E-Rezept & Datenschutz: Ist das elektronische Rezept DSGVO-konform?

Letztes Update:
25
.
10
.
2022
Lesezeit:
0
Min
Ab 1. Januar 2022 ist das E-Rezept in allen Arztpraxen Pflicht. Doch elektronische Rezepte wecken auch Verunsicherung mit Blick auf die dort gespeicherten sensiblen Daten. Lesen Sie, wie sich das E-Rezept mit dem Thema Datenschutz vereinbaren lässt.
E-Rezept & Datenschutz: Ist das elektronische Rezept DSGVO-konform?
Die wichtigsten Erkenntnisse
  • E-Rezept ab 1. Januar 2022 für alle Arztpraxen verpflichtend.
  • Speicherung sensibler Patientendaten wie Name, Anschrift, Geburtsdatum.
  • Daten verschlüsselt auf Servern der Telematikinfrastruktur gespeichert.
  • Chaos Computer Club fand Sicherheitslücken im Dezember 2019.
  • Projektstart verzögert sich wegen Bedenken der Kassenärztlichen Vereinigung Schleswig-Holstein.

Ein elektronisches Rezept, kurz E-Rezept, macht für Patienten und Ärzte vieles einfacher: Besonders für Menschen mit eingeschränkter Bewegungsfreiheit bringt die digitale Verfügbarkeit von Rezepten viele Vorteile. In Kombination mit einer Videosprechstunde haben Patienten mithilfe des E-Rezeptes die Möglichkeit, beschwerliche Wege zum Arzt zu vermeiden. Doch die Digitalisierung des Gesundheitssystems birgt auch Risiken beim Datenschutz in Arztpraxen. Das E-Rezept muss gerade in Sachen Datenschutz noch nachjustiert werden.
 

Wie funktioniert das E-Rezept?

Das E-Rezept ist ein digitales Rezept, das auf dem Smartphone mittels eines QR-Codes abgerufen werden kann. Über eine App können Patienten auf diese Weise Rezepte mit ärztlichen Verordnungen für Arzneimittel elektronisch empfangen, verwalten und in der Apotheke vorlegen. Sie sparen dadurch Termine und Wege zum Arzt. Bevor Patienten ein E-Rezept einlösen, können sie über die App herausfinden, in welcher Apotheke das Medikament gerade verfügbar ist. Auch für Apotheker wird der Arbeitsalltag dadurch unkomplizierter. Die elektronische Speicherung von Rezepten macht es zudem möglich, schneller Wechselwirkungen der verschriebenen Medikamente zu erkennen. Entwickelt wurde das E-Rezept von der gematik GmbH. Die E-Rezept-App ist in allen gängigen App Stores verfügbar.
 

Datenschutz im Gesundheitsbereich

In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.

Welche personenbezogenen Daten werden für das digitale Rezept gespeichert?

In E-Rezepten sind zahlreiche sensible Daten enthalten. Neben Informationen zu den verordneten Arzneimitteln und dem ausstellenden Arzt werden in E-Rezepten verschiedene personenbezogene Daten der Patienten verarbeitet. Hierzu zählen zum Beispiel:

  • Name
  • Anschrift
  • Geburtsdatum
  • Krankenkasse
  • Versichertenstatus
  • Krankenversichertennummer

Mittels dieser Daten lassen sich nicht nur die betreffende Person, sondern auch Rückschlüsse auf deren Gesundheit leicht ermitteln. Ähnlich wie im Fall der elektronischen Gesundheitskarte stellt sich die Frage, ob diese Informationen ausreichend geschützt sind. Es lohnt sich also ein kritischer Blick auf den Datenschutz von E-Rezepten.
 

Datenschutz: Rechtliche Grundlage für das elektronische Rezept

Laut gematik GmbH erfolgt die Speicherung der Daten verschlüsselt auf den Servern der Telematikinfrastruktur – einem virtuellen Netzwerk, über das Ärzte Informationen austauschen können. Dort gespeicherte Daten können nur mittels eines QR-Codes abgerufen werden. Um den Schutz der Patientendaten zu garantieren, sind geeignete technische und organisatorische Maßnahmen (TOM) nötig, die dem aktuellen Stand der Technik angepasst sein müssen.

Der Datenschutz von E-Rezepten wird durch das Patientendaten-Schutz-Gesetz (PDSG) geregelt. Dies hat zur Folge, dass die Verantwortlichkeit für die Einhaltung des Datenschutzes nicht alleine bei der gematik GmbH, dem Betreiber der Telematik-Infrastruktur, liegt, die für die technische Umsetzung des E-Rezeptes verantwortlich ist. Vielmehr werden hier die Arztpraxen, Apotheken und Krankenhäuser, als Dienstnutzer, mit dem Betreiber, gemeinsam in die Pflicht genommen. Patienten verunsichert diese Streuung der Verantwortlichkeiten. Die Frage, an wen sich der Patient wenden muss im Falle von Schadensersatzansprüchen und zur Durchsetzung von Betroffenenrechten muss im Einzelfall besonders betrachtet wirken und führt zu Rechtsunsicherheiten.
 

So sicher sind Ihre Daten bei der Nutzung des E-Rezepts

Das E-Rezept weist in Sachen Datenschutz noch einige Mängel auf: Im Dezember 2019 gelang dem Chaos Computer Club der Zugriff auf die Gesundheitsdaten der Versicherten, indem er sich Zugang zur Telematikinfrastruktur verschaffte. Externe Gutachter fanden bei der Prüfung des E-Rezeptes nach der BSI-Prüfvorschrift überdies 23 unerfüllte Anforderungen. Das BSI forderte die Behebung von 10 dieser Mängel. Die gematik GmbH reagierte daraufhin und plant die Umsetzung der fehlenden Anforderungen bis zum 31.12.2021. Ein neues Gutachten soll die Behebung der Mängel nachweisen.

E-Rezept und Datenschutz sind bedingt miteinander vereinbar. Während das E-Rezept auf dem Prüfstand noch einige Sicherheitslücken aufweist, zeigt sich die gematik GmbH bei der Nachbesserung kooperativ und transparent. Trotzdem wirft die unklare Verteilung der Verantwortlichkeit beim Datenschutz immer noch einige Fragen auf. Für die Einhaltung des Datenschutzes und eine erfolgreiche Umsetzung des E-Rezeptes ist es außerdem notwendig, dass die technischen und organisatorischen Maßnahmen stets unter Berücksichtigung der Stand der Technik auf dem neuesten Stand sind. Es bleibt abzuwarten, ob die gematik GmbH dieser Herausforderung gerecht wird.

Update September 2022: Scheitert das Projekt E-Rezept jetzt doch?

Anfang September sollte das elektronische Rezept nun in zwei Modellregionen eingeführt werden: in Westfalen-Lippe und im Bundesland Schleswig-Holstein. Ende August hat jedoch Schleswig-Holsteins Kassenärztliche Vereinigung (KVSH) angekündigt, das E-Rezept vorerst nicht zu starten. Grund hierfür sei, dass der Versand der Codes für das E-Rezept per E-Mail und SMS nicht datenschutzkonform sei. Eine weitere Hürde ist, dass für die Verwendung der Gematik-App ein NFC-fähiges Smartphone mit mindestens iOS 14 oder Android 7 sowie eine NFC-fähige elektronische Gesundheitskarte notwendig ist. Zudem ist die Handhabung für Nutzer umständlich, da jedes Mal eine sechsstellige PIN der eGK angegeben werden muss, um die Rezepte abrufen zu können. In Westfalen-Lippe soll das Projekt jedoch zunächst in circa 250 Praxen umgesetzt werden. Geplant ist, dass das E-Rezept 2023 bundesweit zur Verfügung steht. Außerdem sollen Rezepte auch mit der elektronischen Gesundheitskarte eingelöst werden können. Wann das elektronische Rezept wirklich umgesetzt wird, wie es mit dem Datenschutz aussieht und ob es jeder Patient nutzen kann, ist dennoch ungewiss.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!