Auch in Arztpraxen müssen Datenschutz und IT-Sicherheit gewährleistet sein. Darüber eskalierte jetzt ein Streit zwischen den kassenärztlichen Vereinigungen und dem Bundesgesundheitsministerium.
Mit dem Anschluss an die Telematikinfrastruktur kommen ungewohnte Herausforderungen auf niedergelassene Ärzte und Psychotherapeuten zu. Die größte davon scheint derzeit die Formulierung einer allgemeinen Richtlinie zur Datensicherheit in Praxen zu sein. Darüber entbrannte nun ein handfester Streit. Seine Hauptakteure: die Kassenärztliche Bundesvereinigung (KBV), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kassenzahnärztliche Bundesvereinigung (KZBV). Natürlich ist auch Jens Spahn mit von der Partie – tatsächlich warten die Streithähne im Moment aber auf eine Regung aus dem Bundesgesundheitsministerium (BMG).
Was ist geschehen? Rekonstruiert man den Ablauf der Diskussion um eine verbindliche und verständliche Richtlinie in der Praxis-IT, fällt auf, dass sie schon einige Monate schwelt. Am Anfang stand das Digitale-Versorgung-Gesetz (DVG) von Dezember 2019. Darin erteilte der Gesetzgeber der KBV und KZBV den Auftrag, eine für alle Praxen geltende IT-Sicherheitsrichtlinie zu formulieren. Diese Richtlinie sollte in Absprache mit dem BSI erstellt und jährlich auf ihre Aktualität überprüft werden und sich am Stand der Technik in den ca. 170.000 betroffenen Praxen orientieren.
Jetzt wird es zahlenlastig: Die Richtlinie sollte bis zum 30. Juni 2020 fertiggestellt sein und ab 1. Oktober 2020 gelten. Praxen hätten dann ein Jahr Zeit gehabt, die festgelegten Anforderungen umzusetzen. Doch die KBV entschied in einer Vertreterversammlung im Juni, keinen entsprechenden Beschluss zu fassen – einstimmig.
Es folgte ein offener Brief an Spahn, in dem die KBV auf die veränderte Situation der Niedergelassenen hinwies: „[U]nsere Vertragsärzte sind derzeit in die Bekämpfung der Covid-19- Pandemie personell und zeitlich sehr stark eingebunden; sie engagieren sich mit Unterstützung der KVen über ihre vertragsärztlichen Pflichten hinaus. Die parallele Umsetzung der TI-Vorgaben ohne Berücksichtigung der aktuellen angespannten Lage in der ambulanten medizinischen Versorgung wird durch unsere Mitglieder nicht akzeptiert werden.“
Eine Rückmeldung seitens des BMG blieb offenbar aus. Rein formell muss die KBV Gesetzesvorgaben zwar umsetzen, blieb aber weiter auf Konfrontationskurs. In einer späteren Vertreterversammlung im September lautete die Entscheidung also erneut: Keine IT-Sicherheitsrichtlinie.
Als wichtigsten Grund für diese Haltung nannte Andreas Gassen, Vorstandsvorsitzender der KBV, schon im Juli die fehlende Finanzierung. Denn: „[E]s gab eine klare Aufforderung an den Vorstand, diese Sicherheitsrichtlinien muss mit Geld hinterlegt werden, weil ansonsten die Vertreterversammlung nicht verabschiedet wird.“ Eine Reaktion des BMG sei vor diesem Hintergrund unausweichlich: „Ob das nun direkt eine Ersatzvornahme ist oder ob es dann erst mal intensive Beratungsgespräche gibt, wird man sehen, aber das ist tatsächlich eine Entscheidung, die in der Souveränität der Vertreterversammlung liegt.“ Zur Wahrheit gehört allerdings auch, dass die KBV noch zum Jahreswechsel 2019/2020 auf entsprechende Nachfragen betont hatte, dass IT-Sicherheits-Maßnahmen in den Praxen ihrer Auffassung nach durch die GKV-Honorare abgegolten seien. Diese Meinung wurde irgendwann im Sommer geändert.
Ein weiteres Problem scheint die Komplexität der Anforderungen des BSI zu sein. Laut KZBV sei die Richtlinie im Sommer schon so gut wie fertig gewesen und sollte beschlossen werden. Die Zahnärzte hätten sich dafür ausgesprochen, die neuen Regeln basierend auf bestehenden Maßnahmen des Datenschutzes zu erstellen. Aber KBV und BSI hätten „dieses Vorhaben abgelehnt und eine Richtlinie basierend auf dem BSI-Grundschutz gefordert“, wird Karl-Georg Pochhammer, stellvertretender Vorsitzender der KZBV, zitiert. Die so entstandene Sicherheitsrichtlinie bezeichnete er, sowohl in Bezug auf den reinen Umfang als auch die technische Fachsprache, als „Zumutung“. Dass die KBV das Regelwerk dann komplett ablehnte und auch die weitere Zusammenarbeit einstellte, sei ohne Rücksprache mit der KZBV passiert.
Während KBV und BMG sich erneut zur Sicherheitsrichtlinie absprechen wollten, erstellte die KZBV ihre eigene Variante, das sogenannte Kochbuch. Darin seien verständliche Anweisungen zur Umsetzung von Datenschutz und IT-Sicherheit gesammelt. Unterdessen überraschte die KBV mit einer Kehrtwende, als sie in einem gemeinsamen Gespräch mit allen Beteiligten ankündigte, eine reduzierte Version der ursprünglichen IT-Sicherheitsrichtlinie anzubieten. Die soll es allerdings in sich haben.
Und zwar im negativen Sinne. „Es macht mich sprachlos. Das muss von einem betrunkenen IT-Azubi im ersten Lehrjahr geschrieben worden sein“, wird ein IT-Experte im Handelsblatt zitiert. Auch der Chaos Computer Club reagierte entgeistert: „Teilweise bleibt unklar, was mit einzelnen Anforderungen beabsichtigt ist und wie diese umzusetzen sind“, sagte Martin Tschirsich gegenüber der Online-Ausgabe der Tageszeitung. Das BSI habe sich noch nicht zur abgespeckten Variante der IT-Sicherheitsrichtlinie geäußert. Heute, am Freitag, soll sie beschlossen werden – oder eben auch nicht.
Bildquelle: Giorgio Trovato, Unsplash