Kaum ist die Aufregung ums E-Rezept vorbei, wird eine neue Sau durchs Dorf getrieben: Card-Link. Was es damit auf sich hat und wieso es große Bedenken zur Sicherheit gibt, erfahrt ihr hier.
Es gibt schon wieder Neues zum E-Rezept, denn das Card-Link-Verfahren zur Einlösung digitaler Rezepte steht vor der Tür. Das erfreut die Versender, die ihre Chance gekommen sehen, den Vor-Ort-Apotheken endgültig das Wasser abzugraben. Das System wird von einigen als zukunftsweisender Schritt in der digitalen Gesundheitsversorgung gefeiert, während andere ernsthafte Bedenken bezüglich Datenschutz äußern. Was ist dran – und warum fühlen sich manche Institutionen im deutschen Gesundheitssystem durch die Einführung übergangen? Der Reihe nach.
Mit Card-Link sollen Versicherte ihre E-Rezepte mittels ihrer elektronischen Gesundheitskarte und ihres Smartphones übermitteln. Der Einlöseprozess beginnt damit, dass der Versicherte seine eGK an sein NFC-fähiges Smartphone hält. Dabei muss keine PIN eingegeben werden, wie es bisher bei der Nutzung der eGK der Fall war. Diese Vereinfachung soll die Nutzung erleichtern und beschleunigen. Nachdem die eGK durch das Smartphone erkannt wurde, muss der Versicherte die auf der Karte aufgedruckte sechsstellige Zugangsnummer (Card Access Number, CAN) eingeben. Diese Nummer dient der Sicherstellung, dass der Nutzer physischen Zugriff auf die Karte hat und ist Teil der Sicherheitsmaßnahmen.
Sobald die Karte identifiziert ist, wird automatisch ein SMS-Code an das hinterlegte Mobiltelefon des Karteninhabers gesendet. Dieser Code dient als Einmalpasswort (OTP), mit dem innerhalb von 15 Minuten mehrere Transaktionen getätigt werden können. Laut Gematik dient dieser Schritt nicht als zweiter Authentifizierungsfaktor, sondern eher zur Protokollierung und Erhöhung des Entdeckungsrisikos bei missbräuchlichen Zugriffen. Dieses Vorgehen wurde gewählt, obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) SMS-Codes generell nicht als den höchsten Standard der Technik ansieht, was Sicherheitsbedenken aufwirft. Dennoch: „Die Eingabe eines SMS-Codes zur Nutzung des eH-CL ist verpflichtend“, teilt die Gematik auf ihrer Homepage mit.
Nach erfolgreicher Verifikation durch den SMS-Code kann der Versicherte sein E-Rezept über die App des jeweiligen Anbieters einlösen. Der Prozess umfasst die Auswahl der gewünschten Apotheke und die Bestätigung der Medikamentenabholung oder Lieferung. Die Transaktionen werden über die App abgewickelt, die direkt auf die Daten des E-Rezept-Fachdienstes zugreift. Eines Tages soll Card-Link aber schon wieder abgelöst werden, nämlich durch die GesundheitsID. Die ist dazu gedacht, den „sicheren Zugang zu weiteren Anwendungen wie der elektronischen Patientenakte“ zu ermöglichen.
Die Implementierung des Card-Link-Verfahrens war kein kurzer Prozess. Nach anfänglichen Problemen dauerte es im Vergleich zu bereits etablierten Einlösesystemen – wie dem Einlesen der Karte direkt in der Apotheke oder dem Versenden über die App mittels PIN – recht lange, bis das Verfahren marktreif war. Das macht die Komplexität, digitale Innovationen in einem hochregulierten Umfeld wie dem Gesundheitswesen zu etablieren, deutlich. Wesentlicher Treiber für die Einführung waren übrigens die Versandapotheken, die eine diskriminierungsfreie Möglichkeit zur Einlösung von E-Rezepten forderten und hier Druck machten.
Obwohl das Verfahren ursprünglich für Versandapotheken konzipiert wurde, haben auch lokale Apotheken begonnen, Card-Link zu adaptieren. Plattformen wie Gedisa und Ihre-Apotheken.de sowie einzelne Apotheker, die bereits eigene Apps entwickeln, zeigen, dass die Technologie auch hier Anklang findet. Aus eigener Erfahrung kann ich jedoch schreiben, dass sich die Entwicklung einer eigenen Apotheken-App mit implementiertem Card-Link recht zäh gestalten kann, denn die Überprüfung und Freigabe durch Google dauern.
Die Einführung des Card-Link-Verfahrens wurde von der ABDA heftig kritisiert. ABDA-Präsidentin Gabriele Overwiening hat in einem offenen Brief an die Bundestagsabgeordneten ihre Sorgen geäußert, dass das Verfahren ohne ausreichende Sicherheitsprüfung der dafür notwendigen Apps die Arzneimittelversorgung gefährden könnte. Sie wies darauf hin, dass das Bundesgesundheitsministeriums das Verfahren gegen alle anderen Gesellschafter der Gematik im Alleingang durchgesetzt habe. Zudem seien zum Zeitpunkt der Entscheidung mehr als 20 sicherheitsrelevante technische Probleme ungelöst gewesen. Dies könne nicht nur das Vertrauen der Patienten in das E-Rezept untergraben, sondern auch die Datensicherheit erheblich gefährden.
Die Krankenkassen stehen Card-Link ebenfalls skeptisch gegenüber. Hauptkritikpunkte sind auch hier die unzureichende Sicherheit und die fehlende Überprüfung der eingesetzten Apps. Da das Verfahren nicht den gleichen strengen Sicherheitsauflagen wie andere Teile der Telematikinfrastruktur unterliegt, befürchten sie, dass sensible Daten in falsche Hände geraten könnten.
Auch aus meiner Perspektive als PTA in einer öffentlichen Apotheke birgt Card-Link Risiken. Es könnte eine Verschiebung der Marktanteile zu Gunsten der Online-Versandhäuser bewirken, da es insbesondere deren Bedürfnissen entgegenkommt. Meine Befürchtung ist natürlich, dass die niedrigschwellige digitale Einlösung von E-Rezepten über Card-Link die Kundenbindung an uns lokale Apotheken schwächt und wir dadurch an Wettbewerbsfähigkeit verlieren. Auch wenn die Versandapotheken, genau wie die Apotheken vor Ort, keine direkten Kooperationen mit Arztpraxen eingehen dürfen – einige haben sich in der Vergangenheit nicht immer gesetzeskonform verhalten. Ich befürchte, dass sie es in diesem Bereich ebenfalls nicht tun. Und wenn das Geld lockt, könnte auch die ein oder andere Praxis ihre Patienten anleiten, dass Rezepte ihren Weg zum gewünschten Versender finden.
Card-Link bietet auf der anderen Seite natürlich auch die Möglichkeit, den digitalen Wandel im Gesundheitswesen aktiv mitzugestalten und den Kundenservice zu verbessern. Trotzdem sollten wir wachsam sein, um die Interessen der lokalen Apotheken zu schützen und sicherzustellen, dass die Einführung neuer Technologien nicht zu Lasten der Patientensicherheit und des Datenschutzes geht. Es bleibt abzuwarten, wie sich die Marktdynamiken durch Card-Link entwickeln und welche strategischen Anpassungen notwendig sein könnten, um die Zukunft der Apotheken vor Ort zu sichern.
Bildquelle: Getty Images, Unsplash