GSB 7.1 Standardlösung

Navigation und Service

Das eRezept

Die erste Pflichtanwendung in der Telematikinfrastruktur (TI) des Gesundheitswesens: Die elektronische ärztliche Verordnung

Medikamentenregal in einer Apotheke
Quelle: Adobe Stock

Das PDSG führt mit den Regelungen in §§ 360 und 361 SGB V eine neue Anwendung ein. Ärztliche Verordnungen müssen ab dem 1. Januar 2022 elektronisch über die TI übermittelt werden. Das sogenannte E-Rezept ist damit die erste medizinische Pflichtanwendung überhaupt.

Rezepte im Rahmen der vertragsärztlichen Versorgung sollen immer in einem zentralen Speicher in der TI abgelegt werden. Patientinnen und Patienten können dann nur wählen, ob sie die Zugangsinformationen dazu in elektronischer Form oder – nach dem Vorbild eines Bahn- oder Flugtickets – als Papierausdruck mit einem Code-Block zur Einlösung in einer Apotheke ausgehändigt bekommen wollen.

Wie bei der ePA wird es auch beim E-Rezept eine Zweiklassengesellschaft geben. Menschen, die nicht die E-Rezept-App nutzen möchten oder können, erhalten keinen unmittelbaren Einblick in die über sie gespeicherten Daten oder erfolgten Zugriffe auf ihre Rezepte.

Zur Authentisierung in der E-Rezept-App gegenüber dem E-Rezept-Server sieht das PDSG nicht vor, ein alternatives Verfahren ohne eGK anzuwenden. Nutzende werden deshalb ihre eGK über Near Field Communication (NFC) mit dem Endgerät verbinden. Hierbei werden die Daten kontaktlos über eine kurze Strecke von wenigen Zentimetern ausgetauscht. Im Rahmen der Einführung der Anwendung E-Rezept wird in der TI dazu ein Identity Provider aufgebaut, ein Dienst der zunächst nur für das E-Rezept - später potentiell für alle Anwendungen der TI - das Authentisieren der Nutzenden übernimmt und die Identifizierung bestätigt. Somit soll das zentrale Thema Authentisierung aus den Anwendungen ausgelagert werden. Dies ist für die Einführung und Sicherheitsbewertung von Authentisierungsmitteln von Vorteil. Um diese Vorteile datenschutzkonform zu nutzen, fordert der BfDI, dass die Prozesse zur Einführung von Authentisierungsmitteln im Vorfeld für die gesamte TI entwickelt und die Kriterien der Einstufung der Sicherheitsniveaus transparent festgelegt werden. Eine so zentrale Funktionalität für die Sicherheit der TI muss auch übergreifend geregelt werden und darf nicht bloß ein Annex bei der E-Rezept-Entwicklung sein.

Beim E-Rezept findet auch ein weiterer Paradigmenwechsel statt: Die gematik entwickelt die E-Rezept-App und wird sie zur Verfügung stellen. Die Aufgabe der gematik beschränkt sich demnach nicht, wie z.B. bei der ePA, auf die Erstellung von Spezifikationen und Sicherheitsanforderungen, nach denen Hersteller Komponenten oder Dienste der TI anzubieten haben. Die gematik wird selbst zum Hersteller und damit auch datenschutzrechtlich verantwortlich. Dies hat zur Folge, dass die gematik ihre eigenen Entwicklungen zu prüfen und zuzulassen hat. Insoweit besteht zumindest die Gefahr einer potentiellen Befangenheit. Im Rahmen der Gesetzesberatungen konnte der BfDI zumindest erreichen, dass ein externes Sicherheitsgutachten von der gematik zu beauftragen ist und dieses durch das Bundesamt für Sicherheit in der Informationstechnik geprüft und bestätigt werden muss, bevor die App in Betrieb gehen darf.

Die Verfügbarkeitsanforderungen an das E-Rezept sind natürlich sehr hoch und ebenfalls von zentraler Bedeutung. Während der Konzeption hatte der BfDI für eine dezentrale Lösung plädiert. Diese hätte gegen Ausfälle zentraler Dienste robuster ausgestaltet werden können. In der Abwägung – u. a. mit dem Schutz vor Manipulation und Rezepthandel – hat sich letztlich die geltende spezifizierte zentrale Lösung durchgesetzt.

In allen angesprochenen Aspekten zeigt sich die Wichtigkeit der vom BfDI wiederholt und frühzeitig geäußerten Forderung, die zentralen Aspekte der Anwendung E-Rezept im Gesetz zu verankern. Der Gesetzgeber muss für eine Pflichtanwendung wie das E-Rezept selbst zentrale Entscheid ungen treffen und Leitplanken im Gesetz vorgeben, ohne sich auf eine spezifische Technik festzulegen. Bedauerlicherweise wurde dies nicht umgesetzt, so dass zentrale Fragestellungen nunmehr nachgelagert, insbesondere im Rahmen der technischen Spezifikationen, von der gematik entschieden werden. Im PDSG fehlen u. a. Regelungen zur Zweckbindung, Datenspeicherung und zu technischen Grundsätzen und Kontrollmöglichkeiten für alle Versicherten. Damit - und vor dem Hintergrund der herausragenden Bedeutung der Anwendung für die Versorgungssicherheit - sind die Regelungen zur Einführung der elektronischen Verordnung nicht hinreichend normenklar und ergänzungsbedürftig. Lediglich in Bezug auf die Normierung einer Regelung zur Speicherdauer der E-Rezepte ist der Gesetzgeber dem Petitum des BfDI im PDSG gefolgt. Auch die konkrete Gestaltung der Anwendung E-Rezept muss sich an den Vorgaben der DSGVO messen lassen. Prüfschwerpunkt wird neben den Maßnahmen zur Sicherheit der Daten auch die Sicherstellung der Verfügbarkeit sein.