Offener Brief: Fünf Maßnahmen für mehr Vertrauen in die elektronische Patientenakte

Der Bundesgesundheitsminister wirbt derzeit verstärkt um Vertrauen: Die „elektronische Patientenakte für alle“ (ePA) sei sicher, versichert Karl Lauterbach (SPD) kurz vor Start der Pilotphase der ePA am 15. Januar. Das digitale Großprojekt werde „nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte“.

Ende Dezember hatten zwei Sicherheitsforschende auf dem Chaos Communication Congress gleich mehrere Sicherheitslücken der ePA vorgestellt. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.

Knapp drei Wochen später ist Karl Lauterbach davon überzeugt, dass alle für die Pilotphase relevanten Baustellen geschlossen sind. Bis zum bundesweiten Rollout gebe es nur noch technische „Kleinigkeiten“ zu lösen, so der Minister vor wenigen Tagen bei einem Pressetermin.

Forderung nach Sicherheitsgarantien

Diese Zusage reicht knapp 30 Organisationen und Verbänden offenkundig nicht aus. In einem offenen Brief formulieren sie fünf notwendige Maßnahmen, die gewährleisten, dass „die ePA langfristig zu einem Erfolg werden kann“. Zu den Unterzeichnern gehören unter anderem der Chaos Computer Club, der Deutsche Paritätische Wohlfahrtsverband, der Verbraucherzentrale Bundesverband, der Innovationsverbund Öffentliche Gesundheit (InÖG), der Deutsche Rheuma-Liga Bundesverband und die Deutsche Aidshilfe.

Sie fordern, dass vor einem bundesweiten Start der ePA „alle berechtigten Bedenken … glaubhaft und nachprüfbar ausgeräumt werden“. Dafür müssten Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft „substanziell“ einbezogen werden. Erst nach „einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen“ dürfe der bundesweite ePA-Start erfolgen, so die Unterzeichner.

Über die Testphase hinaus sollten Expert*innen aus Wissenschaft und Zivilgesellschaft unabhängige Sicherheitsprüfungen durchführen. Da Sicherheitslücken selbst dann nicht ausgeschlossen seien, müssten Risiken immer transparent kommuniziert werden. Außerdem brauche es einen offenen Prozess der Weiterentwicklung. Dieser Prozess sollte auch die Kritik vieler Organisationen aufgreifen, die die Verantwortlichen bislang nicht berücksichtigt haben.

Offener Brief als Gesprächsangebot

„Wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden“, sagt Bianca Kastl. Sie ist Vorsitzende des InÖG und Kolumnistin bei netzpolitik.org. „Unsichere und nicht an den individuellen Bedarf nach Vertraulichkeit angepasste Lösungen schließen gerade diejenigen Menschen aus, die am meisten von der Digitalisierung des Gesundheitswesens profitieren könnten“.

Seit langem kritisieren zivilgesellschaftliche Organisationen etwa die vollständige Medikationsübersicht in der ePA. „Aus dieser Liste gehen sensible Infos hervor, die Patient*innen berechtigterweise nicht mit allen Ärzt*innen teilen möchten, weil sie Diskriminierung zu fürchten haben“, sagt Manuel Hofmann, Fachreferent für Digitalisierung bei der Deutschen Aidshilfe. „Man denke an HIV-Medikamente oder Psychopharmaka.“

Ihren Brief verstünden die Organisationen als ein Gesprächsangebot, um die Weiterentwicklung der ePA konstruktiv mitzugestalten, sagt Hofmann. „Wenn wir langfristig gute Lösungen etablieren wollen, müssen verschiedene Perspektiven und Interessen in Einklang gebracht werden. Dafür müssen Gesprächsangebote aber auch angenommen werden“, so Hofmann.

Offener Brief im Wortlaut

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen

Mitzeichnende Organisationen in alphabetischer Reihenfolge

1. AG Kritis
2. Aidshilfe Köln e.V.
3. Aktionsgemeinschaft Freie Zahnheilkunde Oberbayern e.V.
4. Ärzteverband MEDI Baden-Württemberg
5. BAG SELBSTHILFE e.V.
6. BDPM – Bundesverband Psychosomatische Medizin und Ärztliche Psychotherapie e. V.
7. Berufsverband Deutscher Psychologinnen und Psychologen e.V. (BDP)
8. Björn Steiger Stiftung
9. Bundesarbeitsgemeinschaft der PatientInnenstellen (BAGP)
10. Bundesverband der Vertragspsychotherapeuten, bvvp e.V.
11. Bundesverband der Vertragspsychotherapeutinnen und Vertragspsychotherapeuten in Bayern (bvvp Bayern)
12. Bundesverband Neurofibromatose
13. Bündnis für Datenschutz und Schweigepflicht (BfDS)​​​​​​​
14. Chaos Computer Club
15. D64 – Zentrum für digitalen Fortschritt
16. Deutsche Aidshilfe
17. Deutsche Alzheimer Gesellschaft
18. Deutsche DepressionsLiga e.V.
19. Deutsche Hörbehinderten Selbsthilfe e.V. (DHS)
20. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
21. Deutsche PsychotherapeutenVereinigung (DPtV)
22. Deutsche Rheuma-Liga Bundesverband
23. Deutscher Paritätischer Wohlfahrtsverband – Gesamtverband
24. Deutsches Psychotherapeuten Netzwerk
25. dieDatenschützer Rhein Main
26. Endometriose-Vereinigung Deutschland e.V.
27. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.V.
28. Freie Ärzteschaft e.V.
29. Gen-ethisches Netzwerk e.V.
30. Hausärztinnen- und Hausärzteverband Nordrhein e.V.
31. Humanistische Union
32. Innovationsverbund Öffentliche Gesundheit (InÖG)
33. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
34. LAG Selbsthilfe Rheinland-Pfalz
35. Landesverband Schleswig-Holstein der Angehörigen und Freunde psychisch Kranker e. V.
36. Landesvereinigung Selbsthilfe Berlin
37. LSVD⁺ – Verband Queere Vielfalt, Bundesverband
38. MEZIS e.V. – Mein Essen zahl‘ ich selbst
39. Patientenrechte und Datenschutz e.V.
40. Piratenpartei Deutschland
41. SelbstHilfeVerband – FORUM GEHIRN e.V.
42. SUPERRR Lab
43. TEAM ZAHNÄRZTE BAYERN
44. Topio e.V.
45. Verbraucherzentrale Bundesverband
46. Zukunft Zahnärzte Bayern e.V.

Einzelpersonen in alphabetischer Reihenfolge

1. Kristina Achterberg, Kinder- u. Jugendlichenpsychotherapeutin, Kösching
2. Matthias Bauer, Kinder- u. Jugendlichenpsychotherapeut, Kösching
3. Dagmar Baumann, Kinder- und Jugendlichenpsychotherapeutin, Bremen
4. Dr. Karlheinz Bayer, Allgemeinarzt, Bad Peterstal-Griesbach
5. Regine Bielecki, Psychologische Psychotherapeutin, Mönchengladbach
6. Dr. Monika Böhringer, Zahnärztin, München
7. Nils Brinker, IT-Sicherheitsexperte, Münster
8. Dipl.-Psych. Jana Cremer, Psychologische Psychotherapeutin (VT), Dachau
9. Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag
10. Dr. med. Anja Dresen, Internistische Hausärztin, Ahlen
11. Dr. med. Burkhard Dresen, Internistischer Hausarzt, Ahlen
12. Dr. Brunhilde Drew, Zahnärztin, Schöngeising
13. Ludwig Festl, Zahnarzt, Drachselsried
14. Prof. Dr. Dr. Eberhard Fischer-Brandies, MKG-Chirurg, München
15. Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum – Technik, Wirtschaft, Gesundheit
16. Jürgen „tante“ Geuter, Soziotechnologe, Otherwise Network, Berlin
17. Juliane Göbel, Psychotherapeutin, Bernstadt auf dem Eigen
18. Dipl. Psych. Bettina Gräfin zu Lynar, Psychologische Psychotherapeutin, Berlin
19. Sebastian Grässer, Bündnis 90/Die Grünen, Bundestagskandidat und Sprecher der Landesarbeitsgemeinschaft Digitales und Medien Baden-Württemberg, Malsch
20. Dr. Erwin Groß, Zahnarzt
21. Katharina Groth, Psychologische Psychotherapeutin, Geisenheim
22. Prof. Dr.-Ing. Martin Grothe, Professor für Angewandte Informatik und insbesondere IT-Sicherheit und digitale Forensik, Hochschule Niederrhein
23. Sabine Grützmacher, MdB, Bündnis 90/Die Grünen
24. Ulrich Hammerschmidt, Arzt, Göcklingen
25. Dr. Sven Herpig, Lead for Cybersecurity Policy and Resilience, interface
26. Dr. Marcus J. Heufelder, Facharzt für Mund-, Kiefer- und Gesichtschirurgie, München
27. Dr. Frank Hummel, Zahnarzt, München, Mitglied des Vorstandes der BLZK, 1. Vorsitzender des ZZB (Zunkunft Zahnärzte Beyern)
28. Dr. Elmar Immertreu, Zahnarzt, Delegierter zur BLZK, Bundeszahnärztrkammer, ZBV Obb Stadtrat Geretsried
29. Jan-Tilo Kirchhoff, IT-Sicherheitsexperte, Berlin
30. Prof. Ulrich Kelber, Parlamentarischer Staatssekretär a.D.
31. Dr. René Kopietz, Dipl.-Psych., Psychologischer Psychotherapeut, Dortmund
32. Dr. F. Lazar, Zahnarzt, Tutzing
33. Max Luber, Datenschutzbeauftragter, Greifswald
34. Dr. med.dent. Ulrich Mannhart, Zahnarzt, Mauerstetten
35. Dr. Barbara Mattner, Vizepräsidentin der Bayerischen Landeszahnärztekammer
36. Knut Meenzen, rechtlicher Betreuer, Eisenberg, Thüringen
37. Josefin Mesow, Psychologische Psychotherapeutin, Dresden
38. Prof. Dr. med. Andreas Meyer-Falcke, CIO.NRW aD, Beigeordneter für Gesundheit aD, Ministerialdirigent aD, Oberstarzt dR, Düsseldorf
39. Ulrike Meyer-Hoffmann, Ärztin für Psychotherapeutische Medizin, Lübeck
40. Friedo Michnia, Beisitzer des Landesvorstands Piraten Hamburg
41. Dr. Burghard Peter, Zahnarzt, Arnstorf
42. Dr. Nicolas Pröbstl M.Sc., Zahnarzt, München, Vorstandsmitglied des Zahnärztlichen Bezirksverbands München Stadt und Land, Vorstandsmitglied des Berufsverbands Zukunft Zahnärzte Bayern e.V.
43. Dr. Sabine Ranke, ärztliche Psychotherapeutin, Potsdam
44. Julia Rasp, Psychotherapeutin in Ausbildung
45. Dr. Katharina Reckhenrich, Zahnärztin, Delegierte des Zahnärztlichen Bezirksverbands München
46. Elisabeth Reich, Psychologische Psychotherapeutin, Marburg
47. Susanne Remlinger, Zahnärztin, Vorsitzende Freie Zahnärzteschaft e.V., Ingolstadt
48. Dr. Norbert Rinner, Zahnarzt, Regensburg
49. Karsten Rohrbach, Experte für IT-Security, Frankfurt
50. Thomas Schäfer, Bündnis 90/Die Grünen, Sprecher der Bundesarbeitsgemeinschaft Digitales und Medien, München
51. Tim Philipp Schäfers, IT-Sicherheitsforscher
52. Katja Scheuß, Kinder- und Jugendlichenpsychotherapeutin, Trier
53. Winfried Schmid, Diplom Psychologe/Psychotherapeut, Arpshagen
54. Dr. Dorothea Schmidt, Zahnärztin, München
55. Dr. med. Herbert Schutz-Gora, Hofheim
56. Katharina Schwietering, Psychotherapeutin, Pinneberg
57. Dr. Eberhard Siegle, LL.M., Zahnarzt, Neumarkt-Sankt Veit
58. Manuel Stein, Psychologischer Psychotherapeut, Münster
59. Dr. med. Stefan Streit, Arzt, Köln
60. Dr.med.dent. Bodo Strößenreuther, Zahnarzt, Grafenau
61. Julian Veil, IT-Sicherheitsberater
62. Friederike von Franqué, Bündnis 90/Die Grünen
63. E. Walther, Psychotherapeutin
64. Katharina Wendling, Psychologische Psychotherapeutin, Köln
65. Benedikt Wildenhain, Wissenschaftlicher Mitarbeiter, Hochschule Bochum

Der offene Brief mit allen Unterzeichnenden und Zitaten ist hier veröffentlicht.