EuGH: Generalanwalt zur nationalen Umsetzung des Art. 88 DSGVO

7. Oktober 2022

Vor kurzem legte der Generalanwalt Manuel Campos Sánchez-Bordona seine Schlussanträge in der Rechtssache C-34/21 vor. Darin befasste er sich u.a. mit der Frage, ob § 23 des Hessischen Landesdatenschutzgesetzes (HDSIG) eine „spezifische Vorschrift“ im Sinne des Art. 88 DSGVO darstelle. Obwohl § 23 HDSIG eine landesrechtliche Vorschrift ist, könnten die Schlussanträge nationale Beachtung erlangen. Grund dafür ist, dass § 23 HDSIG gleichlautend mit § 26 BDSG ist.

Hintergrund

Die Vorlagefrage wurde dem EuGH vom VG Wiesbaden vorgelegt. In der Rechtssache stritten die beteiligten Parteien über die Durchführung von Online-Unterricht mittels eines Videokonferenzsystems. Konkret stand zur Debatte, ob Schulen die personenbezogenen Daten von Lehrkräften auf Grundlage einer Einwilligung verarbeiten können, oder ob als Rechtsgrundlage das berechtigte Interesse heranzuziehen sei.

Das vorlegende Gericht wollte wissen, ob § 23 HDSIG als „(…) eine „spezifischere Vorschrift“ hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten nach Art. 88 DSGVO anzusehen sei.“ (GA Sánchez-Bordona, Schlussanträge vom 22.09.22, Rs. C-34/21, Rn. 11)

Nach Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten hinsichtlich der Datenverarbeitung im Beschäftigtenkontext nationale Regelungen erlassen. Der Generalanwalt Sánchez-Bordona stellte fest, dass eine spezifischere Vorschrift nur vorliege, wenn die Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllt seien. Die Norm müsse „geeignete und besondere Maßnahmen zur Wahrung der Würde, der berechtigten Interessen und der Grundrechte der Beschäftigten enthalten.“

Argumente

Aus Sicht des Generalanwaltes Sánchez-Bordona sei § 23 HDSIG keine speziellere Regelung im Sinne des Art. 88 DSGVO. Diese Ansicht begründete der Generalanwalt mit der Systematik und dem Wortlaut der Normen. Nach § 23 HDSIG könne ein Verantwortlicher die personenbezogenen Daten von Beschäftigten verarbeiten, wenn dies für einen bestimmten Zweck erforderlich sei. Die nationale Norm lege als Zwecke konkret „(…) die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses (…) die Durchführung, Beendigung oder Abwicklung“ des Beschäftigtenverhältnisses fest.

Insoweit treffe § 23 HDSIG keine Bestimmung, die von Art. 6 Abs. lit. b DSGVO abweiche. Die Norm lege keine Regelung fest, die dem Schutz der Beschäftigtenrechte bei Verarbeitung ihrer personenbezogenen Daten diene. Dies sei aber für die Anforderung an eine „speziellere“, den Art. 88 DSGVO konkretisierende Norm erforderlich.

Fazit

Bei seiner Entscheidung ist der EuGH nicht an den Vortrag des Generalstaatsanwaltes gebunden. Es ist aber nicht ausgeschlossen, dass die Stellungnahme im Rahmen des Beschäftigtendatenschutzes künftig Beachtung findet.

Neue Berliner Beauftragte für Datenschutz und Informationsfreiheit

Das Berliner Abgeordnetenhaus hat am 6. Oktober Meike Kamp als neue Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gewählt. Damit tritt sie die Nachfolge von Maja Smoltczyk an, deren Amtszeit im Oktober 2021 nach mehr als fünf Jahren endete. Die BlnBDI ist eine unabhängige oberste Landesbehörde des Landes Berlin, die sowohl Kontroll- als auch Beratungsaufgaben im Bereich des Datenschutzes und der Informationsfreiheit wahrnimmt.

Meike Kamp ist Juristin mit einem Schwerpunkt auf Datenschutz sowie Medien- und
Informationsfreiheit. Bis zu ihrem Amtsantritt als BlnBDI ist sie für das Land Bremen
als Sitzungsvertreterin im Rechts- und Innenausschusses des Bundesrates tätig.

In der Vergangenheit stand sie bereits von 2010 bis 2019 bei der BlnBDI im Dienst, zuletzt als Leiterin des
Referats I B Wirtschaft. Zuvor führte Kamp am unabhängigen Landeszentrum für Datenschutz
Schleswig-Holstein das Referat Datenschutz im nichtöffentlichen Bereich einschließlich Telemedien
und Telekommunikation.

Volker Brozio, der kommissarische Dienststellenleiter der BlnBDI, äußerte sich zuversichtlich und erfreut darüber, dass nach einem Jahr nun feststehe, wer die Nachfolge von Maja Smoltczyk übernimmt. In einem nächsten Schritt werde er Meike Kamp demnächst die Amtsgeschäfte übergeben.

LfD Niedersachsen: Keine Profilbildung zu Werbezwecken

29. September 2022

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) warnte eine große Anzahl genossenschaftlicher Banken davor, mit Hilfe von Kundendaten Profile für Werbezwecke zu bilden. Bereits vor einigen Monaten hatte die LfD Niedersachsen in einem ähnlichen Fall gegen die Volksbank ein Bußgeld in Höhe von 900.000€ verhängt.

Kein Smart-Data Verfahren

Konkret riet die LfD Niedersachsen davon ab, sog. Smart-Data Verfahren anzuwenden. Durch dieses Vorgehen können Banken für jeden Kunden passende Werbemaßnahmen auswählen. Dafür analysieren sie in einem großen Umfang die Zahlungsverkehrsdaten ihrer Kunden. Auf diese Weise verfügen Banken über Information, wie u.a. die Höhe des Gehalts, Ausgaben für Lebensmittel oder Bezüge von Sozialleistungen. Außerdem kaufen Banken regelmäßig personenbezogene Daten ihrer Kunden bei externen Dienstleistern ein. Demnach können die Banken beispielsweise Information über Schulabschlüsse, Anzahl der Kinder pro Haushalt oder Anteil geschiedener Personen in der Bevölkerung sammeln.

Die Datenanalyse zeige, wie hoch die Wahrscheinlichkeit sei, dass ein Kunde Interesse an einem bestimmten Produkt habe. Wenn der Analyse zufolge ein Kunde Interesse an einem Kredit oder einer Hausfinanzierung habe, könne die Bank konkret für ein solches Produkt werben.

Keine rechtmäßige Datenverarbeitung

In der Pressemitteilung verwies die LfD Niedersachsen auf das Mitte diesen Jahres an die Volksbank verhängte Bußgeld in Höhe von 900.000 Euro. Diesbezüglich führte die BfD aus, dass die fehlende Rechtsgrundlage das Problematische an der Datenverarbeitung im Rahmen des Smart-Data-Verfahrens sei.

Die Volksbank hatte sich auf ihr berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Die LfD Niedersachsen stellte fest, dass Banken grundsätzlich ein berechtigtes Interesse an der „werblichen Ansprache“ ihrer Kunden haben können. Allerdings überwiege bei diesen Werbemethoden das Interesse der Kunden. 

Außerdem könne die Datenverarbeitung nicht auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfolgen. Zwar wurden Einwilligungen der Kunden zur Datenverarbeitung eingeholt, diese seien aber zu unbestimmt. Der Kunde wisse nicht, in welchem Umfang die Bank seine personenbezogene Daten verarbeite. 

Fazit

Die LfD Niedersachsen betonte, dass sie zunächst lediglich Warnung ausgesprochen habe. Sie wollte sich Vor-Ort darüber informieren, ob Banken diese schwerwiegenden Verstöße gegen das Datenschutzrecht fortführen.

EuGH: deutsche Vorratsdatenspeicherung verstößt gegen EU-Recht

21. September 2022

Der Europäische Gerichtshof (EuGH) enschied am 20.09.2022 wie bereits erwartet, dass die deutsche Vorratsdatenspeicherung nicht mit EU-Recht vereinbar sei (Rs. C-793/19, C-794/19). Der EuGH bestätigt mit diesem Urteil seine bisherige Rechtsprechung und folgt den Anträgen des Generalanwaltes.

Konkret bestätigte das Gericht, dass eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten nicht mit dem europäischen Recht vereinbar sei. Der EuGH führt dazu aus, dass die Vorratsdaten „in Anbetracht ihrer Menge und Vielfalt es in ihrer Gesamtheit ermöglichen, sehr genaue Schlüsse auf das Privatleben der Person bzw. der Personen zu ziehen, deren Daten gespeichert wurden, und insbesondere die Erstellung eines Profils der betroffenen Person bzw. der betroffenen Personen ermöglichen, das im Hinblick auf das Recht auf Achtung des Privatlebens eine ebenso sensible Information darstellt wie der Inhalt der Kommunikationen selbst.“ (Rn. 87). Gleichzeitig räumt der EuGH aber ein, dass eine Speicherung von Vorratsdaten unter ganz bestimmten Voraussetzungen mit dem EU-Recht vereinbar sei. Gründe hierfür könnten der Schutz der nationalen Sicherheit, die Bekämpfung von Kriminalität und der Schutz der öffentlichen Sicherheit eines Mitgliedsstaates sein. Insbesondere die Verhältnismäßigkeit müsste dann aber bedacht werden.

Die Regelungen zur Vorratsdatenspeicherung befinden sich in § 113a Abs. 1 in Verbindung mit § 113b des TKG (Telekommunikationsgesetz). Hiergegen klagten Spacenet und die Telekom zunächst vor dem VG Köln. Schließlich landete das Verfahren vor dem Bundesverwaltungsgericht, welches dem EuGH das Verfahren dann vorlegte und nach der Vereinbarkeit dieser Regelungen mit EU-Recht fragte. Die Pflicht zur Vorratsdatenspeicherung ist seit dem Urteil des VG Köln im Jahr 2017 ausgesetzt gewesen.

Die Bundesregierung hatte bereits vor der Urteilverkündung angekündigt, die Regelungen zur Vorratsdatenspeicherung reformieren zu wollen. Was Einzelheiten angeht ist man sich aber bisher nicht einig.

405 Millionen Euro Strafe für Instagram

Aufgrund der Veröffentlichung von personenbezogener Daten Minderjähriger muss das soziale Netzwerk Instagram in Irland ein Bußgeld in Höhe von 405 Millionen Euro zahlen. Dies verkündete der irische Data Protection Commissioner in seiner Presseerklärung vom 15. September.

Laut der irischen Behörde habe die Tochter des Internetriesen Meta Platforms Jugendlichen erlaubt, sogenannte „Business-Accounts“ zu betreiben. Damit verbunden war die Veröffentlichung von Telefonnummern und E-Mail-Adressen der Minderjährigen. Zusätzlichen waren die Profile der Jugendlichen in Teilen standardmäßig auf „öffentlich“ geschaltet, wodurch die Social-Media-Inhalte der Nutzenden öffentlich einsehbar waren.

Das Rekordbußgeld reiht sich in die strikte Handhabung der irischen Datenschutzbehörde in Bezug auf Meta Platforms und die verbundenen Tochterunternehmen ein. Bereits in den letzten 12 Monaten verhängte der DPC Bußgelder in Höhe von 225 Millionen Euro gegen Whatsapp und 17 Millionen Euro gegen Meta.

Meta kündigte in einer nicht öffentlichen Stellungnahme an, die Entscheidung des Data Protection Commissioner anzufechten und betonte, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handele.

Vorratsdatenspeicherung: Neue Debatte nach anstehendem EuGH-Urteil?

20. September 2022

20. September 2022: Der Europäische Gerichtshof (EuGH) urteilt erneut über das Thema Vorratsdatenspeicherung. Diesmal geht es um das diesbezüglich schon länger auf Eis liegende deutsche Gesetz zur Vorratsdatenspeicherung. Wird die Entscheidung des EuGHs frischen Wind in die Diskussion bringen?

Was soll gespeichert werden?

Grundsätzlich meint Vorratsdatenspeicherung das Speichern von Verbindungsdaten. Es handelt sich nicht um explizite Inhalte einzelner Kommunikationen, sondern um die abstrakte Speicherung von Kommunikationseckdaten. So ist also lediglich die Aufklärung und Speicherung im Kontext der folgenden Fragestellungen berührt:

– Wer hat wann mit wem wie lange telefoniert, und von welchem Ort aus?
– Wer hat an wen eine E-Mail geschrieben?
– Mit welcher IP-Adresse war ich wie lange im Internet unterwegs?

Adressaten der Vorratsdatenspeicherung

Speicherverpflichtete wären Kommunikationsunternehmen. Durch eine vorrätige Speicherung soll staatlichen Behörden ein Zugang zu Verbindungsdetails ermöglicht werden. Ein Zugang zu derartigen Informationen soll für zehn Wochen gewährleistet werden. Daneben sei auch ein Zugriff auf Standortdaten für einen Zeitraum von vier Wochen angedacht.

Wird der EuGH seine bisherige Linie beibehalten?

In einem Urteil im Jahr 2016 zu einem schwedischen Gesetz entschied und beanstandete der EuGH, „Eine allgemeine und unterschiedslose Speicherung aller Vorratsdaten ohne konkreten Anlass sei nicht mit den EU-Grundrechten vereinbar”. Dieser strengen Linie blieb der EuGH in seinem Urteil im Jahr 2020 grundsätzlich treu, legte jedoch Ausnahmen für eine Speicherung fest. Staatlichen Behörden solle demnach ein Zugriff unter bestimmten Voraussetzungen ermöglicht werden. Dies solle auf Daten mit Verbindung zu Kriminalitätshotspots, zum nationalen Schutz vor akuter Terrorgefahr sowie der anlasslosen Speicherung von IP-Adressen anzuwenden sein.


Ob der EuGH einen Trend zur Lockerung der Vorratsdatenspeicherung setzt wird sich mit dem ersehnten Urteil zum deutschen Gesetz zeigen.

NRW: Erste Überwachungsstelle für Verhaltensregeln akkreditiert

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 14.09.2022 zum ersten Mal eine Überwachungsstelle für Verhaltensregeln nach Artikel 41 Datenschutz-Grundverordnung (DSGVO) akkreditiert (Pressemitteilung).

Hilfreiches Instrument bei Auslegungsfällen

Die DSGVO sieht vor, dass sich Wirtschaftsbranchen selbst Verhaltensregeln zum Umgang mit personenbezogenen Daten auferlegen können, um so die DSGVO zu konkretisieren.  Art. 40 Abs. 2 DSGVO legt die Bereiche fest, für welche konkrete Verhaltensvorgaben gemacht werden können. Dazu gehören beispielsweise die faire und transparente Verarbeitung sowie die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen. Diese Verhaltensregeln (Codes of Conduct, CoC) können dann von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Sie dienen dann als Handlungsorientierung für das Unternehmen. So kann erwünschtes Verhalten gefördert bzw. unerwünschte Handlungen minimiert werden. Darüber hinaus können Auslegungsfragen mithilfe solcher Vorgaben einfacher gelöst werden. Eine Vereinfachung der Prozesse führt in der Regel zusätzlich auch zu einer Kostenersparnis. Konkret betreffen die vom LDI NRW akkreditierten Verhaltensregeln Wirtschaftsauskunfteien sowie die die Konkretisierung von Prüf- und Löschfristen für personenbezogene Daten.  

Kontrolle obliegt Privatwirtschaft

In Zukunft werde die Einhaltung der CoC dann von einer privaten Überwachungsstelle kontrolliert, die ebenfalls von der Datenschutzaufsichtsbehörde genehmigt wird. Diese Überwachungsstellen arbeiten nach Angabe der Behörde neutral und unabhängig. Sie seien extra dafür geschaffen worden, dass die Einhaltung der Datenschutzregeln von der Branche selbst überwacht wird.

Darüber hinaus hätten Bürger:innen nun eine zentrale Stelle, an die sie sich wenden können, wenn sie meinen, dass die Speicherung ihrer Daten unzulässig erfolgt. Die Überwachungsstelle kann dann auch eine Anpassung für alle an den Verhaltensregeln beteiligten Auskunfteien als Maßnahme herbeiführen.

Ausblick mit Chancen

Zusätzlich bleiben auch die staatlichen Datenschutzaufsichtsbehörden weiterhin zuständig. Das gilt sowohl für die Datenschutzaufsicht über Auskunfteien als auch für die Überwachungsstelle. Möglicherweise werden nun aber in Zukunft auch in anderen Branchen weitere Akkreditierungen folgen. Aus datenschutzrechtlicher Sicht ist es erfreulich, dass diese Möglichkeit zur Schaffung größerer Rechtssicherheit und Kontrolle nun erstmalig genutzt wurde.

OLG Karlsruhe: US-Cloud-Anbieter dürfen bei öffentlichen Vergaben berücksichtigt werden

16. September 2022

Das Oberlandesgericht Karlsruhe (OLG) befasste sich zuletzt mit einer Entscheidung der Vergabekammer Baden-Württemberg. Nach dieser Grundsatzentscheidung (Beschluss vom 07. September 2022, Az. 15 Verg 8/22) dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Konformität ihres Angebots vertrauen. Die Entscheidung der Vergabekammer Baden-Württemberg (vom 13.07.2022, Az. 1 VK 23/22) wird aufgehoben.

Sachverhalt

Zwei Krankenhausgesellschaften schrieben europaweit die Beschaffung einer Software für ein digitales Entlassungsmanagement aus. Als Ausschlusskriterium war ursprünglich u.a. die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vorausgesetzt. Dass die Daten ausschließlich in einem Rechenzentrum innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind, war als nur für die Wertung relevantes B-Kriterium ausgestaltet.

Nach der Erteilung des Zuschlags stellte eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Dabei wurde angeführt, dass die Anbieterin von der Angebotswertung auszuschließen sei, weil sie Änderung an den Vergabeunterlagen vorgenommen habe. Das Angebot verstoße somit gegen zwingende gesetzliche Vorgaben der DSGVO. Man verarbeite personenbezogene Daten auf Servern, auf die Drittstaaten Zugriff hätten. Das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns fungiere als Unterauftragnehmerin. Innerhalb des geschlossenen Auftragsverarbeitungsvertrags sei ein Vorbehalt vorgesehen, der es der US-Tochter erlaube, die im Auftrag des Kunden verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten.

Die Antragsgegnerin konterte, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der Europäischen Union oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten. Dies wurde auch vertraglich festgehalten. Es liege schon kein Verstoß gegen Art. 44 ff. DSVGO vor, weil eine theoretische Zugriffsmöglichkeit des Drittstaates keine Übermittlung personenbezogener Daten darstelle. Darüber hinaus verwende man Standardvertragsklauseln und setze durch weitere Vereinbarungen mit der US-Tochter die vom Europäischen Gerichtshof (EuGH) nach der Schrems II-Rechtsprechung geforderten ergänzenden Regelungen um, so die Antragsgegnerin.

OLG widerspricht Vergabekammer

Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten in ein Drittland außerhalb des EWRs nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Es stellte sich somit die Frage, ob eine Übermittlung in ein Drittland im Sinne der DSGVO vorlag.

Die Vergabekammer folgte dabei der herrschenden Meinung, dass eine berücksichtigungsfähige Offenlegung auch schon dann anzunehmen sei, wenn nur die abstrakte Möglichkeit bestehe, dass von einem Drittland aus zugegriffen werden kann.

Dieser Augmentation folgt das OLG Karlsruhe nicht. Die Antragsgegnerinnen müssten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen würde bzw. das europäische Tochterunternehmen Anweisungen der US-amerikanischen Muttergesellschaft automatisch Folge leisten würde, so der Senat.

Vertragliche Regelungen waren ausschlaggebend

Somit bleibt aber auch weiterhin ungeklärt, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Allerdings spricht das OLG in der Entscheidung den vertraglichen Regelungen einen hohen Stellenwert zu. Dies kann bei der Auslegung zukünftiger Sachverhalte und Vergabeverfahren eine Hilfestellung bieten. Hierbei sollte jedoch beachtet werden, dass es immer auf den konkreten Einzelfall ankommt. Die strenge Rechtsprechung des übergeordneten EuGHs sowie die daraus resultierenden Vorgaben der Kommission sollten immer eingehalten werden.

E-Rezepte künftig auch mit elektronischer Gesundheitskarte (eGK) einlösbar – Wissenswertes rund um die eGK – Teil 2

Letzte Woche ging es in Teil 1 um allgemeine Fragen über die eGK.
In Teil 2 geht es heute um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.

Wie werden die Daten auf der eGK geschützt?

Der Datenaustausch über die eGK findet über die sog. Telematikinfrastruktur (TI) statt. Für diese ist die gematik zuständig. In der TI werden die Gesundheitsdaten zu jedem Zeitpunkt verschlüsselt. Dadurch soll verhindert werden, dass Unbefugte die Daten lesen können. Ein Signaturverfahren schützt die Daten vor unberechtigter Veränderung und stellt die Urheberschaft der Daten sicher.

Zugriff auf die Daten der eGK hat nur ein gesetzlich festgelegter Personenkreis, z.B. (Zahn-)Ärztinnen und (Zahn-) Ärzte.

Möchten diese auf die gespeicherten Gesundheitsdaten des eGK zugreifen, erfolgt dies nach dem sog. „2-Schlüssel-System“. Die Versicherten müssen ihre Daten zunächst mit dem ersten „Schlüssel“ freischalten und dazu einen PIN eingeben. Dann müssen die Ärztinnen und Ärzte ihren zweiten „Schlüssel“ eingeben, dieser besteht aus ihren Heilberufsausweis und ebenfalls einer PIN.

Sollte der eGK einmal verloren gehen, muss dies der Krankenkasse gemeldet werden, damit der Versicherte eine neue eGK bekommt. Die auf dem Chip gespeicherten Daten sind durch ihre Verschlüsselung aber trotzdem vor unbefugten Zugriffen geschützt.

Wie kann man seine E-Rezepte zukünftig mit der eGK abholen?

Wenn man diese Funktion nutzen möchte, kann man zukünftig seine eGK in der Apotheke vorzeigen. Diese wird dann – wie in einer Arztpraxis- eingelesen. Dabei wird geprüft, ob die Karte auch nicht gesperrt und das Authentisierungszertifikat gültig ist. Ist dies gegeben, können die Versichertenstammdaten eingesehen werden. Auch offene Rezepte werden dann angezeigt, die in der Apotheke dann eingelöst werden können.

Für diese Verfahren soll die Eingabe einer PIN nicht erforderlich sein, damit auch Vertretungsfälle (Versicherter bittet z.B. Angehörigen, das Rezept einzulösen) möglich sind.

E-Rezepte künftig auch mit elektronischer Gesundheitskarte (eGK) einlösbar – Wissenswertes rund um die eGK – Teil 1

9. September 2022

Nachdem das neue, elektronische Rezept (auch E-Rezept) in den letzten Wochen aufgrund datenschutzrechtlicher Bedenken zum Übermittlungsvorgang bereits Gesprächsstoff war, gibt es dazu eine neue Ankündigung. So veröffentlichte die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte, Nationale Agentur für Digitale Medizin) eine Pressemitteilung, nach der Patientinnen und Patienten künftig auch mit ihrer elektronischen Gesundheitskarte (eGK) E-Rezepte für verschreibungspflichtige Arzneimittel einlösen können.

Wie die eGK eigentlich genau funktioniert und wie man damit seine E-Rezepte abholen soll, erläutern wir im Folgenden in einem zweiteiligen Beitrag.

In Teil 1 werden wir diese Woche zunächst allgemeines über die eGK erklären.

Was genau ist die eGK?

Die elektronische Gesundheitskarte gilt seit dem 01.01.2015 als Berechtigungsnachweis für gesetzlich Versicherte. Sie werden von den jeweiligen Krankenkassen an ihre Versicherten ausgeteilt. Sie dient als Ausweismöglichkeit in einer Arztpraxis oder einem Krankenhaus. Auf ihr können außerdem persönliche Daten gespeichert werden.

Welche Daten werden auf der eGK gespeichert?

Auf der Vorderseite der eGK selbst sind der Name des Versicherten und seine Versichertennummer, sowie ein Lichtbild abgedruckt.
In der Karte befindet sich ein Mikroprozessor-Chip. Auf diesem sind zunächst administrative Daten der Versicherten z.B. Name, Geburtsdatum, Anschrift und Angaben zur Krankenversicherung (Krankenversichertennummer und Versichertenstatus) gespeichert. Diese Daten werden auch Versichertenstammdatenmanagement (VSDM) genannt. Diese Daten auf dem Chip zu speichern ist Pflicht.

Auf Wunsch des Versicherten können zusätzlich Notfalldaten (NFDM) auf der eGK gespeichert werden. Dazu gehören z.B. Informationen zu Arzneimittelunverträglichkeiten, Allergien und chronischen Erkrankungen, sowie Kontaktdaten zu behandelnden Ärzten und zu Angehörigen.

Auch der elektronische Medikationsplan (eMP) und die elektronischen Patientenakte (ePA) können auch Wunsch der Versicherten genutzt werden.

Wie funktioniert die eGK?

Die eGK wird vor ärztlichen Behandlungen eingelesen, wobei die Praxen dann die auf dem Chip gespeicherten, administrativen Daten abrufen können. Bei Bedarf können die Praxen diese Daten aktualisieren. Dadurch wird geprüft, ob ein gültiges Versicherungsverhältnis besteht.

Neue Karten sind außerdem mit einer Near Field Communication (NFC) – Funktion versehen. Dadurch ist mit einem PIN ein kontaktloser Datenaustausch möglich.

Die Rückseite der eGK kann von den Krankenkassen als „Europäische Krankenversicherungskarte“ verwendet werden und macht somit eine unbürokratische Behandlung innerhalb Europas möglich.

In Teil 2 geht es dann nächste Woche um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.

1 2 3 4 5 6 251