ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von VorgĂ€ngervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA fĂŒr alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewĂ€hlten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene SicherheitslĂŒcken öffentlich prĂ€sentiert wurden, die theoretisch einen illegitimen Zugriff auf alle kĂŒnftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklÀrt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollstĂ€ndig und verstĂ€ndlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter FĂŒhrungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, wĂ€hrend Schlagzeilen von erschĂŒtternd einfach auszunutzenden SicherheitslĂŒcken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne VerschlĂŒsselung und das einfache HochzĂ€hlen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fĂŒhle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten fĂŒr den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich wĂŒrde fĂŒr die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

AuffĂ€llig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch GeheimnistrĂ€ger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer EinfĂŒhrung empfehlen wĂŒrde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berĂŒcksichtigt wurden, wĂ€hrend man in diesem Gutachten das genaue Gegenteil davon lesen kann, nĂ€mlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentĂ€ren Funktionen kommt, gleichzeitig sind die Risiken fĂŒr die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenĂŒgend darĂŒber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz ĂŒber den Nutzen und die Risiken fĂŒr alle – Ă€hnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung fĂŒr oder gegen die Nutzung ĂŒberhaupt getroffen werden kann.

Wenn die „ePA fĂŒr alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den FlĂ€chenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfĂ€ltig evaluiert wurden, alle aktuell bekannten SicherheitslĂŒcken tatsĂ€chlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsĂ€chlich umfassend ĂŒber den Nutzen und die Risiken der „ePA fĂŒr alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus GrĂŒnden der Wahlkampftaktik ist in Zeiten hybrider KriegsfĂŒhrung und steigender BedrohungsintensitĂ€t jedenfalls indiskutabel.“

WeiterfĂŒhrende Links:

Antworten auf meine Schriftlichen Fragen rund um die EinfĂŒhrung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur AufklĂ€rung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden BerĂŒcksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA fĂŒr GeheimnistrĂ€gerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von SicherheitslĂŒcken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurĂŒck zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der SicherheitslĂŒcken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu SicherheitslĂŒcken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt fĂŒr alle! – media.ccc.de

/von