Der Testbetrieb der elektronischen Patientenakte startet

Seit der Präsentation zahlreicher Sicherheitslücken der neuen elektronischen Patientenakte durch die IT-Sicherheitsexperten Martin Tschirsich und Bianka Kastl auf dem Chaos Communication Congress Ende Dezember vergangenen Jahres ist erneut eine intensive Debatte um die Sicherheit des IT-Großprojekts im deutschen Gesundheitswesen entbrannt.

Anfang Januar bereits meldeten sich die Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKJ) kritisch zu Wort und verwiesen auf die bestehenden Risiken. Bundesärztekammerpräsident Klaus Reinhardt sagte am 7. Januar 2025 dem Ärzteblatt, „er würde seinen Patienten Stand jetzt die ePA nicht empfehlen – die möglichen Einfallstore seien zu groß“.

In den vergangenen Tagen meldeten sich immer mehr Verbände zu dem Thema zu Wort. Im Fokus vieler Statements steht die Frage des Vertrauensschutzes für die Patienten, deren Gesundheitsdaten künftig in der ePA zusammengetragen werden sollen. So erklärte Michaela Schröder, Geschäftsbereichsleiterin Verbraucherpolitik beim Verbraucherzentrale Bundesverband (vzbv): „Die Menschen brauchen Gewissheit, dass ihre Gesundheitsdaten in der ePA sicher sind. Die aufgedeckten Sicherheitslücken haben das Vertrauen der Versicherten in die ePA beschädigt. Ein bundesweiter Roll-Out der ePA darf erst dann erfolgen, wenn alle berechtigen Zweifel ausgeräumt sind.“

Der vzbv hatte sich einem offenen Brief von 28 Ärzteverbänden, Fachgesellschaften und Patientenorganisationen an Bundesgesundheitsminister Lauterbach angeschlossen. In dem Brief fordern die Initiatoren „Fünf Schritte zu mehr Vertrauen in die ePA“. Dort heißt es unter anderem: „Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.“ Im weiteren fordern die Verbände ein Mitspracherecht für Patienten- und Ärztevertreter und „Organisationen der digitalen Zivilgesellschaft“ bei der Evaluation des Starts in den Modellregionen und eine unabhängige Bewertung von Sicherheitsrisiken. Dabei sollten den Nutzern neben den Vorteilen der ePA auch die Risiken der ePA transparent gemacht werden: „Eine pauschale Aussage wie ‚Die ePA ist sicher.‘ ist ungeeignet“.

Nach Bekanntwerden der Sicherheitslücken hatte Bundesgesundheitsminister Karl Lauterbach versprochen, die ePA nur auszurollen, wenn sie sicher sei. Auf X twitterte der Minister am 4. Januar: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ In dem gleichen Sinn äußerte sich gematik-Geschäftsführer Florian Hartge in einer Infoveranstaltung für Zahnärzte am 13. Januar 2025. Erst werde die ePA noch einmal überprüft, bevor der flächendeckende Rollout vorgenommen wird (die zm berichtete).

Vereinzelt hatte es Stimmen gegeben, die ein weniger striktes Vorgehen befürwortet hatten. So erklärte zeitonline zufolge die ehemalige Vorsitzende des Deutschen Ethikrates, die ePA biete so viele Vorteile, dass man das Risiko von Datenlecks eingehen sollte.

Wie das Versprechen des Rollouts einer sicheren Akte mit dem gegenwärtigen Zeitplan des ePA-Starts zusammenpasst, wird aktuell jedoch noch nicht erklärt. Hartge ließ am 13. Januar durchblicken, dass die Testphase in den Modellregionen durchaus verlängert werden könnte. Und auch das Bundesgesundheitsministerium spricht jetzt davon, dass der bundesweite Rollout „frühestens nach etwa vier Wochen“ stattfinden soll.

Die Verlängerung der Testphase könnte der weitverbreiteten Kritik am vergleichsweise kurzen Zeitraum für die Erprobung der ePA entgegenkommen. Zum heutigen Start der Testphase erklärte der Hamburger KZV-Chef Eric Banthien – selbst Teilnehmer am ePA-Test in der Modellregion Hamburg – der zm, die Testphase sei viel zu kurz bemessen.

Da die Kassen erst seit Kurzem die elektronischen Patientenakten anlegen würden und dieser Prozess einige Zeit in Anspruch nehme, würde man aktuell nicht viel testen können – bis zum Mittag sei in seiner Praxis kein Patient mit einer ePA aufgetaucht. Eine Verlängerung der Testphase sei daher dringend erforderlich.