Kein „E-Rezept per SMS“: Datenschützer:innen kritisieren Card-Link-Verfahren
Dass die Übermittlung von E-Rezept-Codes per SMS nicht datenschutzkonform ist, ist bekannt. Dennoch steht die SMS-TAN-Methode nun erneut zur Debatte, und zwar beim geplanten Card-Link-Verfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm und pocht beim Verfahren auf die Nutzung von elektronischer Gesundheitskarte (egK) und PIN.
Die elektronische Gesundheitskarte (eGK) dient seit Sommer 2023 neben dem Token-Ausdruck und der E-Rezept-App als dritter Einlöseweg für elektronische Verordnungen. Ein Großteil der E-Rezepte wird dabei über die eGK abgewickelt, wie eine Umfrage von IQVIA im Auftrag der Abda unter mehr als 1.000 Inhaber:innen gezeigt hat. „Ohne eGK wäre also das E-Rezept kaum ein Erfolg geworden“, so das Fazit der Standesvertretung.
Doch um das E-Rezept über die eGK abzurufen, ist ein Stecken der Karte in das entsprechende Lesegerät erforderlich. Die Versandapotheken sehen sich dadurch im Nachteil. Mit dem Card-Link-Verfahren will die gematik Abhilfe schaffen. Dabei könnte das Übermitteln von E-Rezepten unter anderem über ein SMS-TAN-Verfahren laufen. Datenschützer:innen schlagen allerdings Alarm.
Datenschutzbedenken gegen Card-Link-Verfahren
Beim geplanten Card-Link-Verfahren soll das Smartphone als Lesegerät dienen. Die NFC-fähige eGK wird damit eingelesen und durch die Eingabe der letzten sechs Ziffern der Kartennummer freigegeben. Über die App der jeweiligen Gesundheitsplattform oder der Versandapotheke kann auf die Rezepte zugegriffen werden, um diese schlussendlich über die Telematikinfrastruktur (TI) zur Bestellung abzuschicken. Anstelle der PIN für die eGK könnte dabei ein SMS-Code zur Identifizierung genutzt werden.
Genaue Spezifikationen des Verfahrens will die gematik noch in diesem Quartal veröffentlichen – in Abstimmung mit dem BSI. Doch dieses zeigt sich schon jetzt skeptisch: Denn die „anwendungsbezogenen Anteile“, zu denen auch das Einlösen des E-Rezepts per Card-Link gehört, seien „nicht direkt Teil der Regulierungen“ bei der gematik. Gleiches gelte für Empfehlungen in den Implementierungsleitfäden, heißt es gegenüber Heise. Beide Aspekte würden nicht dem Stand der Technik entsprechen. Somit sollte das Card-Link-Verfahren – wenn überhaupt – lediglich als Übergangslösung in Betracht kommen. Die generelle BSI-Empfehlung lautet jedoch: Bis zur Bereitstellung der Gesundheits-ID sollte das E-Rezept nur per eGK und zugehöriger PIN genutzt werden.
Welche Bedenken genau gegen das geplante Verfahren vorliegen, wird nicht weiter spezifiziert. „Wir bitten um Verständnis, dass sich das BSI zu laufenden Verfahren und den dazugehörigen Inhalten der Gespräche mit der gematik nicht weiter äußert“, heißt es von einem Sprecher auf Nachfrage.
Zur Erinnerung: Seit Jahresbeginn sind die Kassen verpflichtet, Versicherten eine digitale Identität – die Gesundheits-ID – anzubieten. Die Nutzung ist bisher freiwillig. Damit soll das Einloggen in Anwendungen wie die E-Rezept-ermöglicht werden. Doch der Zugang zur Gesundheits-ID ist bisher kompliziert. Gemeinsam mit den Kassen arbeite man daher an einer „dauerhaft einfachen und komfortablen Anmeldung“, beispielsweise mittels biometrischer Merkmale, heißt es von der gematik.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Wegen Geschlecht weniger Gehalt: Rund 43.000 Euro Nachzahlung
Zwar gilt im Allgemeinen der Grundsatz „gleicher Lohn für gleiche Arbeit“, doch die Realität sieht mitunter anders aus. Vor allem …
Sachsen: Ab Juli mehr Geld für PTA
Zum Jahresende 2024 ist der Gehaltstarifvertrag in Sachsen ausgelaufen. Nach monatelangen Verhandlungen haben sich Adexa und der Sächsische Apothekerverband auf …
Gehalt: Knapp jeder Dritte lügt
Das Gehalt gehört hierzulande bei vielen Angestellten zu den am besten gehüteten Geheimnissen. Denn kaum ein anderes Thema ist den …
