Sie verwenden eine veraltete Browserversion. Bitte verwenden Sie eine unterstütze Versiondamit Sie MSN optimal nutzen können.

Scheitert das E-Rezept am Datenschutz?

Frankfurter Allgemeine Zeitung-Logo Frankfurter Allgemeine Zeitung 14.11.2022 Corinna Budras
Nur so halb digital: QR-Code eines E-Rezepts © dpa Nur so halb digital: QR-Code eines E-Rezepts

Herr Kelber, eigentlich sollte das elektronische Rezept längst auf den Weg gebracht sein. Jetzt wurde der einzige Pilotversuch dazu beendet, weil Sie Ihr Veto eingelegt haben. Ist das ein Beleg dafür, dass die Digitalisierung in Deutschland am Datenschutz scheitert?

Nein, eigentlich müsste es gar keine großen Diskussionen darüber geben. Für das E-Rezept gibt es eine gesetzliche Grundlage. Die Einreichungsformen, auf die man sich ursprünglich mal geeinigt hatte, sind voll funktionsfähig.

Also können wir direkt loslegen?

Ja, das E-Rezept ist nutzbar. Es gibt den Weg eines QR-Codes, den man sich ausdrucken muss. Das ist natürlich nicht sonderlich digital und auf Dauer keine sinnvolle Lösung. Ärzte können den QR-Code übrigens auch per verschlüsselter E-Mail zusenden. Das machen derzeit nur wenige. Außerdem kann man es über die E-Rezept-App der Nationalen Agentur für digitale Medizin, der Gematik, einlösen. Es kam dann die Idee auf, einen zusätzlichen Weg zu wählen. Dazu soll man mit einer elektronischen Krankenkassenkarte selbst ohne dazugehörige PIN in eine Apotheke gehen und die Karte in ein Lesegerät stecken. Dann bekommt man sein Medikament. Diese Lösung haben wir im September präsentiert bekommen. Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik haben wir eine Sicherheitslücke entdeckt. Daraufhin haben wir der Gematik mitgeteilt: Diese Umsetzung geht leider nicht. Aber wenn ihr die Lösung im Hintergrund anders absichert, könnt ihr sie benutzen – bei gleicher Bedienung für die Patienten, die Ärzte und Apotheken.

Ulrich Kelber © dpa Ulrich Kelber

Was hat Sie denn konkret gestört?

Es muss sichergestellt sein, dass die Stelle, die ein Rezept anfordert, auch dazu berechtigt ist. Diese Verifikation wurde im Entwurf aber nicht signiert. Mit solch einer Signatur wird nachvollzogen, von wem die Information stammt und ob sie unverändert ist. Sonst könnte diese Information ausgetauscht werden. Das bedeutet: Man brauchte nur die Krankenkassennummer von jemandem und kann dann von über 18 000 Stellen in Deutschland sehen, welche E-Rezepte diese Person derzeit noch nicht eingelöst hat, und auf die damit zusammenhängenden Krankheiten schließen. Das ist eine Sicherheitslücke, die relativ leicht geschlossen werden kann. Dabei geht es noch nicht einmal um erhöhte Sicherheitsanforderungen. Das ist vergleichbar mit der Forderung, dass ein Fahrrad eine Bremse haben muss, bevor es für den Straßenverkehr zugelassen werden kann.

Woran hakt es denn?

Wir haben in Deutschland die interessante Situation, dass einerseits viel zu langsam digitalisiert wird und oft nicht in der richtigen Reihenfolge. Es werden auch immer wieder Insellösungen entwickelt. Wenn wir uns in Deutschland auf eine Umsetzung elektronischer Identitäten einigen könnten, wären dadurch mit einem Schlag viele weitere digitale Lösungen möglich. Auf der anderen Seite lässt man sich für eine saubere IT-Lösung oft zu wenig Zeit, weil politischer und medialer Druck ausgeübt wird. Da wird die Nutzung der elektronischen Gesundheitskarte für das E-Rezept gefordert – und zwar sofort. Dann ist man nicht bereit, eine gewisse Zeit für Entwickeln, Testen und Ausrollen zuzugestehen. Ich finde dieses Projekt absolut sinnvoll, aber die krankenkassenärztlichen Vereinigungen müssen akzeptieren, dass eine saubere Umsetzung einige Monate braucht. Hätte man das direkt in Angriff genommen, als die Idee geboren und zwischen kassenärztlichen Vereinigungen und Gematik im Juni diskutiert wurde, wäre man bis Ende des Jahres fertig geworden.

Aber man kann doch nicht behaupten, bei diesem Projekt ginge es zu schnell.

Das E-Rezept wird in der Tat schon sehr lange diskutiert, aber das gibt es ja nun auch. Jetzt wurde im Juni eine Zusatzfunktionalität gewünscht, dadurch darf aber keine Sicherheitslücke entstehen. Als Aufsichtsbehörde können wir kein Einverständnis geben, erst einmal sechs Monate lang ein unsicheres System zu nutzen, bis alle offenen Fragen geklärt sind. Wenn mir die kassenärztlichen Vereinigungen sagen, sie wollten jetzt erst einmal sechs Monate Fahrrad ohne Bremse fahren, rüsten die dann aber nach, sage ich Ihnen: Dann wartet sechs Monate, bis die Bremsen dran sind, und geht so lange zu Fuß zum Bäcker. Dann fahrt ihr auf dem Weg dahin auch niemanden über den Haufen.

Ist denn die E-Rezepte-App keine Lösung?

Die setzt voraus, dass man sich am Anfang vernünftig identifiziert. Das geht über die Filialen der Krankenkassen oder über das Post-Ident-Verfahren. Das ist einigen zu umständlich. Wenn wir endlich mit einer elektronischen Identität einen Weg hätten, sich im Internet auszuweisen, wäre auch das leichter.

Aber es gibt doch den elektronischen Personalausweis.

Da gibt es immer wieder Ankündigungen von Krankenkassen, den stärker einzusetzen. Ich bin gespannt, was da jetzt kommt. Der elektronische Personalausweis wurde jahrelang viel zu wenig genutzt, stattdessen wurden immer neue Methoden erfunden. Erst jetzt scheint sich langsam herumzusprechen, dass man das einsetzen sollte, was da ist und gut funktioniert. Man fragt sich, warum das nach all den Jahren nicht inzwischen Standard bei allen staatlichen Leistungen ist. Aber da passiert jetzt viel im Hintergrund, daher bin ich optimistisch.

Nun müssen wir noch kurz auf Twitter zu sprechen kommen. Sie haben kürzlich Ihr Konto geschlossen. Warum?

Twitter ist eine Plattform, die viel zu wenig gegen hasserfüllte, beleidigende Äußerungen und Falschmeldungen tut. Jetzt mit einem Chef wie Elon Musk, der die Leute noch anspornt, in dieser unerträglichen Richtung weiterzumachen, bin ich nicht mehr dabei. Ich will mit meinen Inhalten andere nicht auf diese Plattform locken.

Da geht es also weniger um Datenschutz als um Prinzipien?

Doch, das ist durchaus auch eine Frage des Datenschutzes. Die datenschutzrechtliche Prüfung für den Account des Bundesdatenschutzbeauftragten haben wir nie abschließen können, zu viele Fragen blieben unbeantwortet. Deshalb gab es von uns auch nie ein aktives Konto. Ich habe immer nur von meinem privaten, über 15 Jahre alten Konto aus getwittert. Es bleibt unklar, welche Daten erhoben werden und was damit passiert. Es gibt durchaus Zweifel, ob Daten nur rechtskonform erhoben und verarbeitet werden. Diese Entwicklung wird sich eher noch verstärken in einer Situation, in der die Monetarisierung der Daten bei Twitter noch klarer im Vordergrund steht.

| Anzeige
| Anzeige

Mehr von Frankfurter Allgemeine Zeitung

Frankfurter Allgemeine Zeitung
Frankfurter Allgemeine Zeitung
| Anzeige
image beaconimage beaconimage beacon