KBV-Zertifizierung: Was sie bedeutet und warum sie wichtig ist

Warum die KBV-Zertifizierung relevant ist

Wer Videosprechstunden über den EBM abrechnen möchte, kommt an einem Begriff nicht vorbei: der Zertifizierung nach Anlage 31b. In der Praxis wird häufig von "KBV-Zertifizierung" gesprochen – ein gängiger, aber technisch ungenauer Begriff. Denn die KBV selbst zertifiziert keine Anbieter. Die Prüfung erfolgt durch unabhängige, akkreditierte Prüfstellen. Die KBV und der GKV-Spitzenverband legen die Anforderungen fest und führen die Liste der zertifizierten Anbieter.

Trotzdem wird die Zertifizierung oft missverstanden – sowohl in ihrer Reichweite als auch in ihren Grenzen. Dieser Artikel erklärt, was genau geprüft wird, auf welcher Rechtsgrundlage das Verfahren basiert und was die Zertifizierung für den Praxisalltag bedeutet.

Die Rechtsgrundlage: Anlage 31b zum BMV-Ä

Die technischen Anforderungen an Videodienstanbieter sind in der Anlage 31b zum Bundesmantelvertrag-Ärzte (BMV-Ä) festgelegt. Diese Anlage wird gemeinsam von der Kassenärztlichen Bundesvereinigung (KBV) und dem GKV-Spitzenverband erarbeitet und regelmäßig aktualisiert.

Die Anlage 31b definiert:

• Welche technischen Voraussetzungen ein Videodienstanbieter erfüllen muss
• Wie die Prüfung durchgeführt wird
• Welche Dokumentationspflichten bestehen
• Unter welchen Bedingungen die Zertifizierung entzogen werden kann

Für Ärzte und Psychotherapeuten ist die praktische Konsequenz eindeutig: Ohne einen nach Anlage 31b zertifizierten Anbieter keine GKV-Abrechnung der Videosprechstunde.

Die Anlage 31b ist dabei nicht statisch. Sie wird an den technischen Fortschritt und neue Datenschutzanforderungen angepasst. Für Praxen bedeutet das: Was heute zertifiziert ist, kann morgen erneut geprüft werden müssen. Die Verantwortung, einen aktuell zertifizierten Anbieter zu nutzen, liegt letztlich beim Vertragsarzt.

Was genau geprüft wird

Die Zertifizierung umfasst eine Reihe technischer und organisatorischer Anforderungen. Die wichtigsten im Überblick:

Ende-zu-Ende-Verschlüsselung

Die Kommunikation zwischen Arzt und Patient muss verschlüsselt übertragen werden. Die Anlage 31b verlangt, dass Video- und Audiodaten so verschlüsselt werden, dass Dritte – einschließlich des Anbieters selbst – keinen Zugriff auf die Inhalte erhalten.

In der Praxis gibt es hier Unterschiede in der technischen Umsetzung. Anbieter mit SFU-Architektur (Selective Forwarding Unit) leiten die Daten über einen zentralen Server. Anbieter mit Peer-to-Peer-Architektur stellen eine direkte Verbindung zwischen den Teilnehmern her. Beide Ansätze können die Anforderung erfüllen, unterscheiden sich aber im tatsächlichen Schutzniveau.

Keine Speicherung von Kommunikationsinhalten

Der Videodienstanbieter darf keine Inhalte der Videosprechstunde speichern – weder Video, Audio noch Chat-Nachrichten. Metadaten dürfen nur in dem Umfang verarbeitet werden, der für den Betrieb des Dienstes technisch erforderlich ist.

Das klingt selbstverständlich, hat aber praktische Konsequenzen: Funktionen wie automatische Aufzeichnung oder cloudbasierte Transkription, die manche Anbieter im Business-Bereich anbieten, sind im medizinischen Kontext nicht zulässig – zumindest nicht auf Seiten des Videodienstanbieters. Wenn Ärzte eine Dokumentation der Sitzung benötigen, muss das unabhängig vom Videodienst über die Praxissoftware erfolgen.

Serverstandort in Deutschland oder der EU

Alle Server, über die die Videokommunikation abgewickelt wird, müssen in Deutschland oder im europäischen Wirtschaftsraum stehen. Damit soll sichergestellt werden, dass die Datenverarbeitung dem europäischen Datenschutzrecht unterliegt.

Allerdings sagt der Serverstandort allein noch nichts über den rechtlichen Zugriff aus. Anbieter, deren Muttergesellschaft in den USA sitzt, unterliegen dem CLOUD Act – auch wenn ihre Server in Frankfurt stehen.

Datenschutzkonformität

Die Zertifizierung prüft die Einhaltung der DSGVO und berücksichtigt die besonderen Anforderungen, die sich aus § 203 StGB (ärztliche Schweigepflicht) ergeben. Dazu gehören:

• Vorhandensein eines Auftragsverarbeitungsvertrags (AVV)
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
• Dokumentation der Datenverarbeitungsprozesse
• Regelungen zur Löschung und Aufbewahrung

Technische Prüfung durch akkreditierte Stellen

Die Prüfung wird nicht von der KBV selbst durchgeführt, sondern von unabhängigen, akkreditierten Prüfstellen. Diese testen die technische Umsetzung der Anforderungen und erstellen einen Prüfbericht. Auf Basis dieses Berichts wird der Anbieter in die offizielle Liste aufgenommen.

Die Zertifizierung ist zeitlich befristet und muss regelmäßig erneuert werden. Läuft die Zertifizierung eines Anbieters aus, ohne dass eine Rezertifizierung erfolgt, verliert der Anbieter seinen Status – und damit die Abrechnungsfähigkeit für die Praxen, die ihn nutzen. Es empfiehlt sich daher, den Zertifizierungsstatus des eigenen Anbieters gelegentlich zu überprüfen.

Warum die Zertifizierung für die Abrechnung entscheidend ist

Die Verbindung zwischen KBV-Zertifizierung und Abrechnung ist direkt: Nur wenn Sie einen zertifizierten Anbieter nutzen, können Sie die relevanten EBM-Ziffern abrechnen. Das betrifft insbesondere:

Nutzen Sie einen nicht zertifizierten Anbieter, sind diese Abrechnungen nicht möglich. Im schlimmsten Fall können bereits abgerechnete Leistungen von der KV zurückgefordert werden.

Ein häufiges Missverständnis: Die Zertifizierung betrifft nur die GKV-Abrechnung über den EBM. Für privatärztliche Leistungen nach GOÄ ist die KBV-Zertifizierung formal nicht vorgeschrieben. Dennoch empfiehlt sich auch hier ein zertifizierter Anbieter, da die Anforderungen an Datenschutz und ärztliche Schweigepflicht unabhängig vom Abrechnungsweg gelten.

Wie Sie prüfen, ob ein Anbieter zertifiziert ist

Die KBV führt eine öffentlich zugängliche Liste aller zertifizierten Videodienstanbieter. Diese Liste finden Sie auf der Website der KBV unter dem Stichwort "zertifizierte Videodienstanbieter". Sie wird regelmäßig aktualisiert, wenn neue Anbieter zertifiziert werden oder bestehende Zertifizierungen auslaufen.

In der Praxis empfiehlt es sich, diese Liste vor Vertragsabschluss mit einem Anbieter zu prüfen – und nicht erst bei der ersten Abrechnung. Ein Anbieterwechsel im laufenden Betrieb ist möglich, aber mit Aufwand verbunden: neue Einwilligung der Patienten, gegebenenfalls neue Meldung bei der KV, Umstellung der Praxisabläufe.

Achten Sie bei der Liste auf folgende Punkte:

• Den Namen des Anbieters und des konkreten Produkts – manche Unternehmen bieten mehrere Produkte an, von denen nur eines zertifiziert ist
• Das Datum der Zertifizierung – die Zertifizierung ist befristet und muss erneuert werden
• Den Umfang der Zertifizierung – die Liste gibt Auskunft darüber, welche Funktionen geprüft wurden

Was die Zertifizierung nicht garantiert

Das ist ein Punkt, der oft übersehen wird: Die KBV-Zertifizierung ist ein Mindeststandard, kein Qualitätssiegel im umfassenden Sinne.

Die Zertifizierung bestätigt, dass ein Anbieter zum Zeitpunkt der Prüfung die definierten Anforderungen erfüllt hat. Sie sagt nichts aus über:

• Die Benutzerfreundlichkeit des Produkts
• Die Verbindungsqualität in der Praxis
• Den Kundenservice oder technischen Support
• Zusätzliche Sicherheitsmaßnahmen über den Mindeststandard hinaus
• Die tatsächliche Architektur im Detail – ob ein Anbieter eine SFU- oder Peer-to-Peer-Architektur nutzt, ist für die Zertifizierung nicht entscheidend, solange die Verschlüsselungsanforderungen erfüllt werden

Die ehrliche Einschränkung: Die Zertifizierung stellt sicher, dass Sie abrechnungsfähig arbeiten und ein Mindestmaß an Datenschutz gewährleistet ist. Die Frage, welcher Anbieter am besten zu Ihrer Praxis passt, beantwortet sie nicht.

Ein Vergleich aus dem Alltag: Ein TÜV-Siegel bestätigt, dass ein Auto die Mindestanforderungen für die Straßenverkehrszulassung erfüllt. Es sagt aber nichts darüber aus, ob das Auto zu Ihren Bedürfnissen passt, wie komfortabel es fährt oder wie gut der Hersteller-Service ist. Ähnlich verhält es sich mit der KBV-Zertifizierung.

Der Zertifizierungsprozess im Überblick

Für Ärzte ist der Zertifizierungsprozess nicht direkt relevant – Sie wählen einen bereits zertifizierten Anbieter. Zum Verständnis ist der Ablauf dennoch hilfreich:

1. Prüfstelle beauftragen: Der Videodienstanbieter beauftragt eine akkreditierte Prüfstelle mit der Zertifizierung
2. Technische Prüfung: Die Prüfstelle testet alle Anforderungen der Anlage 31b – Verschlüsselung, Serverstandorte, Datenschutzmaßnahmen, Dokumentation
3. Prüfbericht: Die Prüfstelle erstellt einen detaillierten Bericht über die Ergebnisse
4. Zertifikat: Bei Bestehen erteilt die Prüfstelle das Zertifikat nach Anlage 31b
5. Veröffentlichung: Der zertifizierte Anbieter wird in die öffentliche Liste der KBV und des GKV-Spitzenverbands aufgenommen
6. Rezertifizierung: Die Zertifizierung muss nach Ablauf der Frist erneuert werden

MeetOne ist nach Anlage 31b BMV-Ä zertifiziert und in der offiziellen KBV-Liste geführt.

Fazit

Die KBV-Zertifizierung ist die formale Voraussetzung dafür, dass Videosprechstunden im Rahmen der GKV abgerechnet werden können. Sie stellt sicher, dass ein Videodienstanbieter definierte Mindeststandards in den Bereichen Verschlüsselung, Datenschutz und Serverstandort erfüllt. Für die Wahl des richtigen Anbieters reicht die Zertifizierung allein aber nicht aus – Aspekte wie Verbindungsqualität, Benutzerfreundlichkeit und die tatsächliche Sicherheitsarchitektur gehen über den Prüfumfang hinaus.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche oder technische Beratung. Die Anforderungen der Anlage 31b können sich durch Aktualisierungen ändern.