Wie sicher ist das E-Rezept?

Wie sicher ist das E-Rezept?

Ab Januar 2022 sind Ärzte dazu verpflichtet, verordnete Medikamente als elektronisches Rezept (E-Rezept) auszustellen. Dieser Neuerung stehen manche Menschen – Ärzte, Datenschutzbeauftragte, Apotheker und Patienten – skeptisch gegenüber. Doch ist diese Einstellung gerechtfertigt?

Nein, das ist sie meiner Meinung nach nicht. Denn, wenn in Bezug auf das kommende E-Rezept über die Sicherheit im Datenschutz gesprochen wird, ist es wichtig, drei entscheidende Aspekte zu beachten, die maßgeblich zur Sicherheit beitragen: die sichere Infrastruktur (Telematikinfrastruktur), die eigentliche technische Absicherung des Datensatzes zu diesem E-Rezeptes in dieser Infrastruktur sowie die Menschen, die das Rezept ausstellen und einlösen.
Mit Blick auf die ersten beiden Punkte ist das E-Rezept nach dem aktuellen Stand der Technik sehr sicher konzipiert. So sicher, dass einigen Kritikern zufolge die bequeme Nutzung sogar etwas eingeschränkt ist.

„Menschliches Versagen“ als Sicherheitslücke

Ich sehe die eigentliche Sicherheitslücke im bisherigen Umgang mit dem auf Papier ausgestellten Rezept. Denn verglichen mit dem künftigen Umgang mit dem E-Rezept, entspricht das aktuelle Papierrezept öfters bei der Ausstellung nicht den eigentlich gültigen Sicherheitsanforderungen – besonders betrifft dies die Unterschrift des Arztes auf den Rezepten. Um den Arbeitsablauf in Arztpraxen und Kliniken nicht zu stören, stellen zeichnungsberechtigte Ärzte zum Anfang der Woche oder am Anfang des Tages häufig Blanko-Rezepte aus, welche dann nach und nach um die jeweiligen Verordnungen ergänzt werden. Dies stellt eine Sicherheitslücke dar, denn der Arzt bekommt das Rezept, nachdem es vollständig ausgefüllt ist, oft nicht mehr zu Gesicht. Dies ist nicht im Sinne des Erfinders und kann im Falle eines Missbrauchs für den Arzt rechtliche Folgen nach sich ziehen.

Rezepte – ob analog ausgestellt oder digital – tragen vertrauliche Informationen. Kritiker des elektronischen Formats haben vor allem die Frage des Datenschutzes im Blick. Dieser ist aber gerade bei ausgedruckten Rezepten nicht immer gegeben. Die relevante Sicherheitslücke besteht darin, dass bei Verlust des herkömmlichen Papierrezeptes die vertraulichen Informationen für Dritte problemlos lesbar sind.

Die Vorteile des E-Rezeptes

Meiner Meinung nach löst das E-Rezept diese Probleme. Was die Sicherheit für Patient und Arzt beim Ausstellen des Rezepts angeht, schließen hier schlaue elektronische Signaturprozesse für die Ärzteschaft und eine personalisierte E-Rezept App für die Versicherten bisherige Sicherheitslücken.

Auch hinsichtlich des Datenschutzes macht das E-Rezept im Vergleich zum alten Muster 16, dem klassischen rosafarbenen Rezept, das Rennen. Denn der Datensatz zum E-Rezept mit allen Informationen zu den verordneten Medikamenten liegt sicher gespeichert auf den Servern der Telematikinfrastruktur. Die Informationen hier sind nur durch den Patienten selbst und durch einen Angehörigen eines Heilberufes mittels eines QR-Codes abrufbar. Selbst wenn der QR-Code, den der Patient als Ausdruck ausgehändigt bekommt, abhandenkommt, können die Informationen zum E-Rezept weder verloren gehen noch lassen sie sich alle Informationen dem Ausdruck entnehmen. Zudem lässt sich das E-Rezept bei Verlust sofort sperren.

IT-Infrastruktur, die Sicherheit bietet

Die Telematikinfrastruktur, die in sich unterschiedliche abgesicherte Bereiche hat, wurde speziell für das Gesundheitswesen entworfen. Hier gespeicherte Datensätze zu E-Rezepten lassen sich nur über diese Struktur austauschen. Das bedeutet, dass die Computerprogramme, mit welchen das E-Rezept in der Arztpraxis erstellt und in der Apotheke abgerufen wird, jeweils mit der Telematikinfrastruktur verbunden sind. Bei Erstellung und Einlösung ist das E-Rezept daher meiner Meinung nach optimal abgesichert.

Doch verschiedene Interessensverbände sehen dies anders. So stellen diese den Speicherort des E-Rezeptes infrage und diskutieren seit Gründung der gematik, dass es sicherer sei, das E-Rezept dezentral zu speichern als auf dem Server der Telematikinfrastruktur. Diese ewig währende Diskussion bauschte die Datenhaltung auf einem Server für den Laien als das ultimative Böse auf und ließ darauf schließen, dass eine Veränderung hin zur sicheren Datenhaltung hier nicht gewünscht ist.

Jedoch bezweifle ich, dass es bei dieser Diskussion tatsächlich um Sicherheit und Datenschutz geht. Wahrscheinlicher ist es für mich, dass die alten Interessensvertreter sich vor der Konkurrenz der Versandapotheken fürchten. Denn würden E-Rezepte wirklich auf der elektronischen Gesundheitskarte gespeichert werden, würden sie sich vom Patienten nicht an eine Online-Apotheke weiterleiten und dort einlösen lassen. Diese Sichtweise ändert sich zum Glück in den letzten Jahren, weil die Politik dieses Spiel durchschaut und die gematik das E-Rezept modern, sicher und nutzerfreundlich gestaltet hat.

Doch gibt es auch andere Player in dieser Datenschutzdiskussion. So fordern einige die Verschlüsselung des E-Rezeptes nicht nur auf dem Transportweg, sondern auch auf dem zentralen Server der ohnehin sicheren Telematikinfrastruktur. Die Idee dahinter: Die Ende-zu-Ende-Verschlüsselung ist sicherer. Jedoch vermute ich hier einen anderen Beweggrund für diese Forderung: Die Interessenvertreter dieser Strömung befürchten, dass sich die E-Rezepte auf dem Server einfacher auswerten lassen. Das würde mehr Transparenz darüber schaffen, wie häufig Ärzte welche Medikamente verschreiben. Diese Bedenken sind theoretisch berechtigt. Jedoch birgt eine Ende-zu-Ende Verschlüsselung die großen Nachteile, dass die freie Apothekenwahl eingeschränkt wird und die Daten nicht anonymisiert für die Forschung genutzt werden können. Daher halte ich es für zielführender, die mögliche aber unerlaubte Auswertung der E-Rezept-Daten nicht technisch zu verhindern, sondern rechtlich zu regeln bzw. zu untersagen. Dies ändert nichts am hohen Sicherheitsniveau.

Ein weiteres Beispiel für eine falsch gemeinte Datenschutz- bzw. Sicherheitsdiskussion sehe ich in der Forderung von manchen Standesvertretern, dass Patienten ihren E-Rezept-Code nicht selbst an Apps von Dritt-Anbietern weiterleiten können sollen. Dadurch wird der Patient als unmündiger Bürger behandelt, dem man nicht die freie Apothekenwahl zugestehen will. Meine Forderung ist hier die E-Rezept App der gematik zu nutzen, um die freie Apothekenwahl und damit die Mündigkeit des Patienten zu wahren. Denn letztlich soll der Patient entscheiden, in welcher Apotheke er das E-Rezept einlösen möchte – vor Ort oder online.

Letztlich ist aber das Nutzerverhalten entscheidend für die Sicherheit von E-Rezepten. Denn so können durch Verlust oder Diebstahl des Papierausdrucks des E-Rezeptes ähnliche Fehler entstehen wie beim alten Papierrezept. Dies kann gerade am Anfang passieren, da viele Versicherte nicht die personalisierte gematik App nutzen werden, sondern sich wahrscheinlich häufiger das E-Rezept ausdrucken lassen. Auch beim digitalen Versand können durch Unwissenheit Fehler bei der Handhabung des E-Rezeptes vorkommen, wobei dies bisher sehr hypothetische Szenarien sind. Meine Vermutung ist vielmehr, dass die technisch offeneren Menschen sehr schnell die App der gematik nutzen, um in den Genuss der vollen E-Rezept-Vorteile zu gelangen und den maximalen Schutz für die E-Rezept-Anwendungen zu genießen.
Es gilt daher die Forderung, durch eine großangelegte Aufklärungskampagne die Versicherten die Nutzung der gematik App zu erklären und sie vom Download und Freischaltung der App zu überzeugen.

Mein Fazit

Das E-Rezept entspricht technisch den höchsten Anforderungen an Sicherheit und Datenschutz. Dabei ist es so praktikabel, dass ich mir sicher bin, dass Patienten es als spürbare Verbesserung sehen werden. Damit dies die breite Masse an Versicherten auch so sieht und das E-Rezept für sich annehmen und nutzen wird, wie der Gesundheitsminister Jens Spahn es sich vorstellt, ist bis zur Pflichteinführung am 01.01.2022 jedoch noch eine Menge an Aufklärung nötig.

Quellen

[1] gematik.de Industrieforum Rezept. https://www.gematik.de/fileadmin/user_upload/MediaUploads/202012_Industrieforum_E-Rezept_Einfuehrung.pdf (letzter Abruf am 20.04.2021)

[2] DAZ.online. Das transparente Rezept? https://www.deutsche-apotheker-zeitung.de/news/artikel/2020/10/21/das-transparente-e-rezept (letzter Abruf am 20.04.2021)

Autor

Martin Bumm

E-Health Lead