Berlin – Der BVOU-Gesamtvorstand hat sich auf seiner Januartagung am 26.01.2019 mit der Einführung der Telematik-Infrastruktur (TI) ausführlich befasst. Er kam nach kontroverser Diskussion und Bewertung der vorliegenden Informationen zu Risiken und Haftung damals mehrheitlich zur Ansicht, dass der Anschluss an die Telematik-Infrastruktur den BVOU-Mitgliedern zum damaligen Zeitpunkt nicht empfohlen werden sollte. Es wurde empfohlen, eher die gesetzlich vorgesehene Honorarkürzung bei nicht-fristgerechtem Anschluss in Kauf zu nehmen, als die mit dem Anschluss an die TI verbundenen und zum Jahresanfang 2019 noch nicht abschließend geklärten Risiken einzugehen.
Bereits in seinem damaligen Statement wies der Gesamtvorstand darauf hin, dass sich um eine rein subjektive Einschätzung handelt, für die keinerlei Haftung übernommen werden kann. Nach Änderung der Informations- und Rechtlage könne sich diese Meinung jederzeit ändern und jedes Mitglied sollte deshalb für sich selbst abwägen, welchen Weg es gehen möchte. Dieser Fall ist nun eingetreten, weshalb sich der Geschäftsführende Vorstand des BVOU zu einer Korrektur dieser Einschätzung und den daraus abgeleiteten Empfehlungen für seine Mitglieder entschlossen hat.
Haftungsausschluss bei ordnungsgemäßer TI-Anbindung
Ende Juni 2019 hat die Gematik auf Drängen der KBV festgestellt, dass Praxisinhaber nicht für Datenpannen einer korrekt an die Telematikinfrastruktur angeschlossenen Praxis-IT haftbar gemacht werden können. Weiterhin wurde von der Gematik nochmals bekräftigt, dass die TI kein Sicherheitsrisiko darstellt, wenn die zugelassenen Konnektoren vorschriftsgemäß aufgestellt und betrieben werden.
Ferner liegt nunmehr eine erste sozialgerichtliche Entscheidung vor, die zum einen Verstoß der Telematikinfrastruktur gegen Datenschutzrecht ablehnt sowie die Art und Höhe der Kostenerstattung bei der Anschlusspflicht als rechtmäßig sowie die Kostenbeteiligung der Vertragsärzte hieran als zumutbar und verfassungsgemäß einstuft (vgl. SG München, Beschluss v. 22.03.2019 – S 38 KA 52/19 ER).
Sichere Anschlussvarianten an die TI
Gematik und KBV haben Merkblätter veröffentlicht, die die empfohlenen Anschlussvarianten an die TI erklären und darstellen, wie die TI zur Erhöhung der Sicherheit der Praxis-IT führt.
Reihenbetrieb
Nach diesen Informationen ist die Installationsvariante „Reihenbetrieb“ als sicherste Installation einzuschätzen, da die gesamte Praxis durch den Konnektor und die ausschließliche Anbindung an die TI optimal geschützt wird. Über den Konnektor ist zusätzlich die Anbindung an das KV Safenet und weitere sichere Internetdienste möglich.
Diese Installation bietet ein Plus an Sicherheit im Vergleich zur Internetanbindung einer Praxis über einen normalen Router wie z.B. die FritzBox mit oder ohne zusätzlicher Firewall.
Einschränkend muss festgestellt werden, dass jede Praxis überprüfen sollte, ob mit dieser Installation alle zuvor genutzten Installationen (Fernwartung, Remote-Zugriffe u.ä.) weiter im gleichen Umfang nutzbar sind. Hier sollte ggf. der Praxis-EDV-Dienstleister nachbessern, um höchste Sicherheitsstandards zu gewährleisten.
Parallelbetrieb
Auch im sogenannten „Parallelbetrieb“ ist die Praxis-EDV abgesichert, wenn sich die Praxis (wie bislang auch) selbst um Sicherheitsmaßnahmen wie Firewall und Virenschutz kümmert.
Werden diese Sicherheitsmaßnahmen durch die Praxis als Netzwerkbetreiber nicht ergriffen, ist die Praxis-EDV ebenso wie bereits vor dem Anschluss an die TI gefährdet und ggf. Hackerangriffen ausgesetzt. Die Praxis verstößt damit gegen die DSGVO, weil sie die erforderlichen Technisch-Organisatorischen Maßnahmen (TOM) zum Schutz von Patientendaten nicht ausreichend ergriffen hat. Dies hat jedoch nichts mit dem Anschluss an die TI zu tun und liegt wie vor der TI-Anbindung im Verantwortungsbereich der Praxis selbst.
Netztrennung für gleichzeitige, sichere Nutzung des Internets
PCs oder Netzwerkteile, die an das Internet über einen normalen Router etc. angeschlossen sind, sollten physisch vollständig von der Praxis-EDV und der TI getrennt werden. Damit ist der Zugriff auf Patientendaten auch für den Fall eines erfolgreichen Hackerangriffs ausgeschlossen. Dieses Szenario kann beispielsweise durch die Installation eines zusätzlichen WLAN erreicht werden, das über einen separaten Router ans Internet angebunden ist. Über einen solchen Kanal sollten auch Digitalisierungsprojekte wie Videosprechstunde und Online-Terminvergabe in der Praxis installiert werden.
Stand-Alone- oder Kioskbetrieb der TI
Bei dieser Anschlussvariante ist die TI vollständig von der bereits existierenden Praxis-EDV getrennt. Mit dieser Variante kann lediglich die Online-Prüfung der Versichertenstammdaten erfolgen.
Dadurch ändert sich das Sicherheitsniveau der bisherigen Praxis-Installation nicht, schneidet die Praxis aber von allen zukünftigen Anwendungen der TI ab, wie z.B. elektronische AU, eRezept, eArztbrief und elektronische Patientenakten.
Deshalb ist diese Installationsvariante lediglich als kurzfristige Übergangsvariante zu empfehlen, beispielsweise bis die gesamte Praxis-EDV mit den erforderlichen Sicherheitsmaßnahmen für einen Parallelbetrieb ausgerüstet ist.
Digitalisierung kommt und basiert auf der TI
Der Referentenentwurf des „Digitale Versorgung Gesetz“ sieht eine Reihe von Digitalisierungsprojekten vor, die per Gesetz bis Ende 2021 eingeführt werden sollen. Zentral ist beispielsweise die Anbindung an eine von der Gematik und der KBV zu definierende zentrale elektronische Patientenakte sowie das Recht des Patienten, diese Akte in jeder Praxis befüllt zu bekommen.
Dafür ist eine gesonderte Vergütung ebenso vorgesehen wie weitere Sanktionen bei Nichtanbindung an die TI. Weitere digitale Anwendungen im Gesundheitssystem wie die elektronische AU, das eRezept und der eArztbrief, eine vom „normalen“ Internet abgekoppelte elektronische Post zwischen Ärzten, werden ausschließlich auf der Telematikinfrastruktur aufsetzen.
Die KBV schafft gerade die Grundlagen für eine sichere digitale E-Mail-Kommunikation zwischen Ärzten und Praxen, die auf der TI basiert und in die Praxis-EDV-Systeme integriert werden soll. So kann in Kombination mit den oben beschriebenen sicheren Anschlussvarienten an die TI sichergestellt werden, dass das Haupteinfallstor für Hackerangriffe auf Praxen und Kliniken verschlossen wird: E-Mails mit infizierten Anhängen, über die z.B. die sogenannten Kryptotrojaner in Praxisnetzwerke eingeschleust werden. Diese verschlüsseln dann die gesamten Praxis- und Patientendaten, was Grundlage für Erpressungen durch Cyberkriminelle und erhebliche Schäden ist.
Zusammenfassung:
Empfehlung zum Anschluss an die TI
Eine der Grundbefürchtungen des Gesamtvorstandes, dass Praxen für Datenschutzpannen der Telematikinfrastruktur haftbar sind, wurde vor wenigen Tagen von der Gematik und der KBV ausgeräumt. Gleichzeitig bietet die TI bei korrektem Anschluss und Betrieb ein deutliches Mehr an Sicherheit als viele aktuelle Installationsvarianten von Praxis-EDV-Systemen mit Anbindung ans Internet.
Des Weiteren drückt der Gesetzgeber aufs Tempo bei der Digitalisierung des Gesundheitssystems und schafft mit der TI, dem TSVG sowie dem im Referentenentwurf vorliegenden „Digitale Versorgung Gesetz“ den rechtlichen Rahmen für die Einführung klar definierter digitaler Anwendungsszenarien im deutschen Gesundheitssystem.
Diesen Anforderungen müssen sich die Vertragsärzte und auch die Mitglieder des BVOU stellen. Wer sich dem Anschluss an die Telematikinfrastruktur weiter verweigert, wird spätestens ab dem Jahr 2022 von vielen Entwicklungen und Kommunikationspfaden abgehängt und hat mit weiteren Sanktionen zu rechnen, als die aktuell angedrohten Honorarkürzungen.
Der geschäftsführende Vorstand des BVOU empfiehlt in Anbetracht dieser aktuellen Entwicklungen den BVOU-Mitgliedern nunmehr den Anschluss an die Telematikinfrastruktur. Die Einschätzung des BVOU-Gesamtvorstandes wird damit revidiert.
Sollten in der eigenen Praxis-IT-Infrastruktur umfangreichere Sicherheitsmaßnahmen nachzurüsten sein, kann vorübergehend die Installation der Kiosk- bzw. Stand-Alone-Variante der TI erwogen werden, um die gesetzten Fristen zur Anbindung an die TI einzuhalten. Mittelfristig sollte jedoch eine der empfohlenen Installationsvarianten eingeführt werden, um an allen zukünftigen digitalen Diensten teilnehmen zu können, die über die TI eingeführt werden sollen.
Geschäftsführender Vorstand des BVOU, 08.07.2019
Weiterführende Informationen
- Informationen von KBV und gematik zur Haftung bei Datenmängeln der TI:
https://www.kbv.de/html/1150_41119.php - Informationsblatt der Gematik zu Betriebsarten des Konnektors:
https://fachportal.gematik.de/fileadmin/user_upload/fachportal/files/Service/Anschluss_medizinischer_Einrichtungen_an_die_Tele-matikinfrastruktur__DVO_/Informationsblatt_Betriebsarten-Konnektor_V1.0.0.pdf - Praxisinformationen der KBV zu TI-Installationsvarianten:
https://www.kbv.de/media/sp/PraxisInfo_TI_Installationsvarianten.pdf - Zentrale Informatinsseite der KBV zur Telematikinfrastruktur: https://www.kbv.de/html/telematikinfrastruktur.php