SICHERHEITSRISIKO STATT FORTSCHRITT!

Die elektronische Patientenakte (ePA) wurde bereits 2021 auf den „Markt“ gebracht. Ein verschwindend geringer Anteil von Patienten entschied sich damals für die Nutzung der ePA. Aufgrund dessen beschloss der damalige Gesundheitsminister Karl Lauterbach im Jahr 2024, dass die ePA künftig automatisch für jeden Bürger angelegt wird – außer es erfolgt ein schriftlicher Widerspruch (Opt-out-Verfahren).
Doch nicht nur die damalige Regierung hatte ein großes Interesse an der Zentralisierung aller Patientendaten. Auch im aktuellen Koalitionsvertrag heißt es auf Seite 110, Absatz 3520:
„Noch 2025 rollen wir die elektronische Patientenakte stufenweise aus, von einer bundesweiten Testphase zu einer verpflichtenden, sanktionsbewährten Nutzung.“
Das Bundesgesundheitsministerium (BMG) versucht derzeit, die ePA auf seiner Webseite mit einer Liste von acht „praktischen“ Vorteilen schmackhaft zu machen. Diese Liste erweckt jedoch schnell den Eindruck, dass Ärzte bislang chaotisch, unkoordiniert und vergesslich arbeiten – als ob Befunde regelmäßig verloren gingen oder verwechselt würden.
Ein kurzer Blick auf einige dieser vermeintlichen Vorteile:
• Vorteil Nr. 7 verspricht Datensicherheit – obwohl die ePA bereits erfolgreich gehackt wurde. Wie glaubwürdig ist dieses Versprechen?
• Vorteil Nr. 4 nennt als Argument die Vermeidung von Doppeluntersuchungen. Dabei liegen relevante Befunde in der Regel bereits bei Haus- und Facharzt vor und können bei Bedarf weitergeleitet werden. Dieses Argument überzeugt nicht.
• Vorteil Nr. 5 und Nr. 8 behaupten, der Patient habe die volle Kontrolle über den Datenzugriff. Das ist irreführend: Tatsächlich werden Patientendaten ohne Einwilligung zu Forschungszwecken weitergegeben – ohne vollständige Anonymisierung. Nur der Name wird entfernt, andere identifizierende Merkmale bleiben erhalten.
Zudem fehlen klare Informationen über die Risiken und die genaue Datenverarbeitung bei der Anlegung der ePA durch die Krankenkassen.
Das Gesundheitswesen gehört inzwischen zu den am dritthäufigsten von Cyberangriffen betroffenen Branchen. Kriminelle erpressen Geld und drohen mit der Veröffentlichung hochsensibler Daten oder verkaufen sie im Darknet – derzeit zu Preisen zwischen 60 € und 150 € pro Akte.
Die ePA wurde bereits kompromittiert. Auf Angriffe des Chaos Computer Clubs äußerte sich Lauterbach folgendermaßen:
„In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und auch diese Sicherheitslücke noch geschlossen hat.“
Das bedeutet im Klartext: Sicherheitslücken werden erst nach einem Angriff erkannt – und dann hoffentlich geschlossen.
Dieser fahrlässige Umgang mit unseren sensibelsten Gesundheitsdaten ist ein absolutes No-Go. Die Erhebung und Nutzung medizinischer Daten sollte allein der Beziehung zwischen Arzt, Facharzt und Patient dienen – und sonst niemandem