Am 19. Januar 2021 hat die Kassenzahnärztliche Bundesvereinigung darüber berichtet, dass die Delegierten der Vertreterversammlung im schriftlichen Umlaufverfahren der „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ (sog. IT-Sicherheitsrichtlinie) zugestimmt haben. Am 1. Februar 2021 ist der Richtlinientext, wie angekündigt, in den „Zahnärztlichen Mitteilungen“ veröffentlicht worden. Sie ist damit am 2. Februar 2021 in Kraft getreten.
Wenig überraschend, zeigt sich die von der KZBV erlassene Richtlinie bis auf wenige Ausnahmen identisch mit der von der KBV bereits am 18. Dezember 2020 veröffentlichten und zum 22. Januar 2021 in Kraft getretenen Richtlinie für die Vertragsärzte und Psychotherapeuten. In concreto beschränkt sich der Unterschied auf die Aufnahme Dental-MRTs in die Großgeräteliste nach Anlage 4 der Richtline.
Warum ist die IT-Sicherheitsrichtline überhaupt erlassen worden?
Viele werden sich fragen, warum sie als niedergelassene Vertragsärzte nun – mitten in der Corona-Pandemie – von der KZBV jetzt auch noch mit einer IT-Sicherheitsrichtlinie konfrontiert werden, die – dies verschärft die ganze Sache noch zusätzlich – bereits in zwei Monaten, das heißt zum 1. April 2021, in zahlreichen Punkten durch die Zahnarztpraxen umgesetzt sein muss und bis in den Sommer 2022 hinein zu weiteren Umsetzungsmaßnahmen verpflichtet, die unter Umständen und je nach aktueller Ausstattung der Praxis nicht unerhebliche Investitionen nach sich ziehen. Die Antwort ist dem Grunde nach recht schnell gefunden: Der Bundesgesetzgeber hat die KBV und die KZBV hierzu im Rahmen des zum 19. Dezember 2019 in Kraft getretenen Paragrafen 75b Fünftes Sozialgesetzbuch (SGB V) verpflichtet.
Eigentlich hätte die Umsetzung dieser Verpflichtungen bereits zum 30. Juni 2020 im Erlass einer entsprechenden Richtlinie münden müssen; die beiden Bundesvereinigungen taten sich jedoch recht schwer darin, die Normvorgaben auszufüllen und das richtige Maß an Anforderungen für die Arzt- und Zahnarztpraxis zu finden. Die ursprüngliche Bestrebung zum Erlass einer gemeinsamen Richtlinie der KZBV und der KBV wurde daher zwischenzeitlich von der KBV gänzlich verworfen (https://www.zm-online.de/news/politik/kzbv-will-eigene-it-sicherheitsrichtlinie-vorlegen/); wie die nunmehr im Wesentlichen wortidentisch veröffentlichte Richtlinie der KZBV zeigt, herrscht indes zwischenzeitlich wieder Einigkeit.
Dies war auch dringend notwendig, nachdem das BMG den beiden Vereinigungen aufsichtsrechtliche Maßnahmen angedroht hatte (siehe Bericht im Deutschen Ärzteblatt), wenn nicht zeitnah eine Richtlinie verabschiedet werde. Dies barg die Gefahr der sogenannten Ersatzvornahme und dem Erlass einer IT-Sicherheitsrichtlinie aus dem Ministerium heraus. Ob eine solche, anlässlich der offenen Kritik am IT-Sicherheitsniveau in Arzt- und Zahnarztpraxen und dem vonseiten der KBV vorgeschlagenen Richtlinientexten (vgl. etwa den Bericht im Handelsblatt [kostenpflichtig]) vorteilhaft gewesen wäre, mag bezweifelt werden.
Leider, dies zeigt ein vertiefter Blick in den nunmehr erlassenen Richtlinientext, ist jedoch auch KBV und KZBV mit der IT-Sicherheitsrichtlinie kein „großer Wurf“ gelungen. Vielmehr dürfte die Richtlinie viele Ärzte und Zahnärzte, die selbst keine IT-Sicherheitsexperten sind und auch nicht werden sollen, inhaltlich überfordern. Zudem zeigt sich die Richtlinie in vielen Punkten unbestimmt und unklar, woran auch die zwischenzeitlich von der KBV veröffentlichten Praxishinweise (abrufbar unter: https://hub.kbv.de/display/itsrl) tatsächlich kaum etwas ändern dürften. Ob die Richtlinie und die hierin normierten Anforderungen daher schlussendlich insgesamt rechtmäßige Regelungen darstellen, mag bezweifelt, soll aber an dieser Stelle zunächst nicht weiter vertieft werden.
Zielsetzung der IT-Sicherheitsrichtlinie
Im ursprünglichen Gesetzesentwurf zu Paragraf 75b SGB V heißt es, dass die fortschreitende Digitalisierung neue Potenziale und Synergien in der medizinischen Versorgung eröffne, gleichzeitig aber auch die Abhängigkeit von IT-Systemen in der vertragsärztlichen und vertragszahnärztlichen Versorgung wachse. Dies wiederum gehe mit einem wesentlich erhöhtem Bedrohungspotenzial für Cyberangriffe in der Praxis einher, die sich zunehmend zielgerichteten, technologisch ausgereiften und komplexeren Angriffen ausgesetzt sähen (BT-Drucks. 19/13438, S. 48). Da diese Bedrohungslage auf freiwilliger Basis nicht hinreichend und vor allem nicht flächendeckend begegnet werde, sah sich der Bundesgesetzgeber dazu veranlasst, die Vertragsärzte und -zahnärzte zur Etablierung gewisser Mindeststandards zum sicheren Umgang mit Daten zu verpflichten. Der Beschreibung dieser Mindestanforderungen dient die nunmehr erlassene IT-Sicherheitsrichtlinie.
Was wird geregelt?
Vordergründig und wohl auch nach Auffassung der KBV in ihren Praxishinweisen normiert die IT-Sicherheitsrichtlinie Anforderungen an den Einsatz von Hard- und Software in der Zahnarztpraxis, wobei – je nach Praxisgröße – unterschiedlich hohe beziehungsweise weitreichende Anforderungen normiert werden. Wer die Richtlinie etwas genauer liest, der wird schnell feststellen, dass die Erfüllung zahlreicher Anforderungen auch rechtliche Maßnahmen erfordert, zu denen sich weder der Richtlinientext, noch die Praxishinweise konkret verhalten, die aber denknotwendiger Weise zu ergreifen sein werden, will man die Richtlinienanforderungen auch wirksam erfüllen. Dies wiederum wird die adressierten Zahnarztpraxen gegebenenfalls auch vor arbeits- und datenschutzrechtliche Probleme stellen, die eine pragmatische und praxistaugliche Lösung erfordern. Die KZBV ist hierzu indes weder berufen, noch befugt; ob diese Probleme bei Abfassung der Richtlinie überhaupt adressiert und wahrgenommen wurden, muss hier offenbleiben.
Praxisgröße entscheidend, doch was ist die Praxis?
Adressat der Richtlinie ist nicht der einzelne Zahnarzt, sondern – insoweit vertragsarztrechtlich untypisch – die Praxis. Diese kann – bei der Einzelzahnarztpraxis – mit dem Vertragszahnarzt identisch sein, muss es und wird es aber bei Zusammenschlüssen mehrerer Berufsträger, beispielsweise in einer Berufsausübungsgemeinschaft (GbR oder PartG) oder einem MVZ (gegebenenfalls als GmbH) in den meisten Fällen nicht sein. Fraglich und unbeantwortet bleibt ebenso, ob auch Praxisgemeinschaften, die nicht auf die gemeinsame Berufsausübung, regelmäßig aber sehr wohl aber den gemeinsamen Betrieb von IT-Infrastruktur ausgerichtet sind, Adressaten der Norm sind. Was passiert, wenn der eine Teil der Praxisgemeinschaft vertragszahnärztlich tätig ist, während der andere Teil nur privatzahnärztlich agiert, bleibt ebenso offen. Dies wird aber zu Problemen führen, weil sich die IT-Sicherheitsrichtlinie beziehungsweise Paragraf 75b SGB V ausdrücklich nur an Vertragszahnärzte richten. Das Abstellen auf die Praxis als Organisationseinheit ist von Paragraf 75b SGB V daher auch gar nicht vorgesehen; es wird abzuwarten sein, ob hier Klarstellungen vonseiten der KBV oder der KZBV erfolgen werden. Notwendig wären sie in jedem Fall.
Schiebt man die Unbestimmtheit des Praxisbegriffs beiseite, dann unterscheidet die IT-Sicherheitsrichtline zwischen drei unterschiedlichen Adressaten- beziehungsweise Verantwortlichenkreisen, nämlich der Praxis, der mittleren Praxis und der Großpraxis beziehungsweise der Praxis mit Datenverarbeitung in erheblichem Umfang. Auch hier bleibt einiges unbestimmt, denn wie stellt der Zahnarzt fest, zu welcher Gruppe seine Praxis zählt? Entscheidend sollen nicht die Patientenzahl (was nahegelegen hätte) oder die Anzahl von Behandlern, sondern schlicht die Anzahl von Personen sein, die „ständig“ mit der Datenverarbeitung betraut sind. Eine Praxis mit bis zu fünf dieser Personen ist eine „Praxis“, eine Praxis mit sechs bis 20 solcher Personen ist eine „mittlere Praxis“. Praxen ab 21 Personen, die ständig mit der Datenverarbeitung betraut sind, gelten als „Großpraxis“.
Die Richtlinie selbst spricht es nicht an, es drängt sich aber die Vermutung auf, dass man sich für die „Definition“ an das Datenschutzrecht, genauer bei den Bestimmungen über die Bestellung eines Datenschutzbeauftragten (Paragraf 38 BDSG), angelehnt hat. Denn auch hier wird von Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, gesprochen. Es liegt also nahe, hier auf die datenschutzrechtliche Interpretation zurückzugreifen (siehe hierzu auch den Beitrag „Wer künftig einen Datenschutzbeauftragten braucht“ zur DSGVO). Die Zahl der mittleren Praxen dürfte damit gerade im zahnärztlichen Bereich einen großen Teil einnehmen, aber auch die Schwelle zur Großpraxis ist recht schnell überschritten.
Konsequenzen aus der Einordung der eigenen Praxis
Je nachdem, welcher Praxisgröße das eigene Tätigwerden schlussendlich zuzuordnen ist, treffen den Vertragszahnarzt (die Praxis kann gar nicht als solche rechtlich verpflichtet sein) recht unterschiedliche Verpflichtungen, die in den Anlagen 1, 2 und 3 der IT-Sicherheitsrichtlinie beschrieben werden. Es gilt das Prinzip der „zusätzlichen Verpflichtungen“. Das heißt: Alle Praxen (Vertragszahnärzte) haben die Verpflichtungen nach Anlage 1 zu erfüllen, die Verpflichtungen nach Anlage 2 treffen als zusätzliche Verpflichtungen nur die mittlere Praxis und die Großpraxis, wobei letztere zudem die Anforderungen nach Anlage 3 zu erfüllen hat.
Es würde an dieser Stelle zu weit gehen, die einzelnen in den Anlagen beschriebenen 57 Einzelpflichten zu beschreiben und vor allem inhaltlich zu erläutern. Fest steht jedoch, mindestens 35 Verpflichtungen (der Anlage 1) sind von ausnahmslos jedem Vertragszahnarzt zu beachten, und bereits dieses Set von Verpflichtungen dürfte viele Anwender vor Herausforderungen stellen. Dies sicherlich nicht in intellektueller Hinsicht, aber sehr wahrscheinlich wegen der Unbestimmtheit zahlreicher Verpflichtungen: Es wird einmal davon gesprochen, das etwas so sein „muss“, während anderes nur so sein „sollte“. Der Jurist erkennt in letzterer Formulierung eher einen unverbindlichen Hinweis, während ein „Müssen“ regelmäßig im Wortsinne einer Verpflichtung gleichkommt.
Können also bestimmte Maßnahmen – auch des Anlagen-Sets 1 (siehe etwa Ziffer 27, 26 oder auch 21) – einfach unbeachtet bleiben? Nimmt man das Ansinnen des Gesetzgebers ernst, wird man dies kaum annehmen können, der Wortlaut der IT-Sicherheitsrichtlinie wirft hier aber durchaus Fragen auf. Auch diese müssen im Interesse nicht nur der Anwenderfreundlichkeit, sondern der von Verfassungswegen einzufordernden Bestimmtheit der Norm, durch die KZBV und/oder die KBV verbindlich beantwortet werden, will man nicht Gefahr laufen, hier einen zahnlosen Tiger geschaffen und weiterhin die Ersatzvornahme als mögliche gesetzgeberische Option offen gelassen zu haben. Und dies muss schnell gehen, denn zahlreiche Maßnahmen aus der Anlage 1 sind bereits zum 1. April dieses Jahres umzusetzen und zu erfüllen. Es bleibt also nicht viel Zeit, sowohl für die Zahnärzte, als auch für die KZBV, um hier tätig zu werden. Weiter Verpflichtungen sind – wobei die Zeithorizonte gänzlich willkürlich festgelegt worden zu sein scheinen und eine zeitversetze Behandlung aus Anwendersicht auch betriebswirtschaftlich und technisch unsinnig erscheint – zu den Stichtagen 1. Juli 2021, 1. Januar 2021 und 1. Juli 2022 umzusetzen.
Ausgewählte Einzelfälle
Kurzfristig sicherzustellen (1. April 2021) sind beispielsweise
- die Nutzung ausschließlich „sicherer Apps“ auf Mobilgeräten: Wer ein iPhone mit sog. Jailbreak sein Eigen nennt (also eine Software, die es ermöglicht, auch Apps außerhalb des App-Stores von Apple zu laden und zu nutzen), wird jetzt also nicht nur von Apple dazu verpflichtet, den Jailbreak rückgängig zu machen, sondern auch von der IT-Sicherheitsrichtlinie (Anlage 1, Ziffer 1);
- der gänzliche Verzicht auf Cloud-Speicherung von Daten aus Microsoft Office-Anwendungen (Anlage 1, Ziffer 5): Wer Microsoft Office 365 im Einsatz hat, muss also reagieren. Die Praxishinweise der KBV lesen sich gar so, dass der Einsatz von Office 365 gänzlich untersagt ist und auch die Speicherung in OneDrive für unzulässig erklärt wird (siehe Praxishinweise zu Anlage 1 Ziffer 5, abrufbar: https://hub.kbv.de/pages/viewpage.action?pageId=63537333). Diese Verpflichtung geht indes weit über das hinaus, was selbst die Datenschutzaufsichtsbehörden für erforderlich erachten (hierzu etwa https://www.lda.bayern.de/media/pm/20201002_office365.pdf);
- der Verzicht auf das Speichern von Passwörtern und Formulardaten im Browser selbst (Anlage 1 Ziffer 8), und zwar unabhängig davon, wie sicher die Daten dort abgelegt sind oder abgelegt werden können;
- die Deaktivierung von Mikrofonen und Kameras an Praxis-PCs (Anlage 1, Ziffer 12): diese müssen bei Bedarf angestellt und nach Nutzung direkt wieder deaktiviert werden, und zwar auf Hardwareebene;
- das direkte Abmelden vom System nach Aufgabenerledigung (Anlage 1, Ziffer 13), damit dürfte ein passwortgeschützter Screensaver nicht (mehr) ausreichend sein; ob die jeweiligen Anwendungen dann stets geschlossen und neu geöffnet werden müssen, bleibt fraglich;
- dass Mobiltelefone mit einer SIM-PIN geschützt werden (Anlage 1, Ziffer 20): Wer hier bislang auf die Telefonsperre allein gesetzt hat, muss die PIN wieder anstellen. Warum, bleibt deshalb fraglich, weil heutzutage kaum noch Daten auf der SIM-Karte selbst abgelegt werden
Die Liste der Anforderungen ließe sich hier weiter fortführen, dies würde aber – wie gesagt – den Umfang und das Ziel dieses Beitrages, der eine erste Orientierung geben soll, überfrachten. Wer hier mehr wissen will, sollte die weiteren Informationsangebote der KZBV, die am 1. Februar erste Informationen und FAQ online gestellt hat, und der KZVen und unabhängiger Experten nutzen.
Weitere Informationsangebote
Einen weiteren Überblick, was Praxen jetzt zur IT-Sicherheitsrichtlinie wissen sollten, gibt Dr. Robert Kazemi am 4. Februar 2021 in einem Interview bei Quintessence News Live, das im Nachgang auch als Video on demand abgerufen werden kann. Am 17. Februar 2021 fand ein Webinar zur IT-Sicherheitsrichtlinie mit Dr. Kazemi statt, das jetzt auch zum Abruf (kostenpflichtig) zur Verfügung steht..
Der Autor hat zudem einen Quickcheck für Arzt- und Zahnarztpraxen entwickelt, der in Kürze online zur Verfügung stehen wird. Damit können Zahnärzte feststellen, ob sie vermutlich noch Umsetzungspflichten treffen werden.
Die hier wiedergegeben Beispiele aus dem Pflichtenkatalog betreffen alle Praxen, für mittlere und Großpraxen treten – wie geschildert – zahlreiche weitere Verpflichtungen hinzu, die den Anlagen 2 und 3 der Richtlinie entnommen werden können.
Sonderanforderungen an „Großgeräte“ – DVT-Betrieb umfasst?
Wer in seiner Praxis ein „medizinisches Großgerät“ betreibt, den treffen weitere Verpflichtungen nach Anlage 4, überwiegend ab dem 1. Juli 2021, zum Teil auch erst zum 1. Januar 2022. Was genau unter einem medizinischen Großgerät zu verstehen ist, definiert die Richtlinie nicht. Sie beschränkt sich auf einen nicht abschließenden und auch nicht sehr aussagekräftigen Beispielkatalog. Speziell für Zahnärzte wird in der KZBV-Richtlinienfassung das Dental-MRT benannt.
Eine sogenannte Legaldefinition des „medizinischen Großgeräts“ existiert nach Wegfall der „Großgeräteplanung“ (früher Paragraf 122 SGB V) nicht mehr.
Zu Zeiten der Geltung der Großgeräteplanung waren unter umsatzsteuerrechtlichen Aspekten (vgl. hierzu etwa: BMF Schreiben vom 16. Oktober1997 IV C 4 – S 7172 – 23/97) folgende Geräte umfasst:
- Computer-Tomographie-Geräte (CT),
- Magnet-Resonanz-Geräte (MR),
- Linksherzkatheter-Meßplätze (LHM),
- Hochvolttheraphie-Geräte: Linearbeschleuniger (LIN) und Telecobalt-Geräte (CO),
- Lithotripter (LIT),
- Positronen-Emissions-Tomographie-Geräte (PET) sowie
- Diagnostische Bio-Magnetismus-Anlagen (BMA).
Es ist davon auszugehen, dass sich die Richtlinie an diesem Begriffsverständnis orientiert, so dass beispielsweise ein DVT oder ein klassisches Röntgengerät in der Zahnarztpraxis nicht vom Anwendungsbereich umfasst werden.
Telematik
In der Beschlussempfehlung des Gesundheitsausschusses vom 6. November 2019 zu Paragraf 75b SGB V (BT-Drs. 19/14867, S. 93) heißt es: „Komponenten und Dienste der Telematikinfrastruktur sind wichtige Bestandteile der IT-Systeme der Leistungserbringer. Deshalb sollen Anforderungen an die Installation und Wartung von Komponenten und Diensten in der Telematikinfrastruktur in die Richtlinie aufgenommen werden“. Diesem Ansinnen des Bundesgesetzgebers kommt die IT-Sicherheitsrichtlinie mit Anlage 5 nach, die mit Wirkung zum 1. Januar 2022 die Vertragszahnärzte (zusätzlich zur ohnehin bestehenden gesetzlichen Regelung) zur Befolgung der Vorgaben der Gematik GmbH verpflichtet.
Missachtung der Richtline = Missachtung vertragszahnärztlicher Pflichten
Die IT-Sicherheitsrichtlinie ist dabei nicht bloß eine „Empfehlung“; sie stellt nach dem ausdrücklichem Gesetzeswortlaut eine für jeden Vertragszahnarzt verbindliche Regelung dar (Paragraf 75b Abs. 4 S. 1 SGB V). Die Verbindlichkeit erstreckt sich Kraft Wortlaut auf alle vertrags(zahn)ärztlichen Leistungserbringer, auch wenn sie nicht Mitglieder einer Kassen(zahn)ärztlichen Vereinigung sind, also auch auf angestellte Vertragszahnärzte. Diese haben insoweit für eine fehlerhafte IT-Sicherheit in der anstellenden Praxis einzustehen, obwohl sie hierauf wohlmöglich und wahrscheinlich gar keinen Einfluss nehmen können. Offenbar haben KBV und KZBV versucht, diesem Dilemma durch die Adressierung der „Praxis“ zu begegnen; dies indes dürfte wegen der direkt im Gesetz normierten Verpflichtung keine Auswirkungen haben.
Die Ausgestaltung als vertrags(zahn)ärztliche Pflicht hat weitreichende Konsequenzen für den Fall der Nichtbeachtung. Denn die Kassen(zahn)ärztlichen Vereinigungen und die Kassen(zahn)ärztlichen Bundesvereinigungen haben die Gewähr dafür zu übernehmen, dass die vertragsärztliche Versorgung den gesetzlichen und vertraglichen Erfordernissen entspricht (Paragraf 75 Absatz 1 S. 1 SGB V). Sie haben hierzu die Erfüllung der den Vertrags(zahn)ärzten obliegenden Pflichten zu überwachen und die Vertragsärzte – soweit notwendig – unter Anwendung der in Paragraf 81 Absatz 5 SGB V vorgesehenen Maßnahmen zur Erfüllung dieser Pflichten anzuhalten (Paragraf 75 Absatz 2 S. 2 SGB V). Die Nichtbeachtung der IT-Sicherheitsrichtlinie kann daher Disziplinarmaßnahmen nach sich ziehen; unter Beachtung der an die KZVen gerichteten Verpflichtung muss sie das vermutlich auch.
„Stand der Technik“ nach DSGVO
Hinzu kommt, dass die IT-Sicherheitsrichtline selbst konkret Artikel 32 Datenschutzgrundverordnung (DSGVO) in Bezug nimmt. Die hier geregelten Verpflichtungen bilden damit den „Stand der Technik“ ab, so dass sich eine Nichtbeachtung der IT-Sicherheitsrichtline auch als direkter Verstoß gegen die seit Mai 2018 geltende DSGVO selbst darstellen kann. Dieser kann seinerseits mit Bußgeldern bis zu 20 Millionen Euro geahndet werden, aber auch Schadenersatzansprüche betroffener Personen (Patienten und Mitarbeiter) nach sich ziehen.
Insbesondere bei den Schadenersatzansprüchen ist eine erhebliche Erhöhung der zugesprochenen immateriellen Schadenersatzansprüche festzustellen. So hebt beispielsweise der Kollege Tim Wybitul nach einer Auswertung seiner Kanzlei (https://de.lw.com/thoughtLeadership/Latham-DSGVO-Schadensersatztabelle) hervor, dass sich der durchschnittlich zugesprochene Schadenersatz auf fast 2.000 Euro beläuft. Auch die Höhe der Bußgelder, die von den Aufsichtsbehörden ausgesprochen werden, stieg in den vergangenen beiden Jahren deutlich.
Jeder Vertragszahnarzt sollte sich daher dringend mit der neuen IT-Sicherheitsrichtlinie vertraut machen und überprüfen, ob seine eigene Praxis die dortigen Anforderungen bereits erfüllt, oder – was wahrscheinlich ist – noch zusätzliche Maßnahmen hierfür ergriffen werden müssen.
Dr. Robert Kazemi, Bonn
Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht. Auf Quintessence News hat er unter anderem eine grundlegende Serie zum Thema Datenschutzgrundverordnung (DSGVO) für die Zahnarztpraxis veröffentlicht.
(Foto: Kazemi/Apart Fotodesign-Alexander Pallmer)
Erstveröffentlichung am 1. Februar 2021, aktualisiert um Webinar-Infos am 17. Februar und 2. März 2021. -Red.