Sommer, SGB V § 75b Richtlinie zur IT-Sicherheit in der ... / 2.1 Verpflichtung zur Festlegung der Richtlinie zur IT-Sicherheit (Abs. 1)

Rz. 4

Die Formulierung "legen fest" in Abs. 1 Satz 1 bringt die Verpflichtung beider Kassenärztlichen Bundesvereinigungen zum Ausdruck, bis zum 30.6.2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung zu bestimmen. Die KBV und die KZBV haben keine Wahl bzw. kein Dispositionsrecht, sondern müssen die IT-Richtlinie bis zum Ablauf der Frist verabschieden. In der Vorschrift wird das Wort "Richtlinie" im Singular verwendet, was darauf hindeutet, dass für die vertragsärztliche Versorgung und für die vertragszahnärztliche Versorgung nur eine einheitliche Richtlinie zur IT-Sicherheit in Betracht kommen dürfte. Dem entspricht auch, dass die sicherheitstechnischen Anforderungen in beiden Versorgungsbereichen gleich anzusetzen sind und dass z. B. die KZBV bei der Gesetzesanhörung immer wieder auf gleichlautende Fakten in der einzelnen Arzt- bzw. Zahnarztpraxis hingewiesen hatte. Ob aber wegen der Verbindlichkeit der Richtlinie für die Ärzte und Psychotherapeuten einerseits und für die Zahnärzte andererseits formell zwei, aber inhaltsgleiche Richtlinien geschaffen werden, bleibt abzuwarten. In der Verlautbarung vom 18.6.2020 hat die KBV ausgeführt, dass die Richtlinie nach dem Stand der Technik Sicherheitsanforderungen an Arzt-, Zahnarzt- und Psychotherapeutenpraxen festlegen soll. Das würde für eine Richtlinie sprechen.

Die Vertreterversammlung der KBV hatte aber am 18.6.2020 bestätigt, vorerst keinen Beschluss zur IT-Sicherheitsrichtlinie zu fassen. Grund waren die damit verbundenen Kosten für die Praxen. In einer Resolution forderten die Delegierten der Vertreterversammlung eine aufwandsgerechte Finanzierung, die der Gesetzgeber sicherstellen müsse. Bei den Vorgaben zur IT-Sicherheit handle es sich um "gesetzlich geforderte Infrastrukturmaßnahmen". Deshalb, so heißt es in der Resolution, sei eine Finanzierung gesondert von der vertragsärztlichen Vergütung erforderlich, die auch den künftigen Aufwand abdecke und eine regelmäßige Anpassung garantiere.

Ursprünglich war vorgesehen, dass die Richtlinie zum 1.10.2020 in Kraft treten sollte. Im Anschluss hätten die Praxen ein Jahr Zeit zur Umsetzung gehabt. Die Richtlinie zur Zertifizierung der Anbieter war in der Vertreterversammlung ebenfalls zur Abstimmung gestellt, doch auch hier entschied man sich gegen ein Votum. In der Resolution heißt es dazu: Die Vertreterversammlung der KBV wird bis zur Sicherstellung der geforderten Finanzierung auch keine Richtlinie zur Zertifizierung von Dienstleistern verabschieden.

Ob sich an dieser Haltung der KBV durch das mit Wirkung zum 20.10.2020 in Kraft getretene Patientendaten-Schutz-Gesetz etwas ändert, bleibt abzuwarten.

Nach Abs. 1 Satz 2 sind auch die Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur in die Richtlinie einzubeziehen. Komponenten und Dienst der Telematikinfrastruktur sind nach der Gesetzesbegründung wichtige Bestandteile der IT-Systeme der Leistungserbringer, sodass es nur folgerichtig ist, die Anforderungen an die Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur in die Richtlinie zu integrieren.