Ende August 2022 hatte die Gesellschafterversammlung der gematik die E-Rezept-Funktion der elektronischen Gesundheitskarte (eGK) beschlossen. Die zeitnahe Umsetzung der Funktion hatten mehrere Akteure des Gesundheitswesens gefordert. Das Einlösen elektronischer Verordnungen über die Versichertenkarte sollte im November zur Verfügung stehen. Nun wurde jedoch bekannt, dass sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) den angestrebten Einlöseweg für bedenklich halten.
Hohes Missbrauchsrisiko
Problematisch sei laut BfDI, dass der Zugang zu den Versichertendaten, die in unverschlüsselter Form in einer vertrauenswürdigen Ausführungsumgebung (VAU) vorliegen, ohne Prüfnachweis erfolgen könne. Demnach könnten sich Unbefugte nur mithilfe der Versichertennummer die Daten der elektronischen Verordnung ansehen. Das Missbrauchsrisiko schätze der BfDI vor dem Hintergrund eines zentralen E-Rezepte-Speichers für alle deutschen versicherten Personen als sehr hoch ein, insbesondere aufgrund der mehr als 18.000 Apotheken in Deutschland mit "unterschiedlich stark aufgestellter IT-Sicherheit".
VAU bewusst unverschlüsselt
Dass die Daten in der VAU unverschlüsselt vorliegen, hatte bereits der Chaos Computer Club (CCC) kritisiert. Markus Leyck Dieken, Hauptgeschäftsführer der gematik hatte dazu erwidert, dass diese Sicherheitslücke bewusst in kauf genommen wurde, da die Daten auf diese Weise erneut abgerufen werden können, um Forschung zu betreiben.
Zugangstoken über VSDM
Um die Sicherheit zu erhöhen, schlägt der BfDI die Möglichkeit vor, durch das Versichertenstammdatenmanagement (VSDM) einen Zugangstoken zu generieren, der transportverschlüsselt digital verschickt werden kann. Dies sehe auch die Spezifikation „Einlösen ohne Anmeldung am E-Rezept-Fachdienst im E-RezeptFdV“ der gematik vor. Dazu müssten jedoch Änderungen am Apothekenverwaltungs- und dem E-Rezept-Fachdienst vorgenommen werden. Dies sei aber auch bei anderen geplanten Methoden überfällig.
Der geplante Bußgeldtatbestand beim Missbrauch der E-Rezept-Daten im Krankenhauspflegeentlastungsgesetz werde zwar gesehen, schütze allerdings nicht präventiv. Die DSGVO sei jedoch auf Prävention ausgelegt.
Sorgen ernst nehmen – schnelle Lösung finden
Thomas Dittrich, Vorsitzender des Deutschen Apothekerverbands (DAV) erklärte, man müsse die Sorgen der Datenschützer ernst nehmen. „Jetzt sind alle Beteiligten gefragt, diese Bedenken auszuräumen und schnell eine praktikable Lösung auch im Sinne der Patientinnen und Patienten zu finden. Der DAV setzt sich schon seit langem für die eGK ein und wir sind weiter von deren Einsatz bei der Einlösung von E-Rezepten überzeugt." Die Funktion könne von der Gematik und den Apothekensoftwarehäusern relativ schnell freigeschaltet werden.
