E-Rezept Datenschutz: Rechtssichere Datenströme für Praxen

E-Rezept Datenschutz: Rechtssichere Datenströme für Praxen

Inhaltsverzeichnis

Einleitung: Das E-Rezept und die Telematikinfrastruktur (TI)

Im Jahr 2026 ist das elektronische Rezept, kurz E-Rezept, der etablierte Standard im deutschen Gesundheitswesen. Es hat die Verschreibung von Arzneimitteln digitalisiert und die Prozesse für Ärzte, Apotheker und Patienten erheblich vereinfacht. Doch mit der Digitalisierung sensibler Gesundheitsdaten rückt eine zentrale Frage in den Fokus: Wie wird der Datenschutz beim E-Rezept sichergestellt? Dieser Leitfaden bietet Arztpraxen, Praxismanagern und Datenschutzbeauftragten einen umfassenden Überblick über das Thema E-Rezept datenschutzgemäß und erklärt, wie die Datenströme innerhalb der Telematikinfrastruktur (TI) rechtssicher geschützt werden und welche Pflichten Praxen zu erfüllen haben.

Die Telematikinfrastruktur ist das geschlossene und sichere Netzwerk, das alle Akteure im deutschen Gesundheitswesen digital miteinander verbindet. Sie bildet das technologische Rückgrat für das E-Rezept und stellt durch strenge Sicherheitsvorgaben sicher, dass Gesundheitsdaten ausschließlich von befugten Personen eingesehen und verarbeitet werden können. Das Vertrauen der Patienten in diese digitalen Prozesse hängt maßgeblich von einer transparenten und robusten Umsetzung des Datenschutzes ab.

Rechtliche Grundlagen des Datenschutzes im E-Rezept: DSGVO und GDNG

Die Verarbeitung von Gesundheitsdaten unterliegt den höchsten Schutzanforderungen. Für das E-Rezept sind mehrere rechtliche Rahmenwerke von zentraler Bedeutung, die ein hohes Schutzniveau garantieren.

Die Datenschutz-Grundverordnung (DSGVO)

Als Kern des europäischen Datenschutzrechts ist die Datenschutz-Grundverordnung (DSGVO), oder General Data Protection Regulation (GDPR) auf Englisch, die wichtigste Rechtsgrundlage. Gesundheitsdaten gelten nach Art. 9 DSGVO als „besondere Kategorien personenbezogener Daten“, deren Verarbeitung grundsätzlich untersagt ist. Eine Ausnahme besteht jedoch, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Verwaltung von Systemen und Diensten im Gesundheitssektor erforderlich ist (Art. 9 Abs. 2 lit. h DSGVO). Dies bildet die Rechtsgrundlage für die Ausstellung von E-Rezepten. Die Verarbeitung muss zudem auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erfolgen und unterliegt der ärztlichen Schweigepflicht.

Das Gesundheitsdatennutzungsgesetz (GDNG)

Das seit 2024 geltende Gesundheitsdatennutzungsgesetz (GDNG) regelt primär die sekundäre Nutzung von Gesundheitsdaten für Forschungszwecke. Es schafft einen rechtssicheren Rahmen, um pseudonymisierte Daten aus verschiedenen Quellen, einschließlich der elektronischen Patientenakte, für die medizinische Forschung zugänglich zu machen. Für den primären Prozess der Verschreibung und Einlösung eines E-Rezepts ist das GDNG nicht direkt relevant, es spielt jedoch eine wichtige Rolle im Ökosystem der digitalen Gesundheitsdaten, in das sich auch das E-Rezept einfügt.

Ärztliche Schweigepflicht (§ 203 StGB)

Unabhängig von den datenschutzrechtlichen Vorgaben der DSGVO gilt die ärztliche Schweigepflicht nach § 203 Strafgesetzbuch (StGB) uneingeschränkt weiter. Sie verpflichtet Ärzte und ihre Mitarbeitenden zur absoluten Vertraulichkeit über alles, was ihnen in ihrer beruflichen Eigenschaft anvertraut wurde. Die technischen und organisatorischen Maßnahmen der Telematikinfrastruktur sind darauf ausgelegt, diese Schweigepflicht auch im digitalen Raum zu wahren.

Der Datenfluss beim E-Rezept: Von der Praxis zur Apotheke

Um den Datenschutz beim E-Rezept zu verstehen, ist es entscheidend, den Weg der Daten nachzuvollziehen. Der gesamte Prozess findet innerhalb der hochsicheren Telematikinfrastruktur statt und ist durch mehrstufige Verschlüsselung geschützt.

  1. Erstellung in der Arztpraxis: Der Arzt oder die Ärztin erstellt die Verordnung im Praxisverwaltungssystem (PVS). Anstatt eines Papierausdrucks wird ein digitaler Datensatz erzeugt. Dieser wird mit dem elektronischen Heilberufsausweis (eHBA) qualifiziert elektronisch signiert. Diese Signatur stellt die Authentizität und Integrität der Verordnung sicher.
  2. Übermittlung an den E-Rezept-Fachdienst: Das signierte E-Rezept wird nicht direkt an den Patienten oder die Apotheke gesendet. Stattdessen wird es verschlüsselt an den zentralen E-Rezept-Fachdienst in der TI übermittelt und dort gespeichert. Der Patient erhält lediglich einen Zugangsschlüssel (einen sogenannten Rezept-Token), nicht das Rezept selbst.
  3. Zugang für den Patienten: Der Patient kann über drei Wege auf sein E-Rezept zugreifen:
    • E-Rezept-App: Der Rezept-Token wird in der offiziellen App der gematik auf dem Smartphone des Patienten angezeigt.
    • Elektronische Gesundheitskarte (eGK): Das E-Rezept ist mit der eGK des Patienten verknüpft. Durch einfaches Stecken der Karte in der Apotheke kann die Verordnung abgerufen werden.
    • Papierausdruck: Patienten ohne Smartphone oder App können einen Papierausdruck mit dem Rezept-Token in Form eines QR-Codes erhalten.
  4. Einlösung in der Apotheke: Die Apotheke scannt den QR-Code, liest die eGK aus oder empfängt den Token über die App. Mit diesem Schlüssel authentifiziert sich die Apotheke über ihre Secure Module Card (SMC-B) beim E-Rezept-Fachdienst. Erst dann wird das verschlüsselte E-Rezept abgerufen, entschlüsselt und kann bearbeitet werden. Nach Abgabe des Medikaments wird das Rezept im System als eingelöst markiert.

Dieser Prozess stellt sicher, dass zu keinem Zeitpunkt unverschlüsselte Gesundheitsdaten das sichere Netz der TI verlassen und nur autorisierte Parteien Zugriff erhalten.

Die Rolle der elektronischen Patientenakte (ePA)

Seit Anfang 2025 ist die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten standardmäßig als Opt-out-Lösung eingerichtet. Das bedeutet, jeder Versicherte erhält automatisch eine ePA, kann deren Nutzung aber widersprechen. Die ePA spielt auch im Kontext des E-Rezepts eine wichtige Rolle für die Dokumentation.

Nach der Einlösung eines E-Rezepts kann der Patient die Verordnungs- und Dispensierinformationen in seiner ePA speichern lassen. Dies ermöglicht eine lückenlose und transparente Medikationshistorie, auf die der Patient und von ihm berechtigte Leistungserbringer (wie Ärzte oder Apotheker) zugreifen können. Die Hoheit über die Daten liegt dabei stets beim Patienten: Er entscheidet über granulare Zugriffsberechtigungen, wer welche Dokumente in seiner ePA einsehen darf. Die ePA ergänzt somit den E-Rezept-Prozess, ist aber für die reine Funktionalität der Verordnung und Einlösung nicht zwingend erforderlich.

Sicherheitsmechanismen der TI: Schutz sensibler Gesundheitsdaten

Die Telematikinfrastruktur ist mit einer Vielzahl von Sicherheitsmechanismen ausgestattet, die den Schutz der Gesundheitsdaten gewährleisten und einen datenschutzkonformen Betrieb des E-Rezepts ermöglichen.

  • Starke Authentifizierung: Der Zugriff auf die TI und ihre Fachdienste ist nur mit speziellen Karten möglich. Ärzte nutzen den eHBA, Praxen und Apotheken die Institutionskarte SMC-B. Diese Karten stellen sicher, dass nur legitimierte Personen und Institutionen am System teilnehmen können.
  • Verschlüsselung: Jegliche Datenkommunikation innerhalb der TI ist durchgängig verschlüsselt. Dies umfasst die Verbindung von der Praxis zum Konnektor (dem sicheren Gateway zur TI), die Übertragung über den VPN-Zugangsdienst und die Speicherung der Daten auf den zentralen Servern. Man spricht hier von einer Ende-zu-Ende- und Transportverschlüsselung.
  • Zugriffskontrolle und Berechtigungsmanagement: Das System stellt sicher, dass beispielsweise eine Apotheke nur auf E-Rezepte zugreifen kann, für die ihr ein gültiger Rezept-Token vorgelegt wird. Ein freies Durchsuchen aller Verordnungen ist technisch unmöglich.
  • Getrennte Speicherung: Personenbezogene Daten und medizinische Fachdaten werden oft getrennt voneinander gespeichert und erst bei einem berechtigten Abruf zusammengeführt. Dies minimiert das Risiko bei einem potenziellen Datenleck.

Pflichten für Arztpraxen: Datenschutzkonformität gewährleisten

Die Einführung des E-Rezepts bedeutet für Arztpraxen auch eine Anpassung der internen Datenschutzprozesse. Eine korrekte Umsetzung ist entscheidend, um die Vorgaben des Themas E-Rezept datenschutzgemäß zu erfüllen.

  • Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten (VVT): Die Verarbeitung von Patientendaten im Rahmen des E-Rezepts muss als neue Verarbeitungstätigkeit im VVT nach Art. 30 DSGVO dokumentiert werden.
  • Anpassung der Technischen und Organisatorischen Maßnahmen (TOMs): Praxen müssen ihre TOMs nach Art. 32 DSGVO überprüfen und an die neuen digitalen Prozesse anpassen. Dazu gehören der Schutz der IT-Systeme (PVS, Konnektor), Regelungen zum Umgang mit dem eHBA und die Schulung der Mitarbeitenden.
  • Information der Patienten: Die Datenschutzerklärung für Patienten (gemäß Art. 13 DSGVO) muss um Informationen zur Datenverarbeitung im Kontext des E-Rezepts und der Telematikinfrastruktur ergänzt werden.
  • Schulung der Mitarbeitenden: Das gesamte Praxisteam muss über die neuen Abläufe, die Bedeutung der Schweigepflicht im digitalen Kontext und die korrekte Handhabung der Systeme geschult werden.
  • Keine Datenschutz-Folgenabschätzung (DSFA) erforderlich: In der Regel müssen einzelne Arztpraxen keine eigene DSFA nach Art. 35 DSGVO für die Nutzung des E-Rezepts durchführen, da die gematik als verantwortliche Stelle für die zentrale Infrastruktur bereits eine umfassende Abschätzung vorgenommen hat. Praxisindividuelle Risiken müssen jedoch im Rahmen der TOMs bewertet werden.

Die datenschutzkonforme Einrichtung und der Betrieb der notwendigen IT-Infrastruktur können komplex sein. Wir von MUNAS Consulting unterstützen Arzt- und Zahnarztpraxen dabei, alle Anforderungen an den Datenschutz im Gesundheitswesen professionell umzusetzen.

Datenschutzbeauftragter und Dokumentationspflichten

Der (interne oder externe) Datenschutzbeauftragte (DSB) spielt eine zentrale Rolle bei der Implementierung des E-Rezepts. Er berät die Praxisleitung, überprüft die angepasste Dokumentation wie das VVT und die TOMs und unterstützt bei der Schulung der Mitarbeitenden. Der DSB stellt sicher, dass die Praxis alle rechtlichen Anforderungen erfüllt und für eine mögliche Prüfung durch die Aufsichtsbehörde gewappnet ist. Eine lückenlose Dokumentation aller Prozesse und Maßnahmen ist hierbei unerlässlich.

Fazit: Vertrauen und Sicherheit in der digitalen Medizin

Das E-Rezept ist ein Meilenstein der Digitalisierung im Gesundheitswesen. Die zugrundeliegende Telematikinfrastruktur bietet durch ihre Architektur und die strengen Sicherheitsvorgaben ein sehr hohes Schutzniveau für sensible Gesundheitsdaten. Für Arztpraxen ist es dennoch unerlässlich, die eigenen Prozesse anzupassen und die datenschutzrechtlichen Pflichten sorgfältig zu erfüllen. Ein professionell umgesetzter Datenschutz ist die Basis für das Vertrauen der Patienten in die digitalen Gesundheitsanwendungen.

Die Auseinandersetzung mit dem Thema E-Rezept datenschutzgemäß zeigt, dass Sicherheit und Effizienz Hand in Hand gehen können. Durch die Kombination aus zentralen Sicherheitsmechanismen der TI und sorgfältiger Umsetzung in der Praxis wird gewährleistet, dass das E-Rezept nicht nur praktisch, sondern auch sicher ist und die ärztliche Schweigepflicht jederzeit gewahrt bleibt.

Weiterführende Beiträge