3. Lerneinheit: Datenschutz und Datensicherheit – So nutzen Sie das E-Rezept sicher!

Stand:
Sind meine Gesundheitsdaten gut geschützt? Wir erläutern, wie in Deutschland die besonders sensiblen Gesundheitsdaten geschützt sind und wie der Datenschutz beim E-Rezept gewährleistet ist.
Grafik zur dritten Lerneinheit
Off
3.1 Was sind Gesundheitsdaten und wie werden sie geschützt?

Das E-Rezept ist nur eine von mehreren digitalen Anwendungen, die für Patientinnen und Patienten entweder schon entwickelt worden sind oder noch entwickelt werden. Es folgt die GesundheitsID, eine Art digitale Identität, ähnlich einem Personalausweis. Diese soll in Zukunft die elektronische Gesundheitskarte ablösen. Voraussichtlich im Januar 2025 folgt dann die elektronische Patientenakte für alle (ePA für alle).

Die Digitalisierung im Gesundheitswesen bietet viele Chancen für eine bessere und effektivere Gesundheitsversorgung. Aber: Viele Menschen sind angesichts der fortschreitenden Digitalisierung des Gesundheitswesens besorgt über die Sicherheit ihrer Daten. Die Frage "Sind meine Daten gut geschützt?“ beschäftigt sie.

Hier erfahren Sie Alles zum Schutz von Gesundheitsdaten und der Datensicherheit. Wir erklären die Telematikinfrastruktur – das digitale Netzwerk, das alle Akteure des Gesundheitswesens miteinander vernetzt – und haben noch einmal genauer die Sicherheitsaspekte beim E-Rezept zusammengefasst.

Was sind Gesundheitsdaten?

Gesundheitsdaten beziehen sich auf Informationen über den Gesundheitszustand einer Person. Sie gehören daher zu den sensiblen und besonders schützenswerten Daten. An ihren Schutz werden besonders hohe Anforderungen gestellt. Das gilt entsprechend auch für die Daten im E-Rezept. Im E-Rezept werden Ihre persönlichen Daten wie Name, Adresse und Geburtsdatum gespeichert, zusammen mit den Medikamenten und dem Medikamentennamen sowie mit der Fachrichtung der Arztpraxis. Allein anhand der verschriebenen Medikamente und der Arztpraxis kann man Rückschlüsse auf Krankheiten wie Bluthochdruck oder Diabetes ziehen.

Zu den sensiblen Daten rund um Ihre Gesundheit gehören Angaben, die auf Ihren Gesundheitszustand, Krankheiten oder Behandlungen hinweisen, wie zum Beispiel:

  • Informationen über aktuelle Erkrankungen, Diagnosen, Laborergebnisse, Therapien,
  • Informationen zu chronischen Erkrankungen, Vorerkrankungen, Allergien, Unverträglichkeiten, zum Impfstatus, zu Medikamenten, Röntgenbildern usw.,
  • genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person.

Was sind die Regeln zum Schutz von Gesundheitsdaten?

Zum Schutz von Gesundheitsdaten sind klare Richtlinien nach der europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) zu beachten. Die Sicherheit Ihrer Daten ist ein zentraler Aspekt bei der Einführung digitaler Gesundheitsanwendungen wie dem E-Rezept. So müssen Arztpraxen, Krankenhäuser, Apotheken und Krankenkassen besonders sorgsam mit diesen Daten umgehen. Das gilt ebenso für andere medizinische Dienstleister wie beispielsweise Physiotherapeuten, Ergotherapeuten oder Sanitätshäuser. Für Datenschutz und Datensicherheit sind bestimmte Standards und Regeln einzuhalten, damit sichergestellt wird, dass Gesundheitsdaten nicht ohne Zustimmung der betroffenen Personen weitergegeben oder missbraucht werden.

Weitere Erläuterungen rund um das Datenschutzrecht finden Sie in unserem Glossar.

Wichtige Anforderungen an den Datenschutz und die Datensicherheit von Gesundheitsdaten sind dabei:

Grafik zu Anforderungen an den Datenschutz

3.2 Wie werden Gesundheitsdaten beim E-Rezept geschützt und sicher übermittelt?

Die Übermittlung, Verarbeitung und das Speichern von Gesundheitsdaten müssen beim E-Rezept zum Schutz Ihrer Gesundheitsdaten besonders sicher erfolgen.
Bei der Entwicklung und Abstimmung des E-Rezepts im Zuge der Digitalisierungsstrategie der Bundesregierung wurden der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) eng mit einbezogen.

E-Rezepte dürfen zum Beispiel nicht einfach per Email übermittelt werden. Sie werden über die besonders abgesicherte Telematikinfrastruktur verschlüsselt von der Arztpraxis an den E-Rezept-Fachdienst übermittelt. Dieser E-Rezept-Fachdienst ist nichts anderes als ein zentraler Server innerhalb der Telematikinfrastruktur, über den nur E-Rezepte verwaltet und gespeichert werden. Die Apotheke kann das Rezept dann verschlüsselt von diesem Dienst abrufen. Innerhalb des E-Rezept-Fachdiensts wird das E-Rezept ebenfalls verschlüsselt gespeichert und verarbeitet.

Was ist die Telematikinfrastruktur?

Die Telematikinfrastruktur (TI) ist ein geschütztes Netzwerk im Gesundheitswesen, das Arztpraxen, Krankenhäuser, Apotheken, Krankenkassen, Therapeuten und weitere Gesundheitseinrichtungen miteinander verbindet. Sie erlaubt den geschützten Austausch von Gesundheitsdaten zwischen diesen Einrichtungen, wie Patientenakten, Röntgenbilder und Medikationspläne.

Verantwortlich für den Aufbau, Betrieb und die Weiterentwicklung der TI ist die gematik, die Nationale Agentur für Digitale Medizin.

 

Wie sind die Daten beim E-Rezept verschlüsselt?

E-Rezepte werden nicht Ende-zu-Ende verschlüsselt. Dies kritisiert beispielsweise der Chaos Computer Club. Eine vollständige Ende-zu-Ende-Verschlüsselung würde bedeuten, dass Nutzer einen separaten Schlüssel generieren müssten, um das E-Rezept aus dem E-Rezept-Fachdienst abzurufen und einzulösen. Nutzer müssten also einen zusätzlichen Schritt durchführen. Das wäre dann zwar noch sicherer, würde aber viele Menschen überfordern.  Aus diesem Grund hat sich die gematik für die Übertragung über die sogenannte vertrauenswürdige Umgebung (VAU) entschieden. Die VAU stellt sicher, dass selbst der Anbieter des E-Rezept-Fachdiensts keinen Einblick in den Inhalt der E-Rezepte hat.

Sofern Sie inhaltlich weiter in die Systeme der Telematikinfrastruktur einstiegen wollen, finden Sie weitergehende Informationen in einer Informationsbroschüre der gematik.

Wo wird das E-Rezept gespeichert?

Alle E-Rezepte werden automatisch im E-Rezept-Fachdienst gespeichert, dem zentralen Server in der Telematikinfrastruktur. Dieser Dienst wird von IBM im Auftrag der gematik betrieben. Der E-Rezept-Fachdienst nutzt mehrere Rechenzentren in Deutschland, um die E-Rezept-Daten sicher zu speichern. Dadurch sind die Daten an verschiedenen Orten gesichert. Sollte ein Rechenzentrum ausfallen, können die Daten weiterhin über andere Standorte abgerufen werden. IBM als Betreiber hat jedoch keinen Zugriff auf die Daten. Der Fachdienst speichert nicht nur die E-Rezepte, sondern verwaltet auch automatisch den gesamten Ablauf vom Arzt bis zur Apotheke und löscht die Rezepte nach Gebrauch. Zudem werden alle Zugriffe auf die E-Rezepte protokolliert.

Sicherheitskriterien des E-Rezepts - zusammengefasst

  • Mehrfache Verschlüsselung: Von der Arztpraxis bis in die Apotheke werden E-Rezepte bei der digitalen Übertragung mehrfach verschlüsselt.
  • Fälschungssichere Signatur: Das E-Rezept wird von Ihrer Ärztin oder Ihrem Arzt digital unterschrieben. Die digitale Signatur ist fälschungssicher.
  • Legitimation: Ärztinnen und Ärzte sowie Apothekerinnen und Apotheker müssen sich durch einen speziellen Heilberufsausweis legitimieren. Er bestätigt ihre Identität, erlaubt ihnen den Zugang in die gesicherte Telematikinfrastruktur und gewährt so den geschützten Zugang zu sensiblen Daten. Der Heilberufsausweis funktioniert ähnlich wie Ihre Gesundheitskarte und wird in ein Kartenterminal eingesteckt.
  • Authentifizierung: In der Arztpraxis authentifizieren Sie sich mit Ihrer Gesundheitskarte. Sie authentifizieren sich auch in der E-Rezept-App und beim Einlösen mit der Gesundheitskarte.
  • Protokollierung: Alle Zugriffe auf das E-Rezept werden protokolliert. Sie können die Protokolldaten über alle Zugriffe in Ihrer E-Rezept-App einsehen. Hierdurch lässt sich ein unberechtigter Zugriff sofort erkennen.
  • Löschen der E-Rezepte: Eingelöste E-Rezepte werden nach 100 Tagen automatisch gelöscht. Nicht eingelöste E-Rezepte werden automatisch 10 Tage nach Ablauf der Rezeptgültigkeit gelöscht.

Wie sind meine Daten in der E-Rezept-App der gematik geschützt?

Die gematik hat für die Entwicklung, Bereitstellung und Nutzung der E-Rezept-App eine Datenschutz-Folgenabschätzung (DSFA) erstellt. Diese dient vor Allem der Prüfung und Dokumentation etwaiger datenschutzrechtlicher Risiken im Zusammenhang mit der Nutzung der App.

Bei digitalen Anwendungen können Sicherheitslücken nie komplett ausgeschlossen werden. Die Sicherheit des E-Rezepts hat hohe Priorität. Wichtig ist daher, fortlaufend potenzielle Risiken zu erkennen und zu beheben. Regelmäßige Sicherheitsprüfungen und Updates sind entscheidend, um die Unversehrtheit der Daten und die Sicherheit der Nutzer zu gewährleisten.

Wie sicher ist das Card-Link-Verfahren?

Auch diese Apotheken-Apps müssen den hohen Anforderungen an Datensicherheit und Datenschutz entsprechen. Nach Angaben der gematik ist das Verfahren sicher. Der eingehaltene Standard entspricht dem Einstecken der Gesundheitskarte (eGK) in das Kartenlesegerät in der Apotheke. Dass das Card-Link-Verfahren nur mit deutschen Telefonnummern funktioniert, liegt daran, dass deutsche Anbieter dazu verpflichtet werden können, Zugriffe zu protokollieren und die Daten für 90 Tage zu speichern, bevor sie sicher gelöscht werden. 

Die Nutzung des SMS-Code-Verfahrens beim Card Link-Verfahren dient dazu, Zugriffe zu protokollieren und das Risiko missbräuchlicher Zugriffe zu minimieren, ist aber kein zusätzlicher Sicherheitsfaktor für die Authentifizierung. Anbieter von Apps müssen einen Zulassungsantrag bei der gematik stellen. 

3.3 Wie kann ich meine Gesundheitsdaten auf dem Handy schützen?

Auch Sie sollten entscheidend zur Sicherheit Ihrer Daten beitragen! Selbst die sicherste App kann anfällig sein, wenn Sie für Ihr Smartphone nicht regelmäßig Sicherheitsupdates durchführen. Wichtig ist, dass Sie die automatische Update-Funktion eingestellt haben bzw. in regelmäßigen Abständen kontrollieren, ob Aktualisierungen verfügbar sind. Dadurch werden potenzielle Sicherheitslücken geschlossen und Ihr Handy bleibt so auf dem neuesten Stand. Weiterführende Infos gibt es beim Bundesamt für Sicherheit in der Informationstechnik.

Des Weiteren sollten Sie direkt in der E-Rezept-App Einstellungen vornehmen, damit Ihr Datenschutz und die Sicherheit Ihrer Daten gewährleistet sind.

In unseren Tutorials zeigen wir Ihnen, wie Sie in der E-Rezept-App Einstellungen, z. B. zum Datenschutz und zur Sicherheit, vornehmen können.

Wir empfehlen unbedingt, auch die Datenschutz-Erklärung der E-Rezept-App zu lesen. Diese findet sich ebenfalls unter den Einstellungen direkt in der App. Die Hinweise finden Sie auch noch einmal auf der Homepage der gematik.

 


Icon mit KamerasymbolVideo-Tutorials

Und auch zur 3. Lerneinheit haben wir wieder Tutorials für Sie - der Schwerpunkt unserer Video-Anleitungen liegt diese Woche auch auf Datenschutz und Datensicherheit (Links führen direkt zu YouTube):

  1. Demo-Modus
  2. Verwaltung Gesundheitskarte / PIN
  3. Nutzungsdaten
  4. APP-Sicherheit
  5. Profil löschen
  6. Kontakt zur Gematik
  7. Rechtliches


Übungen zur 3. Lerneinheit:  

Was sind Gesundheitsdaten und warum sind diese besonders sensibel?

Sie haben nun Einiges zum Datenschutz und zur Datensicherheit bei Gesundheitsmaßnahmen und zur Umsetzung beim E-Rezept erfahren. In unseren Tutorials zu dieser Lerneinheit  finden Sie konkrete Anweisungen, wie Sie Einstellungen in der E-Rezept-App vornehmen können. Nun haben Sie die Gelegenheit, mit unseren Übungen noch einmal ein paar Prinzipien von Datenschutz und Datensicherheit im digitalen Gesundheitswesen zu verinnerlichen:

Lerneinheit laden: Erst wenn Sie auf "Inhalt anzeigen" klicken, wird eine Verbindung zu H5P hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Gasflamme und Heizplatte eines Herds

Grundversorgung bei Strom und Gas: Große Preisunterschiede

Bei einer Untersuchung aller aktuellen Grundversorgungstarife für Strom und Gas in NRW zum Stichtag 1. Januar 2025 haben wir große Preisunterschiede festgestellt. Zwei Jahre nach der Energiekrise sind die Grundversorgungspreise in vielen Städten weiterhin hoch.
Hand hält Smartphone mit dem Logo von PayPal

Wie Kriminelle das "Bezahlen ohne PayPal-Konto" missbrauchen

Mit dem Begriff "Gastkonto-Masche" wird im Internet über einen Betrug via PayPal diskutiert, bei dem Kriminelle fremde IBAN für Einkäufe missbrauchen. Schutz für Betroffene gibt es kaum.
Foto von einer Hand, die eine Fernbedienung hält und auf einen Fernsehbildschirm richtet, auf dem ein Fußballspiel läuft

ARD und ZDF nur noch in HDTV empfangbar - Das können Sie jetzt tun

Ab 2025 wird die Ausstrahlung der öffentlich-rechtlichen Fernsehsender in Standardqualität eingestellt. Wir beantworten die wichtigsten Fragen und informieren, was Sie tun müssen, damit Ihr Fernsehbildschirm 2025 nicht schwarz wird.