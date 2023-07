Die Digitalisierung des Gesundheitswesens soll nach den Worten von Gesundheitsminister Karl Lauterbach mit dem E-Rezept einen "Turbo-Schub" bekommen: Neben den bekannten Verfahren Papierausdruck (altbacken) und Rezept-App (schick) kommt nun auch die Gesundheitskarte zum Einsatz. Mit ihr können Patienten in der Apotheke elektronische Rezepte einlösen.

Bislang gab es zwei vorgesehene Wege, um ein E-Rezept einzulösen: Man bekam entweder einen Papierausdruck mit Datamatrixcode, den die Apotheke per Scanner einliest, oder man zückte sein Smartphone mit der offiziellen E-Rezept-App, die die Rezepte verwaltet. Um sich gegenüber der App zu authentifizieren, musste man seine Gesundheitskarte unter ein NFC-fähiges Smartphone halten und eine sechsstellige PIN eingeben – nicht gerade kundenfreundlich.

Karte genügt

Das alles wurde jetzt vereinfacht. Um ein Rezept abzuholen, braucht man weder App noch PIN oder Ausdruck, sondern nur noch seine Gesundheitskarte. Der Arzt kann Rezepte ausstellen, wenn die Karte mindestens einmal im laufenden Quartal im Lesegerät der Praxis steckte. Seine Verschreibungen landen auf einem Rezeptserver in der Telematikinfrastruktur (TI) – einem vom Internet abgekoppelten Sicherheitsnetzwerk zum Austausch von Gesundheitsdaten. Zum Abholen steckt man seine Gesundheitskarte in das Lesegerät der Apotheke, die das Rezept vom Server anfordert und bei erfolgreicher Übermittlung die Medikamente aushändigt.

Wenn alles reibungslos klappt, hat das neue Verfahren enorme Vorteile: Patienten müssen sich keine sechsstellige PIN mehr merken und können einfach Angehörige oder Freunde mit der Karte losschicken, um ihre Medizin zu holen. Für ein Folgerezept im selben Quartal müssen sie nicht mehr extra in die Praxis kommen. Um Missbrauch vorzubeugen, sollten sie ihre Krankenkasse jedoch umgehend informieren, falls ihre Karte verloren geht oder geklaut wird.

Nachteile gegenüber App und Ausdruck gibt es nur wenige: So kann der Arzt im Fall der Abholung mit Karte keine Informationen zur Einnahme übermitteln. Wurde ein Medikament "aut idem" verordnet, sieht nur der Apotheker, ob eine Substitution durch ein ähnliches Präparat verboten ist. Und wenn mehrere Arzneimittel alternativ verordnet sind, muss der Apotheker beim Patienten nachfragen, welches Arzneimittel er ausgeben soll.

Systemausfall zum Start

Alles könnte so einfach sein, wenn die Technik mitspielen würde. Noch sind nicht alle Verwaltungsprogramme der Praxen vorbereitet. Bei den bereits vorbereiteten Systemen können die Rezepte ohne Umstellung oder Software-Update auf den TI-Server hochgeladen werden. Das klappt aber nur, wenn die Telematikinfrastruktur auch funktioniert und der Dienst für die E-Rezepte läuft – doch genau daran haperte es am Startwochenende.

Bereits am Sonntag, dem 2. Juli, war die TI für mehrere Stunden nicht erreichbar, weil das zentrale Routing des TI-Dienstleisters Arvato ausgefallen war. Am folgenden Montag funktionierte das Routing zwar wieder, aber der E-Rezept-Dienst war bis 10:30 Uhr gestört. Die Ärzte konnten keine E-Rezepte auf den Server laden und die Apotheken keine Rezepte abrufen – und das zu Beginn eines neuen Quartals, wenn es in den Praxen ohnehin hektisch zugeht.

Als wir am Montagnachmittag ein E-Rezept mit der Gesundheitskarte einlösen wollten, kam es zu weiteren Verzögerungen: Wo sonst die App oder der Papierausdruck in Sekunden eingescannt sind, brauchte das Verwaltungssystem der Apotheke rund fünf Minuten, um das auf dem Server hinterlegte Rezept zu finden. Einige Tage später konnten wir problemlos in mehreren Berliner Apotheken E-Rezepte einlösen.

Umgeleitete Gesundheitsdaten

Doch nicht nur beim E-Rezept kam es zu Schwierigkeiten: Ärzte und Apotheken kommunizieren innerhalb der TI über den KIM-Dienst (Kommunikation in der Medizin), ein POP3-Mailsystem. Hier gab es einen folgenschweren Konfigurationsfehler: Das Softwarehaus Medatixx teilte am 30. Juni mit, dass im zentralen Verzeichnisdienst der KIM-Adressen (technisch ein LDAP-Verzeichnis) eine Domain-ID doppelt vergeben wurde, einmal an eine Arztpraxis und einmal an die AOK Niedersachsen.

Dies hatte zur Folge, dass seit September 2022 insgesamt 116.466 elektronische Arbeitsunfähigkeitsbescheinigungen (eAU), die an die AOK adressiert waren, stattdessen bei der Arztpraxis landeten – ein Großteil davon von Mai bis Juni. Grund für die Fehlleitung der eAUs ist laut Gematik wahrscheinlich eine fehlerhafte Implementierung in Praxisverwaltungssystemen von einigen Herstellern, sodass vermutlich nicht nur die Medatixx-Software von dem Konfigurationsproblem betroffen ist. Daher informieren derzeit unter Umständen auch weitere Anbieter ihre Praxen. Unklar ist bislang, wer für die Fehlkonfiguration verantwortlich ist und warum sie ein Dreivierteljahr lang nicht auffiel.

Bis auf Weiteres empfahl Medatixx seinen Kunden in einer Warnmeldung, die AU-Bescheinigungen wie früher auszudrucken und per Post an die AOK zu schicken. Gleichzeitig beruhigte man die Teilnehmer: Eine Verletzung des Datenschutzes liege nicht vor, denn die Arztpraxis unterliege dem ärztlichen Berufsgeheimnis.

Wer sichergehen will, das seine Krankmeldung nicht in falsche Hände gelangt, greift lieber zum Papierformular. Neun Monate lang landeten über hunderttausend elektronische Krankmeldungen bei einer Arztpraxis statt bei der AOK Niedersachsen. (Bild: Jens Büttner/dpa-Zentralbild/dpa)

Verantwortung abgeschoben

Doch Medatixx und die LDAP-Administratoren weisen jede Verantwortung von sich. Ausbaden sollen den Pfusch nun die Ärzte, die die eAUs vermeintlich an die AOK verschickt oder die solche ungewollt empfangen haben. Medatixx teilte ihnen mit: "In Ihrer Rolle als Verantwortlicher für die Daten, obliegt es Ihnen zu prüfen, ob Ihnen aus diesem Vorfall zum jetzigen Zeitpunkt oder später Pflichten erwachsen (insbesondere Meldepflichten gegenüber Behörden). In jedem Fall sollten Sie Ihren Datenschutzbeauftragten über den Vorfall informieren, wenn Sie einen solchen bestellt haben. Wir bitten Sie jedoch um Verständnis dafür, dass wir Sie nicht rechtlich beraten dürfen."

Lag es früher in der Verantwortung der Versicherten, den Arbeitgeber von der Arbeitsunfähigkeit zu informieren, sollen mit der Digitalisierung nun die Ärzte für eine korrekte Abwicklung der eAUs haften – selbst wenn sie gar keine Chance haben, den Fehler zu bemerken.

Die Laune der Ärzte ist ohnehin im Keller. Auf den letzten Drücker hatte das Bundesgesundheitsministerium zum 1. Juli Pauschalen für Praxis-IT festgelegt, die die Erstattung zur Anschaffung des nötigen Equipments zum Anschluss an die TI regelt. Vorausgegangen waren monatelange Verhandlungen der Kassenärzte und Krankenkassen, die im April scheiterten.

Die neue TI-Pauschale ist von der Größe der Praxis abhängig: Eine Praxis mit zwei Ärzten bekommt 238 Euro im Monat. Doch dazu muss sie alle vorhandenen Dienste der TI lückenlos nutzen. Im Kleingedruckten schreibt das Ministerium: "Bei mindestens zwei fehlenden Anwendungen oder fehlender Anbindung an die TI wird keine TI-Pauschale gezahlt." Darunter listet es die sechs Dienste auf: Notfalldatenmanagement, Medikationsplan, Patientenakte, KIM, die eAU und – ab 1. Januar 2024 – das E-Rezept. Bereits bei einer fehlenden Anwendung kann die Pauschale gekürzt werden.

Versäumte Kontrollen

Doch die beste Praxis-EDV nützt nichts, wenn die TI den Anforderungen nicht gewachsen ist und im Ernstfall versagt. Während Gesundheitsminister Lauterbach bei den Ärzten den Sanktionsdruck zur Digitalisierung erhöht, lässt er ihn bei den Betreibern der TI weiter schleifen. So haftet die Gematik GmbH als oberste Aufsichtsstelle für die TI weder für Pannen wie am ersten Juliwochenende noch für monatelange mögliche Datenschutzverstöße wie bei der Fehlkonfiguration des KIM-Dienstes. Das hatte Lauterbachs Vorgänger Jens Spahn noch im September 2020 in das Patientendatenschutzgesetz (PDSG) diktiert.

§ 307 PDSG nennt stattdessen Ärzte und Praxen sowie "Anbieter des Zugangsdienstes" als Verantwortliche für Datenschutzverstöße. Die Gematik lege zwar "konzeptionelle und regulatorische Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr" fest. Sie sei aber nicht auf "operativer Ebene" tätig und somit datenschutzrechtlich für die Verarbeitung der Daten nicht verantwortlich, heißt es in den Erläuterungen zum Paragrafen. Würde die Gematik ihren Kontrollpflichten nachkommen, hätte ihr das KIM-Desaster deutlich früher auffallen müssen.

Solange die Planer und Wächter der TI für Fehler nicht zur Verantwortung gezogen werden können, müssen Patienten mit weiteren Ausfällen und Pannen rechnen, die womöglich erst nach Monaten auffallen. Für Rezepte und Arbeitsunfähigkeitsbescheinigungen sollten sie daher sicherheitshalber auch weiterhin Papierausdrucke mitnehmen – falls die Server wieder einmal ausfallen oder ihre Krankmeldungen an die falsche Adresse schicken.

(hag)