Die Einführung der elektronischen Patientenakte ist ein Vorzeigeprojekt des derzeit noch geschäftsführenden Gesundheitsministers Karl Lauterbach (SPD). Bereits Ende letzten Jahres hatten Aktivist:innen aus dem Umfeld des Chaos Computer Club (CCC) Lücken im Sicherungsmechanismus der Akten entdeckt. Diese Woche wurden die elektronischen Patientenakten eingeführt, Sicherheitsprobleme gibt es aber noch immer.
Unmittelbar nach der Einführung der elektronischen Patientenakte (ePA) für alle 73 Millionen gesetzlich Versicherten am vergangenen Dienstag ist es Hacker:innen gelungen, den Schutz der Akten zu knacken. Durch eine Abfrage von Anschrift und Versicherungsnummer von Versicherten über eine elektronische Ersatzbescheinigung der physischen Chip-Karte ließ sich eine Sicherungsmaßnahme umgehen. So wäre der Zugang zu vereinzelten Patientenakten, in denen sämtliche Behandlungsdaten, Diagnosen, Arztbriefe und eingenommene Medikamente dokumentiert sind, möglich.
Die Einführung der elektronischen Patientenakte war seit Bekanntwerden des Großprojekts unter Datenschützer:innen umstritten. Beim 38. Chaos Communication Congress, einer Veranstaltung des CCC Ende im letzten Jahr, wurden bereits massive Sicherheitslücken in der Sicherheitsarchitektur der Patientenakten offengelegt. Zahlreiche NGO und Initiativen wandten sich in einem offenen Brief an das Gesundheitsministerium und forderten eine Verschiebung der ePA-Einführung, bis die Sicherheitsprobleme vollständig behoben seien.
Einführung der elektronischen Patientenakte trotz Datenschutzmängeln
Dass das Gesundheitsministerium und die für die Sicherheit der Patientenakten zuständige GmbH Gematik auch nach Bekanntwerden dieser Lücken nur inkonsequent an der Lösung der Sicherheitsprobleme gearbeitet und die Akten nun trotzdem eingeführt haben, bezeichnet ein Sprecher des CCC als „Flickschusterei, die die Komplexität erhöht, ohne den Schutz zu verbessern”. Ein Sicherheitsforscher, der an der jüngsten Aufdeckung der Lücken beteiligt war, erklärte, Gesundheitsminsterium und Gematik hätten zwar „ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte”.
Lauterbach hält an der Einführung fest
Der bald scheidende Gesundheitsminister Lauterbach spielte die aufgedeckten Sicherheitslücken herunter: „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben.”
Vor der Einführung der Akte diese Woche hatte Lauterbach dahingegen stets betont, dass die Einführung erst dann erfolgen solle, wenn keine Hackerangriffe mehr möglich seien. Nun rudert der Gesundheitsminister zurück, um sein Prestigeprojekt vor dem Ende seiner Amtszeit zu verwirklichen.
Im Zuge der Einführung wurden seit Mitte Januar von den Krankenkassen für gesetzlich Versicherte, die nicht explizit widersprochen haben, eine elektronische Patientenakte erstellt. Bisher konnten die Akten nur von wenigen genutzt werden, das änderte sich nun aber mit der Einführung am Dienstag. Ab sofort kann die digitale Akte von Ärzt:innen und Krankenkassen befüllt werden. Ab Oktober 2025 soll die Nutzung dann für Kliniken und Praxen verpflichtend werden.
Der Chaos Computer Club hat die Einführung der ePA kritisch mit beispielhaften Vorzeige-Angriffen begleitet, um darauf aufmerksam zu machen, wie leicht Dritte an die Daten in den Akten kommen könnten. Doch auch die Tatsache, dass der Staat selbst auf diesem Weg außerordentlich viele Daten über die eigene Bevölkerung sammelt, ist ein Problem.
„Digitale Brieftasche“ als nächster Schritt zur digitalen Überwachung
