Datenschutzbeauftragter kritisiert vorläufigen Stopp des Rollouts
In einer Mitteilung betont Kelber, dass er der aus seiner Sicht unsicheren Featurespezifikationsvariante „Abruf der E-Rezepte in der Apotheke nach Autorisierung” kein Einvernehmen erteilen könne. So sei die geplante Schnittstelle nicht nach dem Stand der Technik abgesichert und verstoße damit gegen die Datenschutz-Grundverordnung (DSGVO).
Über den Ausstieg der Kassenärztlichen Vereinigungen in Schleswig-Holstein (KVSH) und Westfalen-Lippe (KVWL) aus den Pilotprojekten zur Einführung des E-Rezepts sowie der Meinungsäußerung der KVen und des Apothekerverbandes zum Thema sei er enttäuscht: „Das E-Rezept als solches und die drei ursprünglich vorgesehenen Einlösungswege sind konsentiert und funktionsfähig."
KVen sollen ihren Ausstieg aus dem Pilotprojekt überdenken
Laut Kelber wäre ein Hack leicht umsetzbar gewesen. „Dann hätte das Vertrauen in das E-Rezept und andere Digitalisierungen des Gesundheitssystems enorm gelitten.” Er erwartet, dass bis zum Sommer 2023 eine sichere Lösung für das Abholen von E-Rezepten durch Stecken der eGK zur Verfügung steht. „Die Kassenärztlichen Vereinigungen sollten ihren Ausstieg aus dem Pilotprojekt überdenken und nicht angeblich überzogene IT-Sicherheits- und Datenschutzanforderungen vorschieben.” Schließlich stünden alle Möglichkeiten der Einreichung von E-Rezepten, die auch zum Start des Pilotprojektes vorhanden waren, weiter uneingeschränkt zur Verfügung.
„Unzureichend gesicherte Schnellschüsse kann der BfDI nicht mittragen”
„Neue Funktionalitäten müssen aber Standardanforderungen an IT-Sicherheit erfüllen und dürfen nicht dem unberechtigten Zugriff auf den gesamten Bestand der E-Rezepte Tür und Tor öffnen. Eine Umsetzungszeit von sechs Monaten ist dabei in der Softwareentwicklung durchaus üblich und notwendig. Unzureichend gesicherte Schnellschüsse kann der BfDI bei seinem gesetzlichen Auftrag nicht mittragen”, so Kelber.
Der BfDI fordert außerdem, dass das Bundesgesundheitsministerium und der Bundestag durchsetzen, dass vorhandene sichere und bequeme Authentisierungsmittel zum Standard werden, wie beispielsweise eine PIN für die Gesundheitskarte oder den elektronischen Personalausweis: „Es ist alles da, überprüft und könnte sofort eingesetzt werden, wenn beispielsweise die Krankenkassen endlich ihre Versicherten mit der PIN zur eGK versorgen würden. Digitalisierung im Gesundheitssektor muss richtig umgesetzt werden: Sicher, datenschutzkonform und bequem zu nutzen. Unzureichend gesicherten Lösungen werden wir auch weiter eine datenschutzrechtliche Absage erteilen.”