Dass die Übermittlung von E-Rezept-Codes per SMS nicht datenschutzkonform ist, ist bekannt. Dennoch steht die SMS-TAN-Methode nun erneut zur Debatte, und zwar beim geplanten Card-Link-Verfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm und pocht beim Verfahren auf die Nutzung von elektronischer Gesundheitskarte (egK) und PIN.
Die elektronische Gesundheitskarte (eGK) dient seit Sommer 2023 neben dem Token-Ausdruck und der E-Rezept-App als dritter Einlöseweg für elektronische Verordnungen. Ein Großteil der E-Rezepte wird dabei über die eGK abgewickelt, wie eine Umfrage von IQVIA im Auftrag der Abda unter mehr als 1.000 Inhaber:innen gezeigt hat. „Ohne eGK wäre also das E-Rezept kaum ein Erfolg geworden“, so das Fazit der Standesvertretung.
Doch um das E-Rezept über die eGK abzurufen, ist ein Stecken der Karte in das entsprechende Lesegerät erforderlich. Die Versandapotheken sehen sich dadurch im Nachteil. Mit dem Card-Link-Verfahren will die gematik Abhilfe schaffen. Dabei könnte das Übermitteln von E-Rezepten unter anderem über ein SMS-TAN-Verfahren laufen. Datenschützer:innen schlagen allerdings Alarm.
Datenschutzbedenken gegen Card-Link-Verfahren
Beim geplanten Card-Link-Verfahren soll das Smartphone als Lesegerät dienen. Die NFC-fähige eGK wird damit eingelesen und durch die Eingabe der letzten sechs Ziffern der Kartennummer freigegeben. Über die App der jeweiligen Gesundheitsplattform oder der Versandapotheke kann auf die Rezepte zugegriffen werden, um diese schlussendlich über die Telematikinfrastruktur (TI) zur Bestellung abzuschicken. Anstelle der PIN für die eGK könnte dabei ein SMS-Code zur Identifizierung genutzt werden.
Genaue Spezifikationen des Verfahrens will die gematik noch in diesem Quartal veröffentlichen – in Abstimmung mit dem BSI. Doch dieses zeigt sich schon jetzt skeptisch: Denn die „anwendungsbezogenen Anteile“, zu denen auch das Einlösen des E-Rezepts per Card-Link gehört, seien „nicht direkt Teil der Regulierungen“ bei der gematik. Gleiches gelte für Empfehlungen in den Implementierungsleitfäden, heißt es gegenüber Heise. Beide Aspekte würden nicht dem Stand der Technik entsprechen. Somit sollte das Card-Link-Verfahren – wenn überhaupt – lediglich als Übergangslösung in Betracht kommen. Die generelle BSI-Empfehlung lautet jedoch: Bis zur Bereitstellung der Gesundheits-ID sollte das E-Rezept nur per eGK und zugehöriger PIN genutzt werden.
Welche Bedenken genau gegen das geplante Verfahren vorliegen, wird nicht weiter spezifiziert. „Wir bitten um Verständnis, dass sich das BSI zu laufenden Verfahren und den dazugehörigen Inhalten der Gespräche mit der gematik nicht weiter äußert“, heißt es von einem Sprecher auf Nachfrage.
Zur Erinnerung: Seit Jahresbeginn sind die Kassen verpflichtet, Versicherten eine digitale Identität – die Gesundheits-ID – anzubieten. Die Nutzung ist bisher freiwillig. Damit soll das Einloggen in Anwendungen wie die E-Rezept-ermöglicht werden. Doch der Zugang zur Gesundheits-ID ist bisher kompliziert. Gemeinsam mit den Kassen arbeite man daher an einer „dauerhaft einfachen und komfortablen Anmeldung“, beispielsweise mittels biometrischer Merkmale, heißt es von der gematik.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Apotheken insolvent, Betrieb läuft weiter
Muss die Apotheke Insolvenz anmelden, müssen Mitarbeitende mitunter um ihren Arbeitsplatz bangen. Nicht so in der Herz Apotheke und Westend …
Was gilt bei Tod des/der Chef:in?
Dass sich viele Apotheken derzeit in einer wirtschaftlich angespannten Lage befinden, ist längst bekannt. Kein Wunder, dass die Apothekenzahl rückläufig …
Tsunami an Lieferengpässen wegen neuer Richtline?
Lieferengpässe gehören in den Apotheken zum Alltag. Im Herbst und Winter könnte sich die Lage bei einigen Präparaten zuspitzen. Die …