Das Theater um den Austausch von Hardware in den Arztpraxen läuft schon eine ganze Weile. In Tausenden Praxen und Apotheken müssen diese Konnektoren angeblich ausgetauscht werden – für insgesamt etwa 300 Millionen Euro. Dabei sind die Boxen, die dem Austausch von Daten zwischen Praxen und Krankenkassen dienen, gerade einmal fünf Jahre alt. Der Austausch sei trotzdem alternativlos, sagt die für den Betrieb der so genannten Telematikinfrastuktur des Gesundheitssystems zuständige Gematik. Sicherheitszertifikate in den Geräten würden demnächst ablaufen, das Problem ließe sich anders nicht lösen. Die Zertifikate sind eine Art digitale Unterschrift, mit der die Praxen fälschungssicher ihre Identität bestätigen können.
Am vergangenen Wochenende folgte nun der nächste Akt. Der Chaos Computer Club hat nachgewiesen, dass dieses Argument schlicht nicht trägt. Der Sicherheitsexperte fluepke, bürgerlich Carl Fabian Lüpke, hatte eines der Herstellergeräte auseinandergenommen. Er konnte zeigen: Ein Update der Geräte allein mit Hilfe von Software ist sehr wohl möglich. Dazu müssten die Boxen nicht einmal aufgeschraubt werden, die Hardware könnte bleiben, wo sie ist.
Genau das hatten die Hersteller bis dahin beharrlich bestritten. Sie würden an dem Tausch gut verdienen: 2.300 Euro kostet ein neuer Konnektor derzeit. Die Kosten werden den Praxen von den Krankenkassen erstattet, also aus Beiträgen der Versicherten bezahlt. Dabei sei die verbaute Hardware selbst veraltet, sagt fluepke. „2.300 Euro – für ein einfaches Stück Plastik mit billiger Hardware drin.“ Er vermutet, die Hersteller haben hohe Margen. Vorher kosteten die Konnektoren noch mehr, nachdem die Kassen die Erstattungssumme bei 2.300 Euro festgelegt haben, passten die Hersteller ihren Preis kurzerhand an.
Gematik hält am Tausch fest
Die Gematik hat inzwischen auf die Veröffentlichung des CCC reagiert, bleibt aber bei ihrer Version: Man habe den Gesellschaftern alle verfügbaren Optionen vorgestellt – auch die Laufzeitverlängerung per Software. Auf dieser Basis hätten die Gesellschafter gemeinsam beschlossen, dass der Tausch die beste Alternative sei. Die Gematik ist ein staatliches Unternehmen. Unter den Gesellschaftern sind Krankenversicherer, Apotheken- und Ärzteverbände sowie – als größter Anteilseigner mit 51 Prozent – das Gesundheitsministerium.
Interessant ist dabei, dass die Gematik selbst eingesteht: „Die veröffentlichten Ergebnisse sind grundsätzlich nicht neu.“ Die Möglichkeit der Zertifikatsverlängerung habe man schon selbst den Gesellschaftern vorgeschlagen. Tatsächlich hatte die Gematik schon im Juni 2021 eine so genannte Spezifikation für die Laufzeitverlängerung der Geräte veröffentlicht. Die Spezifikationen sind Vorgaben für die Hersteller der Hardware: Sie halten fest, welche Anforderungen erfüllt sein müssen. Für die Hersteller der Konnektoren sahen die Spezifikationen vor, dass sie die Verlängerung der Zertifikate per Software umsetzen sollen, bevor deren Gültigkeit ausläuft.
Ende Februar kam es trotzdem zu dem Beschluss der Gesellschafterversammlung: Die rund 130.000 im Umlauf befindlichen Konnektoren sollen ausgetauscht werden. Was war in der Zwischenzeit passiert? Die Antwort auf diese Frage steht bisher aus, weder die Gematik noch die Hersteller äußern sich dazu.
Auf eine detaillierte Frageliste hin antwortete die Gematik nur mit dem Verweis auf ihr Pressestatement. Aber irgendwo in diesen Monaten zwischen Juni 2021 und Februar 2022 hat sich das zugetragen, was die Kassen nun mit bis zu 300 Millionen Euro bezahlen sollen.
Ein möglicher Hinweis ist ein Interview, das ein Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV) im Mai gab. Darin bezeichnet er den Tausch noch als „alternativlos“. Er machte aber auch deutlich, dass die KBV dieses Übel nur befürworte, weil es ohne den Tausch keine Garantie der Hersteller für eine Ausfallsicherheit der Konnektoren gegeben hätte. Bei einem Ausfall der Konnektoren wären die Praxen weitgehend lahmgelegt gewesen – ein Risiko, dass die KBV offenbar nicht tragen wollte.
Das erweckt den Eindruck, als hätten die Hersteller sowohl der Gematik als auch deren Gesellschaftern vermitteln können, dass nur ein Tausch der Geräte ihren stabilen Weiterbetrieb gewährleisten könne. Aber sind Hersteller, die an einem Tausch Millionen Euro verdienen würden, die besten Berater in dieser Frage? Hätte die Gematik kritischer nachhaken müssen? Und hat sie ihren Gesellschaftern womöglich falsche oder unvollständige Informationen gegeben, auf deren Basis diese ihre Entscheidung gefällt haben?
Technisch sehr wohl möglich
Laut Berichten von Heise haben zwei der insgesamt drei Hersteller, die zertifizierte Konnektoren verkaufen, die Vorgaben der Gematik sogar erfüllt, sie hätten ein Softwareupdate für die Laufzeitverlängerung liefern können. Nicht gelungen sei dies der Firma CompuGroup Medical (CGM). Sie ist der Marktführer, mehr als die Hälfte der Konnektoren in deutschen Praxen kommt von ihr. Sie würde vom Tausch also am meisten profitieren. Eine Anfrage ließ CGM bisher unbeantwortet.
CGM hatte zunächst behauptet, die Zertifikate in den Konnektoren seien fest verbaut und ein Tausch daher technisch nicht möglich. Eine Recherche des Magazins c’t hat gezeigt, dass das nicht stimmt: Die Zertifikate sind stattdessen auf so genannten Smartcards in den Geräten gespeichert, diese ließen sich sehr wohl austauschen. Das Gleiche konnte nun auch fluepke nachweisen. Die Gematik und der Hersteller waren düpiert.
Die Gematik musste daraufhin eingestehen, dass ihre Behauptung nicht trägt. Doch ein Update der Software sei trotzdem nicht möglich. Mit dem jetzt veröffentlichten Softwarepatch zeigt der CCC, dass auch diese Behauptung falsch ist. Selbst die Geräte von CGM ließen sich damit vorerst weiter betreiben. Doch die Gematik hält an ihrem Beschluss weiter fest: Der Tausch bleibe „kurzfristig die beste Lösung“. Dass es auch technisch die einzig mögliche Lösung ist, steht dort nicht.
Verschwendung von Versichertengeldern
Wenigstens will sie jetzt aber überprüfen, ob der Tausch aller Geräte notwendig sei. Für Geräte, deren Zertifikate erst nach August 2023 ablaufen, sei eine Verlängerungen der Zertifikate ebenfalls per Software denkbar. „Das bedeutet auch, dass längst nicht alle Konnektoren getauscht werden müssen und die dadurch entstehenden Kosten deutlich niedriger sind, als berichtet.“ Bei den anderen Geräten sei ein Update aber keine Lösung: „Bei allen Zertifikaten, deren Gültigkeit bis August 2023 abläuft, ist danach wegen veralteter Technik ein Austausch des Konnektors die einzig sinnvolle Alternative.“ Auf die Frage, was sich zum Stichtag August 2023 konkret ändert, hat die Gematik nicht geantwortet.
Viele der Verbände halten den zwangsverordneten Tausch ebenfalls für Verschwendung und sagen dies auch offen. So schreibt die Deutsche Psychotherapeutenvereinigung (DPtV), der Tausch der Konnektoren sei eine dramatische Verschwendung von Versichertengeldern. „Mit jedem Tausch könnten mehr als zwei Kurzzeitpsychotherapien finanziert werden – bundesweit wären es 260.000. Damit wäre das Geld sinnvoll angelegt“, sagte Gebhard Hentschel, Bundesvorsitzender der DPtV.
Ein Sprecher des CCC, Dirk Engling, wird noch deutlicher: „Hier will sich ein Kartell durch strategische Inkompetenz am deutschen Gesundheitssystem eine goldene Nase verdienen. Dabei werden immense Kosten für alle Versicherten, sinnloser Aufwand für einen Austausch bei allen Ärzten und tonnenweise Elektroschrott in Kauf genommen.“
Update 19.10.: Den Nachweis, dass die Smartcards in den Geräten von CGM nicht fest verbaut sind, brachte als erstes nicht der CCC, sondern die Redaktion von c’t. Wir haben den Abschnitt entsprechend korrigiert.
Da ist ein wichtiger Fehler im Artikel. Die Kosten der Konnektoren trägt nicht der Staat, sondern im Endeffekt sind es die Versicherten. Die Ärzte müssen die Hardware kaufen und bekommen von ihrer Kassenärztlichen Vereinigung (KV) 2300 Euro dafür *). Die KVen holen sich das Geld von den KrankenKassen und die bezahlen das aus den Beiträgen der Versicherten.
Ergänzung:
*) Auch wenn noch zusätzliche Kosten für Installation etc anfallen, gibt es nicht mehr.
So steht es mehrfach im Artikel, etwa hier: „2.300 Euro kostet ein neuer Konnektor derzeit. Die Kosten werden den Praxen von den Krankenkassen erstattet, also aus Beiträgen der Versicherten bezahlt.“
Gemeint war wohl der Teaser: „Die Kosten dafür übernimmt der Staat“
well, WELCOME TO GERMANY!
mehr fällt mir dazu nimmer ein.
Sowas passiert halt, wenn „Internet Neuland“ ist obwohl es schon seit 20 Jahren existierte.
Ich komme aus dem Kopfschütteln nimmer raus, wie hier mit hohen Geldsummen Schindluder getrieben wird.
Warum beharren die so dermaßen darauf, obwohls auf allen Seiten widerlegt wurde? Lügen die Öffentlichkeit sogar an
Weil sie es koennen, was soll ihnen schon passieren? Bestenfalls privatisierung sie 300Mio Versichertengelder als Firmeneinnahmen, schlimmstenfalls privatisieren sie weniger. Sanktionen gibt es keine.
Die gematik verdanken wir uebrigens Rot-Gruen, der Abrissbirne staatlicher Infrastruktur und Versorgung.
Die §§ 311 Abs. 4 Satz 1 und § 14 SGB V legen fest, dass die Gematik im Interesse der Patienten und generell wirtschaftlich agieren muss. Somit hat die Geschäftsführung der Gematik GmbH m.E. eine Vermögensbetreungspflicht nach § 266 StGB für die Versichertengelder, die hier verschwendet werden. M.E. verstößt sie dagegen. Sie hat sogar i.V.m. § 13 Abs. 1 StGB eine Garantenpflicht, aktiv gegen Verschwendung vorzugehen, sie macht sich m.E. schon dadurch strafbar, dass sie Maßnahmen gegen offensichtliche Verschwendung unterlässt. Auch liegt dann ein besonders schwerer Fall vor. Wo bleiben die Staatsanwälte?
Es stellen sich noch weitere solche Fragen. Wenn die Lieferanten davon wussten, dass sie auch per Software-Update die Probleme lösen konnten, aber gezielt das Gegenteil behauptet haben, liegt m.E. eine Betrugshandlung vor, § 263 StGB, wiederum als besonders schwerer Fall.
Und schließlich: Wie kann es sein, dass eine Gematik GmbH einen Alleingeschäftsführer mit Alleinvertretungsbefugnis hat und das Vier-Augen-Prinzip somit nicht durchgesetzt wird? Hier kann man m.E. ein Organisationsverschulden des Mehrheitsgesellschafters, des Bundesgesundheitsministers, in bezug auf seine Vermögensbetreuungspflicht annehmen. Bei den Summen, um die es geht, Alleinvertretungsbefugnis zu erteilen ist m.E. mindestens grob fahrlässig.
Guckt jetzt mal ein Staatsanwalt?
Verständnisfrage: Für mich als Außenstehender klingt dieser Konnektor wie Scam, was ist in diesem Gerät besonders 2300€ kosten soll? Für mich klingt es so als nutze man die Unwissenheit der Deutschen Behörden aus um Hardware zu verkaufen die es so nicht geben sollte.
Selbst wenn diese Infrastruktur zwingend so gebraucht wird wieso ist sie nicht offen genug das es nur diesen einen Hersteller gibt der die Kontrolle darüber hat.
Man sollte meinen das öffentliche Gelder am Ende der Öffentlichkeit dienen und dessen Resultate auch dort bleiben.