Eigentlich ist die Frage ganz einfach: Müssen nun Tausende Praxen in Deutschland für geschätzt Millionen von Euro neue Hardware anschaffen – oder nicht?
Doch wer nach einer Antwort sucht, landet schnell in einem Sumpf aus komplizierten technischen Spezifikationen und politischem Gerangel. Da gibt es zum einen die Gematik, eine wichtige Akteurin im deutschen Gesundheitssystem. Sie ist zuständig für den Betrieb der Telematikinfrastruktur (TI). Patient:innen bemerken die TI vor allem durch die grauen Lesegeräte, in die sie ihr Krankenkassen-Kärtchen stecken. Der Zugang zur TI geschieht dann aber über eine Box, den Konnektor. Über ihn schicken Ärzt:innen und Zahnärzt:innen Daten an die Krankenkassen.
Die Gematik beschloss Anfang des Jahres: Alle Konnektoren sollen ausgetauscht werden. Die Boxen seien zwar erst fünf Jahre alt, der Austausch aber unvermeidlich. Sicherheitszertifikate in den Geräten würden demnächst ablaufen. Genau das halten Hacker:innen des Chaos Computer Clubs (CCC) für Unsinn. Sie haben vor einigen Wochen nachgewiesen, dass sich die Geräte auch mit einem Software-Update aktualisieren ließen, dazu müsste man sie nicht einmal aufschrauben. Das Update haben sie den Herstellern der Geräte kostenlos zur Verfügung gestellt.
Es gibt noch eine wichtige Akteurin in dem Streit, die CompuGroup Medical (CGM). Von ihr stammen die meisten der Geräte, die derzeit in deutschen Praxen stehen. In einer Antwort auf unsere Presseanfrage erklärt die CGM sinngemäß, dass sie der Gematik Alternativen aufgezeigt habe. Die Entscheidung für den kostspieligen Tausch der Geräte habe dann die Gematik getroffen. Die Gematik selbst schreibt: Es ging hier darum, doppelte finanzielle Belastung zu vermeiden. Denn der Ablauf der Zertifikate sei nicht das einzige Problem mit den Konnektoren, dazu später mehr.
Und das Bundesgesundheitsministerium? Eigentlich müsste das Haus von Karl Lauterbach gut informiert sein. Schließlich trägt es als Mehrheitseigner der halbstaatlichen Gematik eine ziemlich große Mitverantwortung für diese Entscheidung. Finanziert wird der Austausch der Geräte von den Krankenkassen, also aus Beiträgen der Versicherten. Die geschätzten Kosten gehen in die Millionen.
Doch im Ministerium weiß man offensichtlich nichts darüber, welche Kosten ein Tausch verursachen würde, und nur wenig dazu, warum er notwendig sein soll. Das geht aus Antworten auf eine Anfrage der Linken-Bundestagsabgeordneten Anke Domscheit-Berg hervor.
Argumente der Gematik ungeprüft übernommen
So sollte das Ministerium beantworten, welche Kosten sich aus dem von der Gematik favorisierten Austausch ergeben würden – und welche Kosten durch das Softwareupdate, wie es der CCC vorgeschlagen hat. Antwort: Dazu lägen keine Erkenntnisse vor.
Das ist erstaunlich, denn immerhin übernimmt das Ministerium das Argument der Gematik. Diese hatte bis zuletzt daran festgehalten, ein Tausch der Geräte sei die „sicherste und wirtschaftlichste Lösung“. Ohne einen eigenen Einblick habe das Ministerium aber offensichtlich gar nicht prüfen können, welche Variante wirtschaftlicher sei, sagt Domscheit-Berg. „Das Argument ist folglich nur ein Mythos.“
Die Gematik wollte den Austausch der Geräte ursprünglich selbst verhindern und hat den Herstellern der Konnektoren schon 2021 per Spezifikation aufgetragen, ein Softwareupdate zu entwickeln. Auf einer Gesellschafterversammlung im Februar kam es dann aber zur Kehrtwende: Die Gesellschafter der Gematik hätten entschieden, dass der Tausch doch die „sicherste und wirtschaftlichste“ Lösung sei, teilte die Gematik mit, zumindest für alle jene Geräte der ersten Generation, deren Zertifikate bis 2023 auslaufen. Die Anweisungen zum Softwareupdate wurden wieder zurückgenommen. Unter den Gesellschaftern sind Krankenversicherer, Apotheken- und Ärzteverbände sowie – als größter Anteilseigner mit 51 Prozent – das Gesundheitsministerium.
Entscheidung hinter verschlossenen Türen
Kritiker:innen fragen sich seither, welche Gründe zu der Entscheidung geführt haben. Auch Anke Domscheit-Berg würde das gerne wissen. Sie fordert, die Protokolle der betreffenden Gesellschafterversammlungen zu veröffentlichen. Die Redaktion von Heise Online hat bereits versucht, die Protokolle über das Informationsfreiheitsgesetz zu bekommen. Die Gematik verweigerte die Herausgabe mit einer bemerkenswerten Begründung: Mit der Veröffentlichung drohten „Reputationsrisiken“ und „die Gefahr des Akzeptanzverlustes der Produkte“. Was auch immer auf dieser Versammlung besprochen wurde: Die Gematik fürchtet offenbar, es könnte das Vertrauen der Ärzt:innen so tief erschüttert, dass sie noch offener gegen die Gematik rebellieren als bisher.
Auf Nachfrage von netzpolitik.org schreibt die Gematik lediglich: „Die Gesellschafterversammlungen sind nicht-öffentlich. Zu Beschlüssen informieren wir auf den üblichen Kanälen.“
Für Praxen ist die Anbindung an das Gesundheitsnetzwerk seit 2019 Pflicht. Dafür müssen sie die Konnektoren und weitere zertifizierte Geräte bestellen und anschließen lassen. Wer nicht mitmacht, bekommt Honorare gekürzt, seit 2020 um 2,5 Prozent. Außerdem gibt es Sanktionen, wenn eine Praxis bestimmte Anwendungen wie die elektronische Patientenakte nicht anbieten kann, auch das geht nur über die TI. Zugleich beschweren sich viele Mediziner:innen, die Geräte und die TI seien unzuverlässig und hätten für die Praxen kaum einen Mehrwert. 2020 fiel das Netzwerk für vier Wochen einfach mal aus, laut Gematik hatte „ein Konfigurationsfehler“ in der TI die Konnektoren aller drei Hersteller damals lahmgelegt.
18.000 veraltete Geräte, 1 Hersteller
Dass die Zertifikate in den ältesten Konnektoren in diesem Jahr auslaufen würden, war seit fünf Jahren klar. Die Zertifikate laufen aus Sicherheitsgründen regelmäßig ab. Warum ließ sich der Tausch, die damit verursachten Kosten und die Berge von Elektroschrott, die nun entstehen, trotz dieser langen Vorlaufzeit nicht verhindern? Und wer trägt dafür die Verantwortung?
In diesen Fragen helfen auch die Antworten aus dem Gesundheitsministerium nicht weiter. Immerhin bestätigt das Ministerium aber, was andere Medien bereits berichtet hatten, die Gematik bisher aber nur indirekt sagen wollte: Das Problem betrifft nur die Geräte eines Herstellers, der CompuGroup Medical (CGM). Zwingend ausgetauscht werden müssten in diesem Jahr die 18.000 Geräte von CGM, schreibt das Ministerium. Wie viele Geräte im kommenden Jahr betroffen sind, wenn weitere Zertifikate ablaufen, bleibt offen. Eine Anfrage ließ das Ministerium unbeantwortet.
Die Gematik schreibt, 2023 würden etwa 58.000 Zertifikate von Konnektoren ablaufen. Doch auch sie kann keine genauen Zahlen nennen. Wie viele Konnektoren tatsächlich ausgetauscht werden müssten, hänge „von dem Angebot weiterer Lösungen ab“.
Domscheit-Berg sagt, auch bei den Geräten der CGM sei eine Verlängerung der Zertifikate möglich gewesen. „Warum sich die Gematik im Februar 2022 dafür entschied, die fertige Spezifikation für einen Zertifikatstausch wieder vom Tisch zu nehmen, bleibt ihr Geheimnis, denn ihre Prozesse sind intransparent.“ Es werfe kein gutes Licht auf das Unternehmen, dass die CGM in den letzten Monaten laut Medienberichten nicht auf Presseanfragen reagierte und sich kaum zum Fall geäußert habe. Die CGM widerspricht und verweist auf ein Interview mit dem Tagesspiegel Background, das hinter einer Paywall liegt.
Sowohl Hacker:innen des CCC als auch die Gematik selbst sprechen in Bezug auf die Konnektoren der CGM von „veralteter Technik“. Die verbauten Gerätekarten seien demnach so alt, dass sie nicht mehr in der Lage sind, die Daten so sicher zu verschlüsseln wie das nach aktuellen Standards gefordert werde. Die Gematik verweist dabei an das Bundesamt für Sicherheit in der Informationstechnik (BSI), das ab 2025 einen höheren Verschlüsselungsstandard empfiehlt. Doch selbst das BSI teilt inzwischen mit, dass es keine Probleme dabei sehe, die Konnektoren über das Jahr 2025 hinaus zu verwenden.
Die CGM schiebt die Verantwortung auf Nachfrage an die Gematik: Diese lege die Spezifikationen fest, die CGM sei verpflichtet, sich daran zu halten. Man hätte also gar keine Möglichkeit gehabt, nicht-konforme Technik in Eigeninitiative einzubauen. Die Technik sei zu dem Zeitpunkt der Auslieferung vor fünf Jahren aktuell gewesen, aber die Hardware der neuen Verschlüsselungsgeneration schlicht noch nicht verfügbar. Sobald sie verfügbar war, habe man sie selbstverständlich auch verbaut. Aus diesem Grund seien jetzt auch lediglich die zuerst ausgelieferten Konnektoren der CGM betroffen, nicht alle.
Die Botschaft ist klar: CGM hat nur das verkauft, was die Gematik auch abgesegnet habe. Die Frage bleibt: Warum durfte die CGM vor fünf Jahren Geräte für viel Geld an Ärzt:innen verkaufen, von denen damals schon klar war, dass sie jetzt unbrauchbar würden? Die Zulassungen dafür erteilte die Gematik.
Ab 2025 will die Gematik die gesamte Infrastruktur für das Netzwerk umstellen. Dann bräuchten Praxen gar keine physischen Geräte mehr, um sich zu verbinden, sondern könnten das über verschlüsselte Verbindungen im Internet tun, die so genannte TI 2.0. Die Konnektoren würden damit überflüssig. Doch Kritiker:innen zweifeln, dass der Termin zu halten ist. Auf die Frage, ob das Gesundheitsministerium davon ausgeht, dass die TI 2.0 bis 2025 tatsächlich fertig wird, antwortet das Ministerium lakonisch: „Die Gesellschaft für Telematik plant, die Grundelemente der TI 2.0 ab dem Jahr 2025 bereitzustellen.“
Mehr als 40 Millionen Euro in diesem Jahr
Ursprünglich sprach die Gematik noch davon, alle rund 130.000 Konnektoren müssten ausgetauscht werden. Nachdem der CCC nachweisen konnte, dass die Gerätezertifikate per Softwareupdate verlängert werden können, ruderte man zurück: Jetzt ist nur noch die Rede davon, die Geräte der ersten Generation zu tauschen, deren Zertifikate bis Mitte 2023 auslaufen. Sprich: Die ältesten Geräte der CGM. Für die restlichen sei auch ein Update denkbar.
18.000 Geräte. Für die Kostenrechnung heißt das: Es geht jetzt nicht mehr um fast 300 Millionen Euro für einen Tausch aller Boxen, sondern um rund 41 Millionen, die im Jahr 2022 anfallen. Wie viele weitere Boxen und damit Kosten kommendes Jahr noch dazu kommen, geht aus der Antwort nicht hervor. 2.300 Euro kostet ein neuer Konnektor derzeit. Die Hersteller haben ihre Preise an genau die Summe angepasst, die den Praxen von den Krankenkassen erstattet wird.
Die Gematik war auch Thema im Bundestages am Donnerstag, da tagte der Digitalausschuss. Doch weder der dort anwesende Vertreter der Gematik noch das Gesundheitsministerium konnten auf die Frage antworten, wie viele weitere Konnektoren nächstes Jahr getauscht werden müssten, sagt Domscheit-Berg.
Der Markt hat es nicht geregelt
Warum die Gematik und ihre Gesellschafter ursprünglich alle Konnektoren austauschen wollten? Die Antwort könnte mit der Finanzierungsstruktur der TI zusammenhängen. Bisher ist die Idee: Firmen konkurrieren am freien Markt mit ihren Produkten. Aktuell haben drei Hersteller eine Zulassung und dürfen Konnektoren verkaufen. Zwei davon hätten es geschafft, rechtzeitig ein Software-Update für ihre Kund:innen zu liefern, berichtet Heise Online, die CGM nicht.
Die Gematik bringt das in die Klemme. Hätte sie von vornherein eingestanden, dass ein Hersteller das Problem verursacht, hätte sie die anderen Hersteller düpiert. Ausgerechnet das Unternehmen, das kein Update geliefert hat, wäre dann finanziell mit einem lukrativen Gerätetausch belohnt worden, die Konkurrenten würden leer ausgehen.
Die Gematik schreibt, sie entschädige keine Konnektorhersteller und schließe auch keine Verträge mit den Herstellern. Ihre Aufgabe sei lediglich, Spezifikationen zu entwickeln, um Rahmenbedingungen für die Anbindung der Praxen an die TI zu schaffen. Damit Alternativen zum Konnektortausch auch für die Hersteller attraktiver würden, hätten die Gesellschafter der Gematik eine Anpassung des Finanzierungsmodells empfohlen. Ein aktuelle Gesetzentwurf sehe eine entsprechende Regelung vor, indem die Finanzierung auf eine Pauschale umgestellt werden soll und so „Anreize für die günstigeren Alternativen zum Tauschen setzt“. Die Gematik habe hier kein Mitspracherecht. Die Entscheidung liege allein bei den Bundesmantelvertrags-Partner. Der Bundesmantelvertrag regelt die Versorgung alles gesetzlich Versicherten und wird regelmäßig zwischen den Kassenärztlichen Bundesvereinigungen und dem Bund der Krankenkassen ausgehandelt.
„Kein Unternehmen könnte sich so eine Unprofessionalität leisten“
Das erkennt auch das Gesundheitsministerium und stellt in seiner Antwort klar, dass das derzeitige Finanzierungsmodell für die Herstellung und den Betrieb der Geräte gescheitert ist. „Marktmechanismen und in der Folge Marktpreise konnten sich so nicht hinreichend entfalten.“ Das ist eine nüchterne Umschreibung für das Drama, das man in den letzten Monaten beobachten konnte. Warum schließlich sollte ein Unternehmen ohne finanzielle Vorteile ein Software-Update entwickeln, wenn es das Update auch lassen kann und stattdessen für Millionen von Euro neue Hardware verkauft?
Dass die Gematik in so einem Fall keinerlei Sanktionsmöglichkeiten hat, ist laut Domscheit-Berg Teil des Problems. „Diese Art Schlechtleistung muss künftig strukturell verhindert werden.“ Dazu müsse aber nicht nur das Finanzierungsmodell geändert werden, sondern auch die Art, wie die Gematik geführt wird, wie sie Verträge schließt und wie das Gesundheitsministerium seine Verantwortung als Mehrheitseigner wahrnimmt.
Wie bereits der CCC sieht auch Anke Domscheit-Berg hier vor allem den Versuch der Gematik, das eigene Missmanagement bei einem IT-Großprojekt zu verschleiern. „Kein Unternehmen könnte sich einen so hohen Grad an Unprofessionalität leisten“, sagt sie, es würde sonst pleite gehen. „Die Gematik hat schlecht geplant, schlecht gemanaged und war bereit, Kassenbeiträge von mehreren Hundert Millionen Euro aus dem Fenster zu werfen. Das ist inakzeptabel und muss auch so benannt werden.“ Als Mehrheitseigner trage das Ministerium dabei selbst eine Verantwortung.
Gematik hält sich bedeckt, CGM gibt Einblick
Was auf der besagten Gesellschafterversammlung im Februar passiert ist, dazu hält sich die Gematik nach wie vor bedeckt. Auf eine detaillierte Fragenliste aus dem Oktober hatte sie nur mit einem Verweis auf ihr Pressestatement geantwortet.
Ausgerechnet die CGM gibt jetzt aber einen kleinen Einblick hinter die Kulissen. Die Presseabteilung schreibt: „Die CGM wurde seinerzeit zur Frage einer möglichen Zertifikatsverlängerung von den Gesellschaftern der gematik konsultiert. Dabei hat das Unternehmen erstens die Aussage getroffen, dass man eine Zertifikatsverlängerung selbstverständlich anbieten würde, wenn dies so gewünscht sei.“ Gleichzeitig habe man darauf aufmerksam gemacht, dass eine der derzeit in den Geräten verbauten Komponenten nur bis Ende 2025 verwendet werden dürfe. Ab diesem Zeitpunkt wäre ein höherer Standard für die Verschlüsselung der Daten notwendig. „Im Ergebnis und um doppelte Kosten zu vermeiden haben sich die Gesellschafter der gematik entschieden, die Konnektoren bereits jetzt zu tauschen.“
Auch ein Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV) hatte in einem Interview von Mai etwas gesagt, das in diese Richtung geht. Darin bezeichnet er den Tausch noch als „alternativlos“. Er machte aber auch deutlich, dass die KBV dieses Übel nur befürworte, weil es ohne den Tausch keine Garantie der Hersteller für eine Ausfallsicherheit der Konnektoren gegeben hätte. Bei einem Ausfall der Konnektoren wären die Praxen weitgehend lahmgelegt gewesen – ein Risiko, dass die KBV offenbar nicht tragen wollte.
Nach den Enthüllungen des CCC hatte die KBV sich darum bemüht, dass die Entscheidung der Gematik nochmal aufgerollt wird, alle Alternativen zum Gerätetausch sollten zumindest nochmal geprüft werden. Eine Mehrheit gab es dafür nicht.
Update: Wir haben den Beitrag um Stellungnahmen der Gematik ergänzt.
„weil es ohne den Tausch keine Garantie der Hersteller für eine Ausfallsicherheit der Konnektoren gegeben hätte. “
Wie sehen solche Garantien denn genau aus? Welche Nachteile hätte es für die Hersteller wenn trotz Garantien ein Ausfall der Konnektoren eintreten würde?
Das interessiert die Politk nicht. Wenn es da ein Interesse an einer Funktionsfaehigkeit gaebe, hatten wir nicht die heutige Infrastruktur. Das gilt generell fuer Medizin, Pflege, Bildung, Verkehr, Rente.
Die Frage der Entscheider ist weder „ist das notwendig“ noch funktioniert das“ sondern „koennen wir damit Geld privatisieren, ohne dafuer belangt zu werden?“.
Will der Waehler so seit 30 Jahren. Wird sich demokratisch nicht mehr aendern.
Klingt für mich als Aussenstehender so, als ob die Ausschreibung für die Vergabe der Leistung mangelhaft war. Da hätte man die entspr. Punkte via Kriterienkatalog abfragen/bewerten.können. 🤔
Elektronik in den Müll wegen Zertifikat-Problem?
Mir fehlt bei der Gematik-Debatte der Aspekt von der Verantwortung im Umgang mit knappen Ressourcen.
Knappe und seltene Rohstoffe, schlampiges Recycling (wenn überhaupt), Probleme mit Lieferketten, mangelnde Fachkräfte, dümmstes Marketing, hohle Versprechungen, schmutzige Elektronik-Produktion, CO2-Abruck, …
Kann man noch mehr Inkompetenz und Ignoranz anhäufen?
Und wenn man es positiv sehen will:
Ressourcen-Allokation hin zum Gesundheits-Sektor verhindert Ressoucen-Verbrauch in der Kriegswirtschaft.
Da gibt es aber keine Resourcenverteilung hin zum Gesundheitssystem. Es gibt nur eine innerhalb des Gesundheitssystems, und jeder Euro für IT kommt nicht anderweitig den Patienten zu gute. Also sollte man ihn nur für sinnvolle IT ausgeben. Die derzeitige Priorität ist halt das Ausgeben, nicht das Ergebnis.
Den Entscheidenden ist das egal, die sind und werden versorgt.
Super Artikel, mir fehlt der Hinweis darauf, dass ein Austausch wegen der nicht mehr aktuellen Verschlüsselung bis Ende 2025 zwar Notwendig wäre, jedoch dann ja, zumindest in der Theorie, die TI 2.0 aktiv sein sollte, welche diese Geräte wiederum überflüssig werden lässt.
Vielen Dank. Zur TI 2.0 steht ein Absatz, allerdings recht weit unten: „Ab 2025 will die Gematik die gesamte Infrastruktur für das Netzwerk umstellen. Dann bräuchten Praxen gar keine physischen Geräte mehr, um sich zu verbinden, sondern könnten das über verschlüsselte Verbindungen im Internet tun, die so genannte TI 2.0. Die Konnektoren würden damit überflüssig. Doch Kritiker:innen zweifeln, dass der Termin zu halten ist. Auf die Frage, ob das Gesundheitsministerium davon ausgeht, dass die TI 2.0 bis 2025 tatsächlich fertig wird, antwortet das Ministerium lakonisch: „Die Gesellschaft für Telematik plant, die Grundelemente der TI 2.0 ab dem Jahr 2025 bereitzustellen.““
Sehr schön zusammengefasst und vor allem die fragwürdigen Aussagen in einen sinnvollen Kontext gesetzt und nicht einfach stehen lassen. So sieht guter Journalismus aus!