Apps als Schwachstelle

E-Rezept: Apotheken haften für Patientendaten

, Uhr
Wie Daten zum E-Rezept ausgespielt werden, liegt laut Gematik in der Verantwortung der Apotheken.Foto: APOTHEKE ADHOC
Berlin -

Dass mit einem QR-Code auch fremde E-Rezepte eingelöst werden können, ist laut Gematik gewollt: Schließlich soll es keine neuen Hürden geben, wenn Angehörige oder Bekannte die Medikamente besorgen sollen. Dass die Versandapotheken die hinterlegten Gesundheitsdaten über ihre Apps frei ausspielen, liegt laut Gematik in deren datenschutzrechtlicher Verantwortung.

Die 2D-Codes erfüllten den Zweck, das E-Rezept flexibel handhabbar für Patienten, deren Vertreter sowie Apotheken zu gestalten, so eine Gematik-Sprecherin. „Mit dem sicheren Übergang an den Patienten geht auch die Verantwortung für den sicheren Umgang mit dem 2D-Code an den Patienten über.“

Keine Identifizierung vorgesehen

Egal ob als Ausdruck oder elektronischer Token: Sobald die Patienten den 2D-Code erhalten haben, entscheiden sie also selbst, wie sie damit umgehen: „Insbesondere die Möglichkeit der Weitergabe zum Beispiel des Ausdrucks an Vertreter soll es kranken Patienten genauso einfach wie bisher ermöglichen, E-Rezepte einzulösen“, so die Sprecherin weiter. „Eine persönliche Identifizierung in der Apotheke gibt es heute nicht und ist auch mit dem E-Rezept nicht vorgesehen, so bleibt der Vorgang einfach handhabbar.“

Apotheken und Apothekenpersonal seien zugriffsberechtigt auf das E-Rezept gemäß § 361 Sozialgesetzbuch (SGB V). „Jede Apotheke, die Zugriffsinformationen (2D-Code) für ein E-Rezept vom Patienten erhält, kann das E-Rezept in der eigenen Warenwirtschaft herunterladen und (falls dem Versicherten nicht bekannt) die Inhalte der Verordnung mitteilen. In der Apotheke vor Ort lesen PTA oder Apotheker:innen aus der Anzeige im Warenwirtschaftssystem also einfach ab, was zu einem E-Rezept an Daten vorliegt.“

Der Zugriff auf den Fachdienst durch die Apotheke sei von der Gematik daher als Zugriff des Warenwirtschaftssystems konzipiert worden. Die Softwarehäuser müssten sich entsprechend bei der Gematik registrieren, so dass keine unbekannten Systeme auf den Fachdienst zugreifen könnten. Zusätzlich müsse sich das zugreifende Warenwirtschaftssystem mittels Konnektor und SMC-B+Kartenterminal überhaupt erst in die Telematikinfrastruktur (TI) einwählen. „Die SMC-B besitzen nur Betriebsstätten, welche von berechtigten Kartenherausgebern (Apothekenkammern oder auch die Gematik nach SGB V § 340) diese SMC-B erhalten haben.“

Rechtlich seien zum Zugriff auf den Fachdienst also nur Apotheken berechtigt und in der technischen Konzeption ebenso nur Warenwirtschaften dafür vorgesehen. „Weitere technische Schnittstellen der Warenwirtschaft außerhalb der TI vorzugeben, ist nicht Aufgabe oder Regelungsgebiet der Gematik.“

Zugriffsrechte kontrollieren

„Sofern Apotheken sich also eigenständig entscheiden, über weitergehende Schnittstellen des Warenwirtschaftssystems außerhalb der TI oder gar eines selbst entwickelten Warenwirtschaftssystems die Daten an Apps weiterzuleiten, so liegt die Datenverarbeitung in deren Verantwortung“, stellt die Sprecherin klar. Wenn mittels Apps so in Echtzeit dem Patienten die Information über das E-Rezept angezeigt würden, sei dies vergleichbar zum Vorlesen der Rezeptinformationen in der Vor-Ort-Apotheke. „Es liegt in der Verantwortung der Apotheke, die ihr laut § 361 obliegenden Zugriffsrechte derart zu verwenden.“

Keine PIN bei eGK

Für den zukünftigen dritten Übermittlungsweg, nämlich das „Stecken der eGK in der Apotheke“, sei ebenso keine PIN vorgesehen, damit die Handhabung für Patienten einfach bleibe. „Für den Fall eines Diebstahls des E-Rezeptausdrucks ergibt sich gegenüber dem Muster 16 somit kein Nachteil: Das gestohlene Muster 16 kann im Klartext gelesen werden, die Drittanbieter-Apps (derzeit nicht die Gematik-App) ermöglichen dies im Digitalen auch.“

Sicherer sei das E-Rezept trotzdem. Denn ein gestohlener Token könne vom verordnenden Arzt, vom Patienten oder auch einer Apotheke gelöscht werden kann. „Zudem lassen sich die protokollierten Zugriffe auf ein E-Rezept in der App nachvollziehen.“

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Neuere Artikel zum Thema
Mehr zum Thema
Verzögerungen wegen „KOB light“?
ePA: Die Angst vor Abmahnungen
Verzögerung bei Rollout
BMG: ePA für alle kommt später

APOTHEKE ADHOC Debatte