Ärzte seien nicht die Betreiber der Telematikinfrastruktur (TI) und dürften deshalb nicht bei Haftungsfragen, die aus der Datenschutzgrundverordnung (DSGVO) resultieren, belangt werden. Das hat Dr. Thomas Kriedel, Mitglied des Vorstands der Kassenärztlichen Bundesvereinigung (KBV), auf der KBV-Vertreterversammlung am 27. Mai 2019 in Münster klargestellt.
Kriedel ging auf die aktuelle Diskussion um die Sicherheit der TI ein. Hier müsse man drei Ebenen unterscheiden. Die erste betreffe den Konnektor und den darüber laufenden Anschluss an die TI. „Hier liegt die Verantwortung eindeutig bei der Gematik und den Herstellern der TI-Komponenten. Letztere sind über ihre Dienstleister vor Ort selbstverständlich auch für die korrekte und sichere Installation und Konfiguration zuständig. Hier trägt der Praxisinhaber keine Verantwortung“, betonte Kriedel.
Etwas anderes sei es, wenn die Praxisbedingungen eine Installation nötig machten, die nicht in dem von der Gematik herausgegebenen Leitfaden enthalten ist: „Dann sollten sich die Praxisinhaber vom Installateur ausdrücklich bescheinigen lassen, dass die Installation den gängigen Schutzstandards entspricht.“
Gematik für Datenschutzfolgeabschätzung für TI zuständig
Die zweite Ebene betreffe die Anforderungen aus der Datenschutzgrundverordnung (DSGVO). „Die in der DSGVO vorgesehene Datenschutzfolgeabschätzung muss auch in Bezug auf die zentrale TI und deren Dienste geleistet werden. Hierbei sind wir der klaren Auffassung, dass der Arzt für diese Folgeabschätzung nicht zuständig ist“, sagte Kriedel. „Meine klare Erwartung ist, dass die Gematik selbst die Datenschutzfolgeabschätzung vornehmen oder beauftragen muss. Damit läge auch die Verantwortung für Datenschutzprobleme bei ihr. Es kann jedenfalls nicht die Praxis sein“, führte das KBV-Vorstandsmitglied weiter aus.
Allgemeine IT-Sicherheit ist Aufgabe der Praxis
Die dritte Ebene betreffe die allgemeine IT-Sicherheit in der Praxis und die ordnungsgemäße Verwendung der genutzten IT-Produkte. Dazu gehöre eine geschützter Internetzugang der Praxis, das regelmäßige Update von Software oder ein Passwortmanagement. „Für diese Ebene sind die Ärzte und Psychotherapeuten selbst zuständig – das waren sie auch schon vor der Einführung der Telematikinfrastruktur. Hier gibt es schon lange Empfehlungen der KBV“, erklärte Kriedel. Generell gelte: „Wir dürfen diese Ebenen bei der Diskussion um die TI-Sicherheit nicht vermischen. Sonst geraten wir in Gefahr, Ross und Reiter zu verwechseln.“
Appell an TI-Verweigerer
Zur drohenden Saktionen gegen Ärzte, die bis heute keine Bestellung für die TI ausgelöst haben, stellte Kriedel klar: 70 bis 80 Prozent der Praxen werden bis Ende des Quartals an die TI angeschlossen sein. Diejenigen, bei denen Installationsfristen aus äußeren Umständen nicht eingehalten werden können, dürften auch nicht sanktioniert werden. Anders sei die Lage nur bei denjenigen, die sich der TI grundsätzlich komplett verweigern: „Hier ist die Rechtslage eindeutig und die Kassenärztlichen Vereinigungen werden sanktionieren müssen.“ Kriedel richtete in diesem Zusammenhang einen Appell an die Ärzte: „Über die TI wird künftig ein großer Teil der Prozesse laufen, die abrechnungs- und versorgungsrelevant sind, zum Beispiel das eRezept oder die eletronische Arbeitsunfähigkeitsbescheinigung (eAU). Wer sich bewusst der TI verweigert, verweigert sich einem elementaren Werkzeug der künftigen Versorgung. Das sollte jedem klar sein.“
Ausblick zur ePA
Bezogen auf die elektronische Patientenakte (ePA) stellte Kriedel klar: „Das TSVG weist der KBV die Aufgabe zu, die semantische und syntaktische Interoperabilität der ePA zu organisieren. Mit dieser Standardisierung ist nicht verbunden, dass die KBV die ePA festlegt. Wir sorgen dafür, dass die medizinischen Inhalte für alle IT-Systeme in der Versorgung kompatibel und damit interoperabel sind.“ Das sei auch Grundlage für die direkte Arzt-zu-Arzt-Kommunikation. „Hier entsteht ein echter Mehrwert für den Praxisalltag“, betonte Kriedel.
Beim eRezept und der eAU, die bereits jetzt gesetzlich vorgesehen sind, sei dieses Ziel noch nicht erreicht. Hier seien eine digitale Übermittlung und der Papierausdruck bislang parallel vorgesehen. „Das bedeutete doppelte Arbeit und eben doch weiterhin einen Medienbruch. So eine Art der Digitalisierung ist keine Vereinfachung“, kritisierte Kriedel.