Dürfen Apotheken E-Rezept-Token via E-Mail annehmen?

Es war ein Paukenschlag am gestrigen Montag: Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) steigt aus dem E-Rezept-Rollout im Norden aus. Vorausgegangen war diesem Schritt eine Entscheidung der Landesdatenschützerin Marit Hansen, dass der Versand des E-Rezept-Tokens in einer ungeschützten E-Mail nicht erlaubt ist. Dieser Übertragungsweg war offenbar bei Ärzten in Schleswig-Holstein sehr beliebt – nun ist Schluss damit.

„Damit ist der für Patienten praktikabelste Transportweg versperrt“, schreibt die KVSH in einer Pressemitteilung vom Montag. Der Arztsoftware-Hersteller medisoftware hat bereits darüber informiert, dass die Funktion kurzfristig deaktiviert werden wird. „Wir bedauern diese Entwicklung sehr, zumal dieser komfortable Übermittlungsweg zu den meistgenutzten in den Praxen gehört“, betont das Unternehmen, dessen Produkt nach eigenen Angaben etwa 1.200 Arztpraxen, MVZ und Krankenhäuser in Schleswig-Holstein, Hamburg und Mecklenburg-Vorpommern nutzen.

Datenschutzzentrum beanstandet nicht das E-Rezept an sich

Heute nimmt auch das zuständige „Unabhängige Landeszentrums für Datenschutz“ (ULD) Schleswig-Holstein Stellung zu der aktuellen Entwicklung. In einem Schreiben, das auf der ULD-Website zu finden ist, betont es, dass es keineswegs das E-Rezept oder einen der gesetzlich vorgesehenen Transportwege für den Token beanstandet habe. Bei der Überprüfung sei es lediglich um die Übertragung per E-Mail oder SMS gegangen – diese stuft das ULD als unsicheres Verfahren ein, da der Token mit Apps aus dem Apothekenumfeld, mit denen man online Medikamente bestellen kann, ausgelesen werden könne.

„Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen“, betont das ULD. Das hält es offenbar für nicht akzeptabel. „Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des Data-Matrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden.“

ULD zeigt Lösungen auf

In der Beratung der KVSH habe das ULD auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: „Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems ‚Kommunikation im Medizinwesen‘ (KIM) oder ein digitaler Versand zum Beispiel per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage.“ Zudem bestehe nach wie vor die Möglichkeit, die Gematik-App für den Transport zu nutzen oder den Token dem Patienten als Ausdruck mitzugeben.

Doch was bedeutet diese Entwicklung für die Apotheken? Immerhin ist es durchaus denkbar, dass bei ihnen noch Versicherte versuchen, E-Rezepte einzulösen, deren Token sie via E-Mail oder SMS bekommen haben. Bereits gestern hatte die Redaktion bei Datenschützerin Hansen angefragt, ob Apotheken Token annehmen dürfen, die sie von den Patienten über einen dieser Wege erhalten.

DSGVO richtet sich an Arztpraxen

Hansen stellt jetzt gegenüber der DAZ klar, dass die Datenschutz-Grundverordnung (DSGVO) generell die Verantwortlichen trifft – das sind der Datenschützerin zufolge zunächst die Arztpraxen bei der Aushändigung der elektronischen Verordnung. „Die Patientinnen und Patienten können dann selbst entscheiden, wie sie dies an die Apotheken übergeben“, schreibt Hansen. Die Apotheke als Verantwortliche müsse dann bei der Verarbeitung auch auf die DSGVO-Konformität achten. Wenn der Data-Matrix-Code zum Beispiel zwischen Arztpraxis und Apotheke ausgetauscht wird, müsse dies Ende-zu-Ende-verschlüsselt erfolgen.

„Davon unabhängig ist die Frage, ob ein von Patientenseite der Apotheke aufgedrängter Data-Matrix-Code nicht angenommen werden dürfte“, unterstreicht die Informatikerin. „Dies läge meiner Meinung nach in der Verantwortung des Patienten und könnte dann auch von Apothekenseite bearbeitet werden. Hier wäre dennoch dafür Sorge zu tragen, dass die Codes nicht in falsche Hände kommen können (also anschließend aus dem System löschen, bei Papierausdrucken schreddern usw.) – das wäre wieder im Verantwortungsbereich der Apotheke.“

Token per Foto an Plattformen und Versender?

Und wie verhält es sich mit Angeboten der Versender und einiger Plattformbetreiber, bei denen die Versicherten den Token abfotografieren und hochladen können? Auch hier sieht Hansen grundsätzlich kein datenschutzrechtliches Problem. „Der Patient ist nicht Adressat des Datenschutzrechts (höchstens wenn er für andere Personen Risiken verursacht)“, antwortet sie auf entsprechende Nachfrage der Redaktion. „Er ist also nicht darin beschränkt, seinen eigenen Data-Matrix-Code bei einer Online-Apotheke hochzuladen. Die Online-Apotheken müssen ihre Angebote aber datenschutzkonform gestalten. Hier könnte es Restriktionen geben – je nach Gestaltung.“