Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Das E-Rezept

Die erste Pflichtanwendung in der Telematikinfrastruktur (TI) des Gesundheitswesens: Die elektronische ärztliche Verordnung

Medikamentenregal in einer Apotheke
Quelle: Adobe Stock

Bereits im Jahr 2020 wurde mit dem Patientendaten-Schutz-Gesetz in §§ 360 und 361 SGB V festgelegt, dass ärztliche Verordnungen ab dem 1. Januar 2022 elektronisch über die TI übermittelt werden müssen. Das sogenannte E-Rezept ist damit eine Pflichtanwendung – und zwar die erste medizinische überhaupt. Gestartet ist die Anwendung E-Rezept tatsächlich am 1. September 2022 zunächst in der Testregion Westfalen-Lippe. Sie wurde von der Kassenärztlichen Vereinigung Westfalen-Lippe wieder gestoppt.

Rezepte im Rahmen der vertragsärztlichen Versorgung werden in der Anwendung E-Rezept immer in einem zentralen Speicher in der TI abgelegt. Patientinnen und Patienten können dann nur wählen, ob sie die Zugangsinformationen dazu in elektronischer Form oder – nach dem Vorbild eines Bahn- oder Flugtickets – als Papierausdruck mit einem Code-Block zur Einlösung in einer Apotheke ausgehändigt bekommen wollen. Die Vorteile der Digitalisierung ergeben sich, wenn Patientinnen und Patienten auf den Papierausdruck verzichten können, weil sie ihre Rezepte mit der E-Rezept-App über die TI abrufen können und dann auch sicher an die Apotheken zuweisen können. Dazu müssen sie sich mit ihrer elektronischen Gesundheitskarte (eGK) in der TI anmelden. Die dazu benötigten NFC-fähigen eGK sind schon verbreitet, allerdings ist den meisten Versicherten die ebenfalls benötigte PIN noch nicht von ihren Krankenkassen zugestellt worden. Die Zeit bis zur verschobenen Einführung des E-Rezepts muss genutzt werden, um mehr Versicherte mit NFC-fähiger eGK und PIN auszustatten.

Damit bis dahin Versicherte die E-Rezepte nicht unverschlüsselt per E-Mail an die Apotheken senden, hat die Gematik das Verfahren „Versenden von E-Rezepten ohne Anmelden in der TI“ spezifiziert: Versicherte können ihre E-Rezepte-Codes durch Abfotografieren in ihre E-Rezept-App hinzufügen. Von da können sie die Rezepte verschlüsselt mittels eines speziellen Dienstleisters über das Internet an die Apotheke ihrer Wahl senden. Dieser Versand erfolgt zwar nicht über die TI und es ergeben sich gewisse Nachteile, da keine Protokollierung der Zuweisung im Fachdienst stattfindet, es bestehen aber keine grundsätzlichen datenschutzrechtlichen Hinderungsgründe.

Außerdem können Versicherte seit Sommer 2023 in den Apotheken ihre eGK in das Kartenlesegerät (ohne PIN-Eingabe) stecken und die Apotheke so alle E-Rezepte vom zentralen E-Rezepte-Server abrufen lassen. Das stellt eine barrierearme Möglichkeit dar, E-Rezepte in den Apotheken einzulösen. Ein Medienbruch durch einen Ausdruck oder das Installieren einer App auf dem Smartphone wären so nicht nötig. Über die TI könnten die Rezepte auch sicher zur Apotheke gelangen. Wichtig ist, dass die eGK sicher zugestellt werden. Es muss verhindert werden, dass Dritte sich eGK erschleichen und so in Apotheken Informationen über den Gesundheitszustand anderer Personen erlangen können.

Beim E-Rezept gibt es zudem eine Besonderheit: Die Gematik entwickelt die E-Rezept-App und wird sie zur Verfügung stellen. Die Aufgabe der Gematik beschränkt sich demnach nicht, wie z.B. bei der elektronischen Patientenakte, auf die Erstellung von Spezifikationen und Sicherheitsanforderungen, nach denen Hersteller Komponenten oder Dienste der TI anzubieten haben. Die Gematik wird selbst zum Hersteller und damit auch datenschutzrechtlich verantwortlich. Dies hat zur Folge, dass die Gematik ihre eigenen Entwicklungen zu prüfen und zuzulassen hat. Insoweit besteht zumindest die Gefahr einer potentiellen Befangenheit. Von der Gematik ist allerdings ein externes Sicherheitsgutachten zu beauftragen. Dieses muss durch das Bundesamt für Sicherheit in der Informationstechnik geprüft und bestätigt werden, bevor die App in Betrieb gehen darf.

Die Verfügbarkeitsanforderungen an das E-Rezept sind sehr hoch und ebenfalls von zentraler Bedeutung. Während der Konzeption hatte der BfDI für eine dezentrale Lösung plädiert. Diese hätte gegen Ausfälle zentraler Dienste robuster ausgestaltet werden können und auch Vorteile für die Datenhoheit der Versicherten gebracht. In der Abwägung – u.a. mit dem Schutz vor Manipulation und Rezepthandel – hat sich letztlich die geltende spezifizierte zentrale Lösung durchgesetzt.