Sicherheitsschwachstelle: E-Rezept per eGK nicht datenschutzkonform
Um das E-Rezept gibt es weiter Wirbel. Dass die Übermittlung per E-Mail nicht mit dem Datenschutz übereinstimmt, ist längst klar. Doch auch die Alternative – das E-Rezept per elektronischer Gesundheitskarte (eGK) – birgt Risiken und könnte ebenfalls noch vor dem Start scheitern.
Bisher gibt es das E-Rezept vor allem auf Papier. Denn die E-Rezept-App der gematik spielt bisher kaum eine Rolle und eine digitale Übermittlung per E-Mail und/oder SMS verstößt gegen die Datenschutzvorschriften, wie Datenschützer:innen aus Schleswig-Holstein kurz vor dem Beginn des stufenweisen Rollouts aufdeckten. Der Grund: Dies stelle bereits eine Übermittlung von Gesundheitsdaten dar, die in die falschen Hände geraten könnten.
Die Folge: Die Kassenärztliche Vereinigung im Bundesland stieg noch vor dem Start aus dem Rollout aus, sodass es am 1. September nur in Westfalen-Lippe losging. Um einen weiteren Weg zur Einlösung zu schaffen, einigte sich die gematik Ende August auf das E-Rezept per eGK, das in Kürze möglich sein soll. Das Problem: auch hier besteht Missbrauchspotenzial, kritisieren der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
E-Rezept per eGK: Missbrauch möglich
Demnach könne der BfDI den von der gematik übermittelten Spezifikationen für die eGK-Lösung des E-Rezepts, genauer für den „Abruf der E-Rezepte in der Apotheke nach Autorisierung“ keine Freigabe erteilen, heißt es in einem Schreiben. „Die Feature-Spezifikation sieht vor, dass ein Abruf von E-Rezepten aus dem E-Rezept-Fachdienst unter Nutzung der Krankenversichertennummer (KVNR) und eines unsignierten Prüfungsnachweises des Versichertenstammdatenmanagement (VSDM)-Dienstes ermöglicht werden soll.“
Den Prüfungsnachweis nicht zu signieren, entspreche jedoch nicht den Vorgaben der Datenschutz-Grundverordnung für den Schutz personenbezogener Daten und mache Missbrauch möglich. Denn dadurch könnten sich Unbefugte allein mit der KVNR unberechtigt Zugang zu allen Rezepten verschaffen, die unverschlüsselt in einer vertrauenswürdigen Ausführungsumgebung (VAU) zur Bearbeitung liegen. „Diese Sicherheitsschwachstelle erachte ich angesichts der damit drohenden erheblichen Risiken für der besonders schutzwürdigen Gesundheitsdaten der Bürgerinnen und Bürger für so gravierend, dass ich insoweit derzeit keine Freigabe erteilen kann“, schreibt der BfDI weiter. Mehr noch: Das BSI teile diese Auffassung.
Alternativen sind gefragt
Stattdessen solle daran gearbeitet werden, ein Verfahren zu erarbeiten, das eine Signatur des Prüfungsnachweises beinhaltet. Zudem sei es denkbar, einen Zugangstoken durch das VSDM auszustellen, der den verschlüsselten digitalen Versand ermöglichen würde. Eine weitere Möglichkeit wäre die direkte Kommunikation zwischen VSDM-Dienst und dem E-Rezept-Fachdienst und die Zuordnung mittels einer individuellen Vorgangsnummer.
„Sollten Sie darlegen, dass trotz intensiver Prüfung keine Alternative – bevorzugt innerhalb der TI oder ersatzweise unter Nutzung des Internets – möglich sei, ist es nach meinem Verständnis weiterhin umsetzbar, mit bestehenden Mitteln das Vorhandensein einer bestimmten eGK in einer Apotheke durch PIN-Eingabe sicher zu prüfen“, so der BfDI. Im Klartext heißt das: Die eGK sollte mit einer PIN ausgestattet werden. Hierfür wären die Krankenkassen gefragt.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Kinderkrankentage: Verringert Teilzeit den Anspruch?
Sowohl in diesem als auch im kommen Jahr können berufstätige Eltern jeweils bis zu 15 Kinderkrankentage beanspruchen. Ihr Gehalt bekommen …
Diamorphin: Zugang zu „Heroin“ auf Rezept soll erleichtert werden
Diamorphin kommt in der Substitutionstherapie zum Einsatz. Seit 2009 gibt es das „Heroin“ auf Rezept. Seitdem ist die Zahl der …
Adexa-Positionspapier: Aufstiegschancen für PTA
Am 16. Dezember stellt Bundeskanzler Olaf Scholz (SPD) die Vertrauensfrage und ebnet damit den Weg für Neuwahlen. An die neue …
