Offener BriefFünf Maßnahmen für mehr Vertrauen in die elektronische Patientenakte

Unmittelbar vor der Pilotphase der elektronischen Patientenakte richten sich knapp 30 zivilgesellschaftliche Organisationen in einem offenen Brief an den Gesundheitsminister. Sie fordern, alle berechtigten Sicherheitsbedenken „glaubhaft und nachprüfbar“ auszuräumen und machen Lauterbach ein Gesprächsangebot.

- - in Demokratie - eine Ergänzung
Eine gestreckte Hand mit fünf Fingern in einem blauen Handschuh vor einer gelben Wand.
Fünf Schritte braucht es aus Sicht der Unterzeichner des offenen Briefs. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Diana Polekhina / netzpolitik.org

Der Bundesgesundheitsminister wirbt derzeit verstärkt um Vertrauen: Die „elektronische Patientenakte für alle“ (ePA) sei sicher, versichert Karl Lauterbach (SPD) kurz vor Start der Pilotphase der ePA am 15. Januar. Das digitale Großprojekt werde „nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte“.

Ende Dezember hatten zwei Sicherheitsforschende auf dem Chaos Communication Congress gleich mehrere Sicherheitslücken der ePA vorgestellt. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.

Knapp drei Wochen später ist Karl Lauterbach davon überzeugt, dass alle für die Pilotphase relevanten Baustellen geschlossen sind. Bis zum bundesweiten Rollout gebe es nur noch technische „Kleinigkeiten“ zu lösen, so der Minister vor wenigen Tagen bei einem Pressetermin.

Forderung nach Sicherheitsgarantien

Diese Zusage reicht knapp 30 Organisationen und Verbänden offenkundig nicht aus. In einem offenen Brief formulieren sie fünf notwendige Maßnahmen, die gewährleisten, dass „die ePA langfristig zu einem Erfolg werden kann“. Zu den Unterzeichnern gehören unter anderem der Chaos Computer Club, der Deutsche Paritätische Wohlfahrtsverband, der Verbraucherzentrale Bundesverband, der Innovationsverbund Öffentliche Gesundheit (InÖG), der Deutsche Rheuma-Liga Bundesverband und die Deutsche Aidshilfe.

Sie fordern, dass vor einem bundesweiten Start der ePA „alle berechtigten Bedenken … glaubhaft und nachprüfbar ausgeräumt werden“. Dafür müssten Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft „substanziell“ einbezogen werden. Erst nach „einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen“ dürfe der bundesweite ePA-Start erfolgen, so die Unterzeichner.

Über die Testphase hinaus sollten Expert*innen aus Wissenschaft und Zivilgesellschaft unabhängige Sicherheitsprüfungen durchführen. Da Sicherheitslücken selbst dann nicht ausgeschlossen seien, müssten Risiken immer transparent kommuniziert werden. Außerdem brauche es einen offenen Prozess der Weiterentwicklung. Dieser Prozess sollte auch die Kritik vieler Organisationen aufgreifen, die die Verantwortlichen bislang nicht berücksichtigt haben.

Offener Brief als Gesprächsangebot

„Wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden“, sagt Bianca Kastl. Sie ist Vorsitzende des InÖG und Kolumnistin bei netzpolitik.org. „Unsichere und nicht an den individuellen Bedarf nach Vertraulichkeit angepasste Lösungen schließen gerade diejenigen Menschen aus, die am meisten von der Digitalisierung des Gesundheitswesens profitieren könnten“.

Seit langem kritisieren zivilgesellschaftliche Organisationen etwa die vollständige Medikationsübersicht in der ePA. „Aus dieser Liste gehen sensible Infos hervor, die Patient*innen berechtigterweise nicht mit allen Ärzt*innen teilen möchten, weil sie Diskriminierung zu fürchten haben“, sagt Manuel Hofmann, Fachreferent für Digitalisierung bei der Deutschen Aidshilfe. „Man denke an HIV-Medikamente oder Psychopharmaka.“

Ihren Brief verstünden die Organisationen als ein Gesprächsangebot, um die Weiterentwicklung der ePA konstruktiv mitzugestalten, sagt Hofmann. „Wenn wir langfristig gute Lösungen etablieren wollen, müssen verschiedene Perspektiven und Interessen in Einklang gebracht werden. Dafür müssen Gesprächsangebote aber auch angenommen werden“, so Hofmann.

Offener Brief im Wortlaut

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

  1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
  2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
  3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
  4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
  5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen

Mitzeichnende Organisationen in alphabetischer Reihenfolge

  1. AG KRITIS
  2. Ärzteverband MEDI Baden-Württemberg
  3. BAG Selbsthilfe
  4. Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)
  5. Björn Steiger Stiftung
  6. Bundesverband Neurofibromatose
  7. Bündnis für Datenschutz und Schweigepflicht (BfDS)
  8. Chaos Computer Club
  9. D64 – Zentrum für digitalen Fortschritt
  10. Deutsche Aidshilfe
  11. Deutsche Alzheimer Gesellschaft­­
  12. Deutsche DepressionsLiga
  13. Deutsche Hörbehinderten Selbsthilfe (DHS)
  14. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
  15. Deutsche Rheuma-Liga Bundesverband
  16. Deutscher Paritätischer Wohlfahrtsverband – Gesamtverband
  17. dieDatenschützer Rhein Main
  18. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
  19. Freie Ärzteschaft e. V.
  20. Gen-ethisches Netzwerk
  21. Humanistische Union
  22. Innovationsverbund Öffentliche Gesundheit (InÖG)
  23. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
  24. LAG Selbsthilfe Rheinland-Pfalz
  25. Landesvereinigung Selbsthilfe Berlin
  26. Patientenrechte und Datenschutz e. V.
  27. SUPERRR Lab
  28. Verbraucherzentrale Bundesverband

Einzelpersonen in alphabetischer Reihenfolge

  1. Kristina Achterberg, Kinder- u. Jugendlichenpsychotherapeutin, Kösching
  2. Matthias Bauer, Kinder- u. Jugendlichenpsychotherapeut, Kösching
  3. Regine Bielecki, Psychologische Psychotherapeutin, Mönchengladbach
  4. Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag
  5. Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum – Technik, Wirtschaft, Gesundheit
  6. Juliane Göbel, Psychotherapeutin, Bernstadt auf dem Eigen
  7. Katharina Groth, Psychologische Psychotherapeutin, Geisenheim
  8. Sabine Grützmacher, MdB, Bündnis 90/Die Grünen
  9. Dr. Sven Herpig, Lead for Cybersecurity Policy and Resilience, interface
  10. Prof. Ulrich Kelber, Parlamentarischer Staatssekretär a.D.
  11. Julia Rasp, Psychotherapeutin in Ausbildung
  12. Elisabeth Reich, Psychologische Psychotherapeutin, Marburg
  13. Thomas Schäfer, Bündnis 90/Die Grünen, Sprecher der Bundesarbeitsgemeinschaft Digitales und Medien, München
  14. Katharina Schwietering, Psychotherapeutin, Pinneberg
  15. E. Walther, Psychotherapeutin
  16. Katharina Wendling, Psychologische Psychotherapeutin, Köln
  17. Benedikt Wildenhain, Wissenschaftlicher Mitarbeiter, Hochschule Bochum

Der offene Brief mit allen Unterzeichnenden und Zitaten ist hier veröffentlicht.

Weitere Artikel
Ein blaues Zahlenschloss mit silbernen Drehrädchen
Technologie

DegitalisierungAlles gleichzeitig

Digitalisierungslösungen im Gesundheitsbereich sind entscheidende Technologien für eine moderne Gesundheitsversorgung. Sie unterstützen Forschende, Krankheiten besser und schneller zu verstehen und zu behandeln. Gleichzeitig werden im Gesundheitsbereich die sensibelsten personenbezogenen Daten verarbeitet.

Lesen Sie diesen Artikel: Alles gleichzeitig

1 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.