E-Rezept als erste medizinische Pflichtanwendung

Das Jahr 2020 markierte einen Meilenstein im deutschen Gesundheitswesen, als das Patientendaten-Schutz-Gesetz (PDSG) Änderungen im Sozialgesetzbuch V (SGB V) einführte. Gemäß den §§ 360 und 361 SGB V wurde festgelegt, dass ärztliche Verordnungen ab dem 1. Januar 2022 elektronisch über die Telematikinfrastruktur (TI) übermittelt werden müssen. Das sogenannte E-Rezept wurde damit zur ersten medizinischen Pflichtanwendung. Obwohl der Start am 1. September 2022 in der Testregion Westfalen-Lippe erfolgte, wurde die Anwendung kurz darauf von der Kassenärztlichen Vereinigung Westfalen-Lippe gestoppt.

Digitalisierung von Rezepten: Chancen und Herausforderungen

Das E-Rezept bietet Patienten die Möglichkeit, ihre ärztlichen Verordnungen digital zu empfangen, zu verwalten und in Apotheken einzulösen. Hierbei werden die Rezepte in der TI zentral gespeichert, wodurch Patienten die Wahl zwischen elektronischem Zugang und Papierausdruck haben. Die Digitalisierung verspricht eine Vereinfachung von Abläufen in medizinischen Praxen und Apotheken, minimiert Arztbesuche und erleichtert die Überwachung von Medikamentenwechselwirkungen.

Zugang und Authentifizierung: Der Weg zum E-Rezept

Die Digitalisierung setzt voraus, dass Versicherte auf elektronischem Weg auf ihre E-Rezepte zugreifen können. Dies erfordert eine Anmeldung mit der elektronischen Gesundheitskarte (eGK) in der TI. Obwohl NFC-fähige eGK verbreitet sind, fehlt vielen Versicherten noch die dafür benötigte PIN. Die Zeit bis zur verschobenen Einführung des E-Rezepts sollte genutzt werden, um mehr Versicherte mit NFC-fähiger eGK und PIN auszustatten.

Um den unverschlüsselten Versand von E-Rezepten per E-Mail zu verhindern, hat die Gematik das Verfahren “Versenden von E-Rezepten ohne Anmelden in der TI” spezifiziert. Versicherte können ihre E-Rezept-Codes durch Abfotografieren in ihre E-Rezept-App hinzufügen und verschlüsselt an die Apotheke senden. Eine barrierearme Möglichkeit besteht auch darin, dass Versicherte seit Sommer 2023 in den Apotheken ihre eGK in das Kartenlesegerät (ohne PIN-Eingabe) stecken und alle E-Rezepte vom zentralen E-Rezepte-Server abrufen lassen können.

Datenschutz und Sicherheit: Ein kritischer Blick auf das E-Rezept

Die Erstellung des E-Rezepts erfordert die Speicherung sensibler Patientendaten, darunter Name, Anschrift, Geburtsdatum, Krankenkasse und mehr. Obwohl das PDSG den Datenschutz regelt und die Speicherung verschlüsselt auf den Servern der TI erfolgt, gibt es Kritikpunkte.

Chaos Computer Club (CCC) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, äußerten Bedenken hinsichtlich der Sicherheit des E-Rezepts. Tests des CCC im Dezember 2019 zeigten Zugriffsmöglichkeiten auf Gesundheitsdaten, und es fehlt eine Ende-zu-Ende Verschlüsselung. Die unklare Verteilung der Verantwortlichkeit beim Datenschutz und offene Fragen zu Haftung im Schadensfall verunsichern Patienten.

E-Rezept und Datenschutz: Herausforderungen und Lösungsansätze

Das E-Rezept steht auf dem Prüfstand in Bezug auf Datenschutz und Sicherheit. Die gematik GmbH bemüht sich um Verbesserungen, während der BfDI bis zum Sommer 2023 eine sichere Lösung von allen Beteiligten erwartet. Pilotprojekte in Schleswig-Holstein und Westfalen-Lippe wurden aufgrund von Datenschutz- und Sicherheitslücken gestoppt. Die aktuellen Herausforderungen betreffen unter anderem den Versand von Codes per E-Mail und SMS sowie die Nutzung der App, die ein NFC-fähiges Smartphone und eine NFC-fähige Gesundheitskarte erfordert.

Datenschutz beauftragter als Schlüsselakteur

Die Digitalisierung im Gesundheitswesen birgt Chancen, aber auch erhebliche Datenschutzrisiken. Der Datenschutzbeauftragte spielt eine entscheidende Rolle bei der Überwachung und Sicherstellung der Einhaltung der Datenschutzbestimmungen. Die Verfügbarkeit und Sicherheit von Gesundheitsdaten, sei es durch die Einführung des E-Rezepts oder der elektronischen Patientenakte, erfordert eine sorgfältige Abwägung zwischen Digitalisierungsvorhaben und dem Schutz der informationellen Selbstbestimmung.

Patientensouveränität und Zugriffsmanagement

Die Einführung der elektronischen Patientenakte (ePA) gemäß dem PDSG sollte die Patientensouveränität wahren. Dennoch gibt es kritische Aspekte, insbesondere hinsichtlich des Zugriffsmanagements für sogenannte “Frontend-Nichtnutzer”. Diese Gruppe wird in ihrer Souveränität beschränkt, da sie nur beschränkte Zugriffsrechte erteilen können. Die Nutzung von Kassenterminals für Personen ohne eigenes geeignetes Gerät wurde nicht umgesetzt, was zu einer Zweiklassengesellschaft bei der ePA führt.

Authentisierung und Alternativen

Die Sicherheit des Zugriffs auf die ePA erfordert hochsichere Authentifizierungsverfahren. Die “Alternative Versichertenidentität” basiert auf einem Signaturdienst und wurde bis zum 31.12.2023 verlängert, unter der Bedingung, dass alle Nutzenden des Systems mit einer kartengebundenen Authentisierungslösung ausgestattet werden. Hierbei zeigt sich eine Herausforderung in der Umsetzung der ePA nach den Vorgaben des nationalen Gesetzes, da dies europarechtswidrig ist. Der BfDI hat die gesetzlichen Krankenkassen frühzeitig gewarnt und später angewiesen, ihren Versicherten eine DSGVO-konforme ePA anzubieten. Diese Aufforderung wurde von einigen Krankenkassen vor Gericht angefochten, und die rechtliche Unsicherheit bleibt bestehen.