E-Rezept & Datenschutz: Ist das elektronische Rezept DSGVO-konform?

Ein elektronisches Rezept, kurz E-Rezept, macht für Patienten und Ärzte vieles einfacher: Besonders für Menschen mit eingeschränkter Bewegungsfreiheit bringt die digitale Verfügbarkeit von Rezepten viele Vorteile. In Kombination mit einer Videosprechstunde haben Patienten mithilfe des E-Rezeptes die Möglichkeit, beschwerliche Wege zum Arzt zu vermeiden. Doch die Digitalisierung des Gesundheitssystems birgt auch Risiken beim Datenschutz in Arztpraxen. Das E-Rezept muss gerade in Sachen Datenschutz noch nachjustiert werden.
 

Wie funktioniert das E-Rezept?

Das E-Rezept ist ein digitales Rezept, das auf dem Smartphone mittels eines QR-Codes abgerufen werden kann. Über eine App können Patienten auf diese Weise Rezepte mit ärztlichen Verordnungen für Arzneimittel elektronisch empfangen, verwalten und in der Apotheke vorlegen. Sie sparen dadurch Termine und Wege zum Arzt. Bevor Patienten ein E-Rezept einlösen, können sie über die App herausfinden, in welcher Apotheke das Medikament gerade verfügbar ist. Auch für Apotheker wird der Arbeitsalltag dadurch unkomplizierter. Die elektronische Speicherung von Rezepten macht es zudem möglich, schneller Wechselwirkungen der verschriebenen Medikamente zu erkennen. Entwickelt wurde das E-Rezept von der gematik GmbH. Die E-Rezept-App ist in allen gängigen App Stores verfügbar.
 

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.

Welche personenbezogenen Daten werden für das digitale Rezept gespeichert?

In E-Rezepten sind zahlreiche sensible Daten enthalten. Neben Informationen zu den verordneten Arzneimitteln und dem ausstellenden Arzt werden in E-Rezepten verschiedene personenbezogene Daten der Patienten verarbeitet. Hierzu zählen zum Beispiel:

• Name
• Anschrift
• Geburtsdatum
• Krankenkasse
• Versichertenstatus
• Krankenversichertennummer

Mittels dieser Daten lassen sich nicht nur die betreffende Person, sondern auch Rückschlüsse auf deren Gesundheit leicht ermitteln. Ähnlich wie im Fall der elektronischen Gesundheitskarte stellt sich die Frage, ob diese Informationen ausreichend geschützt sind. Es lohnt sich also ein kritischer Blick auf den Datenschutz von E-Rezepten.
 

Datenschutz: Rechtliche Grundlage für das elektronische Rezept

Laut gematik GmbH erfolgt die Speicherung der Daten verschlüsselt auf den Servern der Telematikinfrastruktur – einem virtuellen Netzwerk, über das Ärzte Informationen austauschen können. Dort gespeicherte Daten können nur mittels eines QR-Codes abgerufen werden. Um den Schutz der Patientendaten zu garantieren, sind geeignete technische und organisatorische Maßnahmen (TOM) nötig, die dem aktuellen Stand der Technik angepasst sein müssen.

Der Datenschutz von E-Rezepten wird durch das Patientendaten-Schutz-Gesetz (PDSG) geregelt. Dies hat zur Folge, dass die Verantwortlichkeit für die Einhaltung des Datenschutzes nicht alleine bei der gematik GmbH, dem Betreiber der Telematik-Infrastruktur, liegt, die für die technische Umsetzung des E-Rezeptes verantwortlich ist. Vielmehr werden hier die Arztpraxen, Apotheken und Krankenhäuser, als Dienstnutzer, mit dem Betreiber, gemeinsam in die Pflicht genommen. Patienten verunsichert diese Streuung der Verantwortlichkeiten. Die Frage, an wen sich der Patient wenden muss im Falle von Schadensersatzansprüchen und zur Durchsetzung von Betroffenenrechten muss im Einzelfall besonders betrachtet wirken und führt zu Rechtsunsicherheiten.
 

So sicher sind Ihre Daten bei der Nutzung des E-Rezepts

Das E-Rezept weist in Sachen Datenschutz noch einige Mängel auf: Im Dezember 2019 gelang dem Chaos Computer Club der Zugriff auf die Gesundheitsdaten der Versicherten, indem er sich Zugang zur Telematikinfrastruktur verschaffte. Externe Gutachter fanden bei der Prüfung des E-Rezeptes nach der BSI-Prüfvorschrift überdies 23 unerfüllte Anforderungen. Das BSI forderte die Behebung von 10 dieser Mängel. Die gematik GmbH reagierte daraufhin und plant die Umsetzung der fehlenden Anforderungen bis zum 31.12.2021. Ein neues Gutachten soll die Behebung der Mängel nachweisen.

E-Rezept und Datenschutz sind bedingt miteinander vereinbar. Während das E-Rezept auf dem Prüfstand noch einige Sicherheitslücken aufweist, zeigt sich die gematik GmbH bei der Nachbesserung kooperativ und transparent. Trotzdem wirft die unklare Verteilung der Verantwortlichkeit beim Datenschutz immer noch einige Fragen auf. Für die Einhaltung des Datenschutzes und eine erfolgreiche Umsetzung des E-Rezeptes ist es außerdem notwendig, dass die technischen und organisatorischen Maßnahmen stets unter Berücksichtigung der Stand der Technik auf dem neuesten Stand sind. Es bleibt abzuwarten, ob die gematik GmbH dieser Herausforderung gerecht wird.

Update September 2022: Scheitert das Projekt E-Rezept jetzt doch?

Anfang September sollte das elektronische Rezept nun in zwei Modellregionen eingeführt werden: in Westfalen-Lippe und im Bundesland Schleswig-Holstein. Ende August hat jedoch Schleswig-Holsteins Kassenärztliche Vereinigung (KVSH) angekündigt, das E-Rezept vorerst nicht zu starten. Grund hierfür sei, dass der Versand der Codes für das E-Rezept per E-Mail und SMS nicht datenschutzkonform sei. Eine weitere Hürde ist, dass für die Verwendung der Gematik-App ein NFC-fähiges Smartphone mit mindestens iOS 14 oder Android 7 sowie eine NFC-fähige elektronische Gesundheitskarte notwendig ist. Zudem ist die Handhabung für Nutzer umständlich, da jedes Mal eine sechsstellige PIN der eGK angegeben werden muss, um die Rezepte abrufen zu können. In Westfalen-Lippe soll das Projekt jedoch zunächst in circa 250 Praxen umgesetzt werden. Geplant ist, dass das E-Rezept 2023 bundesweit zur Verfügung steht. Außerdem sollen Rezepte auch mit der elektronischen Gesundheitskarte eingelöst werden können. Wann das elektronische Rezept wirklich umgesetzt wird, wie es mit dem Datenschutz aussieht und ob es jeder Patient nutzen kann, ist dennoch ungewiss.