Digitales GesundheitssystemChaos rund um das E-Rezept

Das E-Rezept kommt. Zum neuen Jahr sollen Rezepte für gesetzlich Versicherte nur noch digital ausgestellt werden. Doch keiner weiß genau, ob das System überhaupt funktioniert.

E-Rezept
Mit wenigen Klicks zum Rezept: Ganz so einfach, wie das Gesundheitsministerium sich das vorstellt, ist das E-Rezept wohl nicht. – Alle Rechte vorbehalten IMAGO / MiS

Zum 1. Januar soll es also losgehen, auf Teufel komm raus: Das Bundesgesundheitsministerium (BMG) hält weiterhin am geplanten Datum für den bundesweit verpflichtenden Start des E-Rezepts fest. Und das, obwohl sich Bedenken aus allen Ecken des Gesundheitssystems mehren und die Testphase alles andere als erfolgreich verlaufen ist. Seit dem Start des Tests im Juli wurden gerade mal 42 E-Rezepte erfolgreich ausgestellt und abgerechnet.

Geplant war ursprünglich eine dreimonatige Testphase in der Region Berlin-Brandenburg. Ab dem 1. Oktober sollten dann Praxen und Apotheken bundesweit E-Rezepte testen können. Weil die Technik immer wieder Probleme machte, wurde die regionale Testphase bis Ende November verlängert. Doch auch mit der Verlängerung gelang es der verantwortlichen Gematik nicht, die angepeilten 1.000 Testrezepte auszustellen und abzurechnen.

Die Gematik ist die Gesellschaft, die für die Digitalisierung des Gesundheitswesens verantwortliche ist. Das Gesundheitsministerium hält 51 Prozent der Anteile und damit die Stimmmehrheit im Unternehmen. Die Gematik betreut unter anderem die Telematikinfrastruktur (TI), also das geschützte Netzwerk, über das alle Akteure des Gesundheitssystems kommunizieren. Über die TI sollen unter anderem auch die E-Rezepte zwischen Arztpraxen, Krankenhäusern, Apotheken und Krankenkassen ausgetauscht werden.

Bundesärztekammer will Einführung stoppen

Neben dem BMG sind zum Beispiel auch die Bundesärztekammer, die Deutsche Krankenhausgesellschaft, der Deutsche Apothekerverband und die Kassenärztliche Bundesvereinigung Gesellschafter der Gematik. Mit einigen anderen Verbänden haben diese Organisationen sich nun zusammengetan, um die bundesweite Einführung des E-Rezepts zu verhindern: „Die Ärzte, Zahnärzte, Apotheker und Krankenhäuser appellieren […] dringend an den Gesetzgeber, die Anwendung des eRezeptes erst nach einer ausreichenden Testphase und erwiesener Praxistauglichkeit für den Regelbetrieb in den Praxen vorzusehen.“

Die Verbände kritisieren, dass die Gematik die Testphase als „erfolgreich“ bezeichnet hat: „Das Gegenteil ist der Fall: Tatsächlich sind die Tests in der Fokusregion Berlin-Brandenburg nicht aussagekräftig“, heißt es in einer gemeinsamen Pressemitteilung. Neben der geringen Anzahl an ausgestellten E-Rezepten kritisieren die Verbände auch, dass bislang zu wenige Praxen, Apotheken und Krankenkassen am Test beteiligt gewesen seien. Krankenhäuser seien noch gar nicht zum Zug gekommen.

Über das Problem der fehlenden Beteiligung ist man sich auch bei der Gematik im Klaren. Die Verantwortung schiebt der Geschäftsführer Markus Leyck Dieken in einer lesenswerten Twitter-Auseinandersetzung mit dem Spitzenverband der Gesetzlichen Krankenkassen aber den Kassen selbst zu. Diese hätten sich nicht ausreichend beteiligt und hätten ihren Versicherten etwa keine elektronischen Gesundheitskarten zugeschickt.

Ein digitales Angebot, das Sie nicht ablehnen können

Leyck Dieken spielt darauf an, dass zur Nutzung der E-Rezept-App der Gematik eine moderne elektronische Gesundheitskarte (eGK) vonnöten ist, die Versicherte von ihren Kassen bekommen können. Denn nur mit diesen neuen Karten und einer PIN können die Nutzer:innen sich mit der Karte in der App eindeutig identifizieren. Wer die App nicht nutzen kann oder nutzen möchte, bekommt stattdessen in der Praxis einen QR-Code ausgedruckt.

Der QR-Code ist, egal ob digital oder ausgedruckt, der Schlüssel zum eigentlichen Rezept, das dann nur noch digital auf den Servern der Gematik vorhanden sein wird. Das bedeutet, dass auch die Rezepte von Patient:innen ohne Smartphone oder E-Rezept-App digital ausgestellt werden. Es gibt keine Möglichkeit, sich gegen das E-Rezept zu entscheiden.

Gründe dagegen gäbe es derweil genug – sowohl für Patient:innen als auch für Ärzt:innen. Schon vor der Einführung kritisierte der Bundesdatenschutzbeauftragte Ulrich Kelber, dass das System für die E-Rezepte zentral angelegt ist. Alle Rezepte landen auf einem Server der Gematik. Kelber favorisierte eine dezentrale Datenspeicherung bei den Patient:innen selbst.

Chaos scheint vorprogrammiert

So wären die Daten in der Hand der einzelnen Nutzer:innen, die sie selbst verwalten könnten. Das System wäre auch besser gegen Ausfälle der Telematikinfrastruktur geschützt. Diese Ausfälle kommen immer wieder vor und legen im schlimmsten Fall die Praxen für Tage oder Wochen lahm. Wenn die TI ausfällt, können E-Rezept weder ausgestellt noch eingelöst oder abgerechnet werden. Chaos scheint vorprogrammiert – und das inmitten einer Pandemie und einer stotternden Impfkampagne.

Expert:innen kritisieren auch immer wieder die technische Ausarbeitung des E-Rezepts. Kürzlich zerpflückte ein IT-Experte das System für das Online-Portal Apotheke Adhoc. Die QR-Codes, also die Schlüssel zu den eigentlichen Rezepten, seien unnötig kompliziert und damit fehleranfällig. Auch an der Sicherheit hat der Experte so seine Zweifel. Die Rezepte seien nicht Ende-zu-Ende-verschlüsselt und somit potenziell für die Gematik lesbar.

Die betont immer wieder, dass sie technisch von der Datenverarbeitung ausgeschlossen sei. Man könne die Daten auf den eigenen Servern nicht einsehen. Die fehlende Ende-zu-Ende-Verschlüsselung begründete sie im Juli gegenüber netzpolitik.org unter anderem mit der „Ausbaufähigkeit“, die vom Gesetzgeber verlangt worden sei. Es seien „Workflows“ für digitale Gesundheitsanwendungen oder Hilfsmittelanträge vorgesehen, „die eine individuelle Verarbeitung erfordern“. Außerdem werde serverseitig überprüft, ob die E-Rezepte korrekt ausgestellt seien. Mit einer Ende-zu-Ende-Verschlüsselung sei das nicht möglich gewesen.

Was macht Karl Lauterbach?

Allerhand offene Fragen für ein System, das weniger als einen Monat vor der verpflichtenden bundesweiten Einführung steht. Und die Gematik? Bleibt entspannt. Gegenüber der Ärztezeitung bezeichnete eine Führungskraft das E-Rezept als „beherrschbar“. Die Test mit fiktiven Rezepten seien vielversprechend. So vielversprechend offenbar, dass die Gematik sich nicht davor fürchtet, auf flächendeckende, reale Tests zu verzichten und sofort zum Ernstfall übergeht.

Neu wäre das nicht. Überhastete Digitalisierungsmaßnahmen haben im deutschen Gesundheitssystem seit der Amtszeit von Jens Spahn eine gewisse Tradition. Anfang Oktober ging beispielsweise die elektronische Arbeitsunfähigkeitsbescheinigung, kurz eAU an den Start. Noch Mitte November konnten nur etwa vier Prozent aller Praxen die Bescheinigungen problemlos an die Arbeitgeber und an die Kassen versenden. Bei der Hälfte aller Praxen funktionierte der Versand überhaupt nicht.

Ob der neue Gesundheitsminister Karl Lauterbach bei der Digitalisierung auf die Bremse tritt, ist noch offen. Lauterbach äußerte sich in der Vergangenheit immer wieder positiv gegenüber digitalen Hilfsmitteln im Gesundheitswesen. Ob er dabei allerdings mehr Wert auf einen reibungslosen Ablauf und den Schutz und die Sicherheit der Gesundheitsdaten legt, bleibt abzuwarten. Der Koalitionsvertrag liest sich in dieser Hinsicht allerdings bedenklich: Die Ampel möchte das E-Rezept und andere Digitalisierungsmaßnahmen „beschleunigen“.

25 Ergänzungen

  1. Aus journalistischer Sicht wird das E-Rezept ein „dankbares“ Dauerthema, freilich zum Leidwesen der Patienten, deren Kontrolle und Schutz eigener Daten zugunsten der Ermöglichung von Datenanalysen nicht wirklich gewollt war.

    Das Projekt wurde beschleunigt, als es absehbar wurde, dass Jens Spahn seine Wirkung nicht mehr wird fortsetzen können. Nun liegt es als Kuckucksei bei seinem Nachfolger.

    Um das Projekt noch vor Einführung zu stoppen, bräuchte es jetzt entsprechende Klagen, die zumindest eine aufschiebende Wirkung haben.

    Interessant wäre es schon, sich nochmal anzusehen, ob und in welchem Ausmaß Stakeholder von Patientenseite bei der Planung gehört wurden und auf welche Weise das Gematik-Personal mit welchen Absichten ins Spiel gebracht wurde, denn wer dort nach Datenkompetenz sucht, der findet doch nur recht einseitige Fähigkeiten.

    1. Diese elektronischen Rezepte und AU sind unerträglich. Wie kann der Arzt Rezepte, vor allem Folgerezepte lesen und kontrollieren?
      Wegen diesem Schrott habe ich jetzt meine Praxis aufgegeben. Das sogenannte sichere Netz funktioniert nicht sicher, tagelang geht’s überhaupt nicht, ich konnte zB. tagelang die Corona – Impfdaten nicht an die KV melden – die Schlangen der Patienten an der Anmeldung werden kilometerlang sein.
      PS ich bin kein Computer Feind sondern Computer-Fan seit 50 Jahren

      1. Der Arzt muss die Rezepte des Patienten nicht lesen können, sondern er stellt sie aus, weiß also was drauf ist. Was der Patient dann damit macht, sprich ob er sie einlöst, soll aus Datenschutzgründen der Arzt nicht erfahren, so wie bisher auch. Auch Folgerezepte muss der Arzt selbst ausstellen. Wenn der Arzt sie dabei nicht lesen und kontrollieren kann, liegt das am verwendeten Primärsystem, nicht am eRezept.
        Und wenn die TI nicht erreichbar ist, kann man in Bezug auf das eRezept einfach das alte Rezept drucken, auch nach der Einführungsphase. Bei der eAU kann man diese auch später erst zum Server schicken, wenn die Verbindung gerade nicht klappt.
        Auch hier: Wenn das irgendwo nicht möglich ist, liegt das am Primärsystem.

    2. >>> Erste Beispiele für Auswirkungen auf den Alltag der Menschen gibt es bereits. So mussten Teile der Telematikinfrastruktur vom Netz genommen werden, »zum Schutz von Patientendaten«. Patienten und Praxen könnten daher derzeit Probleme mit den Krankenversichertenkarten haben.

      https://www.spiegel.de/netzwelt/web/log4j-sicherheitsluecke-wie-loescht-man-ein-brennendes-internet-a-27729847-8e28-4187-b4a2-468a45137fb4

  2. Meine Praxis hat mich über den Stichtag 1.1. informiert und so musste ich handeln… Neue Krankenkassenkarte bestellt, schnell bekommen, gut.

    Dann aber festgestellt, dass ich noch eine PIN brauche. Die kann ich nur beantragen, wenn ich vorher meine Identität feststellen lasse. Dazu wird nicht etwas der ePerso genutzt, sondern eine App von Nect eingebunden. „Dauert nur 5 min“ – es dauerte natürlich länger als 5 min (Vorder- und Rückseite vom Ausweis bewegen, Selfie-Video machen und vorgegeben Worte sprechen, warten) und in dieser Zeit habe ich mir natürlich nicht auch noch die drei Dokumente durchgelesen, denen ich zustimmen sollte. Warum auch durchlesen, ich hatte ja gar keine Wahl…

    Jetzt habe ich 3 Apps bzw. Zugänge von meiner Krankenkasse und zusätzlich die Gematik-App. Vier oder sogar fünf Apps, wenn ich Nect nicht lösche – die brauche ich ja vielleicht nochmal, während die AusweisApp und mein ePerso – seit Jahren wirklich gut nutzbar – praktisch nie zum Einsatz kommen.

    Fazit: Die Nutzerperspektive ist komplett vergessen worden, statt dessen die übliche Verschiebung der Verantwortung auf die Nutzenden durch alternativlose Zustimmung zu AGB und Datenschutz. Und alle möglichen Digitalisierung-Fortschritte bei Sicherheit und Nutzbarkeit werden durch „Systemdesigns aus der Hölle“ ins Gegenteil verkehrt. Und ich berichte hier erst vom Anmeldeprozess…

    1. Bei der DAK wurde mir gesagt, dass ich die PIN nur vor Ort in einer Niederlassung bekomme. Ja, auch ich hätte den digitalen Personalausweis usw. zur Verfügung. Wenn er denn dafür verwendet werden könnte…

  3. Deutschland ist mit seinen altbackenen Köpfen der Digitale Totalschaden. Mit Leuten, die keinerlei Ahnung von Sicherheit haben.

    2 Beispiele, wie Digitalisierung durch unlogisches Sicherheitsprozedere sich gegenseitig aushebeln:

    1. ePA Nutzung. AOK:
    App runterladen -> Login einrichten -> Login nicht möglich obwohl die Registrierung erfolgreich war. Die Entwickler kriegen es nicht gebacken, die App zu Laufen zu bringen. Auf Kritik wird nicht eingegangen. Lösungen werden ignoriert.
    Jetzt zur „Sicherheit“:
    Displaysperre ist PFLICHT obwohl die App durch ein Passwort geschützt ist. Zusätzlich kriegt man zu jedem Anmeldeversuch eine Spam-Mail.
    Wer keine Displaysperre aktiviert, kann die ePA nicht nutzen. Warum Herrgott ist die App dann Passwortgeschützt? Und man zwingt den User zu einem Langen Passwort.

    2. Apple Pay (gutes Beispiel, weil es leider viele abgucken)
    Apple Pay kann nur genutzt werden, mit aktivierter Display-Sperre. Und TROTZDEM musst du, obwohl du das Display entsperrt hast, 2x Seitentaste drücken und NOCHMAL einen Code oder per FaceID freigeben.

    Das sind für mich zwei Beispiele, die klar machen, das hier einige Entwickler keine Ahnung von Sicherheit in Kombi mit der Digitalisierung haben.

    Ich verstehe bis heute nicht, warum für die ePA nicht die gleichen Sicherheitsmaßnahmen gelten wie bei den Banken:
    1. Oberste Prio hat das Background-Sicherheitssystem
    2. App-Nutzung: Zugewiesene Anmeldedaten die lebenslang gültig sind solange man keine neuen anfordert und die ePA-App mittels zugewiesenen QR-Code freischalten.

    Stattdessen wird Code-Schieberei veranstaltet. Jedes mal neuen Code anfordern und sonstiger Blödsinn betrieben, der NICHTS mit Sicherheit, Digitalisierung und Komfort zu tun hat.

    Wieso kriegen es die einen hin alles zu vereinen und die anderen nicht? Auch Apple hat unlogische und teils dumme Sicherheitsvorkehrungen. Das wäre, als ob meine Banking-App von mir verlangt, die Displaysperre zu aktivieren, mein zugewiesenen Passwort 2x einzugeben nacheinander und nochmal Seitentaste drücken um die App nutzen zu können. Sorry, aber da hat jemand zu viele Filme geguckt.

    PayPal und Banken sind bombensicher. Man muss schon sehr naiv und blöd sein, damit da was passiert. Dann kommen Apple und die Krankenkassen, die null Ahnung haben.

    1. Ich habe keine Ahnung von den angesprochenen Projekten.

      Allerdings nur die Displaysperre bedeutet, dass eventuell Daten in der App nicht sicher verschlüsselt sein können, während die Eingabe eines extra Passwortes zumindest ermöglicht, unter bzw. mittels dieses bei einem Securityprozessor ein echtes Passwort für die harte Verschlüsselung zu hinterlegen. Das könnte also, ohne dass ich die benutzte Hard- und Software kenne, zumindest theoretisch einen Nutzen für die Sicherheit haben.

      Allerdings sind dann zwei Dinge fragwürdig:
      – Wie sicher ist das Gerät überhaupt, bzw. warum dort überhaupt Daten hinterlegen? Vielleicht wird ein anderer Login oder eine Authentifizierung „vereinfacht“, das wäre aber wieder mal inviting Disaster, weil die Handies im Gegensatz zu den technisch stark risikobehafteten Banken, nun wirklich nicht sicher sind.
      – Benutzbarkeit? Das ist oft auch der Knackpunkt bei Sicherheit, weil es z.B. nicht beliebig weit zusammenpasst, aber gerne alles sehr einfach sein soll. Mehr als hier geht vielleicht.

      Also genau genommen kenne ich mich nicht aus. Paypal ist zwar auch schön einfach, und mir ist noch nichts komisches passiert, aber dass es nur mit Datenausverkauf bei gleichzeitig hohen Gebühren geht, ist schon ein Armutszeugnis für die Zivilisation.

  4. Nachtrag: Die Digitalisierung is immens wichtig, weil sie nicht nur wertvolle Informationen beschafft (womit man natürlich vorsichtig umgehen muss aber für die Weiterentwicklung des Gesundheitssystem enorme Bedeutung hat ), sondern den Alltag vereinfacht und vieles im Self-Service gemacht werden kann. Ich war schon extrem angep*sst als das PSD2-Verfahren verpflichtend eingeführt wurde, aber das PSD2-Verfahren wurde von den Banken/PayPal so massiv gut umgesetzt, das es mich keine Sekunde gestört hat. Außerdem ermöglichen sie schnelle/einfache Lösungen, wenn man dank PSD2 doch mal kein Zugriff hat, man kommt mit den Anmeldedaten nämlich trotzdem noch rein, wenn es ein bekanntes Gerät ist, so lässt sich die Handynummer ohne Probleme ändern. Einfach, schnell, bombensicher.
    Daran sollten sich die Krankenkassen mal ein Beispiel nehmen. Was da aktuell abläuft, passiert schätzungsweise nur, weil niemand genau weiß w i e man das vernünftig macht oder weil sich die Verantwortlichen einbilden, das hätte iwas mit Sicherheit zutun

    1. P.S. Digitalisierung kann es nicht geben, wenn nicht sichergestellt ist, das keine Daten an Dritte gelangen (zu Werbezwecken genutzt wird), kein Verkauf der Daten stattfindet sodass am Ende nicht mehr sicher gesagt werden kann wer alles Zugriff darauf hat und wenn Firmen per Gesetz verpflichtet werden ein vernünftiges Sicherheitssystem im Background aufzubauen, wo die Daten ebenfalls nicht zu Werbezwecken genutzt werden dürfen.

      Ich denke, die Banken, PayPal, teilweise auch Seiten wie Amazon haben das sehr gut umgesetzt: Logisch, Sicher, Vertraulich, nicht unnötig kompliziert und Komfort = Digitalisierung <- Und die kann es nicht ohne Datenschutz geben. Und nicht ohne Behörden die legitimiert sind Zugriff auf Firmeninterne Prozesse zu bekommen wenn ihnen etwas seltsam vorkommt (Die BNA ist dafür ein gutes Beispiel).

      Datenschutz ist kein gutes Argument, warum die Digitalisierung bei einigen Unternehmen scheitert.

  5. @Mia
    Wer Komfort und Sicherheit in einem Satz verwendet, hat mit Sicherheit von Selbiger genauso viel Plan wie die Verantwortlichen des ganzen Rotzes. Vor allem, wenn man so naiv ist zu glauben, die Banken oder Paypal seinen bombensicher. Diese Institutionen rechnen schon mit Diebstahl in abschätzbarer Höhe und da geht es nur um Geld. Bei persönlichen Daten ist das eine ganz andere Hausnummer. Es wird dir sicher keinen Zacken aus deiner zarten Krone brechen, wenn du mal einen Fingerzeig mehr machen musst. Richtig interessant wird der ganze Digitalisierungswahn ja ohnehin erst, wenn die ältere Generation in naher Zukunft mit der ihr, in gewisser Weise selbst verschuldet, auferlegten Technik, nicht mehr zurecht kommt.

  6. In der Gegenwart ist es mittlerweile üblich jeden zweiten Satz mit dem Wort „Digitalisierung“ zu versehen. Und ja, es gibt Bereiche, in denen es vorteilhaft wäre, wenn der Datenaustausch zwischen verantwortlichen Stellen (z. B. Hausärzte, Fachärzte, etc.) einfacher vonstatten ging, um doppelte Untersuchungen zu vermeiden. Dabei steht Datensicherheit an oberster Stelle. Und auch in der Verwaltung, der Energiewirtschaft oder dem Verkehrswesen wäre fortschrittliche Technik sicherlich ein Plus.

    Allerdings sollte die Gesellschaft auch erkennen, dass es 100%-ige Sicherheit im IT-Bereich nicht gibt. Umso weniger ist es zu verstehen, das ungefähr 80 Millionen Bürger sich ein Smartphone besorgen müssen, und für alle möglichen Dinge sich eine App installieren sollen, um so sensibelste Daten irgendwo in der Welt zu verteilen. Ein Smartphone, das nach zirka zwei Jahren keine Sicherheitsupdates mehr bekommt und nach weiteren zwei Jahren quasi unbrauchbar geworden ist, weil Apps nach Softwareupdates auf den „veralteten“ Geräten nicht mehr sauber laufen. Und wieviele dieser Bürger sind IT-Experten? Wer schon einmal versucht hat eine Datensicherung von einem alten, defekten Gerät auf ein neues zu installieren, weiß was ich meine.

    Denken wir noch einmal kurz über die Sondermüllberge nach die dadurch entstehen, und über die Gewinnung neuer Rohstoffe. Und mit Gewinnung meine ich auch den Energieeinsatz der nötig ist bis das neue Produkt „Smartphone“ auf dem Ladentisch liegt. Und ja, wir wollen das Klima retten, wir wollen den Lebensraum von Pflanzen und Tieren erhalten und wir wollen keine prekären Arbeitsverhältnisse in Ländern der sogenannten dritten Welt.

    Dazu sage ich nur: „Finde den Fehler!“

  7. Ich kann Jens und Mia nur zustimmen, es herrscht das totale Chaos. Die App meiner Krankenkasse lässt mich oft nicht rein, obwohl das Passwort korrekt ist. Dann wird mir ein neues vorläufiges per Briefpost zugeschickt. Bin ich mal drin, dann kann ich oftmals nicht einmal ein PDF aus meinem Postfach herunterladen. Die Lösung die der Support bietet ist dann: Die App desinstallieren und dann neu installieren. Allerdings wird dann jedes mal erneut die Identitätsfeststellung per Postidentverfahren oder über Nect fällig – jedesmal. EPerso-Nutzung wäre da schon ein gewaltiger Fortschritt. Weder Krankenkasse noch Gematik haben Systematik, Infrastruktur und Planung im Griff. Ein Armutszeugnis!

  8. So lange es keine vertrauenswürdigen Mobiltelefone gibt, die man ohne die Dienste von Google oder Apple verwenden kann, halte ich so ziemlich alle staatlichen Digitalisierungsthemen, die Mobilgeräte erfordern, für aussichtslos.

    Und wer kommt auf die Idee, einen Vorgang wie das Ausstellen und Einlösen von Rezepten in Deutschland von einem Single-Point-of-Failure abhängig zu machen? Da ging es ja wohl ganz offensichtlich nicht darum, dass das funktionieren sollte, sondern dass da ein paar Leuten ihre Allmachtsphantasien in die Tat umsetzen wollten.

    1. Vertrauenswürdige Mobiltelefone gibt es: Ungoogled Phones (modifiziertes Android OS mit entfernten Google-Diensten), Pinephone / Pinephone Pro, Librem 5. Die 3 letzten Geräte laufen unter einem Linux Deiner Wahl. Das Letzte ist sogar Hardware- und Firmwareseitig weitestgehend Open Source. Allerdings befindet sich die Software bei allen 3 Geräten noch in Entwicklung. Sprich, man kann es erwerben und nutzen, muss aber gegebenenfalls Einschränkungen hinnehmen (z.B. kurze Akkulaufzeit), bis die Software ausgereift ist. Auf der anderen Seite hat man quasi Lifetime-Support und damit nicht das Problem, das Sven anspricht.

      Das größere Problem sehe ich eher bei den Apps. Sofern die nicht Open Source sind, wird es die wohl nur für Google- und Apple-Geräte geben. Und sofern die TI nicht vertrauenswürdiger als Google oder Apple ist, ist die ganze Diskussion sowieso schon fast hinfällig.

      1. PinePhone… das ist aber schon am Rande – abgesehen von „14 Tagen Garantie“, vermutlich keinerlei Wetterfestigkeit, experimentellem OS, … allerlei geht mal bei Patchlevel X, X+1 dann nicht oder doch, X+2 dann umgekehrt, ist auch gut dass da eben die Anpassungen getestet und verbessert werden, manches ist dann allerdings unbenutzbar zwischendurch. Nach einer kurzen Weile gehen Updates nicht mehr, weil eine Abhängigkeit irgendwie falsch aufgelöst wird. Was auch immer passiert, interessant ist es ohne Frage, allerdings sollte man Systeme Schnitzen, auf SD-Karte bringen und wieder auf den internen Speicher schreiben (lernen) können, wenn man das anfassen will.

        PinePhone Pro… das wird schon wieder interessanter, weil es +- angeblich auch default Linux drauf schaffen soll. Das habe ich mir eigentlich immer gewünscht, wenn auch FullHD einige anschließende Fragen aus dem Weg geräumt hätte. Mal sehen…

        Ansonsten noch Volla Phone für ein echtes neugeschnitztes mit irgendwas ohne Google drauf und dann noch NitroPhone (Pixel 4a o.ä. mit Graphene OS, teuerer).

        Zum Thema: Das Problem der Mono-/Duokultur ist allerdings auch, dass weniger für neutral (Linux / Browser / Simuliere-X-unter-offenem-Y) entwickelt wird. Da hilft die reine Existenz von Alternativen erst einmal wegen der Zahlen und dem „Fokus“ nicht drüber hinweg, denn das Bedarf eines Willens, einer Strategie, und der mittel- bis langfristigen Umsetzung.

        Am Rande: Android ohne Google hat Teils aber ähnliche Einstellungen und Rechtevergabeprobleme, zu Grob und gemäß Originalframing (wer braucht Daten?), Firefox aus Fdroid z.B. hat keinen private-always Modus, was nicht nur ein ewiges Herumgehühner ist, sondern auch noch Stilblüten treibt, wie Seite in privatem Tab mit Noscript-Dialog in nicht-privatem Tab. Ja sicherlich, alles ganz logisch und es gibt bestimmt auch „Alternativen“. Daher wäre mir ein knallhartes debian-stable als einfaches Mobilsystem ;) schon lieber, ohne die verrückten Anpassungen an „Mobil“.

  9. Die Daten beim E-Rezept werden nicht verschlüsselt, aber angeblich kann die Gematik die Rezepte nicht einsehen? Das ich nicht lache!
    Ich dachte bei hochsensiblen Gesundheitsdaten schreibt die DSGVO ein hohes Schutzniveau vor. Wie das mit zentraler Speicherung und fehlender Verschlüsselung einhergehen soll, ist mir schleierhaft. Da verlässt man sich drauf, dass die Datenschutzbehörden keine anderen Behörden abmahnen. Zumindest in Deutschland ist mir zumindest keine Fall bekannt, wo sowas vorgekommen wäre (In andere EU-Ländern sieht das anders aus).

    1. Das ist ein Missverständnis. Selbstverständlich sind die Rezepte verschlüsselt. Sie sind lediglich nicht Ende-zu-Ende verschlüsselt, was ich mir bei mehreren beteiligten Akteuren wie hier auch rein logisch schon sehr schwer vorstelle. Die vorgegebenen Sicherheitsmechanismen haben diverse Hersteller vor einige Probleme gestellt, weil die Umsetzung absolut nicht einfach war.

  10. Der gläserne Patient ist erwünscht.Arztgeheimnis ade.Deine Krankenkasse,Regierung, Pharmafirmen und sonstige Entscheider wissen alles über Dich.

    1. Mir tun schon die vielen Menschen Leid, für die das Smartphon sowieso schon ein Grauen ist.Es sind sehr viele die es zum telefonieren und andere Sachen nutzen.
      Sie geben ja eigentlich ihren ganzen Tagesablauf sowieso schon jeden bekannt.
      Aber mit dieser Maßnahme gehen wieder alle auf Verweigerunskurs.
      Bei der Generation 55+reicht es dann für den Großteil auch.

  11. Man sollte bei der ganzen Diskussion zwei Punkte bedenken. Erstens ist es ja nicht so, dass es keine aussagekräftigen Tests gegeben hätte. Dafür existiert eine Referenzumgebung, die quasi analog zur echten Umgebung funktioniert. Die technischen Herausforderungen waren aber so groß, dass es bei vielen Herstellern einfach sehr lange gedauert hat das Projekt umzusetzen.

    Warum man aber zweitens nur die Spezifikation von Experten prüfen lässt und nicht auch fertige Bibliotheken zur Integration bereitstellt und auch diese prüfen lässt, kann ich nicht nachvollziehen. Dies ist der Hauptgrund dafür, dass die Integration so lange gedauert hat (verwendete Sicherheitsalgorithmen standen nicht auf allen Plattformen zur Verfügung, …), unnötige Ressourcen bei allen Herstellern verschwendet hat, und vor allem am Ende unnötig unsicher ist.

    Dass man dann noch Anforderungen für die Teilnahme an Pilottests stellt, aufgrund derer es weder für die Hersteller einfach ist daran teilzunehmen, noch Praxen zu finden, die sich darauf einlassen, ist zusätzlich ungünstig.

  12. Dazu kommt noch, dass BSI und Gematik m. E. unzureichende Industrieaufsicht betreiben.

    Das Zuliefersystem der CGM funktioniert nicht mit G2.1 Karten und schlimmer – sie lassen sich in der lokalen Zone nicht sicher betreiben, da der CGM Installer die sicheren Betriebsarten des Konnektors nicht unterstützt.

    Das CGM Produkt enthält log4j, es erfolgte keine Information durch CGM, Gematik oder BSI, ob ein Angriffsrisiko besteht oder nicht.

  13. Wie soll das mit Leuten funktionieren, die nicht mit der Technik klarkommen?
    Werden die dann entmündigt oder gibt es dann doch noch einen Rezeptzettel?
    Bekommt man dann noch Medikamente sollte das System nicht funktionieren?
    Das Risiko scheint ja zu bestehen, das das zumindest am Anfang mal gar nicht funktioniert.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.