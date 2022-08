Der Versand von 2D-Codes für E-Rezepte über E-Mail und SMS ist nicht zulässig. Dies erklärt Marit Hansen, Schleswig-Holsteins Datenschutzbeauftragte, vor dem Hintergrund des Ausstiegs der Kassenärzte des Bundeslandes aus der Testphase des E-Rezepts. Die Datenschutzbeauftragte ist zu dem Schluss gekommen, dass mithilfe eines abgefangenen Codes die "zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel" mithilfe bestimmter Apps unautorisiert eingesehen werden können.

Demnach sind zwei Wege als sichere Übertragungsmöglichkeiten bundesweit spezifiziert und festgelegt: Elektronisch kann das E-Rezept über die gleichnamige App mit einem Smartphone und einer Gesundheitskarte in der Version 2.1 abgerufen werden. Alternativ kann ein Ausdruck erfolgen.

Überdies weist Hansen auf den sicheren Übertragungsweg mit KIM hin – der verschlüsselte E-Mail-Dienst für die Kommunikation im Medizinwesen. "Wer auf eine unsichere Alternative setzt, verursacht damit ein Risiko für die betroffenen Personen und würde sogar den Anreiz nehmen, die zu diesem Zweck entwickelten Systeme mit angemessenem Schutz einzusetzen", stellt Hansen klar. Allerdings sind bereits viele QR-Code-ähnliche 2D-Codes unverschlüsselt per Mail an Apotheken und Patienten übermittelt worden.

Denn die Hälfte aller bundesweit ausgestellten E-Rezepte ist bis Anfang Mai aus Schleswig-Holstein gekommen, wie der dortige Hersteller von Praxisverwaltungssoftware (PVS) Medisoftware auf seiner Homepage schreibt. Der Anteil war jedoch nur so hoch, weil ein Mechanismus in der Software anhand der Mail-Domain automatisch entschied, ob der 2D-Code über den KIM-Dienst oder unverschlüsselt per E-Mail verschickt wurde.

"Ungeschützter Zugriff auf Funktionen der Telematik"

In der Zeit von Dezember 2021 bis zum 22. August 2022 betraf dies demnach 15.087 Mails an Apotheken, 10.356 Mails an Patienten und 2.819 ausgedruckte E-Rezepte – nur 167 wurden über die E-Rezept-App eingelöst. Am 22. August um 12:00 Uhr hat Medisoftware den Mailversand der 2D-Token auf KIM beschränkt.

Auf Nachfrage von heise online bestätigte der Medisoftware-Geschäftsführer Jan Meincke, es sei "nicht klar gewesen, dass die 2D-Codes in beliebigen Apotheken-Apps ohne weitere Prüfungen und Kontrollen in Klartext abgerufen werden können". Dies sei seiner Ansicht nach ein "ungeschützter Zugriff auf Funktionen der Telematik". Laut Meincke verfügen lediglich acht von über 600 Apotheken über eine KIM-Adresse – das heißt, dass fast ausschließlich unverschlüsselte Mails an Apotheken verschickt wurden. Das dürfte 10 bis 15 Prozent aller von Dezember bis 22. August bundesweit eingelösten E-Rezepte betreffen.

Auch Gematik äußerte sich in einer Stellungnahme zum E-Rezept gegenüber heise online: "SMS oder E-Mail waren nie als sichere Einlösewege des E-Rezepts Bestandteil der Gematik-Spezifikationen, sondern eine individuelle, von nur sehr wenigen Herstellern angebotene Entwicklung der Software-Branche. Die Gematik hat in der Vergangenheit bereits diesbezüglich auf Regulierungsbedarf hingewiesen."

Kassenärzte und Apotheker stellen Bedingungen

Die Kassenärztliche Vereinigung Westfalen-Lippe will weiterhin als Testregion an Bord bleiben – allerdings unter der Bedingung, dass in den nächsten drei Monaten das E-Rezept mit der elektronischen Gesundheitskarte eingelöst werden kann. Auch die Kassenzahnärztliche Bundesvereinigung und die Kassenzahnärztliche Vereinigung Westfalen-Lippe nehmen im September Tests auf. Allerdings erwarten sie "von Gematik und BMG [...], dass das E-Rezept zeitnah und sicher mit der elektronischen Gesundheitskarte in der Apotheke eingelöst werden kann."

Die Bundesvereinigung Deutscher Apothekerverbände (ABDA) ist auf den Testbetrieb ebenfalls vorbereitet: "Bundesweit hat sich schon die Mehrheit der Apotheken für E-Rezept-startklar erklärt, in den beiden Startregionen Westfalen-Lippe und Schleswig-Holstein sind es sogar etwa drei Viertel", informiert die Präsidentin der ABDA, Gabriele Regina Overwiening. Allerdings setz sich der ABDA ebenfalls "vehement" für eine schnellstmögliche und unbürokratische Umsetzung einer weiteren Möglichkeit für den Abruf des E-Rezepts mittels elektronischer Gesundheitskarte ein. Dieser Weg müsse in den kommenden Monaten möglich werden.

Gematik plant die Umsetzung jedoch erst für 2023 – bisher ohne konkretes Datum für den Start der bereits seit Jahren ersehnten Funktion. Der Testbetrieb soll in Westfalen-Lippe am 1. September mit rund 250 Arztpraxen beginnen.

E-Rezept schwer zugänglich

Die offizielle Darstellung Gematiks zum E-Rezept scheint vielen Beteiligten – inklusive der in der Testregion verantwortlichen Kassenärztlichen Vereinigung Schleswig-Holstein (KSVH) – ein falsches Bild von der Funktionsweise des E-Rezepts zu vermitteln. Das eigentliche E-Rezept mit den Patienten- und Arztdaten sowie den verordneten Medikamenten liegt auf zentralen Servern der TI. Der Patient erhält einen Zugriffs-Token, mit dem das eigentliche E-Rezept auf dem Server identifiziert und aberufen werden kann – eine Art URL oder Schlüssel. Dieses Zugriff-Token kommt in zwei Varianten: Als 2D-Code auf Papier oder auf dem Smartphone.

Da für die Verwendung der Gematik-App ein NFC-fähiges Smartphone mit mindestens iOS 14 oder Android 7 sowie eine NFC-fähige elektronische Gesundheitskarte notwendig sind, soll diese umständliche Anmeldung 2023 mithilfe einer elektronischen Identität durch kartenlose Anmeldung ersetzt werden. Diese wurde von einem Großteil der Betriebskrankenkassen bereits umgesetzt.

Eine weitere Hürde für Anwender liegt darin, dass sie immer wieder die sechsstellige PIN der eGK angeben müssen, um E-Rezepte abrufen zu können. Nur Gematik darf diese App anbieten, da sie als öffentliche Stelle die Versorgung sichere und die Daten der Versicherten schütze.

