Einlösen von E-Rezepten mittels CardLink

Blog-Layout

Einlösen von E-Rezepten mittels CardLink

17. Mai 2024

Große Kritik der ABDA zum CardLink-Verfahren

Die Einführung des E-Rezeptes mit seinen verschiedenen Einlöse-Optionen soll Praxisabläufe effizienter gestalten. Hierdurch soll vor allem Zeit gespart werden, welche wiederum in die Patientenversorgung fließen kann, so die Gematik. Nun soll ein weiteres Verfahren geschaffen werden, bei dem E-Rezepte zügiger eingelöst werden können, das sog. CardLink-Verfahren. Doch ist das CardLink-Verfahren verglichen zu den bereits existierenden Alternativen als sicher einzustufen? Gibt es datenschutzrechtliche Bedenken, die dem Einsatz von CardLink entgegenstehen?

Das E-Rezept ist seit dem 01.01.2024 für verschreibungspflichtige Medikamente verpflichtend eingeführt worden. Somit wurde das rosafarbene Rezept digitalisiert. Ursprünglich sollte das E-Rezept von Patientinnen und Patienten über drei Wege eingelöst werden können:

Elektronische Gesundheitskarte (eGK): Die Einlösung des E-Rezeptes erfolgt durch das Einstecken der eGK in das Kartenterminal der Apotheke.
E-Rezept-App: Mittels der E-Rezept-App der Gematik oder der Krankenkassen können die E-Rezepte durch den Versicherten online verwaltet werden. Medikamente können dabei direkt über die App bei der Apotheke bestellt werden.
Papierausdruck: Schließlich besteht die Möglichkeit das E-Rezept in der Arztpraxis ausdrucken zu lassen und anschließend in der Apotheke einzulösen, indem der Rezeptcode gescannt wird.

Seit März diesen Jahres ist nun jedoch ein weiteres Verfahren möglich, das sog. eHealth-CardLink bzw. CardLink. Die Einführung dieses Verfahrens wurde in der Gesellschafterversammlung der Gematik am 14.03.2024 beschlossen.

Wie funktioniert CardLink?

CardLink stellt ein Verfahren dar, das von Apotheken und Versandapotheken genutzt werden kann. Durch Heranhalten der eGK an ein NFC-kompatibles Smartphone des Versicherten wird eine Verbindung mit dem Konnektor eines Leistungserbringers hergestellt, welcher den Zugang zur Telematikinfrastruktur (TI) ermöglicht. Durch das CardLink-Verfahren ist daher grundsätzlich kein Besuch in einer Apotheke vor Ort erforderlich. Es besteht damit eine Ähnlichkeit zur Nutzung der E-Rezept-App.

Anders als bei der E-Rezept-App, gibt es jedoch keine CardLink-App, in der sämtliche Apotheken für Versicherte wählbar sind. Vielmehr lässt sich das CardLink-Verfahren nur in spezielle Apps einbinden. Attraktiv ist CardLink daher besonders für große Versandapotheken, die über eigene Apps und eine entsprechende Infrastruktur verfügen. Gleichwohl ist CardLink natürlich für alle Apotheken grundsätzlich nutzbar.

Sicherheitsbedenken zu CardLink

Die Präsidentin der Bundesvereinigung Deutscher Apothekerverbände e.V. (ABDA), Gabriele Overwiening, findet für die geplante Einführung klare Worte. Mit einer E-Mail vom 18.03.2024 warnte sie die Mitglieder des Gesundheitsausschusses des Bundestages vor der Einführung des CardLink-Verfahrens.

Die Lage rund um die E-Rezept-Einführung sei infolge technischer Ausfälle ohnehin angespannt. In der derzeitigen fragilen Phase einen vierten Einlöseweg einzuführen, der den ungeprüften Smartphone-Apps von Drittanbietern direkten Zugang zur TI gewährt, sei fahrlässig, so Overwiening. Hierdurch würde Inhabern der Apps erlaubt, medizinische Dat en ohne wesentliche Anforderungen und Zulassungen, zu verarbeiten. Overwiening beklagt zudem, dass bei CardLink mehr als 20 Sicherheitsbedenken bis zuletzt nicht ausgeräumt wurden, wodurch die Arzneimittelversorgung angreifbar sei. Bei den bereits existierenden Einlöse-Optionen seien hingegen strengste Sicherheitsmaßnahmen erfüllt worden, bevor eine flächendeckende Nutzung im Versorgungsalltag zugelassen wurde.

Auch der Landesapothekerverband Niedersachen (LAV) wies auf Sicherheitslücken und eine Gefährdung des Patientenschutzes beim CardLink-Verfahren hin.

BMG setzt Verfahren im Alleingang durch

Bemerkenswert ist, dass das BMG die Entscheidung über die Einführung von CardLink nur infolge der 51-prozentigen Stimmenmehrheit in der Gesellschafterversammlung der Gematik durchsetzen konnte. Alle anderen Gesellschafter, darunter die gesetzlichen und privaten Krankenkassen sowie die Vertretergesellschaften der Leistungserbringer (KBV, BÄK, DKG, KZBV, BZÄK und DAV) stimmten dagegen. Die Gegenstimmen kamen vor allem aufgrund der bestehenden Sicherheitsbedenken zustande. Laut ABDA forderten die Kontrollorgane des Datenschutzes, der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI), zwischenzeitlich sogar den Stopp von CardLink.

Vorläufiges Fazit

Derzeit befindet sich das CardLink-Verfahren bereits im Einsatz. Aus der datenschutzrechtlichen Perspektive sind die mehr als 20 gemeldeten Sicherheitsbedenken höchst bedenklich. Gleichzeitig ist davon auszugehen, dass diese wohl bis heute nicht vollständig ausgeräumt wurden. Da bislang keine öffentlichen Informationen zu den konkreten Bedenken vorliegen, ist eine zuverlässige Risikoeinschätzung beim Einsatz von CardLink kaum möglich. Fakt ist jedoch, dass nicht unerhebliche Bedenken bestehen, die sämtliche Gesellschafter, mit Ausnahme des BMG, dazu veranlasst hat, ihr Veto gegen CardLink einzulegen.

Nicht selten stehen Verantwortliche bei dem Einsatz neuer Verfahren vor der Frage der datenschutzrechtlichen Zulässigkeit, ohne dabei sämtliche rechtlichen und technischen Aspekte vollständig überblicken zu können. Aus diesem Grund wird im Datenschutz häufig an die Zuverlässigkeit von Diensten und Anbietern angeknüpft. Indikatoren für eine positive Zuverlässigkeit können bspw. Datenschutz- oder Informationssicherheitszertifikate sein. Bekannt gewordene Sicherheitsvorfälle oder ernsthafte Sicherheitsbedenken stellen dagegen ein negatives Indiz dar.

Weitere Informationen zum Thema elektronische Gesundheitskarte finden Sie unter dem folgendem Link: https://www.datenschutz.org/elektronische-gesundheitskarte/