„Nach dem Willen des Gesetzgebers ist für die elektronische Übermittlung und Verarbeitung vertragsärztlicher elektronischer Verordnungen von apothekenpflichtigen Arzneimitteln, einschließlich Betäubungsmitteln, sowie von sonstigen in der vertragsärztlichen Versorgung verordnungsfähigen Leistungen die Telematikinfrastruktur zu nutzen, sobald die hierfür erforderlichen Dienste und Komponenten flächendeckend zur Verfügung stehen“, heißt es in dem Schreiben der Landesdatenschutzbeauftragten Marit Hansen vom vergangenen Freitag.

Patientinnen und Patienten sollten sich dabei entweder mit einer NFC-fähigen Gesundheitskarte, PIN und NFC-fähigem Smartphone oder teilweise mittels Anmeldung in der jeweiligen Krankenkassen-App authentifizieren. „Die versicherte Person kann so auf das ausgestellte E-Rezept zugreifen und dieses in einer selbst gewählten Apotheke elektronisch einlösen.“ Allerdings räumt Hansen selbst ein, dass „nur sehr wenige versicherte Personen über die notwendige Technik verfügen“ und daher „diese Art der Authentifizierung nicht kurzfristig flächendeckend umsetzbar“ sei.

Ein Umweg sei aber nicht vorgesehen: „Da [...] für die Übermittlung der Verordnungen von verschreibungspflichtigen Arzneimitteln Dienste und Komponenten der Telematikinfrastruktur der Gematik zu nutzen sind, besteht keine gesetzliche Verpflichtung, auf andere (elektronische) Übertragungswege auszuweichen. Eine Übermittlung per E-Mail wird daher vom Gesetzgeber nicht gefordert.“ Für eine Versendung von QR-Codes per E-Mail bestünden „keine Anhaltspunkte“.

Gesundheitsdaten wiesen eine hohe Sensibilität auf; ihre Übermittlung per E-Mail sei daher an den Vorgaben von Art. 32 Datenschutz-Grundverordnung (DSGVO) zu messen. Und hier seien die Leistungserbringer in der Pflicht: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen die Leistungserbringer geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Verschlüsselung reicht nicht

Eine Transportverschlüsselung wäre laut Hansen für den Versand der E-Mails nicht ausreichend. „Die Inhalte der E-Mails bedürfen eines zusätzlichen Schutzes. Denkbar erscheint es, der versicherten Person auf sicherem Weg getrennt ein Passwort zur Entschlüsselung der E-Mail oder eines E-Mail-Anhangs zu übermitteln, welche den QR-Code enthält. Diese zusätzliche Verschlüsselung wäre insbesondere unter Berücksichtigung des Stands der Technik und der Implementierungskosten vertretbar. Auch andere verschlüsselte und gegen unbefugte Zugriffe geschützte Kommunikationswege zwischen Leistungserbringern und versicherten Personen sind prinzipiell denkbar.“

Arzt schickt Rezept an Apotheke

Möglich wäre laut Hansen auch, dass die Praxis nach Einholung der Einwilligung der Patientin oder des Patienten den QR-Code oder die Verordnung an eine bestimmte Apotheke versende und hierzu die Telematikinfrastruktur nutze, beispielsweise das Verfahren KIM (Kommunikation im Medizinwesen), in dem die Kommunikation durch Ende-zu-Ende-Verschlüsselung abgesichert sei.

Eine Zustimmung von Versicherten in einen unverschlüsselten Versand sei dagegen rechtlich nicht möglich: „Eine Einholung von Einwilligungen der versicherten Personen durch die Leistungserbringer hinsichtlich der Übermittlung der QR-Codes per E-Mail an die versicherte Person selbst oder an Apotheken unter Verzicht auf angemessene Verschlüsselung wäre unzulässig, denn die von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.“ Dazu habe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Ende 2021 schon Stellung genommen.

Problem: Apotheken-App

Hintergrund für die Bedenken sind „auf dem Markt frei erhältliche Apps aus dem Apothekenumfeld“, mit denen „jeder Person, die befugt oder unbefugt im Besitz des jeweiligen QR-Codes ist, die Kenntnisnahme von in der Telematikinfrastruktur der Gematik enthaltenen Daten einer Verordnung zu verschreibungspflichtigen Arzneimitteln ermöglicht“ werde.

„Beim Einlesen von QR-Codes in solche Apps werden die Verordnungsdaten ermittelt und den App-Nutzenden angezeigt. Die Versendung von QR-Codes per E-Mail ohne angemessene Verschlüsselung würde daher das Risiko erhöhen, dass die Gesundheitsdaten in unbefugte Hände geraten: Die frei erhältlichen Apps führen, soweit ersichtlich, keine Berechtigungsprüfung der Nutzenden durch, sodass der Name der versicherten Person, deren Geburtsdatum, Kontaktdaten des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel mangels ausreichender technischer Sicherung von unbefugten Personen eingesehen werden könnten. Ähnliches wird wohl auch bei der Nutzung von Online-Apotheken ermöglicht.“