Das Jahr 2025 begann mit einem Paukenschlag für alle IT-Sicherheit und Datenschutz Interessierten. Wenn Sie es genau nehmen, ist der Vorgang schon länger im Gange. Die elektronische Patientenakte (ePA) stand bereits vor der Einführung in der Kritik. Gleichzeitig ist sie ein Sinnbild dafür, warum so viele Digitalisierungsprojekte aufgrund fehlendem Vertrauen scheitern. Doch eins nach dem anderen.
Datenleck bei IT-Dienstleister D-Trust – Indirekte Verbindung elektronische Patientenakte (ePA)
D-Trust meldete am 16.01., dass Sie Ziel eines Cyberangriff geworden sind. Doch wer ist eigentlich D-Trust? D-Trust ist ein Unternehmen der Bundesdruckerei und ist spezialisiert auf die Herstellung von Signaturkarten. Diese elektronischen Heilberufeausweise und Praxisausweise werden für den Zugriff auf die Telematikinfrastruktur (TI) und damit die elektronische Patientenakte benötigt.
D-Trust teilte mit, dass die ausgegebenen Karten nicht kompromittiert und weiter genutzt werden können. Nach Medienberichten sind die Angreifer “nur” an personenbezogene Daten gelangt. Dazu gehören Name, E-Mail-Adresse und Geburtsdatum. In manchen Fällen wurden auch Adress- und Ausweisdaten von Ärzten entwendet. Der Vorfall ereignete sich nach Angaben des Dienstleisters bereits am 13. Januar. Laut einer Schätzung der dpa sind Daten von mehr als 10.000 Ärzten ausgelesen worden.
Der Chaos Computer Club (CCC) teilte zuletzt mit, dass es sich bei dem Angreifer um einen Sicherheitsforscher handle. Er habe ohne kriminelle Absicht die Sicherheitslücke gemeldet. Die Daten seien restlos gelöscht worden. Eine vertrauensbildende Maßnahme in die Digitalisierung, welches die Mission von D-Trust ist, war diese Aktion sicherlich nicht, unterstreicht aber wieder einmal die Notwendigkeit einer funktionierenden IT-Sicherheitsstruktur auf allen Ebenen.
Einführung der Elektronische Patientenakte (ePA) – Trotz gravierender Sicherheitslücken
Beim 38. Chaos Communications Congress Ende 2024 demonstrierten Bianca Kastl und Martin Tschirsich, wie angreifbar die elektronische Patientenakte im aktuellen Stadium ist. Trotz aller Warnungen wurde am 15. Januar 2025 die ePA für alle gesetzlichen Versicherten bereitgestellt, die nicht widersprochen haben. Parallel dazu startete die Erprobungsphase in den Modellregionen Hamburg und Umland, Franken und Teilen NRWs. Nach erfolgreicher Erprobung werden Praxen, Krankenhäuser und Apotheken die ePA bundesweit nutzen können.
Mit einem offenen Brief haben sich 28 Organisationen aus dem Gesundheitswesen und der Zivilgesellschaft an den Bundesgesundheitsminister Karl Lauterbach und die gematik gewendet. Sie forderten, dass vor einem bundesweiten Start der ePA alle berechtigten Bedenken glaubhaft und nachprüfbar ausgeräumt werden. Sie schlugen fünf Schritte zur Wiederherstellung des Vertrauens vor:
- Zusätzliche Sicherheitsmaßnahmen beim Start in den Modellregionen.
- Substanzielle Einbeziehung von Patientinnen, Ärztinnen und Organisationen der digitalen Zivilgesellschaft bei der Bewertung des ePA-Starts in den Modellregionen.
- Unabhängige Sicherheitsprüfungen durch Expert*innen aus Wissenschaft und Zivilgesellschaft.
- Transparente Kommunikation von Risiken.
- Offener Prozess der Weiterentwicklung und Berücksichtigung von Kritik.
Reaktion auf die Kritik: Die Gematik kündigte an, vor dem bundesweiten Rollout technische Lösungen einzubauen. Diese sollen den Missbrauch von Arztausweisen verhindern und die Krankenversicherungsnummer zusätzlich verschlüsseln. Zudem will man Nutzer der Telematikinfrastruktur sensibilisieren und das System zur Erkennung von auffälligem Nutzungsverhalten ausweiten. Die Gematik betonte außerdem, dass das theoretische Problem, welches der CCC beschrieben hat, vor der Einführung der ePA gelöst werden soll.
Fazit
Die elektronische Patientenakte ist ein komplexes und ambitioniertes Projekt mit Chancen und Risiken. Ich unterstütze grundsätzlich jede Form der Digitalisierung. Allerdings wenn es den die Akteure an Offenheit, Selbstkritik und verantwortungsvoll Umgang fehlt, wird es schwierig.
Die jüngsten Vorfälle wie das D-Trust-Datenleck und die Offenlegung des Chaos Computer Clubs unterstreichen die Bedeutung der IT-Sicherheit gerade im Gesundheitswesen. Trotz angekündigter Verbesserungen durch die Gematik ist es wichtig, die Entwicklung der ePA kritisch zu begleiten und eine unabhängige Bewertung sicherzustellen. Nur so kann die elektronische Patientenakte langfristig erfolgreich sein. Fehlt das Vertrauen der Nutzer, kommt es zu unnötigen Blockaden und geringer Akzeptanz. Das gilt gerade auch für zukünftige Digitalisierungsprojekte.
FAQ
Was ist die elektronische Patientenakte (ePA)?
Die ePA ist ein digitaler Ordner zur Ablage medizinischer Unterlagen. Sie soll den Austausch und die Nutzung von Gesundheitsdaten vorantreiben und die Versorgung unterstützen.
Funktionsweise der ePA:
- Zentrale Sammlung: Die ePA bündelt medizinische Informationen wie Befunde, Diagnosen und Therapiemaßnahmen an einer Stelle.
- Digitaler Medikationsprozess (dgMP): Ein zentraler Anwendungsfall ist der dgMP, der eine digitale Medikationsübersicht erstellt, um Wechselwirkungen von Medikamenten zu vermeiden. Ab Sommer 2025 soll der elektronische Medikationsplan als Teil des dgMP in der ePA verfügbar sein.
- Zugriff: Versicherte können über eine ePA-App oder durch die elektronische Gesundheitskarte (eGK) in einer Arztpraxis auf ihre Daten zugreifen.
- Befüllung: Ärzt*innen sind verpflichtet, bestimmte Daten in die ePA einzustellen, wie z. B. Arztbriefe, Befundberichte, Medikationslisten und Entlassbriefe. Versicherte können auch selbst Dokumente hinzufügen.
- Datensicherheit: Die Daten werden auf sicheren Servern in Deutschland gespeichert und verschlüsselt abgelegt.
Ist die elektronische Patientenakte verpflichtend?
Die Nutzung der ePA ist freiwillig. Versicherte können der Erstellung oder Nutzung jederzeit widersprechen (Opt-out).
Vorteile der elektronischen Patientenakte:
- Besserer Überblick: Patienten haben jederzeit und überall Einblick in ihre Gesundheitsdaten.
- Verbesserte Kommunikation: Ärzte haben schnellen Zugriff auf die Krankheitsgeschichte, was den Behandlungsprozess erleichtert und Doppeluntersuchungen vermeidet.
- Medikationssicherheit: Die ePA hilft, Wechselwirkungen von Medikamenten zu erkennen.
- Zeitersparnis: Patienten müssen nicht mehr alles von Neuem erzählen und Dokumente können nicht verloren gehen.
- Stärkung der Patientenrechte: Patienten sind besser über ihre Gesundheit informiert und können gezielter Rückfragen stellen.
Nachteile eines Widerspruchs gegen die ePA
- Eingeschränkte Information: Ohne ePA sind Informationen über frühere Behandlungen, Diagnosen oder Allergien möglicherweise nicht so schnell verfügbar.
- Mögliche Verzögerungen im Notfall: Im Notfall kann der fehlende Zugriff auf die ePA zu Verzögerungen führen.
- Weniger Transparenz: Patienten haben weniger Kontrolle über die gespeicherten Gesundheitsdaten.
Wie kann man der elektronische Patientenakte widersprechen?
- Widerspruch bei der Krankenkasse: Versicherte können der Erstellung der ePA oder der Nutzung zu jedem Zeitpunkt bei ihrer Krankenkasse widersprechen.
- Löschung der ePA: Wenn bereits eine ePA angelegt wurde, wird diese bei Widerspruch wieder gelöscht.
- Teilweiser Widerspruch: Versicherte können auch einzelnen Anwendungen, dem Zugriff durch bestimmte medizinische Einrichtungen oder der Datenspende für Forschungszwecke widersprechen.
Kann ich meinen Widerspruch später zurücknehmen?
Ja, der Widerspruch kann jederzeit zurückgenommen werden.
Wer hat Zugriff auf meine elektronische Patientenakte?
Nur Sie und von Ihnen berechtigte Leistungserbringer (Ärzte, Krankenhäuser etc.) haben Zugriff auf Ihre ePA.
Kann ich meine ePA auch ohne Smartphone nutzen?
Ja, über Ihre elektronische Gesundheitskarte in Arztpraxen.
Was passiert mit meinen Daten, wenn ich die Krankenkasse wechsle?
Ihre ePA wird automatisch zur neuen Krankenkasse übertragen, inklusive aller Dokumente und Berechtigungen.
Werden meine Daten für Forschungszwecke genutzt?
Ihre Daten können für Forschungszwecke pseudonymisiert weitergeleitet werden, sofern Sie dem nicht widersprechen.
Was ist der digitale Medikationsprozess (dgMP)?
Der dgMP ist ein zentraler Anwendungsfall der ePA und dient der Erstellung einer digitalen Medikationsübersicht, um Wechselwirkungen von Medikamenten zu vermeiden.
Was ist die Telematikinfrastruktur (TI)?
Die TI ist ein hochsicheres digitales Netzwerk, das die IT-Systeme aller Akteure im Gesundheitswesen verbindet und den Zugriff auf die ePA ermöglicht.
Kann ich auch ältere medizinische Dokumente in die elektronische Patientenakte einpflegen?
Ja, Sie können Ihre Krankenkasse bitten, bis zu zehn ältere medizinische Dokumente für Sie zu digitalisieren und in die ePA zu übertragen.
Hinterlassen Sie uns Feedback zum
Beitrag. Wir würden uns freuen!