Start des Testbetriebs von E-Rezepten
Das lange Warten hat ein Ende, die Digitalisierung greift auch in Arztpraxen immer weiter um sich: ab dem 01.09.2022 startet offiziell der aktive Testbetrieb für E-Rezepte. 10.000 Apotheken sind entsprechend vorbereitet und bereit für die Umstellung auf das digitale Rezept und für ein Ende des Papierkrams. Kurz vor Start des Testbetriebs hat die Datenschutz-Aufsichtsbehörde Schleswig-Holstein die Nutzung jedoch schon wieder untersagt. Diese Entscheidung wirft generelle Fragen bezüglich der Nutzung des E-Rezeptes auf. Welche Anforderungen stellen E-Rezepte an den Datenschutz in Arztpraxen und Apotheken und was gibt es bei der Übermittlung der E-Rezepte datenschutzrechtlich zu beachten?
Wie funktioniert ein E-Rezept?
Beginnen wir am Anfang. Das E-Rezept soll den Patient:innen mittels eines QR-Codes zur Verfügung gestellt werden. Bisher war es für Angehörige, Familienmitglieder oder Vertraute der Patient:innen problemlos möglich, das Rezept in der Apotheke stellvertretend einzulösen. Damit diese flexible Einlösbarkeit auch für E-Rezepte gilt, muss der QR-Code sämtliche Informationen enthalten. Das bedeutet eine signifikante Menge persönlicher Daten, inklusive Versicherungsnummer, Name und Verordnung. Genau an dieser Stelle zeigt sich bei dem E-Rezept die Schwierigkeit im Hinblick auf den Datenschutz von Patient:innen. Denn jede Person, die Zugang zu dem Code hat, hat zugleich potenziellen Zugang zu den hinterlegten Daten. Der Code kann prinzipiell von jeder Person ausgelesen und damit der gesamte Datensatz an Informationen beliebig weitergegeben werden.
Wie gelingt die Übermittlung des E-Rezeptes an Apotheken und Patient:innen?
In der Regel haben lediglich die Mitarbeiter:innen der Arztpraxis sowie die Apotheker:innen und der/die Patient:in selbst Zugang zu dem QR-Code des E-Rezeptes. Im individuellen Fall erweitert sich der Kreis um Angehörige, Freunde oder vertraute Personen aus dem Umkreis der/des Patient:in. Das datenschutzrechtliche Problem liegt in der Übermittlung des E-Rezeptes. Diese geschieht per E-Mail. Betrachtet man Übermittlungsform per E-Mail in Bezug auf den Datenschutz, so ist eindeutig festzustellen, dass die E-Mail in der jetzigen Form für die Übermittlung sensibler Daten und Informationen nicht geeignet ist, sofern keine weiteren Schutzmaßnahmen wie eine Verschlüsslung ergriffen werden. Damit ist der Versand des E-Rezeptes in Form eines QR-Codes per E-Mail an Patient:innen oder Apotheken nicht datenschutzkonform und entspricht nicht den Datenschutzrichtlinien für Arztpraxen.
Welche Möglichkeiten gibt es, ein E-Rezept datenschutzkonform zu übermitteln?
Eine nicht verschlüsselte E-Mail scheidet als Übermittlungsmöglichkeit des E-Rezeptes an Apotheken und Patient:innen folglich aus datenschutzrechtlichen Gründen aus. Und nun? Für die Zukunft wäre die Übertragung des E-Rezeptes über die elektronische Patientenakte eine den Datenschutzrichtlinien für Arztpraxen entsprechende sichere Lösung. Die Betonung liegt bei dieser Möglichkeit jedoch auf dem Wörtchen „Zukunft“, da elektronische Patientenakten aktuell noch nicht flächendeckend verfügbar sind bzw. genutzt werden. Eine unmittelbare Lösung des datenschutzrechtlichen Problems wäre anstelle der Verschlüsselung der Mail eine Verschlüsselung des QR-Codes bzw. der jeweiligen (PDF-) Datei. Wie wir es bereits von Testergebnissen aus Testzentren kennen, muss hierbei zunächst ein Passwort eingegeben werden, um auf die Datei zugreifen zu können. Dieses Passwort kennt nur der/die Patient:in, sodass auch nur er/sie die Datei öffnen kann und Zugriff auf die Daten hat. Natürlich wäre es außerdem möglich, den QR-Code auszudrucken und dem/der Patient:in zu übergeben. Doch würde dies einen erneuten Teilrückschritt im eigentlichen Fortschritt bedeuten.
Wer ist verantwortlich für den Datenschutz des E-Rezeptes?
Wie für den generellen Datenschutz in Arztpraxen ist auch im Umgang mit dem E-Rezept der/die Praxisinhaber:in für die Umsetzung und Einhaltung der DSGVO verantwortlich. Damit obligt dem/der Praxisinhaber:in der Schutz der Daten seiner/ihrer Patient:innen, auch in Bezug auf das E-Rezept. Folgt man der Aussage der Aufsichtsbehörde Schleswig Holstein, so stellen weder E-Mails noch SMS eine geeignete Form für die Übermittlung sensibler Informationen und Daten dar. Wird der Versand des E-Rezeptes per E-Mail von dem/der Patient:in nicht ausdrücklich erlaubt oder gefordert, kann dies eine Verletzung der DSGVO darstellen und zu Bußgeldern oder Schadensersatzforderungen führen.
Wie kann man eine mögliche Verletzung der DSGVO bei dem Versand des E-Rezeptes verhindern?
Für die Genehmigung des Versands per E-Mail gilt es zu beachten, dass den Patient:innen in jedem Fall eine datenschutzkonforme Alternative zum E-Mail-Versand angeboten werden muss. Diese besteht in der Regel in der Übergabe des QR-Codes als Ausdruck. Möchte der/die Patient:in dennoch den Versand per E-Mail in Anspruch nehmen, muss eine ausdrückliche Genehmigung mittels eines Formulars erfolgen. Nach Auffassung der Aufsichtsbehörde in Schleswig Holstein gilt eine solche Genehmigung dennoch grundsätzlich nicht als konform, da sie im Praxisalltag nicht auf den Regelfall anwendbar ist.
Wie sollen Praxiseigentümer:innen bezüglich des Datenschutzes bei E-Rezepten verfahren?
Die Meinungen der jeweiligen Aufsichtsbehörden gehen stark auseinander, darum ist es umso wichtiger für Arztpraxen, sich selbst datenschutzrechtlich abzusichern. Die schlussendliche Verantwortung für den Datenschutz in Arztpraxen trägt der/die Praxiseigentümer:in, darum sollten mögliche Versandwege unbedingt geprüft und hinterfragt werden.
Nicht nur die Verwendung von E-Rezepten stellt Arztpraxen und Apotheken vor datenschutzrechtliche Hürden. Was geschieht bei einer Praxisübernahme mit den sensiblen Patientendaten und wie kann sichergestellt werden, dass diese DSGVO-konform aufbewahrt und verarbeitet werden? Lesen Sie hier mehr zu diesem Thema.
