Elektronische Patientenakte (ePA)

Echte Bürokratieerleichterung oder Gefahr für unsere Gesundheitsdaten?

Die elektronische Patientenakte (ePA) wurde eingeführt, um das deutsche Gesundheitssystem zu modernisieren. Sie soll medizinische Daten von Patienten zentral speichern und den Austausch zwischen den Behandlern sowie zwischen Behandlern und Patienten erleichtert. Die ePA, die seit dem 15. Januar 2025 allen gesetzlich Versicherten zur Verfügung steht, soll als digitale Sammlung für Befunde, Laborwerte, Medikationspläne und viele weitere Gesundheitsdaten dienen. Doch während die möglichen Vorteile hinsichtlich einer effizienteren Dokumentation und der bürokratischen Abwicklung auf der Hand liegen, gibt es erhebliche Bedenken bezüglich der Datensicherheit und des Datenschutzes.

Die Einführung der elektronischen Patientenakte

Bereits zwei Tage vor Beginn der Testphase ab dem 15. Januar 2025 kam es zu einem gravierenden Vorfall: Am 13. Januar wurden bei einem Hackerangriff auf das Unternehmen D-Trust, ein Tochterunternehmen der Bundesdruckerei, Daten von über 10.000 Ärztinnen und Ärzten gestohlen. Diese Informationen könnten als „Schlüssel“ genutzt werden, um Zugriff auf elektronische Patientenakten zu erlangen. Zwar war der Angriff nicht direkt auf die ePA gerichtet, jedoch macht der Vorfall deutlich, wie anfällig das System noch ist. Der Chaos Computer Club (CCC) deckte Sicherheitslücken auf, die darauf hinwiesen, dass die ePA selbst auch technisch bislang nicht ausreichend gesichert ist. Der CCC selbst führte mehrere Tests durch und forderte eine grundlegende Überarbeitung der Sicherheitsmaßnahmen, um solchen Angriffen vorzubeugen.

Die Schlüsselfrage bleibt: Wie gut sind die Daten der Patienten geschützt, wenn ein Angriff auf die Infrastruktur von an die ePA angebundenen Schnittstellensystemen so simpel durchgeführt werden kann? Hier besteht offensichtlich noch erheblicher Verbesserungsbedarf, um zu verhindern, dass sensible Gesundheitsdaten von Unbefugten missbraucht werden.

ePA – Begeisterung oder Vorsicht?

Gesetzlich Krankenversicherte können die ePA bereits seit einigen Jahren auf freiwilliger Basis nutzen. Nur cirka 1% der Versicherten haben das tatsächlich in Anspruch genommen. Wegen des geringen Erfolges hat der Gesetzgeber in einem zweiten Schritt festgelegt, dass die ePA seit Anfang 2025 automatisch für alle (gesetzlich) Krankenversicherten angelegt wird. Nur ein aktiver Widerspruch führt zu einer Nichtanlage bzw. Löschung der eigenen ePA.

Während die Krankenkassen ihren Mitgliedern zur Nutzung der ePA raten und sich eine große Erleichterung für die eigenen Prozesse und den entsprechenden Aufwand versprechen, raten Sicherheitsexperten derzeit noch zur Nutzung der Widerspruchsmöglichkeiten. Diese Spannungen zeigen, wie unterschiedlich das Thema wahrgenommen wird und wie wichtig eine transparente Aufklärung über die Möglichkeiten der ePA und die Rechte der Betroffenen ist

Der Vorfall bei D-Trust verdeutlicht zudem, dass es Sicherheitslücken gibt und diese genutzt werden (könnten) – am 13. Januar glücklicherweise „nur“ vom CCC, aber die Möglichkeit für echte Angriffe dürfte weiterhin anzunehmen sein. Das Vertrauen in die ePA bei Behandlern und Patienten wird dadurch selbstverständlich nicht gefördert.

Haben wir die Kontrolle über unsere eigenen Daten?

Ein zentrales Anliegen im Zusammenhang mit der ePA ist die Kontrolle über die eigenen Gesundheitsdaten. Laut dem Bundesgesundheitsministerium können Patienten selbst entscheiden, welche Daten sie teilen und wer Zugriff darauf hat. Doch auch hier gibt es große Unsicherheiten: Die Datenschutzeinstellungen der ePA sind sehr komplex, und ob Patienten diese wirklich verstehen und deshalb eine informierte und bewusste Entscheidung treffen können, bleibt abzuwarten. Nur wer weiß, wie der Zugriff auf die eigenen Daten in der ePA gesteuert wird, kann verhindern, dass unabsichtlich sensible Daten mit den falschen Empfängern geteilt werden. Diese Auffassung teilt auch die Verbraucherzentrale, auf deren Webseite umfangreiche Informationen zur ePA zu finden sind.
Der CCC mahnt, dass die Datenschutzeinstellungen der ePA dringend übersichtlicher und benutzerfreundlicher gestaltet werden müssen.

Widerspruch?

Laut dem Bundesgesundheitsministerium sind die gesetzlichen Rahmenbedingungen rund um die ePA streng. Nicht nur der generelle Widerspruch zum Anlegen einer ePA, sondern auch der Widerspruch nur gegen die Nutzung der in der ePA hinterlegten Daten zu bestimmten Zwecken ist möglich.
Mein Tipp: Achten Sie hier besonders, ob Sie ihre Patientendaten für Forschungszwecke freigeben wollen.

Wenn Sie sich über einen möglichen Widerspruch informieren möchten, finden Sie auf der Webseite widerspruch-epa.de weitere gut aufbereitete Informationen. Hier können Sie auch für die verschiedenen Widerrufsmöglichkeiten Musterschreiben herunterladen oder einen individualisierten Widerspruch mit Hilfe des Widerrufsgenerators erzeugen. Wichtig: Wenn Sie gesetzlich versichert sind und der Anlegung einer ePA nicht aktiv widersprochen haben, wurde diese bereits für sie automatisch angelegt. Ein nachträglicher Widerspruch ist aber immer möglich und führt dann zur Löschung ihrer ePA bzw. bei einem Teilwiderspruch zur Verbindung bestimmter Datennutzungen (z. B. für Forschungszwecke)

Fazit: Fortschritt mit Vorsicht

Die Einführung der elektronischen Patientenakte ist ein großer Schritt in die digitale Zukunft des Gesundheitswesens. Doch die aktuellen Sicherheitsvorfälle und die bestehenden Bedenken bezüglich des Datenschutzes werfen Fragen auf und überschatten derzeit noch die erhofften Vorteile. Es ist unbestreitbar, dass die ePA viel Potenzial für eine verbesserte Gesundheitsversorgung bietet – zum Beispiel durch eine effektivere Kommunikation zwischen unterschiedlichen Behandlern und die damit einhergehende bessere Koordination der Behandlung von Patienten. Doch ohne eine ausreichende Absicherung gegen Datenmissbrauch und eine klare, transparente Kommunikation der Datenschutzmaßnahmen wird die ePA nicht in der Lage sein, die in sie gesetzten Hoffnungen zu erfüllen.