Meine Meinung

Telematikinfrastruktur

Offener Brief des KVB-Vorstands an Jens Spahn

Bitkom-Präsident Achim Berg warnt vor einer Außenseiterrolle Deutschlands bei der Digitalisierung und sieht die elektronische Gesundheitskarte gescheitert.
MH - stock.adobe.com

Bitkom-Präsident Achim Berg warnt vor einer Außenseiterrolle Deutschlands bei der Digitalisierung und sieht die elektronische Gesundheitskarte gescheitert.

Betr.: Aktuelle Enthüllungen des Chaos Computer Clubs

„Sehr geehrter Herr Minister Spahn,

mit größter Sorge haben wir von Seiten des Vorstands der Kassen­ärztlichen Vereinigung Bayerns aus die aktuellen Medienberichte vernommen, wonach es Mitgliedern des Chaos Computer Clubs gelungen ist, sich Zugangs­berechtigungen für die Telematikinfrastruktur (TI) im Gesundheits­wesen zu beschaffen. Die Tatsache, dass sich die IT-Sicherheits­experten über Identitäten Dritter gültige Heilberufs­ausweise, Praxis­ausweise und Gesundheits­karten zusenden lassen konnten, ist die Krönung einer unglaublichen Serie von Pleiten und Pannen bei der Einführung der TI.

Ohne Anspruch auf Vollständig­keit hier ein Überblick der Verfehlungen und Unzulänglichkeiten in Sachen TI:

Bereits vor der Einführung der TI wurde ein an sich notwendiger Feldtest in Sachsen und Bayern aufgrund technischer Unzulänglich­keiten nie begonnen. Die Ergebnisse des Feldtests in der Region Nordwest und sich daraus ergebende Handlungsbedarfe blieben völlig intransparent.

Im Juni 2017 kündigte die Gematik an, dass die notwendigen Konnektoren inklusive der dafür notwendigen Sicherheits­zertifizierungen im Herbst desselben Jahres auf dem Markt sein würden. Allerdings war erst Ende 2018 die vom Bundesgesundheits­ministerium und der Gematik versprochene Angebots­vielfalt überhaupt verfügbar. Das Gesetz verpflichtete aber unsere Mitglieder, eine TI-Anbindung bis zum 31. Dezember 2018 durchzuführen.

Im weiteren Verlauf zeigte sich, dass die von der Gematik versprochene Kompatibilität der Komponenten völlig realitätsfremd war und eine Marktfreiheit für Arztpraxen faktisch nicht bestand. Nicht jedes Praxis­verwaltungs­system kann mit jedem Konnektor-Modell ohne technische Schwierigkeiten oder Einschränkungen zusammenarbeiten.

Die fehlende Transparenz seitens der Industrie (TI-Anbieter und PVS-Hersteller) in Bezug auf mögliche Anbindungs­varianten (Integriertes Szenario im Reihen- oder Parallelbetrieb; Stand-Alone-Szenario) führte dazu, dass ein Großteil der Praxen ohne Wissen oder expliziten Wunsch im Parallel­betrieb angebunden wurde. Die anschließenden Medienberichte, dass Servicetechniker bei der Installation im Parallel­betrieb wohl häufig die lokalen Firewalls der Praxen abgeschaltet hatten, führten zu großer Verunsicherung der Öffentlichkeit und der Ärzteschaft.

Rund 750 Praxen aus Bayern hatten Bestätigungen ihrer Systembetreuer oder TI-Anbieter eingereicht, dass eine Installation nicht mehr fristgerecht bis 30. Juni 2019 möglich war und diese Fristverletzung kein Verschulden der Praxen war. Trotzdem mussten wir das Honorar dieser Praxen ohne Rücksicht auf Verluste kürzen, weil das Gesetz keine Ausnahmen zulässt.

Zudem gab es im November 2019 Liefer­schwierigkeiten bei den Konnektoren, da der Lagerbestand schneller als erwartet aufgebraucht wurde. Diese Konstellation führte dazu, dass vorgesehene TI-Installationen nicht mehr in 2019 durchgeführt werden konnten. Die erneute Folge: eine Honorarkürzung bei den betroffenen Kolleginnen und Kollegen.

Ebenfalls im November 2019 berichteten NDR und Süddeutsche Zeitung über eine ungenügende IT-Sicherheit in Praxen und mögliche Datenlecks. Dies führte wiederum zu großer Verunsicherung unter Ärzten und Psychotherapeuten.

Damit nicht genug: Die von der Gematik durchzuführende Datenschutz­folgeabschätzung liegt bis heute nicht vor! Die Datenschutz­konferenz von Bund und Ländern (DSK) kam in ihrer Sitzung vom 12. September 2019 zu dem Ergebnis, dass der Praxis­betreiber für die IT-Sicherheit innerhalb der eigenen Praxis verantwortlich und die Gematik ab dem Konnektor für Datenschutz und Datensicherheit zuständig ist. Aus Artikel 26 Absatz 1 Satz 2 DSGVO geht hervor, dass die gemeinsam Verantwortlichen (Gematik und Praxisbetreiber) eine Vereinbarung treffen müssen. Das Fehlen einer solchen Vereinbarung kann zu einer Geldbuße nach Artikel 83 Absatz 4 DSGVO führen. Aus unserer Sicht befinden sich die Praxis­betreiber hier in einem Interessens­konflikt. Wer sich nicht an die TI anbindet, verhält sich nach Paragraf 291 SGB V gesetzwidrig und erhält einen Honorarabzug. Wer sich anbindet, verhält sich nach Artikel 26 DSGVO gesetzwidrig und ihm droht eine Geldbuße. Wir hatten Sie dazu am 7. November 2019 angeschrieben und warten bis heute auf eine Antwort, wie dieser Konflikt aufgelöst werden kann.

Unser Fazit: Die Ärzte und Psycho­therapeuten in Bayern fühlen sich durch stetig wachsende, immer komplexer werdende Anforderungen in Hinsicht auf IT-Ausstattung und TI-Anbindung überfordert und im Stich gelassen. In der jetzigen Situation mit den zahlreichen Unklarheiten und IT-technischen Problemen scheint es kaum möglich, hochsensible Patienten­daten und das vertrauliche Arzt-Patienten-Verhältnis wirkungsvoll zu schützen. Die vom Chaos Computer Club aufgedeckten eklatanten Sicherheits­mängel müssen ernst genommen werden und Konsequenzen haben.

Von Ihnen als verantwortlichem Minister erwarten wir, dass die Honorar­kürzungen für die Ärzte und Psycho­therapeuten, die nicht an die TI angeschlossen sind, unverzüglich ausgesetzt werden. Wenn Sie die Digitalisierung im Gesundheits­wesen wirklich vorantreiben wollen, helfen nur Überzeugungs­arbeit und gute Argumente. Jedem, der das vom Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, die Daten­sicherheit und den Daten­schutz der Patienten ernst nimmt, muss Gründlichkeit vor Schnelligkeit gehen.“

Dr. med. Wolfgang Krombholz, Dr. med. Pedro Schmelz, Dr. Claudia Ritter-Rupp

Weitere Artikel