Datensicherheitstechnische Überprüfung der zentralen TI-Infrastruktur gemäß § 306 Abs. 2 Nr. 2 SGB V durch eine externe, unabhängige Prüfinstanz

Beschluss

Die Vertreterversammlung der KZBV fordert den Vorstand der KZBV auf, sich dafür einzusetzen, dass vor dem gesetzlich verpflichtenden Start der elektronischen Patientenakte
für alle („ePA für alle“) zum 01.10.2025 eine objektive und unabhängige datensicherheitstechnische Überprüfung der zentralen Telematikinfrastruktur gemäß § 306 Abs. 2 Nr. 2 SGB V durchgeführt wird. Die Ergebnisse müssen evaluiert werden und festgestellte Mängel sind in Abhängigkeit einer vorzunehmenden datensicherheitstechnischen Klassifizierung in Absprache mit dem BSI/BfDI vor dem Rollout zu beheben.

Begründung

Seit Dezember 2024 wurden verschiedene sicherheitsrelevante Vorfälle durch den Chaos Computer Club veröffentlicht. Diese Vorfälle wurden der gematik zur Verfügung gestellt. Von der gematik wurden entsprechende Gegenmaßnahmen eingeleitet. Der bundesweite Rollout der ePA für alle wird nach dem Willen des Gesetzgebers für über 70 Mio. Versicherte
eingeführt. Die Komponenten und Dienste für dieses deutschlandweit größte IT-Projekt werden zurzeit ausschließlich von der gematik spezifiziert und die Zulassung nach § 325
SGB V im Benehmen mit dem BSI ausgesprochen. Eine unabhängige, objektive Bewertung der zentralen Strukturen soll weiteren Aufschluss darüber geben, ob ein vertretbares Sicherheitsniveau für den produktiven verbindlichen Start zum 01.10.2025 vorliegt.