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet, noch wurde eine Untersagung für das E-Rezept ausgesprochen.

Da nicht allen Nutzenden ein neueres Smartphone und eine kompatible Gesundheitskarte zur Verfügung stehen, ist ein flächendeckender Einsatz zurzeit nicht möglich. Alternativ zum gesetzlich ausdifferenzierten Verfahren "E-Rezept" wird von einigen Leistungserbringern nun überlegt, wie ein anderes Verfahren umgesetzt werden könnte, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln zu verarbeiten.

Im Juli wandte sich in diesem Kontext die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen. Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.

Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann. Ein Schutz gegen Missbrauch – z. B. eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – ist bei diesen Apps nicht vorgesehen.

Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.

In der Beratung der KVSH hat das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems "Kommunikation im Medizinwesen" (KIM) oder ein digitaler Versand z. B. per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.

Die Landesbeauftragte für Datenschutz, Marit Hansen, begrüßt, dass sie vor dem Ausrollen des E-Rezepts im Beratungswege eingebunden wurde. Ihre Aussage ist aber klar: "Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten Systeme mit einem angemessenen Schutz einzusetzen."

Fragen und Antworten:
Hat das ULD das Verfahren "E-Rezept" geprüft? Ist es gescheitert?
Nein, das Verfahren "E-Rezept" gemäß der Spezifikation auf Bundesebene und auch die E-Rezept-App sind nicht vom ULD geprüft worden.

Hat das ULD das Verfahren "E-Rezept" in Schleswig-Holstein untersagt?
Nein.

Ändert sich beim Verfahren "E-Rezept" etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?
Nein, die Arztpraxen haben dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen ärztlicher Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. Ein Versand per Postkarte würde dem nicht genügen, E-Mail ohne weitere Absicherung (Stichwort: Ende-zu-Ende-Verschlüsselung) ebenfalls nicht.

Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?
Selbstverständlich. Hier geht es um den Schutz der Patientinnen und Patienten.

Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?
Nein, das ULD wendet insbesondere Art. 32 DSGVO an und bezieht auch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 zu der Frage ein, unter welchen Umständen im Ausnahmefall auf technische und organisatorische Maßnahmen verzichtet werden kann.

Gibt es rechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich?
Ja, das ULD hat auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: per E-Rezept-App, über das bundesweit nutzbare System "Kommunikation im Medizinwesen" (KIM) oder, wenn E-Mail zum Einsatz kommen sollte, mit zusätzlicher Verschlüsselung.

Dokumente:
Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) vom 22. August 2022:
https://www.kvsh.de/praxis/praxisfuehrung/newsletter/erezept-ausstieg-aus-dem-rollout
Schreiben des ULD vom 19. August 2022 an die KVSH mit dem Ergebnis der Beratung zur Übersendung im Verfahren "E-Rezept":
https://www.datenschutzzentrum.de/artikel/1413-eRezept.html

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen vom 24. November 2021:
https://uldsh.de/dsk-2111
(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein – ULD: ra)

eingetragen: 21.09.22
Newsletterlauf: 25.10.22

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Absichern entlang der Lieferkette

    Das Lieferkettensorgfaltspflichtengesetz (LkSG) sieht für die betroffenen Unternehmen vor, "menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten" (§ 3 Abs. 1 Satz 1 LkSG). Vom Gesetzestext selbst könnten sich viele Unternehmen jedoch erst einmal unbeeindruckt fühlen.

  • Besonders besorgniserregende Stoffe

    Die ECHA hat zwei neue Chemikalien in die Liste der SVHCS (besonders besorgniserregende Stoffe) aufgenommen. Eine davon ist fortpflanzungsgefährdend, die andere hat sehr persistente und stark bioakkumulierbare gefährliche Eigenschaften.

  • KI für modernes Vertragsmanagement

    Laut des neuen "Digital Maturity Report" von DocuSign sind 78 Prozent der europäischen Führungskräfte von ihren aktuellen digitalen Prozessen frustriert. KI-gestützte Tools könnten Abhilfe schaffen und die Produktivität steigern. Anlässlich des "Artificial Intelligence Appreciation Day" stellte DocuSign fünf Trends vor, wie KI den Vertragsprozess revolutioniert:

  • Erhöhung der Cybersicherheit in Europa

    Das verarbeitende Gewerbe ist ein entscheidender Teil der europäischen Wirtschaft und umfasst viele Bereiche von der kleinen Produktion bis hin zu groß angelegten industriellen Prozessen. Mit zunehmender Digitalisierung und Vernetzung ist der Sektor mit immer größeren Cybersicherheitsrisiken konfrontiert, die schwerwiegende Folgen für die öffentliche Gesundheit und Sicherheit haben könnten.

  • Zugriffsmöglichkeiten durch US-Behörden

    Die deutschen Datenschutzaufsichtsbehörden haben sich Ende Januar mit der rechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten von EU-Bürgern auseinandergesetzt. Die IT-Sicherheitsexperten der PSW Group erläutern den Beschluss der Datenschutzkonferenz (DSK), der insbesondere für internationale Unternehmensgruppen und Cloud-Anbieter eine hohe Praxisrelevanz hat.

KI: Die Zukunft im Rückspiegel Deutsche Kreditwirtschaft startklar

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen