Patientendaten in der Black Box
Ärzte und Psychotherapeuten können zukünftig nur noch online abrechnen - allerdings steht das dafür vorgesehene System KV-SafeNet wegen hoher Kosten und Sicherheitsmängeln in der Kritik
In Deutschland rechnen Ärzte und Psychotherapeuten nicht direkt mit den Krankenkassen ab, sondern über eine so genannten Kassenärztliche Vereinigung. Von diesen gibt es insgesamt siebzehn - in 15 Bundesländern jeweils eine und in Nordrhein-Westfalen zwei. Sie sind in der Kassenärztlichen Bundesvereinigung zusammengeschlossen, der KBV. Einer Richtlinie der KBV nach haben alle Kassenärztlichen Vereinigungen ab dem ersten Quartal 2011 Abrechnungen nur noch "leitungsgebunden elektronisch" entgegenzunehmen.
Ab welchem Datum genau eine Kassenärztliche Vereinigung keine auf DVDs oder Ausdrucken übermittelten Daten mehr annimmt, liegt nach Auskunft der Pressestelle der KBV in ihrem eigenen Entscheidungsbereich, weshalb es in einigen Bundesländern Übergangsregelungen gibt, die allerdings teilweise mit höheren Verwaltungsgebühren für deren Nutzer verbunden werden.
Für die Online-Übermittlung nutzen alle Kassenärztlichen Vereinigungen KV-SafeNet. Nur in sechs Bundesländern haben Ärzte und Psychotherapeuten die Möglichkeit zu einer alternativen Methode der Online-Abrechnungsübermittlung. In Bayern ist dies beispielsweise KV-Ident.
Wie KV-SafeNet zustande kam, ist nicht ganz klar. Die KBV verweist bei Fragen hierzu auf eine angebliche Zuständigkeit der Kassenärztlichen Vereinigungen in den Ländern, während diese meinen, dass hierzu nur die KBV Auskunft geben könne. Eine Ausschreibung für KV-SafeNet gab es nach Auskunft der Kassenärztlichen Vereinigung Bremen deshalb nicht, weil es sich dabei lediglich um ein Anforderungsprofil handle, für das sich jede Firma zertifizieren lassen könne. Bislang wird das System von 25 Unternehmen angeboten, darunter von der Deutschen Telekom und Siemens. Die Preise, die sie pro Praxis für KV-SafeNet verlangen, liegen zwischen 190 und 500 Euro für die Hardware und jährlich mindestens 200 Euro für den Zugang.
Fragt man Ärzte, wie die Entscheidung für KV-SafeNet zustande kann, dann erfährt man, dass es offenbar erst dann Informationen darüber gab, als das System schon beschlossene Sache war. Angesichts dieser relativen Geheimhaltung fragt sich unter anderem der Informatiker Lew Palm, der die IT einer psychotherapeutischen Praxis in Bremen betreut, ob es nicht billigere und bessere Lösungen zur Abrechnungsdatenübermittung gegeben hätte - etwa ein einfaches Verschlüsseln mit GnuPG, für das weder teure Hardware noch eine Monatsgebühr anfallen würde. GnuPG hätte zudem den Vorteil, dass die Praxen die volle Kontrolle über ihre Daten und deren Sicherheit behalten würden.
Für die Nutzung von KV-SafeNet muss sich jede Praxis einen "Konnektor" anschaffen - einen Router, über dessen Konfiguration sie keine Kontrolle hat. Der Konnektor baut mit Hilfe von IPSec eine VPN-Verbindung zu einer Anbieterfirma auf, über deren Server die Daten dann zu den Kassenärztlichen Vereinigungen transportiert werden. Dass er für den Betreiber der Praxis eine "Black Box" sein muss, ist in der KV-SafeNet-Rahmenvereinbarung geregelt und liegt nicht im eigenen Ermessen der Anbieterfirmen.
Laut KBV "garantiert" KV-SafeNet "höchste Sicherheit für die Nutzung der Online-Angebote und schützt gleichzeitig das Praxisnetz vor unerlaubten Zugriffen aus dem Internet". Lew Palm ist hier allerdings ganz anderer Ansicht: Nicht nur, weil der vorher nicht bestehende Zwang zum Anschluss an das Internet grundsätzlich einen potenziellen Sicherheitsverlust bedeutet, sondern auch, weil der seiner Praxis gelieferte KV-SafeNet-Konnektor sich als eine konfigurierte Fritz!Box Fon Wlan 7170 mit einem Aufkleber entpuppte, bei der ein Scan mit Nmap ergab, dass insgesamt sechs Ports offen waren - darunter der SIP-Port zum Telefonieren.
Die KBV bestritt auf Anfrage von Telepolis die Möglichkeit, dass bei KV-SafeNet-Routern mehrere Ports offen sein könnten. Allerdings konnte Lew Palm die Lücke mittels eines Screenshots dokumentieren. Sie war auch dann noch vorhanden, nachdem er die Konfiguration komplett löschte und den Konnektor nach einer kostenpflichtigen Neukonfiguration von der Anbieterfirma zurückbekam. Dazu, inwieweit die Firmen, die KV-SafeNet anbieten, überprüft werden, wollte sich niemand äußern. Lew Palm vermutet, dass solch eine Überprüfung nicht stattfindet, da sonst ja die offenen Ports aufgefallen sein müssten.
