6. Vertreterversammlung
Rede Dr. Karl-Georg Pochhammer
Die Rede wurde bei der 6. Vertreterversammlung am 4. und 5. Juni 2025 in Köln gehalten. Es gilt das gesprochene Wort.
Sehr geehrter Herr Vorsitzender,
sehr geehrte Damen und Herren,
liebe Kolleginnen und Kollegen,
Die Themen, die wir beraten wollen – von Bürokratieabbau über Finanzierung und Prävention bis hin zur Digitalisierung – liegen auf dem Tisch.
Die KZBV war und ist bereit, die ambulante Versorgung gemeinsam mit der Politik zu verbessern. Zuversichtlich stimmt uns, dass die neue Gesundheitsministerin gleich in ihrer Regierungserklärung einen Dialog auf Augenhöhe angekündigt hat. Die ausgestreckte Hand ergreifen wir gerne und bieten Nina Warken für die konkrete Ausgestaltung ihrer Vorhaben unsere Praxisnähe und Expertise an.
Wir freuen uns auf den Neustart und sind erleichtert, dass Karl Lauterbach verabschiedet worden ist. Er ist neuer Vorsitzender des Ausschusses für Raumfahrt. Man muss ihn nicht gleich auf den Mond schießen, aber je weiter weg er von der Gesundheitspolitik zu tun hat, desto besser.
Denn als Gesundheitsminister war das viel zu wenig. Wer es gut mit ihm meint, verweist auf die große Anzahl an Gesetzen, die sein Ministerium durchgebracht hat. Und dass sein Ressort in der Liste über die Ausgaben der einzelnen Bundesministerien für Visagisten und Friseure gar nicht erst auftaucht, freut den Steuerzahler.
Schaut man aber auf die Inhalte, muss man kritischer urteilen: Karl Lauterbach wird als der Gesundheitsminister in die Geschichte eingehen, der seine Reformvorhaben lieber mit Markus Lanz als mit der Selbstverwaltung diskutiert hat.
Die Bilanz seiner Amtszeit fällt entsprechend verheerend aus. Martin Hendges hat das bereits treffend eingeordnet, sodass ich mich auf die Digitalisierung konzentrieren kann. Neben der Krankenhausreform war die elektronische Patientenakte ein zentrales Projekt. Ende April trat Karl Lauterbach in Berlin vor die Presse und verkündete eine „Zeitenwende in der Digitalisierung“, während zur gleichen Zeit in den TI-Modellregionen in Franken, Hamburg und NRW die Hälfte der Testpraxen immer noch keine ePA gesehen hatte.
Das ist zwar nur ein Zitat, aber es ist charakteristisch für die Wirklichkeitsabgewandtheit der Gesundheitspolitik à la Lauterbach: Statt zu sagen, was ist, wurde der tiefe Abgrund zwischen Wunsch und Wirklichkeit mit hoffnungsfrohen Worten zugeschüttet.
Bei der ePA hat das BMG die Dinge monatelang treiben lassen. Erst auf den allerletzten Metern hat man zur Anerkennung der Realität zurückgefunden und eingesehen, dass die ePA noch nicht fit ist für die Versorgung. Immerhin bis Ende September haben nun alle Zeit, sich vorzubereiten. Solange ist die Nutzung freiwillig, die Verpflichtung kommt im Oktober, die Sanktion im nächsten Jahr.
Es vergeht zwar kein Tag, an dem die Politik nicht verspricht, bürokratische Hürden abzubauen, aber für die Selbstverwaltung scheint das nicht zu gelten. Sie wird weiter mit Kontrollen und Sanktionen gegängelt. Unbedarfte könnten nun fragen, wie sich Sanktionen mit der proklamierten Heilkraft der ePA vertragen. Wir kennen die Antwort: Die ePA ist aktuell so weit davon entfernt, die Abläufe in den Praxen zu verbessern, wie Karl Lauterbach von einer zweiten Amtszeit. Da hilft man dann lieber etwas nach, damit niemand auf die Idee kommt, auszuscheren.
Die neue Ministerin muss hier dringend eine Kurskorrektur vornehmen. Politische Terminvorgaben sowie Sanktionen beim Honorar und Kürzungen der TI-Pauschale schaden der Akzeptanz der Digitalisierung und müssen weg. Stattdessen sollte die Nutzung durch Anreize gezielt gefördert werden. Hierfür muss die Politik die Weichen stellen. Wir wollen mit zwei Anträgen zu dieser Thematik der Sache Nachdruck verleihen.
Zur ePA gibt es aber nicht nur Negatives zu sagen. Dass der bundesweite Start nun doch auf freiwilliger Basis erfolgt, ist gut. Dafür hat sich die KZBV gemeinsam mit den KZVen eingesetzt. Der Soft-Start ist der richtige Weg, um die aktuellen Probleme hell auszuleuchten und dafür zu sorgen, dass die ePA fit für den Einsatz in der realen Versorgung gemacht wird. Sie hat – bis jetzt leider nur theoretisch – das Potential, die Versorgung und sogar die Praxisabläufe zu verbessern, aktuell stimmen aber noch nicht alle Voraussetzungen.
Der neue Zeitpuffer ist deshalb hilfreich. Er sollte von allen genutzt werden – auch von den Praxen. Wer ePA-ready ist, sollte jetzt beginnen, Erfahrungen zu sammeln. Und bei wem die Technik noch hakt, kann jetzt noch ohne Zeitdruck die Probleme angehen und sich mit den Informationsmaterialien der KZBV und seiner KZV zur ePA vorbereiten.
Seit Monaten wächst das Informationsangebot der KZBV zur ePA. Besucher der Themenseite finden dort einen großen FAQ-Katalog, kurze Fachtexte, die Orientierung zu einzelnen Aspekten der ePA bieten – etwa zu den Befüllungspflichten – oder auch einen Aushang fürs Wartezimmer, mit dem Praxen ihren Informationspflichten nachkommen können. Alle wichtigen Informationen rund um die ePA haben wir zudem in einer achtteiligen Serie für die Zahnärztlichen Mitteilungen aufbereitet. In der Gesamtschau können sich die Praxen somit – je nach Vorliebe – auf unterschiedlichen Wegen und mit unterschiedlicher Tiefe zur ePA informieren.
Ergänzend zum Informationsangebot hat die KZBV das ärgerliche Thema der unverhältnismäßigen Sanktionen im Sinne der Praxen bearbeitet. In Abstimmung mit dem BMG wurde eine Richtlinie zum Abrechnungsverbot erarbeitet. Diese erlaubt es den KZVen unter bestimmten Voraussetzungen, auch Zahnarztpraxen zur Abrechnung zuzulassen, die ein PVS einsetzen, das über keine Konformitätsbescheinigung verfügt. Die Richtlinie gibt den Praxen, die ohne eigenes Verschulden in diese Situation geraten, etwas mehr Sicherheit und den KZVen mehr Beinfreiheit.
Nicht aus den Augen verloren haben wir zudem die Vergütung der Zahnarztpraxen. Wer die ePA befüllt, der muss das auch vergütet bekommen. Die genannten Aktivitäten der KZBV sind gerade in der aktuellen Phase der Freiwilligkeit wichtig. Denn Freiwilligkeit bedeutet nicht Beliebigkeit. Die Praxen benötigen verständliche Informationen und einen verlässlichen Rahmen, damit sie wissen, was auf sie zukommt. Viele Praxen sind deshalb durch die aktuelle Diskussion, die über die Sicherheit der ePA geführt wird, verunsichert. Im letzten halben Jahr hat der Chaos Computer Club zweimal öffentlich auf Sicherheitslücken hingewiesen.
Solche Nachrichten sorgen für Unruhe, selbst wenn am Ende niemand zu Schaden kommt. Dafür ist Sicherheit ein zu sensibles Thema, vor allem, wenn Gesundheitsdaten im Spiel sind. Die notwendige Debatte sollten wir trotzdem sachlich führen. Was ist also passiert? Nach der ersten CCC-Meldung im Dezember 2024 hatte die gematik in Abstimmung mit dem BSI verschiedene Maßnahmen ergriffen, um das Problem zu lösen. Vorrangiges Ziel war es, Massenangriffe auf die ePA auszuschließen. Zu diesem Zweck wurde unter anderem der Behandlungskontext zusätzlich abgesichert, der für den Zugriff auf die ePA benötigt wird.
Für dieses Sicherheitsupdate konnte im April Vollzug gemeldet werden. Das BSI hat dem BMG einen sicheren Betrieb bestätigt. Doch nur zwei Wochen später meldete sich der CCC erneut: Die neuen Schutzvorkehrungen seien nicht ausreichend und könnten über die elektronische Ersatzbescheinigung (eEB) teilweise ausgehebelt werden.
Dass so etwas parallel zum bundesweiten Soft-Start der ePA passiert, ist eine große Peinlichkeit, vor allem für den verabschiedeten Minister, der zuvor erklärt hatte, dass die ePA erst dann kommt, „wenn alle Hackerangriffe technisch unmöglich gemacht worden sind“. Das ist die schlechte Nachricht. Zur Wahrheit gehört aber auch, dass die Sicherheitslücke durch das Aussetzen der elektronischen Ersatzbescheinigung sofort geschlossen werden konnte und durch diesen Angriff ein Massenangriff auf die ePA auch zuvor nicht möglich war.
Ich plädiere deshalb dafür, nicht in Panik zu verfallen. Wir sollten auch nicht denken, dass wir die ePA unantastbar machen können. Es wird immer Schwachstellen geben und deshalb ist die Frage, ob die ePA zu 100 Prozent sicher ist, nicht zielführend. Wir sollten besser fragen, ob die ePA ausreichend sicher ist. Der Perspektivwechsel ermöglicht die Abwägung zwischen Sicherheit auf der einen und der praktischen Nutzbarkeit der ePA auf der anderen Seite.
Das kommt mir in der aktuellen Sicherheitsdiskussion zu kurz. Man kann sich auf den Standpunkt stellen, dass nun wieder alles auf den Prüfstand muss. Ich frage mich nur, was dann? Zum einen liegen externe Gutachten zur Sicherheit der ePA bereits vor, zum anderen hatten wir auch schon mal eine ePA, die so sicher war, dass sie niemand nutzen wollte, weil die Sicherheit den Bedienungskomfort zu stark einschränkte.
Dahin sollten wir nicht zurück. Vor allem aber sollten wir es vermeiden, mit unseren eigenen Forderungen selbst neue Hürden für die Praxen aufzustellen. Denn noch mehr Sicherheit bedeutet auch immer Einschränkungen bei der Praktikabilität. Bei der IT-Sicherheitsrichtlinie, zu der ich gleich noch etwas sagen werde, ging es uns immer darum, die Bedrohungslage für Zahnarztpraxen mit aufwandsarmen Maßnahmen zu adressieren. Diesen Ansatz sollten wir auch bei der ePA wählen.
Es geht um die Abwägung von Nutzen und Risiken. Sicherheit ist wichtig, aber auch wichtig ist, was wir mit der ePA erreichen wollen. Und da haben wir als KZBV eine klare Meinung: Die ePA soll die Versorgung verbessern und die Abläufe in den Zahnarztpraxen im besten Fall sogar vereinfachen. Darum geht es, darum müssen wir uns kümmern und ich habe Zweifel, ob uns das gelingt, wenn wir infolge der aktuellen Sicherheitsdiskussion die praktische Bedienbarkeit der ePA in der Praxis aus den Augen verlieren.
Um nicht missverstanden zu werden: Die Sicherheitslücken haben Schleifspuren hinterlassen. Praxen und Patienten sind da zu Recht sensibel. Gematik und BMG müssen das Vertrauen in die ePA wieder stärken, und zwar mit konkreten Handlungen und nicht mit Heilsversprechen. Das ist eine anspruchsvolle Aufgabe, aber sie ist lösbar, vor allem dann, wenn wir uns von dem ohnehin illusorischen Ziel einer 100-prozentigen Sicherheit lösen und den Fokus auf die Vermeidung von Massenangriffen auf die ePA legen.
Daran muss die gematik gemeinsam mit den Sicherheitsbehörden arbeiten. Deshalb ist es gut, dass die neue Ministerin das Thema bereits in ihrer Regierungserklärung aufgegriffen und versichert hat, dass ihr Ressort ein besonderes Augenmerk auf die Sicherheit der ePA legen wird. Wir werden die Ministerin daran erinnern. Gleichzeitig leisten wir mit eigenen Aktivitäten einen Beitrag. Die vom CCC aufgezeigten Angriffswege fußen vor allem auf der illegalen Beschaffung von TI-Zugangstechnik. Die KZBV hat deshalb in einer Praxisinformation Hinweise zum sicheren Umgang mit der SMC-B zusammengeführt und aktualisiert mit der Expertise der AG Digitalisierung das Regelwerk zur Nutzung der SMC-B.
Die Aktivitäten machen deutlich, dass die Praxen auch selbst etwas zur Sicherheit beitragen können und müssen. Denn wie alle Einrichtungen, die sich im digitalen Wandel befinden, sind auch Praxen ein attraktives Ziel von Cyber-Angriffen. Es ist daher wichtig, die IT-Sicherheit immer wieder zu überprüfen und auf den neuesten Stand zu bringen.
Eine gute Orientierung bietet hierbei die IT-Sicherheitsrichtlinie der KZBV. Die aktualisierte Version, die morgen verabschiedet werden soll, ist das Ergebnis eines intensiven Abstimmungsprozesses mit BSI, KBV und weiteren interessierten Parteien. Auch die AG Digitalisierung hat sich mit den überarbeiteten Regelungen befasst und empfiehlt der Vertreterversammlung die Verabschiedung. Als KZBV haben wir erneut darauf geachtet, dass die Richtlinie ausbalanciert ist. Sie soll das, was notwendig ist, anzeigen, die Praxen aber auch nicht überfordern.
Inhaltlich haben wir die Empfehlungen des BSI aufgegriffen, etwa zu organisatorischen Vorgaben im Umgang mit mobilen Endgeräten und Wechseldatenträgern. Auch die neuen technischen Anbindungsoptionen an die TI, etwa das TI-Gateway, finden nun Berücksichtigung in der Richtlinie. Passend zur aktuellen Sicherheitsdebatte rund um ePA rückt die Richtlinie auch die Security Awareness stärker in den Fokus. Sie setzt dabei auf gezielte Maßnahmen zur Sensibilisierung und Schulung. Damit bildet die Sicherheitsrichtlinie nun auch Maßnahmen gegen Angriffswege ab, die auf den Faktor Mensch als Schwachstelle abzielen.
Die Aktualisierung der IT-Sicherheitsrichtlinie trägt somit der aktuellen Bedrohungslage Rechnung und formuliert Anforderungen, die Zahnarztpraxen mit vertretbarem Aufwand umsetzen können sollten. Gleichsam wissen wir, dass dies gerade für Praxen ohne eigenes IT-Personal eine Herausforderung bleibt. Deshalb hat die KZBV anlässlich der Aktualisierung der Richtlinie ein Informationspaket erstellt, das in Kürze auf unserer Themenseite zur Sicherheitsrichtlinie abgerufen werden kann. Das Paket enthält unter anderem eine Darstellung der Neuerungen anhand konkreter Fallbeispiele, Hilfen zur Erstellung von Checklisten, Hinweise zur Detektion von Schwachstellen in der Praxis sowie Informationen zu gängigen Angriffsszenarien.
Mit den Materialien wollen wir einen Beitrag zur Selbsthilfe leisten. Die Praxen sollen befähigt werden, Maßnahmen selbst umzusetzen und zu erkennen, wo Aufgaben besser Dritten übertragen werden sollten. Wichtig ist das Verständnis, dass IT-Sicherheit nicht bedeutet, alles perfekt und allein machen zu müssen. Es geht darum, zu verstehen, was notwendig und was machbar ist. Diese Aufgabe, und damit komme ich zum Schluss meines Berichtsteil zur Telematik, begegnet uns auch bei der ECC-Migration. Das Thema ist lange bekannt. Bereits im Jahr 2020 hatte das BSI eine Migration der ECC-Zertifikate zum 31. Dezember 2024 angekündigt, die dann nochmal um ein Jahr verschoben werden konnte.
Seitdem ist viel Zeit vergangen. Weil wir das Gefühl hatten, dass die gematik die Dinge zu sehr laufen lässt, haben wir im vergangenen Jahr ein Migrationskonzept eingefordert, das insbesondere sicherstellt, dass der Betrieb der Praxen und der TI insgesamt nicht gefährdet wird. Zwar hat die gematik zwischenzeitlich einen Plan vorgelegt, es fehlt aber weiterhin ein finales Steuerungskonzept für den Umstieg, das Betriebsausfälle in den Praxen vermeidet.
Wir haben daher weiterhin den Eindruck, dass die gematik Größe und Komplexität ihrer Steuerungsaufgabe nicht erkannt hat – vor allem mit Blick auf die Auswirkungen auf die Praxisabläufe. Das kann damit zusammenhängen, dass die gematik in dieser Sache keine treibende, sondern eine ausführende Kraft ist. Die Vorgaben kommen vor allem vom BSI bzw. der Bundesnetzagentur, die gematik muss umsetzen – und ihren Handlungsspielraum nutzen. Das muss nun aber auch passieren.
Im vertragszahnärztlichen Bereich sind circa 4.000 SMC-Bs und rund 19.000 HBAs betroffen. Hier werden die Kartenanbieter ab Juni 2025 mit dem Austausch beginnen. Die meisten Konnektoren, die im Feld sind und in der neuesten Version betrieben werden (PTV5+), sind bereits ECC-fähig. Ausrangiert werden müssen lediglich Generationen der alten Konnektoren, die bereits eine Laufzeitverlängerung hinter sich haben. Betroffene Praxen müssen sich hier zeitnah um einen Umstieg kümmern. Bei den Gerätekarten in den Kartenterminals wird die gematik ihren Handlungsspielraum nutzen. Das hatte die KZBV eingefordert. Im Rahmen der ebenfalls erforderlichen Umstellung von KIM auf die Version 1.5 sind die Zahnarztpraxen gut aufgestellt. Das Mengengerüst der verschiedenen auszutauschenden Karten erfordert trotzdem einen Kraftakt.
Betrachtet man den Status quo, deutet vieles darauf hin, dass die Umstellung bis zum Jahreswechsel nicht reibungslos durchläuft. Wir wissen aktuell noch nicht, ob die Industrie ihre Produkte rechtzeitig bereitstellen und vor allem auch eine ausreichende Betreuung der betroffenen Praxen organisieren kann. Die Umstellung betrifft auch die Praxisverwaltungssysteme. Sie müssen in der Lage sein, bei der Signatur eines Datensatzes die neue ECC-Signaturart im Konnektor anzustoßen.
Vor diesem Hintergrund hat die KZBV die gematik aufgefordert, kurzfristig einen konkreten Umstellungsplan vorzulegen und gleichsam mit dem BSI das Gespräch zu suchen, um zu versuchen, den Termin für die nicht qualifizierten Komponenten noch einmal zu verschieben. Das würde mit Blick auf den Pflichtstart der ePA im Oktober auch den TI-Terminkalender insgesamt entzerren.
Ziel muss es sein, einen zeitlichen Puffer zu schaffen und zugleich durch den natürlichen Zertifikatsablauf betroffener Komponenten den Aufwand für die Praxen und die entstehenden Kosten im System zu minimieren.
Die gematik hat als erste Reaktion auf unsere gemeinsam mit den anderen betroffenen Gesellschaftern eingebrachte Initiative den Umsetzungsplan für die RSA-Abschaltung aktualisiert und die Gesellschafter zu einem Workshop eingeladen, in dem wir unter anderem regelmäßige Statusberichte eingefordert haben, um die KZVen und vor allem die betroffenen Praxen kontinuierlich auf dem Laufenden halten zu können. Wie bei der ePA und der IT-Sicherheitsrichtlinie geht es auch bei der Migration von RSA zu ECC um die Frage der richtigen Balance von Sicherheit und Praktikabilität. Und auch hier sollten wir die Antwort davon abhängig machen, was das Beste für die Praxen ist. Im Fall der ECC-Migration gilt es, eine Störung der Versorgung durch eine Fristverlängerung abzuwenden.
Die Frist zu halten, mag formal korrekt sein. Auch für möglichst hohe Anforderungen an die Sicherheit der ePA und die Absicherung der Praxis-IT finden sich Argumente, aber wir müssen in erster Linie immer die Umsetzbarkeit für die Zahnarztpraxen im Abgleich mit der tatsächlichen Bedrohungslage im Auge behalten. Das ist unsere Aufgabe! Darum müssen wir uns kümmern!