Datenschutzbehörde Schleswig-Holstein: E-Rezept-QR-Code per E-Mail oder SMS verletzt DSGVO

24.08.2022

Nach Einschätzung der Datenschutzbehörde Schleswig-Holstein verstößt die bislang vorgenommene Zusendung von E-Rezept-QR-Codes per E-Mail oder SMS die Regelungen der DSGVO. Dies gilt auch für den Fall, dass der Patient der Zusendung zugestimmt hat.

Inhaltlich geht es um das E-Rezept und die Zusendung des QR-Codes per E-Mail  oder SMS-Verfahren an Patienten oder Apotheken. 

Die Datenschutzbehörde Schleswig-Holstein hält diese Praxis für datenschutzwidrig:

"Mit der Versendung von QR-Codes an versicherte Personen oder Apotheken würden bereits Gesundheitsdaten (...)übermittelt. Dabei ist zu berücksichtigen, dass auf dem Markt frei erhältliche Apps aus dem Apothekenumfeld jeder Person, die befugt oder unbefugt im Besitz des jeweiligen QR-Codes ist, die Kenntnisnahme von in der Telematikinfrastruktur der Gematik enthaltenen Daten einer Verordnung zu verschreibungspflichtigen Arzneimitteln ermöglicht: Beim Einlesen von QR- Codes in solche Apps werden die Verordnungsdaten ermittelt und den App-Nutzenden angezeigt.

Die Versendung von QR-Codes per E-Mail ohne angemessene Verschlüsselung würde daher das Risiko erhöhen, dass die Gesundheitsdaten in unbefugte Hände geraten: Die frei erhältlichen Apps führen, soweit ersichtlich, keine Berechtigungsprüfung der Nutzenden durch, sodass der Name der versicherten Person, deren Geburtsdatum, Kontaktdaten des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel mangels ausreichender technischer Sicherung von unbefugten Personen eingesehen werden könnten. Ähnliches wird wohl auch bei der Nutzung von Online-Apotheken ermöglicht.

Gesundheitsdaten weisen eine hohe Sensibilität auf. Deren Übermittlung per E-Mail ist an den Vorgaben von Art. 32 DSGVO zu messen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen die Leistungserbringer geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Diese Maßnahmen schließen auch die Wahl einer angemessenen Verschlüsselung ein, Art. 32 Abs. 1 Buchst. a DSGVO. Eine Transportverschlüsselung wäre für den Versand der E-Mails nicht ausreichend. Die Inhalte der E-Mails bedürfen eines zusätzlichen Schutzes. Denkbar erscheint es, der versicherten Person auf sicherem Weg getrennt ein Passwort zur Entschlüsselung der E-Mail oder eines E-Mail- Anhangs zu übermitteln, welche den QR-Code enthält. Diese zusätzliche Verschlüsselung wäre insbesondere unter Berücksichtigung des Stands der Technik und der Implementierungskosten vertretbar. Auch andere verschlüsselte und gegen unbefugte Zugriffe geschützte Kommunikationswege zwischen Leistungserbringern und versicherten Personen sind prinzipiell denkbar."
 

Es genüge auch nicht, wenn der Patient der Zusendung zuvor ausdrücklich zugestimmt habe:

"Eine Zustimmung von Versicherten in einen unverschlüsselten Versand ist hingegen rechtlich nicht möglich: Eine Einholung von Einwilligungen der versicherten Personen durch die Leistungserbringer hinsichtlich der Übermittlung der QR-Codes per E-Mail an die versicherte Person selbst oder an Apotheken unter Verzicht auf angemessene Verschlüsselung wäre unzulässig, denn die von den verantwortlichen Leistungserbringern vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen."

Wie die Kassenärztliche Vereinigung Schleswig-Holstein mitteilt, wurde das QR-Code-Verfahren inzwischen eingestellt.

Die Datenschutzbehörde hat ebenfalls eine Pressemitteilung herausgegeben.