E-Rezept und Schutzmaskenverteilung im Visier der Datenschützer

Kritisch seien zudem der alternative Zugriff auf die ePA mittels mobiler Geräte, also ohne Verwendung der elektronischen Gesundheitskarte, sowie die Vorschriften zum elektronischen Rezept. Das E-Rezept wird die erste medizinische Pflichtanwendung der ePA sein. Die elektronischen Verordnungen sollen im Rahmen der vertragsärztlichen Versorgung immer in einem zentralen Speicher in der Telematikinfrastruktur abgelegt werden. Kelber hatte für eine dezentale Lösung plädiert. Diese hätte gegen Ausfälle zentraler Dienste robuster ausgestaltet werden können, meint er. 

Kelber kritisiert, dass kein alternatives Verfahren ohne eGK zur Authentisierung in der E-Rezept-App gegenüber dem E-Rezept-Server gibt. Patient:innen könnten sodann nur wählen, ob sie die Zugangsinformation dazu in elektronischer Form oder als Papierausdruck mit einem Code-Block zur Einlösung in einer Apotheke ausgehändigt bekommen wollen. Kelber ist überzeugt: „Wie bei der ePA wird es auch beim E-Rezept eine Zweiklassengesellschaft geben. Menschen, die nicht die E-Rezept-App nutzen möchten oder können, erhalten keinen unmittelbaren Einblick in die über sie gespeicherten Daten oder erfolgten Zugriffe auf ihre Rezepte.“

Der Datenschutzbeauftragte sieht beim E-Rezept auch einen Paradigmenwechsel: Und zwar, weil die Gematik die E-Rezept-App entwickelt und zur Verfügung stellen wird. Die Aufgabe der Gematik beschränkt sich hier nicht, wie z. B. bei der ePA, auf die Erstellung von Spezifikationen und Sicherheitsanforderungen, nach denen Hersteller Komponenten oder Dienste der TI anzubieten haben – sie werde vielmehr selbst zum Hersteller und damit auch datenschutzrechtlich verantwortlich. Dies habe zur Folge, dass die Gematik ihre eigenen Entwicklungen zu prüfen und zuzulassen hat. Insoweit bestehe zumindest die Gefahr einer potenziellen Befangenheit, so Kelber.

Schutzmasken gegen Daten?

Die Apotheken kommen im Tätigkeitsbericht in einem anderen Zusammenhang zur Sprache: der Schutzmaskenausgabe im Rahmen der Schutzmaskenverordnung. Kurz vor Weihnachten haben die Apotheken in einer ersten Tranche nach eigener Bedürftigkeitsprüfung FFP2-Masken an Risikogruppen ausgegeben – ehe die Berechtigungsscheine der zweiten und dritten Tranche kamen. Einige Apotheken dokumentierten anfänglich Kundendaten – die meisten wollten wohl wirklich nicht mehr, als vermeiden, dass gewisse Kunden mehrfach Masken abholten. In Kelbers Tätigkeitsbericht heißt es: „Einige Apotheker sahen dies als Chance, auch für andere Zwecke an die Daten Ihrer Kunden zu kommen.“

So wurden ihm Beschwerden zugetragen, dass in Apotheken Ausweise kopiert wurden. Dafür gebe es aber keinerlei Berechtigung oder Rechtsgrundlage. Andere Apothekeri:nnen hätten zudem nur dann die kostenlosen Schutzmasken aushändigen wollen, wenn die Betroffenen zuvor einen Antrag für eine Kundenkarte ausgefüllt und sich bereit erklärt hätten, ihre Daten (für Werbezwecke) an Dritte übermitteln zu lassen. Kelber bat daraufhin das BMG einzuschreiten und die Apotheken aufzufordern, sich entsprechend der Verordnung zu verhalten. Da er selbst nicht für die Apotheken zuständig ist, gab er die entsprechenden Hinweise an seine Länderkolleg:innen weiter – mit dem Hinweis, zu prüfen, ob hier nicht Bußgelder nach der DSGVO zu verhängen sind.