Medi und Freie Ärzteschaft kritisieren Digitalpolitik

/terovesalainen, stockadobecom

Berlin – Mehrere Ärzteverbände haben deutliche Kritik an der Digitalpolitik von Bun­desgesundheitsminister Jens Spahn (CDU) sowie an der Sicherheitsstruktur der Tele­matikinfrastruktur (TI) geäußert. Bei einer Pressekonferenz machten Medi, die Freie Ärzteschaft (FÄ) sowie der Freie Verband Deutscher Zahnärzte ihre Einschätzungen deutlich, dass Patientendaten künftig zu einfach für interessierte Hacker auffindbar seien.

Die Verbände hatten mehrereIT-Experten beauftragt, die Technologie, die derzeit in Arztpraxen eingebaut wird, auf Sicherheitsaspekte hin zu prüfen. „Bei der Prüfung der Schutzprofile fanden die Experten verschiedene ungeklärte Fragen zur Sicherheit des TI-Konnektors“, erklärte Vorstandsvorsitzender von MEDI Baden-Württemberg und Medi Geno Deutschland, Werner Baumgärtner, heute vor Journalisten in Berlin.

Er kritisierte – wie bereits auf dem 121. Deutschen Ärztetag in Münster – dass es durch den Konnektor Angriffe auf die IT der Praxis geben könnte. „Insbesondere schützt der Konnektor selbst bei ordnungsgemäßer Installation nicht zuverlässig ge­gen die Angriffe in die Praxissysteme, obwohl das vonveiten der Kassenärztlichen Bundesvereinigung (KBV) gegenüber den Ärzten behauptet wird“, sagte Baumgärtner.

Als Reaktion auf die Kritik erklärte KBV-Vorstandsmitglied Thomas Kriedel in einer Mitteilung: „Wir haben die Hinweise von Ärzten zu möglichen Sicherheitslücken durch den Anschluss an die Tele­ma­tik­infra­struk­tur sehr ernst genommen.“ Man habe daher auch die gematik – Gesellschaft für Telematikanwendungen der Gesundheitskarte ge­drängt, zu relevanten Fragen Stellung zu nehmen. In der Stellungnahme der gematik werde dargestellt, dass der Konnektor „kein Sicher­heitsrisiko für die Arztpraxis dar­stellt.“

Eine Frage der Haftung

Ein weiterer Kritikpunkt von Baumgärtner sind ungeklärte Haftungsfragen, wenn es zu Datenschutzpannen kommt. Die Praxen würden unter Strafe in eine TI gezwungen, de­­ren Sicherheit nicht ausreichend geprüft und entscheidende Fragen der Sicherheit zudem nicht beantwortet seien. So fehlten auch weiterhin die Datenschutzfolgeab­schätzungen, die nach der EU-Da­tenschutzverordung notwendig seien, bevor ein An­schluss an die TI erfolgen könne.

„Diese Frage haben wir Landesdatenschützern und dem Bundesdatenschützer ge­stellt. Ein Landesdatenschützer hat bisher in unserem Sinne geantwortet, die Frage wurde aber an den Bundestatenschützer weitergeleitet“, berichtet Baumgärtner. Von dort gebe es noch keine Antwort. Da auch ein sogenannter PEN-Test zur Sicherheits­abfrage durch Ärztevertreter durchgeführt werden dürfe, habe sich Baumgärtner sowie andere MEDI-Mitglieder den Anschluss an die TI verweigert. Er werde auch die Strafe des Honorarabzuges in Kaufnehmen und dagegen klagen, so Baumgärtner.

Für die KBV wiederum sei die Frage der Haftung bei Schäden durch Sicherheitslücken in der TI geklärt. „Ärzte haften nicht, sofern der Konnektor ordnungsgemäß aufgestellt und betrieben wird“, erklärte Kriedel. „Diese Auffassung haben wir immer vertreten, jetzt wurde sie von der gematik bestätigt. Damit haben die Ärztinnen und Ärzte und Psychotherapeutinnen und Psychotherapeuten endlich mehr Klarheit.“

Die gematik schreibt in ihrer Stellungnahme, dass der Konnektor kein Sicherheits­risi­ko darstelle. „Weder sind formale Fehler im Zulassungsprozess festzustellen, noch wur­den Angriffspfade bei der Erstellung der Sicherheitsvorgaben ‚vergessen‘ oder gar zu­sätzliche Angriffswege in die Arztpraxis gebracht“, hieß es.

Experten sehen kritische Punkte

Experten, die Medi und FÄ eingeladen hatten, kritisierten aber auch andere Details in den Sicherheitsanforderungen. So sei es einem der Experten gelungen, bei einem ordnungsgemäß-installierten Konnektor Schadsoftware in die Praxisumgebung einzu­schleusen. Die integrierte Firewall des Konnektors habe die Kommunikation nicht kon­trolliert und alle Ports für ausgehenden Datentransfer seien geöffnet gewesen. „Der Test lässt auf unzureichenden Schutz schließen“, sagte IT-Experte Jens Ernst.

Durchgeführt habe er den Test mit dem Testvirus EICAR, der Standardmäßig bei Virenschutztests verwendet werde. Die Verbände forderten sachgemäße Installatio­nen in den Praxen – auch hier seinen den drei Verbänden jeweils problematische Fälle bekannt geworden. Die gematik hat inzwischen einen achtseitigen Installations­leitfaden veröffentlicht.

Die stellvertretende FÄ-Vorsitzende Silke Lüder warnte, dass durch die Digitalpolitik und die Vernetzung aller Bereiche „die ärztliche Schweige­pflicht“ ausgehebelt werden könne. „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten.“

Die aus ihrer Sicht „Zwangsvernetzung aller Daten im deutschen Gesundheitswesen“ werde nicht zu einer Verbesserung im System führen. Sie kritisiert vor allem, dass bei der Einführung der elektronischen Patientenakte (ePA) Anfang 2021 keine selektiven Zugriffsrechte vergeben werden können. © bee/aerzteblatt.de