Elektronische Patientenakte: Datenschutzbedenken

15. Januar 2025

Die elektronische Patientenakte (ePA) steht kurz vor ihrem Start und soll die Digitalisierung im Gesundheitswesen vorantreiben. Sie verspricht Vorteile wie eine effizientere Versorgung und bessere Notfallbehandlung. Doch mit der zunehmenden Kritik von Experten und Verbänden rücken auch die Risiken ins Rampenlicht. Im Fokus stehen vor allem Sicherheitslücken und Datenschutzbedenken über die elektronische Patientenakte. Zuletzt hatte am 09.01.2025 auch die Vorsitzende des Digitalausschusses, Tabea Rößner, Kritik geäußert und sogar zum Widerspruch geraten.

ePA-Start: Mitte Januar

Die ePA ermöglicht die digitale Speicherung und den Austausch von Gesundheitsdaten wie Arztberichten und Rezepten. Ende 2023 hat der Deutsche Bundestag zwei Digitalgesetze für die Gesundheitsversorgung verabschiedet, die im Februar 2024 ihre letzte Hürde überwunden haben. Eine der wesentlichen Veränderungen ist die automatische Einrichtung der ePA für alle gesetzlich Versicherten – ursprünglich ab Mitte Januar 2025 – soweit kein Widerspruch des jeweiligen Patienten vorliegt.

Mittlerweile ist der flächenweite geplante Einsatz nach hinten verschoben. Zwar müssen die gesetzlichen Krankenkassen weiterhin ab Mitte Januar eine entsprechende Akte für Versicherte eröffnen. Der weitere Verlauf soll nun aber von Pilotprojekten in Modellregionen wie Hamburg und Nordrhein-Westfalen abhängen. Erst nach einer positiven Evaluation soll die ePA bundesweit eingeführt werden. Vermutlich passiert dies nach dem ersten Quartal 2025. Das bedeutet, dass auch Ärzte und Psychotherapeuten derzeit von der Verpflichtung befreit seien dürften, Daten in die ePA einzutragen.

Kurz vor Start: Die Kritik mehrt sich

Bereits Ende letzten Jahres ist vermehrt Kritik insbesondere hinsichtlich Sicherheitsbedenken geäußert worden. So stellte das Fraunhofer Institut in einem von der verantwortlichen gematik selbst beauftragtem Gutachten fest, dass das Sicherheitskonzept noch verschiedene Schwachstellen aufweist. Die Die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) wiederum gab an, diese bis zur Veröffentlichung noch beheben zu wollen. In Anbetracht des nun kurz bevorstehenden Roll-Outs werfen jedoch immer mehr Experten erhebliche Datenschutzbedenken hinsichtlich der elektronischen Patientenakte auf. Fachleute hatten etwa noch kurz vor Jahresschluss auf dem 38. Chaos Communications Congress am 30.12.2024 auf schwere Sicherheitsrisiken hingewiesen.

Widerspruch vermehrt empfohlen

Auch Tabea Rößner mahnt in ihrer Stellungnahme, dass die besonders schützenswerten Gesundheitsdaten vor Datenlecks und missbräuchlicher Verwendung bewahrt werden müssen. Deshalb sei sicherzustellen, dass die verschiedenen Zugangswege, die es aufgrund der Komplexität des deutschen Gesundheitswesens gebe, vor unbefugtem Zugriff geschützt seien. Dafür bedürfe es auch Schulungen für medizinisches Personal – und das vor und nicht nach dem Start der ePA. Sie deutet an, dass bislang die Sicherheit der Patientendaten nicht gewährleistet und deshalb ein Widerspruch zu empfehlen ist. Auch Klaus Reinhardt, der Chef der Bundesärztekammer, meint in einer Nachrichtenmeldung des Ärzteblatts, die ePA in ihrer jetzigen Version nicht empfehlen zu können.

Sicherheitsbedrohungen nicht zu unterschätzen

Im Übrigen klammern Sicherheitsgutachten Angriffe durch Regierungsorganisationen aus laut eines LinkedIn Posts von Manuel Atug von der AG KRITIS. Dies sei ein „strukturelles Defizit […] in Zeiten der hybriden Bedrohungen“. Hinzu kommt, dass auch Zusammenschlüsse, wie der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) auf verschiedene Sicherheitsmängel und ungenügende Transparenz hinweisen. Dieser sieht ein besonders hohes Risiko für hochsensible Informationen aus psychiatrisch-psychotherapeutischen Behandlungen, bei deren Kompromittierung auch etwaige Strafbarkeitsregelungen den Betroffenen nicht mehr helfen würden. Hinzu kommt die zurzeit geplante zentrale Speicherung der Gesundheitsdaten, die ein erhöhtes Risiko bei Hackerangriffen darstellt. In diesem Zusammenhang hat der Gesundheitsminister, Karl Lauterbach, allerdings auf X darauf hingewiesen, dass ein vollumfängliches Roll-Out erst stattfinden wird, wenn solche Angriffe unmöglich sind.

Fragwürdige Datennutzung

Interessant ist auch, dass Lauterbach auf der Digital Health Conference darauf hingewiesen hat, dass Tech-Konzerne wie Meta, OpenAI und Google großes Interesse an dem „Datenschatz“ bekundet hätten. Neben der primären Nutzung zum Wohle des jeweiligen Patienten, sollen die Daten in ihrer sekundären Nutzung allerdings (lediglich) zu Forschungszwecken verwendet werden dürfen. Manuel Atug weist aber darauf hin, dass diese Konzerne typischerweise „ihr Geld nicht mit medizinischer Forschung” verdienen.

Fazit

Die elektronische Patientenakte ruft Datenschutzbedenken hervor und steht somit an einem Scheideweg. Ihre Potenziale zur Verbesserung der medizinischen Versorgung sind unbestreitbar, doch die bestehenden Sicherheitslücken und datenschutzrechtlichen Defizite werfen ernste Fragen auf. Um die ePA zu einem Erfolg zu machen, bedarf es einer Gewährleistung der Sicherheitsmechanismen. In diesem Zusammenhang ist es absolut erforderlich, dass das primäres Anliegen die Gesundheit und der Schutz der personenbezogenen Daten der Patienten ist und nicht eine etwaige Schöpfung von „Datenschätzen“.