Chaos vor dem Start zum 15.1.2025Borns IT- und Windows-Blog
14 mins read

Chaos vor dem Start zum 15.1.2025Borns IT- und Windows-Blog


Am morgigen 15. Januar 2025 startet ja das lange von Gesundheitsminister Prof. Karl Lauterbach propagierte Projekt der elektronischen Patientenakte im Pilotbetrieb in drei Regionen. Aktuell herrscht Chaos bzgl. der Empfehlung und Einschätzungen zur Sicherheit. Experten empfehlen Versicherten einen Widerspruch und Opt-out zur Patientenakte. Der Chef des Verbands der Notärzte warnt vor dem Opt-out, koste es, was es wolle. Und auch die Vorsitzende der Ethikkommission schwurbelt. Noch ein Abriss des Sachstands, bevor es Ernst wird.

Notfallmediziner warnt vor Opt-Out

Der Generalsekretär der Deutschen Interdisziplinären Vereinigung für Intensiv- und Notfallmedizin (DIVI), Uwe Janssens, hat der Augsburger Allgemeine ein Interview gegeben. Er sieht in der Einführung der elektronischen Patientenakte (ePA) einen riesigen Fortschritt in der Notfall-Medizin. Daher warnt er “es sei aus medizinischer Sicht völlig unvernünftig”, der Nutzung zu widersprechen.

Gerade im Notfall seien umfassende und entscheidungsrelevante Patientendaten oft nicht verfügbar.  Patienten seien nicht ansprechbar, sediert oder hätten schlichtweg keine Unterlagen dabei. Wenn Ärzte schnell auf wichtige Informationen wie Medikationspläne, Diagnosen und aktuelle Befunde zugreifen könnten, würde das die Versorgung massiv verbessern und vereinfachen sowie sicherer machen, so seine Argumentation.

Das Argument könnte man bedenken, alleine, was mich so arg stört sind einige Kleinigkeiten. Wenn Patienten nicht ansprechbar sind, haben die natürlich ihre elektronische Gesundheitskarte (eGK) – volkstümlich als Versichertenkärtchen bezeichnet – dabei, schon klar. Sicherlich könnte eine elektronische Patientenakte bei regulärer Behandlung hilfreich sein, so sie aktuell und vollständig ist. Aber es wird hier einer Fata Morgana nachgejagt, die ich so in absehbarer Zeit einfach nicht sehe.

Kommen wir zum Punkt, der mich am meisten stört: Es gibt seit Jahren die Möglichkeit, einen Notfalldatensatz auf die elektronische Gesundheitskarte (eGK) zu speichern. Ich verlinke mal auf diese Seite der Kassenärztlichen Bundesvereinigung, die mit Stand 2021 darüber informiert, was seit Jahren möglich wäre: Nämlich genau die geforderten Notfalldaten bereitzustellen. Warum habe ich bloß vier Jahre nichts diesbezüglich von der Deutschen Interdisziplinären Vereinigung für Intensiv- und Notfallmedizin (DIVI) gehört?

Und dann folgt eine flapsiger Spruch von Mediziner Janssens, der Chefarzt und Verwaltungschef einer Klinik ist. Der gute Mann sieht das Datenschutzrisiko bei der ePA als gering an. Die krude Begründung: “Wir bewegen uns ohnehin im Alltag überall auf digitalem Glatteis: Kreditkarten, Online-Banking, soziale Medien – die meisten Menschen geben viel sensiblere Daten preis, als das, was in der elektronischen Patientenakte steht”.

Also, ich kann mir nicht helfen, ich kann mich immer noch entscheiden, ob ich die Nummer meiner (nicht vorhandenen) Kreditkarte irgendwo poste oder was ich in sozialen Medien teile. Mit dem Verzicht auf Opt-out erteile ich als gesetzlich Versicherter der “Gesundheitsindustrie” einen Blanko-Scheck, meine Daten für den Rest meines Lebens nutzen zu dürfen.

Datenflüsse, die nie benannt werden

Ich kann zwar jederzeit ein Opt-out beantragen und meine Daten müssen in der ePA gelöscht werden. Was nicht gesagt wird: Ab Mitte 2025 sollen neben den Abrechnungsdaten weitere Daten der gesetzlich Versicherten automatisch an das Forschungsdatenzentrum Gesundheit übermittelt werden. Dort sollen über den Spitzenverband der gesetzlichen Krankenkassen unter anderem die von den Pflege- und Krankenkassen “übermittelten Daten […] in versichertenbezogene Datensätze zusammen” geführt werden.

Eine Verordnung soll zudem regeln, dass Krankenkassen neben den Abrechnungsdaten auch weiterhin regelmäßig Daten der Versicherten an das Forschungsdatenzentrum Gesundheit übermitteln müssen. Es entsteht also ein gigantischer Datenpool – und Gesundheitsminister Lauterbach hat sich schon verplappert, indem er durchblicken ließ, dass Big Tech aus den USA in Form von Meta, Google & Co. massives Interesse am Zugriff auf diese Daten haben (siehe Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den “Datenschatz”).

Aber es geht noch weiter, denn die Daten wandern in den European Health Data Space (EHDS), da Patienten europaweit behandelt und die Ärzte auf deren Daten zugreifen können sollen. Beim EHDS gibt es kein Widerspruchsrecht der Patienten, nur in den einzelnen EU-Mitgliedsstaaten kann ein Opt-in oder Opt-out bei der Erfassung der Gesundheitsdaten zugestanden werden.

Deine Daten sind weg ….

Sprich: Mit einem fehlenden Opt-out sind die bis zum Widerspruch in der ePA angefallenen Daten aus dem Zugriffsbereich des Patienten herausgefallen und können nie wieder gelöscht oder zurück gezogen werden. Die Daten sollen nach aktuellen Plänen bis zu 100 Jahre gespeichert werden.

Missbrauch und De-Anonymisierung

Dass die vollmundigen Versprechen hinsichtlich einer Pseudonymisierung der Daten Schall und Rauch sein dürften, davon ist leider auszugehen. Im gigantischen Datenpool mit deinen Versichertendaten ist nichts pseudonymisiert, sondern alles fein säuberlich auf die Person bezogen. Zitat aus dem Artikel Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den “Datenschatz”:

Eine neu gegründete “Arbeitsgruppe Pseudonymisierung” soll zuverlässige Pseudonymisierungsverfahren für Dokumente und Datensätze in den Patientenakten festlegen, die Organisation liegt bei der Gematik. Die AG Pseudonymisierung soll unter anderem aus Vertretern der Gesellschaft für Telematik, des Spitzenverbands der gesetzlichen Krankenkassen, der Kassenärztlichen Bundesvereinigung und Patientenvertretern bestehen.

Was soll da schon schief gehen? Und überhaupt, mit den Daten tun wir doch Gutes, wird schließlich der Forschung zur Verfügung gestellt. Ok, knipsen wir die Ironie aus, wer immer noch glaubt, dass Zitronenfalter Zitronen falten, möge sich den Beitrag Gemeinwohlorientierte Forschung mit KI: Missbrauch eindämmen durch Zweckbindung für KI-Modelle durchlesen. Wir haben nicht mal die Instrumente, um einen Missbrauch der für Gemeinwohl orientierte Forschung bereitgestellten Daten zu verhindern.

Medizin-Ethikerin Buyx und ihre Thesen

Dann gibt es noch die Medizin-Ethikerin Buyx, die gerne mit ihren Thesen in Interviews hausieren geht. Frau Buyx sieht beim Thema Datenschutz und Datensicherheit kein Problem, Datenschutz ist eher hinderlich. Ich hatte ja schon mal im Beitrag re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx “falsch abgebogen? hinterfragt, was bei der Dame falsch läuft.

Kürzlich muss Frau Buyx der Zeit ein Interview zur elektronischen Patientenakte gegeben haben, wo alles in rosa Farbe gemalt wurde. Der Zeit Online-Beitrag steckt hinter einer Paywall, weshalb ich auf eine Verlinkung verzichte. Fefe hat sich in diesem Beitrag mit den Thesen der Frau in Bezug auf die ePA auseinander gesetzt. Kurzfazit: Einfach erschreckend, keine Ahnung, täuschen und verharmlosen und als Feigenblatt (alles ist gut) dienen.

Fachleute warnen vor Sicherheitslücken

Vor einigen Tagen hatte heise im Beitrag Kurz vor Start: Immer mehr Experten warnen vor elektronischer Patientenakte den aktuellen Stand zusammen gefasst. Der Tenor lautet, dass Fachleute, die sich mit den Details auseinandersetzen, vor Sicherheitslücken warnen. Dazu gehört auch Tabea Rößner, die Vorsitzende des Digitalausschusses der Bundesregierung. Sie sieht zwar die Vorteile wie Zugriff auf Notfalldaten – legt aber Priorität darauf, vorhandene Sicherheitslücken erst zu schließen, bevor die ePA 3.0 startet.

“Die technische Architektur der ePA spiegelt das komplizierte Gesundheitswesen in Deutschland wider. Es muss aber verhindert werden, dass die unterschiedlichen Zugangswege für Angriffe ausgenutzt werden. Dafür braucht es neben technischen Verbesserungen auch Weiterbildung von ärztlichem Personal, die in IT-Sicherheitsfragen geschult werden müssen, um Angriffsvektoren zu verhindern”, zitiert heise Frau Rößner.

Die Vorsitzende des Digitalausschusses der Bundesregierung bezeichnete es als “fahrlässig”, die ePA vor dem Schließen der Sicherheitslücken zu starten. heise zitiert Rösner: “Weitere Verbesserungen sind möglich, als Digitalpolitikerinnen und Politiker hatten wir das schon im parlamentarischen Verfahren angemahnt”. Rößner kann die ePA erst empfehlen, nachdem die “Hoheit der Patienten über ihre Daten gesichert ist”. Daher rät sie Bürgerinnen und Bürgern vorerst zum Widerspruch. Das ist dann doch eine deutlich konträre Aussage zu dem, was der Vorsitzende der Notfall-Mediziner weiter oben von sich gibt. Der heise-Beitrag enthält weitere Stellungnahmen von Verbänden, die sich für Nachbesserungen vor dem Start aussprechen.

Und klar ist: Sobald die Daten existieren, werden sich unterschiedliche Stellen Zugriff darauf verschaffen. Selbstredend wurde von der gematik das Sicherheitsrisiko, dass sich Geheimdienste fremder Staaten Zugriff auf die ePA-Daten verschaffen, aus allen Betrachtungen ausgeklammert. Es darf nicht sein, was nicht sein kann – ausspionieren unter Freunden geht schon gar nicht. Und wenn erst einmal Dienstleister auf die Daten Zugriff hatten, öffnet sich für Missbrauch Tür und Tor – Scoring um Informationen über Gesundheitsdaten eines Kreditnehmers oder Arbeitnehmers inbegriffen.

So im Vorgriff – im Spiegel erschien 2018 der Artikel Die CSU will psychisch Kranke künftig wie Straftäter behandeln, der zeigt, was bei entsprechend politischer Konstellation denkbar wäre. Anfang 2025 wurde dieser Vorschlag irgendwie erneut aufgewärmt, wie man in der TAZ nachlesen kann. Interessant ist auch die Antwort des Bundesdatenschutzbeauftragten, ob Behörden Zugriff auf die ePA-Daten haben: Nicht ausgeschlossen. Die Details lassen sich hier nachlesen.

Bedenken zum Start der ePA

Verschiedene zivilgesellschaftliche Organisationen, darunter der Innovationsverbund Öffentliche Gesundheit, D64 – Zentrum für Digitalen Fortschritt, die Deutsche Aidshilfe und die BAG Selbsthife haben in einem offenen Brief an Bundesgesundheitsminister Karl Lauterbach Bedenken zum geplanten Start der elektronischen Patientenakte (ePA) geäußert.

Anlass sind gravierende Sicherheitslücken, die Ende 2024 auf dem Kongress des Chaos Computer Clubs aufgedeckt wurden. Diese hätten Unbefugten potenziell Zugriff auf die Gesundheitsdaten von 70 Millionen gesetzlich Versicherten ermöglicht. Die unterzeichnenden Organisationen fordern einen fünf-Punkte-Plan für mehr Vertrauen in die ePA. Zu den Kernforderungen gehören zusätzliche Sicherheitsmaßnahmen beim Start in Modellregionen, eine stärkere Einbindung von Patientenorganisationen und der digitalen Zivilgesellschaft sowie mehr Transparenz bei der Sicherheitsbewertung. Auch eine ehrlichere Kommunikation über mögliche Risiken wird gefordert.

Dazu kommentiert Svea Windwehr, Co-Vorsitzende von D64: “Was lange währt, wird nicht automatisch gut. Die elektronische Patientenakte, und die Digitalisierung des Gesundheitswesens, kann nur dann ein Erfolg werden, wenn die Bedürfnisse der Patient*innen konsequent im Vordergrund stehen. Dazu gehört neben Sicherheit, Transparenz und Selbstbestimmung auch die langfristige Beteiligung der Zivilgesellschaft auf Augenhöhe. Die kritische Auseinandersetzung der Zivilgesellschaft mit Projekten wie der elektronische Patientenakte muss rechtlich abgesichert werden, der Hackerparagraph gehört abgeschafft.” Der offene Brief sowie 20 weitere Zitate von Unterzeichnenden sind hier abrufbar.

ePA braucht robuste Sicherheit

Auch Trend Micro hat sich zum Start der ePA zu Wort gemeldet. Die Vorteile der elektronischen Patientenakte lägen auf der Hand heißt es: Sie erleichtert den Austausch von medizinischen Dokumenten, unnötige Doppeluntersuchungen entfallen und im Notfall liegen alle wichtigen Informationen gesammelt und schnell vor.

Der Sinn der ePA steht für TM außer Frage, jedoch müsse die Art und Weise ihrer Umsetzung kritisch hinterfragt werden. Die aktuell vorliegenden Berichte über Sicherheitslücken zeigten, dass der Sicherheitsaspekt bislang unzureichend adressiert wurde. Vor diesem Hintergrund dränge sich die Frage auf, warum die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH), als zentrale Verantwortliche für die Entwicklung der ePA, nicht von Anfang an eine enge Zusammenarbeit mit Cybersecurity-Experten gesucht hat?

Die Einführung der ePA erfolgt in einer Zeit, in der Cyberkriminalität ein florierendes Geschäftsmodell ist, merkt TM an. Ransomware-Angriffe auf Krankenhäuser zeigen, wie hoch das Risiko im Gesundheitswesen bereits ist: Kriminelle greifen gezielt diese Einrichtungen an, weil sie dort besonders hohe Erfolgsquoten erwarten. Da es um sensible personenbezogene Daten und oft sogar Menschenleben geht, sind die Opfer häufig zahlungswillig.

Das zeige, wie wichtig es ist, von Beginn an auf höchste Sicherheitsstandards und Security by Design zu setzen, anstatt Sicherheitslücken nachträglich schließen zu müssen. Aber nicht nur die Datensicherheit muss gewährleistet werden, sondern auch der Datenschutz, folgert Trend Micro – doch eine deutlich andere Aussage als wir sie oben von der Medizin-Ethikerin und dem Vorsitzenden der Notfallmediziner vernommen haben.

Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen

Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach “will” die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?

Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen CyberangriffeEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten

Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx “falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten

Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den “Datenschatz”
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten
Ärzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)



technische Probleme auf

Leave a Reply

Your email address will not be published. Required fields are marked *