Datenschutzbeauftragter bleibt beim Veto

Das E-Rezept muss weiterhin Rückschläge wegstecken. Zwar sind die Apotheken seit Anfang September dieses Jahres grundsätzlich und bundesweit bereit für die elektronischen Verordnungen. Doch der Rollout in den Praxen der beiden Pilotregionen läuft bescheiden. Die Kassenärztliche Vereinigung (KV) Schleswig-Holstein machte bereits von Anfang an nicht mit, vergangene Woche sind auch die KV und Kassenzahnärztliche Vereinigung Westfalen-Lippe ausgestiegen.

Der Grund für den Rollout-Stopp in Westfalen-Lippe sind die Sicherheitsbedenken der Datenschützer gegenüber dem E-Rezept-Abruf via eGK. Gerade diesen wünschen sich Praxen wie Apotheken schnellstmöglich. Doch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bleibt dabei: Er erteilt der zugehörigen Feature-Spezifikationsvariante „Abruf der E-Rezepte in der Apotheke nach Autorisierung“ der Gematik nicht das für ein rasches Fortkommen nötige Einvernehmen.

Schon im September hatten Kelber und das Bundesamt für Sicherheit in der Informationstechnik klargestellt, dass sie diese Spezifikation für nicht datenschutzkonform halten. Demnach könne allein mit der Versichertennummer ohne weiteren Prüfnachweis, wie PIN oder Identitätsprüfung, auf Versichertendaten zugegriffen werden. So könnten etwa Apothekenmitarbeiter oder sogar IT-Personal die auf dem Server gespeicherten E-Rezepte abrufen. Das Missbrauchsrisiko sei vor dem Hintergrund des zentralen Speichers und den bei der IT-Sicherheit „unterschiedlich stark aufgestellten“ Apotheken als „sehr hoch“ einzuschätzen.

Gematik hoffte auf Duldung

Die Gematik hatte daraufhin nachgefragt, ob das Vorhaben in einer abgespeckten Version – und zwar nur in einem begrenzten Kreis von Apotheken – nicht doch möglich wäre. Doch dazu erklärt der BfDI nun: „Uns gegenüber gemachte Vorschläge zur Minderung des Problems abseits einer anderen Umsetzung verringern die Gefahren für die Versicherten nicht ausreichend. Unverständlich ist, dass Kassenärzt­liche Vereinigungen und Apothekerverband dieses Problem, das ihnen seit Monaten und damit länger als dem BfDI selbst bekannt ist, nicht wahrnehmen wollen und stattdessen schon Basisabsicherungen von IT-Lösungen als überzogen diffamieren.“ Leidtragende seien die Patienten, die das E-Rezept auf ­einem der schon funktionierenden Wege nutzen möchten.

Falls es zu einem „Hack“ bei der von den Datenschützern nicht freigegebenen Umsetzungsvariante gekommen wäre, hätte das Vertrauen in das E-Rezept und andere Digitalisierungen im Gesundheitssystem enorm gelitten, so Kelber weiter. „Ich erwarte von allen Beteiligten, dass bis zum Sommer 2023 eine sichere Lösung für das Abholen von E-Rezepten durch Stecken der eGK zur Verfügung steht“. Die KVen sollten ihren Ausstieg aus dem Pilotprojekt überdenken und nicht angeblich überzogene IT-Sicherheits- und Datenschutzanforderungen vorschieben. Schließlich stünden alle Möglichkeiten der Einreichung von E-Rezepten, die auch zum Projektstart vorhanden waren, weiter zur Verfügung. Neue Funktionalitäten müssten aber Standardanforderungen an die IT-Sicherheit erfüllen und dürften nicht dem unberechtigten Zugriff auf den gesamten Bestand der E-Rezepte Tür und Tor öffnen. Eine Umsetzungszeit von sechs Monaten sei dabei in der Softwareentwicklung durchaus üblich und notwendig. Unzureichend gesicherte Schnellschüsse könne der BfDI bei seinem gesetzlichen Auftrag nicht mittragen.

Der BfDI fordert zudem, dass der Gesetzgeber vorhandene sichere und bequeme Authentisierungsmittel als Standard durchsetzt. Dabei denkt er an eine PIN für die Gesundheitskarte oder den elektronischen Personalausweis: All dies sei überprüft und da – nur müssten die Kassen endlich ihre Versicherten mit der PIN versorgen. |