Tausende Praxen müssen wohl teure Geräte einkaufen, um weiterhin Daten mit den Krankenversicherungen tauschen zu können. Die zuständige Gematik bezeichnet es als „wirtschaftlichste Lösung“, der Chaos Computer Club als Unsinn. Im Gesundheitsministerium hat man offenbar selbst keine Ahnung, was stimmt.
Eigentlich ist die Frage ganz einfach: Müssen nun Tausende Praxen in Deutschland für geschätzt Millionen von Euro neue Hardware anschaffen – oder nicht?
Doch wer nach einer Antwort sucht, landet schnell in einem Sumpf aus komplizierten technischen Spezifikationen und politischem Gerangel. Da gibt es zum einen die Gematik, eine wichtige Akteurin im deutschen Gesundheitssystem. Sie ist zuständig für den Betrieb der Telematikinfrastruktur (TI). Patient:innen bemerken die TI vor allem durch die grauen Lesegeräte, in die sie ihr Krankenkassen-Kärtchen stecken. Der Zugang zur TI geschieht dann aber über eine Box, den Konnektor. Über ihn schicken Ärzt:innen und Zahnärzt:innen Daten an die Krankenkassen.
Die Gematik beschloss Anfang des Jahres: Alle Konnektoren sollen ausgetauscht werden. Die Boxen seien zwar erst fünf Jahre alt, der Austausch aber unvermeidlich. Sicherheitszertifikate in den Geräten würden demnächst ablaufen. Genau das halten Hacker:innen des Chaos Computer Clubs (CCC) für Unsinn. Sie haben vor einigen Wochen nachgewiesen, dass sich die Geräte auch mit einem Software-Update aktualisieren ließen, dazu müsste man sie nicht einmal aufschrauben. Das Update haben sie den Herstellern der Geräte kostenlos zur Verfügung gestellt.
Es gibt noch eine wichtige Akteurin in dem Streit, die CompuGroup Medical (CGM). Von ihr stammen die meisten der Geräte, die derzeit in deutschen Praxen stehen. In einer Antwort auf unsere Presseanfrage erklärt die CGM sinngemäß, dass sie der Gematik Alternativen aufgezeigt habe. Die Entscheidung für den kostspieligen Tausch der Geräte habe dann die Gematik getroffen, dazu später mehr. Die Gematik selbst hat auf unsere Presseanfrage bis Redaktionsschluss nicht geantwortet.
Und das Bundesgesundheitsministerium? Eigentlich müsste das Haus von Karl Lauterbach gut informiert sein. Schließlich trägt es als Mehrheitseigner der halbstaatlichen Gematik eine ziemlich große Mitverantwortung für diese Entscheidung. Finanziert wird der Austausch der Geräte von den Krankenkassen, also aus Beiträgen der Versicherten. Die geschätzten Kosten gehen in die Millionen.
Doch im Ministerium weiß man offensichtlich nichts darüber, welche Kosten ein Tausch verursachen würde, und nur wenig dazu, warum er notwendig sein soll. Das geht aus Antworten auf eine Anfrage der Linken-Bundestagsabgeordneten Anke Domscheit-Berg hervor.
Argumente der Gematik ungeprüft übernommen
So sollte das Ministerium beantworten, welche Kosten sich aus dem von der Gematik favorisierten Austausch ergeben würden – und welche Kosten durch das Softwareupdate, wie es der CCC vorgeschlagen hat. Antwort: Dazu lägen keine Erkenntnisse vor.
Das ist erstaunlich, denn immerhin übernimmt das Ministerium das Argument der Gematik. Diese hatte bis zuletzt daran festgehalten, ein Tausch der Geräte sei die „sicherste und wirtschaftlichste Lösung“. Ohne einen eigenen Einblick habe das Ministerium aber offensichtlich gar nicht prüfen können, welche Variante wirtschaftlicher sei, sagt Domscheit-Berg. „Das Argument ist folglich nur ein Mythos.“
Die Gematik wollte den Austausch der Geräte ursprünglich selbst verhindern und hat den Herstellern der Konnektoren schon 2021 per Spezifikation aufgetragen, ein Softwareupdate zu entwickeln. Auf einer Gesellschafterversammlung im Februar kam es dann aber zur Kehrtwende: Die Gesellschafter der Gematik hätten entschieden, dass der Tausch doch die „sicherste und wirtschaftlichste“ Lösung sei, teilte die Gematik mit, zumindest für alle jene Geräte der ersten Generation, deren Zertifikate bis 2023 auslaufen. Die Anweisungen zum Softwareupdate wurden wieder zurückgenommen. Unter den Gesellschaftern sind Krankenversicherer, Apotheken- und Ärzteverbände sowie – als größter Anteilseigner mit 51 Prozent – das Gesundheitsministerium.
Entscheidung hinter verschlossenen Türen
Kritiker:innen fragen sich seither, welche Gründe zu der Entscheidung geführt haben. Auch Anke Domscheit-Berg würde das gerne wissen. Sie fordert, die Protokolle der betreffenden Gesellschafterversammlungen zu veröffentlichen. Die Redaktion von Heise Online hat bereits versucht, die Protokolle über das Informationsfreiheitsgesetz zu bekommen. Die Gematik verweigerte die Herausgabe mit einer bemerkenswerten Begründung: Mit der Veröffentlichung drohten „Reputationsrisiken“ und „die Gefahr des Akzeptanzverlustes der Produkte“. Was auch immer auf dieser Versammlung besprochen wurde: Die Gematik fürchtet offenbar, es könnte das Vertrauen der Ärzt:innen so tief erschüttert, dass sie noch offener gegen die Gematik rebellieren als bisher.
Für Praxen ist die Anbindung an das Gesundheitsnetzwerk seit 2019 Pflicht. Dafür müssen sie die Konnektoren und weitere zertifizierte Geräte bestellen und anschließen lassen. Wer nicht mitmacht, bekommt Honorare gekürzt, seit 2020 um 2,5 Prozent. Außerdem gibt es Sanktionen, wenn eine Praxis bestimmte Anwendungen wie die elektronische Patientenakte nicht anbieten kann, auch das geht nur über die TI. Zugleich beschweren sich viele Mediziner:innen, die Geräte und die TI seien unzuverlässig und hätten für die Praxen kaum einen Mehrwert. 2020 fiel das Netzwerk für vier Wochen einfach mal aus, laut Gematik hatte „ein Konfigurationsfehler“ in der TI die Konnektoren aller drei Hersteller damals lahmgelegt.
18.000 veraltete Geräte, 1 Hersteller
Dass die Zertifikate in den ältesten Konnektoren in diesem Jahr auslaufen würden, war seit fünf Jahren klar. Die Zertifikate laufen aus Sicherheitsgründen regelmäßig ab. Warum ließ sich der Tausch, die damit verursachten Kosten und die Berge von Elektroschrott, die nun entstehen, trotz dieser langen Vorlaufzeit nicht verhindern? Und wer trägt dafür die Verantwortung?
In diesen Fragen helfen auch die Antworten aus dem Gesundheitsministerium nicht weiter. Immerhin bestätigt das Ministerium aber, was andere Medien bereits berichtet hatten, die Gematik bisher aber nur indirekt sagen wollte: Das Problem betrifft nur die Geräte eines Herstellers, der CompuGroup Medical (CGM). Zwingend ausgetauscht werden müssten in diesem Jahr die 18.000 Geräte von CGM, schreibt das Ministerium. Wie viele Geräte im kommenden Jahr betroffen sind, wenn weitere Zertifikate ablaufen, bleibt offen. Eine Anfrage ließ das Ministerium unbeantwortet.
Domscheit-Berg sagt, auch bei den Geräten der CGM sei eine Verlängerung der Zertifikate möglich gewesen. Ihnen fehlte jedoch als einzige eine Hardware-Komponente, was einen Austausch im Jahr 2024 oder 2025 erfordert hätte.
„Warum sich die Gematik im Februar 2022 dafür entschied, die fertige Spezifikation für einen Zertifikatstausch wieder vom Tisch zu nehmen, bleibt ihr Geheimnis, denn ihre Prozesse sind intransparent.“ Es werfe kein gutes Licht auf das Unternehmen, dass die CGM in den letzten Monaten laut Medienberichten nicht auf Presseanfragen reagierte und sich kaum zum Fall geäußert habe. Die CGM widerspricht und verweist auf ein Interview mit dem Tagesspiegel Background, das hinter einer Paywall liegt.
Sowohl Hacker:innen des CCC als auch die Gematik selbst sprechen in Bezug auf die Konnektoren der CGM von „veralteter Technik“. Die verbauten Gerätekarten seien demnach so alt, dass sie nicht mehr in der Lage sind, die Daten so sicher zu verschlüsseln wie das nach aktuellen Standards gefordert werde. Die Gematik verweist dabei an das Bundesamt für Sicherheit in der Informationstechnik (BSI), das ab 2025 einen höheren Verschlüsselungsstandard empfiehlt. Doch selbst das BSI teilt inzwischen mit, dass es keine Probleme dabei sehe, einen Großteil der Konnektoren über das Jahr 2025 hinaus zu verwenden.
Die CGM schiebt die Verantwortung auf Nachfrage an die Gematik: Diese lege die Spezifikationen fest, die CGM sei verpflichtet, sich daran zu halten. Man hätte also gar keine Möglichkeit gehabt, nicht-konforme Technik in Eigeninitiative einzubauen. Die Technik sei zu dem Zeitpunkt der Auslieferung vor fünf Jahren aktuell gewesen, aber die Hardware der neuen Verschlüsselungsgeneration schlicht noch nicht verfügbar. Sobald sie verfügbar war, habe man sie selbstverständlich auch verbaut. Aus diesem Grund seien jetzt auch lediglich die zuerst ausgelieferten Konnektoren der CGM betroffen, nicht alle.
Die Botschaft ist klar: CGM hat nur das verkauft, was die Gematik auch abgesegnet habe. Die Frage bleibt: Warum durfte die CGM vor fünf Jahren Geräte für viel Geld an Ärzt:innen verkaufen, von denen damals schon klar war, dass sie jetzt unbrauchbar würden? Die Zulassungen dafür erteilte die Gematik.
Ab 2025 will die Gematik die gesamte Infrastruktur für das Netzwerk umstellen. Dann bräuchten Praxen gar keine physischen Geräte mehr, um sich zu verbinden, sondern könnten das über verschlüsselte Verbindungen im Internet tun, die so genannte TI 2.0. Die Konnektoren würden damit überflüssig. Doch Kritiker:innen zweifeln, dass der Termin zu halten ist. Auf die Frage, ob das Gesundheitsministerium davon ausgeht, dass die TI 2.0 bis 2025 tatsächlich fertig wird, antwortet das Ministerium lakonisch: „Die Gesellschaft für Telematik plant, die Grundelemente der TI 2.0 ab dem Jahr 2025 bereitzustellen.“
Mehr als 40 Millionen Euro in diesem Jahr
Ursprünglich sprach die Gematik noch davon, alle rund 130.000 Konnektoren müssten ausgetauscht werden. Nachdem der CCC nachweisen konnte, dass die Gerätezertifikate per Softwareupdate verlängert werden können, ruderte man zurück: Jetzt ist nur noch die Rede davon, die Geräte der ersten Generation zu tauschen, deren Zertifikate bis Mitte 2023 auslaufen. Sprich: Die ältesten Geräte der CGM. Für die restlichen sei auch ein Update denkbar.
18.000 Geräte. Für die Kostenrechnung heißt das: Es geht jetzt nicht mehr um fast 300 Millionen Euro für einen Tausch aller Boxen, sondern um rund 41 Millionen, die im Jahr 2022 anfallen. Wie viele weitere Boxen und damit Kosten kommendes Jahr noch dazu kommen, geht aus der Antwort nicht hervor. 2.300 Euro kostet ein neuer Konnektor derzeit. Die Hersteller haben ihre Preise an genau die Summe angepasst, die den Praxen von den Krankenkassen erstattet wird.
Die Gematik war auch Thema im Bundestages am Donnerstag, da tagte der Digitalausschuss. Doch weder der dort anwesende Vertreter der Gematik noch das Gesundheitsministerium konnten auf die Frage antworten, wie viele weitere Konnektoren nächstes Jahr getauscht werden müssten, sagt Domscheit-Berg.
Der Markt hat es nicht geregelt
Warum die Gematik und ihre Gesellschafter ursprünglich alle Konnektoren austauschen wollten? Die Antwort könnte mit der Finanzierungsstruktur der TI zusammenhängen. Bisher ist die Idee: Firmen konkurrieren am freien Markt mit ihren Produkten. Aktuell haben drei Hersteller eine Zulassung und dürfen Konnektoren verkaufen. Zwei davon hätten es geschafft, rechtzeitig ein Software-Update für ihre Kund:innen zu liefern, berichtet Heise Online, die CGM nicht.
Die Gematik bringt das in die Klemme. Hätte sie von vornherein eingestanden, dass ein Hersteller das Problem verursacht, hätte sie die anderen Hersteller düpiert. Ausgerechnet das Unternehmen, das kein Update geliefert hat, wäre dann finanziell mit einem lukrativen Gerätetausch belohnt worden, die Konkurrenten würden leer ausgehen.
Wie die Gematik mit diesem Problem umgeht, ob und wie sie die anderen beiden Hersteller finanziell entschädigt, denen nun ein aus Krankenkassenbeiträgen finanziertes Millionengeschäft entgeht, ist unklar. Klar ist nur, dass das Modell in der jetzigen Form offenbar schief aufgestellt ist.
„Kein Unternehmen könnte sich so eine Unprofessionalität leisten“
Das erkennt auch das Gesundheitsministerium und stellt in seiner Antwort klar, dass das derzeitige Finanzierungsmodell für die Herstellung und den Betrieb der Geräte gescheitert ist. „Marktmechanismen und in der Folge Marktpreise konnten sich so nicht hinreichend entfalten.“ Das ist eine nüchterne Umschreibung für das Drama, das man in den letzten Monaten beobachten konnte. Warum schließlich sollte ein Unternehmen ohne finanzielle Vorteile ein Software-Update entwickeln, wenn es das Update auch lassen kann und stattdessen für Millionen von Euro neue Hardware verkauft?
Dass die Gematik in so einem Fall keinerlei Sanktionsmöglichkeiten hat, ist laut Domscheit-Berg Teil des Problems. „Diese Art Schlechtleistung muss künftig strukturell verhindert werden.“ Dazu müsse aber nicht nur das Finanzierungsmodell geändert werden, sondern auch die Art, wie die Gematik geführt wird, wie sie Verträge schließt und wie das Gesundheitsministerium seine Verantwortung als Mehrheitseigner wahrnimmt.
Wie bereits der CCC sieht auch Anke Domscheit-Berg hier vor allem den Versuch der Gematik, das eigene Missmanagement bei einem IT-Großprojekt zu verschleiern. „Kein Unternehmen könnte sich einen so hohen Grad an Unprofessionalität leisten“, sagt sie, es würde sonst pleite gehen. „Die Gematik hat schlecht geplant, schlecht gemanaged und war bereit, Kassenbeiträge von mehreren Hundert Millionen Euro aus dem Fenster zu werfen. Das ist inakzeptabel und muss auch so benannt werden.“ Als Mehrheitseigner trage das Ministerium dabei selbst eine Verantwortung.
Gematik hält sich bedeckt, CGM gibt Einblick
Was auf der besagten Gesellschafterversammlung im Februar passiert ist, dazu hält sich die Gematik nach wie vor bedeckt. Auf eine detaillierte Fragenliste aus dem Oktober hatte sie nur mit einem Verweis auf ihr Pressestatement geantwortet.
Ausgerechnet die CGM gibt jetzt aber einen kleinen Einblick hinter die Kulissen. Die Presseabteilung schreibt: „Die CGM wurde seinerzeit zur Frage einer möglichen Zertifikatsverlängerung von den Gesellschaftern der gematik konsultiert. Dabei hat das Unternehmen erstens die Aussage getroffen, dass man eine Zertifikatsverlängerung selbstverständlich anbieten würde, wenn dies so gewünscht sei.“ Gleichzeitig habe man darauf aufmerksam gemacht, dass eine der derzeit in den Geräten verbauten Komponenten nur bis Ende 2025 verwendet werden dürfe. Ab diesem Zeitpunkt wäre ein höherer Standard für die Verschlüsselung der Daten notwendig. „Im Ergebnis und um doppelte Kosten zu vermeiden haben sich die Gesellschafter der gematik entschieden, die Konnektoren bereits jetzt zu tauschen.“
Auch ein Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV) hatte in einem Interview von Mai etwas gesagt, das in diese Richtung geht. Darin bezeichnet er den Tausch noch als „alternativlos“. Er machte aber auch deutlich, dass die KBV dieses Übel nur befürworte, weil es ohne den Tausch keine Garantie der Hersteller für eine Ausfallsicherheit der Konnektoren gegeben hätte. Bei einem Ausfall der Konnektoren wären die Praxen weitgehend lahmgelegt gewesen – ein Risiko, dass die KBV offenbar nicht tragen wollte.
Nach den Enthüllungen des CCC hatte die KBV sich darum bemüht, dass die Entscheidung der Gematik nochmal aufgerollt wird, alle Alternativen zum Gerätetausch sollten zumindest nochmal geprüft werden. Eine Mehrheit gab es dafür nicht.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires