Berufsverband Deutscher Psychologinnen und Psychologen e. V.

VPP informiert zum TI-Konnektorentausch

Konnektorwechel: Neuer Konnektor, Software-Update/Zertifikatverlängerung oder Wechseln zum Rechenzentrum? Was ist zu tun?

 

Wir haben uns zu diesen Themen am 18. Juli 2023 an die TI-Beauftragte der KV Bayern (Michaela Schindler) gewendet.

Folgende Fragen haben wir gestellt:

  1. Die PVS-Anbieter machen sehr "aggressiv" Werbung für Konnektor-Farm-Lösungen. In den kommenden Jahren wird jedoch der hardwarefreie Konnektor als Softwarelösung (TI2.0) kommen. Macht es überhaupt Sinn, zu einem Rechenzentrum zu wechseln? Welche Haftungsrisiken bleiben uns Psychotherapeut:innen bzw. Kassenpraxen-Inhabenden?

  2. Die demnächst hoffentlich erscheinende Software-Konnektor-Update Lösung (statt anstehendem Konnektortausch) wird kritisch beschrieben von den PVS - Hasomed schreibt z.B., Kassenpraxen hätten hier (mehr) Haftungsrisiken. Unsere Mitglieder sind sehr irritiert. Wir haben geraten, abzuwarten, bis die Softwarelösung für die Konnektor-Zertifikatsverlängerung kommt und wir haben uns z. B. an HASOMED gewandt und das Vorgehen kritisiert - hierzu aber keine differenzierte Antwort bekommen. Gibt es Informationen, wann die Softwarelösung kommt? Gibt es Informationen, ob es hier unterschiedliche Haftungsrisiken im Vergleich zu einem Hardware-Konnektortausch gibt, oder im Vergleich zum Wechsel zu einem Rechenzentrum? 

Folgende Antworten haben wir erhalten:

1. TI-Finanzierungsvereinbarung

Nach sehr konstruktiven Gesprächen mit dem Bundesgesundheitsministerium zeichnet sich eine Anpassung der neuen Finanzierungsvereinbarung ab. Demnach werden KVen Ausnahmen für die TI-Anwendungen eAU, eRezept und auch NFDM/eMP für Fachgruppen definieren können, die die genannten Anwendungen im Regelfall nicht in ihrem Versorgungskontext nutzen (können).

Wir rechnen damit, dass die aktualisierte Vereinbarung nächste Woche verabschiedet wird. Sobald die Neuerungen veröffentlicht sind, werden wir alle Mitglieder erneut per Serviceschreiben informieren.

2. Konnektorfarmen, TI-Gateway und Haftung

Vorweg ein spezifischer Hinweis, falls Sie mit der „aggressiven“ Werbung ein Kundenanschreiben von medatixx / i-Motion in Bezug auf deren TI-as-a-Service-Lösung meinten:

Bei der Lösung von medatixx / i-Motion kommt keine Konnektorfarm zum Einsatz. Das Modell wird vom Unternehmen zwar als „TI-as-a-Service“ bezeichnet, de facto bleibt der Konnektor aber in den Praxisräumlichkeiten stehen. Im Sprachgebrauch von medatixx / i-Motion übernimmt der Dienstleister die Verantwortung für den laufenden Betrieb des Konnektors und Kartenterminals, und zwar per Fernwartung.

Wir haben medatixx schon im April mitgeteilt, dass wir den Namen „TI-as-a-Service“ für diese Dienstleistung unpassend finden, weil der Begriff von der gematik und der KBV grundsätzlich gleichgestellt wird mit Konnektorfarm und somit von den Kunden falsch verstanden werden könnte. Sie haben sich davon aber nicht abbringen lassen.

Nun aber grundsätzlich zur Haftung in Bezug auf Konnektorfarmen:

Gemäß Vorgaben der gematik ist neben der TI-Anbindung mittels eines Vor-Ort-Konnektors im Rahmen einer Auftragsdatenverarbeitung auch die TI-Anbindung über einen Konnektor im Rechenzentrum möglich. Im Rechenzentrumsmodell werden – genau wie bei einer TI-Anbindung vor Ort – ausschließlich von der gematik zertifizierte Komponenten (Konnektoren und VPN-Zugangsdienst) eingesetzt. Die Verbindung zwischen der Praxis und dem Rechenzentrum ist zwingend per VPN-Tunnel (Virtuelles Privates Netzwerk) gesichert. Zusätzlich ist die Verbindung der Praxissoftware sowie der Kartenterminals mit dem Konnektor verschlüsselt. Mit diesen Maßnahmen werden die Anforderungen der IT-Sicherheitsrichtlinie optimal erfüllt.

Die gematik stellt in ihrem Informationsblatt "Datenschutz und Haftung in der Telematikinfrastruktur" klar, dass die Haftung der/des Praxisinhaber*in nach der Datenschutz-Grundverordnung (DSGVO) in jedem Fall ausscheidet, wenn die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den im Betriebshandbuch der Komponenten beschriebenen Anforderungen aufgestellt und betrieben werden. Dies trifft auf den Vor-Ort-Konnektor und auch den Konnektor-im-Rechenzentrum gleichermaßen zu.

Gemäß § 307 SGB V liegt die Verantwortung für den sicheren Betrieb der TI-Zugangsdienste ab dem Konnektor bei der gematik und den jeweiligen Anbietern. Auch diesbezüglich gibt es keinen Unterschied zwischen den bisherigen Anbindungsmodellen.

Grundsätzlich besteht in Bezug auf die Haftung demnach kein Unterschied zwischen dem Einsatz eines Vor-Ort-Konnektors und der Konnektorfarm.

Haftung in Bezug auf TI-Gateway
Bei dem TI-Gateway handelt es sich um keinen (physischen) Konnektor, sondern um eine technische Lösung, die es ermöglichen soll, dass Highspeed-Konnektoren im Rechenzentrum den TI-Anschluss für eine Vielzahl von Einrichtungen bereitstellen können.

Highspeed-Konnektoren sind technisch deutlich leistungsfähigere Geräte als der bisherige Konnektor. Im Juni 2023 wurde eine erste Lösung (der Firma RISE) zugelassen. Weitere Zulassungen sollen folgen. Im ersten Schritt sollen Highspeed-Konnektoren im Krankenhausbereich zum Einsatz kommen.

Das auf diesen Highspeed-Konnektoren basierende TI-Gateway wird frühestens im Herbst 2023 verfügbar sein. Aktuell lässt sich noch nicht sagen, ob es mit dem künftigen Einsatz des TI-Gateways Änderungen in Bezug auf die Haftung geben wird. Wir verfolgen das Thema aber aktiv.

3. Laufzeitverlängerung des Konnektorzertifikats

Laut der letzten Presseberichte zu dem Thema soll eine Laufzeitverlängerung für secunet Konnektoren ab August (also in wenigen Wochen oder sogar Tagen) und für RISE Konnektoren auch noch in diesem Halbjahr möglich sein. Wir gehen davon aus, dass beide Unternehmen per Presseinformation über den offiziellen Start berichten werden. Ob auch KocoBox Med+ Konnektoren eine Laufzeitverlängerung ermöglichen werden, entzieht sich unserer Kenntnis.

Ich finde die von Ihnen zitierte Argumentation mit Betonung von Haftungsrisiken von HASOMED von März 2023 sehr überraschend. Ich habe vor einigen Wochen (Juni/Juli 2023) mit der Geschäftsführerin von PsyPrax telefoniert, die mir sagte, sie wollen die Laufzeitverlängerung aktiv empfehlen, da sie geringere Kosten für ihre Kunden erwarten und zudem hoffen, damit die Zeit bis zur TI 2.0 / TI-Gateway überbrücken zu können. Auf Haftungsrisiken ist im Gespräch mit PsyPrax überhaupt nicht eingegangen worden.

Wir nehmen Ihren Bericht aber gerne zum Anlass, von der Kassenärztlichen Bundesvereinigung klären zu lassen, ob mit der Laufzeitverlängerung höhere Haftungsrisiken einhergehen als mit einem herkömmlichen Konnektortausch bzw. Wechsel ins Rechenzentrum. Gerne berichte ich im Rahmen des nächsten BFA FÄ über unsere diesbezüglichen Erkenntnisse.

Grundsätzlich stimmt es, dass es keine Garantieverlängerung gibt im Fall einer Laufzeitverlängerung der Sicherheitszertifikate. Allerdings haben wir in der Vergangenheit erlebt, dass die meisten Defekte, die nach zwei Jahren (also nach Ablauf der gesetzlichen Garantiefrist) aufgetreten sind, nicht mehr von den Herstellern erstattet wurden. Insofern verwundert mich der Hinweis auf eine Fünf-Jahres-Garantie.

Tatsächlich bietet der Konnektor-im-Rechenzentrum in vielen Fällen die größte Risikominimierung. Eine Garantie läuft im Regelfall solange wie der Vertrag aufrecht erhalten wird, der Betreiber kümmert sich nicht nur um die Pflege und Wartung des Konnektors, sondern meist auch um erforderliche IT-Sicherheitsmaßnahmen innerhalb der Praxisräume, und die Rechenzentrumsbetreiber bestätigen auf Anfrage alle, dass sie künftig auch Zugänge zur TI 2.0 bereitstellen werden und den Kunden insofern aufwandsarme Wechselmöglichkeiten zum TI-Gateway anbieten wollen.

Wir werden die KBV bitten eine Übersicht für Praxen bereitzustellen, aus der die jeweiligen Vor- und Nachteile der drei Varianten (herkömmlicher Konnektortausch, Wechsel ins Rechenzentrum, Laufzeitverlängerung der Sicherheitszertifikate) transparent und umfassend hervorgehen.

Informationen des VPP zum Thema

Hier finden Sie unseren Ratschlag aus Mai 2023 sowie das Anschreiben des VPP zu „einseitig negativen Informationen“ des PVS Anbieters HASOMED zu Konnektor-Laufzeitverlängerungen (statt Konnektortausch).

Wir haben dazu keine differenzierte Rückmeldung von HASOMED erhalten.

04. August 2023

Susanne Berwanger (Vorsitz VPP im BDP e. V.)