ePA-Start 2025: Ignoriert die Bundesregierung Warnungen vor Datenlecks
Die ePA kommt 2025 für alle gesetzlich Versicherten. Experten warnen vor Sicherheitslücken im System. Können Hacker Daten von 70 Millionen Menschen stehlen?
Deutschland gilt in der EU bei der Digitalisierung als eher zögerlich. Jetzt hat man es bei der elektronischen Patientenakte (ePA) jedoch plötzlich ziemlich eilig und blendet offensichtlich so manches Betriebsrisiko lieber aus, als dass man es beseitigt.
Ursprüngliches Opt-In-Verfahren hat die Versicherten wohl kaum begeistert
Seit dem 1. Januar 2021 hatten gesetzlich Versicherte Anspruch auf eine ePA, die sie bei ihrer Krankenkasse oder teilnehmenden Krankenversicherungen beantragen konnten (Opt-in). Mit der ePA sollen Patienten ihre gesundheitsbezogenen Daten und Dokumente all denjenigen zur Verfügung stellen können, die an ihrer medizinischen Behandlung beteiligt sind. Dazu zählen Ärzte, Zahnärzte und Apotheker. Später sollen weitere Anbieter wie Physio- und Ergotherapeuten Zugriff auf die ePA erhalten.
Ab dem 15.01.2025 wird die elektronische Patientenakte von den gesetzlichen Krankenkassen automatisch bereitgestellt, sofern der Versicherte dem nicht gegenüber der Krankenkasse widersprochen hat (Opt-out).
Mit der ePA will man allen an der Behandlung eines Patienten Beteiligten einen Einblick in den Verlauf der bisherigen Behandlung bieten und bei einer individuellen, umfassenden Therapieentscheidung unterstützen. Die Nutzung der ePA ist für Versicherte freiwillig und kostenfrei.
Für Privatversicherte soll die Akte nach denselben Spezifikationen wie bei gesetzlich Versicherten gestaltet werden. Einen wichtigen Unterschied gibt es bei der Nutzung. Hier erfolgt die Berechtigung von Leistungserbringern ausschließlich über die ePA-App, da Privatversicherte keine elektronische Gesundheitskarte haben.
Dass die Dokumente in der ePA sicher gespeichert sind und bundesweit einrichtungs- und sektorenübergreifend ausgetauscht werden können, ist die Darstellung der halbstaatlichen gematik. Auch die Verbraucherzentrale Bundesverband versichert:
Zunächst einmal gilt: Sie als Inhaber der elektronischen Patientenakte haben alle Rechte. Sie entscheiden, wer auf Ihre Akte zugreifen kann und erteilen hierfür Berechtigungen. Sie können jederzeit Inhalte einsehen, einfügen, löschen oder verbergen, Zugriffsrechte erteilen oder beschränken und Widersprüche einlegen. Welche Leistungserbringer Ihre Akte einsehen, lesen und Daten einspeichern können, ist gesetzlich festgelegt.
Einerseits wird hinsichtlich der ePA von den Verbraucherzentralen auch versichert, dass die Krankenkassen die Daten der ePA nicht einsehen könnten, andererseits sollen aber auch die Krankenkassen Daten einstellen können. Ganz offensichtlich handelt es sich bei der ePA um ein System, das sich noch im Reifeprozess befindet. Hier stellt sich die Frage, ob ein offensichtlich noch unreifes System auf die Bevölkerung losgelassen werden soll.
CCC fordert Ende der ePA-Experimente am lebenden Bürger
Nachdem das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) noch im November des vergangenen Jahres der "ePA für alle" bescheinigt hatte, vor unerlaubten Zugriffen sicher zu sein, hat der Chaos Computer Club um den Jahreswechsel Sicherheitslücken beim ePA-Zugriff offengelegt.
Kriminelle könnten sich Zugang zu mehr als 70 Millionen Akten verschaffen – auf einen Schlag.
Spiegel, 28.12.2024
Nach Aussagen des CCC begleiten Sicherheitsmängel die elektronische Patientenakte (ePA) seit ihrer Einführung zu Beginn der 2020er.
Mit der Umstellung von Opt-in auf Opt-out komme nun die Patientenakte für alle GKV-Versicherten. Jetzt werden die Gesundheitsdaten von über 70 Millionen Versicherten ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank zusammengeführt. Doch auch die aktuelle Version der ePA kann offensichtlich ihre Sicherheitsversprechen nicht halten.
Aktuell wurde auf dem 38. CCC-Kongress in Hamburg zum Jahresende demonstriert, wie leicht auf verschiedenen Wegen auf elektronische Patientenakten zugegriffen werden kann und so unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA der GKV-Versicherten erlangen können.
Mit geringem Aufwand konnten sich Forscher für den CCC gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen. Ursächlich seien, wie schon früher kritisiert, Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den ausgegebenen Karten.
Die Zugriffe der CCC-Forscher scheinen zeitgleich mit der Sicherheits-Bestätigung des Fraunhofer SIT erfolgt zu sein. Vor diesem Hintergrund verwundert es kaum, wenn der CCC jetzt fordert:
Nur wenn die Sicherheit der "ePA für alle" ausreichend gewährleistet ist, werden Leistungserbringer und Versicherte die ePA akzeptieren und auch nutzen. Das dazu notwendige Vertrauen lässt sich eben nicht verordnen.
Dass eine solch gewaltige Datensammlung wie die ePA von über 70 Millionen GKV-Versicherten Risiken birgt, bezweifelt kaum jemand, der sich mit dem Thema befasst. Aus Gesundheitsdaten lassen sich sensible Informationen zu jeder einzelnen versicherten Person ableiten. Die Daten gelten daher als besonders schützenswert und sind zugleich hochbegehrt, sowohl in der Forschung als auch bei Kriminellen.
Die auf politischer Seite verantwortliche Bundesgesundheitsminister Karl Lauterbach (SPD) stellt unermüdlich fest, dass die ePA sicher sei, denn der Datenschutz und die Datensicherheit seien das wichtigste Anliegen gewesen.
Auch die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, lobt die ePA als "so sicher wie nur irgend möglich". Das scheint wohl doch nicht ausreichend zu sein.