Zum Hauptinhalt springen
adp Medienadp Medien

Aktuell

< FÄ: Verantwortungslose Vernebelungstaktik bei der ePA
14.01.2025 10:54 Alter: 325 days

ePA-Start: Offener Brief mit Unterschriftenliste

Organisationen fordern zusätzliche Sicherheitsmaßnahmen für Modellregionen

 

 

Die Sicherheitslücken bei der elektronischen Patientenakte (ePA) müssen zwingend vor dem bundesweiten Roll-Out ausgeräumt werden – und für die Testphase braucht es zusätzliche Sicherheitsmaßnahmen. Das fordern mehr als zwanzig Organisationen aus dem Gesundheitswesen und der Zivilgesellschaft in einem offenen Brief an Bundesgesundheitsminister Karl Lauterbach.

 

Zu den Unterzeichnern gehören auch die Verbraucherzentrale, die Deutsche Aidshilfe oder der Chaos Computer Club (CCC), der kürzlich die Sicherheitslücken aufgedeckt hatte. Die Behauptung, dass die ePA sicher sei, treffe nicht zu, betont CCC-Sprecher Calvin Baus. „Dass Bundesgesundheitsminister Karl Lauterbach dies wahrheitswidrig und unverfroren behauptet, leugnet die belegten und beweisbaren Schwachstellen.“ Unabhängige Sicherheitsforschende müssten Zugang zu allen relevanten Unterlagen und Gutachten erhalten, um ein unverzerrtes Bild des aktuellen Stands der ePA erhalten zu können. „Diese Dokumente dürfen nicht länger hinter verschlossenen Türen bleiben, sondern müssen umfassend geprüft werden können. Ohne eine deutliche Kurskorrektur wird es unmöglich sein, das verlorene Vertrauen zurückzugewinnen.“

 

Auch MEDI Baden-Württemberg hat den Brief unterzeichnet. Man sei froh, „dass auch andere seriöse Institutionen und Verbände erkennen, dass Nachbesserungen für die Sicherheit der ePA zwingend notwendig sind, damit die ePA nicht nur die Akzeptanz der Patientinnen und Patienten, sondern auch der Ärzteschaft und Psychotherapeutenschaft gewinnt“, heißt es. „Denn die ärztliche Schweigepflicht hat für uns oberste Priorität.“

 

Die Interessen von Patienten seien immer noch nicht ausreichend berücksichtigt, beklagt die Deutsche Aidshilfe. „Viele Menschen mit HIV, Geschlechtskrankheiten und anderen stigmatisierten Erkrankungen möchten die Vorzüge der ePA nutzen, nicht jedoch ihre Diagnosen automatisch allen medizinischen Einrichtungen mitteilen, die sie besuchen. Informationen in der ePA zu sperren, ist jedoch unzumutbar kompliziert und erfordert viel Wissen.“ Es fehle eine Benutzeroberfläche, die an den Bedürfnissen der Patienten orientiert sei.

 

„Die Menschen brauchen Gewissheit, dass ihre Gesundheitsdaten in der ePA sicher sind“, betont die Verbaucherzentrale Bundesverband. "Die aufgedeckten Sicherheitslücken haben das Vertrauen der Versicherten in die ePA beschädigt. Ein bundesweiter Roll-Out der ePA darf erst dann erfolgen, wenn alle berechtigen Zweifel ausgeräumt sind." Auch die Freie Ärzteschaft hat den Brief unterzeichnet.

 

Im Folgenden der Offene Brief im Wortlaut:

 

"Sehr geehrter Herr Bundesminister Lauterbach,

 

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

 

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

 

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

 

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

 

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

 

Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.

 

Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.

 

Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.

 

Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.

 

Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

 

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

 

Mit freundlichen Grüßen"

 

Mitzeichnende Organisationen in alphabetischer Reihenfolge

 

  1. AG Kritis
  2. Ärzteverband MEDI Baden-Württemberg
  3. BAG Selbsthilfe
  4. Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)
  5. Björn Steiger Stiftung
  6. Bundesverband Neurofibromatose
  7. Bündnis für Datenschutz und Schweigepflicht (BfDS)​​​​​​​
  8. Chaos Computer Club
  9. D64 - Zentrum für digitalen Fortschritt
  10. Deutsche Aidshilfe
  11. Deutsche Alzheimer Gesellschaft
  12. Deutsche DepressionsLiga
  13. Deutsche Hörbehinderten Selbsthilfe e.V. (DHS)
  14. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
  15. Deutsche Rheuma-Liga Bundesverband
  16. Deutscher Paritätischer Wohlfahrtsverband - Gesamtverband
  17. dieDatenschützer Rhein Main
  18. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
  19. Freie Ärzteschaft e. V.
  20. Gen-ethisches Netzwerk
  21. Humanistische Union
  22. Innovationsverbund Öffentliche Gesundheit (InÖG)
  23. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
  24. LAG Selbsthilfe Rheinland-Pfalz
  25. Landesvereinigung Selbsthilfe Berlin
  26. Patientenrechte und Datenschutz e. V.
  27. SUPERRR Lab
  28. Verbraucherzentrale Bundesverband

 

Einzelpersonen in alphabetischer Reihenfolge

 

  1. Kristina Achterberg, Kinder- u. Jugendlichenpsychotherapeutin, Kösching
  2. Matthias Bauer, Kinder- u. Jugendlichenpsychotherapeut, Kösching
  3. Regine Bielecki, Psychologische Psychotherapeutin, Mönchengladbach
  4. Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag
  5. Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum - Technik, Wirtschaft, Gesundheit
  6. Juliane Göbel, Psychotherapeutin, Bernstadt auf dem Eigen
  7. Katharina Groth, Psychologische Psychotherapeutin, Geisenheim
  8. Sabine Grützmacher, MdB, Bündnis 90/Die Grünen
  9. Dr. Sven Herpig, Lead for Cybersecurity Policy and Resilience, interface
  10. Prof. Ulrich Kelber, Parlamentarischer Staatssekretär a.D.
  11. Julia Rasp, Psychotherapeutin in Ausbildung
  12. Elisabeth Reich, Psychologische Psychotherapeutin, Marburg
  13. Thomas Schäfer, Bündnis 90/Die Grünen, Sprecher der Bundesarbeitsgemeinschaft Digitales und Medien, München
  14. Katharina Schwietering, Psychotherapeutin, Pinneberg
  15. E. Walther, Psychotherapeutin
  16. Katharina Wendling, Psychologische Psychotherapeutin, Köln
  17. Benedikt Wildenhain, Wissenschaftlicher Mitarbeiter, Hochschule Bochum
<- Zurück zu: Zoom