Haftung wegen Datenschutzlücken: BMG hat keinen Korrekturbedarf
Die in der Presse aufgezeigten Probleme seien insbesondere durch die unzureichende Abstimmung des mit der Installation der TI-Komponenten beauftragten Dienstleisters und des lokalen Administrators in den (zahn-)ärztlichen Praxen hervorgerufen worden, erklärte das BMG in seiner Antwort. Die Sicherheit der Konnektoren selbst beziehungsweise der TI sei von den Vorfällen hingegen nicht betroffen gewesen.
Informationen zum Diebstahl von Gesundheitsdaten liegen nicht vor
Das BMG habe keine Informationen, dass sensible Gesundheitsdaten aus (zahn-)ärztlichen und psychotherapeutischen Praxen nach der Installation von Konnektoren gestohlen worden seien.
Verantwortlich im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) seien jedoch grundsätzlich die Praxisinhaber. Sie müssten als Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen ergreifen und würden bei Verstößen gegen die Sorgfaltspflichten für den daraus resultierenden Schaden haften.
Datenschutzrechtliche Haftung: Laut BMG besteht kein Nachbesserungsbedarf
Politischen Handlungsbedarf gebe es bei datenschutzrechtlichen Haftungsfragen derzeit nicht: "Die Bundesregierung sieht keinen Nachbesserungsbedarf hinsichtlich der geltenden Rechtslage".
Um Sicherheitsmängeln künftig entgegenzuwirken, setzt das BMG einerseits auf eine verstärkte Sensibilisierung der Leistungserbringer und der Dienstleister durch die gematik. Eine Informationsbroschüre zur sicheren Installation der Konnektoren und ein Musterinstallationsprotokoll gebe es bereits, weitere Maßnahmen würden derzeit geprüft. Andererseits verweist das Ministerium auf die IT-Sicherheitsrichtlinie, die die Kassenzahnärztliche Bundesvereinigung (KZBV) und die Kassenärztliche Bundesvereinigung (KBV) bis zum 31. März 2020 vorlegen müssen sowie auf die Möglichkeit von KZBV und KBV, IT-Dienstleister zertifizieren zu lassen.
Das BMG geht davon aus, dass in einem ersten Schritt etwa 177.000 Arzt- und Zahnarztpraxen, 2.000 Krankenhäuser und 19.500 Apotheken an die TI angeschlossen werden. Bis Mitte Juni 2019 seien dies etwa 100.000 Arzt- und Zahnarztpraxen gewesen. Alle Arzt- und Zahnarztpraxen, die rechtzeitig bestellt haben, können laut BMG auch bis zum 30. Juni 2019 ausgestattet werden. Für den Anschluss von Praxen seien "vonseiten der Industrie Hardwarekomponenten in ausreichender Anzahl vorhanden".
Die Bundesregierung steht weiter hinter den Sanktionen
Den Umfang der in den Jahren 2019 und 2020 vorzunehmenden Honorarkürzungen und damit die mögliche Höhe der Kürzungen könne die Bundesregierung indes nicht abschätzen. Allerdings sei allen Praxen, die das Versichertenstammdatenmanagement seit dem 1. Januar 2019 nicht durchführen, „die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent so lange zu kürzen, bis sie die Prüfung durchführen". Von der Kürzung habe die KZV nur dann abzusehen, wenn der Kauf der TI-Komponenten bis 1. April vertraglich vereinbart und der KZV nachgewiesen worden ist.
Ab 1. Juli wird das Honorar bei Nichtanbindung an die TI um ein Prozent gekürzt. Im ersten Entwurf zum Digitale Versorgung-Gesetz (DVG) war ab März 2020 soagar eine Honorarkürzung von 2,5 Prozent vorgesehen. Wegen Datenschutzmängeln war der Entwurf allerdings teilweise durchgefallen.
Aus der Antwort der Bundesregierung geht außerdem hervor , dass das Vorgehen zum EU-weiten Austausch der Gesundheitsdaten noch weitestgehend offen ist. Die Installation von TI-Hardwarekomponenten bei den Leistungserbringern im EU-Ausland sei nicht geplant. Derzeit werde diskutiert, wie eine nationale E-Health-Kontaktstelle sicher an die deutsche TI angeschlossen werden kann. In Deutschland soll der grenzüberschreitende Austausch nur mit Zustimmung des Patienten erfolgen können.
"Es ist erschreckend, dass über 40 Prozent aller Praxen bislang nicht an die TI angeschlossen sind!"
zur Antwort der Bundesregierung auf die Kleine Anfrage zu den Sicherheitsmängeln durch Installation der Telematikinfrastruktur für die elektronische Gesundheitskarte (Drucksache 19/10936)
77.000 Arztpraxen drohen Honorarkürzungen von 1 Prozent, weil sie bislang (Stand Mitte Juni) nicht an die TI angeschlossen sind. Fristende zum Anschluss war der 30. Juni, rund 100.000 Praxen sind bislang an die TI angeschlossen worden (Fragen 6 und 7). Die Bundesregierung meint aber, die Zahl der betroffenen Praxen nicht einschätzen zu können (Frage 11).
Für die Verwendung der durch die Honorarkürzungen freiwerdenden Mittel gibt es keine bundeseinheitliche Regelung (Frage 12). Es besteht also die Gefahr, dass das Geld für die Patientenversorgung nicht zur Verfügung steht.
Es gibt bislang keine Konnektor-Lösung für größere Einrichtungen wie etwa Krankenhäuser, diese können also nicht oder nur ungenügend an die TI angeschlossen werden (Frage 10).
Es gab bei der Installation der TI-Komponenten Sicherheitsprobleme, die die bestehenden Praxisnetzwerke betrafen (Fragen 1-5).
Die Bundesregierung kann nicht erklären, wie ein Sicherheitskonzept für die geplante Versicherten-Smartphone-App aussehen soll, das ohne TI-Hardwarekomponenten auskommen müsste (Frage 13).
Dr. Wieland Schinnenburg,Zahnarzt und Rechtsanwalt,Mitglied des Deutschen Bundestags für die FDP
