KonnektoraustauschZahnärzt:innen erstatten Anzeige bei Antikorruptionsstelle

Der Kampf um den Routeraustausch geht in die nächste Runde: Sieben kassenzahnärztliche Vereinigungen haben eine Anzeige bei den gesetzlichen Krankenkassen eingereicht. Die Begründung: Verdacht auf „zweckwidrige Verwendung von Versichertengeldern“.

Eine Festplatte wird von zwei Schreibtischlampen beleuchtet, darüber ein Screenshot der Anzeige der Verbände.
Im Herbst nahm der CCC einen Konnektor auseinander, um zu beweisen: Der Tausch ist nicht alternativlos. – Foto: Chaos Computer Club; Montage: netzpolitik.org

Was das Bundesgesundheitsministerium nicht ausrechnen kann, rechnen eben Zahnärzt:innen nach.

Wegen eines Korruptionsverdachts haben sieben zahnärztliche Verbände beim Spitzenverband der gesetzlichen Krankenkassen (GKV) eine Anzeige eingereicht, das berichtet heise online. Es geht um den Tausch von Konnektoren, speziellen Routern, die im Gesundheitswesen eingesetzt werden, um Patientendaten auszutauschen. In dem Brief werfen die Verbände dem GKV vor, allein im Zeitraum von Anfang September 2022 bis Ende März 2023 unnötige Mehrausgaben in Höhe von knapp 73 Millionen Euro brutto hinzunehmen – was „den Verdacht der zweckwidrigen Verwendung von GKV-Mitteln zum Konnektortausch in der Telematikinfrastruktur“ nahelege. Diese Mehrausgaben entsprächen den zusätzlichen Ausgaben, die ein Konnektortausch anstelle eines Softwareupdates nach sich ziehen würde.

Die Verbände reichten ihre Klage laut heise online bereits am 11. Oktober bei der „Stelle zur Bekämpfung von Fehlverhalten im Gesundheitswesen gem. § 197a SGB V“ des GKV ein. Der Paragraf sieht vor, dass Krankenkassen oder ihre Verbände selbst Stellen einrichten müssen, um Korruption nachzugehen. Die Anzeige hat heise online im Volltext mit Schwärzungen veröffentlicht. Der GKV habe den Eingang der Anzeige bestätigt. Eine Anfrage von netzpolitik.org, wann die Klage eingegangen sei und wie es nun damit weitergehe, hat die GKV bis Redaktionsschluss nicht beantwortet.

Ärzt:innen folgen Argumenten des CCC

Konnektoren sind besonders gesicherte Router für den Zugang zur Telematikinfrastruktur. Mit ihrer Hilfe können sich etwa Praxen über ein virtuelles privates Netzwerk (VPN) mit der Telematikinfrastruktur verbinden und Gesundheitsdaten verschlüsselt mit den Krankenkassen austauschen.

Erst im Juni 2021 hatte die für die Digitalisierung des Gesundheitswesens zuständige Gematik GmbH nach politischem Druck eine Laufzeitverlängerung präsentiert – mit ihr sollte der drohende Austausch aller Konnektoren nach fünf Jahren wegen auslaufender Zertifikate verhindert werden. Zwei der drei Konnektorhersteller setzten die nötige Spezifikation um – allerdings nicht die CompuGroup Medical (CGM), die mehr als die Hälfte aller in Deutschland benutzten Konnektoren stellt. Ende Februar 2022 wurde diese Laufzeitverlängerung einstimmig von den Gesellschafter:innen der Gematik gekippt. Die Argumentation der Gematik lautete seitdem: Nur ein Austausch der veralteten Konnektoren schaffe die nötige Sicherheit.

Dieser Darstellung der Gematik widerspricht unter anderem der Chaos Computer Club, auch die Redaktion der Zeitschrift c’t hatte die Argumente bereits widerlegt: Der Austausch der Konnektoren sei technisch nicht notwendig. Der Sicherheitsexperte fluepke, bürgerlich Carl Fabian Lüpke, konnte im Oktober 2022 sogar zeigen, dass ein Update der Geräte ohne jegliche Veränderung der Hardware möglich wäre – was er ausgerechnet an einem vor August 2023 ablaufenden Modell von CGM demonstrierte. Die nötige Software für das Update stellte der CCC daraufhin den Herstellern zur freien Verfügung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte inzwischen mit, dass die Konnektoren auch über das Jahr 2025 verwendet werden könnten.

Anfang Dezember lenkte die Gematik schließlich ein und nahm die Laufzeitverlängerung per Software-Update doch wieder in die Spezifikation mit auf. Doch der Streit ist damit nicht beigelegt.

Zweifel an der Umsetzung

In der Anzeige vom Oktober kritisieren kassenzahnärztlichen Vereinigungen, dass sie von der Gematik nicht hinreichend informiert wurden und die CGM die vorgesehene Spezifikation aus dem Juni 2021 nicht umgesetzt habe:

Es wird insoweit angezweifelt, ob eine ordnungsgemäße Umsetzung der normativen Spezifikationsvorgaben der Gematik von allen Konnektorherstellern erfolgt ist und im Rahmen der Zulassungsprozesse […] durch die Gematik selbst geprüft und/oder das Ergebnis der Prüfung den Gesellschaftern der Gematik zur Beschlussfassung über die weitere Vorgehensweise zur Entscheidungsfindung […] hinreichend zur Kenntnis gebracht wurde. Den Konnektortausch habe die Geschäftsführung der Gematik der Gesellschafterversammlung, so heißt es, als einzig verlässlich umsetzbare Lösung zur Beschlussfassung empfohlen.

Zudem weisen sie darauf hin, dass die Hersteller der Konnektoren schon seit 2016 über die geplante Elliptischen-Kurven-Kryptografie (ECC) zur Verschlüsselung der Sicherheitsmodulkarten Bescheid wussten. Dieser Verschlüsselungsstandard dürfte laut den technischen Richtlinien des BSI auch über 2025 hinaus verwendet werden – und damit einen Austausch der Hardware obsolet machen. Dafür würde man allerdings ein zentralisiertes Smartcard-Management-System benötigen, das die Hersteller bislang nicht haben.

Braucht es den Millionen-Deal auf Kosten von Versicherten?

Entscheidung der Gematik zementiert

Nachdem der CCC demonstriert hatte, dass der Tausch unnötig wäre, hatte die Kassenärztliche Bundesvereinigung sich darum bemüht, die Entscheidung der Gematik abermals aufzurollen: Alle Alternativen zum Gerätetausch sollten zumindest noch mal geprüft werden. Eine Mehrheit gab es dafür nicht. Dabei ist bis heute nicht klar, wie die Gematik überhaupt zu ihrer umstrittenen Entscheidung kam. Denn das Unternehmen, dessen Mehrheitseigentümerin das Bundesgesundheitsministerium ist, mauert weiterhin und wehrt alle Anfragen etwa nach einem Protokoll der betreffenden Gesellschaftertreffen ab.

Zuletzt hatte das Bundesgesundheitsministerium in einer Antwort auf die Anfrage der Linken-Bundestagsabgeordneten Anke Domscheit-Berg offenbart, wie wenig es über die Notwendigkeit, geschweige denn über den Nutzen und die Kosten des Konnektoraustauschs Bescheid weiß.

Aus der Antwort auf die Anfrage geht zudem hervor, dass im Jahr 2022 circa 18.000 Konnektoren von CGM ausgetauscht werden mussten. Übereinstimmend berichtete auch das Ärzteblatt, dass die inzwischen aktualisierte Spezifikation zur Laufzeitverlängerung nichts mehr am Austausch der ersten Geräte ändern konnte.

Die indes öffentlich gewordene Anzeige der Zahnärzt:innen-Verbände liefert nun zumindest konkrete Zahlen zu den drohenden Kosten eines vollständigen Austauschs aller CGM Geräte – und verdeutlicht erneut den Vertrauensverlust von Ärzt:innen in die Gematik.

Update: Wir haben den Beitrag um die Information ergänzt, dass die Gematik die Laufzeitverlängerung Anfang Dezember wieder in die Spezifikationen aufgenommen hat.

9 Ergänzungen

  1. Niemand hat die Absicht Staatsknete und Versichertengelder an eine Clique von sog. eHealth-Unternehmen zu lenken und dies als Analogisierung – äh, Digitalisierung, sorry mein Konnektor ist noch nicht ausgetauscht – des Gesundheitswesen zu vermarkten/tarnen.

    1. (1) Die Krankenkassen, wenn angezeigt ihre Landesverbände, und der Spitzenverband Bund der Krankenkassen richten organisatorische Einheiten ein, die Fällen und Sachverhalten nachzugehen haben, die auf Unregelmäßigkeiten oder auf rechtswidrige oder zweckwidrige Nutzung von Finanzmitteln im Zusammenhang mit den Aufgaben der jeweiligen Krankenkasse oder des jeweiligen Verbandes hindeuten. Sie nehmen Kontrollbefugnisse nach § 67c Abs. 3 des Zehnten Buches wahr.
      (2) Jede Person

      (Der Versicherte als Mitglied einer Krankenkasse)

      kann sich in Angelegenheiten des Absatzes 1 an die Krankenkassen und die weiteren in Absatz 1 genannten Organisationen wenden. Die Einrichtungen nach Absatz 1 gehen den Hinweisen nach, wenn sie auf Grund der einzelnen Angaben oder der Gesamtumstände glaubhaft erscheinen.

  2. Was wieder einmal zeigt, dass Deutschland ein zutiefst korruptes Land ist, indem die Bürger BEWUSST abgezockt werden um Dinge zu bezahlen, die gar nicht notwendig sind.
    Und das im zweistelligen Millionenbereich.

    Es ist ja bereits bekannt, dass korrupte Politiker der CDU/CSU vom Staat selbst beschützt werden.
    Das ist hier nicht anders.

    Es wird wahrscheinlich wie immer laufen – der deutsche Staat stellt sich taub und dumm und drückt das bewusst durch.

    Und wir Alle müssen das dann zahlen.
    Und der deutsche Staat lacht – mal wieder.

    Einfach nur noch beschämend,

    1. „Und das im zweistelligen Millionenbereich.“
      Soll das ein Witz sein? In der Summe werden das Milliarden sein, alleine für den IT-Sektor, vielleicht sogar nur für staatliche Projekte. Das ist aber durchaus auch ein internationales Problem, und wenn man DEU/EU Prozesse bzgl. Netzausbau anguckt, fragt man sich natürlich, ab wann denn da mal ein anderer Wind wehen soll. Nichts gegen Gewinne von Unternehmen, die auch noch später mal investieren wollen usw. usf., aber unnötigen Blödsinn verbauen gehört eigentlich flächendeckend mal unter die Lupe.

      1. Genau! Nicht mal die Bundeswehr hat noch ein Argument, wenn man doch jede Menge smarte Artilleriegranaten, tragbare wie transportable Panzer- und Flugabwehr, Marzinpankartoffeln und Panzerhaubitzen auf Lager legen kann, und sollte!

  3. Und wir als die Patienten: Haben wir überhaupt kein Mitspracherecht bei der „Digitalisierung im Gesundheitswesen“?

    Was ich mich immer noch frage:
    Ist denn die Elektr. Patientenakte grundsätzlich sicher?
    Oder werden dann dort auch wieder Daten – entgegen meinem Willen – „abgeschöpft“?

    Ich möchte endlich – so ausführlich wie möglich – von den zuständigen Stellen erklärt bekommen:
    Wie funktioniert das alles?
    Ist das ganze wirklich sicher?
    Wie kann ich die Sicherheit – als Laie – prüfen?

    1. Ich finde ja, die „Entscheider“ sollten das anteilig aus eigener Tasche bezahlen müssen. Selbstverständlich *bevor* sie langjährige Haftstrafen ohne Bewährung bekommen. Erst über die Brieftasche bestraft und dann über die Lebenszeit. Doch möglicherweise bin ich auch etwas sehr fies, wenn ich bereits die Gematik gmbH an sich als Veruntreuung betrachte.

  4. “ Wie kann ich die Sicherheit – als Laie – prüfen?“
    Vermutlich wirst Du bei google als erstes irgendeinen Hinweis auf den Leak Deiner Hausarztdaten finden, als das Du selbst aktiv – als Laie – irgendwas prüfen kannst.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.