Ganz Deutschland ist an die Telematikinfrastruktur angeschlossen? Nein! Ein Teil der Leistungserbringer hört nicht auf, Widerstand zu leisten.
Die Digitalisierung des Gesundheitswesens schreitet stetig voran. Am 30. Juni 2019 ist die Frist der Arztpraxen zum Anschluss an die Telematikinfrastruktur (kurz: TI) abgelaufen. Hat eine Praxis sich nicht fristgerecht an die TI anschließen lassen, droht ihr per Gesetz seit März 2020 ein pauschaler Abzug der Vergütung der vertragsärztlichen Leistungen von 2,5 % (statt bisher 1 %). Der Gesetzgeber erhöht durch den am 1. April 2020 vom Kabinett beschlossenen Entwurf des Patientendaten-Schutz-Gesetz (PDSG) erneut den Druck auf die Ärzteschaft, die TI zur maßgeblichen Infrastruktur für das deutsche Gesundheitswesen zu machen.
Telematikinfrastruktur im Gesundheitswesen soll sicheren Informationsaustausch ermöglichen
Der Begriff „Telematik“ setzt sich zusammen aus „Telekommunikation“ und „Informatik“ und umschreibt die Vernetzung verschiedener IT-Systeme und die Verknüpfung von Informationen aus verschiedenen Quellen. Ziel ist die sukzessive Vernetzung aller Akteure des Gesundheitswesens in einem geschlossenen Netz, um unter den registrierten Nutzern (Praxen, Krankenhäuser etc.) einen sektor- und systemübergreifendenden, sicheren Informationsaustausch zu ermöglichen. Die TI übernimmt dabei die Funktion einer Austauschplattform, über die eine Vielzahl an Diensten erbracht werden soll.
Bereits 2015 wurde im Rahmen des E-Health-Gesetzes (BGBl. I 2015, S. 2408) der Fahrplan für den Aufbau der in § 291a SGB V verankerten TI festgelegt. Durch das Digitale-Versorgung-Gesetz (DVG, BT-Drs. 19/13438) vom 7. November 2019 soll der Ausbau der TI weiter vorangetrieben werden. Danach müssen sich nun auch Apotheken (bis zum 30. September 2020) und Krankenhäuser (bis zum 1. Januar 2021) an die TI anschließen. Pflegeeinrichtungen, Hebammen und Physiotherapeuten können sich zunächst freiwillig an die TI anschließen; perspektivisch soll der Anschluss an die TI auch für sie verpflichtend werden.
Das kürzlich beschlossene PDSG sieht mit einem neuen Kapitel im Fünften Buch des Sozialgesetzesbuches eine umfassende Neustrukturierung der gesetzlichen Regelungen zur TI und ihrer Anwendungen vor. Das Gesetz ist im Bundesrat nicht zustimmungspflichtig und soll voraussichtlich im Herbst in Kraft treten.
Ohne Konnektor kein Anschluss an die Telematikinfrastruktur
Die TI besteht aus drei Bausteinen: der dezentralen und der zentralen Infrastruktur sowie der Anwendungsinfrastruktur. Mit der dezentralen Infrastruktur soll den registrierten Nutzern – etwa dem Arzt – der sichere Zugang zum geschlossenen Netz, der zentralen Infrastruktur, ermöglicht werden. Alle Komponenten der dezentralen Infrastruktur müssen von der Gesellschaft für Telematik (gematik) zugelassen sein (§ 325 SGB V-Entwurf). Die zentrale Infrastruktur enthält zentrale Dienste, die die Anwendungen der TI mit grundlegenden, anwendungsunabhängigen Funktionalitäten unterstützen, z.B. sichere Zugangsdienste zum virtuellen privaten Netzwerk (VPN). Dritter Baustein ist die Anwendungsinfrastruktur. Diese besteht aus den Diensten für die o.g. konkreten Anwendungen, die dem Nutzer zur Verfügung stehen. Als Anwendungen der TI sieht das PDSG etwa die elektronische Patientenakte (ePa), die elektronische Erklärung zur Organ- und Gewebespende, einen elektronischen Medikationsplan und elektronische Notfalldaten vor (§ 334 SGB V-Entwurf).
Für den Anschluss an die TI benötigen Praxen einen sog. Konnektor. Der Konnektor zählt zur dezentralen Infrastruktur. Er stellt über eine Internetverbindung ein VPN her, mit dem der Datenverkehr zwischen Praxis und TI abgeschirmt und geschützt werden soll. Der Konnektor erfüllt insoweit die Funktion eines Routers, kann darüber hinaus aber auch Daten der elektronischen Gesundheitskarte von dem an ihn angeschlossenen Kartenlesegerät direkt an das Praxisverwaltungssystem übertragen.
Installation der Telematikinfrastruktur birgt Probleme, zudem wird die Profilbildung von Patienten befürchtet
Bei der Installation des Konnektors und dem Anschluss an die TI ergeben sich in der Praxis Herausforderungen. Die Ärztezeitung berichtete noch im November 2019, dass sich bei einer Vielzahl von Praxen eklatante Sicherheitslücken durch den Anschluss an die TI zeigten. Mehrere Ärzteverbände warnen vor Sicherheitslücken in der TI: Nach ihren Angaben schütze der TI-Konnektor – entgegen den Angaben der gematik und der Kassenärztlichen Bundesvereinigung (KBV) – selbst bei einer ordnungsgemäßen Installation nicht zuverlässig gegen Hacker-Angriffe auf Praxissysteme.Zudem bemängelten Ärzte wiederholt, dass von zertifizierten Technikern bei der Installation des Konnektors die Anti-Viren-Programme und Firewalls – ohne Wissen des Arztes – abgeschaltet und sicherheitsrelevante Funktionen deaktiviert worden seien.
Hinzu kommt die Befürchtung, dass durch die Zusammenführung der Gesundheitsdaten in der ePa eine umfassende Profilbildung der Patienten anhand sensibler Gesundheitsdaten ermöglicht werde. Die umfassende Speicherung und Verarbeitung solcher Daten in zentralen Systemen, auf die über das Internet zugegriffen werden kann, setzt einen größeren Anreiz für Angriffe von außen als die dezentrale Datenspeicherung.
Viele Ärzte schließen ihre Praxen deshalb trotz gesetzlicher Vorgabe nicht an die TI an, aus Sorge, der Konnektor könne die IT-Software der Praxen nicht sicher vor unautorisierten Zugriffen von außen bzw. Viren und Trojanern schützen.
Musterwiderruf und Musterklage
Für den Fall, dass ein Praxisinhaber wegen des Nicht-Anschlusses an die TI einen honorarkürzenden Bescheid seiner Kassenärztlichen Vereinigung (KV) erhält, stellt u.a. der MEDI Verbund Baden-Württemberg einen Musterwiderspruch zur Verfügung. Zudem haben verschiedene Ärzteverbände entsprechende Musterklagen vor Sozialgerichten vorbereitet.
Datenschutzrechtliche Verantwortlichkeit für den Konnektor in der Kritik
Gesundheitsdaten i.S.d. Art. 4 Nr. 15 Datenschutzgrundverordnung (DSGVO) genießen über Art. 9 Abs. 1 DSGVO als besondere Kategorie personenbezogener Daten einen weitgehenden Schutz. Eine Verarbeitung solcher Daten ist grundsätzlich untersagt und nur unter besonderen Voraussetzungen zulässig, die in der DSGVO abschließend aufgezählt sind. Erfüllt eine Praxis die Anforderungen der DSGVO nicht, haben Betroffene (insbesondere Patienten) nach Art. 82 DSGVO einen Schadensersatzanspruch, da die Praxis für die Einhaltung der DSGVO datenschutzrechtlich verantwortlich ist (Art. 4 Nr. 7 DSGVO).
Nach anhaltender Debatte sieht das PDSG nunmehr eine gesetzliche Zuweisung der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung in der TI (§ 307 SGB V-Entwurf) sowie die Schaffung einer koordinierenden Stelle bei der gematik zur Erteilung von Auskünften über die (datenschutzrechtlichen) Zuständigkeiten innerhalb der TI vor. Dabei soll jeder Akteur für den Bereich zuständig sein, in dem er über die konkrete Datenverarbeitung entscheidet, orientiert daran, ob Strukturen für ihn „blickbar“ und „beherrschbar“ sind. Für die Komponenten der dezentralen Infrastruktur wie den Konnektor soll nach PDSG der Leistungserbringer (etwa der Praxisinhaber) verantwortlich sein. Dies stößt zu Recht auch weiterhin auf breite Kritik in der Ärzteschaft. Zwar erstreckt sich die Verantwortlichkeit laut Gesetzesbegründung insoweit zutreffend schwerpunktmäßig auf die Sicherstellung der bestimmungsgemäßen Nutzung der Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen fortlaufenden Software-Updates. Zugleich sollte die Verantwortlichkeit des Leistungserbringers für Komponenten der dezentralen TI – wie dem Konnektor – aber nur so weit reichen, wie diese für ihn in seiner Einflusssphäre tatsächlich beherrschbar sind. Entgegen der Forderungen von Ärzteverbänden im Gesetzgebungsverfahren endet die datenschutzrechtliche Verantwortlichkeit nach PDSG allerdings nicht am Konnektor. Dies ist mit Blick darauf problematisch, dass Verarbeitungsvorgänge, sonstige technischen Abläufe sowie sicherheitskritische Funktionalitäten innerhalb der Komponenten der dezentralen TI weitgehend außerhalb des Einflussbereichs der Ärzte liegen.
Bereits im Vorfeld zum PDSG sah die Konferenz der Datenschutzbeauftragen von Bund und Ländern bei den zum Anschluss an die TI verwendeten Konnektoren zutreffend jedenfalls eine datenschutzrechtliche Mitverantwortung von Arztpraxen und gematik. Dies beruht auf der konsequenten Anwendung der Definition von „Verantwortlichkeit“ in Art. 4 Nr. 7 DSGVO, wonach (abhängig vom Verarbeitungsvorgang) auch eine gemeinsame Verantwortlichkeit in Betracht zu ziehen ist. Abzuwarten bleibt, ob die Regelungen zur Verantwortlichkeit für die dezentrale TI im Laufe des Gesetzgebungsverfahrens entsprechend angepasst werden.
Datenschutz-Folgenabschätzung bei Verwendung der Telematikinfrastruktur
Der Verantwortliche muss bei der Verwendung neuer Technologien vor Beginn der Datenverarbeitung in der Regel eine Datenschutz-Folgenabschätzung vornehmen (Art. 35 Abs. 1 DSGVO), da typischerweise Gesundheitsdaten der Patienten umfangreich verarbeitet werden und dies aufgrund der Art und der Umstände der Verarbeitung voraussichtlich mit einem hohen Risiko verbunden ist. Die Folgeabschätzung der Landesdatenschützer zur TI fällt bislang uneinheitlich aus. Das PDSG sieht eine Erleichterung jedenfalls für kleinere Arztpraxen vor: Laut Gesetzesbegründung zum PDSG sollen Arztpraxen, in denen nicht mehr als 20 Personen beschäftigt sind, weder zur Datenschutz-Folgeabschätzung (Art. 35 DSGVO) noch zur Benennung von Datenschutzbeauftragen (Art. 37 DSGVO) zwingend verpflichtet sein. Eine entsprechende Klarstellung bereits im Gesetzeswortlaut sieht das PDSG indes nicht vor.
Im Zweifel dürfte die Ergänzung der Gesetzesbegründung jedoch nur vordergründig zu einer Erhöhung der Rechtssicherheit für Leistungserbringer führen, da die Auslegung des europarechtlichen Begriffs der umfangreichen Verarbeitung von Gesundheitsdaten letztendlich dem Europäischen Gerichtshof obliegt.
Auch bei Auftragsverarbeitung kann der Praxisinhaber haften
Beauftragt ein Praxisinhaber Dritte mit IT-Dienstleistungen, z.B. der technischen Absicherung seines Netzwerks, wird er in der Regel einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO abschließen müssen. Denn auch hiermit geht in aller Regel eine Verarbeitung der (Patienten-)Daten (etwa durch Abfrage, Auslesen und Offenbaren) einher, die einer Rechtsgrundlage bedarf. Dies gilt jedenfalls dann, wenn die Kenntnisnahme von personenbezogenen Daten mit Hilfe technisch-organisatorischer Maßnahmen nicht verhindert werden kann. Indem sich die (Patienten-)Daten typischerweise auch im Machtbereich des Auftragsverarbeiters befinden, muss der Vertrag insbesondere sicherstellen, dass auch der Auftragsverarbeiter alle erforderlichen und angemessenen Schutzmaßnahmen vor unbefugten Angriffen von außen ergreift (Art. 32 DSGVO). Verletzt der Auftragsverarbeiter datenschutzrechtliche Pflichten, kann hierfür – trotz Abschluss eines entsprechenden Datenverarbeitungsvertrags – auch der Praxisinhaber haften. Denn der (weisungsbefugte) Praxisinhaber ist grundsätzlich als Auftraggeber verantwortlich für die Auftragsverarbeitung. Etwas anderes gilt nur für den Fall, dass der Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet.
Digitalisierungspläne im Gesundheitswesen sind auf Akzeptanz bei den Leistungserbringern angewiesen
Der Kabinettsentwurf zum PDSG geht in die richtige Richtung. Die gesetzlich verankerte einheitliche Terminologie und die umfängliche Normierung der TI im SGB V dienen der Transparenz und können damit zur Akzeptanz der TI beitragen. Es ist zu begrüßen, dass der Entwurf nach anhaltender Kritik nunmehr auch eine gesetzliche Regelung der Verantwortlichkeiten für die TI vorsieht; auch wenn sich über die sachgemäße Differenzierung der Verantwortlichkeit für Komponenten der dezentralen Infrastruktur wie dem Konnektor auch weiterhin streiten lässt. Insofern bietet das Gesetzgebungsverfahren zum PDSG die Chance, die anhaltenden Kritik der Leistungserbringer an der Sicherheit und an der Verantwortlichkeit für die dezentralen Komponenten der TI aufzugreifen und aufzuklären.
Denn eines dürfte auf der Hand liegen: Für einen langfristigen Erfolg der ambitionierten Digitalisierungspläne für das Gesundheitswesen ist Bundesgesundheitsminister Jens Spahn auch auf die Akzeptanz und tatsächliche Umsetzung seiner Maßnahmen durch die Leistungserbringer – sei es nun in Arztpraxen, Apotheken oder Krankenhäusern – angewiesen.
Aktuelle Informationen zu COVID-19 finden Sie in unserem Corona Center auf unserer Website. Wenn Sie Fragen zum Umgang mit der aktuellen Lage und zu den Auswirkungen für Ihr Unternehmen haben, sprechen Sie unser CMS Response Team jederzeit gerne an.
