Wolff teilt komplett die Einschätzung der Gematik, nach der der QR-Code ohne weitere Kontrolle eingelöst werden können muss. „Ich bin eigentlich nie von etwas anderem ausgegangen“, so der Experte. Denn auch beim Papierrezept habe man als Versicherter jederzeit die Möglichkeit, seine Medikamente etwa durch Angehörige abholen zu lassen.

Die Grundkonstruktion beim E-Rezept sei daher vernünftig und der Datenschutz angemessen berücksichtigt: Bei der erforderlichen risikobasierten Betrachtung ginge es viel zu weit, Hürden für die Einlösung des QR-Codes einzuziehen. Denn dann sei das System nicht mehr praktikabel und stehe womöglich auch nicht mehr im Einklang mit Gesundheitsinteressen.

Aus seiner Sicht muss der QR-Code nichtsdestotrotz als gesundheitsbezogene Information angesehen werden, da er zwar selbst keine Daten enthält, aber den Zugriff darauf ermöglicht. „Deshalb sind vernünftige Sicherheitsvorkehrungen unerlässlich. Das Problem ist aber nicht das E-Rezept, sondern der Übertragungsweg.“

Kein Verbot von Apotheken-Apps

Aus Perspektive des Datenschutzes sei es keine Lösung, Apps von Apotheken zu verbieten, mit denen QR-Codes ausgelesen werden können. Denn diese Funktion sei im Grundsatz durchaus im Sinne des Patienten und erfülle einen entsprechenden Zweck. Vielmehr müsse der Transport des E-Rezepts stets vernünftig verschlüsselt werden, um einen unbefugten Zugriff darauf zu verhindern.

Dabei geht es laut Wolff primär um die Übermittlung vom Arzt zum Patienten. „Was der Patient dann damit macht, ist im Grunde seine Sache.“ So stehe es ihm vollkommen frei, sein E-Rezept etwa bei Facebook zu posten oder per Whatsapp zu versenden. Die Apotheke dürfe solche Rezepte auch jederzeit ohne Bedenken einlösen – nur aktiv für einen unsicheren Übertragungsweg zu werben oder diesen in den Mittelpunkt zu stellen, sei eher nicht ratsam, so der Anwalt.

Die Landesdatenschutzbeauftragte hatte eine Zustimmung von Versicherten in einen unverschlüsselten Versand dagegen für unzulässig erklärt. Denn die „von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen“ beruhten auf „objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen“. Sie hatte auf einen Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder von Ende 2021 verwiesen.

Und wie steht es nun mit den Apotheken-Apps? Sofern die Übertragung gesichert ist, hat Wolff keine Bedenken, etwa abfotografierte Token einzureichen. „Apotheken-Apps sind nicht tot, sofern sie nicht ohne Verschlüsselung arbeiten.“

Apotheke darf Plattform nutzen

Dies gelte auch dann, wenn im Bestellvorgang die über den QR-Code durch die entsprechende Apotheke abgerufenen Informationen noch einmal angezeigt werden – ohne dass der Betreiber der App selbst als Leistungserbringer an die TI angebunden wäre. „Es ist ja nichts Neues, dass Apotheken auch die Angebote von IT-Dienstleistern nutzen dürfen“, so der Anwalt, der im Rahmen des Programms Wave von Pharma Privat rund 200 Apotheken als externer Datenschützer betreut.

Im Grunde geschehe in den Apps in solchen Fällen eine Auftragsverarbeitung der überlassenen Daten, die nur im Vorfeld durch entsprechende Vereinbarungen und Datenschutzfolgenabschätzungen auf ein juristisch sauberes Fundament gestellt werden müsse. „Der Apotheke muss klar sein, dass sie die Verantwortung hat. Aber das lässt sich aus meiner Sicht rechtssicher konstruieren, wenn die technischen Grundlagen bereitet sind. Das ist juristisches Handwerk.“