Kein „E-Rezept per SMS“: Datenschützer:innen kritisieren Card-Link-Verfahren
Dass die Übermittlung von E-Rezept-Codes per SMS nicht datenschutzkonform ist, ist bekannt. Dennoch steht die SMS-TAN-Methode nun erneut zur Debatte, und zwar beim geplanten Card-Link-Verfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm und pocht beim Verfahren auf die Nutzung von elektronischer Gesundheitskarte (egK) und PIN.
Die elektronische Gesundheitskarte (eGK) dient seit Sommer 2023 neben dem Token-Ausdruck und der E-Rezept-App als dritter Einlöseweg für elektronische Verordnungen. Ein Großteil der E-Rezepte wird dabei über die eGK abgewickelt, wie eine Umfrage von IQVIA im Auftrag der Abda unter mehr als 1.000 Inhaber:innen gezeigt hat. „Ohne eGK wäre also das E-Rezept kaum ein Erfolg geworden“, so das Fazit der Standesvertretung.
Doch um das E-Rezept über die eGK abzurufen, ist ein Stecken der Karte in das entsprechende Lesegerät erforderlich. Die Versandapotheken sehen sich dadurch im Nachteil. Mit dem Card-Link-Verfahren will die gematik Abhilfe schaffen. Dabei könnte das Übermitteln von E-Rezepten unter anderem über ein SMS-TAN-Verfahren laufen. Datenschützer:innen schlagen allerdings Alarm.
Datenschutzbedenken gegen Card-Link-Verfahren
Beim geplanten Card-Link-Verfahren soll das Smartphone als Lesegerät dienen. Die NFC-fähige eGK wird damit eingelesen und durch die Eingabe der letzten sechs Ziffern der Kartennummer freigegeben. Über die App der jeweiligen Gesundheitsplattform oder der Versandapotheke kann auf die Rezepte zugegriffen werden, um diese schlussendlich über die Telematikinfrastruktur (TI) zur Bestellung abzuschicken. Anstelle der PIN für die eGK könnte dabei ein SMS-Code zur Identifizierung genutzt werden.
Genaue Spezifikationen des Verfahrens will die gematik noch in diesem Quartal veröffentlichen – in Abstimmung mit dem BSI. Doch dieses zeigt sich schon jetzt skeptisch: Denn die „anwendungsbezogenen Anteile“, zu denen auch das Einlösen des E-Rezepts per Card-Link gehört, seien „nicht direkt Teil der Regulierungen“ bei der gematik. Gleiches gelte für Empfehlungen in den Implementierungsleitfäden, heißt es gegenüber Heise. Beide Aspekte würden nicht dem Stand der Technik entsprechen. Somit sollte das Card-Link-Verfahren – wenn überhaupt – lediglich als Übergangslösung in Betracht kommen. Die generelle BSI-Empfehlung lautet jedoch: Bis zur Bereitstellung der Gesundheits-ID sollte das E-Rezept nur per eGK und zugehöriger PIN genutzt werden.
Welche Bedenken genau gegen das geplante Verfahren vorliegen, wird nicht weiter spezifiziert. „Wir bitten um Verständnis, dass sich das BSI zu laufenden Verfahren und den dazugehörigen Inhalten der Gespräche mit der gematik nicht weiter äußert“, heißt es von einem Sprecher auf Nachfrage.
Zur Erinnerung: Seit Jahresbeginn sind die Kassen verpflichtet, Versicherten eine digitale Identität – die Gesundheits-ID – anzubieten. Die Nutzung ist bisher freiwillig. Damit soll das Einloggen in Anwendungen wie die E-Rezept-ermöglicht werden. Doch der Zugang zur Gesundheits-ID ist bisher kompliziert. Gemeinsam mit den Kassen arbeite man daher an einer „dauerhaft einfachen und komfortablen Anmeldung“, beispielsweise mittels biometrischer Merkmale, heißt es von der gematik.
Das könnte dich auch interessieren
Mehr aus dieser Kategorie
Mit Hund zur Arbeit: Geduldet heißt nicht erlaubt
Streitthema Hund: Ob dieser mit zur Arbeit darf, sorgt immer wieder für Diskussionen unter Angestellten, mitunter auch in der Apotheke. …
Adexa zum Koalitionsvertrag: Arbeitsbedingungen und Teams müssen im Mittelpunkt stehen
Dass die Apotheken ein eigenes Kapitel im Koalitionsvertrag von Union und SPD erhalten haben, lässt die Branche auf einen Politikwechsel …
Vaterschaftsurlaub: Kein Anspruch, kein Schadenersatz
Über den sogenannten Vaterschaftsurlaub wird immer wieder diskutiert. Dabei ist dieser EU-weit vorgeschrieben. Doch wie immer gibt es Ausnahmen. Auch …
