Sicherheitsmängel beim Anschluss an die Telematikinfrastruktur: Freie Ärztschaft erwartet Antworten von der KBV
Beim Anschluss von Arztpraxen und Medizinischen Versorgungszentren an die Telematikinfrastruktur ist es Berichten zufolge in vielen Fällen zu erheblichen Fehlern gekommen, die den Datenschutz und die Schweigepflicht der Ärzte gefährden. Wer trägt dafür die Verantwortung, wer haftet wofür und wie lässt sich Datensicherheit herstellen? Die Freie Ärzteschaft hat in einem offenen Brief die Kassenärztliche Bundesvereinigung um Antworten gebeten.
Der offene Brief im Wortlaut:
Sehr geehrte Vorsitzende der Kassenärztlichen Bundesvereinigung,
sehr geehrte Herren Drs. Gassen, Hofmeister und Kriedel,
beim Anschluss von Arztpraxen und Medizinischen Versorgungszentren (MVZ) an die Telematikinfrastruktur (TI) ist es Berichten zufolge in vielen Fällen zu erheblichen Fehlern gekommen, die den Datenschutz und die informationelle Selbstbestimmung der Patienten und die Schweigepflicht der Ärzte gefährden.
Solche Fehler infolge des Anschlusses der Praxisverwaltungssysteme an die TI sind insbesondere a) ungeeigneter Parallelbetrieb des Konnektors im Netzwerk, trotz in aller Regel auch von der Gematik empfohlenen Reihenbetriebs, b) fehlende Verschlüsselung innerhalb des Praxisnetzwerks und c) die Abschaltung von Firewalls und Virenschutzprogrammen der Praxisnetzwerke, was vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit als „grob fahrlässig“ eingestuft wird.
Wir weisen darauf hin, dass diesbezüglich Datensicherheitsprobleme für Praxen und MVZ, die ihr Netzwerk bzw. Praxisverwaltungssystem vor dem Anschluss an die TI nicht ans Internet angeschlossen hatten, ausschließlich durch Installation des Konnektors zwecks Anschluss an die TI entstehen. Nach Aussagen aus Kreisen des Bundesgesundheitsministeriums und der Gematik sind die Ärzte für die Datensicherheit „bis zum Konnektor“ verantwortlich, wobei es ungeachtet der Richtigkeit dieser Auffassung bei den genannten Problemen genau darum geht: um das vor dem Konnektor liegende Praxisverwaltungssystem, für das demzufolge der Arzt als Betreiber in jedem Fall verantwortlich ist.
Hierzu möchten wir Sie im Interesse unserer Mitglieder zeitnah um Beantwortung einiger Fragen bitten. Die Zeit drängt, da Datenschutzverletzungen unserer Mitglieder und aller betroffenen Ärzte selbstverständlich mit höchster Priorität zu vermeiden sind. Diese würden erhebliche Haftungsrisiken nach der Berufsordnung, dem Straftatbestand des § 203 StGB und der Datenschutzgrundverordnung bedeuten. Noch gravierender wären die Verletzung des informationellen Selbstbestimmungsrechtes der Patienten sowie der damit einhergehende Vertrauensverlust in die Ärztinnen und Ärzte.
- Seit wann ist Ihnen bekannt, dass es in vielen Fällen bei der TI-Installation in den Praxen/MVZ zu solchen und weiteren groben Fehlern gekommen ist, die ein weniger als „sehr hohes“ Sicherheitsniveau zur Folge haben?
- Haben Sie Kenntnis darüber, seit wann dies der Gematik bekannt ist? Welche Initiativen haben Sie als Mitglied der Gesellschafterversammlung der Gematik ergriffen, um bekannt gewordene Datenschutzrisiken zu unterbinden?
- Wurden die Vertragsärzte von den Kassenärztlichen Vereinigungen darüber informiert, dass durch den Anschluss an die TI gravierende Sicherheitsprobleme für ihr Netzwerk und die Patientendaten entstehen können, und dass ihr Dienstleister vor Ort (DVO) gemäß der Gematik den Auftrag hat, das Praxisverwaltungssystem bzw. Netzwerk so zu gestalten, dass nach der TI-Installation das notwendige „sehr hohe“ Sicherheitsniveau besteht?
- In wessen auch wirtschaftlicher Verantwortung liegt es aus Ihrer Sicht, bei derartigen Datensicherheitsproblemen Abhilfe zu schaffen, um das Schutzniveau „sehr hoch“ zu erreichen?
- Wer haftet aus Sicht der KBV, falls es durch die genannten Fehler und Probleme zur Verletzung des informationellen Selbstbestimmungsrechts der Patienten kommt? Wer hat in diesem Fall alle betroffenen Patienten zu informieren, wie es die Datenschutzgrundverordnung verlangt?
- Wie hoch schätzen Sie die Dringlichkeit ein, etwaige Datensicherheitsprobleme der Praxen a) feststellen und b) beheben zu lassen? Wer hat aus Ihrer Sicht die Kosten dafür zu tragen?
- Falls ein sehr hohes Sicherheitsniveau nicht erreichbar ist: Muss das Praxisverwaltungssystem dann von der TI deinstalliert werden?
- Sollten oder müssen Vertragsärzte den Konnektor bis zur Klärung der Frage, ob ihr System das Sicherheitsniveau „sehr hoch“ hat, und gegebenenfalls bis zur Beseitigung von Fehlern von Konnektor und TI abschalten?
Vielen Dank für die Beantwortung der Fragen.
Mit freundlichen Grüßen
Der Vorstand der Freien Ärzteschaft e. V.
Wieland Dietrich, Dr. Silke Lüder, Dr. Axel Brunngraber, Dr. Johannes Pietschmann, Dr. Heinz-Jürgen Hübner
V. i. S. d. P: Wieland Dietrich, Freie Ärzteschaft e.V., Vorsitzender, Gervinusstraße 10, 45144 Essen, Tel.: 0201 68586090, E-Mail: mail@freie-aerzteschaft.de, Internet: www.freie-aerzteschaft.de