Datenschutzbeauftragter kritisiert vorläufigen Stopp des Rollouts

In einer Mitteilung betont Kelber, dass er der aus seiner Sicht unsicheren Featurespezifikationsvariante „Abruf der E-Rezepte in der Apotheke nach Autorisierung” kein Einvernehmen erteilen könne. So sei die geplante Schnittstelle nicht nach dem Stand der Technik abgesichert und verstoße damit gegen die Datenschutz-Grundverordnung (DSGVO).

Über den Ausstieg der Kassenärztlichen Vereinigungen in Schleswig-Holstein (KVSH) und Westfalen-Lippe (KVWL) aus den Pilotprojekten zur Einführung des E-Rezepts sowie der Meinungsäußerung der KVen und des Apothekerverbandes zum Thema sei er enttäuscht: „Das E-Rezept als solches und die drei ursprünglich vorgesehenen Einlösungswege sind konsentiert und funktionsfähig."

Kelber weist die Vorwürfe von sich und betont, dass auch die zusätzliche geplante Funktionalität der Einlösung durch Stecken der elektronischen Gesundheitskarte (eGK) ohne Eingabe einer PIN umsetzbar sei. Die geplante Datenverarbeitung mit der zunächst von der gematik vorgelegten Umsetzung verursache allerdings ein großes Risiko für die Rechte und Freiheiten aller Nutzer des E-Rezepts, bundesweit und bei allen Arztpraxen und Apotheken.

„Unverständlich ist, dass Kassenärztliche Vereinigungen und Apothekerverband dieses Problem, dass ihnen seit Monaten und damit länger als dem BfDI selbst bekannt ist, nicht wahrnehmen wollen und stattdessen schon Basisabsicherungen von IT-Lösungen als überzogen diffamieren”, so Kelber. „Leidtragende sind die Patientinnen und Patienten, die gerne das E-Rezept auf einem der bereits funktionierenden Wege nutzen möchten.”

Laut Kelber wäre ein Hack leicht umsetzbar gewesen. „Dann hätte das Vertrauen in das E-Rezept und andere Digitalisierungen des Gesundheitssystems enorm gelitten.” Er erwartet, dass bis zum Sommer 2023 eine sichere Lösung für das Abholen von E-Rezepten durch Stecken der eGK zur Verfügung steht. „Die Kassenärztlichen Vereinigungen sollten ihren Ausstieg aus dem Pilotprojekt überdenken und nicht angeblich überzogene IT-Sicherheits- und Datenschutzanforderungen vorschieben.” Schließlich stünden alle Möglichkeiten der Einreichung von E-Rezepten, die auch zum Start des Pilotprojektes vorhanden waren, weiter uneingeschränkt zur Verfügung.

„Neue Funktionalitäten müssen aber Standardanforderungen an IT-Sicherheit erfüllen und dürfen nicht dem unberechtigten Zugriff auf den gesamten Bestand der E-Rezepte Tür und Tor öffnen. Eine Umsetzungszeit von sechs Monaten ist dabei in der Softwareentwicklung durchaus üblich und notwendig. Unzureichend gesicherte Schnellschüsse kann der BfDI bei seinem gesetzlichen Auftrag nicht mittragen”, so Kelber.

Der BfDI fordert außerdem, dass das Bundesgesundheitsministerium und der Bundestag durchsetzen, dass vorhandene sichere und bequeme Authentisierungsmittel zum Standard werden, wie beispielsweise eine PIN für die Gesundheitskarte oder den elektronischen Personalausweis: „Es ist alles da, überprüft und könnte sofort eingesetzt werden, wenn beispielsweise die Krankenkassen endlich ihre Versicherten mit der PIN zur eGK versorgen würden. Digitalisierung im Gesundheitssektor muss richtig umgesetzt werden: Sicher, datenschutzkonform und bequem zu nutzen. Unzureichend gesicherten Lösungen werden wir auch weiter eine datenschutzrechtliche Absage erteilen.”