Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

FAQ zum E-Rezept

Ärztinnen und Ärzte sind verpflichtet, verschreibungspflichtige Arzneimittel mittels E-Rezept zu verordnen. Das rosafarbene Papier-Rezept wurde damit durch das E-Rezept abgelöst. Antworten auf Fragen mit Bezug zum Datenschutz, die die BfDI erreicht haben, können Sie hier nachlesen.

E-Rezept-App auf einem Smartphone
Quelle: nmann77 - Adobe Stock

Gesetzlich Versicherte erhalten verschreibungspflichtige Arzneimittel nur noch per E-Rezept. Sie können die E-Rezepte mit ihrer elektronischen Gesundheitskarte (eGK), mit einem Papierausdruck oder per E-Rezept-App (die sogenannte Gematik-App oder integriert in die allgemeine App Ihrer Krankenkasse) einlösen. Das E-Rezept ist die erste medizinische Pflichtanwendung des deutschen Gesundheitsnetzes, der Telematikinfrastruktur (TI). Das System und die Beteiligten sind nicht leicht zu überblicken, weshalb Sie hier Antworten auf die wichtigsten Fragen finden.

Nähere Informationen zum E-Rezept stellt auch das Bundesministerium für Gesundheit (BMG) bereit.

Nutzung und Funktion

Wo werden meine Rezepte gespeichert?

Die Rezepte werden in der Arztpraxis erstellt und von dort in ein deutschlandweit zentrales System (den sogenannten E-Rezept-Fachdienst) übertragen. Die Apotheken rufen die Rezeptdaten vom E-Rezept-Fachdienst ab. Die E-Rezepte sind nicht auf Ihrer elektronischen Gesundheitskarte (eGK) gespeichert.

Wie kommt mein gespeichertes E-Rezept in die Apotheke?

Die Apotheke Ihrer Wahl muss die Daten zum E-Rezept erhalten, damit Ihnen das verordnete Medikament ausgehändigt werden kann. Es gibt drei Möglichkeiten, wie die Apotheke an die Daten gelangt:

  • Melden Sie sich in der E-Rezept-App der Gematik an. Sollte Ihre Krankenkasse Ihnen eine App anbieten, können Sie die gleichen Funktionen auch in der App Ihrer Krankenkasse nutzen. Dort sehen Sie alle Ihre Rezepte auf dem E-Rezept-Speicher. Dann können Sie Ihre Apotheke auswählen und dieser Ihr Rezept digital zuweisen.
  • Stecken Sie in der Apotheke Ihre elektronische Gesundheitskarte (eGK) in das Lesegerät. Ihre Apotheke erhält dadurch Zugriff auf alle Ihre E-Rezepte auf dem Speicher.
  • Jedes E-Rezept hat Zugangsdaten in Form eines 2D-Codes ähnlich einem QR-Code. Der 2D-Code muss Ihnen auf Wunsch in der Arztpraxis auf Papier ausdruckt werden. Geben Sie ihn in der Apotheke ab.

Falls Sie sich besonders schützen wollen, nutzen Sie eine E-Rezept-App (entweder die der Gematik oder die Krankenkassen-App). Dort melden Sie sich mit Ihrer elektronischen Gesundheitskarte (eGK), dem elektronischen Personalausweis (oder elektronischen Aufenthaltstitel und eID-Karte) oder der Gesundheits-ID an. So können Sie für jedes Rezept einzeln auswählen, welche Apotheke darauf zugreifen kann. Außerdem erhalten Sie Einblick in Ihre Rezepte und die Zugangsprotokolle.

Wer kann auf meine E-Rezepte zugreifen?

Zugriff auf Ihre E-Rezepte haben nur Sie selbst (bzw. ggfs. Ihre Vertreter) und die Apotheken, denen Sie Rezepte zuweisen. Die einstellende ärztliche Praxis kann die Rezepte, die sie selber eingestellt hat, nicht mehr lesen, aber unter bestimmten Umständen löschen. Prüfen Sie regelmäßig die Zugangsprotokolle über die E-Rezept-App für Handy oder Computer, falls Sie Missbrauch befürchten.

Gibt es eine Forschungsfreigabe?

Eine Freigabe für Forschungsinstitutionen, direkt Daten aus dem E-Rezept-Fachdienst zu beziehen, gibt es nicht. Forschungsinstitutionen können allerdings Zugriff auf E-Rezepte erhalten, wenn sie zukünftig in die elektronische Patientenakte (ePA) übertragen werden. Mit der Einführung der neuen elektronischen Patientenakte (ePA) ab 2025 werden alle Informationen der E-Rezepte automatisch in die ePA kopiert, falls Sie nicht widersprechen. Von dort aus werden Sie an das Forschungsdatenzentrum übertragen. Auch dieser Forschungsfreigabe aus der ePA können Sie widersprechen. (Siehe auch „Welche Verbindung gibt es zur elektronischen Patientenakte?“).

Ihre Rechte

Kann ich mich auch gegen ein E-Rezept entscheiden? Gibt es noch Papierrezepte? Muss ich den digitalen Weg gehen?

In ärztlichen Praxen müssen E-Rezepte ausgestellt werden. Eine Wahlmöglichkeit für Versicherte für ein klassisches Rezept gibt es nicht. Das ist auch nach europäischer Datenschutz-Grundverordnung zulässig. Allerdings können Sie nach der jetzigen Regelung immer verlangen, dass der Zugangscode zum E-Rezept auf Papier ausgedruckt wird. Sie können den Ausdruck dann wie das bisherige Papierrezept zur Apotheke bringen und erhalten Ihre Medikamente, ohne ein Smartphone oder Stecken der Gesundheitskarte.

Muss ich die E-Rezept-App nutzen?

Nein. Da Sie das E-Rezept auch mit Ihrer elektronische Gesundheitskarte (eGK) oder einem Ausdruck mit Code einlösen können, müssen Sie die E-Rezept-App nicht benutzen. Um Einblick in die über Sie gespeicherten Daten zu erhalten, benötigen Sie allerdings die App für Smartphone oder Computer.

Ich habe keine Einwilligung zu Datenverarbeitung abgegeben. Ist das E-Rezept damit unrechtmäßig?

Für das E-Rezept gibt es in § 360 SGB V eine gesetzliche Grundlage, die das E-Rezept verpflichtend vorsieht. Da diese Verarbeitung also gesetzlich vorgeschrieben ist, ist eine zusätzliche Einwilligung durch die Versicherten nicht notwendig und auch nicht vorgesehen.

Wie kann ich meine Betroffenenrechte ausüben?

Für die Verantwortlichen gelten selbstverständlich grundsätzlich jeweils die üblichen Pflichten der DSGVO, insbesondere die Pflicht zur transparenten Information. Tatsächlich können für Anwendungen der Telematikinfrastruktur (TI) aber einige Rechte der DSGVO eingeschränkt sein. Der Anbieter des E-Rezept-Fachdienstes könnte Ihnen daher den Auskunfts-, Korrektur- oder Löschanspruch in Bezug auf E-Rezept-Daten verweigern. Das ist auch durchaus sinnvoll. Beim E-Rezept-Fachdienst wird technisch verhindert, dass der Anbieter selbst Zugriff auf die E-Rezepte hat, um vor Missbrauch zu schützen (siehe auch „Kann der Betreiber des E-Rezept-Fachdiensts meine E-Rezepte lesen?“). Da der Anbieter selber keine Informationen über Ihre E-Rezepte hat, kann er Ihnen auch keine Auskunft geben. Hier nun eine „Hintertür“ einzubauen, könnte die Sicherheit des Systems heruntersetzen.

Sie können allerdings mit einem sogenannten Frontend –  also der E-Rezept-App auf dem Smartphone oder dem Windows-Programm –  Einblick in alle Ihre gespeicherten E-Rezepte nehmen. Mit der Smartphone-App können sie auch Rezepte löschen.

Die BfDI fordert, dass auch Menschen, die kein Frontend nutzen, die Möglichkeit haben sollten, Einsicht in Ihre E-Rezepte und Zugriffprotokolle zu nehmen.

Datenschutzrechtliche Verantwortlichkeit und Aufsicht

Wer ist datenschutzrechtlich verantwortlich für das E-Rezept?

Hier gibt es verschiedene datenschutzrechtlich Verantwortliche. Für die Verarbeitung in der ärztlichen Praxis oder Apotheke (bspw. Ausfüllen der Daten in das Praxisverwaltungssystem oder Anzeige im Apothekensystem) ist in der Regel die Leistungserbringerinstitution (d.h. Arzt, Ärztin, die Apotheke) verantwortlich.

Wer ist zuständige Datenschutzaufsichtsbehörde für den E-Rezept-Fachdienst (zentraler E-Rezept-Speicher)?

Für die IBM Deutschland GmbH und damit den E-Rezept-Fachdienst ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg die zuständige Datenschutzaufsichtsbehörde.

Datensicherheit

Wieso werden die E-Rezepte zentral gespeichert? Ist das sinnvoll und sicher?

Die gesetzliche Grundlage für die technische Infrastruktur des E-Rezepts legt leider wichtige Leitplanken nicht fest, so dass viele Fragestellungen nachgelagert in der technischen Konzeption entschieden wurden. Die BfDI hat in den Beratungen zur technischen Ausgestaltung für eine dezentrale Speicherung der Rezeptdaten und Ende-zu-Ende-Verschlüsselung plädiert. In der Abwägung – u.a. mit dem Schutz vor Manipulation und Rezepthandel – hat sich bei den Verantwortlichen der Telematikinfrastruktur  jedoch die nun geltende zentrale Lösung durchgesetzt.

Die Ende-zu-Ende-Verschlüsselung erhöht im Wesentlichen die Vertraulichkeit, während dezentrale Systeme zusätzlich robuster gegen Ausfälle ausgestaltet werden können. Unter Abwägung aller Umstände können aber auch andere technische und organisatorische Maßnahmen gewählt werden, wenn nachgewiesen werden kann, dass damit die Datenschutzgrundsätze gewahrt bleiben.

Durch die Wahl einer zentralen Datenhaltung muss jetzt mit technischen Maßnahmen ausgeschlossen werden, dass dem Anbieter des E-Rezept-Fachdienstes oder Dritten vertrauliche oder zur Profilbildung geeignete Daten zur Kenntnis gelangen können. Auch wenn die BfDI in den Beratungen für eine andere Lösung plädiert hat, liegen keine Erkenntnisse vor, dass die in den Anforderungen der Gematik formulierten Maßnahmen nicht wirksam sind.

Kann der Anbieter des E-Rezept-Fachdienstes meine E-Rezepte lesen?

Dem Anbieter des E-Rezept-Fachdienstes werden von der Gematik Vorgaben gemacht, die Profilbildung ausschließen sollen. Beispielsweise muss der Fachdienst die E-Rezepte in speziellen Ausführungsumgebungen verarbeiten, die sicherstellen, dass Mitarbeitende des Betreibers keinen Einblick haben können. Der Betreiber hat generell kein Zugriffsrecht auf die personenbezogenen Daten. E-Rezepte werden nicht dauerhaft auf dem Speicher vorgehalten, sondern nach Einlösung gelöscht. Die Datenhaltung in der Apotheke und in der ärztlichen Praxis ändert sich nicht.

Dürfen meine E-Rezepte im Ausland verarbeitet werden?

Gemäß Vorgaben der Gematik muss der Betrieb des Fachdienstes innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraum stattfinden. So sollte grundsätzlich sichergestellt sein, dass Daten nur im Geltungsbereich der DSGVO verarbeitet werden.

Wie lange werden meine E-Rezepte gespeichert?

Nicht eingelöste E-Rezepte werden 10 Tage nach dem letztmöglichen Einlösedatum gelöscht. Eingelöste E-Rezepte werden von der Apotheke mit Informationen angereichert: Beispielsweise welches Medikament wirklich ausgegeben wurde. Damit Versicherte diese Informationen während der Einnahme nachlesen können, bleiben die eingelösten E-Rezepte 100 Tage gespeichert. Sie können E-Rezepte aber auch vorher selber über die E-Rezept-App auf dem Smartphone löschen. Mit der Einführung der neuen elektronischen Patientenakte (ePA) ab 2025 werden alle Informationen der E-Rezepte automatisch in die ePA kopiert. Löschen Sie dann ein Rezept vom E-Rezept-Fachdienst, bleiben die Informationen dazu in der ePA. Siehe dazu auch elektronischen Patientenakte.

Welche Verbindung gibt es zur elektronischen Patientenakte?

Mit dem Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (DigiG) wurden neue Regelungen zur elektronischen Patientenakte (ePA) eingeführt. Ab 2025 erhalten alle Versicherten, die nicht aktiv widersprechen, eine ePA von ihrer Krankenkasse. Mit dieser wird der elektronische Medikationsprozess neu eingeführt. Bei diesem werden die E-Rezepte automatisch in die ePA überführt und dort dauerhaft vorgehalten. Auch diesem Teilprozess können Sie widersprechen.

Das bedeutet, dass Sie, solange Sie nicht dem gesamten Medikationsprozess widersprechen, Informationen zu bestimmten Rezepten nicht aus der Telematikinfrastruktur entfernen können. Löschen Sie ein Rezept mit der E-Rezept-App vom E-Rezept-Fachdienst oder wird ein E-Rezept automatisch gelöscht, weil Sie es nicht eingelöst haben, verbleiben die Informationen dazu als Kopie in Ihrer ePA.

Erfahren Sie mehr dazu im Artikel zur elektronischen Patientenakte.

Ich interessiere mich für technische Details.

Sollten Sie sich für Details (wie z. B. die verwendeten Verschlüsselungsmethoden) interessieren, könnten Sie sich auch bei der Gematik informieren.

Akteure

Welche Rolle hat die BfDI beim E-Rezept?

Die BfDI berät die Bundesregierung bei Gesetzesvorhaben zur Digitalisierung des Gesundheitswesens. Er berät auch die Gematik (Gesellschaft für Telematik) bei der Erstellung der technischen Vorgaben (Spezifikationen) für das Netz für Gesundheitsdigitalisierung, der Telematikinfrastruktur (TI). Für die Gematik-App ist die BfDI zuständig, soweit personenbezogene Daten verarbeitet werden.

Nicht zuständig ist die BfDI für die Verarbeitung der E-Rezepte im zentralen E-Rezept-Speicher. (siehe auch „Datenschutzrechtliche Verantwortlichkeit und Aufsicht")

Welche Rolle hat die Gematik beim E-Rezept?

Die Gematik ist eine GmbH, die die Gesamtverantwortung für die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen trägt. Sie hat die erste E-Rezept-App als Zugriffsmöglichkeit für Versicherte entwickelt (sog. Gematik-App) und stellt diese bereit.

Sie erarbeitet außerdem die technischen Vorgaben für das E-Rezept und hat auf Grundlage dieser Spezifikationen das technische Produkt „E-Rezept-Fachdienst“ – also den zentralen E-Rezept-Speicher – zugelassen. Sie betreibt ihn aber nicht selbst.

Wer betreibt den E-Rezept-Fachdienst (also den zentralen Speicher)?

Anbieter und Betreiber des E-Rezept-Fachdienstes ist die IBM Deutschland GmbH. Sie hat den Fachdienst nach den technischen Vorgaben der Gematik entwickelt (siehe auch „Wer ist zuständige Datenschutzaufsichtsbehörde für den E-Rezept-Fachdienst?“).

Weitere Informationen finden Sie hier: