Am 15. Januar wird die elektronische Patientenakte für alle Pflichtversicherten eingeführt. Seit 2021 gibt es diese bereits als freiwillige Option. Immer wieder weisen Datenschutzrechtler:innen auf Sicherheitslücken im System hin und demonstrieren sogar praktisch, wie einfach der Zugriff auf persönliche Daten möglich ist.
Seit 2021 gibt es die elektronische Patientenakte (ePA) als freiwillige Option. Eingeführt wurde sie als eines der großen Projekte des Gesundheitsministers Karl Lauterbach (SPD) und der Ampel-Regierung zur Verringerung der Bürokratie und zur Digitalisierung der Gesellschaft. Ab dem 15. Januar kommt die ePA nun für alle Menschen, die bei den Krankenkassen pflichtversichert sind, sofern sie nicht explizit widersprechen. Privatversicherte haben aktuell noch eine Wahloption, zukünftig sollen jedoch alle Versicherten in Deutschland mit einer ePA ausgestattet werden.
In der digitalen Akte werden alle Arztberichte, Rezepte, Krankenhausbehandlungen und sonstigen Informationen zur Gesundheit und medizinischen Versorgung der Versicherten gespeichert. Vorteil soll sein, dass auf diese Art und Weise behandelnde Ärzt:innen schnell und unkompliziert einen Einblick in die medizinische Versorgung der Patienten bekommen und so besser und gezielter behandeln können. Verknüpft mit dem E-Rezept und Anbindungen bspw. an Apotheken und die Krankenkassen soll generell Bürokratie abgebaut werden und die medizinische Versorgung vereinfacht werden. Die bisherigen Krankenkassenkarten funktionieren dabei als Zugang und enthalten auf ihrem Chip entsprechende Schlüssel und Identifizierungscodes.
Fallstrick Datenschutz
Gerade dieser Punkt ruft allerdings auch Kritik hervor. So sind nicht alle Informationen in der ePA für alle Behandlungen notwendig, jedoch in der Regel vollständig einsehbar. Insbesondere bei Erkrankungen, die gesellschaftlich stigmatisiert sind kann das Druck auf die Erkrankten ausüben.
Zwar haben die Versicherten die Möglichkeit den Zugang zu ihren Daten für Ärzt:innen selbst einzuschränken oder Dinge aus der ePA zu löschen. Dies geht jedoch nur über eine eigens dafür entwickelte Smartphone-App. Das kann ein weiteres Datenleck sein und verschiebt die Verantwortung im sicheren Umgang mit Daten wiederum auf die Versicherten.
Ärger um die digitale Brieftasche der EU: Datenschutz ist unzureichend
Kein Schutz vor Angriffen
Neben einer möglichen Schwachstelle bei der Nutzung von Smartphones mit Zugriff auf die ePA haben Datenschützer:innen noch deutlich schwerwiegendere Sicherheitslücken in der gesamten Technik hinter den elektronischen Patientenakten und ihren Datenbanken gefunden.
So war es ihnen möglich, sich die Krankenkassenkarten Dritter als auch die Praxiskarten für Ärtz:innen einfach von den entsprechenden Krankenkassen zuschicken zu lassen, da hier keine weitere Identifizierung notwendig ist. Damit hatten sie einerseits direkten Zugriff auf die ePA der entsprechenden Person.
Andererseits ist es über die Praxiskarten der Ärzt:innen möglich, auf sämtliche ePA ihrer Praxis – was im Schnitt um die 1000 Stück sein können – zuzugreifen. Hierfür wird lediglich ein Kartenlesegerät benötigt mit dem in der Praxis die Krankenkassenkarten ausgelesen werden und es eine Schnittstelle zum ePA-System gibt. Diese wiederum sind gebraucht im Netz käuflich. Bei ihren Tests haben sie teilweise sogar noch Praxiszugangscodes mit den Lesegeräten erhalten, weil die verkaufenden Ärzt:innen schlicht vergessen hatten, diese zu entfernen.
Ähnliches funktioniert über eine Lücke in der Datenbank des Kartenherausgeberportals. Und auch die Identifizierungsnummer auf den einzelnen Krankenkassenkarten wird nicht verschlüsselt übertragen und stellt damit ein weiteres Einfallstor dar.
Alle diese Sicherheitslücken wurden dem Gesundheitsministerium gemeldet und sind teilweise schon seit der Ersteinführung der ePA 2021 bekannt. Auch weitere zivilgesellschaftliche Akteure wie die deutsche Aids-Hilfe oder der Chaos-Computer Club und der Datenschutzbeauftragte des Bundes sowie die Verbraucherzentrale des Bundes warnten vor diesen Mängeln und einer Einführung der ePA ohne diese zu beheben.
Interesse an Daten überwiegt
Dennoch wird die ePA nun trotz bekannter Sicherheitslücken eingeführt. Inwieweit sie juristisch erwartbaren Klagen standhalten wird, bleibt noch abzuwarten. Klar erkennbar geworden ist jedoch, dass hinter ihrer Einführung nicht Vordergründung die bessere medizinische Versorgung der Bevölkerung steht. Vielmehr ist sie neben der Krankenhausreform, die ebenfalls keine Verbesserung der gesundheitlichen Versorgung mit sich bringt und der Legalisierung von Cannabis eines der großen Prestige-Projekte des scheidenden Gesundheitsministers Karl Lauterbach (SPD).
Das massenhafte Erheben von Daten aus quasi der gesamten Bevölkerung ist dabei nicht nur aus genannten Gründen ein Problem, sondern bringt uns auch näher in Richtung eines gläsernen Menschen, der keine Geheimnisse mehr vor dem Staat besitzt.