E-Rezept: Zuschlag für Zur Rose? APOTHEKE ADHOC, 24.09.2020 10:16 Uhr
Lange forderte der Deutsche Apothekerverband (DAV) ein Monopol auf die E-Rezept-App, mit der ab kommendem Jahr alle deutschen Verordnungen versendet werden sollen. Im Bundesgesundheitsministerium (BMG) stieß er damit auf taube Ohren: Hausherr Jens Spahn (CDU) verkündete mit dem Patientendatenschutzgesetz (PDSG), dass die Gematik das Projekt in die eigenen Hände nehmen soll. Das tut sie jedoch nur bedingt: Zwar entwickelt sie das Frontend der App selbst, die dahinterstehende technische Infrastruktur sollen aber Unternehmen aus der freien Wirtschaft betreiben. Der E-Rezept-Fachdienst wurde ausgeschrieben – und dem Vernehmen nach ist die Zur-Rose-Tochter eHealth-Tec bereits in der engeren Auswahl.
Alle deutschen GKV-Rezepte könnten künftig indirekt durch die Hände des Versandhandelskonzerns Zur Rose gehen. Denn die Tochterfirma eHealth-Tec – bereits ins E-Rezept-Projekt der Techniker Krankenkasse (TK) involviert – ist dem Vernehmen nach eine von nur zwei Firmen, die sich bisher auf die Ausschreibung der Gematik für die „Bereitstellung von Entwicklungsleistungen, Rechenzentrum-Infrastruktur, System-Hardware und Software im Rahmen der Einführung des E-Rezepts“ beworben haben. Dem Vernehmen nach kam die Firma gemeinsam mit einem Partner in letzter Minute an Bord.
Das zweite Unternehmen ist demnach das Stuttgarter Abrechnungszentrum Optica. Die Tochtergesellschaft von Dr. Güldener – wiederum eine Tochter der Apobank – ist bereits gemeinsam mit dem Hessischen Apothekerverband (HAV), Noventi sowie den Krankenkassen AOK Hessen, TK und DAK am Projekt MORE beteiligt. Dabei können Patienten im Ärztlichen Bereitschaftsdienst eine Videosprechstunde buchen und sich im Anschluss ihre Medikation auf einem E-Rezept ausstellen lassen. Auch für die Plattform Apora soll Optica die E-Rezept-Technologie liefern. Auf Anfrage wollte sich das Unternehmen nicht zur Frage nach einer möglichen Bewerbung äußern.
Bei der Gematik scheint man sich von Anfang an bewusst gewesen zu sein, dass die Bewerber eine gewissen Erfahrung mitbringen müssen. Denn der Zeitplan ist sportlich: In weniger als einem Jahr muss das Projekt laufen. Der Ausschreibung zufolge sollte sich das Bewerberfeld daher auf mindestens drei und maximal fünf Anbieter beschränken.
Von den Firmen, die sich bewerben, erhält allerdings keine den Zuschlag für die komplette Ausschreibung, denn die ist aus Datenschutzgründen in zwei Lose geteilt: einerseits den E-Rezept-Fachdienst, andererseits den Verzeichnisdienst und den Identity Provider. Ersterer ist sozusagen das Herzstück des E-Rezept-Systems – der Speicher, auf dem alle E-Rezepte samt Versicherten- und Verordnungsdaten liegen, und von dem aus die Verordnungen an die Gematik-App sowie an die Apotheken- und Praxisverwaltungssysteme geschickt werden.
Der Bewerber soll die „hierfür erforderliche Infrastruktur in hochverfügbaren, georedundanten Rechenzentren, die Lieferung, Installation und Support der skalierbaren Hard- und Software-Komponenten“ bereitstellen, heißt es in der Ausschreibung: „Der Anbieter entwickelt den E-Rezept-Fachdienst nach den Vorgaben der technischen Spezifikation der Gematik und die Härtung des dafür erforderlichen Serversystems als Vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment) in Zusammenspiel mit der sicheren RZ-Umgebung und den dazu erforderlichen und geeigneten Hard- und Softwarekomponenten.“
Der E-Rezept-Fachdienst muss dabei entsprechend der technischen Spezifikation der Gematik aufgebaut werden, seine Leistungsfähigkeit ist der Gematik zufolge „derart zu entwickeln und zu dimensionieren, dass das vollständige Rezept-Aufkommen im deutschen Gesundheitswesen verarbeitet werden kann und weitere Skalierungs- und Erweiterungsmöglichkeiten bestehen“. Gleichzeitig muss ein hohes Maß an Sicherheit gewährleistet werden: Nicht nur der Betreiber muss vom Zugriff auf die personenbezogenen medizinischen Daten ausgeschlossen werden, sondern auch alle anderen Unbefugten.
Um das sicherzustellen, ist die Bereitstellung „zugangsgesicherter und von den Systemen anderer Kunden des Anbieters getrennter Räumlichkeiten zum Betrieb der in vierfach redundanter Ausführung in zwei hochverfügbaren, georedundanten Rechenzentren“, eine der Voraussetzungen. Georedundanz bedeutet in dem Zusammenhang gemäß der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass zwei verschiedene Datenzentren einen Mindestabstand von 200 Kilometern haben müssen, um die Gefahr von Beeinträchtigungen beispielsweise durch Wartungsarbeiten oder aber Naturkatastrophen zu minimieren. Zumindest physisch wird es also nicht nur einen deutschen E-Rezept-Speicher geben, sondern zwei.
Eine besondere Bedeutung kommt der Ausschreibung zufolge der Einhaltung des Zeitplans zu, er sei „ein entscheidendes Erfolgskriterium des gesamten Projektes“. Demnach dürfte die Vergabe nicht mehr allzu lange auf sich warten lassen: Denn vier Wochen nach Zuschlag sollen Konzeption und Planung stehen. Sind die von der Gematik abgenommen, soll bis spätestens Februar in vier Lieferungen die iterative Bereitstellung funktionaler Teillieferungen erfolgen, um eine frühzeitige entwicklungsbegleitende Systemintegration mit anderen TI Systemen zu ermöglichen.
Denn der 1. März ist bereits der Spätesttermin zur Bereitstellung in der Testumgebung für den Beginn der Zulassungstests, die Bestandteil der Produktzulassung sind. Die Produktzulassung soll dann spätestens zum 1. Juni erfolgen, um eine produktive Inbetriebnahme spätestens zum 23. Juni zu ermöglichen. Eine Woche später, am 1. Juli, ist dann nämlich der offizielle Startschuss für das E-Rezept in Deutschland. In Branchenkreisen wird bereits stark in Zweifel gezogen, dass dieser Zeitplan noch zu halten ist.
Den gleichen Zeitplan legt die Gematik für das zweite Los der Ausschreibung fest, nämlich „Entwicklung, Zulassung und Betrieb des Identity-Provider (IDP) sowie Beschaffung und Betrieb der erforderlichen IT-Infrastruktur(-systeme)“. Der Identity Provider ist dabei ein zentraler Dienst der Telematikinfrastruktur in der Provider Zone, mit Anbindung an Public-Key-Infrastruktur (PKI) und weitere zentrale Dienste. Darüber hinaus muss das Unternehmen das Authentisierungsmodul – auch „Authenticator“ genannt – als mobile, durch den Nutzer zu installierende Anwendung mit SmartCard-Zugriff (NFC) bereitstellen. Darin sind die Daten aller befugten Institutionen und Einzelpersonen gespeichert und sollen sicher und eindeutig verifiziert werden können. Für beide Lose soll der Zuschlag für vier Jahre erfolgen mit der Möglichkeit, den Vertrag zweimal um jeweils ein weiteres Jahr zu verlängern.