Die gematik wurde am 30.6.2023 von einem KIM-Anbieter darüber in Kenntnis gesetzt, dass es innerhalb der „Kommunikation im Medizinwesen“ (KIM) zu einer Fehlleitung von Nachrichten gekommen ist. Betroffene KIM-Nachrichten wurden somit nicht, wie beabsichtigt, an die AOK Niedersachsen geleitet, sondern an eine einzelne Arztpraxis. Die Nachrichten enthielten nach aktuellem Kenntnisstand vor allem elektronische Arbeitsunfähigkeitsbescheinigungen (eAUs). Grund für die Fehlleitung ist wahrscheinlich eine fehlerhafte Implementierung in Praxisverwaltungssystemen von einigen Herstellern. Um weitere Fehlleitungen von KIM-Nachrichten zur betroffenen Praxis zu unterbinden, wurde unmittelbar nach Bekanntwerden des Problems die KIM-Adresse aus dem Verzeichnisdienst entfernt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wurde über den Vorfall in Kenntnis gesetzt und wird im Rahmen weiterer Analysen durch die gematik informiert.
Nach derzeitigen Angaben des Fachdienstes der betroffenen Arztpraxis geht es um ein Mengengerüst von 116.466 eAU-Nachrichten, die seit September 2022 an diese einzelne Arztpraxis fehlerhaft versendet wurden. Ein großer Teil dieser Nachrichten ist aufgrund von technischen Gegebenheiten erst in den vergangenen zwei Monaten falsch zugesendet worden. Die betroffene Arztpraxis bemerkte das hohe E-Mailaufkommen erst, als sich das Systemverhalten veränderte und die Praxis ihren Systemanbieter um Aufklärung bat. Daher blieb das Problem über einen längeren Zeitraum unerkannt. Nach aktuellem Kenntnisstand ist es wahrscheinlich, dass die Praxis aus technischen Gründen die fehlgeleiteten E-Mails nicht öffnen konnte. Da die Weitergabe an einen Berufsgeheimnisträger erfolgte, unterliegt der Vorgang zudem besonderen berufsrechtlichen und strafrechtlichen Vorgaben. Das Übermittlungsverfahren durch KIM hat trotz der Fehlleitung keine Zugriffe von Unbefugten außerhalb der Telematikinfrastruktur zugelassen.
Wie kam es zu dem Vorfall?
Sowohl Krankenkassen als auch Arztpraxen werden durch Identifizierungsnummern im Verzeichnisdienst (VZD) identifiziert bzw. gekennzeichnet. Aufgrund einer unvollständigen Prüfung durch einige Primärsysteme, konnte im beschriebenen Fall keine eindeutige Zuordnung bei der Identifizierung der betroffenen Krankenkasse und der Praxis gewährleistet werden. Diese unvollständige Prüfung ist auf eine fehlende technische Implementierung seitens einiger Primärsystemhersteller zurückzuführen. Deshalb wurden die versendeten Nachrichten nicht wie intendiert an die AOK Niedersachsen zugestellt, sondern fälschlicherweise an eine einzelne Arztpraxis. Die betroffenen Primärsystemhersteller werden erneut aufgefordert, die seit 2022 geltende Prüfpflicht umgehend umzusetzen.