Datenauslesen per App

E-Rezept: Versender als Schwachstelle

, Uhr
Berlin -

Die Kritik der Datenschützerin aus Schleswig-Holstein hat nicht nur den Roll-out des E-Rezepts ausgebremst, sondern auch eine massive Schwachstelle offenbart. Denn offenbar kann der DataMatrix- oder QR-Code genutzt werden, um Gesundheitsdaten fremder Personen auszulesen. Problem sind vor allem die Apps der Versandapotheken.

Eigentlich schien der Auftrag unproblematisch: Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein sollte bestätigen, dass die ausschließliche Übermittlung von QR-Codes per unverschlüsselter Mail zulässig sei. Die Kassenärztliche Vereinigung (KVSH) hatte dazu ein sechsseitiges Gutachten erstellen lassen, nach dem diese Vorgehensweise unproblematisch sei, weil die Codes selbst nur zum Abruf des E-Rezepts aus dem Fachdienst dienten, selbst aber keine Informationen enthielten. Die Experten mussten die Einschätzung im Grunde nur noch abzeichnen.

Doch dann bekam die Leiterin der Behörde, Marit Hansen, einen Tipp aus dem „Apothekenumfeld“: Sie solle sich doch einmal die diversen Apps ansehen, die da im Umlauf seien. Und tatsächlich stellte sie fest, dass sich etwa mit „Meine Apotheke“ von Pharmatechnik durch Scannen des Codes offenbar die persönlichen Informationen anzeigen lassen kann. So zumindest legten es Screenshots aus einer Präsentation des Softwarehauses nahe.

APOTHEKE ADHOC hat den Test gemacht. Mit einem E-Rezeptdummy ausgestattet, haben wir versucht, den QR-Code in den verschiedenen Apps einzulösen und so an die hinterlegten Informationen zu gelangen.

IhreApotheken.de

Über die App der Noweda können E-Rezepte bei der vorab ausgewählten Apotheke eingereicht werden. Tatsächlich erkennt die App unseren QR-Code, allerdings werden keine Informationen angezeigt. Da man auch die Medikamente nicht noch einmal angezeigt bekommt, bestellt man quasi „blind“, wenn man das Rezept einlöst.

Dr. Jan-Florian Schlapfner, der im Zukunftspakt Apotheke für das Projekt verantwortlich ist, bestätigt, dass das eigene Konzept von der Datenschutzkritik daher nicht betroffen ist: Ein Auslesen des E-Rezepts in der App sei gar nicht möglich, weil die Daten nicht hinterlegt würden. Vielmehr müsse der Patient oder die Patientin zunächst eine Apotheke auswählen und könne dann das abfotografierte oder eingescannte Rezept an diese Apotheke schicken. Mit anderen Worten: Den Namen des Versicherten oder die verordneten Medikamente kann man mit der IhreApotheken-App nicht auslesen, wenn man ein anderes E-Rezept scannt.

Gesund.de

Ähnlich funktioniert die App von Gesund.de. Hier kann der QR-Code eingelöst werden, sodass das Rezept in den Warenkorb gelangt. Zusätzlich soll der gesamte Papierausdruck abfotografiert werden, dieses Bild wird dann auch hinterlegt. So hat man später zumindest eine indirekte Übersicht darüber, was man eingereicht hat. Wer nur den QR-Code „abgefangen“ hat, kann keine Informationen einsehen. Nachteil: Dieser Ansatz funktioniert nur bei Ausdrucken.

DocMorris

Über die App von DocMorris lässt sich der QR-Code problemlos einscannen, sofort werden die hinterlegten Informationen zur Person und zu den verordneten Medikamenten angezeigt.

Shop Apotheke

Ähnlich beim Konkurrenten Shop Apotheke. Auch hier ließ sich der QR-Code entschlüsseln, mit dem Ergebnis, dass nach der automatisierten Prüfung der Verschreibung, der Preisersparnis und der Lieferzeit die vertraulichen Informationen zu Person und Rezept angezeigt werden.

Meine Apotheke

Bei der App von Pharmatechnik, deren Online-Dokumentation die Datenschützerin zu weiteren Recherchen veranlasst hatte, war unser Test nicht erfolgreich. „Rezept kann derzeit nicht vom Fachdienst abgerufen werden“, kam als Rückmeldung.

Gematik-App

Bleibt die Frage, ob auch die App der Gematik zum Auslesen von Daten missbraucht werden kann. Auch ohne Anmeldung mittels elektronischer Gesundheitskarte (eGK) lässt sich der QR-Code nach Einrichtung eines Nutzerkontos einlesen, allerdings wird dann nur „Medikament 1“ angezeigt. Weder lassen sich so Daten auslesen, noch lässt sich das Rezept bei einer Apotheke einlösen.

Die Darstellung im App-Store legt aber nahe, dass nach der vollständigen Registrierung alle Informationen angezeigt werden. Man könnte also vermutlich auch fremde E-Rezepte aufrufen. Die Familienfunktion ist etwas anderes: Hier kann man sich für Angehörige freischalten lassen, sodass man deren Rezepte direkt in seine App eingespielt kommt.

Nutzerfreundlichkeit vs. Datenschutz

Fazit: Die Apps, die eigentlich zur Übermittlung von QR-Codes beziehungsweise zum Einlösen von E-Rezepten gedacht sind, könnten zum Auslesen von sensiblen Gesundheitsdaten genutzt werden. Dabei hat Datenschützerin Hansen mit Blick auf die Convenience durchaus Verständnis für diese Funktion: „Niemand will doch ein Rezept einlösen, dessen Inhalt er im Warenkorb nicht noch einmal kontrollieren kann.“ Allerdings sehe sie auch eine gewisse Zurückhaltung seitens der Apotheken und insbesondere der Versender, zusätzliche Mechanismen zur Identitätskontrolle einzuführen.

Dass sie diese risikobehaftete Funktion nicht in den Mittelpunkt gestellt, sondern nur am Rande angesprochen hat, ist ihrem Prüfauftrag geschuldet: „Wir haben nicht das E-Rezept geprüft, sondern hatten nur einen Beratungsauftrag von der KV erhalten“, so Hansen. Ihre Schlussfolgerung sei daher in die andere Richtung gegangen: Der unverschlüsselte Versand von QR-Codes sei deswegen unzulässig, weil diese eben doch über Umwege ausgelesen werden könnten. Ein Verbot habe man aber nicht ausgesprochen – und schon gar nicht die Empfehlung an die KV, gleich komplett aus dem Roll-out auszusteigen.

Nicht ohne Identitätskontrolle?

Man könnte es vereinfacht auch so formulieren: Entweder muss der Übertragungsweg für den QR-Code sicher sein – oder seine Einlösung. Andererseits soll gerade das E-Rezept möglichst schlicht in der Handhabung bleiben: Schließlich soll auch in der digitalen Welt die Möglichkeit bestehen bleiben, Medikamente durch Angehörige oder Nachbarn abholen zu lassen. Das Problem des Identitätsnachweises (PPP, Proof of Patient Presence) gibt es übrigens nicht nur beim E-Rezept: Erst vor Kurzem untersagte die Gematik das VideoIdent-Verfahren der Krankenkassen – aus Sorge vor Fremdzugriffen.

Aus Sicht der Datenschützerin geht es nicht nur darum, die unberechtigte Inanspruchnahme von Leistungen zu verhindern. Schon das Auslesen von Daten sei problematisch. Was sie sich zusätzlich vorstellen könne, seien Instrumentarien, mit denen man als Versicherter über jeden Zugriff auf seine Daten informiert werden könne.

Bei der Bewertung gebe es natürlich Abstufungen: Das Szenario, dass jemand nachts in eine Apotheke einbreche, um sich über deren Identität Zugang zur Telematikinfrastruktur (TI) zu verschaffen, sei auch unter den geforderten datenschutzrechtlichen Vorkehrungen nicht auszuschließen. Dass jemand aber einfach einen Code mittels Apotheken-App auslesen könne, sei dagegen nicht hinzunehmen.

Und wie sieht es mit der Gematik-App selbst aus? Hier muss man sich zwar, um alle Funktionen nutzen zu können, mit seinen eigenen persönlichen Daten registrieren. Mit der Verbreitung der eGK sinke aber die Hürde für einen Missbrauch. „Es geht ja nicht nur um Hacker. Auch wenn sie versehentlich einen QR-Code an einen falschen Empfänger übermitteln, müssen die Daten geschützt sein“, so Hansen.

Debatte erst am Anfang

Es scheint fast so, als stünde die Debatte über den Datenschutz beim E-Rezept noch ganz am Anfang. Hansen selbst kann nicht weiter prüfen, weil sie nur für Schleswig-Holstein zuständig ist. Doch auch die Datenschutzbehörde in Nordrhein-Westfalen sowie der Bundesdatenschutzbeauftragte beschäftigen sich derzeit intensiv mit der Materie. Auch die Datenschützer in Hessen hat Hansen eingeschaltet – weil mit der Abda-Tochter NGDA dort ein relevanter Datendienstleister ansässig sei.

Laut Hansen sollten sich auch die Apotheken ihre Verträge etwa mit App-Anbietern noch einmal genau ansehen. Einerseits sollten sie prüfen, welche Daten auf dieser Ebene abgegriffen werden. Und darüber hinaus sollten sie sich informieren, was sie in Verdachtsfällen auf einen möglichen Datenmissbrauch tun müssen, um das Risiko für die Versicherten einzudämmen, und wie sie dem vorbeugen können.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Mehr zum Thema
Verzögerung bei Rollout
BMG: ePA für alle kommt später

APOTHEKE ADHOC Debatte