Karl Lauterbach gibt sich zuversichtlich. „Jetzt ist die Innovation nicht mehr aufzuhalten“, verkündet der Minister Anfang Februar. Gleichzeitig muss er den bundesweiten Rollout der elektronischen Patientenakte (ePA) immer weiter nach hinten verschieben.

Der ursprüngliche Zeitplan sah vor, dass die ePA schon am kommenden Samstag starten sollte. Dann, wenn der Abschluss der vierwöchigen Pilotphase in drei Modellregionen geplant war.

Doch daraus wird nichts. Denn zum einen haben die Sicherheitsforschenden Bianca Kastl und Martin Tschirsich Ende Dezember auf dem CCC-Kongress gezeigt, dass die ePA erhebliche Sicherheitslücken aufweist. Und zum anderen kommt der Testlauf offenbar nur schleppend in Gang.

Wo steht die ePA, wenige Tage vor dem einst geplanten Ende der Testphase? Wann erfolgt der landesweite Start? Und womit müssen wir danach rechnen? Eine Zwischenbilanz mit fünf Thesen.

These 1: Die ePA für alle kommt frühestens im Sommer

Trotz massiver Sicherheitsprobleme und einer wachsenden Kritik aus der Zivilgesellschaft hielt Lauterbach lange an seinem engen Zeitplan fest. Inzwischen räumt er ein, dass der bundesweite Start nicht vor dem zweiten Quartal erfolgen kann, also mindestens sechs Wochen später als ursprünglich geplant.

Und es bleibt abzuwarten, ob das Bundesgesundheitsministerium nicht auch diese Latte reißen und der ePA-Start sich bis in den Sommer hinein verschieben wird. Denn derzeit nehmen nur rund 200 der insgesamt etwa 300 in den Modellregionen registrierten Gesundheitseinrichtungen an dem Testlauf teil. Das schrieb die gematik auf Anfrage von netzpolitik.org. Ende Januar – zur Halbzeit der geplanten Pilotphase – waren es gerade einmal halb so viele. In den Modellregionen haben viele Hausärzt:innen noch immer nur einen eingeschränkten oder gar keinen Zugriff auf die ePA. „Das ist im Moment noch keine Testphase, sondern eine Ruhephase“, sagt etwa der Hausarzt Marc Metzmacher in Mittelfranken.

Derweil haben die von den Krankenkassen beauftragten Dienstleister immerhin schon die Akten für alle gesetzlich Versicherten angelegt, die dem nicht widersprochen haben. Knapp 70,5 Millionen elektronische Patientenakten schlummern nun in den Aktensystemen der Telematik-Infrastruktur und warten darauf, nach einem erfolgreichen Abschluss der Pilotphase aktiviert zu werden.

Bis dahin erhalten zunächst nur die Versicherten in den Modellregionen Zugriff auf ihre Akten. Dort haben in den vergangenen drei Wochen rund 2,2 Millionen Versicherte eine dafür erforderliche eigene GesundheitsID erstellt.

Die Zahlen der gematik lassen auch Rückschlüsse darauf zu, wie viele Versicherte keine ePA wollen. Bundesweit gibt es rund 74,4 Millionen gesetzlich Versicherte. Einer Einrichtung haben demnach etwas mehr als fünf Prozent der Versicherten widersprochen.

These 2: Die ePA weckt Begehrlichkeiten

Ungeachtet des schleppenden Starts weckt die ePA schon jetzt Begehrlichkeiten aufseiten der Politik – vor allem in sicherheits- und wirtschaftspolitischer Hinsicht.

So kritisierte CDU-Generalsekretär Carsten Linnemann im Dezember nach der Amokfahrt von Magdeburg „ein großes Defizit in Deutschland“, weil es kein „Register“ für psychisch kranke Gewalttäter gebe. Zwar warnten Datenschützer:innen und Fachleute umgehend vor einem polizeilichen Zugriff auf Gesundheitsdaten, während die Bundesdatenschutzbeauftragte und das Bundesgesundheitsministerium betonten, dass die elektronische Patientenakte einem Beschlagnahmeschutz unterliege. Tatsächlich aber führt der entsprechende Artikel 97 der Strafprozessordnung die elektronische Gesundheitskarte, nicht aber die ePA auf. Rechtliche Klarheit besteht somit in dieser Hinsicht nicht.

Ende Januar sprach sich dann Unionskanzlerkandidat Friedrich Merz dafür aus, den Menschen „einen ökonomischen Anreiz“ zu geben, „das Gesundheitssystem effizienter zu nutzen“. Sie könnten zehn Prozent niedrigere Krankenversicherungsbeiträge zahlen, wenn sie „bei der Nutzung der endlich eingeführten elektronischen Patientenakte Datenschutzbedenken zurückstellen und die Möglichkeiten der E-Patientenakte vollumfänglich nutzen“.

Gesundheitsminister Karl Lauterbach widersprach Merz’ Ansinnen umgehend: „Gesundheitsdaten dürfen nicht verkauft werden. Wer die ePA nutzt, macht das für eine bessere Behandlung, wer die Daten anonym spendet, hilft der Forschung.“ Geld dürfe dabei keine Rolle spielen.

Lauterbachs Widerspruch wirkt scheinheilig. Denn auch der SPD-Minister ist einer kommerziellen Nutzung von Gesundheitsdaten zugeneigt. Erst Ende November hatte er verkündet, mit Google, Meta und OpenAI über die Nutzung von Gesundheitsdaten im Gespräch zu sein. Mit seiner Haltung ist Lauterbach nicht allein: Als der Bundestag 2023 das Gesundheitsdatennutzungsgesetz (GDNG) verabschiedete, schwärmten viele Abgeordnete geradezu vom ökonomischen Nutzen der Gesundheitsdaten.

Der GKV-Spitzenverband hat Merz’ Idee einmal durchgerechnet – und ist wenig begeistert. Die Lage der Krankenkassen ist derzeit bekanntlich prekär. Würde die Hälfte der GKV-Mitglieder diese Möglichkeit nutzen, gingen dieser „mehr als 15 Milliarden Euro im Jahr an Einnahmen verloren“, sagt Florian Lanz, Sprecher des Spitzenverbandes.

Der Thüringer Landesdatenschützer Tino Melzer warnt vor der „diskriminierenden Wirkung“ von Merz’ Vorschlag, der Datenschutz und Privatsphäre mit einem Preisschild versehen würde. Die Sicherheitsforscherin und netzpolitik.org-Kolumnistin Bianca Kastl sieht das ähnlich: „Diejenigen Menschen ohne in der Gesellschaft diskriminierte Diagnosen können sparen, diejenigen, die nicht das Privileg haben, ihre Gesundheitsdaten allen digital anvertrauen zu können, werden finanziell zusätzlich belangt.“

These 3: Das gebrochene Sicherheitsversprechen gilt weiter

Bevor die ePA bundesweit und tatsächlich für alle startet, muss sie sich zunächst in den Modellregionen bewähren. Dazu gehört auch, dass die vom CCC aufgezeigten Sicherheitsprobleme gelöst sind.

Dafür hat die gematik ein verspätetes technisches Update veröffentlicht und ein Maßnahmenpaket beschlossen. Demnach dürfen Leistungserbringer Hardware, die für den Zugang zur Telematik-Infrastruktur genutzt wird, weder weitergeben noch verkaufen. Zweitens müssen IT-Dienstleister vor Ort kontrolliert werden. Und drittens müssen Leistungserbringer ihre Systeme mit IT-Zugriff auf dem aktuellen Stand halten.

Ob damit alle von Kastl und Tschirsich aufgedeckten Sicherheitslücken nachhaltig geschlossen werden, bleibt fraglich – zumal sich in der Zwischenzeit neue Sicherheitslücken aufgetan haben. Außerdem hatte die gematik schon unmittelbar nach den Enthüllungen des CCC mit Verweis auf bestehende Gesetze abgewiegelt: „Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.“ Es ist unklar, warum die neuen Regeln aus Sicht der gematik wirksamer sein sollen als die alten.

Vertrauensbildend wäre eine andere Lösung: Weil es in der Vergangenheit immer wieder gebrochene und uneingelöste Sicherheitsversprechen gegeben hatte, fordern Kastl und Tschirsich nun eine unabhängige und belastbare Risikobewertung der ePA. Auch mehrere zivilgesellschaftliche Organisationen verlangen, dass vor dem ePA-Start „alle berechtigten Bedenken … glaubhaft und nachprüfbar ausgeräumt werden“. Weder das Bundesgesundheitsministerium noch die gematik oder das BSI wollen diesem Wunsch nach einer unabhängigen Kontrolle offenbar nachkommen.

These 4: Sicherheitsrisiken werden individualisiert

Unklar bleibt auch, wer eigentlich die politische Verantwortung für die vom CCC aufgedeckten Sicherheitslücken und die damit einhergehenden Risiken trägt – während gleichzeitig die einzelnen Versicherten das Risiko von möglichen Leaks tragen sollen.

Das veranschaulicht ein Zeit-Interview der ehemaligen Vorsitzenden des Deutschen Ethikrates Alena Buyx. Seit Mitte vergangenen Jahres gehört sie dem Digitalbeirat für Datenschutz und Datensicherheit der gematik an.

Auf die Frage, ob der ePA-Start wegen Sicherheitsbedenken verschoben werden sollte, widerspricht Buyx entschieden: „Jetzt ist es mal an der Zeit, zu starten.“ Das Risiko von Datenlecks müsse man eingehen, so Buyx. Außerdem habe der Diebstahl von Gesundheitsdaten in anderen Ländern keine „schrecklichen Folgen“ gehabt.

Schon eine kurze Web-Suche zeigt, dass dies etwa mit Blick auf Finnland, Spanien oder auch die USA nicht zutrifft. Aber warum sich diese Mühe machen, wenn das Prinzip Hoffnung regiert: Die Sache wird schon gut gehen. Und wenn sie nicht gut geht, dann geht’s schon nicht gleich komplett schief.

Dass Buyx damit zugleich die Verantwortung für die Sicherheit der ePA von der Politik auf die Versicherten verlagert, verdeutlicht spätestens ihre Aussage, wonach kein digitales System völlig sicher sei: „Das gilt im Übrigen auch für E-Mail-Konten und Onlinebanking.“

Dieser Vergleich hinkt. Denn die eigene Bank kann ich mir aussuchen und bei Sicherheitsbedenken wechseln, den E-Mail-Provider ebenfalls. Bei der ePA betreffen Schwachstellen aber die Gesundheitsdaten nahezu alle gesetzlich Versicherten. Eine einzelne Person kann hier wenig ausrichten. Umso mehr sind hier ein sorgsames Vorgehen und eine verantwortungsvolle Politik gefragt.

These 5: Unsere Gesundheitsdaten werden zur Ware

Wer die ePA für alle nicht haben möchte, muss ihr aktiv widersprechen. Aus Sicht von Datenschützer:innen und Bürgerrechtler:innen schränkt dieses Opt-out-Verfahren die informationelle Selbstbestimmung der Versicherten ein.

Mit Merz’ Vorstoß zeichnet sich der nächste Schritt in diese Richtung ab: Dem Opt-out wird das Prinzip Zuckerbrot und Peitsche an die Seite gestellt. Versicherte werden dafür belohnt, wenn sie ihre Daten der Forschung oder gar der Wirtschaft zur Verfügung stellen. Im Gegenzug erfahren all jene Nachteile, die das nicht möchten.

„Datenkraken sind unterwegs und scharren mit den Hufen aus allen Richtungen, um mit Krankheitsdaten Profit zu machen“, warnt mit einem leicht schrägen Bild auch Wieland Dietrich, Bundesvorsitzender der Freien Ärzteschaft. „Wir müssen befürchten, dass jedwede neue Regierungskoalition den Schutz der Krankengeschichte der Patienten weiter absenken wird.“

Auch Friedrich Merz scharrt mit den Hufen. Vor wenigen Tagen sagte der Unionskanzlerkandidat auf einer Wahlkampfveranstaltung mit Blick auf die wirtschaftliche Nutzung von Gesundheitsdaten: „In unserem Land wird zu viel über Datenschutz geredet und zu wenig über Datennutzung.“ Das müsse sich endlich ändern.