Sie sind hier: Home » Markt » Hintergrund

Codes des E-Rezept-Verfahrens sind zu schützen


Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich?
Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes




Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das "E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

Das Verfahren "E-Rezept" ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:

1. Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.

2. Alternativ kann ein Ausdruck erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.

Dieses vom Bundesgesetzgeber vorgesehene Verfahren "E-Rezept" hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet, noch wurde eine Untersagung für das E-Rezept ausgesprochen.

Da nicht allen Nutzenden ein neueres Smartphone und eine kompatible Gesundheitskarte zur Verfügung stehen, ist ein flächendeckender Einsatz zurzeit nicht möglich. Alternativ zum gesetzlich ausdifferenzierten Verfahren "E-Rezept" wird von einigen Leistungserbringern nun überlegt, wie ein anderes Verfahren umgesetzt werden könnte, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln zu verarbeiten.

Im Juli wandte sich in diesem Kontext die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen. Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.

Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann. Ein Schutz gegen Missbrauch – z. B. eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – ist bei diesen Apps nicht vorgesehen.

Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.

In der Beratung der KVSH hat das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems "Kommunikation im Medizinwesen" (KIM) oder ein digitaler Versand z. B. per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.

Die Landesbeauftragte für Datenschutz, Marit Hansen, begrüßt, dass sie vor dem Ausrollen des E-Rezepts im Beratungswege eingebunden wurde. Ihre Aussage ist aber klar: "Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten Systeme mit einem angemessenen Schutz einzusetzen."

Fragen und Antworten:
Hat das ULD das Verfahren "E-Rezept" geprüft? Ist es gescheitert?
Nein, das Verfahren "E-Rezept" gemäß der Spezifikation auf Bundesebene und auch die E-Rezept-App sind nicht vom ULD geprüft worden.

Hat das ULD das Verfahren "E-Rezept" in Schleswig-Holstein untersagt?
Nein.

Ändert sich beim Verfahren "E-Rezept" etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?
Nein, die Arztpraxen haben dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen ärztlicher Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. Ein Versand per Postkarte würde dem nicht genügen, E-Mail ohne weitere Absicherung (Stichwort: Ende-zu-Ende-Verschlüsselung) ebenfalls nicht.

Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?
Selbstverständlich. Hier geht es um den Schutz der Patientinnen und Patienten.

Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?
Nein, das ULD wendet insbesondere Art. 32 DSGVO an und bezieht auch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2021 zu der Frage ein, unter welchen Umständen im Ausnahmefall auf technische und organisatorische Maßnahmen verzichtet werden kann.

Gibt es rechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich?
Ja, das ULD hat auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: per E-Rezept-App, über das bundesweit nutzbare System "Kommunikation im Medizinwesen" (KIM) oder, wenn E-Mail zum Einsatz kommen sollte, mit zusätzlicher Verschlüsselung.

Dokumente:
Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) vom 22. August 2022:
https://www.kvsh.de/praxis/praxisfuehrung/newsletter/erezept-ausstieg-aus-dem-rollout
Schreiben des ULD vom 19. August 2022 an die KVSH mit dem Ergebnis der Beratung zur Übersendung im Verfahren "E-Rezept":
https://www.datenschutzzentrum.de/artikel/1413-eRezept.html

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen vom 24. November 2021:
https://uldsh.de/dsk-2111
(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein – ULD: ra)

eingetragen: 21.09.22
Newsletterlauf: 25.10.22

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • USA: Förderung sauberer Energien

    Im August 2022 unterzeichnete Präsident Biden den Inflation Reduction Act, das größte Paket zur Förderung sauberer Energien in der Geschichte der USA. Es deckt viele Faktoren der sauberen und der erneuerbaren Energien ab, darunter auch Elektrofahrzeuge. Wird dieses Gesetz den Anbietern von Elektrofahrzeugen in den USA eine Blütezeit bescheren?

  • Compliance-Auflagen im KRITIS-Bereich

    Deutsche Unternehmen stehen massiv unter Druck: Der Gesetzgeber verschärft Stück für Stück die Sicherheits- und Compliance-Auflagen, etwa im KRITIS-Bereich mit § 8a Absatz 1a BSIG. Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen. Und ein Ende ist nicht in Sicht - denn mit NIS-2 steht eine Richtlinie vor der Tür, die für etliche Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst sind.

  • KI: Die Zukunft im Rückspiegel

    Dr. Scott Zoldi, Chief Analytics Officer bei Fico, wagt jedes Jahr einen Ausblick auf die kommenden Trends im Bereich Künstlicher Intelligenz (KI). In seinen für 2022 getroffenen Vorhersagen standen für ihn ganz klar die Themen "Nachvollziehbare KI" (Auditable AI) und "Bescheidene KI" (Humble AI) auf der Agenda der Data Scientists.

  • Codes des E-Rezept-Verfahrens sind zu schützen

    Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das "E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein.

  • Deutsche Kreditwirtschaft startklar

    Kundinnen und Kunden werden im Rahmen ihrer Anlageberatung ab dem 2. August 2022 auch danach befragt, ob sie auf Nachhaltigkeitsaspekte bei Geldanlageprodukten Wert legen. Das gibt eine europäische Verordnung zur Finanzmarktrichtlinie MiFID II vor.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen