Datenschützer warnen vor Auswertung

E-Rezept ohne Ende-zu-Ende-Verschlüsselung APOTHEKE ADHOC, 21.10.2020 15:20 Uhr

Betreiber kann mitlesen: Das E-Rezept erhält keine Ende-zu-Ende-Verschlüsselung. Foto: Shutterstock.com/SvetaZi
Berlin - 

Arzneimittelverordnungen enthalten per se höchst sensible Daten – eigentlich ist es fast müßig, die herausgehobene Bedeutung größtmöglicher Datensicherheit zu betonen. Entgegen der Forderungen der Abda hat sich die Gematik allerdings entschieden, beim E-Rezept auf eine Ende-zu-Ende-Verschlüsselung zu verzichten. Das heißt: Innerhalb der Telematikinfrastruktur (TI) kann mitgelesen werden. Allerdings: Laut Patientendatenschutzgesetz (PDSG) liegt die Verantwortung für die Datensicherheit in der TI gar nicht bei der Gematik.

Das E-Rezept ist sicher, betont die Gematik – allerdings könnten TI-Teilnehmer mitlesen, da nach aktueller Rechtslage keine Ende-zu-Ende-Verschlüsselung vorgesehen ist. Vor der Belieferung der Verordnungen durch die Apotheken könnte dadurch das Verordnungsverhalten der Ärzte ausgewertet werden, merkt Abda-IT-Chef Sören Friedrich an. Der DAV habe sich beim E-Rezept für eine Ende-zu-Ende-Verschlüsselung aller Rezept-Daten eingesetzt, wie sie nun auch beim Pilotprojekt in Berlin und Brandenburg umgesetzt werde.

„Das heißt, das E-Rezept wird erst bei dessen Einlösung durch den Patienten in der Apotheke entschlüsselt“, so Friedrich. „Die zum 30. Juni 2020 veröffentlichten Spezifikationen der Gematik sehen für das E-Rezept nun jedoch eine Verarbeitung von Informationen innerhalb einer vertrauenswürdigen Ausführungsumgebung vor, das ist ‚ein geschützter Raum‘ innerhalb der Telematik-Infrastruktur.“

Die Lösung der Gematik solle dasselbe Sicherheitsniveau abbilden wie eine Ende-zu-Ende-Verschlüsselung, sagt Friedrich. Über die vertrauenswürdige Ausführungsumgebung bestehe dabei die Möglichkeit, innerhalb des gesetzliches Rahmens Daten zu verarbeiten. „Ob, wann und wie dazu ein rechtlicher Rahmen des Bundesgesundheitsministeriums geschaffen wird, bleibt abzuwarten.“ Datenschützer sehen das äußerst kritisch: Denn wenn das Verordnungsverhalten der Ärzte vor der Belieferung ausgewertet werden kann, „dann sind theoretisch und praktisch auch andere zentrale Auswertungen möglich; zum Beispiel auch, welchen Versicherten welche Medikamente in welcher Menge verschrieben werden“, schlussfolgert der Verein Patientenrechte und Datenschutz.

Der Dienstleister Datenschutz Nord Gruppe (DSN) verweist in dem Zusammenhang darauf, dass die Gematik – die die TI von der Bertelsmann-Tochter Arvato betreiben lässt – jedoch laut Gesetzeslage gar nicht die datenschutzrechtliche Verantwortlichkeit trägt. Vielmehr schreibe das PDSG fest, dass diese Verantwortlichkeit bei den jeweiligen Dienstanbietern liegt.

Dagegen hatte sich schon in der Vergangenheit Widerstand geregt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits im September 2019 einen Beschluss gefasst, in dem sie eine gesetzliche Regelung fordert, der der Gematik eine Verantwortlichkeit für die Datensicherheit innerhalb der TI zuweist. Die bundeseigene Gesellschaft müsse „datenschutzrechtlich alleinverantwortlich für die zentrale Zone der TI“ sowie „datenschutzrechtlich mitverantwortlich für die dezentrale Zone der TI“ sein, heißt es in dem Beschluss: „Der Umfang der Verantwortung der Gematik für die dezentrale Zone der Telematik-Infrastruktur bedarf einer gesetzlichen Regelung.“

Dabei beruft sich die DSK auf Artikel 26 der europäischen Datenschutz-Grundverordnung (DSGVO). „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche“, heißt es darin – die bisherige Rechtslage widerspricht damit nach Auffassung der Datenschutzaufsichtsbehörden des Bundes und der Länder der DSGVO – die Bundesregierung habe das jedoch im Gesetzgebungsverfahren ignoriert, kritisiert DSN. Wer die Betreiber der technischen Infrastruktur für das E-Rezept sind, die dann mitlesen können und die Verantwortlichkeit für die Datensicherheit tragen, steht noch nicht fest. Die Gematik hat den dazugehörigen Fachdienst derzeit ausgeschrieben, weniger als eine Handvoll Unternehmen ist derzeit in der engeren Auswahl – eines davon: die Zur-Rose-Tochter eHealth-Tec.