Rien ne va plus – ohne die „Riesen“ im Hintergrund läuft in der TI gar nichts

„Wie geht es Dir?“, lautete die Frage auf der DMEA – einer Messe, die sich ausschließlich um das Thema IT im deutschen Gesundheitswesen dreht. Die Frage richtete sich an einen leitenden Mitarbeiter, dessen Unternehmen einen Server zur Umsetzung der europäischen Arzneimittel-Fälschungssicherheitsrichtlinien betreibt.

„Schlecht“, lautete seine Antwort. „Warum?“ „Wegen Trump.“ „Und was hat der damit zu tun?“ „Mein Dienst ist ISO zertifiziert, läuft aber in der Azure-Cloud – da muss ich wegen Trump jetzt raus.“

Azure ist bekanntlich das Cloud-Angebot von Microsoft, welches nach dem Platzhirsch Amazon mit seiner AWS (Amazon Web Services) auf Platz 2 der weltweit agierenden Cloud-Anbieter liegt. Aus einem Land, das nicht mehr in den Augen aller ein zwingend befreundetes ist. Und in dem die nationalen Behörden spätestens seit dem „US Cloud-Act“ jederzeit Zugriff auf alle Daten, die auf Servern der USA gehostet sind, verlangen können.

Entsprechend sollen nach europäischer Überzeugung und Rechtslage nicht mehr allzu viele hochsensiblen Daten dort liegen. Das tun sie laut Firmenangaben von AWS, Microsoft und Alphabet (Google) auch nicht, wenn man bei ihnen entsprechende Angebote bucht: Denn diese laufen – nach eigenen Angaben der US-Techkonzerne – nur auf Servern, die in Europa betrieben werden.

Das Internet entstand ursprünglich aus dem ARPANET, also der Idee einer dezentralen Struktur. Die Idee war simpel: Zum Schutz vor dem Totalausfall militärischer Systeme und Verlust wichtiger Informationen sollte deren Verfügbarkeit auf eine Vielzahl Rechner verteilt werden. Diese nutzen standardisierte Protokolle und verteilte Zugriffsberechtigungen mit einer übergeordneten Adressvergabe: So entstand das Internet.

In den letzten 25 Jahren entwickelten sich im Internet Cloud-Dienste, wie die oben genannten. Darüber lassen sich mit geringem Eigenaufwand rechen- und speicherintensive Services bereitstellen. Für die Anbieter solcher Services ein Riesenvorteil, denn sie müssen keine eigenen Rechner und Infrastrukturen betreiben und können ihre Kapazitäten jederzeit flexibel anpassen. Aber es gibt auch Nachteile wie die zentralen Verwaltungseinheiten und die Unklarheit, wem die Daten gehören, wenn man z. B. seine Cloud-Miete nicht mehr zahlen kann.

Wenn heute die AWS (Amazon Web Services) ein leichter Schnupfen befällt, dann droht Diensten wie Netflix, Spotify, Salesforce und vielen anderen, die in der AWS zu Hause sind, eine Lungenentzündung.

Die Telematikinfrastruktur (TI) ist verkürzt die Idee eines parallelen Internets für das primäre deutsche Gesundheitswesen, mit spezifischen Daten- und Darstellungsstrukturen sowie eigenen Zugängen und Zugriffsberechtigungen.

Ein föderales Netz mit gleichen Daten-Standards, einheitlichen Zugangswegen und eigenen Zugriffsberechtigungen – von der eGK (elektronische Gesundheitskarte) über die SMC-B (elektronischer Praxisausweis) bis zum HBA (elektronischer Heilberufsausweis). Vergeben werden diese entsprechend den föderalen Strukturen des Gesundheitswesens, wobei die Patientendaten auf den Rechnern der Leistungserbringer (Krankenhäuser, Arztpraxen, Apotheken usw.) entstehen.

Ähnlich wie bei dem „großen Bruder“ – dem Internet – entwickelten sich die Anforderungen und Erwartungen an die Leistungsfähigkeiten der TI weiter. Und innerhalb der dezentralen, vernetzten Strukturen erwuchsen auf den Servern der Krankenkassen zentrale Datenspeicher mit der elektronischen Patientenakte (ePA).

Um diese herum entstand ein ganzer Kosmos von Services und Dienstleistungen. Damit einhergehend spezialisierten sich auch bei der TI einzelne große Player auf die Bereitstellung von Infrastrukturen.

Vor dem Hintergrund dieser Entwicklung lohnt sich ein genauerer Blick auf die „Riesen“ der Telematikinfrastruktur – einer Struktur, die dazu beitragen sollte, einen zu großen Einfluss von Amazon & Co zu verhindern.

Es mag nach dem zuvor Gesagten etwas seltsam anmuten, als ersten „TI-Riesen“ ausgerechnet einen amerikanischen Großkonzern zu nennen. IBM ist jedoch in der Hauptsache Dienstleister mit einer riesigen Heerschar an IT-Fachkräften und kein Betreiber eines großen Cloud-Dienstes. Zumindest nicht in dem hier genannten Kontext.

Die TI ist dem Unternehmen wohlbekannt, da es bereits 2004 federführend an der Entwicklung der „Rahmenarchitektur“ mitgewirkt hat. Heute ist IBM u. a. einer der beiden zugelassenen Betreiber von elektronischen Patientenakten. Und richtet so im Auftrag gesetzlicher Krankenkassen entsprechende Server ein und sichert ihren Betrieb.

Zudem – das dürfte für Apotheken besonders interessant sein – ist IBM auch für die Umsetzung und den Betrieb des Rezeptserver-Fachdienstes der Gematik zuständig. Die Ausschreibung hatte IBM im Jahr 2020 gewonnen.

In der entsprechenden Pressemitteilung der Gematik hieß es damals: „Als Betreiber des Dienstes kann IBM (…) keine Daten auslesen oder einsehen. Der Betreiber des Fachdienst-Servers (Los 1) darf nicht gleichzeitig auch der des Identity Provider (Los 2) sein, damit die Verarbeitung der verschlüsselten Daten und die Authentisierung der Akteure nicht in einem Unternehmen gebündelt werden.“

Trotzdem wurde IBM im Dezember 2023 von der Gematik auch als Anbieter sog. „Identity Provider Services“ (s. u.) grundsätzlich zugelassen. In einer Pressemitteilung zur Entwicklung der Gesundheits-ID gab die Gematik damals bekannt:

„Am 14. Dezember (wurden) die ausstehenden Zulassungen für IBM und Rise erteilt. Damit sind die formalen Voraussetzungen für die Nutzung der digitalen Identitäten im Gesundheitswesen geschaffen.“

IBM hat sowohl die TI-Rahmeninfrastruktur maßgeblich mit aufgebaut, als auch den Rezeptserver-Fachdienst entwickelt und ist zudem auch noch ein Anbieter von Identity Provider Services zur Verwaltung von Personenidentitäten und Zugriffsberechtigungen. Insofern spielt IBM eine zentrale, wenn nicht gar betriebsnotwendige Rolle in der Telematikinfrastruktur.

Das ist technisch betrachtet kein Widerspruch, denn Identity Provider gibt es innerhalb der TI einige zu betreiben. Mithilfe eines solchen Dienstes lassen sich Identitäten von Personengruppen verwalten. Am ehesten lassen sich diese mit einem Melderegister vergleichen.

Vereinfacht gesagt verwalten die Identity Provider die Zugriffsberechtigungen auf Dienste innerhalb der TI. Das Melderegister für den Rezeptserver darf IBM eben nicht auch noch betreiben. Andere schon.

Im Gegensatz zu IBM dürfte der Namen Rise nur Branchenkennern bekannt sein. 1995 in Wien als Universitäts-Spin-Off von Prof. Thomas Greschnig gegründet, entwickelte sich das Unternehmen seitdem zu einem „international etablierten, unabhängigen IT-Dienstleister und einem der wenigen echten IT-Anlagenbauer Europas“ (Eigendarstellung). Rise bietet seine Dienste nicht nur im Gesundheitswesen, sondern auch im Finanz- und Transportwesen sowie weiteren Branchen an.

Das österreichische IT-Unternehmen ist ein bedeutender Player beim Aufbau und Betrieb von Teilen der TI und – wie IBM – auch zum Betrieb der ePA zugelassen: So stellt Rise in Kooperation mit Bitmarck (s. u.) für mehr als 80 gesetzliche Krankenkassen die Infrastruktur für die ePA bereit. Überdies ist die Firma als „Identy Provider“ zugelassen und betreibt diesen für die Zugriffe auf den Rezeptserver. Zudem entwickelt man mit der Gedisa den Identity Provider für Apotheken.

Auch zum Betrieb von TI-Gateways ist Rise berechtigt. Das TI-Gateway soll Konnektoren und TIaaS-Modelle (TI as a Service) ersetzen. Und damit in Zukunft der einzige Zugang für „datenführende Gesundheitseinrichtungen“ – wie Krankenhäuser, Arztpraxen und Apotheken seit dem Gesundheitsdatennutzungsgesetz (GDNG) genannt werden – sein. Einige namhafte Primärsystemanbieter von Krankenhausinformationssystemen und Praxisverwaltungssystemen (die Äquivalente der Warenwirtschafts-Software in Apotheken) vermarkten den TI-Zugang durch Rise als Reseller.

Last but not least bietet Rise App-Lösungen an, mit denen Versicherte auf die ePA zugreifen können. Die Krankenkassen können diese ihren Versicherten unter eigenem Namen als sog. Whitelabel anbieten.

Das österreichische IT-Unternehmen Rise ist bei weitem nicht so bekannt wie IBM, aber nicht minder engagiert im milliardenschweren TI-Business: als Infrastrukturanbieter für die ePA ebenso wie als TI-Gateway-Betreiber und Entwickler von Apps für die Krankenkassen.

Kommen wir nun zu den wichtigsten TI-Playern der gesetzlichen Krankenkassen, der Bitmarck GmbH und itsc GmbH. Letztere ist verantwortlich für die eGK und damit sozusagen der „Hauptschlüsseldienst“ für Versicherte. Bis zur Einführung elektronischer Identitäten für Versicherte ist kein Zugriff auf Versicherteninformationen in der TI ohne itsc möglich. Daher ist es auch folgerichtig, dass der VDSM-Fachdienst (Versichertenstammdaten-Management) von itsc gestellt wird.

Bitmarck versteht sich laut aktuellem Geschäftsbericht als „zentraler Player im IT-Markt der GKV“ und hat im vergangenen Jahr knapp 500 Mio. € Umsatz erlöst – vor allem mit Softwarelizenzen für die von fast allen gesetzlichen Krankenkassen genutzten eigenen Softwarelösungen, aber auch mit Lizenzen für die in Kooperation mit Rise betriebenen ePA.

Die Arvato Systems GmbH ist ein Tochterunternehmen der Arvato SE aus dem Bertelsmann-Konzern und seit Einführung der eGK ein zentraler Player der TI. Das Unternehmen hat nicht nur die Verschlüsselungsinfrastruktur mitentwickelt, sondern auch die Verbindung zwischen den Konnektoren – dem bislang wichtigsten Zugangsweg zur TI für die Leistungserbringer.

Außerdem ist Arvato Systems übergreifend für die Sicherheit der TI zuständig. KIM-Dienste lassen sich nicht ohne Arvato Systems betreiben, und auch den zentralen Verzeichnisdienst der Gematik hat man umgesetzt.

Arvato Systems ist seit Einführung der eGK ein zentraler Player der TI und übergreifend für deren Sicherheit zuständig. Den Apotheken ist das Bertelsmann-Tochterunternehmen vor allem als ein Anbieter für die Securpharm-Infrastruktur zum Schutz vor Arzneimittelfälschungen bekannt.

Neben diesen „TI-Riesen“ gibt es noch eine Reihe weiterer Unternehmen, die für den Aufbau der TI-Infrastruktur und deren Betrieb von hoher Relevanz sind. Dazu zählen u. a.

• T-Systems – ein weiterer Identy Provider,
• aquinet – ein weiterer TI Gateway Anbieter (u. a. vermarktet durch die Gedisa),
• die Frey-Gruppe mit ihrer Tochter DGN sowie
• die Bundesdruckerei (stellen u. a. die HBAs und SMC-Bs bereit)

Alles in allem verhält es sich mit der TI also etwas ähnlich wie mit ihrem „großen Bruder“ – dem Internet:

Eine überschaubare Anzahl von Anbietern liefert die zentralen Elemente für den Aufbau und Betrieb der Telematikinfrastruktur. Daran hängen zahlreiche weitere Anbieter, die eine Vielzahl an Services für die TI-Anwender bereitstellen. Zum Teil tun sie auch nichts anderes, als deren Dienste zu vermarkten.

Verschluckt sich einer der „TI-Riesen“, sind viele Leistungserbringer ihrer Abrechnungsfähigkeit – im schlimmsten Falle sogar ihrer Behandlungsmöglichkeit – beraubt. Dabei schwächelt die Mehrzahl der Primärsysteme-Anbieter ein wenig in ihrer Innovationskraft, was nicht zuletzt daran liegt, dass sie ständig mit neuen Anforderungen zum TI-Anschluss und Rückfragen ihrer Kunden beschäftigt sind.

Die entscheidende Frage lautet, ob sich die vielen Milliarden Euro, die in den Aufbau und Betrieb der TI investiert wurden, aus Sicht der Versicherten wirklich auszahlen. Schließlich sind sie es, die über ihre Beiträge das milliardenschwere Großprojekt finanzieren. Angesichts immer knapper werdender Budgets bzw. steigender Kassenbeiträge ist nämlich die Erwartung, dass die TI das seit 2004 bestehende Versprechen einer besseren Behandlung bei reduzierten Kosten einlöst, mehr als gerechtfertigt!

Nimmt man das Nutzungsverhalten von Patienten als Votum – quasi als „Abstimmung mit den Füßen“, zeigt sich, dass ein digitaler Gesundheitsservice deutlich höhere Zugriffszahlen verzeichnet als alle Zugriffe auf die ePA zusammen. Dieser bietet eine zuverlässige Terminvereinbarung sowie die freiwillige Bereitstellung eigener Daten per Upload.

Darüber hinaus liefern die Leistungserbringer Informationen über den Patienten direkt aus dem Primärsystem – freiwillig und mit dessen Zustimmung. Die Rede ist von doctolib. Das Unternehmen betreibt, so hört man in der Branche, eine der größten europäischen Instanzen in der AWS.

Vielleicht hätte man es bei der Telematikinfrastruktur doch auch bei einer dezentralen Struktur belassen können. So wie einst selbst von IBM vorgeschlagen.

Die Stärke einer föderalen, selbstverwalteten Struktur ist ihre Resilienz. Jedes Teilsystem kann arbeiten, selbst wenn ein anderes einmal ausfällt. Die Anbieter innerhalb der Teilstrukturen sind dann vorwiegend damit beschäftigt, ihre Services an gemeinsame Standards anzupassen und auf die Erfordernisse ihrer unmittelbaren Kunden zu optimieren.

In einer solchen Struktur würden Versicherte – denen ihre Daten ja angeblich gehören (zumindest so lange, bis ein Dienstleister die Cloud-Miete nicht mehr zahlen kann …) – die Zugriffsberechtigung an Leistungserbringer in für diesen lesbaren Formaten übergeben. Die Gematik wäre in einem solchen Szenario vor allem eine Standardisierungsinstanz.

Das könnte – so wie einst die DIN den Grundstein für die Erfolgsgeschichte der deutschen Industrie gelegt hat – weit mehr Innovationen durch agile mittelständische Unternehmen hervorbringen als die in diesem Artikel beschriebenen oligopolen Strukturen einiger weniger Konzerne.

In einem föderalen System mit dezentraler Datenhaltung könnten wahrscheinlich auch leitende Mitarbeiter von IT-Dienstleistern für den Gesundheitsmarkt wieder ruhiger schlafen. Müssten sie sich dann doch keine Sorgen mehr machen, womöglich morgen plötzlich ihren Hauptdatenhalter wechseln zu müssen. Nur weil irgendwo jemand schlechte Politik macht.

André Welke, Kommunikationswirt, Creative Consultant, 50668 Köln, E-Mail: mail@andrewelke.de