Elektronische Patientenakte: Bundesärztekammer-Präsident rät wegen Datenschutzmängeln vorerst ab

Ganze 15 Jahre wurde an der elektronischen Patientenakte (ePA) geplant und entwickelt. Jetzt wird sie in drei Modellregionen getestet. Bei aller Euphorie der Initiatoren gibt es jedoch ernsthafte Datenschutzbedenken.

Zugriffsrechte beim Karten-Einlesen erteilt

Im Januar 2025 wurden die ePA zuerst in Hamburg sowie in Teilen von NRW und Franken ausgerollt. Einen Monat später soll der Rest des Landes folgen. Um das Verfahren in Gang zu setzen, müssen alle gesetzlich Versicherten ein Schreiben von ihrer Kasse erhalten haben, in dem auch Widerspruchsmöglichkeiten erklärt und eingeräumt werden.

Die Krankenkassen haben für die Patienten der teilnehmenden Arztpraxen eine elektronische Akte eingerichtet, die zuerst einmal noch unbeschrieben ist. Die vorhandenen Patientendaten werden dann in einem weiteren Schritt in die ePA eingepflegt. Wegen der immensen Zahl an Kopiervorgängen wird dieser Prozess einige Zeit in Anspruch nehmen. Für die Kassenpatienten besteht dabei noch kein Handlungsbedarf. In einem dritten Schritt dann müssen Patienten Rechte neu vergeben: Ärzte, Kliniken und Apotheken erhalten künftig allein durch das Einlesen der Kassenkarte von Patienten Datenzugriff innerhalb der ePA gewährt. Die Karteninhaber können per App über den Zeitraum entscheiden.

Gematik-Netzwerk ist nicht hürdenlos

Die ePA wird im Auftrag der Bundesregierung bereitgestellt und gilt laut dem Hamburger Datenschutzbeauftragten Thomas Fuchs, als „großer Schritt vorwärts bei der Digitalisierung des Gesundheitswesens“. Verantwortlich für den Betrieb der digitalen Akte ist das Unternehmen Gematik. Und hier sieht der Chaos Computer Club Datenschutzprobleme auf die Gesellschaft zukommen. Dessen Chef Linus Neumann warnt: „Wer sich Zugang zum Gematik-Netzwerk verschafft hat, kann selbst mit einem gefälschten Arztausweis theoretisch auf alle Patientenakten zugreifen.“

Das sei möglich, wenn das Netzwerk systematisch abgefragt werde und weil eine erteilte Berechtigung ortsunabhängig gilt – ob echt oder gefälscht. Sich einen gültigen Heilberufs- oder Praxisausweis zu besorgen sei heute wegen Fehlern in der Bürokratie einfach. Außerdem seien Mängel in der Spezifikation feststellbar. Man könne deshalb problemlos und ohne das Vorzeigen bzw. Einlesen von Gesundheitskarten Zugriffstoken für die elektronischen Patientenakten der Versicherer erstellen.

Die Risiken sind offenbar zu groß

Bundesgesundheitsminister Karl Lauterbach (SPD) war vor Weihnachten darüber informiert worden, spricht aber von lösbaren „Kleinigkeiten“ und einem ungefährdeten Zeitplan. Nach Veröffentlichungen im Ärzteblatt sehen jedoch sowohl die Bundesärztekammer (BÄK) als auch der Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKL) erhebliche Datenschutzrisiken. BÄK-Präsident Klaus Reinhardt teilte Anfang Januar mit, er würde nach aktuellem Stand seinen Patienten die ePA nicht empfehlen – „die möglichen Einfallstore seien zu groß“.

Trotz des Slogans des Bundesgesundheitsministeriums „eine Patientenakte für alle“ lassen sich die privaten Versicherer noch Zeit mit eigenen Angeboten. Vielleicht aus gutem Grund.