Suchen Schließen Pfeil

Telematikinfrastruktur (TI)

Aktuell erreichen die Kammer zahlreiche Fragen zur Telematikinfrastruktur (TI): Was bedeutet Telematikinfrastruktur? Warum muss ich mich anschließen? Was passiert, wenn ich es nicht tue? Ist die TI sicher?
Als Telematik werden die Vernetzung verschiedener IT-Systeme und die Möglichkeit bezeichnet, Informationen aus unterschiedlichen Quellen miteinander zu verknüpfen. Die TI soll alle Beteiligten im Gesundheitswesen wie ÄrztInnen, PsychotherapeutInnen, Krankenhäuser, Apotheken und Krankenkassen zukünftig miteinander vernetzen. Wir informieren Sie hier über die Hintergründe und den aktuellen Sachstand.

Das Wichtigste in Kürze:

Die TI basiert auf gesetzlicher Grundlage (§§ 291, 291a und 291b SGB V) und ist bis zum 30.06.2019 in Praxen mit KV-Zulassung verpflichtend umzusetzen. Die Bestellung der notwendigen Hard- und Softwarekomponenten muss bis zum 31.03.2019 erfolgen, um finanzielle Konsequenzen (Honorarkürzung) zu vermeiden.

Heute sind die geschützten Versichertenstammdaten noch als unverschlüsselte Kopie auf der elektronischen Gesundheitskarte gespeichert, weswegen diese mit den Bestandsgeräten ausgelesen werden können. Diese Kopie soll nach aktueller Kenntnis der LPK RLP im Laufe des Jahres 2020 über ein Versichertenstammdatenabgleich gelöscht werden, so dass ein Zugriff auf die elektronische Gesundheitskarte nur noch über die TI-verschlüsselte Kopie möglich sein soll.

Laut der Gematik werden, damit die sichere Kommunikation und der Schutz von sensiblen Informationen in der Telematikinfrastruktur langfristig gewährleistet sind, die verwendeten kryptographischen Verfahren durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig überprüft und an die neuesten Entwicklungen angepasst. Der verwendete Sicherheitsstandard ist nicht vergleichbar mit demjenigen, der aktuell von Anbietern von Gesundheits-Apps geboten werden kann.

Nach aktuellem Kenntnisstand der LPK RLP besteht bezüglich der TI keine Gesetzeslücke. Ausführliches dazu in den FAQs.

FAQs zur TI:

Welches Ziel hat die TI?

Die TI soll die Digitalisierung im Gesundheitswesen anstoßen und ermöglichen. Die TI stellt eine leere Verbindungsmöglichkeit im Internet dar, vergleichbar mit dem Telefonnetz. Ob und welche Medien und Anwendungen genutzt werden, um sich mit AkteurInnen des Gesundheitswesens auszutauschen wird Schritt für Schritt entschieden und umgesetzt. Der Unterschied zu den bisherigen Kommunikationsmöglichkeiten (Brief, Fax, Telefonat, E-Mail-Verkehr, Messenger-Dienste…) ist die Anbindung an eine digitale und verschlüsselte Kommunikationsmöglichkeit.
Ein wesentliches Ziel ist es, dass medizinische Informationen, die für die Behandlung der PatientInnen benötigt werden, schneller und einfacher verfügbar sind und damit die Behandlung effektiver wird. Zu diesem Zweck sollen sämtliche AkteurInnen der TI ausschließlich online über die TI kommunizieren.

Ist die Kommunikation über die TI sicher?

Eine absolute Sicherheit der Kommunikation ist nicht zu erreichen. Dies betrifft auch die aktuellen Kommunikationswege (Telefon, Fax, Post...). Fax-Irrläufer sind beispielsweise der häufigste Grund für die Meldung von Datenschutzvorfällen im Gesundheitsbereich. Trotz dieser bekannten Risiken werden diese Kommunikationsmittel genutzt.
Seitens der Gematik soll dafür Sorge getragen werden, dass der jeweils höchst mögliche verfügbare Sicherheitsstandard angelegt wird, um den Austausch von sensiblen Daten im Datennetz möglichst risikolos gewährleisten zu können. Daher werden und wurden auf Basis gesetzlicher Grundlage die Konzept- und Fertigungsschritte durch das Bundesamt für Informationssicherheit (BSI), den TÜV und die Gematik überwacht.
Zudem soll die Vorgabe einer zwei- oder dreifachen (je nach Anwendung) Zugangsberechtigung für die Nutzung der Kommunikationsstruktur weitere Sicherheit schaffen. Genutzt werden dafür der elektronische Praxisausweis (SMC-B), der elektronische Heilberufsausweis (eHBA) und die elektronische Gesundheitskarte (eGK) der PatientInnen. Der angeschlossene Konnektor soll weiterhin für eine Hardwareverschlüsselung sorgen und wird auf einem sicheren Versandweg per Kurier an die jeweilige Praxis verschickt.

Wie verhält sich die TI zu den bekannten Datenlecks?

Das Internet stellt eine Vernetzung von Milliarden von Rechnern und Nutzern dar und birgt viele Risiken, daher bestimmen die Art und Weise der Nutzung des Internets den Sicherheitsgrad.
In jüngster Zeit wurden Datendiebstähle bekannt gemacht und Datenlecks in digitalen Anwendungen von Krankenkassen und Dritten aufgespürt.
Als Gründe für unberechtigte Zugriffsmöglichkeiten wurden angegeben: Leichtfertige Erstellung oder Herausgabe von Passwörtern und Zugängen oder menschliches Versagen.
Um derartige Sicherheitsrisiken zu minimieren, ist die TI mit einer Zugangskontrolle an Anfang und Ende versehen, so dass ein unberechtigter Zugriff erheblich erschwert wird.

Wie funktioniert die TI?

Jede Praxis wird mit einem Konnektor ausgestattet, der hardwareverschlüsselt über das Internet eine geschützte Verbindung bereitstellt. Diese Verbindung wird Virtual Private Network (VPN) genannt und hat die Funktion eines Tunnels.
Der Austausch der alten Kartenlesegeräte führt zu einer Anwendung der PIN-betriebenen Nutzung über den elektronischen Praxisausweis, den elektronischen Heilberufsausweis und die elektronischen Gesundheitskarte. Ob und welche Daten in Zukunft über diese Verbindung fließen werden, wird bestimmt durch die unterschiedlichen Anwendungen, die von den Akteuren des Gesundheitswesens (KBV, Krankenhäusern, Krankenkassen...) bereitgestellt werden.
Die Entscheidung, welche Daten fließen, wird von der Art der Anwendung abhängen und jeweils neu durch die AkteurInnen bestimmt.

Wer steckt hinter der TI? Was ist die Gematik?

Die Umsetzung der TI erfolgt gesetzlich vorgegebenen im SGB V durch die Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH). Diese wurde 2005 von den sogenannten Spitzenorganisationen des Gesundheitswesens gegründet. Hinter ihr stehen der Spitzenverband der Gesetzlichen Krankenversicherungen (GKV-SV), die Kassenärztliche Bundesvereinigung (KBV), die Bundesärztekammer (BÄK), die Bundeszahnärztekammer (BZÄK), der Deutsche Apothekerverband (DAV), die Deutsche Krankenhausgesellschaft (DKG) und die Kassenzahnärztliche Bundesvereinigung (KZBV). Die BPtK ist in diesem Gremium trotz zahlreicher Versuche nicht vertreten. Sie engagiert sich dennoch auf allen zur Verfügung stehenden Plattformen für die Umsetzung der Patientenrechte und dem Datenschutz im Hinblick auf die TI.

Die Gematik hat die Spezifikationen und Sicherheitsvoraussetzungen für die TI erstellt und erneuert diese ständig. Dadurch soll ein verbindlicher, erkennbarer und ausfüllbarer Rahmen für die Digitalisierung der Gesundheitsbranche in Deutschland gesetzt werden. Damit soll eine weitere Ausbreitung der vielen großen und kleinen, nationalen und internationalen Anwendungen bzw. Apps auf dem Gesundheitssektor, die unkontrolliert große Mengen von Gesundheitsdaten sammeln, verhindert werden.

Ist die TI datenschutzrechtlich unbedenklich?

Nach den Vorgaben der Gematik ist die TI datenschutzrechtlich unbedenklich. Eine Aufhebung der Privatsphäre, des Datenschutzes und die Verschwiegenheitsverpflichtung erfolgen nicht.
Es sollen nicht grund- und schutzlos sämtliche Daten eines/einer PatientIn gespeichert und verarbeitet werden. Vielmehr ist vorgesehen, dass die unterschiedlichen Anwendungen einzelne und unterschiedliche Daten speichern und verarbeiten und diese mit den AkteurInnen ausgetauscht werden können, immer unter Wahrung der Datenschutzregelungen und der PatientInnenrechte.
Insofern sollen ohne Zustimmung der PatientInnen weder Daten aus dem Praxisverwaltungsprogramm übertragen noch sensible Daten oder ganze Behandlungsverläufe abgerufen oder online gestellt werden.

Die DSGVO fordert eine Rechtmäßigkeit der Datenverarbeitung, die dann erfüllt ist, wenn die Verarbeitung auf Basis einer der Regelungen des Art. 6 der DS-GVO erfolgt. Die Rechtmäßigkeit der Verarbeitung von Daten über die TI ist durch die im SGB V getroffenen Regelungen und die durch die Gematik getroffenen Vorgaben auf gesetzlicher Grundlage gegeben.

Nähere Informationen dazu:

Müssen PatientInnen über die TI gesondert aufgeklärt werden?

Die TI gehört zur Standard-Infrastruktur von Praxen wie Telefon, Fax oder Internet. Allgemein müssen PatientInnen darüber informiert werden, was mit ihren Daten in welchen Anwendungen passiert. Die allgemeine Information muss in der Regel zum Zeitpunkt der Datenerhebung erfolgen, also beim Erstkontakt.

Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten. Auch die Kontaktdaten der Praxis und gegebenenfalls des Datenschutzbeauftragten sind aufzuführen. Um alle PatientInnen zu erreichen, empfiehlt sich ein Aushang in der Praxis. Auch ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.

Die KBV und die LPK RLP stellen ein Muster für eine Patienteninformation bereit:
Muster für Praxen: Patienteninformation zum Datenschutz (Stand: 23.03.2018, DOCX, 39 KB)

Welche konkreten Anwendungen laufen über die TI?

Im Rahmen der TI gibt es Pflichtanwendungen und freiwillige Anwendungen.

Die folgenden Pflichtanwendungen sind für alle Mitglieder der gesetzlichen Krankenkassen verbindlich:

  • Der Online-Abgleich der Versichertenstammdaten auf der elektronischen Gesundheitskarte (VSDM)
  • Das elektronische Empfangen und Einlösen einer Verordnung (eVerordnung) mit der Karte.

Ob PatientInnen das Angebot der freiwilligen Anwendungen nutzen wollen, entscheiden sie ganz allein. Nur mit Zustimmung der PatientInnen können beispielsweise Notfalldaten auf der elektronischen Gesundheitskarte hinterlegt oder eine versichertenbezogene Arzneimitteldokumentation angelegt werden. Die Hoheit über die Daten liegt somit allein bei den PatientInnen.

Zu den freiwilligen Anwendungen gehören:

  • Notfalldaten-Management
  • elektronischer Medikationsplan und Datenmanagement zur Prüfung der Arzneimitteltherapiesicherheit
  • Anwendung der Versicherten
  • Elektronische Patientenakte

Was ist der Versichtertenstammdatenabgleich (VSDM)?

Der VSDM vergleicht über den Konnektor die gespeicherten Patientenstammdaten auf der elektronischen Gesundheitskarte (eGK) mit den Online-Daten der Krankenkassen. Dies sind Name, Geburtsdatum, Anschrift, Geschlecht sowie Angaben zur Krankenversicherung, wie die Krankenversichertennummer und der Versichertenstatus (Mitglied, Familienversicherter oder Rentner).
Falls nötig, werden die Daten direkt auf dem Chip der eGK aktualisiert. Während des Abgleichs und der Aktualisierung der Daten wird auch die Gültigkeit der eGK überprüft und dem Praxisverwaltungssystem (PVS) über definierte Schnittstellen mitgeteilt. So kann das PVS bereits beim Einlesen der eGK feststellen, ob der Versicherte einen Leistungsanspruch hat und entsprechend reagieren, ggf. Meldungen ausgeben und die interne Patientendatenhaltung aktualisieren.

Was ist das Notfalldaten-Management?

Auf freiwilliger Basis können Versicherte bald notfallrelevante Informationen auf ihrer elektronischen Gesundheitskarte (eGK) speichern lassen. Dieser Datensatz wird von der Bundesärztekammer spezifiziert und erhält wichtige Befunde. Ärztinnen und Ärzte können dann in einer Notsituation auf diese Daten zugreifen und erhalten so schnell einen Überblick zu Vorerkrankungen und mögliche medizinische Zusammenhängen. Ein Notfalldatensatz enthält Angaben zu chronischen Erkrankungen, regelmäßig eingenommenen Medikamenten oder Allergien. Das kann im Notfall hilfreich sein.
Nur Ärztinnen und Ärzte dürfen die Notfalldaten im Ernstfall – mit ihrem eHBA - auch ohne Patienteneinwilligung auslesen, beispielsweise wenn die/der Betroffene bewusstlos ist. Über den Notfalldatensatz hinaus können auch Informationen über den Aufbewahrungsort der persönlichen Erklärungen angelegt werden.
Persönliche Erklärungen sind:

  • ein Organspendeausweis
  • eine Patientenverfügung oder
  • eine Vorsorgevollmacht.

In bestimmten Notfall- oder Behandlungssituationen können ÄrztInnen durch diese Informationen erfahren, dass es eine solche Erklärung gibt und wo sie zu finden ist (z. B. im Portemonnaie).

Was ist die so genannte "elektronische Akte"?

Die größten Diskussionen löst die elektronische Akte aus, die im Augenblick in drei verschiedenen Versionen diskutiert wird.

Der Gesetzgeber hat nunmehr im SGB V erwähnte Modelle zusammengefasst und neu geordnet. Folgende Ausprägungen der elektronischen Akte sind aktuell:

  • die elektronische Gesundheitsakte (eGA)
  • die elektronische Fallakte (eFA)
  • die elektronische Patientenakte (ePA)

Was ist die elektronische Gesundheitsakte (eGA)?

Verschiedene Krankenkassen bieten bereits Anwendungen an wie vivy (DAK u.a.), TK-Safe (Techniker Krankenkasse) oder die elektronische Gesundheitsakte der AOK. Diese Anwendungen bieten Speicherplatz auf Servern der Krankenkassen oder von ihnen beauftragten Trusted-Servern. Auch von Smart-Phones kann darauf zugegriffen werden. Die Anwendungen entsprechen digitalen Aktenordnern, die eine Sammlung unterschiedlicher digitaler Dokumente (meist in PDF) beinhalten. Entweder laden die PatientInnen diese Dokumente selbst hoch oder sie geben die Dateien in die Anwendungen ein (z.B. Labordaten).
PatientInnen können von ÄrztInnen und PsychotherapeutInnen nach dem Patientenrechtegesetz verlangen, dass ihnen Kopien von Befunden überlassen werden. Diese können die PatientInnen z.B. in ihre elektronischen Gesundheitsakten einstellen.
Auch ÄrztInnen und PsychotherapeutInnen können Befunde mit zur Verfügung gestellten Links auf die Server hochladen. Diese Anwendungen nutzen das freie Internet und sind ggf. nicht sicher.

Was ist die elektronische Fallakte?

Der Gesetzgeber hat für die elektronische Fallakte eine Regelung im TSVG getroffen. Hierin wird die KBV ermächtigt, ein einheitliches Gerüst, eine Art digitale Matrix zu definieren, anhand der analog erhobenen Befunde in digitale Datenstrukturen überführt werden können.
Damit sollen inhaltliche und sicherheitstechnische Aspekte in der Hand der Selbstverwaltung der AkteurInnen bleiben und nicht an Externe wie Hard- und Softwarefirmen oder Social-Media-Firmen abwandern.
Die elektronische Fallakte wird von ÄrztInnen und PsychotherapeutInnen geführt und in die einheitliche Struktur der Praxisprogramme integriert. Die elektronische Fallakte wird die BehandlerInnen zwingen, die vorgesehenen Felder im Sinne einer vollständigen Dokumentation auszufüllen. Je nach Fachgebiet werden dies mehr oder weniger Kriterien sein. Darüber hinaus können weiterhin analoge, beschreibende Aufzeichnungen angefertigt werden.
Die elektronische Fallakte verbleibt zunächst in der Praxis der BehandlerInnen. Sie wird dann eine Rolle erhalten, wenn der elektronische Arztbrief umgesetzt wird, also die Befundübermittlung durch die Telematik an MitbehandlerInnen oder ÜberweiserInnen aktuell wird– natürlich nur mit Zustimmung der PatientInnen. Die elektronische Fallakte bekommt eine zusätzliche wichtige Bedeutung in der vom Gesetzgeber im TSVG vorgeschriebenen weiteren freiwilligen Anwendung: Der elektronischen Patientenakte.

Was ist die elektronische Patientenakte?

Ab 2021 haben die Krankenkassen ihren PatientInnen eine elektronische Patientenakte (ePA) als freiwillige Anwendung zur Verfügung zu stellen. Diese ePA hat ebenfalls die von der KBV zu definierende digitale Struktur zu übernehmen und spiegelt in der Struktur die elektronische Fallakte der ÄrztInnen und PsychotherapeutInnen.
Möchte ein(e) PatientIn z.B. in die Behandlungsakten Einsicht nehmen, kann die/der behandelnde Ärztin/Arzt in seiner ePA eine Übermittlung relevanter Daten über die Telematik-Infrastruktur in die ePA der/des Patientin/Patienten auslösen. Diese ePA soll auf Trusted-Servern der Kassen gespeichert und vermutlich auch über Smartphones zugänglich gemacht werden. Hier sind in Zukunft verschlüsselte Zugänge mit einer bis dahin entwickelten elektronischen Gesundheitskarte (eGK) mit NFC-Technologie geplant.

Als freiwillige Anwendung gilt auch hier: übertragen wird aus den Programmen der Praxen nur das, was die/der PatientIn freigibt.

Muss ich eine zusätzliche Versicherung zum Betrieb der TI abschließen?

Die TI ist wie auch alle anderen elektronischen Komponenten der Praxis nicht von einer Hausratversicherung abgedeckt. Eine denkbare Ergänzung für Praxen könnte eine Elektronik-Versicherung sein. Diese kann grundsätzlich mit einer Cyber Risk Versicherung erweitert werden. Konkrete Empfehlungen können wir hierzu nicht geben.

Gibt es eine Gesetzeslücke in den TI-Regelungen?

Aktuell wird auf eine angebliche Lücke im Gesetz hingewiesen, mit Hilfe derer man sich gegen die 1 % Honorarkürzung der KV wehren könne. Eine derartige Gesetzeslücke ist nach aktuellem Kenntnisstand für die LPK RLP nicht erkennbar.
Hintergrund ist § 191 Abs 2b Satz 2 SGB V der „die Krankenkassen … verpflichtet, Dienste anzubieten, mit denen die Leistungserbringer die Gültigkeit und die Aktualität der Daten nach Absatz 1 und 2 bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können. Diese Dienste müssen auch ohne Netzanbindung an die Praxisverwaltungssysteme der Leistungserbringer online genutzt werden können."
Bei diesem sogenannten „Stand-Alone"-Szenario prüfen die Kartenlesegeräte die eGK ohne direkt mit dem PVS verbunden zu sein.
Die Krankenkassen haben diesen Dienst des „Stand-Alone“-Szenarios nach Informationen der LPK RLP eingerichtet und in der Testphase in den ARGEN erfolgreich durchgeführt. Die Gematik hat diese Struktur beschrieben und dargestellt. Sie finden diese Informationen der Gematik hier.

Was ist das so genannte "Stand-Alone-Szenario"?

Beim „Stand-Alone-Szenario" mit physischer Trennung erfolgt die Online-Prüfung der Versichertenstammdaten an einem separaten Kartenterminal und Konnektor mit Netzzugang, die in keiner Weise mit dem Praxis-IT-System verbunden sind. Für dieses Szenario werden ein zweites Kartenterminal und ein zweiter Konnektor benötigt, um die Versichertendaten der elektronischen Gesundheitskarte auch mit dem Praxisverwaltungssystem einlesen zu können. Außerdem erfordert der Einsatz eines zweiten Konnektors eine weitere SMC-B (Praxisausweis).
Finanziert wird aktuell der online Konnektor mit einem Kartenterminal sowie der erste Praxisausweis SMBC. Die weiteren erforderlichen Komponenten (zweiter offline-Konnektor und zweite SMBC sowie zweites Kartenterminal für offline-Betrieb) für die offline Anbindung an das PVS muss die Praxis vollständig eigenständig finanzieren.

Welche rechtlichen Konsequenzen drohen bei Nicht-Anschluss an die TI?

Aktuell droht eine Honorarkürzung von 1% für Praxen, die bis zum 30.06.2019 nicht an die TI angeschlossen sind. Weitere, höhere Bußgelder und andere Sanktionen sind in der Zukunft vermutlich nicht ausgeschlossen.
Wer erst nach dem 31.03.19 bestellt, erhält eine Honorarkürzung für das vorangehende Quartal der Nichtbestellung. Diese wird nicht zurückgezahlt.
Auch bei Bestellung nach dem 31.03.2019 erhalten PraxisinhaberInnen nach Kenntnis der LPK RLP die zum Zeitpunkt der erstmaligen Nutzung gültige Erstattungspauschale für die technische Erstausstattung der TI – solange bis die Vertragspartner (Kassen und KBV) dies neu vereinbaren.

Welche weiteren Konsequenzen drohen für nicht angeschlossene Praxen?

Bisher sind die geschützten Versichertenstammdaten der PatientInnen auf den Gesundheitskarten doppelt gespeichert: zum einen als TI-gesicherte Kopie und zusätzlich als unverschlüsselte Kopie. Daher können diese noch mit den Bestandsgeräten ausgelesen werden. Die unverschlüsselte Kopie soll, abhängig vom bundesweiten Ausstattungsgrad der TI, im Jahr 2020, über einen Versichertenstammdatenabgleich gelöscht werden, so dass nur noch die TI-gesicherte Kopie mit den entsprechenden Komponenten ausgelesen werden kann.
Der Zugriff auf die dann verschlüsselten geschützten Versichertenstammdaten ist daher vermutlich nur noch mit neuen Kartenlesegeräten möglich. Die LPK RLP geht davon aus, dass spätestens dann Daten gesetzlich Versicherter in Praxen ohne TI-Anschluss nicht mehr in die Abrechnungsprogramme eingelesen werden können.

Wo finde ich weitere Informationen zur TI?

Die wichtigsten Informationen zur TI hat die Kassenärztliche Bundesvereinigung (KBV) für Sie in einer Infobroschüre zusammengefasst. Sie finden diese Broschüre hier.

Außerdem werden Sie auf der Internetseite der Kassenärztlichen Vereinigung Rheinland-Pfalz über die aktuellen Entwicklungen zum Thema Telematikinfrastruktur auf dem Laufenden gehalten. Diese Informationen finden Sie hier.