KVSH geht wegen eines Zeitungsberichts auf Apothekerverband los

Eigentlich untypisch norddeutsch, ist Schleswig-Holstein derzeit offenbar ein Pulverfass: Am vergangenen Montag hatte die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) ihren Rückzug aus dem am 1. September startenden Rollout des E-Rezepts bekannt gegeben. Grund ist, dass die Landesdatenschutzbeauftragte Marit Hansen den Versand des Tokens via E-Mail untersagt hat – offenbar war das im Norden ein beliebter Transportweg für den E-Rezept-Schlüssel gewesen.

Nun geht die KVSH auch auf den Apothekerverband los: Dessen Geschäftsführer Georg Zwenke wurde in einem Beitrag der „Lübecker Nachrichten“ (Dienstag) zum Thema mit den Worten zitiert: „Die E-Mail ist unverschlüsselt und es handelt sich um sensible Patientendaten.“ Die Kassenärzte sind erbost: „Dies ist eine Falschbehauptung, gegen die sich die KVSH rechtliche Schritte vorbehält“, schreiben sie in einer Pressemitteilung vom Dienstag.

Per Mail übertragen wurde demnach ausschließlich ein QR-Code, der weder Patienten- noch Arzt- oder Medikamentendaten enthält. „Dieser Code ist ein Schlüssel, mit dem in Apotheken die Daten eines Rezepts erst sichtbar gemacht werden können“, erläutert die KVSH.

Landesdatenschutzbehörde wertet Token wie Patientendaten

Dem widerspricht allerdings eine Mitteilung des Unabhängigen Landeszentrums für Datenschutz (ULD): Wie das ULD schreibt, sei die KV mit der Fragestellung an die Behörde herangetreten, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen.

„Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte“, informiert das ULD. „Diese Annahme war jedoch nicht richtig, wie eine Prüfung des ULD in Abstimmung mit weiteren Datenschutzaufsichtsbehörden ergab: Wer im Besitz dieses Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann.“

Kassenärzte teilen Einschätzung der Datenschützer nicht

Die KVSH hat für diese Sichtweise offenbar gar nichts übrig. Bei richtigem Umgang mit dem Code stelle das Verfahren „eine deutliche Erleichterung für Patienten dar, weil es Ihnen mehrfache Wege erspart“, unterstreicht sie. „Es muss aber eingestellt werden, weil ein kriminelles Hacking von Mails aus Smartphones von Patienten niemals absolut ausgeschlossen werden kann. Unbefugte könnten so an den Code gelangen und unter Nutzung frei zugänglicher Apotheken-Apps die vollständigen Daten sichtbar machen.“

Wie es nun zwischen Apothekerverband und Kassenärztlicher Vereinigung weitergeht, bleibt zunächst offen. Zwenke wollte sich auf Nachfrage nicht zu den Vorwürfen äußern. Eigentlich ist Schleswig-Holstein dafür bekannt, dass dort die heilberufliche Zusammenarbeit besonders gut klappt – erst Mitte August hatte der Geschäftsführer der Apothekerkammer, Felix-Alexander Litty, gegenüber der DAZ das konstruktive Miteinander mit den Kassenärzten bei der E-Rezept-Einführung gelobt.