Im Rahmen der Digitalisierung des Gesundheitssystems wurde mit dem Digital-Gesetz (DigiG) die Grundlage für die Einführung der elektronischen Patientenakte geschaffen.
Die flächendeckende Einführung der ePA für alle gesetzlich Versicherten begann am 15. Januar 2025. Ursprünglich war vorgesehen, dass alle Befunde und Diagnosen der behandelnden Ärzte direkt auf der Gesundheitskarte des Patienten gespeichert werden. Damit sollte sichergestellt werden, dass diese Informationen sowohl für eine Weiterbehandlung als auch im Notfall unverzüglich verfügbar sind. Dieses Konzept wurde der Ärzteschaft vorgestellt und von den Fachgremien gebilligt.
Im Laufe der Zeit wurde jedoch – ohne großes Aufsehen – das Speichermodell geändert. Die Gesundheitsdaten sollen nun in einer umfassenden „Cloud“ zentral gespeichert werden, damit sie bei Bedarf online abgerufen werden können.
Zur Durchsetzung dieser Ziele hatte der damalige Gesundheitsminister Jens Spahn den früheren Vorstand der Gematik (Nationale Agentur für Digitale Medizin) entlassen und einen seiner „Freunde“, den Pharmalobbyisten Dr. Marcus Leyck Dieken mit doppeltem Einstiegsgehalt als Geschäftsführer inthronisiert. Kritik an der Führung der Gematik und dem Fortschritt der Digitalisierungsprojekte führte letztendlich dazu, dass Leyck Dieken zum Jahresende 2023 die Gematik verließ, obwohl sein Vertrag ursprünglich bis Mitte 2024 lief.
Die Einführungsphase kostete bisher zweistellige Milliarden Beträge.
Seit dem 01.01.2025 ist die ePA nun offiziell im Einsatz. Alle Versicherten, die der zentralen Speicherung ihrer Daten nicht ausdrücklich widersprochen haben, sind automatisch betroffen und deren Gesundheitsdaten werden in die Cloud hochgeladen.
Damit dieser Datentransfer möglich wird, wurden Ärzte, Zahnärzte und Psychotherapeuten per Gesetz verpflichtet ihre Praxissoftware mittels eines Konnektors 24 Stunden täglich mit dem Internet verbunden zu belassen. Allein die Kosten der Softwarepflege belaufen sich auf knapp hundert Euro pro Praxis und Monat und werden via Krankenkassen von den Versichertengeldern abgezweigt.
Dazu kommt ein technisches Problem: Die geforderte 24-stündige Verbindung zum Internet durch die Arztpraxen ist eine Eintrittspforte par excellence für jegliche Schadsoftware.
Der Chaos Computer Club (CCC) hat auf schwerwiegende Sicherheitsmängel der ePA hingewiesen. Beim 38. Chaos Communication Congress demonstrierten Sicherheitsforscher, wie sich unberechtigter Zugang zu Patientendaten verschaffen lässt. Sie zeigten auf, dass es möglich ist, Zugriffstoken zu generieren oder sich Zugang zu Gesundheitskarten und Heilberufsausweisen zu verschaffen. Dies könnte Millionen Patientenakten gefährden und verdeutlicht die Anfälligkeit des Systems (1).
Die Gematik hat zwar Verbesserungen angekündigt, doch die Schwachstellen unterstreichen die dringende Notwendigkeit, die Sicherheit der ePA zu überarbeiten (2).
Gesundheitsdaten sind eine besonders schützenswerte Kategorie personenbezogener Daten. Die zentrale Speicherung dieser Informationen birgt erhebliche Risiken und Begehrlichkeiten, sei es durch Wirtschaft, Politik oder andere Interessengruppen.
Kritische Punkte der zentralen Speicherung:
- Zahlreiche Hackerangriffe auf Gesundheitseinrichtungen und Institutionen zeigen die Anfälligkeit solcher Systeme
- Politische Änderungen können zu neuen, unvorhergesehenen Verwendungszwecken der Daten führen
- Patienten können oft nicht einschätzen, welche Informationen relevant sind, und entfernen unter Umständen wichtige Daten
- Die Daten sind pseudonymisiert, nicht anonymisiert, was eine Rückverfolgbarkeit ermöglicht. Gruppen mit wirtschaftlichen Interessen könnten Zugriff beantragen, indem sie diesen als „Gemeinwohl“ deklarieren
- Es fehlen grundlegende Funktionen wie eine klare Ordnungsstruktur und Suchmöglichkeiten in der ePA, was die Handhabung erschwert
- Der Zeitaufwand, um relevante Informationen in der ePA zu finden, schmälert die Zeit für die eigentliche Patientenbetreuung erheblich.
Eine von der Gematik beauftragte Studie des Fraunhofer-Instituts zeigt zudem, dass erhebliche Schwachstellen in den Primärsystemen bestehen. Diese Sicherheitslücken belasten vor allem die Praxen, da sie sowohl technische als auch rechtliche Verantwortung tragen. Die Einführung verbindlicher Sicherheitsstandards ist bislang unterblieben.
Aufgrund der unsicheren Lage wurde die Möglichkeit, Bilddateien in die ePA hochzuladen, vorübergehend deaktiviert. Eine umfassende Lösung wird nicht vor Sommer 2025 erwartet.
Rechtliche Bewertung:
Artikel 9 der Datenschutzgrundverordnung untersagt grundsätzlich die Verarbeitung personenbezogener Gesundheitsdaten. Ausnahmen bestehen nur, wenn Betroffene ausdrücklich zustimmen. Der vorherige Datenschutzbeauftragte setzte sich für eine Opt-In-Lösung ein, bei der Patienten aktiv zustimmen müssten. Stattdessen wurde jedoch eine Opt-Out-Regelung eingeführt, die Betroffene zwingt, aktiv zu widersprechen, um ihre Daten zu schützen. Diese Herangehensweise zeigt, dass hier weniger das Wohl der Patienten als vielmehr staatliche Interessen im Fokus stehen.
Fazit:
- Die Speicherung der ePA-Daten sollte ausschließlich auf der Gesundheitskarte des Patienten erfolgen, wobei eine Überarbeitung der Datenstruktur notwendig ist
- Für wissenschaftliche und medizinische Forschung sollten nur anonymisierte und ICD-codierte Daten aus den Krankenkassenbeständen verwendet werden
- Versicherte sollten dringend dazu ermutigt werden, der zentralen Speicherung ihrer Daten schriftlich zu widersprechen, solange die Sicherheit nicht gewährleistet ist.
Quellenangaben:
(1) https://www.ccc.de/en/updates/2024/ende-der-epa-experimente
