Rz. 3
Die redaktionelle Fassung der Vorschrift geht im Wesentlichen auf die Beschlussempfehlung des Ausschusses für Gesundheit (14. Ausschuss des Bundestages) zurück und gehört zum 4. Kapitel SGB V "Beziehungen der Krankenkassen zu den Leistungserbringern", dem 2. Abschnitt "Beziehungen zu Ärzten, Zahnärzten und Psychotherapeuten" sowie zum 1. Titel "Sicherstellung der vertragsärztlichen und vertragszahnärztlichen Versorgung". Auch die mit dem PDSG vorgenommenen Änderungen beruhen auf einer Beschlussempfehlung des Ausschusses.
2.1 Verpflichtung zur Festlegung der Richtlinie zur IT-Sicherheit (Abs. 1)
Rz. 4
Die Formulierung "legen fest" in Abs. 1 Satz 1 bringt die Verpflichtung beider Kassenärztlichen Bundesvereinigungen zum Ausdruck, bis zum 30.6.2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung zu bestimmen. Die KBV und die KZBV haben keine Wahl bzw. kein Dispositionsrecht, sondern müssen die IT-Richtlinie bis zum Ablauf der Frist verabschieden. In der Vorschrift wird das Wort "Richtlinie" im Singular verwendet, was darauf hindeutet, dass für die vertragsärztliche Versorgung und für die vertragszahnärztliche Versorgung nur eine einheitliche Richtlinie zur IT-Sicherheit in Betracht kommen dürfte. Dem entspricht auch, dass die sicherheitstechnischen Anforderungen in beiden Versorgungsbereichen gleich anzusetzen sind und dass z. B. die KZBV bei der Gesetzesanhörung immer wieder auf gleichlautende Fakten in der einzelnen Arzt- bzw. Zahnarztpraxis hingewiesen hatte. Ob aber wegen der Verbindlichkeit der Richtlinie für die Ärzte und Psychotherapeuten einerseits und für die Zahnärzte andererseits formell zwei, aber inhaltsgleiche Richtlinien geschaffen werden, bleibt abzuwarten. In der Verlautbarung vom 18.6.2020 hat die KBV ausgeführt, dass die Richtlinie nach dem Stand der Technik Sicherheitsanforderungen an Arzt-, Zahnarzt- und Psychotherapeutenpraxen festlegen soll. Das würde für eine Richtlinie sprechen.
Die Vertreterversammlung der KBV hatte aber am 18.6.2020 bestätigt, vorerst keinen Beschluss zur IT-Sicherheitsrichtlinie zu fassen. Grund waren die damit verbundenen Kosten für die Praxen. In einer Resolution forderten die Delegierten der Vertreterversammlung eine aufwandsgerechte Finanzierung, die der Gesetzgeber sicherstellen müsse. Bei den Vorgaben zur IT-Sicherheit handle es sich um "gesetzlich geforderte Infrastrukturmaßnahmen". Deshalb, so heißt es in der Resolution, sei eine Finanzierung gesondert von der vertragsärztlichen Vergütung erforderlich, die auch den künftigen Aufwand abdecke und eine regelmäßige Anpassung garantiere.
Ursprünglich war vorgesehen, dass die Richtlinie zum 1.10.2020 in Kraft treten sollte. Im Anschluss hätten die Praxen ein Jahr Zeit zur Umsetzung gehabt. Die Richtlinie zur Zertifizierung der Anbieter war in der Vertreterversammlung ebenfalls zur Abstimmung gestellt, doch auch hier entschied man sich gegen ein Votum. In der Resolution heißt es dazu: Die Vertreterversammlung der KBV wird bis zur Sicherstellung der geforderten Finanzierung auch keine Richtlinie zur Zertifizierung von Dienstleistern verabschieden.
Ob sich an dieser Haltung der KBV durch das mit Wirkung zum 20.10.2020 in Kraft getretene Patientendaten-Schutz-Gesetz etwas ändert, bleibt abzuwarten.
Nach Abs. 1 Satz 2 sind auch die Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur in die Richtlinie einzubeziehen. Komponenten und Dienst der Telematikinfrastruktur sind nach der Gesetzesbegründung wichtige Bestandteile der IT-Systeme der Leistungserbringer, sodass es nur folgerichtig ist, die Anforderungen an die Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur in die Richtlinie zu integrieren.
2.2 Anforderungen in der Richtlinie (Abs. 2 und 3)
Rz. 5
Die mit Wirkung zum 20.10.2020 geltende Fassung des Abs. 2 stellt klar, dass die in der Richtlinie festzulegenden Anforderungen geeignet sein müssen, abgestuft im Verhältnis zum Gefährdungspotenzial und dem Schutzbedarf der verarbeiteten Informationen, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztliche Leistungserbringer in Bezug auf Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele zu vermeiden. Damit sollen Fehlinterpretationen vermieden werden, die anderen Unterziele der 3 klassischen Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) seien nicht erfasst. Der Gesetzgeber misst vielmehr allen 3 klassischen Schutzzielen samt ihrer Unterziele eine gleichwertige, hohe Bedeutung zu.
Nach Abs. 3 Satz 1 müssen die in den Richtlinien festzulegenden Anforderungen dem Stand der Technik entsprechen und jährlich an den Stand der Technik und an das Gefährdungspotenzial angepasst werden. Dies gewährleistet, dass sich die Richtlinie zur IT-Sicherheit immer auf dem neuesten Stand der sich ändernden Technik bzw. dem sich ebenfalls ständig verändernden Gefährdungspotenzial befindet bzw. ggf. anzupassen ist. "Jährliche Anpassu...