Wie Sie die Telematikinfrastruktur-Komponenten korrekt einsetzen

Die Anbindung an die TI ist notwendig, um zukünftig elektronische Rezepte (eRezepte), elektronische Medikationspläne (eMP) und elektronische Patientenakten (ePA) empfangen sowie bearbeiten zu können. Denn die TI vernetzt die Akteure des Gesundheitswesens im Bereich der gesetzlichen Krankenversicherung (GKV). Damit gewährleistet sie den sicheren sektoren- und systemübergreifenden Austausch von Informationen. Es handelt sich um ein geschlossenes Netz, zu dem nur registrierte Nutzer (sowohl Personen als auch Institutionen) Zugang erhalten.

Welche technische Mindestausstattung Sie benötigen, haben wir Ihnen bereits ausführlich im AWA 21/2018 erläutert. Zu den einzelnen Komponenten ergeben sich allerdings immer wieder neue rechtliche Fragen. Einige davon greifen wir im Folgenden für Sie auf.

Nein, muss er nicht! Denn er kann auch in einem zertifizierten deutschen Rechenzentrum mit Servicevertrag stehen. In diesen Fällen braucht es vor Ort weder einen gesicherten Bereich, noch muss Technikpersonal in die Apotheke kommen, um den Konnektor zu warten. Hier nämlich verbleiben nur die Kartenlesegeräte. Die PIN-Eingabe erfolgt über eine verschlüsselte Verbindung per Virtual Private Network (VPN) an den Konnektor im Rechenzentrum.

Übrigens: Inzwischen hat der GKV-Spitzenverband bestätigt, dass eine Refinanzierung der Komponenten (insbesondere des Konnektors) auch möglich ist, wenn die Endgeräte nur mittelbar in der Apotheke angeschlossen werden. Rechenzentrums-Konnektoren sind damit also ebenfalls refinanzierungsfähig (mehr zur Kostenerstattung erfahren Sie im AWA 12/2020).

Mit dem Apothekenausweis (Security Module Card Typ B, SMC-B-Karte) in Verbindung mit dem elektronischen Heilberufsausweis (eHBA) können Angehörige der Heilberufe aktuell auf den eMP und die elektronischen Notfalldaten zugreifen. Und laut dem vom Bundestag bereits beschlossenen Patientendaten-Schutz-Gesetz (PDSG) müssen Apotheken ab 1. Januar 2022 auch eRezepte auf diesem Wege handhaben (vgl. den neuen §360 Abs. 3 Sozialgesetzbuch [SGB] V).

Als Apothekenpersonal, das einen eigenen eHBA erhalten kann und damit zugriffsberechtigt ist, definiert §291a Abs. 4 Nr. 2c SGB V

• Apotheker,
• Apothekerassistenten,
• Pharmazieingenieure und
• Apothekenassistenten.

Somit stellt sich also die Frage, wie zu verfahren ist, wenn z.B. PTA im Rahmen der Beratung ebenfalls einen Zugriff auf diese Daten benötigen.

Hier hat der Gesetzgeber mit §291a Abs. 5 Satz 6 SGB V versucht, die praktische Arbeit etwas zu erleichtern. Demzufolge können auch Personen ohne eHBA (also eben z.B. PTA) "auf die entsprechenden Daten zugreifen, wenn sie hierfür von Personen autorisiert sind, die über einen elektronischen Heilberufsausweis oder entsprechenden Berufsausweis verfügen, und wenn nachprüfbar elektronisch protokolliert wird, wer auf die Daten zugegriffen hat und von welcher Person die zugreifende Person autorisiert wurde." Konkret bedeutet das:

1. Sie müssen die Person ohne eHBA bei der erstmaligen Verwendung der SMC-B-Karte mit Ihrem eigenen eHBA legitimieren.
2. Sie müssen dies z.B. durch einen Eintrag in Ihr Warenwirtschaftssystem dokumentieren.

Übrigens: Den Gematik-Spezifikationen zufolge reicht eine SMC-B-Karte aus, um mit den derzeit einzig apothekenrelevanten TI-Anwendungen zu arbeiten, sprich:

• um die elektronischen Notfalldaten auszulesen und
• um den eMP zu aktualisieren.

Einen eHBA müssen deswegen aktuell nur Sie als Betriebserlaubnisinhaber besitzen. Denn der eHBA dient im Augenblick letztlich nur dazu, die SMC-B-Karte in der jeweiligen Apothekenbetriebsstätte für den Zugang zu den Fachanwendungen der TI zu legitimieren. Selbst Ihre Filialleiter benötigen daher derzeit (noch) keinen eHBA.

Ob das auch zukünftig so bleibt, ist fraglich. Ein Grund dafür dürfte die Einführung des eRezeptes sein. Warum?

Zur Erklärung müssen wir kurz ausholen: Nach §17 Abs. 5 Satz 4 Apothekenbetriebsordnung (ApBetrO) dürfen eRezepte prinzipiell geändert werden. Ist das geschehen, muss das Gesamtdokument jedoch mit einer qualifizierten elektronischen Signatur versehen werden – und die lässt sich gegenwärtig nur mit dem eHBA erstellen. Der eHBA dürfte somit ab Januar 2022 ebenfalls regelmäßig zum Einsatz kommen – und vermutlich nicht nur vom Betriebserlaubnisinhaber benötigt werden.

Hinweis: Mit dem PDSG zieht auch ein neuer §340 Abs. 5 in das SGB V ein. Ihm zufolge dürfen die SMC-B-Karten nur an Institutionen mit Inhabern eines elektronischen (Heil-)Berufsausweises ausgegeben werden. Insoweit wird zukünftig bereits bei der Ausgabe eine unmittelbare "Verknüpfung" der beiden Karten sichergestellt.

Nach §4 Abs. 1 Nr. 5 Apothekenbetriebsordnung (ApBetrO) gilt für Apotheken zwar prinzipiell das Prinzip der "Raumeinheit". Ausnahmen gibt es aber z.B., wenn Sie einen Versandhandel betreiben oder ein Heim versorgen. Falls Sie in solchen Fällen tatsächlich auf externe Räumlichkeiten zurückgreifen, müssen diese im Augenblick noch nicht über einen Konnektor bzw. mit eHealth-Kartenterminals an die TI angebunden werden. Auch eine eigene SMC-B-Karte benötigen Sie dafür logischerweise nicht.

Tipp: Die Bundesapothekerkammer rät Inhabern nichtsdestotrotz dazu, schon einmal mit ihren Vertragspartnern zu erörtern, wie sich diese Räumlichkeiten später möglicherweise an die TI anschließen lassen.

Die Gematik stellt sicher, dass die einzelnen zertifizierten TI-Komponenten und -Dienste datenschutzrechtlich unbedenklich sind, indem sie den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) einbezieht. Wenn Sie die zugelassenen Komponenten (insbesondere den Konnektor) daher

• bestimmungsgemäß verwenden und
• so aufgestellt bzw. betrieben haben, wie es im jeweiligen Betriebshandbuch beschrieben ist,

haften Sie weder datenschutz- noch zivilrechtlich. Und auch eine strafrechtliche Haftung scheidet aus. Denn eine Verletzung von Berufsgeheimnissen nach §203 Strafgesetzbuch (StGB) setzt der Gematik zufolge "eine vorsätzliche, also wissentliche und willentliche, unbefugte Offenbarung durch den Leistungserbringer [also den Apotheker] als Geheimnisträger voraus" – und das ist ja nicht der Fall, wenn sich die Verletzung auf die zertifizierten TI-Komponenten zurückführen lässt.

• Im Fachportal der Gematik sehen Sie, welche Konnektoren inzwischen zugelassen sind.

• Erleben Sie Dr. Bettina Mecking am Donnerstag, 24. September 2020, live auf dem ApothekenRechtTag online mit ihrem Vortrag zu Chancen und Fußangeln des "neuen" Botendienstes. Weitere Informationen gibt es auf interpharm.de.

Dr. Bettina Mecking, M.M., Fachanwältin für Medizinrecht, Justiziarin der Apothekerkammer Nordrhein, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de