Am 10.01.2019 hat sich die Kassenärztliche Vereinigung Bayern (KVB) – gestützt auf die beim CCC-Kongress im Dezember 2019 bekannt gewordenen Mängel bei der Sicherheit des Zugangs zur Telematik-Infrastruktur – mit einem Offenen Brief an Minister Spahn gewandt.Der Offene Brief ist in seiner Gesamtheit eine vernichtende Kritik an der Politik von Spahn (CDU), aber auch aller seiner Vorgänger*innen als Bundesgesundheitsminister*innen, die sich an der Digitalisierung des Gesundheitswesen durch Schaffung der gematik versucht haben.
Dieser Brief beginnt mit der Feststellung: „… mit größter Sorge haben wir von Seiten des Vorstands der Kassenärztlichen Vereinigung Bayerns aus die aktuellen Medienberichte vernommen, wonach es Mitgliedern des Chaos Computer Clubs gelungen ist, sich Zugangsberechtigungen für die Telematikinfrastruktur (TI) im Gesundheitswesen zu beschaffen. Die Tatsache, dass sich die IT-Sicherheitsexperten über Identitäten Dritter gültige Heilberufsausweise, Praxisausweise und Gesundheitskarten zusenden lassen konnten, ist die Krönung einer unglaublichen Serie von Pleiten und Pannen bei der Einführung der TI.“
Daraus folgend macht der KVB-Vorstand „ohne Anspruch auf Vollständigkeit“ eine Auflistung von „Verfehlungen und Unzulänglichkeiten in Sachen TI:
- Bereits vor der Einführung der TI wurde ein an sich notwendiger Feldtest in Sachsen und Bayern aufgrund technischer Unzulänglichkeiten nie begonnen. Die Ergebnisse des Feldtests in der Region Nordwest und sich daraus ergebende Handlungsbedarfe blieben völlig intransparent.
- Im Juni 2017 kündigte die gematik an, dass die notwendigen Konnektoren inklusive der dafür notwendigen Sicherheitszertifizierungen im Herbst desselben Jahres auf dem Markt sein würden. Allerdings war erst Ende 2018 die vom Bundesgesundheitsministerium und der gematik versprochene Angebotsvielfalt überhaupt verfügbar. Das Gesetz verpflichtete aber unsere Mitglieder, eine TI-Anbindung bis zum 31. Dezember 2018 durchzuführen.
- Im weiteren Verlauf zeigte sich, dass die von der gematik versprochene Kompatibilität der Komponenten völlig realitätsfremd war und eine Marktfreiheit für Arztpraxen faktisch nicht bestand. Nicht jedes Praxisverwaltungssystem kann mit jedem Konnektor-Modell ohne technische Schwierigkeiten oder Einschränkungen zusammenarbeiten.
- Die fehlende Transparenz seitens der Industrie (TI-Anbieter und PVS-Hersteller) in Bezug auf mögliche Anbindungsvarianten (Integriertes Szenario im Reihen- oder Parallelbetrieb; Stand-Alone-Szenario) führte dazu, dass ein Großteil der Praxen ohne Wissen oder expliziten Wunsch im Parallelbetrieb angebunden wurde. Die anschließenden Medienberichte, dass Servicetechniker bei der Installation im Parallelbetrieb wohl häufig die lokalen Firewalls der Praxen abgeschaltet hatten, führten zu großer Verunsicherung der Öffentlichkeit und der Ärzteschaft.
- Rund 750 Praxen aus Bayern hatten Bestätigungen ihrer Systembetreuer bzw. TI-Anbieter eingereicht, dass eine Installation nicht mehr fristgerecht bis 30. Juni 2019 möglich war und diese Fristverletzung kein Verschulden der Praxen war. Trotzdem mussten wir das Honorar dieser Praxen ohne Rücksicht auf Verluste kürzen, weil das Gesetz keine Ausnahmen zulässt.
- Zudem gab es im November 2019 Lieferschwierigkeiten bei den Konnektoren, da der Lagerbestand schneller als erwartet aufgebraucht wurde. Diese Konstellation führte dazu, dass vorgesehene TI-Installationen nicht mehr in 2019 durchgeführt werden konnten. Die erneute Folge: eine Honorarkürzung bei den betroffenen Kolleginnen und Kollegen.
- Ebenfalls im November 2019 berichteten NDR und Süddeutsche Zeitung über eine ungenügende IT-Sicherheit in Praxen und mögliche Datenlecks. Dies führte wiederum zu großer Verunsicherung unter Ärzten und Psychotherapeuten.“
Die Kritik mündet dann in die Feststellung: „Die von der gematik durchzuführende Datenschutzfolgeabschätzung liegt bis heute nicht vor! Die Datenschutzkonferenz von Bund und Ländern (DSK) kam in ihrer Sitzung vom 12. September 2019 zu dem Ergebnis, dass der Praxisbetreiber für die IT-Sicherheit innerhalb der eigenen Praxis verantwortlich und die gematik ab dem Konnektor für Datenschutz und Datensicherheit zuständig ist. Aus Art. 26 Abs. 1 Satz 2 DSGVO geht hervor, dass die gemeinsam Verantwortlichen (gematik und Praxisbetreiber) eine Vereinbarung treffen müssen. Das Fehlen einer solchen Vereinbarung kann zu einer Geldbuße nach Art. 83 Abs. 4 DSGVO führen. Aus unserer Sicht befinden sich die Praxisbetreiber hier in einem Interessenskonflikt. Wer sich nicht an die TI anbindet, verhält sich nach § 291 SGB V gesetzeswidrig und erhält einen Honorarabzug. Wer sich anbindet, verhält sich nach Art. 26 DSGVO gesetzeswidrig und ihm droht eine Geldbuße. Wir hatten Sie dazu am 7. November 2019 angeschrieben und warten bis heute auf eine Antwort, wie dieser Konflikt aufgelöst werden kann.“
Und das Fazit des KVB-Vorstands lautet: „Die Ärzte und Psychotherapeuten in Bayern fühlen sich durch stetig wachsende, immer komplexer werdende Anforderungen in Hinsicht auf IT-Ausstattung und TI-Anbindung überfordert und im Stich gelassen. In der jetzigen Situation mit den zahlreichen Unklarheiten und IT-technischen Problemen scheint es kaum möglich, hochsensible Patientendaten und das vertrauliche Arzt-Patienten-Verhältnis wirkungsvoll zu schützen…“
Dieser Feststellung ist aus Patient*innensicht unumschränkt zuzustimmen.