Der Vortrag von Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress hat allen Interessierten gezeigt, dass Vertrauen in die elektronische Patientenakte (ePA) derzeit nicht gerechtfertigt ist. In der Folge haben sich viele Experten aus dem Gesundheitswesen erschüttert über die Analyse und die demonstrierten technischen und organisatorischen Mängel gezeigt.

„Die ePA in ihrem aktuellen Zustand auszurollen, ist angesichts ihrer besorgniserregenden Sicherheitsprobleme eine falsche Entscheidung. Denn die Behauptung, dass die ePA sicher ist, trifft nicht zu. Dass Bundesgesundheitsminister Karl Lauterbach dies wahrheitswidrig und unverfroren behauptet, leugnet die belegten und beweisbaren Schwachstellen“, sagt Calvin Baus, Sprecher des Chaos Computer Clubs.

Die gezeigten Probleme, die den Verantwortlichen bei der Gematik und im Ministerium teilweise schon länger als ein Jahrzehnt bekannt sind, werden weiter heruntergespielt und nicht ernst genommen. Da die Schwachstellen auch jetzt noch kleingeredet werden, ist es überfällig, die technischen Details des teuren Mammutprojekts offenzulegen.

Unabhängige Sicherheitsforschende müssen Zugang zu allen relevanten Unterlagen und Gutachten erhalten, um ein unverzerrtes Bild des aktuellen Stands der ePA erhalten zu können. Diese Dokumente dürfen nicht länger hinter verschlossenen Türen bleiben, sondern müssen umfassend geprüft werden können. Ohne eine deutliche Kurskorrektur wird es unmöglich sein, das verlorene Vertrauen zurückzugewinnen.

In einem offenen Brief von 28 Organisationen aus dem Gesundheitswesen und der Zivilgesellschaft an Karl Lauterbach werden fünf wesentliche Schritte skizziert, wie dieses Vertrauen wiederhergestellt werden könnte. Der CCC schließt sich den Forderungen aus dem offenen Brief an.

Offener Brief: Fünf Schritte zu mehr Vertrauen in die ePA

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Congress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt. Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen

 

AG Kritis

Ärzteverband MEDI Baden-Württemberg

BAG Selbsthilfe

Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)

Björn Steiger Stiftung

Bundesverband Neurofibromatose

Bündnis für Datenschutz und Schweigepflicht (BfDS)

Chaos Computer Club (CCC)

D64 - Zentrum für digitalen Fortschritt

Deutsche Aidshilfe

Deutsche Alzheimer Gesellschaft

Deutsche DepressionsLiga

Deutsche Hörbehinderten Selbsthilfe e.V. (DHS)

Bundesverband Deutsche Multiple Sklerose Gesellschaft

Bundesverband Deutsche Rheuma-Liga

Bundesverband Deutscher Paritätischer Wohlfahrtsverband - Gesamtverband

dieDatenschützer Rhein Main

Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)

Freie Ärzteschaft e. V.

Gen-ethisches Netzwerk

Humanistische Union

Innovationsverbund Öffentliche Gesundheit (InÖG)

Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.

LAG Selbsthilfe Rheinland-Pfalz

Landesvereinigung Selbsthilfe Berlin

Patientenrechte und Datenschutz e. V.

SUPERRR Lab

Verbraucherzentrale Bundesverband

Links:

CCC fordert Ende der ePA-Experimente am lebenden Bürger