Datenschützer schlägt sichere eGK-Lösung vor Alexander Müller, 08.11.2022 13:10 Uhr
Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber hat die Nutzung der elektronischen Gesundheitskarte (eGK) zum Einlösen von E-Rezepten in bisher vorgesehener Form eine Absage erteilt. Er fordert von den Krankenkassen, ihre Versicherten endlich mit einer PIN für ihre eGK auszustatten.
Die aktuell geplante Schnittstelle für das eGK-Verfahren sei „nicht nach dem Stand der Technik abgesichert und verstößt damit gegen die DSGVO“, so Kelber in seiner Stellungnahme. Der „unsicheren Feature-Spezifikationsvariante“ könne er daher kein Einvernehmen erteilen.
Das Vertrauen ins E-Rezept hätte aus Kelbers Sicht enorm gelitten, wenn es zu einem Hack gekommen wäre. Und dieser wäre vermutlich allzu leicht umsetzbar gewesen, weshalb weder der BfDI noch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) die Varianten freigegeben hatten. „Ich erwarte von allen Beteiligten, dass bis zum Sommer 2023 eine sichere Lösung für das Abholen von E-Rezepten durch Stecken der eGK zur Verfügung steht“, so Kelber.
Kritik an KVen
Für den Ausstieg der Kassenärztlichen Vereinigungen Schleswig-Holstein und unlängst Westfalen-Lippe aus dem Roll-out hat der Datenschützer kein Verständnis. Schließlich stünden alle Möglichkeiten der Einreichung von E-Rezepten, die zum Start des Pilotprojektes vorhanden waren, weiter uneingeschränkt zur Verfügung, also die Gematik-App und der Ausdruck des Tokens. „Neue Funktionalitäten müssen aber Standardanforderungen an IT-Sicherheit erfüllen und dürfen nicht dem unberechtigten Zugriff auf den gesamten Bestand der E-Rezepte Tür und Tor öffnen“, so Kelber.
Eine Umsetzungszeit von sechs Monaten sei dabei in der Softwareentwicklung durchaus üblich und notwendig, so der Datenschützer weiter, der betont: „Unzureichend gesicherte Schnellschüsse kann der BfDI bei seinem gesetzlichen Auftrag nicht mittragen. Ich bedanke mich bei dem Teil der Berufsverbände im Gesundheitssektor, die uns in dieser Haltung klar und eindeutig unterstützen.“
Die Spitze gilt den beiden KVen sowie dem Apothekerverband, über deren Äußerungen Kelber sich geärgert hatte. Es sei unverständlich ist, dass die Standesorganisationen das ihnen länger bekannte Sicherheitsproblem „nicht wahrnehmen wollen und stattdessen schon Basisabsicherungen von IT-Lösungen als überzogen diffamieren“. Die geplante Datenverarbeitung mit der von der Gematik vorgesehenen Umsetzung hätte nämlich aus seiner Sicht ein großes Risiko für die Rechte und Freiheiten aller Nutzer:innen bedeutet, auch bei den Arztpraxen und Apotheken. Die gemachten Vorschläge zur Minderung des Problems reichten nicht aus.
eGK endlich mit PIN
Vom Bundesgesundheitsministerium und dem Bundestag fordert Kelber, dass vorhandene Authentisierungsmittel zum Standard erklärt werden, beispielsweise die PIN für die eGK: „Es ist alles da, überprüft und könnte sofort eingesetzt werden, wenn beispielsweise die Krankenkassen endlich ihre Versicherten mit der PIN zur eGK versorgen würden“, so Kelber. Unzureichend gesicherten Lösungen werde er weiter eine datenschutzrechtliche Absage erteilen.