Foto: Artsem Martysiuk/AdobeStock

Recht

Geübte Praxis oder alles neu?

Welche datenschutzrechtlichen Veränderungen sich durch das E-Rezept ergeben

Seit dem 1. September 2022 sind Apotheken verpflichtet, E-Rezepte entgegenzunehmen und zu bearbeiten. Gegenüber der Einlösung von Muster-16-Rezepten ändern sich damit die praktischen Abläufe teilweise. Im Hinblick auf den Datenschutz werden aber plötzlich ganz neue Fragen aufgeworfen. So kritisierten Datenschützer sowohl die Weiterleitung der E-Rezept-Token per E-Mail als auch den Einsatz der elektronischen Gesundheitskarte (eGK) bei der Einlösung. Nicht wenige Apotheken fühlen sich spätestens seit dieser Kritik verunsichert im Umgang mit den E-Rezepten und den Token. Daher stellt sich die Frage, welche Anforderungen sich im Hinblick auf die Datenschutz-Compliance bei E-Rezepten ändern und wo es bei der mit den Muster-16-Rezepten geübten Datenschutz-Praxis bleiben kann. | Von Svenja Buckstegge

Mit der Einlösung von Papierrezepten werden personen­bezogene Daten des ausstellenden Arztes, aber vor allem des Patienten, für den das Rezept ausgestellt ist, von der Apotheke verarbeitet. Dabei handelt es sich neben Angaben wie Name, Geburtsdatum und Versichertennummer auch um sensible Gesundheitsdaten des Patienten, die datenschutzrechtlich besonders geschützt sind. Für die Verarbeitung ist ab der Übergabe des Rezepts vom Patienten an die Apotheke die Apotheke datenschutzrechtlich verantwortlich.

Die Verarbeitung der personenbezogenen Daten zur Ein­lösung des Rezepts nimmt die Apotheke auf der Rechtsgrundlage von Art. 6 Abs. 1 S. 1 lit. b, 9 Abs. 2 lit. h Datenschutzgrundverordnung (DSGVO) in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b Bundesdatenschutzgesetz (BDSG) vor. Für die Abrechnung darf die Apotheke die Daten an ein Rechen­zentrum weitergeben. Das Apothekenrechenzentrum wird als Auftragsverarbeiter für die Apotheke tätig. Seine Ein­bindung ist nach §§ 300 Abs. 2, 302 Abs. 2 SGB V gestattet. Ein Auftragsverarbeitungsvertrag zwischen Apotheke und Rechenzentrum nach Art. 28 DSGVO ist zu schließen.

Über die mit der Rezepteinlösung verbundenen Datenver­arbeitungen ist der Patient, beispielsweise über einen Aushang in der Apotheke oder ausliegende Informationsblätter, gemäß Art. 13 DSGVO zu informieren. Die Informationen müssen u. a. Angaben zur Rechtsgrundlage der Datenver­arbeitung, den Zwecken der Verarbeitung, den Datenempfängern (bspw. das Rechenzentrum) und die Speicherdauer der Verordnungsdaten umfassen.

Mit technischen und organisatorischen Maßnahmen hat die Apotheke die Datensicherheit bei der Rezepteinlösung und –abrechnung sicherzustellen (Art. 32 DSGVO). Dazu gehört, dass Rezepte nicht für andere Patienten einsehbar in der Offizin lagern, sie sicher verwahrt werden und Mitarbeiter geschult sind, keinen unbefugten Personen Auskunft über die Rezeptdaten zu erteilen. Eine regelmäßige Datenschutz-Folgenabschätzung ist nicht nötig, da mit der Rezepteinlösung und –abrechnung kein hohes Risiko für die Rechte und Freiheiten der Patienten einhergeht.

Die datenschutzrechtlichen Vorgaben gelten gleichermaßen, wenn die Apotheke E-Rezepte und die darin enthaltenen personenbezogenen Daten verarbeitet. An einigen Stellen ergeben sich aufgrund der abweichenden Abläufe bei der Einlösung von E-Rezepten datenschutzrechtliche Besonderheiten. Dies fängt schon bei dem Weg des E-Rezepts in die Apotheke an.

Der Weg des E-Rezepts in die Apotheke

Das vom Arzt ausgestellte E-Rezept wird auf einem zentralen Server in der Telematikinfrastruktur (TI), dem sogenannten E-Rezept-Fachdienst, gespeichert. Um das E-Rezept bearbeiten zu können, benötigt die Apotheke hierauf Zugriff. Dies erfolgt über einen 2D-Code, der der Apotheke zugänglich gemacht werden muss. Mehrere Möglichkeiten stehen hierfür zur Verfügung bzw. werden diskutiert:

  • Der Patient kann der Apotheke mittels der E-Rezept-App der Gematik Zugriff auf das E-Rezept verschaffen. Mit der E-Rezept-App kann der Patient das E-Rezept vorab einer Apotheke zuweisen und damit das verordnete Medikament für die spätere Abholung reservieren. Er kann außerdem in die Apotheke kommen und den 2D-Code zum E-Rezept in der Apotheke vorzeigen, um das Rezept ein­zulösen. Allerdings ist für die Verwendung der E-Rezept-App eine NFC-fähige Gesundheitskarte mit PIN sowie ein NFC-fähiges Smartphone nötig, womit erst ein Teil der Patienten ausgestattet ist.
  • Als Alternative wird die Übertragung des 2D-Codes von der Arztpraxis in die Apotheke mittels des Kommunika­tionsdienstes KIM diskutiert, da dieser eine verschlüsselte Übertragung innerhalb der Telematikinfrastruktur ermöglicht, wobei sich allerdings Zuweisungsthemen stellen können. Faktisch scheitert diese Alternative derzeit noch an der fehlenden Ausstattung der Apotheken.
  • Gearbeitet wird aktuell außerdem an einer Übertragungsmöglichkeit per elektronischer Gesundheitskarte, die ab 2023 zur Verfügung stehen soll [1]. Nach der Spezifikation der Gematik soll die Apotheke allein mittels Vorlage der elektronischen Gesundheitskarte dazu berechtigt werden können, E-Rezepte vom E-Rezept-Fachdienst abzurufen [2]. Der Bundesdatenschutzbeauftragte hat jedoch wegen Missbrauchsrisiken Bedenken angemeldet, da damit unter Kenntnis der Krankenversichertennummer mit einem Apothekenzugang zur Telematikinfrastruktur der Zugriff auf die E-Rezepte zu einem Patienten möglich ist, und verschiedene Lösungswege mit zusätzlichen Sicherungs­mechanismen, wie beispielsweise signierten Prüfnachweisen, vorgeschlagen [3]. Es bleibt abzuwarten, inwiefern diese umgesetzt werden.

Solange die sichere elektronische Übermittlung des E-Rezepts über diese Wege in die Apotheke nicht für alle Patienten praktikabel umsetzbar ist, bleibt der analoge Weg des E-Rezepts in die Apotheke. Der Arzt kann dem Patienten einen Ausdruck des 2D-Codes mitgeben, den die Apotheke scannen und dadurch Zugriff auf das im Fachdienst abgelegte E-Rezept nehmen kann. Die Vorteile der Digitali­sierung blieben damit jedoch ungenutzt. Diskutiert wird daher, ob die Arztpraxis oder der Patient der Apotheke per E-Mail, MMS oder Messenger-Dienst den 2D-Code über­mitteln kann.

Die Datenschutzaufsichtsbehörde von Schleswig-Holstein steht einer solchen unverschlüsselten Übermittlung von 2D-Codes kritisch gegenüber [4]. Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) hatte sich im Juli 2022 mit der Anfrage an die Datenschutzaufsichtsbehörde gewandt, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen 2D-Codes per unverschlüsselter E-Mail oder SMS versendeten. Dem steht nach der Auffassung der Datenschutz­aufsichtsbehörde von Schleswig-Holstein die Pflicht zur Gewährleistung eines angemessenen Datenschutzniveaus entgegen. Grund dafür ist, dass es verschiedene auf dem Markt befindliche Apps (bspw. von Apothekenplattformen) ermöglichen, mittels des 2D-Codes personenbezogene Daten des E-Rezepts abzurufen. Daher werden schon mit der Versendung von 2D-Codes Gesundheitsdaten übermittelt, die besonders schutzbedürftig sind.

Arztpraxen verstoßen somit nach Auffassung der Datenschutzaufsichtsbehörde gegen Art. 32 DSGVO, wenn sie 2D-Codes per E-Mail oder SMS versenden. Dies soll selbst dann gelten, wenn der Patient ausdrücklich in den Versand per unverschlüsselter E-Mail oder SMS einwilligt. Denn die deutschen Datenschutzaufsichtsbehörden vertreten die Auffassung, dass die Pflicht zur Gewährleistung eines angemessenen Datenschutzniveaus nicht zur Disposition der Beteiligten steht [5]. Diese Ansicht ist allerdings umstritten.

Für die Apotheke stellt sich die Frage, ob sie per unverschlüsselter E-Mail oder SMS übersandte 2D-Codes annehmen und bearbeiten darf. Grundsätzlich liegt es nicht im datenschutzrechtlichen Verantwortungsbereich der Apotheke, wenn ihr unaufgefordert über unsichere Wege Daten übermittelt werden. Aus diesem Grund ist auch die Datenschutzaufsichtsbehörde von Schleswig-Holstein der Auffassung, dass Apotheken mit der Entgegennahme nicht gegen das Datenschutzrecht verstoßen. Bei der weiteren Datenverarbeitung ist aber die Pflicht zur Gewährleistung der Datensicherheit einzuhalten. Insbesondere soll es für die Apotheke nicht zulässig sein, nachfolgend ebenfalls über unsichere Kommunikationswege mit dem Arzt oder Patienten über die Inhalte des E-Rezepts zu kommunizieren [6].

Eine andere Frage ist, ob die Apotheke auch aktiv dazu auffordern darf, dass ihr Patienten 2D-Codes über unsichere Übermittlungswege zusenden. Rechtlich ist dies vergleichbar mit der Entgegennahme von Fotografien des Muster-16-Rezepts per unverschlüsselter E-Mail oder Messenger-Diensten zur Vorbestellung. Auch diesbezüglich wird diskutiert, ob die Apotheke mit diesem Angebot gegen ihre Pflicht nach Art. 32 DSGVO verstößt, für ein angemessenes Datenschutzniveau zu sorgen, oder es nicht der freien Entscheidung des Patienten entspricht, wenn er trotz datensicherer Alternativen und entsprechender Aufklärung über die Risiken einen unsicheren Übertragungsweg in die Apotheke wählt [7]. Bis zu einer gerichtlichen Klärung verbleiben hier Unsicherheiten.

Foto: DAZ/Alex Schelbert

Die Datenverarbeitung zur Einlösung des E-Rezepts erfolgt auf derselben Rechtsgrundlage wie bei Muster-16-Rezepten.

Die Einlösung in der Apotheke

Ist der 2D-Code auf einem der genannten Wege in der Apotheke angekommen, kann die Apotheke das E-Rezept für die weitere Bearbeitung vom E-Rezept-Fachdienst laden. Ab diesem Zeitpunkt ist die Apotheke im datenschutzrechtlichen Sinne für die Verarbeitung der personenbezogenen Daten verantwortlich. Dies gilt nach dem Willen des Gesetzgebers schon für die Verarbeitung mittels der Komponenten der sogenannten dezentralen Telematikinfrastruktur, also das Abrufen des E-Rezepts aus dem E-Rezept-Fachdienst mittels Konnektoren und Kartenterminals (§ 307 Abs. 1 SGB V). Die Apotheke ist insbesondere verpflichtet, für die ordnungs­gemäße Inbetriebnahme, Wartung und Verwendung der Komponenten Sorge zu tragen. Im Rahmen ihrer Pflicht, ein angemessenes Datenschutzniveau zu gewährleisten, hat die Apotheke u. a. sicherzustellen, dass keine unbefugten Personen Zugang zu den Komponenten haben.

Nach dem Abruf des E-Rezepts aus dem Fachdienst befindet sich dieses im Warenwirtschaftssystem der Apotheke. Auch hier ist ein angemessenes Datenschutzniveau sicherzustellen. Insbesondere sind technische Maßnahmen zum Schutz vor Hackerangriffen oder dem Ausfall des Warenwirtschafts­systems zu ergreifen. Sollte es zu unbefugten Zugriffen auf die in den Systemen der Apotheke gespeicherten E-Rezepte kommen, hat die Apotheke die Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO zu beachten. Es gilt nichts anderes, als wenn beispielsweise eine unbefugte Person Einsicht in die Muster-16-Rezepte erhält oder diese abhandenkommen.

Hinsichtlich der weiteren Datenverarbeitung zur Einlösung des E-Rezepts stellen sich keine großen Besonderheiten gegenüber der Verarbeitung der Daten eines Muster-16-Rezepts. Die Datenverarbeitung erfolgt auf derselben Rechtsgrundlage wie bei Muster-16-Rezepten. Über die Daten­verarbeitung ist nach Art. 13 DSGVO zu informieren. Ge­gebenenfalls bedürfen die Datenschutzinformationen der Apotheke im Hinblick auf das E-Rezept der Anpassung, beispielsweise weil technische Dienstleister hinzukommen, die Zugriff auf die Rezeptdaten nehmen können (z. B. für den Betrieb und die Wartung des Warenwirtschaftssystems). Mit solchen Dienstleistern sind Auftragsverarbeitungsverträge zu schließen (Art. 28 DSGVO). Falls Datenverarbeitungs­vorgänge oder neue Datenempfänger hinzukommen, ist außerdem das Verzeichnis von Verarbeitungstätigkeiten der Apotheke anzupassen.

Eine Datenschutz-Folgenabschätzung müssen die Apotheken allein wegen der Verarbeitung der E-Rezept-Daten zur Einlösung nicht durchführen. Dies hat der Gesetzgeber für die Leistungserbringer im Hinblick auf den Abruf des E-Rezepts und den Einsatz der dezentralen Telematikinfrastruktur übernommen (§ 307 Abs. 1 Satz 3 SGB V).

Abrechnung und weitere Verarbeitung

Die Datenübermittlung an die Rechenzentren und die Leistungsträger zur Abrechnung wird zunächst außerhalb der Telematikinfrastruktur erfolgen. Wie schon bei der elektronischen Vorabübermittlung der Scans von Muster-16-Rezepten an die Rechenzentren ist auch hier ein angemessenes Datenschutzniveau einzuhalten.

Möchte die Apotheke nach Einlösung und Abrechnung die E-Rezept-Daten zu weiteren Zwecken verarbeiten, beispielsweise diese zur Kundenkarte speichern, benötigt sie dafür eine gesonderte Rechtsgrundlage. Allein die Tatsache, dass die Daten elektronisch in der Apotheke vorliegen, berechtigt die Apotheke nicht zu umfangreicheren Datenverarbeitungen als bei Papierrezepten. Für die Speicherung zur Kundenkarte ist demnach weiterhin die Einwilligung des Patienten erforderlich. Gleiches gilt grundsätzlich, wenn die Daten weitergegeben werden sollen, beispielsweise an Ärzte oder Angehörige. Hier ist auch weiterhin die Schweigepflicht zu beachten. Daten, die nicht mehr benötigt werden und zu denen keine gesetzlichen Aufbewahrungspflichten bestehen, sind zu löschen. Ausdrucke mit 2D-Codes sollte die Apotheke daher dem Patienten nach dem Scan wieder mitgeben oder datenschutzkonform entsorgen. |

 

Literatur

[1] Gematik. Das E-Rezept für Deutschland. www.das-e-rezept-fuer-deutschland.de, zuletzt abgerufen am 16.10.2022

[2] Gematik. Elektronische Gesundheitskarte und Telematikinfrastruktur. Feature: Abruf der E-Rezepte in der Apo­theke mit personenbezogenem Identitätsnachweis. https://fachportal.gematik.de/fileadmin/Fachportal/Downloadcenter/Vorabveroeffentlichungen/Medical/gemF_eRp_personal_Ident_V1.0.0_CC.pdf, zuletzt abgerufen am 16.10.2022

[3] Borsch J. Nach Intervention der Datenschützer – E-Rezept-Abruf via eGK: Wie geht es weiter?, DAZ.online vom 5.10.22, zuletzt abgerufen am 16.10.2022

[4] Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein. E-Rezept-Verfahren: maschinenlesbare Codes schützen! https://www.datenschutzzentrum.de/artikel/1414-E-Rezept-Verfahren-maschinenlesbare-Codes-schuetzen!.html, zuletzt abgerufen am 16.10.2022

[5] Datenschutzkonferenz. Beschluss v. 24.11.2021 zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen. https://www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf, zuletzt abgerufen am 16.10.2022

[6] Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein. FAQ - Häufig gestellte Fragen. Pläne zur Versendung von DataMatrix-Codes im E-Rezept-Verfahren – Fragen und Antworten. https://www.datenschutzzentrum.de/artikel/1417-Plaene-zur-Versendung-von-DataMatrix-Codes-im-E-Rezept-Verfahren-Fragen-und-Antworten.html#extended, zuletzt abgerufen am 16.10.2022

[7] Sucker-Sket K. Datenauftragsverarbeitung, Löschfristen, WhatsApp – Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 5), DAZ.online vom 25.05.2018, zuletzt abgerufen am 16.10.2022

Autorin

Dr. Svenja Buckstegge, Studium in Jena und Dijon, Rechtsanwältin seit 2016, Oppenländer Rechtsanwälte Stuttgart

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.