Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung von Opt-In auf Opt-Out soll – beginnend mit dem 15.01.2025 – die Patientenakte „für alle“ kommen. Vielfältig war die Kritik. Nicht nur der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hat während und nach seiner Amtszeit wiederholt wegen datenschutzrechtlicher Mängel und Problemen mit der technischen Infrastruktur der ePA vor der Einführung Mitte Januar gewarnt. Auch seine Nachfolgerin, die neue Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider stellte auf der Homepage der BfDI Ende November 2024 unmissverständlich fest: „Die Ausgestaltung der ePA verstößt gegen die DSGVO“. Diese Warnungen blieben im politischen und medialen Raum weitgehend folgenlos. Anders eine erneute Analyse der aktuellen Ausgestaltung der ePA und ihrer (Daten-)Sicherheit beim 38C3 Ende Dezember 2024.
Sicherheitsforscher zeigten unter anderem, wie sie sich mit wenig Aufwand auf Gesundheits- und Behandlungsdaten zugreifen konnten. Dies löste in den letzten Tagen ein größeres Medieninteresse und eine hilflose Reaktion der gematik hervor. Diese wies die Kritik zurück und erklärte in einer Stellungnahme vom 27.12.2024 u. a.: „Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich… Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.“ Und weiter: „Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt.“
Am 04.01.2025 meldete sich dann Bundesgesundheitsminister Karl Lauterbach (SPD) auf X (vormals: Twitter) zu Wort und erklärte u. a.: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet.“
Quelle: Twitter-Account von Karl Lauterbach
Ist das die Ankündigung eines Moratoriums kurz vor Beginn der bundesweiten Einführung der ePA?
Oder ist es ein erneuter Versuch, mit Nebelgranaten die massive Kritik an den offenkundigen Mängeln der ePA und der sie umgebenden technischen Infrastruktur unsichtbar zu machen bzw. sie ins Leere laufen zu lassen?
Der Verein Patientenrechte und Datenschutz hat wg. der aktuellen Enthüllungen auf dem 38C3 in einer Veröffentlichung vom 02.01.2025 gefordert:
- Das sogenannte „Rollout“ der ePA muss jetzt abgebrochen werden.
- Das Projekt „ePA für alle“ muss neu aufgesetzt werden.
- Die Notwendigkeit eines Neustarts gilt unabhängig davon, wie man zur ePA steht. Denn auch wenn man die ePA befürwortet, muss die Sicherheit der ePA und der in ihr gesammelten Daten unverzichtbar sein.
Unser Verein hat dieses Jahr noch nichts gefordert. Die Blogbeiträge geben die Meinung der jeweiligen Verfasser wieder. Bisher gibt es nur Meinungen von Vereinsmitgliedern. Wir sind aber dabei, eine möglichst breite Initiative zusammen zu bekommen, die sich insbesondere für eine Verbesserung der Aufklärung der PatientInen einsetzt.