Zusammenfassung
Cybersicherheit hängt im Bereich der elektronischen Verordnungen sowohl vom technischen Konzept als auch von rechtlichen Rahmenbedingungen ab. Dabei bedingen sich die gesetzlichen Regelungen sowie vertraglichen Vorgaben im E‑Rezept-Prozess. Die maßgeblich beteiligten Vertragspartner GKV-Spitzenverband, KBV (Ärzteschaft) und ABDA (Apothekerschaft) müssen zudem die technischen Spezifikationen der Gesellschaft für Telematik (gematik) beachten. Unterschiedliche bereichsspezifische cybersicherheitsrechtliche Regelungen ergeben darüber hinaus differenzierte Anforderungen an die Beteiligten in der Praxis, woraus sich gesetzgeberischer Handlungsbedarf vor dem Hintergrund aktueller Cyberattacken ergibt.
Literatur
E‑Rezept: Datenschutzbeauftragter wirft KVen Untätigkeit vor (aerzteblatt.de). https://www.aerzteblatt.de/nachrichten/138645/E-Rezept-Datenschutzbeauftragter-wirft-KVen-Untaetigkeit-vor. Zugegriffen: 7. Juni 2023
Europäischer Raum für Gesundheitsdaten (EHDS) https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_de. Zugegriffen: 7. Juni 2023
Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat (zuletzt abgerufen am. https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/sicherheit/cybersicherheitsagenda-20-legislatur.pdf?__blob=publicationFile&v=4. Zugegriffen: 7. Juni 2023
BMI – Top-Themen – Schutz Kritischer Infrastrukturen in Deutschland. https://www.bmi.bund.de/SharedDocs/schwerpunkte/DE/schutz-kritis/topthema-kritis.html;jsessionid=73CB8C02E9DC3439D8B1A8FAA2C16FAB.1_cid332. Zugegriffen: 7. Juni 2023
Dochow (2022) Cybersicherheitsrecht im Gesundheitswesen. MedR 40:100, 101 (mwN)
Dittrich T, Dochow C (2022) Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen. Gesundheitsrecht 21(414):416
gematik Aktuelles | BSI warnt vor Sicherheitslücke: Auswirkungen auf Dienste der Telematikinfrastruktur. https://www.gematik.de/newsroom/news-detail/bsi-warnt-vor-sicherheitsluecke-auswirkungen-auf-dienste-der-telematikinfrastruktur. Zugegriffen: 7. Juni 2023
heise online Ransomware-Attacke auf Medatixx: Großalarm im Gesundheitswesen. https://www.heise.de/news/Ransomware-Attacke-auf-Medatixx-Grossalarm-im-Gesundheitswesen-6260613.html. Zugegriffen: 7. Juni 2023
deutsche-apotheker-zeitung.de Ransomware-Angriff: Hacker attackieren CGM. https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/12/21/hacker-attackieren-cgm. Zugegriffen: 7. Juni 2023
VentureBeat How ChatGPT can turn anyone into a ransomware and malware threat actor. https://venturebeat.com/security/chatgpt-ransomware-malware/. Zugegriffen: 7. Juni 2023
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dez. 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie).
BSI – Übersicht der B3S – Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit. https://www.bsi.bund.de/SharedDocs/Textbausteine/DE/KRITIS/B3S/IT_TK/b3s-it-tk.html?nn=126610. Zugegriffen: 7. Juni 2023
§§ 329 ff. SGB V
BT-Drs. 19/18793, S. 107.
Seit Juli liegt der offizielle Referentenentwurf vor: BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz). https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/KM4/KRITIS-DachG.html
BR-Drs 435/23
Kriterienkatalog BSI–C https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html. Zugegriffen: 27. Juni 2023
§ 310 Abs. 2 SGB V.
Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) v. 14. Nov. 2003 (BGBl. I 2190).
BT-Drs. 15/1525, S. 114.
§ 291a Abs. 7 SGB V.
BT-Drs. 15/1525, S. 145.
Übergreifendes Sicherheitskonzept der Telematikinfrastruktur, Version 2.2.0 vom 10.03.2008, S. 439ff. https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Spezifikationen/Basis-Rollout/Datenschutz_und_Datensicherheit/gematik_DS_Sicherheitskonzept_V2_2_0.pdf. Zugegriffen: 7. Juni 2023 (§ 64 Abs. 2 BDSG)
Speicherstrukturen der eGK für Gesundheitsanwendungen, Version 1.6.0 vom 18.03.2008, S. 13f. https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Spezifikationen/Basis-Rollout/Elektronische_Gesundheitskarte/gematik_eGK_Speicherstrukturen_V1_6_0.pdf. Zugegriffen: 7. Juni 2023
Huber, Sunyaev, Krcmar (2008) Huber/Sunyaev/Krcmar. In: Krcmar (Hrsg) Technische Sicherheitsanalyse der elektronischen Gesundheitskarte, S 58
deutsche-apotheker-zeitung.de eGK: Moratorium für Zusatzfunktionen. https://www.deutsche-apotheker-zeitung.de/daz-az/2009/az-48-2009/egk-moratorium-fuer-zusatzfunktionen. Zugegriffen: 7. Juni 2023
Sachverständigenrat Gesundheitswesen (2021) Gutachten Digitalisierung für Gesundheit. Rn. 91
§ 291a Abs. 5d SGB V idF GSAV.
§§ 129 Abs. 4e S. 3 iVm § 86 Abs. 1 S. 2 SGB V.
BR-Drs. 19/8753, S. 69.
Nach §§ 86 Abs. 1 S. 1 Nr. 1 und 129 Abs. 4a SGB V.
§ 3a AMVV und § 8 BTMVV.
deutsche-apotheker-zeitung.de gematik vs. CCC-Experte: Braucht das E‑Rezept eine Ende-zu-Ende-Verschlüsselung? https://www.deutsche-apotheker-zeitung.de/news/artikel/2020/11/20/braucht-das-e-rezept-eine-ende-zu-ende-verschluesselung. Zugegriffen: 7. Juni 2023
Spezifikation E‑Rezept Fachdienst, Version 1.0.0 CC vom 30.04.2020, S. 7. https://www.vesta-gematik.de/standard/formhandler/324/gemSpec_FD_eRp_V1_0_0_CC.pdf. Zugegriffen: 7. Juni 2023
Was ist ein Trusted Execution Environment (TEE)? https://www.security-insider.de/was-ist-ein-trusted-execution-environment-tee-a-984015/. Zugegriffen: 7. Juni 2023
Buchner et al Survey on trusted execution environments. https://doi.org/10.2313/NET-2022-07-1_05
Spezifikation Dokumentenverwaltung ePA, Version 1.4.2 vom 27.08.2020, S. 9. https://fachportal.gematik.de/fachportal-import/files/gemSpec_Dokumentenverwaltung_V1.4.2.pdf. Zugegriffen: 7. Juni 2023
ePA und Datenschutz: Wie sicher ist die Akte? | IKK classic (ikk-classic.de). https://www.ikk-classic.de/gesund-machen/digitales-leben/epa-datenschutz. Zugegriffen: 7. Juni 2023
Slany (2020) Sicherheitsanalyse zur Sicherheit der kritischen Komponenten der elektronischen Patientenakte nach § 291a SGB V, S 20
https://www.gematik.de/media/gematik/Medien/Newsroom/Presse/Dokumente/Sicherheitsanalyse_TU_Graz_zur_ePA_mit_Vorwort_der_gematik.pdf. Zugegriffen: 7. Juni 2023
Spezifikation E‑Rezept Fachdienst, Version 1.6.0 vom 28.04.2023, S. 25. https://fachportal.gematik.de/fachportal-import/files/gemSpec_FD_eRp_V1.6.0_Aend.pdf. Zugegriffen: 8. Juni 2023
Produktgutachten eRezept-Frontend des Versicherten gematik GmbH. https://www.gematik.de/media/gematik/Medien/Newsroom/Presse/Dokumente/gematik_Dokumentenpaket_E-Rezept-Gutachten.pdf. Zugegriffen: 8. Juni 2023
security-insider.de Was ist ein Hardware-Sicherheitsmodul (HSM)? https://www.security-insider.de/was-ist-ein-hardware-sicherheitsmodul-hsm-a-727090/. Zugegriffen: 8. Juni 2023
Spezifikation E‑Rezept Fachdienst, Version 1.6.0 vom 28.04.2023, S. 39. https://fachportal.gematik.de/fachportal-import/files/gemSpec_FD_eRp_V1.6.0_Aend.pdf. Zugegriffen: 8. Juni 2023
CCC | E‑Rezept: Sicherheit nicht ausreichend, Datenschutz mangelhaft. https://www.ccc.de/de/updates/2022/erezept-mangelhaft. Zugegriffen: 8. Juni 2023
Konzept Architektur der TI-Plattform, Version 2.9.0 vom 02.10.2019, S. 23. https://www.vesta-gematik.de/standard/formhandler/324/gemKPT_Arch_TIP_V2_9_0.pdf. Zugegriffen: 8. Juni 2023
Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Pflegepersonalbemessung im Krankenhaus sowie zur Anpassung weiterer Regelungen im Krankenhauswesen und in der Digitalisierung (Krankenhauspflegeentlastungs), BT-Drs. 20/3876, S. 60.
BT-Drs. 20/3876, S. 62.
§ 8a BISIG.
Quintessenz Verlag IT-Schwachstelle: Gematik nimmt TI-Anwendungen vom Netz. https://www.quintessence-publishing.com/deu/de/news/praxis/telematikinfrastruktur/it-schwachstelle-gematik-nimmt-ti-anwendungen-vom-netz. Zugegriffen: 8. Juni 2023
Meldung der gematik vom 21.12.2022 – Nutzung E‑Rezept beeinträchtigt. https://fachportal.gematik.de/ti-status/archiv#c7169. Zugegriffen: 8. Juni 2023
Richtlinie der Kassenärztlichen Bundesvereinigung nach § 75 Abs. 7 Nr. 1 SGB V zur Durchführung von Anlage 2 und 2b zum BMV‑Ä. https://www.kbv.de/media/sp/2021-11-03_RiLi___75_Absatz_7_Nr._1_SGB_V_Durchfuehrung_Anlage_2_2b_BMV-AE.pdf. Zugegriffen: 8. Juni 2023
deutsche-apotheker-zeitung.de Schreiben an gematik-Gesellschafter: BMG: E‑Rezept-Start auf unbestimmte Zeit verschoben. https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/12/20/bmg-e-rezept-start-auf-unbestimmte-zeit-verschoben. Zugegriffen: 8. Juni 2023
gematik Pressemitteilung | Flächendeckende E‑Rezept-Nutzung erfolgt stufenweise – Westfalen-Lippe und Schleswig-Holstein starten. https://www.gematik.de/newsroom/news-detail/pressemitteilung-flaechendeckende-e-rezept-nutzung-erfolgt-stufenweise-westfalen-lippe-und-schleswig-holstein-starten. Zugegriffen: 8. Juni 2023
KVWL sieht sich gezwungen, E‑Rezept-Rollout auszusetzen. https://www.kvwl.de/pressemitteilungen/detail/nachricht-default-8ac86f91b3-7. Zugegriffen: 8. Juni 2023
gematik TI-Atlas. https://www.gematik.de/telematikinfrastruktur/ti-atlas/. Zugegriffen: 8. Juni 2023
deutsche-apotheker-zeitung.de gematik informiert: E‑Rezept-Testphase: Bilden Sie Pärchen! https://www.deutsche-apotheker-zeitung.de/news/artikel/2022/03/31/bilden-sie-paerchen. Zugegriffen: 8. Juni 2023
gematik TI-Dashboard. https://www.gematik.de/telematikinfrastruktur/ti-dashboard. Zugegriffen: 5. Febr. 2023
BT-Drs. 19/18793, S. 128.
§ 360 Absatz 10 S. 3 und 4 SGB V.
AOK Die PIN zur elektronischen Gesundheitskarte (eGK). https://www.aok.de/pk/versichertenservice/pin-zur-elektronischen-gesundheitskarte/. Zugegriffen: 8. Juni 2023
Newsletter der KVSH vom 22.08.2022. https://www.kvsh.de/praxis/praxisfuehrung/newsletter/erezept-ausstieg-aus-dem-rollout. Zugegriffen: 8. Juni 2023
Anforderungskatalog nach § 73 SGB V für Verordnungssoftware, Anlage 23 zu § 29 Bundesmantelvertrag – Ärzte, Version 5.5 vom 01.04.2023, S. 49
BT-Drs. 19/18793, S. 129.
§ 360 Absatz 10 Satz 3 SGB V
Spezifikation E‑Rezept-Frontend des Versicherten Spezifikation E‑Rezept Fachdienst, Version 1.6.0 vom 28.04.2023, S. 10. https://fachportal.gematik.de/fachportal-import/files/gemSpec_eRp_FdV_V1.6.0.pdf. Zugegriffen: 3. Aug. 2023
Feature: Einlösen ohne Anmeldung am E‑Rezept-Fachdienst im E‑Rezept-FdV, Version 1.0.0 CC vom 04.04.2022, S. 7. https://fachportal.gematik.de/fileadmin/Fachportal/Downloadcenter/Vorabveroeffentlichungen/Medical/gemF_eRp_altern_Zuweisung_V1.0.0_CC.pdf. Zugegriffen: 3. Aug. 2023
E‑Rezept: Versender als Schwachstelle | APOTHEKE ADHOC (apotheke-adhoc.de). https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/e-rezept-versender-als-schwachstelle/. Zugegriffen: 3. Aug. 2023
bund.de BfDI – Pressemitteilungen – Abruf des E‑Rezepts per eGK? Aber sicher! https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html. Zugegriffen: 3. Aug. 2023
Feature: Abruf der E‑Rezepte in der Apotheke nach Autorisierung (gematik.de), Version 1.1.1 vom 15.02.2023, S. 7. https://fachportal.gematik.de/fileadmin/Fachportal/Downloadcenter/Releases/Release_einzelner_Produkttypen_Anwendungstypen/gemF_eRp_Autorisierung_Apo_V1.1.1.pdf. Zugegriffen: 3. Aug. 2023
Dochow (2022) Cybersicherheitsrecht im Gesundheitswesen. MedR 40:100
§ 75b SGB V.
Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V, Version 1.3 vom 11.05.2020. https://www.kbv.de/media/sp/RiLi___75b_Absatz_5_SGB_V_Zertifizierung.pdf
Tilmann, Dochow (2022) Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen. Gesundheitsrecht 21(414):422
Die ABDA Zahlen Daten Fakten 2022. https://www.abda.de/fileadmin/user_upload/assets/ZDF/ZDF22/ABDA_ZDF_2022_Broschuere.pdf. Zugegriffen: 8. Juni 2023
deutsche-apotheker-zeitung.de „Digitaler Raubzug“: Hacker knacken zwanzigtausend DocMorris-Kundenkonten. https://www.deutsche-apotheker-zeitung.de/news/artikel/2023/01/27/hacker-knacken-kundenkonten. Zugegriffen: 8. Juni 2023
apotheke-adhoc.de Hackerangriff auf CGM: Apotheken haben den Ärger | APOTHEKE ADHOC. https://www.apotheke-adhoc.de/nachrichten/detail/markt/hackerangriff-auf-cgm-apotheken-haben-den-aerger/. Zugegriffen: 8. Juni 2023
§ 6 Absatz 1 Satz 1 Rahmenvertrag nach § 129 Absatz 2 SGB V idF 1. Okt. 2021
BSG, Urt. v. 02.07.2013, Az. B 1 KR 5/13R und B 1 KR 49/12R.
§ 7 Abs. 1 S. 3 Rahmenvertrag nach § 129 Abs. 2 SGB V idF 1. Okt. 2021.
Spezifikation E‑Rezept Fachdienst, Version 1.5.0 vom 07.12.2022, S. 10. https://fachportal.gematik.de/fachportal-import/files/gemSpec_FD_eRp_V1.5.0.pdf. Zugegriffen: 8. Juni 2023
Spezifikation E‑Rezept Fachdienst, Version 1.5.0 vom 07.12.2022, S. 83. https://fachportal.gematik.de/fachportal-import/files/gemSpec_FD_eRp_V1.5.0.pdf. Zugegriffen: 8. Juni 2023
§ 3 der Anlage 1 der Arzneimittelabrechnungsvereinbarung nach § 300 Absatz 3 SGB V.
deutsche-apotheker-zeitung.de VDARZ-Gutachten über E‑Rezept-Mängel: Anwälte raten von E‑Rezept-Belieferung ab. https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/12/15/anwaelte-raten-von-e-rezept-belieferung-ab. Zugegriffen: 8. Juni 2023
VDARZ – Bundesverband Deutscher Apothekenrechenzentren e. V. Mitglieder. https://vdarz.de/Mitglieder/. Zugegriffen: 8. Juni 2023
gkv-gamsi.de Bundesbericht_GAmSi_202112_konsolidiert.pdf. https://www.gkv-gamsi.de/media/dokumente/quartalsberichte/2021/q4_25/Bundesbericht_GAmSi_202112_konsolidiert.pdf. Zugegriffen: 8. Juni 2023
pharmazeutische-zeitung.de Mindestens vier Apotheken wegen AvP-Pleite in Insolvenz. https://www.pharmazeutische-zeitung.de/mindestens-vier-apotheken-wegen-avp-pleite-in-insolvenz-123453/. Zugegriffen: 8. Juni 2023
Gesetz zur Weiterentwicklung der Gesundheitsversorgung (Gesundheitsversorgungsweiterentwicklungsgesetz – GVWG), (BGBl. I S. 2754v. 11.07.2021, S. 2778).
Informationen zum Cyberangriff: BITMARCK. https://www.bitmarck.de/infothek/faq-cyberangriff. Zugegriffen: 9. Juni 2023
§ 25 Absatz 3 Rahmenvertrag nach § 129 Absatz 2 SGB V idF 1. Okt. 2021
§ 2 Abs. 1 Nr. 10 AMVV.
Anhang 5 – Elektronische Datenlieferungen zur Abrechnung von Apotheken-Sonderleistungen zur Technischen Anlage 1 zur Arzneimittelabrechnungsvereinbarung gemäß § 300 Absatz 3 SGB V, Version 001 vom 3. Apr. 2023.
Author information
Authors and Affiliations
Corresponding author
Additional information
Hinweis des Verlags
Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.
Rights and permissions
Springer Nature oder sein Lizenzgeber (z.B. eine Gesellschaft oder ein*e andere*r Vertragspartner*in) hält die ausschließlichen Nutzungsrechte an diesem Artikel kraft eines Verlagsvertrags mit dem/den Autor*in(nen) oder anderen Rechteinhaber*in(nen); die Selbstarchivierung der akzeptierten Manuskriptversion dieses Artikels durch Autor*in(nen) unterliegt ausschließlich den Bedingungen dieses Verlagsvertrags und dem geltenden Recht.
About this article
Cite this article
Sydow, K., Schmitz, A. Das E-Rezept-Konzept als neuer Sicherheitsstandard für elektronische Verordnungen?!. Int. Cybersecur. Law Rev. 5, 31–54 (2024). https://doi.org/10.1365/s43439-023-00103-z
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s43439-023-00103-z