Kein „E-Rezept per SMS“: Datenschützer:innen kritisieren Card-Link-Verfahren
Dass die Übermittlung von E-Rezept-Codes per SMS nicht datenschutzkonform ist, ist bekannt. Dennoch steht die SMS-TAN-Methode nun erneut zur Debatte, und zwar beim geplanten Card-Link-Verfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm und pocht beim Verfahren auf die Nutzung von elektronischer Gesundheitskarte (egK) und PIN.
Die elektronische Gesundheitskarte (eGK) dient seit Sommer 2023 neben dem Token-Ausdruck und der E-Rezept-App als dritter Einlöseweg für elektronische Verordnungen. Ein Großteil der E-Rezepte wird dabei über die eGK abgewickelt, wie eine Umfrage von IQVIA im Auftrag der Abda unter mehr als 1.000 Inhaber:innen gezeigt hat. „Ohne eGK wäre also das E-Rezept kaum ein Erfolg geworden“, so das Fazit der Standesvertretung.
Doch um das E-Rezept über die eGK abzurufen, ist ein Stecken der Karte in das entsprechende Lesegerät erforderlich. Die Versandapotheken sehen sich dadurch im Nachteil. Mit dem Card-Link-Verfahren will die gematik Abhilfe schaffen. Dabei könnte das Übermitteln von E-Rezepten unter anderem über ein SMS-TAN-Verfahren laufen. Datenschützer:innen schlagen allerdings Alarm.
Datenschutzbedenken gegen Card-Link-Verfahren
Beim geplanten Card-Link-Verfahren soll das Smartphone als Lesegerät dienen. Die NFC-fähige eGK wird damit eingelesen und durch die Eingabe der letzten sechs Ziffern der Kartennummer freigegeben. Über die App der jeweiligen Gesundheitsplattform oder der Versandapotheke kann auf die Rezepte zugegriffen werden, um diese schlussendlich über die Telematikinfrastruktur (TI) zur Bestellung abzuschicken. Anstelle der PIN für die eGK könnte dabei ein SMS-Code zur Identifizierung genutzt werden.
Genaue Spezifikationen des Verfahrens will die gematik noch in diesem Quartal veröffentlichen – in Abstimmung mit dem BSI. Doch dieses zeigt sich schon jetzt skeptisch: Denn die „anwendungsbezogenen Anteile“, zu denen auch das Einlösen des E-Rezepts per Card-Link gehört, seien „nicht direkt Teil der Regulierungen“ bei der gematik. Gleiches gelte für Empfehlungen in den Implementierungsleitfäden, heißt es gegenüber Heise. Beide Aspekte würden nicht dem Stand der Technik entsprechen. Somit sollte das Card-Link-Verfahren – wenn überhaupt – lediglich als Übergangslösung in Betracht kommen. Die generelle BSI-Empfehlung lautet jedoch: Bis zur Bereitstellung der Gesundheits-ID sollte das E-Rezept nur per eGK und zugehöriger PIN genutzt werden.
Welche Bedenken genau gegen das geplante Verfahren vorliegen, wird nicht weiter spezifiziert. „Wir bitten um Verständnis, dass sich das BSI zu laufenden Verfahren und den dazugehörigen Inhalten der Gespräche mit der gematik nicht weiter äußert“, heißt es von einem Sprecher auf Nachfrage.
Zur Erinnerung: Seit Jahresbeginn sind die Kassen verpflichtet, Versicherten eine digitale Identität – die Gesundheits-ID – anzubieten. Die Nutzung ist bisher freiwillig. Damit soll das Einloggen in Anwendungen wie die E-Rezept-ermöglicht werden. Doch der Zugang zur Gesundheits-ID ist bisher kompliziert. Gemeinsam mit den Kassen arbeite man daher an einer „dauerhaft einfachen und komfortablen Anmeldung“, beispielsweise mittels biometrischer Merkmale, heißt es von der gematik.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Mutterschutz auch bei Fehlgeburt ab 13. SSW
Zum 1. Juni treten Neuerungen beim Mutterschutzgesetz (MuSchG) in Kraft. Künftig haben auch Frauen Anspruch auf Mutterschutz, die ab der …
TGL: Tarifabschluss ist „ausbalancierte Lösung“ zum Arbeitsplatzerhalt
Nach langwierigen Verhandlungen zwischen der Adexa und der Tarifgemeinschaft der Apothekenleiter Nordrhein (TGL) greift seit Jahresbeginn ein neuer Gehaltstarifvertrag. Der …
PTA fordert knapp 69.000 Euro Schadenersatz
Zwei Jahre lang war eine Mitarbeiterin der Klinikapotheke der Universität Mainz erkrankt, dann wollte sie ihren Dienst wieder antreten. Weil …
