Zum 15. Januar 2025 (also nächste Woche schon) startet die elektronische Patientenakte (ePA) in Modellregionen. Jetzt haben sich die Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKJ) positioniert und raten beim aktuellen Stand den Patienten und Patientinnen auf die ePA zu verzichten. Grund sind auch die Sicherheitslücken, die der Chaos Computer Club (CCC) auf dem 38. Jahreskongress öffentlich gemacht hat.
ePA, die unendliche Geschichte
Leser des Blogs sind über die Thematik informiert, hatte ich doch die Entwicklung der elektronischen Patientenakte aus Sicht von Sicherheit und Datenschutz kritisch aufbereitet. Der Blog-Beitrag Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster? vom 3. Dezember 2024 umreißt den aktuellen Stand und legt die Risiken offen. Im Beitrag Elektronische Patientenakte (ePA) und das (zwingende) Opt-out wurde hier im Blog auch die Möglichkeit des Opt-out für Patienten und Patientinnen erläutert.
Ende Dezember 2024 wurde dann auf dem 38. Chaos Computer Congress (38C3) bekannt, wie leicht sich die „Sicherheitsschranken“ des Systems „elektronische Patientenakte“ aushebeln lassen (siehe Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten). Mit wenigen Schritten konnten Fachleute zeigen, wie man sich Zugriff auf die ePA beliebiger Personen verschaffen kann.
Die für die ePA-Einführung verantwortliche gematik hat umgehend mit einer Stellungnahme reagiert. Natürlich nehme man die Hinweise zur Sicherheit der neuen elektronischen Patientenakte (ePA für alle) entsprechend ernst. Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen. Aber die gematik ist der Ansicht, dass die praktische Durchführung in der Realität nicht sehr wahrscheinlich sei, da verschiedene Voraussetzungen erfüllt sein müssen.
Übersetzt: Das Problem wird weggelächelt – so ein Zugriff wäre illegal und kommt daher nicht vor. Dass Geheimdienste und Kriminelle sich von so etwas nicht abschrecken lassen, kommt in den Risikobewertungen nicht vor.
Es gab dann Spekulationen, dass die Einführung der ePA zeitlich verschoben wird. Prof. Karl Lauterbach hat sich am 4. Januar 2024 in obigem Post zur ePA geäußert. Die Aussage war „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet.“ Stand einige Tage im Raum, aber vor wenigen Stunden gab es folgenden Post des deutschen Gesundheitsministers als Antwort auf einen Zeit Online-Artikel.
Die Botschaft: Die ePA startet ab 15. Januar 2025 in den Modellregionen. Die Probleme des CCC seien gelöst und die ePA käme nach der Pilotphase.
Das muss man für Außenstehende etwas übersetzen. Der Start der elektronischen Patientenakte ist zunächst in 300 Gesundheitseinrichtungen in den Modellregionen Franken und Hamburg sowie in Nordrhein-Westfalen. Für diesen Testlauf werden die betreffenden Gesundheitseinrichtungen explizit über White-Listing für den Zugriff freigeschaltet (siehe die Informationen in diesem Artikel am Textende). Damit wäre die Aussage von Herrn Lauterbach zutreffend.
Spannend wird sein, ob der allgemeine Start 4 Wochen später, also zum 15. Februar 2025, so passiert und ob dann die Sicherheitsprobleme behoben sind. Ich verlinkt mal auf den Artikel Gesundheitsminister: E-Patientenakte startet, wenn „Hackerangriffe unmöglich“ von heise.
Ärzte raten vorerst zum Verzicht
Am 7. Januar 2024 ist im Ärzteblatt der Artikel Ärzte sorgen sich um Datenschutz bei elektronischer Patientenakte erschienen. Dort reagieren die Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKJ) auf die vom CCC aufgedeckten Sicherheitslücken.
BÄK-Präsident Klaus Reinhardt wird im Artikel zitiert, dass er seinen Patienten Stand jetzt die ePA nicht empfehlen würde – die möglichen Einfallstore seien zu groß. Reinhard zielt damit auch auf die obigen Äußerungen von Gesundheitsminister Lauterbach ab.
BVKJ-Präsident Michael Hubmann wird im Artikel des Ärzteblatts so zitiert: „Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen“.
Eine elektronische Patientenakte bekommt ja jeder gesetzlich Krankenversicherte, wenn er nicht explizit per Opt-out widerspricht. Bei Kindern unter 15 Jahren ist zu bedenken, dass deren Opt-out von Eltern durchgeführt werden muss. Unterbleibt dies, aus welchen Gründen auch immer, wird eine Entscheidung für das Kind getroffen, welches dessen Leben viele Jahre später gravierend beeinflussen kann.
Der Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKJ) hatte Ende November 2024 auf diese Probleme und Bedenken Hinsichtlich der Rechte von Kindern und Jugendlichen in der ePA an das Bundesgesundheitsministerium, die Bundesdatenschutzbeauftragte, den Patientenbeauftragten und die Gematik übermittelt. Zitat aus dem Ärzteblatt: „Doch das Ministerium sieht offenbar keinerlei Handlungsdruck und die Probleme bleiben weiterhin ungelöst.“
Auch der BVKJ empfiehlt Eltern sich aktiv gegen die ePA zu entscheiden, bis die Rechte von Kindern und Jugendlichen in akzeptabler Weise verwirklicht seien. „Richtig wäre jetzt, die Reißleine zu ziehen und dann ein sicheres System an den Start zu bringen“, so Hubmann gegenüber dem Ärzteblatt. Alles Punkte, die hier im Blog und in weiteren Fachmedien seit Monaten thematisiert wurden.
Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach „will“ die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen CyberangriffeEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx „falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten
Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den „Datenschatz“
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten
Zitat Gesundheitsminister: „… Wenn alle Hackerangriffe, …, technisch unmöglich gemacht worden sind.“
Ich frage: Also kommt die ePA nie?
Ja – Nein – Vielleicht. Die Reaktion meiner Nachricht an Fefe kann man hier nachlesen: https://blog.fefe.de/?ts=9983e547
Leider machen sich wohl nur sehr wenige Menschen über ihre Gesundheitsdaten Gedanken.
Und vor Ort kann man in allen Bereichen erleben, was bei Digitalausfällen geschieht. Früher hatte man ja noch Stift, Papier und Schreibmaschine. Heute erlebe ich dann immer wieder völlig hilflose Menschen …
das ist so fadenscheinig, die Problem mit ePA waren/sind ja nicht neu, da jetzt das Thema noch einmal dediziert „wie die Sau durchs Dorf“ getrieben wird ist an vielen Stellen auch nur Show.
Das Thema alleine schon der Gematik zu geben war ein Fehler, die haben ja nicht nur einmal komplette inkompetenz bewiesen, wie zuletzt mit den Update der Kartenleser, wo erst ein Zwangsaustausch anstand und dann plötzlich doch nur ein Update notwendig war, Konsequenz daraus: leider keine.
Bei, mittlerweile, vielen Digitalisierungsprojekten scheint es hier in Deutschland eher mit Absicht voll vor die Wand zu laufen, kann doch nicht sein, dass alle so inkompetent sind. Aber ich denke, hier wird nur Geld hin und her geschoben, das Ergebnis ist egal, „ist ja nicht mein Geld“ :(
Das Problem bei den Digitalisierungsprojekten ist, das nicht die beste und sicherste Lösung genommen wird, sondern die billigste Lösung.
Und wie sagt man da: „You get, what you pay for.“
Also technisch unzulängliche Lösungen, an denen dann für viel Geld herumgefrickelt wird, damit es dann halbwegs läuft. Sicher ist der Kram damit immer noch nicht.
Im Endeffekt zahlt man mehr, als wenn man gleich die teurere, aber bessere Lösung genommen hätte.
Und das ist überall so, wo die öffentliche Hand mit im Spiel ist.
Beispielsweise Straßenbau:
Es gibt Asphalt, der 50% länger durchhält, als der Standardasphalt.
Aber der bessere Asphalt ist 20% teurer, ergo wird der Standardasphalt genommen! Langfristige Kostenabschätzungen finden nicht statt!
Es wird immer nur auf die kurzfristigen Kosten geschaut.
Erst wenn sich das komplett ändert, dann besteht Hoffnung, das es dann auch bei der Digitalisierung klappt.
„Das Problem bei den Digitalisierungsprojekten ist, das nicht die beste und sicherste Lösung genommen wird, sondern die billigste Lösung.“
Angesichts der Kosten, die die TI-Einführung verursacht und verursacht hat, kann diese Aussage schon nicht stimmen. Eine bessere und sichere Technik gab es längst und günstiger, aber man musste (um die ganzen Geldkoffer in der Gematik zu füllen), das Rad ja neu erfinden und 20 Jahre vergingen im Land.
Und z.B. Strassenbau: Die Niederlande machen uns da was vor. Hier gilt: Das beste Konzept in der kürzesten Bauzeit.
MEINER MEINUNG nach gehört so etwas wie Digitalisierung (was ja nicht unbedingt etwas schlechtes sein muß) vorbereitet, auch über Jahre/Jahrzehnte hinweg! Jetzt scheint alles „hoppla-di-hopp“ durchgedrückt zu werden – was dabei heraus kommt sieht/spürt man und frau ja mittlerweile. Ach, hätte man doch vor zwanzig Jahren so langsam damit angefangen, meinetwegen mit Pilotprojekten, wäre man und frau sicherlich auch zu dem Entschluß gekommen, daß es eben doch etwas mehr braucht – von den möglichen Nebenwirkungen mal abgesehen.
„…Wäre, wäre, Fahrrdakette…“
Tritt Herr Lauterbach freiwillig zurück, falls die ePa binnen 7 Tagen (24 Stunden wäre jetzt sehr kurz) nach Freigabe gehackt wird?
Und zum Thema inkompetent von Joerg:
Es laufen hier wo ich wohne Abends viele Menschen in dunklen Klamotten über die dunkle Straße. Radfahrer sind ohne Licht unterwegs. Auf Kakteen sind Hinweise, dass diese pieken können. Es müssen Menschen ausdrücklich vor dem Verzehr von Weihnachtsbäumen gewarnt werden. Ich sehe in der Tankstelle Menschen, die beim Bezahlen per Karte überfordet sind.
Daher habe ich keine Ahnung, ob es Absicht oder einfach noch größere Inkompetenz als eh schon angenommen ist.
Wieso sollte er?
Spätestens nach der Wahl ist er doch eh nicht mehr Minister.
Und die paar Wochen bis dahin wird er sich an seinen Sessel klammern.
Da ich in der Kommunalpolitik engagiert bin, nur eine kleine Anekdote zu Lauterbach. Bei einer öffentlichen Veranstaltung ging es um das Thema „ärztliche Versorgung im ländlichen Raum“. Lauterbach hat dazu 5 Sätze gesagt und dann nur noch eine Stunde lang über Krebsforschung gelabert und was er so an der Harvard University getrieben hat. Ich dachte schon nach 5 Minuten, ich säße im falschen Film, bin aber der Höflichkeit wegen, sitzen geblieben, was mir nicht ein zweites Mal passieren wird.
Etwas offtopic zur ePA: Ich habe heute erneut zwei Bestätigungen erhalten, dass meine Widersprüche von August 2024 und Oktober 2024 eingegangen sind und keine ePA eingerichtet wird.
Nur für den Fall, dass noch jemand auf eine Antwort einer Krankenkasse wartet.
gestern bei der TK Online gemacht und 5 Minuten später eine Bestätigung per Mail bekommen.
Gruß
Bei den Ärzten schlagen auch 2 Herzen in einer Brust.
Zum einen bedeutet die ePA zusätzliche Arbeit, denn das was bisher nur im lokalen Patienten System eingegeben werden muß, muß jetzt noch mals in das ePA System eingeben werden, ohne ausreichendes Honorar obendrein.
Diese Zeit fehlt zur Behandlung.
Auch haben künftig die die Kassen direkten Zugriff auf diese Daten und können so die Ärzte überwachen, da die Kassenärztliche Vereinigung als Datenschutzfilter entfällt