Bundesweites Rollout der elektronischen Patientenakte

Ab dem 29.04.2025 beginnt das bundesweite Rollout der elektronischen Patientenakte. Zumindest soll in den kommenden Wochen der nächste Schritt in Form einer „Hochlaufphase“ starten. Das Bundesministerium für Gesundheit (BMG) sieht insofern die technischen Voraussetzungen als erfüllt an und Sicherheitsbedenken seien gelöst. Doch Kritiker bezweifeln weiterhin, dass die bislang aufgedeckten Schwachstellen tatsächlich hinreichend behoben wurden und weisen auf erhebliche datenschutzrechtliche Bedenken hin.

Jahrelanges Projekt an der Schwelle zum Alltag

Die ePA ermöglicht die digitale Speicherung und den Austausch von Gesundheitsdaten. Hierzu gehören etwa Arztberichte, Laborwerte oder Rezepte. Ende 2023 hat der Deutsche Bundestag zwei Digitalgesetze für die Gesundheitsversorgung verabschiedet, die im Februar 2024 ihre letzte Hürde überwunden haben. Eine der wesentlichen Veränderungen ist die automatische Einrichtung der ePA für alle gesetzlich Versicherten – ursprünglich ab Mitte Januar 2025 – soweit kein Widerspruch des jeweiligen Patienten vorliegt.

Im Anschluss wurde allerdings der flächenweite geplante Einsatz nach hinten verschoben. Zwar mussten die gesetzlichen Krankenkassen weiterhin ab Mitte Januar eine entsprechende Akte für Versicherte eröffnen. Der weitere Verlauf war aber von Pilotprojekten in Modellregionen abhängen. Erst nach einer positiven Evaluation sollte die ePA bundesweit eingeführt werden. Insofern waren auch Ärzte und Psychotherapeuten von der Verpflichtung befreit, Daten in die ePA einzutragen.

Datenschutzrechtliche Bedenken

Bereits Ende letzten Jahres ist vermehrt Kritik hinsichtlich Sicherheitsbedenken geäußert worden. So stellte das Fraunhofer Institut in einem Gutachten fest, dass das Sicherheitskonzept noch verschiedene Schwachstellen aufweist, die die gematik noch beheben wollte. Auch hatten Fachleute kurz vor Jahresschluss auf dem 38. Chaos Communications Congress (CCC) auf schwere Sicherheitsrisiken hingewiesen. Im Januar warnte dann auch Vorsitzende des Digitalausschusses, Tabea Rößner, vor Datenschutzbedenken. Es sei sicherzustellen, dass die Informationen vor unbefugtem Zugriff geschützt seien. Sie deutet an, dass bislang die Sicherheit der Patientendaten nicht gewährleistet und deshalb ein Widerspruch zu empfehlen ist. Auch Klaus Reinhardt, der Chef der Bundesärztekammer, meint in einer Nachrichtenmeldung des Ärzteblatts, die ePA in ihrer damaligen Version nicht empfehlen zu können.

Rollout ab Ende April

Nun soll ab Ende April 2025 das bundesweite Rollout der elektronischen Patientenakte in Form einer Hochlaufphase starten. Die Sicherheitsbedenken seien mittlerweile behoben. Das geht aus einem von netzpolitik.org veröffentlichten Brief des Bundesgesundheitsministers an die gematik hervor. Dabei handle es sich noch nicht um einen verpflichtenden Regelbetrieb, sondern um eine erweiterte Erprobungsphase, in der insbesondere Leistungserbringer wie Ärzte, Krankenhäuser und Apotheken Erfahrungen mit der ePA sammeln sollen. Erst ab dem 01.10.2025 soll die flächendeckende Nutzung durch alle Gesundheitsdienstleister verbindlich werden. Bislang bestehe kein Risiko für Sanktionen.

Sicherheitslücken behoben?

Bianca Kastl, Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V., die auch schon auf dem CCC-Kongress Sicherheitsbedenken geäußert hatte, habe noch Anfang des Monats gegenüber netzpolitik.org erklärt, dass „die bisher angekündigten Updates […] grundsätzlich ungeeignet [sind], um die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen“. Vielmehr handle es sich lediglich um punktuelle Schadensbegrenzung bei einzelnen Angriffsvektoren.

Fazit

Das bundesweite Rollout der elektronischen Patientenakte markiert grundsätzlich einen wichtigen Schritt in der Digitalisierung der medizinischen Versorgung in Deutschland. Doch dies erfolgt begleitet von ungelösten datenschutzrechtlichen und sicherheitstechnischen Fragen. Das Vertrauen der Nutzer – ob Patient oder Leistungserbringer – wird dabei zum entscheidenden Erfolgsfaktor. Ohne glaubwürdige Nachweise für die Sicherheit der Daten und ohne transparente Verfahren zur Wahrung der Betroffenenrechte droht die ePA weniger als digitale Lösung, denn als Problemverstärker wahrgenommen zu werden. Unternehmen, die sich jetzt auf die neue Infrastruktur einstellen, sollten daher nicht nur technisch, sondern auch rechtlich gut vorbereitet sein.