Zentrale TI-Störung & die Folgekosten: Transparenz schaffen!

Die Störung in der zentralen Telematikinfrastruktur (TI) wurde Ende Mai 2020 dadurch ausgelöst, dass nach einem Wechsel des DNS-SEC-Schlüssels die Aktualisierung der von der gematik neu ausgeliefertem TSL (Trusted Service List) ausblieb. Die nicht kommunizierte Änderung des Vertrauensankers führte dazu, dass die Konnektoren dem aktuell gültigen Vertrauensanker nicht mehr vertrauten. Dies wiederum hatte zur Folge, dass der Versichertenstammdatendienst (VSDM) nicht mehr funktionierte.

Betroffen sind alle Konnektoren, die das sichere DNS-SEC-Verfahren verwenden. Dieses zentral verursachte Problem kann leider nur dezentral innerhalb der Arzt- oder Zahnarztpraxis mit dem Aufspielen eines aktuellen TSL-Zertifikats mit dem aktuell gültigen Vertrauensanker gelöst werden.

Der Konnektor kann weiterhin eine Verbindung zum zentralen Netz der TI aufbauen, jedoch können einige Dienste innerhalb der TI nicht oder nur eingeschränkt erreicht werden. Das DGN als Anbieter des DGN TI Pakets (für Arztpraxen) ist damit seinen Verpflichtungen gemäß der abgeschlossenen Verträge zum TI-Zugang nachgekommen.

Das DGN kann als VPN-Zugangsdienstanbieter nicht beeinflussen, wenn in der zentralen TI Dienste ausfallen oder nicht mehr erreichbar sind - aufgrund eines Zertifikats, das ein von der gematik beauftragtes Unternehmen falsch konfiguriert hatte und das von der gematik freigegeben wurde.

Für Nutzer des DGN TI-Pakets gilt: Selbstverständlich bietet der PVS-Partner, der vom DGN mit dem 1-Level-Support beauftragt ist, Hilfestellung beim Einspielen des TSL-Zertifikats.

Um die Zertifikatsumstellung so einfach wie möglich zu gestalten, haben die meisten PVS-Partner des DGN in ihren jeweiligen Quartalsupdates eine Funktion integriert, mit deren Hilfe das aktuelle Zertifikat aus der gewohnten Umgebung komfortabel aufgespielt werden kann. Mehr erfahren >

Die TSL hat eine begrenzte Laufzeit von 30 Tagen. Die letzte betroffene TSL wurde mit Datum 19.05.2020 ausgeliefert. Nach den 30 Tagen beginnt eine so genannte Schonfrist (Grace Period). So lange funktioniert der Konnektor noch ohne Einschränkung.

Nach weiteren 30 Tagen gehen die Konnektoren dann in einen kritischen Betriebszustand. Mit Erreichen dieses Betriebszustands können dann auch im Offline-Modus keine elektronischen Gesundheitskarten mehr eingelesen werden. Die Kartenleser sind dann nicht mehr in Betrieb.

Die gematik und KBV (als gematik-Gesellschafterin) haben auch öffentlich versichert, das Praxen durch den nicht durchgeführten Versichertenstammdatenabgleich (VSDM) kein Schaden bei der Abrechnung entsteht. Die der Praxis von der KV erstatteten monatlichen Gebühren bleiben unberührt.

Nach den gesetzlichen Vorgaben sind die Krankenkassen verpflichtet, die erforderlichen Kosten für die Ausstattung der Praxen und den laufenden Betrieb zu übernehmen. Somit entsteht auch hier der Praxis kein Schaden durch den Ausfall des VSDM-Dienstes.

Für Zahnarztpraxen dürfte Ähnliches gelten. Weitere Informationen bietet z. B. ein Beitrag der dzw: "Telematikinfrastruktur - Störfall und keinen stört‘s?"

In der TI-Finanzierungsvereinbarung (Anlage 32 BMV-Ä) zwischen der KBV und dem GKV-Spitzenverband sind in §3 die Betriebskosten geregelt. Die Praxis erhält demnach Betriebskostenpauschalen, um den TI-Betrieb sicherzustellen. Wen sie damit beauftragt, liegt in ihrem Ermessen. In §4 der Finanzierungsvereinbarung ist geregelt, dass die Praxis für die TI-Anbindung entweder

• (1) einen professionellen endnutzernahen Dienstleister (DVO) beauftragen oder
• (2) die TI-Komponenten und Dienstleistungen selbst beschaffen kann.

In Fall (2) geht die Sicherstellung der Funktionsfähigkeit der TI-Komponenten auf die Praxis über.

Für das Herunterladen des TSL-Zertifikats über das Internet und dessen Einspielen steht im Rahmen des VPN-Zugangsdienst-Vertrags der telefonische Support der DGN-Partner und des DGN kostenfrei zur Verfügung.

Ein Vor-Ort-Einsatz in der Praxis ist bisher nur selten erforderlich – beispielsweise, wenn die Praxis nicht mehr im Besitz des Konnektor-Passworts ist.

Für das hohe Sicherheitsniveau in der TI wird ein sicheres Verfahren für die Namensauflösung (DNS-SEC) eingesetzt. Dieses ist für die Auflösung von Namen in IP-Adressen notwendig. Alle dabei verwendeten kryptografischen Schlüssel werden auf diesen Vertrauensanker zurückgeführt.

DNS-SEC überprüft die Daten anhand von kryptografisch gesicherten Signaturen, die über die zu schützenden Daten errechnet und zusammen mit den Daten an den Konnektor übertragen werden.

Rund 50.000 von ca. 130.000 Konnektoren haben das DNS-SEC-Verfahren nicht im Einsatz und sind aus diesem Grund auch nicht von der zentralen TSL-Störung betroffen.

Die Aussage "gematik klärt Kostenfrage - Ärzte erhalten keine Rechnung" war in den vergangenen Tagen online bzw. in den Medien (z. B. in den KBV-Praxisnachrichten, in der Ärzte Zeitung) zu lesen. "Kostenregelung für Störungsbehebung sichergestellt" hieß es in einer Pressemitteilung der gematik.

Nach unserer Auffassung haben Aussagen wie diese keinen Bestand: Die Vertragsfreiheit, eines der wichtigsten Grundprinzipien des deutschen Zivilrechts und Ausprägung der Privatautonomie, ist grundrechtlich durch Art. 2 Abs. 1 GG gewährleistet und wird in § 311 Abs. 1 BGB vorausgesetzt. Verträge zu Lasten Dritter sind also im deutschen Recht nicht vorgesehen.

Der IT-Dienstleister vor Ort hat im Regelfall (d. h. wenn kein separater Servicevertrag vorliegt) keine Verpflichtung, für Schäden durch eine falsch konfigurierte TSL aufzukommen, die von der gematik als Betreiberin der TI verursacht wurden, und seine Dienstleistungen auftragslos und kostenlos zu erbringen.

Auch hat die gematik als Betriebsgesellschaft der Telematikinfrastruktur (TI) kein Verfahren mit den VPN-Zugangsdienstanbietern zur Finanzierung abgestimmt, sondern diese ins Benehmen gesetzt. Die gematik kann weder juristisch noch vertraglich die Arztpraxen von evtl. Kosten der Dienstleister vor Ort freistellen – außer sie erteilt einen rechtlich bindenden Auftrag. Die gematik ist verantwortlicher Betreiber der zentralen Dienste und hat keinerlei vertragliche Bindung zu den IT-Dienstleistern vor Ort.

Richtig ist, dass die VPN-Zugangsdienstanbieter im Regelfall unentgeltlichen telefonischen Support oder Support per Fernwartung nach den abgeschlossenen VPN-Verträgen anbieten. Der VPN-Zugangsdienstanbieter hält auch den Vertrag über die VPN-Anbindung an die TI und Konnektor-Wartung mit der Arzt-, Zahnarzt- oder Psychotherapiepraxis. Natürlich hat die Praxis hier eine Mitwirkungspflicht, da das Konnektor-Passwort für das Einspielen der neuen TSL und auch für Konnektor-Updates notwendig ist.

Die Bedienoberfläche des Konnektors ist auch jeder Praxis zugänglich. In der Praxis werden ja auch die jeweiligen Updates für Computer und das Praxisverwaltungssystem (PVS) eigenständig eingespielt, ohne dass IT-Dienstleister vor Ort wäre. Der Dienstleister vor Ort und die Praxis sind also gut beraten, die Kostenfrage vor der Ausführung zu klären. Einen "Persilschein" gibt es hier nicht.

In der aktuellen Berichterstattung werden im Zusammenhang mit der TI-Störung häufig missverständliche bzw. ungenaue Begrifflichkeiten genutzt: der "zuständige IT-Dienstleister" oder der "zuständige IT-Servicepartner".

Laut gematik-Spezifikationen sprechen wir zum einen von "zugelassenen VPN-Zugangsdienstanbietern" (so zum Beispiel das DGN), zum anderen von den "Dienstleistern vor Ort (DVO)" (von der Praxis für die TI-Installation beauftragt).

Um eine Praxis an die Telematikinfrastruktur (TI) anschließen zu können, benötigen Dienstleister vor Ort (DVO) im Übrigen keine Zertifizierung durch die gematik.

s. dazu auch:

• gematik: "Keine Zertifizierung von Dienstleistern vor Ort"
• gematik-Glossar: "Dienstleister vor Ort"
• gematik-Glossar: "Telematikinfrastruktur"