Unter dem Dach der Nanz medico GmbH & Co. KG sind mit dem Begriff ZAR (Reha Zentren für ambulante Rehabilitation) mehr als 30 ambulante Rehabilitationszentren in Deutschland vereint. Die Eigenwerbung lautet: „Deutschlands Nr. 1 für ambulante Reha“.
Am 30.01.2025 meldete heise.de: „Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte.“Aus dem Beitrag geht hervor, wie das Problem bekannt wurde: „Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen. Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat… Hackerkenntnisse waren zur Einsicht der Daten nicht nötig… Beim Aufruf der URL des Servers, von dem die App die Termine lud… wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung. Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden… Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.“Riesiges Datenleck bei ZAR-Reha-Kliniken entdeckt weiterlesen →
Bei einer Rede am 30.01.2025 in Dresden hat Friedrich Merz, Vorsitzender und Kanzlerkandidat der CDU erklärt (ab Minute 31:50): „Wenn wir zum Beispiel alle Mittel, die wir haben mit der Gesundheitskarte, also einer elektronischen Karte, wo alle Daten drauf sind, nutzen würden und sagen: Also jeder der seine Daten bereit ist auf dieser Karte zu speichern, bekommt zehn Prozent weniger Krankenversicherungsbeiträge als derjenige der Angst hat und sagt ich will das nicht, meine Daten sollen da nicht verwendet werden… Ich sage Ihnen meine Antwort: Ich bin vollkommen offen dafür, das zu machen. Auch persönlich würds sofort machen, weil ich glaube in unserem Land wird zu viel über Datenschutz geredet und zu wenig über Datennutzung…“ (Beifall und lautstarke Zustimmung aus dem Publikum).
§ 25b SGB V wurde im März 2024 durch das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG) in das SGB V eingefügt. Er gibt den Krankenkassen das Recht, die bei ihnen vorliegenden Abrechnungsdaten ärztlicher Leistungen, mit denen den Krankenkassen auch die ICD-Codesbekannt werden, auszuwerten und ihre Versicherten auf die Ergebnisse dieser Auswertung hinzuweisen, soweit die Auswertungen der Erkennung von seltenen Erkrankungen, Krebserkrankungen, schwerwiegenden Gesundheitsgefährdungen, die durch die Arzneimitteltherapie entstehen können, Erkennung einer noch nicht festgestellten Pflegebedürftigkeit, ähnlich schwerwiegender Gesundheitsgefährdungen oder der Erkennung von Impfindikationen für Schutzimpfungen dienen. Der Gesetzgeber räumt damit den Krankenkassen bei den genannten (potentiellen) Gesundheitsrisiken das Recht ein, unabhängig von den von den Versicherten konsultierten Ärzt*innen eigene Empfehlungen an ihre Versicherten abzugeben. Das sieht so aus, als würde der Gesetzgeber den Krankenkassen mehr an Erkenntnissen zutrauen als den unmittelbar behandelnden medizinischen Fachkräften.Techniker Krankenkasse (TK) versendet einschüchternde Schreiben an Versicherte weiterlesen →
SRF (Schweizer Rundfunk und Fernsehen) meldet am 23.01.2025: „Schweizer Spitäler sind leichte Ziele. IT-Sicherheitsexperten konnten Patientendaten einsehen und ins Herz der Kliniksysteme eindringen. Die Schwachstellen seien ‚offensichtlich und leicht auszunutzen‘… Schweizer Spitäler und Kliniken setzen bei ihrer IT primär auf drei Anbieter: Bei all diesen habe es kritische Sicherheitsmängel gegeben, so der Bericht…“
Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet wegen eines rechtswidrigen Austauschs personenbezogener Daten. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kund*innen in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Datenkartell und illegalen Datenaustausch bei 30 Reisekrankenversicherungen im In- und Ausland aufgedeckt weiterlesen →
Mutmaßliche Hacker erpressen offenbar einen Praxiskonzern, bei dem 130.000 Patienten registriert sind, mit gestohlenen digitalen Patientendaten. Das berichtet die taz am 22.01.2025 unter Berufung auf Meldungen des Dänischen Rundfunks.
Der Dänische Rundfunk teilt am 21.01.2025 auf seiner Internet-Präsenz mit:
Wer oder was ist die D-Trust GmbH? Sie ist ein Tochterunternehmen der Bundesdruckerei. In seiner Selbstdarstellungerklärt das Unternehmen: „Die D-Trust GmbH ist ein Unternehmen der Bundesdruckerei-Gruppe… Technologisch ausgereifte Lösungen machen uns zu einem Vorreiter für sichere digitale Geschäftsprozesse und Identitäten. So stärken wir das Vertrauen in die Digitalisierung… Ob digitale Zertifikate, elektronische Signaturen oder andere IT-Lösungen – für unsere Kunden und Partner stellen wir rechtssichere und zertifizierte Vertrauensdienste her, die den höchsten Sicherheitsstandards moderner Infrastrukturen entsprechen…“
Ganz anders klingt die Information zu einem „Datenschutzvorfall“ am 13.01.2025: „Die D-Trust GmbH ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.1.2025 festgestellt. Dabei sind möglicherweise personenbezogene Daten von Antragstellern entwendet worden.“ Und weiter – die üblichen Beruhigungspillen, die nach jeder Datenpanne bzw. jedem Hackerangriff verteilt werden: „Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen werden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären…“ D-Trust GmbH: „Sicherheitsvorfall“ mit Folgen für den Schutz medizinscher Daten? weiterlesen →
„Ab dem 15.01.2025 können zunächst nur Leistungserbringende, die in den Modellregionen an der Pilotphase teilnehmen, auf die ePA der Versicherten zugreifen. Das bedeutet im Umkehrschluss, dass Praxen und andere medizinische Einrichtungen in den Modellregionen und auch bundesweit bis auf wenige Ausnahmen noch nicht darauf zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt.“ Das stellt die gematik in ihrem Sondernewsletter ePAvom 18.01.2025 fest unter der Überschrift „Die Pilotphase der ePA für alle beginnt ab 15. Januar: Was bedeutet das?“
Satire wider Willen?
Einsicht in die Realitäten?
Oder haben die verantwortlichen Redakteur*innen bei der Endredaktion des Newsletters nicht aufgepasst?
In der Frankfurter Rundschau vom gleichen Tag kamen prominente Kritiker der ePA zu Wort; mit präzisen Kritikpunkten:
Dr. Andreas Meißner, Psychiater und Psychotherapeut: „Was auch die Schweigepflicht bedroht: Ein Schutz vor Beschlagnahme der ePA-Daten durch Ermittlungsbehörden ist bisher nicht vorgesehen, anders als bei der Gesundheitskarte. Die Schweigepflicht aber, daran muss aktuell erinnert werden, ist von grundlegender Bedeutung für das Vertrauensverhältnis im Behandlungsraum.“
Dr. Bernd Hontschik, Chirurg: „Laut Gesundheitsministerium wird die ePA ‚den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden leistungserbringern verbessern‘… Zu den Risiken sagt das Ministerium nichts.“ (Beitrag nur in der Printausgabe der FR)
Dr. Thilo Weichert, Jurist, Mitglied des Vorstands der Dt. Vereinigung für Datenschutz (DVD): „Es gibt keine völlige Sicherheit vor internen und externen Angriffen bei einer digitalen Datenverarbeitung… Dies gilt erst recht für ein komplexes System wie das der ePA mit tausenden Gesundheitseinrichtungen, knapp hundert Krankenkassen und mehr als hundert Softwaresystemen… Vor Abschluss der zusätzlich zu installierenden Schutzmaßnahmen sollte selbst der Pilotbetrieb nicht starten.“ (Beitrag nur in der Printausgabe der FR)
Dr. Michael Hubmann, Präsident des Berufsverbandes der Kinder- und Jugendärzte (BVKJ): „Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen. Bis die Rechte von Kindern und Jugendlichen in akzeptabler Weise verwirklicht sind, können wir Patienten und deren Eltern nur empfehlen, sich aktiv gegen die ePA zu entscheiden.“
Unmittelbar vor dem für den 15.01.2025 geplanten Start der elektronischen Patientenakte (ePA) haben sich mehr als 20 Verbände von Ärzt*innen, Datenschützer*innen, Verbraucherschützer*innen sowie Gesundheitsinitiativen und Selbsthilfegruppen von Patient*innen mit einem Offenen Brief an Bundesgesundheitsminister Karl Lauterbach (SPD) und gefordert:
„Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden“
Der Verein Patientenrechte und Datenschutz e. V. hat den Offenen Brief unterzeichnet.
Mit diesen Worten zitiert der WDR in einem Beitrag vom 12.01.2025 Oliver Huth, Landesvorsitzender des Bunds Deutscher Kriminalbeamter (BDK). Nach CDU-Generalsekretär Carsten Linnemann, der kurze Zeit nach dem Anschlag in Mageburg in einem Interview des Deutschlandfunks forderte „Es reicht nicht aus, Register anzulegen für Rechtsextremisten und Islamisten, sondern in Zukunft sollte das auch für psychisch Kranke gelten“ (Interview – ab 4:20 Min.) , ist das eine weitere Stimme, die Zugriff der Polizei auf Gesundheitsdaten fordert.
