Eine fehlerhafte Implementierung in Praxisverwaltungssystemen von einigen Herstellern ist wahrscheinlich der Grund für eine schwere Datenpanne innerhalb der „Kommunikation im Medizinwesen“ (KIM). Wie die Gematik mitteilt, wurden insgesamt 116 466 KIM-Nachrichten fehlgeleitet. Darüber habe sie ein KIM-Anbieter am 30. Juni 2023 informiert.

Statt wie beabsichtigt an die AOK Niedersachsen geleitet zu werden, wurden die Nachrichten an eine einzelne Arztpraxis geschickt. Nach aktuellem Kenntnisstand enthielten sie vor allem elektronische Arbeitsunfähigkeitsbescheinigungen (eAU), so die Gematik.

Fehlerhafter Versand seit September 2022

Um weitere Fehlleitungen von KIM-Nachrichten zu der betroffenen Praxis zu unterbinden, sei die KIM-Adresse unmittelbar nach Bekanntwerden des Problems aus dem Verzeichnisdienst (VZD) entfernt worden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wurde über den Vorfall in Kenntnis gesetzt und werde im Rahmen weiterer Analysen durch die Gematik informiert, heißt es weiter.

Offenbar wurden die Nachrichten seit September 2022 fehlerhaft an die betroffene Arztpraxis verschickt. Ein großer Teil dieser Nachrichten sei aufgrund von technischen Gegebenheiten erst in den vergangenen zwei Monaten falsch zugesendet worden. Die betroffene Arztpraxis bemerkte das hohe E-Mailaufkommen demnach erst, als sich das Systemverhalten veränderte und die Praxis ihren Systemanbieter um Aufklärung bat. Daher sei das Problem über einen längeren Zeitraum unerkannt geblieben, so die Gematik.

Keine Zugriffe von Unbefugten

Nach aktuellem Kenntnisstand sei es wahrscheinlich, dass die Praxis die fehlgeleiteten E-Mails aus technischen Gründen nicht öffnen konnte. Da die Weitergabe an einen Berufsgeheimnisträger erfolgte, unterliege der Vorgang zudem besonderen berufsrechtlichen und strafrechtlichen Vorgaben. Das Übermittlungsverfahren durch KIM habe trotz der Fehlleitung innerhalb des VZD keine Zugriffe von Unbefugten außerhalb der Telematikinfrastruktur zugelassen.

Wie kam es zu dem Vorfall?

Sowohl Krankenkassen als auch Arztpraxen werden durch Identifizierungsnummern im VZD identifiziert beziehungsweise gekennzeichnet, erklärt die Gematik. Aufgrund einer unvollständigen Prüfung durch einige Primärsysteme habe im beschriebenen Fall keine eindeutige Zuordnung bei der Identifizierung der betroffenen Krankenkasse und der Praxis gewährleistet werden können. Diese unvollständige Prüfung sei auf eine fehlende technische Implementierung seitens einiger Primärsystemhersteller zurückzuführen.

Deshalb seien die versendeten Nachrichten nicht wie intendiert an die AOK Niedersachsen zugestellt worden. Die betroffenen Primärsystemhersteller, so die Gematik, würden erneut aufgefordert, die seit 2022 geltende Prüfpflicht umgehend umzusetzen.