Konnektoren im Gesundheitswesen - Verwendung von Mitteln der gesetzlichen Krankenversicherung

Kleine Anfrage der Fraktion der CDU/CSU Konnektoren im Gesundheitswesen – Verwendung von Mitteln der gesetzlichen Krankenversicherung Die Akteure des deutschen Gesundheitswesens (Ärzte, Zahnärzte, Kliniken usw.) sind mittels eines Konnektors als dezentrale Komponente mit der Telematikinfrastruktur (TI) vernetzt. Dies ist gesetzlich vorgeschrieben, damit die Leistungserbringer die gesetzlich verpflichtenden Anwendungen (Versichertenstammdatenmanagement [VSDM], Notfalldatenmanagement [NFDM], elektronischer Medikationsplan [eMP], elektronische Arbeitsunfähigkeitsbescheinigung [eAU], eRezept, elektronische Patientenakte [ePA] usw.) durchführen können. Verantwortlich für die Konzeption des TI-Gesamtsystems ist die gematik, die sich mit einem Beschluss der Gesellschafterversammlung der gematik vom 28. Februar 2022 bzw. 29. August 2022 für einen Hardware-Tausch der Konnektoren als die insgesamt sicherste Lösung für die Aufrechterhaltung des Betriebs beim Übergang zur TI 2.0 entschied (Pressemitteilung der gematik vom 30. August 2022, https://www.gematik.de/newsroom/news-detail/pressemi tteilung-konnektortausch-bleibt-aktuell-beste-loesung, abgerufen am 13. Oktober 2023). Das hatte zur Folge, dass alle Konnektoren, deren Zertifikate bis August 2023 abgelaufen sind, ausgetauscht werden mussten. Ab September 2023 sind Wahlmöglichkeiten für den TI-Anschluss vorgesehen, wie etwa eine Laufzeitverlängerung der Konnektorzertifikate oder ein Anschluss über eine Rechenzentrumslösung (RZ-Lösung). Die Laufzeitverlängerung ist bereits verfügbar, die RZ-Lösung (TI Gateway-Lösung oder TIaaS-Lösung) ist aktuell noch in der Zulassungsphase (https://www.heise.de/hintergrund/Konnektoraustausc h-in-Arztpraxen-300-Millionen-Grab-ohne-stichhaltige-Gruende-716852 2.html). Die normativen Festlegungen der gematik für den Produktivbetrieb der TI des deutschen Gesundheitswesens für das Vorhaben Onlineproduktivbetrieb 1 (OPB1) ergeben sich aus der Dokumentenlandkarte Release 1.6.4.-1 vom 23. August 2017 (Unterlage der gematik zur Einführung der Gesundheitskarte „Dokumentenlandkarte Online-Produktivbetrieb (Stufe 1) – OPB1, Festlegung der Versionsstände“; Stand: 23. August 2017, https://fachportal.gematik.de/file admin/Fachportal/Downloadcenter/Historie/Versionsstand_vom_23.08.201 7_-_Release_1.6.4-1/gemDokLK_R1.6.4-1_V1.36.1.pdf, abgerufen am 13. Oktober 2023). Die normativen Festlegungen entsprechend dem vorgenannten Release bilden die Grundlage für die Zulassungs- bzw. Bestätigungsverfahren der gematik für den Produktivbetrieb der TI. Die ersten zugelassenen Konnektoren des Anbieters C. M. AG sind seit September 2017 verfügbar, sodass das o. g. Release zum OPB1 maßgeblich für das Zulassungs- bzw. Bestätigungsverfahren u. a. von Konnektoren sein dürfte. Deutscher Bundestag Drucksache 20/9424 20. Wahlperiode 17.11.2023 In der Dokumentenlandkarte enthalten ist u. a. die Spezifikation des gSMC-K- Objektsystems V3.10.0 vom 28. Oktober 2016 nachweislich S. 21 der Dokumentenlandkarte zu Abschnitt 3.5 Kartenspezifikationen (Unterlage der gematik zur Einführung der Gesundheitskarte „Spezifikation der gSMC-K Objektsystem“; Stand: 28. Oktober 2016, https://fachportal.gematik.de/fachportal-imp ort/files/gemSpec_gSMC-K_ObjSys_V3.10.0.pdf, abgerufen am 13. Oktober 2023). Dieses Dokument beschreibt die Kartenschnittstelle der gerätespezifischen Security Module Card Typ-K (gSMC-K) zum Einsatz in Konnektoren. In Abschnitt 5.5.7 wird zu MF/DF.NK/EF.C.NK.VPN2.xxxx ausgeführt, dass die Zertifikatsdatei angelegt ist, um ein Zertifikat mit dem öffentlichen Schlüssel PuK.NK.VPN.xxxx zu PrK.NK.VPN.xxxx (xxxx steht dabei für R2048, R3072, E256, E384) nach Ablauf der Nutzungszeit des Schlüssels PrK.AK.AuT.R2048 aufzunehmen. Die Entscheidung, welches Verschlüsselungsverfahren aus der vorgenannten Menge R3072, E384, d. h. RSA oder ECC bei einem Wechsel des Schlüsselmaterials gewählt wird, sollte zu einem späteren Zeitpunkt folgen. Augenscheinlich musste nach Ansicht der Fragesteller somit allen Konnektorherstellern schon zu diesem Zeitpunkt klar sein, dass eine Ablösung der Schlüssel RSA und ECC mit den ab 2023 wünschenswerten und ab 2026 obligatorischen Schlüssellängen von 3 072 Bit bei RSA und 384 Bit bei ECC umzusetzen ist. Die Dokumentenlandkarte enthält ebenfalls auf S. 21 den Hinweis zu einer weiteren Spezifikation des Card Operating System (COS) Elektrische Schnittstelle in der V3.10.0 vom 21. April 2017 (Unterlage der gematik zur Einführung der Gesundheitskarte „Spezifikation des Card Operating System (COS) – elektrische Schnittstelle“; Stand: 21. April 2017, https://fachportal.gematik.de/fachpor tal-import/files/gemSpec_COS_V3.10.0.pdf, abgerufen am 13. Oktober 2023). Diese Spezifikation definiert die Anforderung an die Funktionalität einer Betriebssystemplattform (COS-Plattform) für elektronische Karten im Gesundheitswesen. Kapitel 14 enthält dabei normative Kommandos, welche an eine SmartCard geschickt werden. In Abschnitt 14.9.3 (S. 356 ff.) wird beschrieben, dass das Kommando Generate Asymmetric Key Pair (GAKP) dem Erzeugen von asymmetrischen Schlüsselpaaren und dem Auslesen eines dabei erzeugten öffentlichen Schlüssels dient. Damit dies erfolgt, müssen die Konnektoren die entsprechenden Kommandos an die gSMC-K absetzen. Dies ist wiederum in der Konnektorspezifikation V4.11.1 vom 14. Dezember 2016 als Bestandteil der Dokumentenlandkarte beschrieben (Unterlage der gematik zur Einführung der Gesundheitskarte „Spezifikation Konnektor“; Stand: 14. Dezember 2016, https://fachportal.gematik.de/fachportal-import/files/gemS pec_Kon_V4.11.1.pdf, abgerufen am 13. Oktober 2023). Diese Spezifikation definiert die Anforderungen zu Herstellung, Test und Betrieb des Produkttyps Konnektor. Unter dem Abschnitt 3.1 (S. 29 ff.) wird ausgeführt, dass der Konnektor das geheime Schlüsselmaterial zur Geräteidentität (ID. NK. VPN, ID.AK. AUT, ID. SAK. AUT) und die Rolle SAK (C.SAK. AUTD-CVC) über SmartCards des Typs gSMC-K nutzen muss. Der Konnektor muss mit einer gSMC-K bestückt sein, wobei er mit mehr als einer gSMC-K bestückt sein kann. Unter den Randnummern 962 bis 965 wird weiter ausgeführt, dass die gSMC-K über die Möglichkeit zur nachträglichen Generierung von Schlüsselpaaren und zum Nachladen der zugehörigen Zertifikate verfügen muss. Des Weiteren wird ausgeführt, dass dieser Mechanismus erst in den kommenden Releases durch den Konnektor unterstützt wird. Initial sind alle Identitäten jedoch bereits einmal auf der gSMC-K vorhanden. Somit musste nach Einschätzung der Fragesteller allen Herstellern bewusst gewesen sein, dass das Nachladen von Zertifikaten als Alternative zum Hardware-Konnektortausch in Kenntnis einer langen Vorlaufzeit umzusetzen ist. Am 30. Juni 2021 trat dann die Konnektorspezifikation Version 5.13.0 sowie die dazugehörige Prüfvorschrift für die Produkttypversion 5 (PTV5) in Kraft (Unterlage der gematik zur elektronischen Gesundheitskarte und Telematikinfrastruktur „Spezifikation Konnektoren“; Stand: 13. April 2021, https://fachport al.gematik.de/fachportal-import/files/gemSpec_Kon_V5.13.0_Aend.pdf, abgerufen am 13. Oktober 2023). In der Konnektorspezifikation V 5.13.0 wird auf S. 32 ff. unter Nummer 3.1.1 die Erneuerung der Zertifikate der gSMC-K verbindlich für Konnektoren erläutert. Danach muss der Konnektor 180 Tage vor Ablauf des aktuell verwendeten Zertifikats den Zertifikatserneuerungsprozess anstoßen. Nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind selbst die aktuellen RSA-Zertifikate noch bis zum 31. Dezember 2024 nutzbar. Diese verfügbare Zeit hätte nach Einschätzung der Fragesteller gereicht, um andere alternative Lösungen zum Konnektortausch zu entwickeln. Dies wurde zumindest mit dem Remote-Zertifikatsaustausch nunmehr nachgeholt. Auch im Produkttypsteckbrief Prüfvorschrift Konnektor Version 5.0.0-0 vom 30. Juni 2021 wird u. a. auf S. 2 ff. die Einarbeitung „Feature gSMC-K- Laufzeitverlängerung“ beschrieben. Das Feature „gSMC-K- Laufzeitverlängerung“ in der Version 1.0.0 vom 30. Juni 2021 beschreibt die spezifikatorische Grundlage für eine sichere verlängerte Nutzung von Konnektoridentitäten der gSMCK. Die Abstimmung des Dokumentes erfolgte mit den Herstellern, dem BSI und den Gesellschaftern der gematik (vgl. S. 5 ff., Unterlage der gematik zur elektronischen Gesundheitskarte und Telematikinfrastruktur „Produkttypsteckbrief Prüfvorschrift Konnektor“; Stand: 30. Juni 2021, https://ww w.heise.de/downloads/18/3/5/9/9/2/3/4/Produkttypsteckbrief_Konnektor.pdf, abgerufen am 13. Oktober 2023, und „Feature: Laufzeitverlängerung gSMC- K“; Stand: 30. Juni 2021, https://fachportal.gematik.de/fachportal-import/files/ gemF_Laufzeitverlaengerung_gSMC-K_V1.1.0_Aend.pdf, abgerufen am 13. Oktober 2023). In der Zielsetzung zu Nummer 1.1 dieses Dokumentes wird beschrieben, dass das Feature „Laufzeitverlängerung gSMC-K“ als eine technische Alternative zu einem Austausch der betroffenen Geräte umgesetzt werden muss. Die Umsetzung erfolgt demnach in der Produkttypversion PTV5 des Konnektors. Ausweislich der Zulassungsübersicht der gematik vom 11. August 2022 hatten zwei Konnektorenhersteller die Vorgaben PTV5 am 29. Dezember 2021 (Firma Research Industrial Systems Engineering [RISE] Deutschland GmbH) und am 11. Januar 2022 (Firma secunet Security Networks AG) wie gefordert umgesetzt. Nach Kenntnisstand der Fragesteller mussten die Hersteller secunet und RISE das Feature Laufzeitverlängerung gSMC-K aus dem Release PTV 5 wieder entfernen. Mit diesem Feature wäre es dann auch möglich gewesen, neben den RSA-Zertifikaten, die bis zum 31. Dezember 2024 nach BSI-Vorgaben wirksam sind, auch Zertifikate einzuspielen, sogenannte ECC-Zertifikate, die nach BSI-Vorgaben eine über den 31. Dezember 2024 hinausgehende Wirksamkeit entfalten. Die Firma C. M. SE & Co. KGaA hat die normativen Forderungen nach Kenntnissen der Fragesteller nicht umgesetzt. Mit Beschluss der Gesellschafterversammlung der gematik vom 28. Februar 2022 wurde der Konnektortausch als sicherste Lösung erklärt (https://www.han delsblatt.com/inside/digital_health/telematikinfrastruktur-130-000-konnektore n-werden-in-praxen-getauscht/28183314.html). Mit Pressemitteilung der gematik vom 30. August 2022 (https://www.gematik.de/newsroom/news-detail/press emitteilung-e-rezept-mit-karte-beschlossene-sache) wurde der zuvor genannte Beschluss vom 28. Februar 2022 dahin gehend abgeändert, dass das als alternativlos deklarierte Szenario des Konnektortausches nur noch für Konnektoren gilt, deren Zertifikate bis August 2023 ablaufen. Ab September 2023 sollten dann Alternativen wie die Laufzeitverlängerung gSMC-K oder ein Anschluss über ein Rechenzentrum angeboten werden (https://www.gematik.de/datensich erheit/konnektortausch), obgleich die Hersteller RISE und secunet bereits vor ihrer Zulassung am 29. Dezember 2021 bzw. 11. Januar 2022 zu PTV5 den Nachweis der implementierten Laufzeitverlängerung erbracht hatten. Unter diesem Aspekt erscheint nach Ansicht der Fragesteller der Beschluss der Gesellschafterversammlung der gematik vom 28. Februar 2022 bzw. vom 29. August 2022 für den sogenannten alternativlosen Austausch der Konnektoren mehr als fraglich, zumal der Chaos Computer Club nachweislich andere Szenarien dargestellt hat. Von dem Konnektortausch waren somit überwiegend nur noch die Konnektoren der Firma C. M. betroffen. Ursächlich hierfür ist die fehlende Umsetzung der Spezifikation vom 30. Juni 2021 zur Laufzeitverlängerung der gSMC-K. Ausweislich der Übersicht „Hardwaretausch der Fa. C. M.“ vom 24. Mai 2022 waren allein im Zeitraum vom 1. September 2022 bis zum 31. März 2023 im ärztlichen Bereich 24 146 Konnektoren und im zahnärztlichen Bereich 11 295 Konnektoren, mithin 35 441 Konnektoren insgesamt zu tauschen (Unterlage der CGM „TI-Kompakt Konnektortausch“, Handout Informationsveranstaltung für Leistungserbringerorganisationen; Stand: 25. Mai 2022). Nach den jeweiligen Grundsatzfinanzierungsvereinbarungen der Kassenärztlichen Bundesvereinigung und der Kassenzahnärztlichen Bundesvereinigung mit dem GKV-Spitzenverband (GKV = gesetzliche Krankenversicherung) wurden bis zum 30. Juni 2023 für den jeweiligen Konnektortausch 2 300 Euro brutto erstattet (https://www.kbv.de/html/1150_59203.php). Mit der neuen TI- Pauschalenvereinbarung ab dem 1. Juli 2023 werden diese Beträge in eine monatliche Pauschale überführt (https://www.kbv.de/html/konnektorentausc h.php). Wir fragen die Bundesregierung: 1. Welche Schlüsse zieht die Bundesregierung aus der Tatsache, dass der Konnektorhersteller C. M. die normativen Grundlagen der Konnektorspezifikation vom 30. Juni 2021 der gematik zur Vorbereitung der Remote- Zertifikatsverlängerung nicht fristgerecht umgesetzt hat? 2. Aus welchen Gründen wurde nach Ansicht der Bundesregierung dieses Fehlverhalten eines einzelnen Herstellers ohne zulassungsbeschränkende Maßnahmen hingenommen, sind der Bundesregierung die tragenden Gründe bekannt, und wenn ja, was sind die konkreten Gründe? 3. Ist der Bundesregierung bekannt, ob und wie die Hardware- Voraussetzungen für die Umsetzung der normativen Vorgaben der gematik im Rahmen der Zulassungsverfahren der Konnektorhersteller geprüft wurden, und wenn ja, warum hat die Firma C. M. eine Zulassung der Prüfinstanz gematik im Jahr 2017 für ihren Konnektor erhalten, obgleich absehbar war, dass die Hardware-Voraussetzungen nicht – wie von der gematik selbst gefordert und von anderen Herstellern erfüllt – für die Umsetzung der Konnektorspezifikation vom 30. Juni 2021 gegeben waren, und wenn nein, welche Maßnahmen ergreift die Bundesregierung, um derartige Fehlentscheidungen zukünftig zu vermeiden? 4. Ist der Bundesregierung bekannt, nach welchem Kriterienkatalog für Konnektoren die gematik entscheidet, welcher Hersteller die Zulassung bekommt, und sind diese Zulassungskriterien offen zugänglich, und wenn ja, wo sind sie einsehbar? 5. Kann die Bundesregierung den Schaden beziffern, den die gesetzliche Krankenversicherung tragen muss, weil ein Hersteller die normativen Vorgaben der gematik nicht umgesetzt hat, und wenn ja, wie hoch ist dieser Schaden zulasten der GKV, und welche Konsequenzen leitet die Bundesregierung hieraus ab? 6. Welche Maßnahmen hat die Bundesregierung getroffen, um die Kostenentwicklung in der gesetzlich verpflichtenden Anbindung u. a. der Arzt- und Zahnarztpraxen an die TI einzudämmen, sind darüber hinausgehende Maßnahmen geplant, und wenn ja, welche? 7. Liegt der Bundesregierung eine Kostenvergleichsrechnung Konnektorentausch vs. Remotezertifikatsverlängerung vor, die belegt, dass der Konnektorentausch wirtschaftlicher ist und die GKV bei den TI-Kosten nachhaltig entlastet wird, und wenn ja, wo, und wann wird diese Kostenvergleichsrechnung veröffentlicht? 8. Sind der Bundesregierung die tragenden Gründe für den Konnektortausch bekannt, die nach Ansicht der Fragesteller offensichtlich so schwerwiegend sein müssen, dass dadurch das Vertrauen der Nutzer in die Komponenten und Dienste der TI nachhaltig gestört wird, wenn ja, warum hat die Bundesregierung die Entscheidung der Gesellschafterversammlung der gematik unwidersprochen akzeptiert, und wenn nein, was gedenkt die Bundesregierung, hinsichtlich der Aufarbeitung der tragenden Gründe und der transparenten Darstellung in der Öffentlichkeit zur Erhöhung der Akzeptanz dieser Entscheidungen zu veranlassen? 9. Sieht die Bundesregierung das Gleichbehandlungsgebot dahingehend als erfüllt an, dass der Austausch der Konnektoren den Praxen mit Konnektoren der Firma C. M. im Rahmen einer Vollkostenregelung mit 2 300 Euro pro Praxis nach alter Finanzierungsvereinbarung erstattet wurde, während durch die neue TI-Pauschalenregelung des Bundesministeriums für Gesundheit mit Wirkung zum 1. Juli 2023 die Erstattungsbeträge für den Konnektorentausch in die monatliche Pauschale umgerechnet und für fünf Jahre durch die Praxen vorfinanziert werden, und wenn ja, aus welchen Gründen? Sieht die Bundesregierung berechtigte Gründe, warum Praxen mit Konnektoren der Firma C. M. anders behandelt werden als Praxen mit secunet- und RISE-Konnektoren, und wenn ja, welche? Berlin, den 7. November 2023 Friedrich Merz, Alexander Dobrindt und Fraktion Gesamtherstellung: H. Heenemann GmbH & Co. KG, Buch- und Offsetdruckerei, Bessemerstraße 83–91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.bundesanzeiger-verlag.de ISSN 0722-8333