Aktuell bildet das E-Rezept im ausgedruckten Datamatrix-Code (umgangssprachlich auch: QR-Code) ein „Token“ ab, das heißt einen Verweis auf eine Datei auf dem Server der Gematik. Im sogenannten Fachdienst liegen die eigentlichen Daten des Rezepts und können dort entschlüsselt werden. Stein sieht darin einen „Man-in-the-Middle-Angriff": Beim E-Rezept befinde sich die Gematik zwischen Arzt und Apotheke – mit entsprechendem Zugang könne man alle Daten einsehen.

Die Alternative könnte eine Erweiterung des Muster-16-Formulars durch einen QR-Code mit den vollständigen Rezeptdaten und einer digitalen Signatur sein. Wie bisher gelangt das Rezept direkt vom Arzt über den Patienten zum Apotheker, ohne dass es den Umweg über die Gematik nehme.

Der Arzt signiere das E-Rezept mit seinem privaten Schlüssel (Private Key), der wiederum im elektronischen Heilberufsausweis (HBA) gespeichert sein könnte. Der zugehörige öffentliche Schlüssel (Public Key) dieses Schlüsselpaares müsste auf einem zentralen Schlüsselserver gespeichert werden und könnte in die lokalen EDV-Systeme der Apotheken heruntergeladen werden. Dieses Schlüsselpaar bleibe im Normalfall über viele Monate bis Jahre unverändert, da es pro Arzt und Ausweis typischerweise nur einmal erzeugt werde. Das Herunterladen könnte vorab zum Beispiel für alle öffentlichen Schlüssel einer Region oder eines Bundeslandes erfolgen, mit denen dann in der Apotheke die Rezepte auch offline auf Echtheit überprüft werden könnten. Damit wären Rezeptfälschungen deutlich schwieriger zu bewerkstelligen. Durch das Einscannen gäbe es zudem auch keine Einlesefehler mehr.

Dieses Prinzip ist schon bekannt vom Impf- und Genesenenzertifikat: Die Erstellung des QR-Codes erfolgt mittels eines Private Key, der der ausstellenden Stelle zugewiesen wurde – danach sind die Zertifikate aber nicht zentral abgespeichert. Die Echtheitskontrolle passiert über den Public Key, der nach dem Herunterladen der CovPass-Check-App zur Verfügung steht. Dabei sind nur dem Inhaber des QR-Codes und dem Auslesenden die Informationen zugänglich, die Daten sind auf keinem Server zwischengespeichert.

Gematik nur als Kontrollhilfe

Die Rolle der Gematik läge lediglich in der Kontrolle auf Doppeleinlösung durch zentrale Speicherung von Prüfsummen (Hashcodes), berechnet aus dem Inhalt eines Rezepts. In den Hashcodes selbst befänden sich aber keine patientenbezogenen Daten. Der eigentliche Inhalt des Rezepts würde nicht an die Gematik übertragen. Diese Hashcodes würden beim Einlesen des QR-Codes „auf Gültigkeit“ überprüft und könnten Auskunft darüber geben, ob bereits eine Einlösung stattgefunden hat. Das passiere online, könne aber auch im Notfall nachträglich gemacht werden – ähnlich bei wie Securpharm.

Stein argumentiert: „Die zentrale Datenspeicherung bedeutet ein vermeidbares, erhöhtes Sicherheitsrisiko“. Sie sei deshalb „unsafe by design“ und ein attraktives Ziel auch für Zugriffe von außen. Ein Internetausfall in der Apotheke würde bedeuten, dass vor Ort keine Einlösung von E-Rezepten möglich wäre, bei einem Ausfall der Gematik wäre das sogar deutschlandweit der Fall. Beides würde vermieden, wenn der QR bereits das vollständige Rezept enthält und nicht an die Gematik übertragen wird.

Die Einsicht der Gematik in die Patient:innendaten sieht er besonders kritisch. Er hält diese für nicht vereinbar mit der Deklaration von Helsinki, die einen Bestandteil der Berufsordnungen der Landesärztekammern darstellt. Demnach müssen Ärzt:innen „bei medizinischer Forschung, bei der identifizierbare menschliche Materialien oder Daten verwendet werden [...] für ihre Sammlung, Lagerung und/oder Wiederverwendung eine informierte Einwilligung einholen“.