Betr.: Aktuelle Enthüllungen des Chaos Computer Clubs
„Sehr geehrter Herr Minister Spahn,
mit größter Sorge haben wir von Seiten des Vorstands der Kassenärztlichen Vereinigung Bayerns aus die aktuellen Medienberichte vernommen, wonach es Mitgliedern des Chaos Computer Clubs gelungen ist, sich Zugangsberechtigungen für die Telematikinfrastruktur (TI) im Gesundheitswesen zu beschaffen. Die Tatsache, dass sich die IT-Sicherheitsexperten über Identitäten Dritter gültige Heilberufsausweise, Praxisausweise und Gesundheitskarten zusenden lassen konnten, ist die Krönung einer unglaublichen Serie von Pleiten und Pannen bei der Einführung der TI.
Ohne Anspruch auf Vollständigkeit hier ein Überblick der Verfehlungen und Unzulänglichkeiten in Sachen TI:
Bereits vor der Einführung der TI wurde ein an sich notwendiger Feldtest in Sachsen und Bayern aufgrund technischer Unzulänglichkeiten nie begonnen. Die Ergebnisse des Feldtests in der Region Nordwest und sich daraus ergebende Handlungsbedarfe blieben völlig intransparent.
Im Juni 2017 kündigte die Gematik an, dass die notwendigen Konnektoren inklusive der dafür notwendigen Sicherheitszertifizierungen im Herbst desselben Jahres auf dem Markt sein würden. Allerdings war erst Ende 2018 die vom Bundesgesundheitsministerium und der Gematik versprochene Angebotsvielfalt überhaupt verfügbar. Das Gesetz verpflichtete aber unsere Mitglieder, eine TI-Anbindung bis zum 31. Dezember 2018 durchzuführen.
Im weiteren Verlauf zeigte sich, dass die von der Gematik versprochene Kompatibilität der Komponenten völlig realitätsfremd war und eine Marktfreiheit für Arztpraxen faktisch nicht bestand. Nicht jedes Praxisverwaltungssystem kann mit jedem Konnektor-Modell ohne technische Schwierigkeiten oder Einschränkungen zusammenarbeiten.
Die fehlende Transparenz seitens der Industrie (TI-Anbieter und PVS-Hersteller) in Bezug auf mögliche Anbindungsvarianten (Integriertes Szenario im Reihen- oder Parallelbetrieb; Stand-Alone-Szenario) führte dazu, dass ein Großteil der Praxen ohne Wissen oder expliziten Wunsch im Parallelbetrieb angebunden wurde. Die anschließenden Medienberichte, dass Servicetechniker bei der Installation im Parallelbetrieb wohl häufig die lokalen Firewalls der Praxen abgeschaltet hatten, führten zu großer Verunsicherung der Öffentlichkeit und der Ärzteschaft.
Rund 750 Praxen aus Bayern hatten Bestätigungen ihrer Systembetreuer oder TI-Anbieter eingereicht, dass eine Installation nicht mehr fristgerecht bis 30. Juni 2019 möglich war und diese Fristverletzung kein Verschulden der Praxen war. Trotzdem mussten wir das Honorar dieser Praxen ohne Rücksicht auf Verluste kürzen, weil das Gesetz keine Ausnahmen zulässt.
Zudem gab es im November 2019 Lieferschwierigkeiten bei den Konnektoren, da der Lagerbestand schneller als erwartet aufgebraucht wurde. Diese Konstellation führte dazu, dass vorgesehene TI-Installationen nicht mehr in 2019 durchgeführt werden konnten. Die erneute Folge: eine Honorarkürzung bei den betroffenen Kolleginnen und Kollegen.
Ebenfalls im November 2019 berichteten NDR und Süddeutsche Zeitung über eine ungenügende IT-Sicherheit in Praxen und mögliche Datenlecks. Dies führte wiederum zu großer Verunsicherung unter Ärzten und Psychotherapeuten.
Damit nicht genug: Die von der Gematik durchzuführende Datenschutzfolgeabschätzung liegt bis heute nicht vor! Die Datenschutzkonferenz von Bund und Ländern (DSK) kam in ihrer Sitzung vom 12. September 2019 zu dem Ergebnis, dass der Praxisbetreiber für die IT-Sicherheit innerhalb der eigenen Praxis verantwortlich und die Gematik ab dem Konnektor für Datenschutz und Datensicherheit zuständig ist. Aus Artikel 26 Absatz 1 Satz 2 DSGVO geht hervor, dass die gemeinsam Verantwortlichen (Gematik und Praxisbetreiber) eine Vereinbarung treffen müssen. Das Fehlen einer solchen Vereinbarung kann zu einer Geldbuße nach Artikel 83 Absatz 4 DSGVO führen. Aus unserer Sicht befinden sich die Praxisbetreiber hier in einem Interessenskonflikt. Wer sich nicht an die TI anbindet, verhält sich nach Paragraf 291 SGB V gesetzwidrig und erhält einen Honorarabzug. Wer sich anbindet, verhält sich nach Artikel 26 DSGVO gesetzwidrig und ihm droht eine Geldbuße. Wir hatten Sie dazu am 7. November 2019 angeschrieben und warten bis heute auf eine Antwort, wie dieser Konflikt aufgelöst werden kann.
Unser Fazit: Die Ärzte und Psychotherapeuten in Bayern fühlen sich durch stetig wachsende, immer komplexer werdende Anforderungen in Hinsicht auf IT-Ausstattung und TI-Anbindung überfordert und im Stich gelassen. In der jetzigen Situation mit den zahlreichen Unklarheiten und IT-technischen Problemen scheint es kaum möglich, hochsensible Patientendaten und das vertrauliche Arzt-Patienten-Verhältnis wirkungsvoll zu schützen. Die vom Chaos Computer Club aufgedeckten eklatanten Sicherheitsmängel müssen ernst genommen werden und Konsequenzen haben.
Von Ihnen als verantwortlichem Minister erwarten wir, dass die Honorarkürzungen für die Ärzte und Psychotherapeuten, die nicht an die TI angeschlossen sind, unverzüglich ausgesetzt werden. Wenn Sie die Digitalisierung im Gesundheitswesen wirklich vorantreiben wollen, helfen nur Überzeugungsarbeit und gute Argumente. Jedem, der das vom Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, die Datensicherheit und den Datenschutz der Patienten ernst nimmt, muss Gründlichkeit vor Schnelligkeit gehen.“
Dr. med. Wolfgang Krombholz, Dr. med. Pedro Schmelz, Dr. Claudia Ritter-Rupp