E-Rezept: Datenschützer sieht noch Baustellen Patrick Hollstein, 06.04.2022 10:37 Uhr
Der Bundesdatenschutzbeauftragte Professor Dr. Ulrich Kelber sieht noch Probleme bei der Telematikinfrastruktur, die auch im Zusammenhang mit dem E-Rezept stehen. Er will das Prozedere aber dulden, bis eine bessere Lösung gefunden ist.
Konkret geht es um die Verwendung der Krankenversichertennummer (KVNR) zur eindeutigen Identifizierung der Versicherten bei verschiedenen Anwendungen innerhalb der Telematikinfrastruktur (TI), darunter der TI-Messenger zur Kommunikation zwischen Leistungserbringern und Versicherten, die elektronische Patientenakte oder auch das E-Rezept. Dies sei im Grundsatz eine „datenschutzfreundliche Lösung“, so Kelber in seinem Jahresbericht. Erforderlich sei jedoch eine eindeutige Rechtsgrundlage.
Seine Behörde habe sich mit dem Bundesgesundheitsministerium (BMG) und der Gematik darauf geeinigt, dass die datenschutzfreundlichste Lösung die Errechnung einer nicht rückrechenbaren Matrix-Adresse aus der KVNR ist. Alternativ müsste ein Verzeichnis aller Versicherten geschaffen werden, was nicht nur aus Gründen des Datenschutzes bedenklich, sondern auch gesetzlich nicht gewollt sei.
„Datenschutzrechtlich zulässig ist die Verarbeitung aber nur auf Grundlage einer eindeutigen gesetzlichen Befugnisnorm, die gegenwärtig nicht vorliegt“, moniert Kelber. Insbesondere lässt sich aus seiner Sicht die Verarbeitung der KVNR durch die Leistungserbringer im Rahmen einer freiwilligen Anwendung der TI unter keine der in § 18f SGB IV – die Norm regelt die Zulässigkeit der Verarbeitung der Versicherungsnummer – aufgeführten Fallgruppen subsumieren. Auch das SGB V sehe keine spezialgesetzliche Regelung für die Verwendung der KVNR zu den beschriebenen Zwecken vor.
Zustand wird vorerst geduldet
„Zur Herstellung eines rechtskonformen und -sicheren Zustands ist die Schaffung einer eindeutigen Rechtsgrundlage für die Verarbeitung der KVNR innerhalb der TI zwingend erforderlich. Da die Möglichkeiten zur Identifikation der Versicherten jedoch keine Alternativen im Hinblick auf die Datenschutzfreundlichkeit darstellen, habe ich dem BMG mitgeteilt, dass ich den gegenwärtigen Zustand zunächst dulde, im Gegenzug aber erwarte, dass zum nächstmöglichen Zeitpunkt eine entsprechende Rechtsgrundlage geschaffen wird.“
Ein weiteres Problem sieht er darin, dass auch die privaten Krankenversicherungen (PKV) den unveränderbaren Teil der KVNR für die Anwendungen der TI – sowie für die Meldungen nach dem Implantateregistergesetz (IRegG) – nutzen sollen. Sie müssten entsprechend in das Clearing-Verfahren einbezogen werden, bei dem die Krankenkassen versichertenbezogene Daten austauschen, um eine Doppelvergabe auszuschließen. „Jedoch fehlt es auch hierfür an einer eindeutigen Rechtsgrundlage. Diese Einschätzung teilt das BMG und hat mir zugesichert, eine entsprechende Befugnisnorm in das nächste geeignete Gesetzgebungsverfahren einzubringen. Ein Diskussionsentwurf liegt mir bereits vor, der nunmehr der Abstimmung zwischen BMG, BMJ und mir bedarf.“
Verschlüsselter Push für E-Rezept
Ein anderes Problem im Zusammenhang mit Privatversicherten ist dagegen aus seiner Sicht bereits gelöst: Laut Digitale-Versorgung-und-Pflege-Modernisierungsgesetz (DVPMG) soll es im PKV-Bereich möglich sein, die Rechnungsdaten auch im zentralen E-Rezept-Speicher abzulegen. „Ein Schwerpunkt meiner Beratung der Gematik liegt darauf, die Zugriffsmöglichkeiten auf diese Rechnungsdaten durch Dritte zu beschränken.“
Kelber nennt als Beispiel die App für das E-Rezept, die die Gematik nicht nur spezifiziert, sondern auch selbst entwickelt hat. Diese biete als Zusatzfunktion Push-Benachrichtigungen an. „Da diese Funktion über die Plattformen der mobilen Betriebssystemanbieter abgewickelt wird, war hier eine intensive Beratung notwendig. In technischer Hinsicht konnte ich die Gematik davon überzeugen, die Inhalte zu verschlüsseln und auch die Meta-Daten durch das Verschicken von Leernachrichten zu verschleiern.“