Herr Haibach, spätestens seit der Pandemie ist jedem klar, dass die Sozialsysteme inklusive Gesundheitswesen nicht nur in den medizinischen Einrichtungen, sondern auch im „Backend“, also versicherungsseitig, viel umfassender digitalisiert werden müssen. Wie viel Papier wird denn in der Sozialversicherung noch bedruckt?
Das ist unterschiedlich. Wir bedienen als ITSG ja unterschiedliche Fachbereiche. Im Arbeitgeberumfeld – also Sozialversicherungsmeldung, Beitragsnachweis und so weiter – haben wir einen sehr hohen Digitalisierungsgrad, 99 Prozent und mehr. Da sind allenfalls noch einzelne Bescheinigungen nicht digitalisiert, und auch die werden rapide weniger. Auch Krankengeldberechnung und Arbeitslosengeldberechnung sind schon elektronisch, können aber noch digitaler werden. Im Leistungserbringerbereich sieht das teilweise noch anders aus, vor allem natürlich bei den nichtärztlichen Heilberufen. Aber schon auch bei den Arztpraxen: Ein PDF-Arztbrief, der quasi in einem FHIR-Briefumschlag steckt, ist nicht gerade konsequente Digitalisierung, auch wenn er elektronisch per KIM übermittelt wird.
Wie sieht es bei der internen Digitalisierung der Krankenkassen aus?
Die Bestandssysteme der Krankenkassen sind gut digitalisiert. Auch was das Antragswesen aufseiten der Versicherten angeht, haben die meisten Krankenkassen inzwischen Online-Geschäftsstellen. Trotzdem gibt es nach wie vor Formulare, die handschriftlich oder qualifiziert digital unterschrieben werden müssen. Und da die meisten Versicherten keine qualifizierte elektronische Signatur haben, kommt hier dann halt doch wieder Papier zum Einsatz.
Die ITSG ist lange im Geschäft, sie feiert in diesem Jahr ihr dreißigjähriges Jubiläum. Hätten Sie – bzw. hätten die Leute bei Ihnen, die von Anfang an dabei waren – gedacht, dass es so lange dauern würde mit der Digitalisierung der deutschen Sozialsysteme?
Die Frage ist ja immer: Was ist langsam, was ist schnell? Farbfernseher und Radio haben sich auch nicht über Nacht universell durchgesetzt, das hat teilweise Jahrzehnte gedauert. Eine Herausforderung ist, dass sich die Technologien in unserem Bereich so schnell ändern. Wir haben damals mit 3,5‘‘-Disketten angefangen, die die Arbeitgeber verschickten. Die haben wir bei uns eingespielt, dann gelöscht und schließlich leer wieder zurückgeschickt, weil es ja nachhaltig sein sollte. So gesehen: Es geht schon spürbar voran, aber unser Anspruch ist heute natürlich ein anderer und die aktuellen Entwicklungszyklen sind viel kürzer geworden. Dem müssen wir uns insgesamt stellen und gerecht werden.
Im Gesundheitswesen ist das Geld zunehmend knapp. Die Krankenkassen sparen, wo sie können. Sie haben aktuell die Zusatzbeiträge erhöht. Die Politik denkt über eine teilweise Änderung der GKV-Finanzierung nach, Stichwort Kapitalerträge. Sparen die Versicherungen auch bei der IT?
Ja, das merken wir. Die Budgets dieses Jahr sind kleiner geworden, insbesondere für Neuentwicklungen. Für den laufenden Betrieb ändert sich nicht so viel, da sind die Budgets stabil, aber an neuen Projekten wird schon gespart. Ob das besonders sinnvoll ist, das ist die andere Frage. Ein schlechter Prozess, der kostensparend digitalisiert wird, statt ihn wirklich zu optimieren, ist halt immer noch ein schlechter Prozess. Und das Risiko solcher Schmalspurdigitalisierungen steigt, wenn an neuen Projekten gespart wird, die ja oft innovative Prozesse testen. Ich will nicht ausschließen, dass es in den letzten Jahren an der einen oder anderen Stelle mit Digitalprojekten übertrieben wurde. Aber einfach pauschal auf die Stopptaste drücken, das kann es nun auch nicht sein. Das tut dem Gesamtsystem nicht gut. Zumal die IT-Ausgaben der Krankenkassen und auch der Körperschaften weiterhin nur einen kleinen Teil der Verwaltungskosten ausmachen. Das ist nur ein geringer Prozentsatz, wir reden nicht über Riesenbeträge, die beitragsrelevant wären. Und am Ende soll Digitalisierung natürlich auch helfen, Kosten zu sparen. Insofern glaube ich schon, dass da teilweise am falschen Ende gespart wird.
Sie haben es angesprochen: Prozesse digitalisieren, kann die Effizienz verbessern. Aber nicht jeder digitalisierte Prozess hilft automatisch. Wie muss man rangehen, um zu digitalisierten Prozessen zu kommen, die echte Effizienzgewinne bringen?
Zum einen braucht es sektorenübergreifende Standards und Normen, auf Versicherungsseite genauso wie auf Leistungserbringerseite. Da kann man sich im Arbeitgeberumfeld durchaus das eine oder andere abschauen. Dort wurden Standards und Normen geschaffen, und von den Entgeltabrechnungsprogrammen dürfen dann auch nur die teilnehmen, die sich an die Standards und Normen halten. Die Softwarelösungen in diesem Bereich werden jährlich rezertifiziert. Wenn ein Programm das Zertifikat nicht bekommt, dann kann der Arbeitgeber mit dieser Software keine Meldungen mehr schicken. Das ist schon ein wirksamer Hebel. Im Leistungserbringerbereich ist das längst nicht so streng geregelt, was dazu führt, dass es dort immer noch viele Insellösungen gibt, die nicht zusammenpassen – denken Sie an IT-Lösungen für IV-Verträge, für die Hausarztzentrierte Versorgung und so weiter.
Wer zertifiziert und ordnet das an im Arbeitgeberbereich? Warum funktioniert das da?
Das sind klare Vorgaben im Sozialgesetzbuch IV. Die hat das Bundesministerium für Arbeit und Soziales damals auf den Weg gebracht, und es hat dann den GKV-Spitzenverband beauftragt, die Softwareprodukte zu zertifizieren. Was der dann an uns weitergegeben hat als Auftrag.
Im Versorgungs- und damit SGB-V-Umfeld hat das Bundesministerium für Gesundheit die gematik zu einer Instanz aufgebaut, die auch eine gewisse Zertifizierungsfunktion hat. Warum funktioniert das da noch nicht so gut wie bei den Arbeitgebern?
Ich glaube, dass es ganz wesentlich daran liegt, dass die gesetzlichen Vorgaben nicht klar genug sind. Da war das Bundesarbeitsministerium einfach konsequenter. Das ist zumindest mein Eindruck.
Geben Sie mal ein paar Beispiele für solche SGB-IV-Prozesse, die gut funktionieren.
Ein Beispiel ist der GKV-Kommunikationsserver. Das war eine ganz bewusste politische Entscheidung: Unternehmen sollten nur eine einheitliche und konstante technische Adresse brauchen, bei der sie in Sachen Sozialversicherung alles abgeben können und von der sie dann auch Rückmeldung bekommen. Das wurde umgesetzt. Heute landen alle Arbeitgebermeldungen und Beitragsnachweise bei der ITSG, und wir verteilen die dann an die Datenannahmestellen der jeweiligen Krankenkassen. Wenn ein Arbeitgeber eine elektronische Arbeitsunfähigkeitsbescheinigung abfragt, schickt er die Abfrage an den GKV-Kommunikationsserver bei der ITSG. Wir fragen dann bei den Kassen an, ob jemand für diesen Versicherten eine AU-Bescheinigung vorliegen hat und melden ggf. die AU-Zeit zurück, oder wir melden zurück, dass keine AU-Bescheinigung vorliegt. Ein anderes konkretes Beispiel ist das Sozialversicherungs-Meldeportal – eine einheitliche Ausfüllhilfe speziell für kleinere und mittlere Unternehmen. So werden auch die ins Boot geholt, die keine eigenen IT-Abteilungen haben. Das ist also sehr inklusiv.
Das alles, Sie haben es angesprochen, ist lang eingespielt und gut etabliert. Was sind die echten Innovationsthemen im Bereich Sozialversicherungs-IT?
Vor allem die Verschlankung der Prozesse mit neuen Technologien. Um ein paar Buzzwords unterzubringen: Künstliche Intelligenz, Container-Betrieb, skalierungsfähiger Betrieb mit Cloud-Technologien. Das sind so die Bereiche, in denen wir uns weiterentwickeln – immer mit dem Ziel, dass es am Ende dem Prozess dienen und die Sachen jeweils einfacher und schneller machen muss.
Stichwort Cloud: Die ITSG will sich stärker als Private-Cloud-Provider für den Bereich Sozialversicherung positionieren. Gibt es nicht genug Cloud-Anbieter – auch solche, die rein europäisch sind?
Die erste Frage, die man in dem Zusammenhang stellen sollte, lautet: Was ist eigentlich „Cloud“? Wenn Sie da fünf Leute auf der Straße fragen, kriegen Sie fünf verschiedene Antworten, und die entsprechen dann oft dem Marketing-Geschwätz der Hyperscaler. Cloud ist aus meiner Sicht in erster Linie eine Technologie, mit der sich leicht skalieren lässt und die es erlaubt, Kapazitäten flexibel nach Bedarf zur Verfügung zu stellen. Mehr ist es eigentlich nicht. Und da stellt sich dann schon die Frage, ob wir die sensiblen Sozialdaten nur deswegen an Konzerne nach draußen geben sollten – oder ob wir sie nicht doch lieber innerhalb der Welt der deutschen Sozialversicherung halten. Wir sind da aber auch nicht dogmatisch: Ich kann mir schon vorstellen, mit rein europäischen Cloud-Anbietern zusammenzuarbeiten. Es gibt da auch Hybridmodelle, bei denen zum Beispiel nur besondere Bedarfsspitzen von Hyperscalern übernommen werden. Eines dieses Hybrid-Modelle testen wir gerade. Aber die reine Datenhaltung der Sozialdaten, die würden wir schon gerne innerhalb des eigenen Rechenzentrums machen. Denn wir wissen, wie man mit Sozialdaten umgehen muss.
Sind die Großanbieter nicht am Ende billiger?
Das wird an der Stelle dann immer gesagt. Aber so einfach ist es nicht. Klar können die Großen anders kalkulieren. Aber wenn man ehrlich rechnet, ist der Unterschied am Ende oft nicht sehr groß – vor allem dann, wenn spezielle Anwendungen zum Einsatz kommen, die im Sozialversicherungsbereich häufig benötigt werden. Nehmen Sie Hochsicherheitsmodule, die HSM, die kosten bei einem typischen Hyperscaler plötzlich richtig Geld, weil die sagen, dass das nicht in ihrem Standardangebot enthalten ist. Noch mal: Wir sind da nicht dogmatisch. Wir kooperieren mit Hyperscalern, und ich kann mir zum Beispiel auch vorstellen, dass wir Cloud-Lösungen gemeinsam mit anderen Akteuren im Bereich Sozialversicherung betreiben. Das muss nicht jeder selbst und allein machen. Aber einfach alles rausgeben, das halte ich nicht für klug. Wir sind stark genug und brauchen uns da nicht zu verstecken, zumal die Technologie dahinter nun wirklich keine Raketenwissenschaft ist. Was wir nicht anbieten werden, sind Oberflächen, auf denen die Kunden sich alles selbst zusammenklicken können. Das bleiben dann schon gemanagte Services von uns – was aber für die Krankenkassen oder andere Kunden durchaus einen Mehrwert hat, davon bin ich fest überzeugt.
Haben Sie den Eindruck, dass die makropolitische Gemengelage solchen Cloud-Lösungen, wie Sie Ihnen vorschweben, in die Hände spielt, Stichwort digitale Souveränität?
Absolut.
Das Digitalministerium hat den Deutschland-Stack zur Kommentierung veröffentlicht. Das soll künftig eine nationale Technologieplattform zur Digitalisierung der öffentlichen Verwaltung werden. Wo sind da für ein Unternehmen wie die ITSG die Kontaktpunkte?
Die Frage ist ja, an wen ist der Deutschland-Stack adressiert. Richtet sich das nur an die öffentliche Verwaltung, oder richtet es sich auch an die Organe der Selbstverwaltung und damit an uns? Das ist mir ehrlicherweise noch nicht ganz klar. Aber ich gehe mal davon aus, wenn es die öffentliche Verwaltung macht, dann wird es auch irgendwann die Selbstverwaltung treffen. Deswegen wollen wir uns als ITSG so früh wie möglich damit befassen und uns da auch bei der Kommentierung und Weiterentwicklung aktiv einbringen.
Noch mal kurz zum Thema Cloud. Im SGB-V-Bereich bewegt man sich da im Umfeld von § 393, der ein C5-Testat verlangt. Da haben ja einige so ihre Schwierigkeiten mit. Wie ist das bei Ihnen?
Das hat uns in den letzten Monaten sehr stark beschäftigt. Es gibt ja internationale Standards für den Cloud-Betrieb, das ist die ISO 27017/018 in Verbindung mit ISO 27001. Das sind die klassischen ISO-Normen für einen sicheren Cloud-Betrieb. Die erfüllen wir, diese Zertifikate haben wir alle. Dann kam der § 393 SGB V mit seinem C5-Testat. Das ist letztlich eine deutsche Sonderlocke. Wir arbeiten an einer Gap-Analyse im Vergleich zur ISO 27017/018. So groß sind die Unterschiede nicht, sodass wir gesagt haben, ja, wir holen uns jetzt auch das C5-Testat. Da sind wir gerade dran. Der Gesetzgeber hat jetzt über das Justizministerium eine Übergangsverordnung für zwei Jahre erlassen. In dieser Phase können gleichwertige Zertifikate vorgelegt werden. Entsprechend erfüllen wir den § 393 im Moment, auch wenn das C5-Testat noch in Arbeit ist. Unser Ziel ist es, das Testat bis zum Ende der Übergangsphase zu haben.
Lassen Sie uns zum Abschluss über zwei weitere Themen zumindest kurz sprechen. Postquanten-Kryptografie ist ein Thema, an dem die Sozialversicherung nicht vorbeikommt. Wo wird das für die ITSG und andere Dienstleister in diesem Bereich relevant?
Die ITSG vergibt Zertifikate für den elektronischen Datenaustausch im Sozialwesen, sowohl für Leistungserbringer wie auch für Arbeitgeber. Insbesondere bei Arbeitgebern haben wir einen sehr hohen Marktanteil mit unserem Trust Center. Bei den Leistungserbringern sind wir hauptsächlich bei sonstigen Leistungserbringern, Pflegeeinrichtungen und so weiter unterwegs. Internationale Gremien und darauf aufbauend das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagen jetzt, dass es ab voraussichtlich 2030 Computer geben wird, die die heute üblichen Verschlüsselungen knacken können. Also müssen wir und andere anfangen, andere Schlüssel auszugeben und anders zu verschlüsseln, sodass diese Quantencomputer das dann nicht entschlüsseln können.
Wie akut ist das schon?
Das ist im Moment noch in den Fachgremien, unmittelbar bevor steht dieser Umstieg nicht. Unser Ziel ist, dass wir spätestens ab 2030 mit unserem Trust Center quantensichere Zertifikate vergeben können. Was wir schon gemacht haben, ist, dass wir die bisher dreijährige Laufzeit unserer Zertifikate auf eine einjährige Laufzeit umgestellt haben. Damit können wir im Zweifel relativ zügig auf quantensichere Zertifikate wechseln, falls es schneller gehen sollte als gedacht.
Letztes Thema: GesundheitsID. Krankenkassen geben GesundheitsIDs aus, die bisher aber kaum genutzt werden. Gleichzeitig steht auf europäischer Ebene die Einführung der EUDI-Wallet an, in der eine an den Personalausweis gekoppelte GesundheitsID abgelegt werden könnte, ohne dass das bisher schon abschließend beschlossen wäre. Wo geht die Entwicklung in diesem Bereich aus Ihrer Sicht hin?
Als Privatperson, als Bürger, würde ich mir schon wünschen, dass es eine natürliche Identität, die der des Personalausweises entspricht, auch im digitalen Bereich gibt. Die EUDI-Wallet ist da, glaube ich, der richtige Ansatz, auch technisch. Wenn ich so eine Identität habe, dann würde ich sie natürlich auch gerne in möglichst vielen Bereichen nutzen, in der öffentlichen Verwaltung, im Geschäftsleben, aber eben auch in der Sozialversicherung. Denn Authentifizierungsbedarf gibt es in der Sozialversicherung bzw. der medizinischen Versorgung ja an sehr vielen Stellen.
Also digitale GesundheitsID in die EUDI-Wallet?
Aus meiner Sicht muss sich die Krankenversichertennummer in der EUDI-Wallet andocken. Klar ist aber auch, dass Krankenkassen und auch Rentenversicherungen von ihren heutigen Ordnungsbegriffen nicht wegwollen. Aber die Verknüpfung der Krankenversicherten- oder auch der Rentenversicherungsnummer zur natürlichen Person lässt die EUDI-Wallet zu, das ist ja gerade ihre Stärke. Und dann könnte man die ganzen Insellösungen, die es heute bei der digitalen GesundheitsID gibt, wegschmeißen. Das wäre schon extrem gut.
Das Interview führte Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM.