Montagsrunde: Austausch, Ideen & Vorschläge

Themen für Marie Ruddeck zum Thema TIM: 

1. Virenscan-Lösungen im TI-Messenger

Problem / Klärungsbedarf

• Für den on-prem TI-Messenger wird eine Virenscan-Lösung benötigt.

• Unklar ist, welche technischen Ansätze aus Sicht der gematik spezifikationskonform bzw. unkritisch sind – insbesondere im Kontext von Ende-zu-Ende-Verschlüsselung.

Vom UKE geprüfte Optionen

• Option A: Serverseitiger Proxy / Content-Scanner

• Option B: Client-Side-Scanning (CSS)

• Option C: Link-basiertes File-Sharing mit AV-Scan im Fileshare

Forderung

• Eine fachliche Einschätzung der gematik, welche Optionen zulässig sind bzw. ob es Bedenken gibt.

2. Verhalten und Rollenmodell von Healthcare Services (HCS)

a) Sichtbarkeit von Matrix-IDs

Beobachtung

• Alle Matrix-IDs aller einem HCS zugeordneten Nutzer sind sichtbar.

• Dadurch können direkte Einzelchats außerhalb des HCS aufgebaut werden.

Kritik

• Aus Datenschutz-, Zweckbindungs- und Rollenperspektive problematisch.

• Widerspricht dem Verständnis eines HCS als geschütztem Organisationsendpunkt.

b) Start einer Kommunikation mit einem HCS

Beobachtung

• Beim Anschreiben eines HCS wird sofort ein regulärer Chat eröffnet.

• Keine vorgelagerte Anfrage oder Annahme durch Service-Administratoren.

Erwartung / Forderung

• Ein kontrollierter Anfrage-/Freigabeprozess, statt sofortiger Chat-Eröffnung.

• Klarere Abgrenzung zu einem einfachen Funktionspostfach.

c) Einsicht und Administration von HCS-Mitgliedern

Beobachtung

• Externe Kommunikationspartner können:

  • alle HCS-Mitglieder inkl. Klarnamen & Profilbilder sehen,

  • Nutzer hinzufügen oder entfernen.

Kritik / Forderung

• Solche Funktionen dürfen ausschließlich HCS-Administratoren vorbehalten sein.

• Externe dürfen keinerlei administrative Eingriffe vornehmen können.

d) Einsicht in Geräteinformationen und Verschlüsselungsstatus

Beobachtung

• Sichtbarkeit von:

  • Geräteinformationen,

  • Verschlüsselungsstatus,

  • vollständigen Matrix-IDs aller Mitglieder.

Kritik

• Eröffnet potenziell unzulässige Möglichkeiten (z. B. direkte Kontaktaufnahme, Geräteeingriffe).

• Diese Transparenz ist aus eurer Sicht nicht mit Rollen- und Verantwortungsgrenzen vereinbar.

Unklarheiten

• Hersteller (Famedly) verweist auf vollständige gemSpec-Konformität

• Die beobachteten Funktionen erscheinen jedoch nicht vereinbar mit Datenschutz-, Rollen- und Berechtigungsmodellen

Forderungen an die gematik

• Klare fachliche Einordnung:

  1. Ist das beobachtete Verhalten wirklich spezifikationskonform?

  2. Falls ja: Wie ist es datenschutzrechtlich und rollenbasiert zu rechtfertigen?

  3. Falls nein: Wie sieht der Soll-Zustand eines HCS aus?

3. VZD / Organisationsstruktur (aus dem Workshop)

Ziele

• Abbildung von Organisationsstrukturen im VZD als Baumstruktur

• Zentrale Administration durch die IT großer Organisationen

Offene Fragen / Herausforderungen

• Fehlende Pflege von Organisationsstrukturen im VZD

• Klärung von Pflege- und Berechtigungsmodellen (Datenhoheit, Macht der Organisationskarte)

• Strukturierung bei Nutzung eines TI-M Homeservices

• Generelle Verbesserung der Datenqualität für eine verlässliche Suche

eÜberweisung & eEinweisung

Beiträge zum Thema eÜberweisung, bei denen wir per Kommentar das Thema eEinweisung platzieren könnten:

• Johanna Ludwig
• „Mit dieser Strategie etablieren wir Digitalisierung als wesentliche Säule der Versorgung in Deutschland“, sagte Bundesgesundheitsministerin Nina Warken bei der Vorstellung der für das… | Bundesministerium für Gesundheit | 12 Kommentare
• #epa | Matthias Mieves | 11 Kommentare
• #digitalisierungsstrategie #epa #transformationsprojekt #mehraufwand #mehrwert #interoperabilität #versorgungsprozesse #krankenhäuser | Lukas Schmidt-Russnak

DKG Deep Dive ePA-Implementierung

• Sammlung von Fragen und Antworten
• Videoaufzeichnungen
• Vortragsfolien
• Heise-Artikel

Monatliche Statistiken zentraler TI-Störungen

• Januar 2026
• Dezember 2025
• November 2025
• Oktober 2025
• September 2025