Zukunftspakt hält eigene Plattform für datenschutzkonform

Die Kassenärztliche Vereinigung (KV) Schleswig-Holstein hat Anfang dieser Woche die Reißleine gezogen: Sie wird den E-Rezept-Rollout, der nächste Woche Donnerstag im Bundesland starten soll, nicht aktiv begleiten. Hinter der Entscheidung stecken datenschutzrechtliche Bedenken. Geäußert wurden diese von der Landesbeauftragten für Datenschutz in Schleswig-Holstein, Marit Hansen. Sie begutachtete den Prozess der E-Rezept-Ausstellung in den Praxen im Auftrag der KV und kam zu dem Ergebnis, dass die aktuelle Verfahrensweise den Datenschutzvorgaben nicht genüge. Das Versenden der E-Rezept-Token per E-Mail an die Versicherten ohne etablierte Verschlüsselungsverfahren hält sie für unzulässig und untersagte es. 

In einem Schreiben, das auf der Website des Unabhängigen Landeszentrums für Datenschutz (ULD) veröffentlicht wurde, betont Hansen, dass sie keineswegs das E-Rezept selbst oder einen der gesetzlich vorgesehenen Transportwege für den Token beanstandet habe. Bei der Überprüfung sei es lediglich um die Übertragung per E-Mail oder SMS gegangen – und diese stuft das ULD als unsicheres Verfahren ein, da der Token von unbefugten Dritten empfangen und ausgelesen werden könne.

Ihre Kritik richtet sich aber auch gegen „Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann“. Einen konkreten Anbieter benennt die Landesdatenschutzbeauftragte in ihrem Schreiben nicht. Der Vorwurf: Ein Schutz gegen Missbrauch – etwa eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – sei bei diesen Apps nicht vorgesehen. 

Gegenüber der DAZ konkretisiert sie ihre Bedenken folgendermaßen: „Generell trifft die DSGVO (Datenschutz-Grundverordnung, Anm. d. Red.) die Verantwortlichen – das sind zunächst die Arztpraxen bei der Aushändigung der elektronischen Verordnung. Die Patientinnen und Patienten können dann selbst entscheiden, wie sie dies an die Apotheken übergeben.“ Die Apotheken müssten bei all ihren Verarbeitungen auch auf die DSGVO-Konformität achten.

Patienten sind keine Adressaten des Datenschutzrechts

Sollten die Patienten selbst ihre E-Rezept-Token an eine Apotheke weiterleiten, sieht die Bewertung der Datenschutzbeauftragten anders aus. „Dies läge meiner Meinung nach in der Verantwortung des Patienten und könnte dann auch von Apothekenseite bearbeitet werden.“ Ihre Erklärung: Der Patient sei nicht Adressat des Datenschutzrechts (höchstens wenn er für andere Personen Risiken verursacht). Er sei also nicht darin beschränkt, seinen eigenen Code bei einer Online-Apotheke oder einer Apothekenplattform hochzuladen.

Diese Einschätzung teilt auch Jan-Florian Schlapfner. Beim Zukunftspakt Apotheke ist er verantwortlich für den Betrieb der Plattform IhreApotheken.de. Das Hochladen und anschließende Übertragen von Verordnungen auf der Website oder in der dazugehörigen App erfolge komplett verschlüsselt. Daher würden die aktuellen datenschutzrechtlichen Bedenken aus Schleswig-Holstein nicht auf die apothekenbeherrschte Seite IhreApotheken.de zutreffen, so Schlapfner auf DAZ-Anfrage. Erstens biete man eine hochsichere Infrastruktur an und zweitens erfolge die Übermittlung nicht an IhreApotheken.de, sondern auf direktem Weg in die Apotheke. „Daraus erklärt sich die zwingende Vorgabe auf Webseite und App, dass der Patient zunächst seine Apotheke aussuchen muss und erst dann sein abfotografiertes oder eingescanntes Rezept hochladen kann“, erklärt er. Die in Schleswig-Holstein kritisierte Weiterleitung von Rezepten per E-Mail sei bei IhreApotheken.de gar nicht möglich.

Kein Auslesen der Daten möglich

Weder Nutzern noch Dritten sei es darüber hinaus bei der gesicherten Übermittlung möglich, Rezeptdaten auszulesen und/oder einzusehen. „Damit verfolgen wir keinen disruptiven Ansatz, sondern stellen ganz im Sinne der Patientenautonomie eine Verlängerung der Vor-Ort-Apotheken in die digitale Welt dar.“ Der Patient wähle seine Wunschapotheke aus und lasse ihr sein Rezept zukommen, „ganz so wie im analogen Leben auch“.

Dass die Kassenärzte in ihrem Bundesland sich aus dem E-Rezept-Rollout zurückgezogen haben, scheint auch für die Datenschutzbeauftragte Marit Hansen nicht ganz nachvollziehbar zu sein. Das ULD habe das Verfahren E-Rezept in Schleswig-Holstein in keiner Weise untersagt, heißt es auf der Website. Die Arztpraxen hätten aber dafür Sorge zu tragen, dass beim Aushändigen oder Übertragen von elektronischen Verordnungen eine Kenntnisnahme unbefugter Personen vermieden wird. „Ein Versand per Postkarte würde dem nicht genügen“, konkretisiert Hansen und setzt damit eine E-Mail ohne weitere Absicherung gleich. Dagegen habe das ULD auf mehrere Möglichkeiten hingewiesen, die den Sicherheitsanforderungen genügen können: per E-Rezept-App, über das bundesweit nutzbare System Kommunikation im Medizinwesen (KIM) oder, wenn E-Mail zum Einsatz kommen sollte, mit zusätzlicher Verschlüsselung.