Elektronische Patientenakte ab 2025: Ihre Daten in Gefahr – Was Sie jetzt wissen müssen

Im März 2023 habe ich erstmals mit der Berichterstattung zur Elektronischen Patientenakte begonnen und den folgenden Artikel mehrmals mit neuesten Erkenntnissen überarbeitet. Und ab Mitte Januar 2025 geht es für alle Gesetzlich Versicherten „los“.

Im Dezember 2024 zeigte der Chaos Computer Club (CCC) auf, dass die elektronische Patientenakte (ePA) gravierende Sicherheitslücken aufweist, die unbefugten Zugriff auf sensible Gesundheitsdaten ermöglichen – etwa durch unsichere Prozesse bei Kartenherausgabe und Authentifizierung.

Ebenfalls im Dezember 2024 wurde bekannt, dass beim Verkauf von Praxisinventar, insbesondere bei Praxisauflösungen, oft auch Kartenlesegeräte und aktive Identitätskarten der Ärzte inklusive PINs angeboten werden. Durch den Erwerb solcher Geräte über Online-Plattformen wie Kleinanzeigen oder eBay konnten sie Zugang zur Telematikinfrastruktur erlangen und somit potenziell auf elektronische Patientenakten zugreifen.

Und dann forderte Friedrich Merz (CDU) laut einem Bericht von T-Online (30.1.2025), Zitat: „Wer seine Gesundheitsdaten vollständig auf der Krankenkassenkarte speichert, soll“ zehn Prozent weniger Beiträge zahlen als diejenigen mit Datenschutzbedenken.“

Es sind unglaubliche Vorgänge!

Im folgenden Beitrag gehe ich auf die „Geschichte“ der ePA ein, auf die Probleme und auch wie man sich davon „abmelden“ kann, beziehungsweise wie man widerspricht.

Die Elektronische Patientenakte – Was ist das und worum geht es?

Die Elektronische Patientenakte kommt im Januar 2025 [1], dafür soll die Gematik sorgen [2]. Den Namen Gematik merken wir uns, darum geht es später noch.

In aller Kürze: Ab dem 15. Januar 2025 wird für alle gesetzlich Versicherten in Deutschland automatisch eine elektronische Patientenakte (ePA) eingerichtet. Der „Fahrplan“ zur Einführung ist durchaus etwas holprig. Auf der Seite des Bundesgesundheitsministerium stellt sich das im Dezember 2024 wie folgt dar:

Sie haben jedoch das Recht, dieser „Einrichtung“ zu widersprechen. Die Nutzung der ePA ist freiwillig, und Sie können jederzeit, auch nach der Einrichtung, gegenüber Ihrer Krankenkasse widersprechen. In diesem Fall wird die bereits erstellte ePA samt aller darin enthaltenen Daten gelöscht.

Die Entscheidung die ePA nicht zu nutzen darf keine negativen Auswirkungen auf Ihre „Gesundheitsversorgung“ haben – wie es offiziell heißt. Anmerkung: Dabei ist ja das Wort „Gesundheitsversorgung“schon ein Witz. Es geht nicht um Gesundheit, sondern allenfalls um die Verwaltung von Krankheiten und Symptomen – aber das nur nebenbei.

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter „Unabhängig. Natürlich. Klare Kante.“ dazu an:

Sollten Sie keine ePA wünschen, können Sie dies Ihrer Krankenkasse mitteilen und widersprechen. Weiter unten im Beitrag bespreche ich das für die Krankenkassen mit den meisten Mitgliedern, denn jede Krankenkasse hat da ein anderes Prozedere.

Kurze „Geschichte“ zur elektronischen Patientenakte

Karl Lauterbach (wieder einmal) wollte eine „elektronische Patientenakte“, kurz ePA genannt.

Am 14. Dezember 2023 passierten die dazu erforderlichen Gesetze mehrheitlich den Bundestag. Dies sind das Gesundheitsdatennutzungsgesetz (GDNG) und  das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens, kurz „Digital-Gesetz“ (DigiG). Diskussionen in den Altmedien? Viel Spaß beim Suchen.

Randnotiz: Der Bundesrat musste eigentlich nicht zustimmen, sollte aber Stellung nehmen dürfen, weswegen sich das Inkrafttreten etwas verzögerte.

Ab 2025 bekommt jetzt jeder Versicherte die „ePA“ verpasst – wenn er nicht widerspricht.

Schon daran stößt sich die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider, die eine aktive Zustimmung zur ePA gefordert hatte.

Verantwortlich für die Umsetzung ist die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, kurz „Gematik“.

Teilhaber des neuen Bürokratie-Monsters Gematik sind das Gesundheitsministerium, Krankenkassen und Klinik-Verbände sowie Ärztekammern.

Theoretisch soll jeder Versicherte über eine Krankenkassen-App bestimmen dürfen, wer die Daten einsehen kann oder wer etwas einspeisen darf. Auch soll es möglich sein, selber Daten einfach mit dem Smartphone oder am PC zu löschen. Meine Meinung: Wer´s glaubt!

Dazu greift der Versicherte dann auf den Zentral-Server zu, der natürlich 100-prozentig gegen Hacker-Angriffe geschützt sein soll. Da sind wir aber echt gespannt, ob Diagnosen, Medikationen und Röntgenbilder wirklich nicht in falsche Hände geraten… auch dazu weiter unten gleich noch mehr.

Und was passiert wohl, wenn man dem Krankenhaus oder einem Arzt verbieten will, Einträge vorzunehmen? Und wird das Eigen-Management der ePA tatsächlich funktionieren? Menschen ohne Smartphone könnten hier schon auf Schwierigkeiten stoßen.

Die Sache mit der „Impfpflicht“ jedenfalls klappte nicht so ganz wie Herr Lauterbach sich das vorgestellt hatte. Könnte also diese „Pflicht der elektronischen Patientenakten“ ein Ersatz dafür sein und die neuen „Impfungen“ durch die Hintertür als „Pflichtveranstaltung“ etablieren? Wir werden sehen…

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter „Unabhängig. Natürlich. Klare Kante.“ dazu an:

Alles nur im Interesse der Patienten? Aber sicher!

Dazu spricht „Meister“ Lauterbach höchstpersönlich. Und zwar in einer Veröffentlichung auf der Webseite des Bundesgesundheitsministeriums. Hier wird keine der sonst üblichen Erklärungen abgegeben. Vielmehr wird ein Interview mit der FAZ als „Erklärung“ abgedruckt.[3]

Es mag eigenartig erscheinen, dass auf der Webseite des „Bundesministeriums für Gesundheit“ Interviews wiedergegeben werden (eine Sache, die man eigentlich von einer Zeitung erwartet), zumal dieses Interview auch in der FAZ veröffentlicht sein sollte. Zunächst machte ich einen Hang zur Selbstdarstellung von Lauterbach für dieses Format verantwortlich, musste dann aber feststellen, dass die Veröffentlichung von Interviews auf den Seiten des Bundesgesundheitsministeriums keine Neuigkeit ist.[4]

Als erstes erfahren wir hier, dass es bereits elektronische Patientenakten gibt, die aber nur zu „weniger als ein Prozent der Patienten“ genutzt werden. Und das will er ändern. Denn: „Ende kommenden Jahres wird die elektronische Patientenakte für alle verbindlich“, so Lauterbach.

Und warum das alles?

Dann erzählt Lauterbach von den außerordentlichen Vorzügen der elektronischen Patientenakte, die darin bestehen sollen, dass der Patient „endlich Herr seiner Daten“ wird.

Ach so! Indem Patientendaten über elektronischen Weg leicht abrufbar werden, werden die Patienten „Herr ihrer Daten“? Wieso das? Ach ja! Hierzu belehrt der Herr Professor den Leser folgendermaßen:

„Er bekommt eine geordnete Übersicht über Arztbriefe, Befunde, Medikamente. Und dann hilft die Akte auch bei seiner Behandlung. Sein Arzt kann schnell erkennen, welches Medikament er zusätzlich verordnen kann, ob es Wechselwirkungen gibt.“

Das heißt also, dass das häufige Ignorieren von Wechselwirkungen seitens der Schulmedizin nur auf einer fehlenden digitalen Patientenakte beruht? Zu den Wechselwirkungen hatte ich geschrieben: Medikamente & Wechselwirkungen – ein Fall für evidenzbasierte Unkenntnis

Und sind „geordnete Übersichten“ nur auf elektronischem Wege möglich? Zugegebenermaßen sind elektronische Daten leichter und schneller abrufbar und damit praktischer, was sicherlich ein Vorteil ist.

Aber, wie es aussieht, sind diese e-Daten nicht nur für den Patienten oder den behandelnden Arzt schneller einsehbar, sondern auch für Institutionen, die mit der Behandlung des Patienten überhaupt nichts zu tun haben.

Der gläserne Patient?

Im Interview erfahren wir weiter, dass die elektronische Patientenakte nichts Neues sei, denn viele Ärzte haben ihre Patientendaten auf ihrem Computer gespeichert. Was neu sein soll, das ist der „erleichterte Zugang“. AHA!

Ein erleichterter Zugang? Für wen? Für den Arzt? Ich dachte, der hat seinen Computer in seiner Praxis stehen? Oder wird der Zugang für die Patienten erleichtert? Wenn ja, muss dann eigens dafür eine Verordnung geschaffen werden? Könnte der Patient nicht einfach zu seinem Arzt gehen und seine Daten direkt bei ihm anfordern?

Das Argument dazu lautet, dass medizinisches Fachpersonal überall auf Anamnesen, Medikationen und Diagnosen blitzschnell zugreifen könnten. Für den Patienten sollte das ein Vorteil sein. Auch Zweitmeinungen von Ärzten soll die ePA erleichtern. Sogar die teuren Doppeluntersuchungen sollen mithilfe der ePA-Daten verhindert werden können.

Jeder ePA- Nutzer könne ja auch (so die Beschwichtigung), selber Daten löschen, vorausgesetzt, er besitzt die nötigen Kenntnisse dafür. Der Patient kann sogar, wenn es funktioniert, bestimmte Informationen abgestuften Vertraulichkeitsstufen zuordnen. Daten können vom Patienten die Weitergabe willentlich verhindern. Einige Ärzte überlegen schon, ob sie Patienten unter bestimmten Umständen geradezu dazu raten, von dem Recht Gebrauch zu machen. Die Mediziner sehen dabei das Risiko, dass bei künftigen Behandlungen Probleme mit der Krankenkasse auftreten könnten.

Wer der Weitergabe der Daten nicht widerspricht (und wer denkt schon immer daran), dessen Daten landen ruckzuck bei Big Pharma. Das Recht, Informationen der ePA weiterleiten zu dürfen, hängt ohnehin von den Regelungen der EU-Mitgliedsstaaten ab. Einzelne Nationen könnten ein abgestuftes (und natürlich datensicheres) Out-Put-Recht erlassen. Dann gegen die ePA-Daten direkt  zum Europäischen Raum für Gesundheitsdaten (EHDS). Also die Europäische Kommission ist schon darauf bedacht, unsere Gesundheitsdaten zu bekommen. Auch, wenn es dabei nach Recht und Gesetz zugehen soll.

Oder geht es doch um etwas ganz anderes?

Und schon kommt ein Datenschutzbeauftragter ins Spiel, der, laut Interviewer, „schon Bedenken geäußert hat“. Es scheint also um mehr zu gehen als nur darum, dass der Patient einen „erleichterten Zugang“ zu seinen Daten von seinem behandelnden Arzt bekommen kann.

Und dann springt die Katze aus dem Sack: Die Patientendaten, die in elektronischer Form auf irgendeinem fernen Server abgespeichert sind, sind für die „Forschung“ gedacht, die auf einen „erleichterten Zugang“ zu drängen scheint.

Natürlich ist auch hier, laut Lauterbach, alles ganz harmlos, da die Daten in „pseudonymisierter Form“ an die Forschung = in erster Linie wohl Pharmaindustrie weitergegeben werden.

Natürlich! Wir können und müssen auf unseren Bundesgesundheitsminister vertrauen, dass diese Pseudonymisierung auch erfolgt. Das ist der gleiche Bundesgesundheitsminister, der uns lange Zeit vorgegaukelt hat, dass die Genspritzen gegen Corona nebenwirkungsfrei und mit einer Wirksamkeit von 95 Prozent hoch effektiv seien.

Da steht zu befürchten, dass die angebliche Pseudonymisierung ebenfalls nichts anderes ist als Propaganda und Vortäuschung falscher Tatsachen.

Schlimmer noch: So wie er sich in diesem Interview ausdrückt, scheint es darauf hinauszulaufen, dass diese gesammelten Daten aus, wie er sagt, „getrennten Silos“ (Krankenhäuser, Krankenkassen, Krebsregister, Genome-Datenbanken und digitale Patientenakten) keinen anderen Zweck erfüllen als teure und aufwendige randomisierte klinische Studien zu ersetzen. Da spart die Pharmaindustrie aber viel Zeit und Geld, dank Professor Lauterbach. Toll!

Außerdem würden derartig gesammelte Daten der Pharmaindustrie hervorragende Einblicke gewähren, in welchem Bereich der Erkrankungen es sich lohnt, mehr Produkte auf den Markt zu werfen.

Oder mit anderen Worten: Erkrankungen mit Seltenheitswert werden therapieunwürdig, da sich damit kein Geld verdienen lässt. Vielleicht lässt man dies als Nische für alternative Behandlungsmethoden, die es ja auch gilt, zurückzudrängen; Beispiel Homöopathie: Lauterbach (SPD) fordert: Homöopathie sofort streichen!

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter „Unabhängig. Natürlich. Klare Kante.“ dazu an:

Und noch eine Hintertür

Die Diskussionen zu den elektronischen Patientenakten sind in der Tat nicht neu. Bereits im November 2022 brachte „tkp – Blog für Science und Politik“ einen Beitrag zu diesem Thema.[5]

Bereits zu diesem Zeitpunkt wurde vermutet, dass die Forcierung der Einführung von elektronischen Patientenakten europaweit dazu dienen soll, eine Basis für einen ebenfalls europaweiten „Impfausweis“ zu werden. Und dazu soll die elektronische Patientenakte für alle Versicherten automatisch erstellt werden, gleichgültig, ob die Betroffenen damit einverstanden sind oder nicht.

In Österreich scheint es so etwas schon seit 2020 zu geben, einen elektronischen „Impfpass“, aus dem die Betroffenen sich nicht mehr abmelden können. Und laut Aussagen von TKP-Lesern haben sie selbst, aber auch „Hinz und Kunz“ die Möglichkeit, auf die Daten zuzugreifen. Wenn dies mit der elektronischen Patientenakte in Deutschland und dem europäischen „Impfpass“ umgesetzt wird, dann wird ein Traum aller Controlfreaks à la Lauterbach wahr.

Kommentar von TKP dazu:

„Die Datenspeicherung wird beim Impfpass also offenbar auch gegen den Willen von Betroffenen durchgeführt. Nach Opt in kommt Opt out und danach die verpflichtende Teilnahme.“

Und wozu braucht man den „europäischen Impfpass“?

Natürlich wieder einmal für die Gesundheit, angeblich. Denn es gibt ja so viele böse Krankheiten, gegen die „glücklicherweise“ neue modRNA-„Impfungen“ geschaffen werden oder bereits geschaffen sind.

Hier hilft ein zentraler Impfpass europaweit bei der Übersicht, wer sich hat „impfen“ lassen und wer nicht. Dazu fehlt dann noch eine „Impfpflicht“, die dann jeden zwingt, Kunde der Pharmaindustrie zu werden, ob es einem passt oder nicht.

In diesem Zusammenhang wird das Beispiel „Krebserkrankung“ zitiert. Moderna und BioNTech sollen seit ca. zehn Jahren an modRNA-Präparaten arbeiten, die angeblich vor Krebs schützen sollen.

Das sind die gleichen Firmen, die mit ihren „Coronaimpfungen“ die Entstehung von Turbo-Krebs beschleunigt haben könnten – so eine Theorie. Ich gestehe (natürlich öffentlich), dass dies alles nur Verschwörungstheorien sind.

Berichte, dass vermehrt schnell entwickelnde Krebsformen nach den modRNA-„Impfungen“ beobachtet wurden, gehören natürlich in das Reich der Mythen:

• Schalten die Gen-Injektionen gezielt das Immunsystem aus?
• COVID-Impfung – Daten zu Nebenwirkungen des US-Militärs
• V-AIDS und die Corona-Impfungen: Eine neuartige Schwäche des Immunsystems?

Kurze Frage nebenbei: Wie können modRNA-Präparate, die potenziell Krebs erzeugen können, vor Krebs schützen? Anscheinend handelt es sich hier um einen erneuten Intelligenztest für die Bevölkerung?

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter dazu an:

Widerspruch gegen die elektronische Patientenakte

Zunächst die kurze Geschichte des Jahres 2024 und was Versicherte bisher erlebten.

Nachdem ich zuvor ausgeführt hatte, dass unser Gesundheitsminister wieder einmal alarmistisch unterwegs ist und die elektronische Patientenakte mithilfe des Bundestages ab 2025 durchgedrückt hat, erhebt sich die Frage, ob es Möglichkeiten gibt, als Betroffener sich hier loseisen zu können? Schnelle Antwort: JA.

Es gibt / gab bei der MWGFD ein Musterschreiben, mit dem man Einspruch gegen das Anlegen einer elektronischen Patientenakte einlegen kann. Und dies scheint auch von Lesern meiner Beiträge bereits durchgeführt worden zu sein. Das aktuelle Prozedere (derzeit Dezember 2024) kommt weiter unten…

… hier erst noch die bisherigen „Geschichten“ mit den Widersprüchen…

Also: der Einspruch wurde bei Krankenkassen im aufe von 2024 bei einigen Kassen von Lesern eingereicht. Und dann hatte eine dieser Krankenkassen zurückgeschrieben und verlautbaren lassen, dass ein Einspruch nicht möglich sei.

Warum nicht? Hier ein Auszug aus dem Text:

„Im Zusammenhang mit der elektronischen Patientenakte (ePA) ist im § 341 Abs. 1 SGB V geregelt, dass die elektronische Patientenakte den Versicherten von den Krankenkassen auf Antrag zur Verfügung gestellt wird. Die Nutzung ist für die Versicherten freiwillig.

Ohne einen Antrag Ihrerseits, erstellen wir keine ePA für Sie. Vorsorglich kann kein Widerspruch eingelegt werden. Ein Widerspruch ist nur zulässig, wenn auch ein Verwaltungsakt von unserer Seite erlassen wurde, den es im vorliegenden Fall nicht gibt.“

Wenn das stimmt, dann würde dies heißen, dass Lauterbach wieder einmal Behauptungen aufgestellt hat, die mit der Realität nichts zu tun haben. Denn wenn die Patientenakte freiwillig ist, wie kann sie dann gleichzeitig verbindlich werden? Oder sind bis Ende 2024 dementsprechende gesetzliche Veränderungen geplant, die die Freiwilligkeit abzuschaffen gedenken?

Freiwillig oder nicht?

Die Aussagen der Krankenkasse an die Leserin, die den Widerspruch bei der Krankenkasse einreichte, scheinen in der Tat der Wahrheit zu entsprechen. Denn der besagte Paragraf[6], der im Antwortschreiben aufgeführt wurde, bestätigt die Aussagen der Krankenkasse.

Hier kann man Folgendes entnehmen:

„(1) Die elektronische Patientenakte ist eine versichertengeführte elektronische Akte, die den Versicherten von den Krankenkassen auf Antrag zur Verfügung gestellt wird. Die Nutzung ist für die Versicherten freiwillig.“

Also doch?

Danach folgt eine Aufzählung von all den tollen Möglichkeiten, die so eine elektronische Patientenakte mit sich bringt. Unter Punkt 5 taucht ein „alter Bekannter“ auf, „Daten der Impfdokumentation“ und danach in Klammern der Ausdruck „elektronische Impfdokumentation“, der den würzigen Nachgeschmack erzeugt, dass es sich hier um einen Vorgänger oder Wegbereiter der elektronischen Impfnachweise handeln könnte.

So kommt der Verdacht auf, dass man diese e-Impfnachweise ohne größeres Aufsehen und unter der Hand eingeführt haben möchte, was möglicherweise auch notwendig sein wird, da möglicherweise der Widerstand dagegen immer noch zu groß ist.

Dieser Punkt ist fast unauffällig und nett eingebettet in einen Katalog von 13 Punkten, die größtenteils befürwortendes Kopfnicken erzeugen. Wer aber bei Punkt 5 vergisst, mit dem Kopfnicken aufzuhören, der darf sich nicht wundern, wenn es bald einen elektronischen Impfpass gibt.

Laut Punkt 7 hört die Freiwilligkeit bei Krankenhäusern allerdings auf:

„(7) Die Krankenhäuser haben sich bis zum 1. Januar 2021 mit den für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Diensten auszustatten und sich an die Telematikinfrastruktur nach § 306 anzuschließen. Soweit Krankenhäuser ihrer Verpflichtung zum Anschluss an die Telematikinfrastruktur nach Satz 1 nicht nachkommen, sind § 5 Absatz 3e Satz 1 des Krankenhausentgeltgesetzes oder § 5 Absatz 5 der Bundespflegesatzverordnung anzuwenden.“

Wenn ich das Amtsschimmel-Kauderwelsch richtig verstehe, dann mussten alle Krankenhäuser alles getan haben, bis zum 1. Januar 2021, um für ihre Patienten eine elektronische Patientenakte erstellen zu können. Wer dies nicht tat bzw. noch nicht hat, der muss mit entsprechenden Kürzungen bei den zu zahlenden Leistungen rechnen.

Es wird wohl kaum ein Krankenhaus freiwillig auf die Zahlung von erbrachten Leistungen verzichten, sodass hier die Frage nach der „Freiwilligkeit“ ein Witz ist. In dem Zusammenhang taucht auch die Frage auf, ob die Patienten wissen, dass von ihnen in den Krankenhäusern eine elektronische Patientendatei angefertigt wird? Oder werden die Patienten erst gefragt, bevor das Krankenhaus die ePA in Angriff nimmt?

Widerspruch erheben oder nicht?

Derzeit (Stand Dezember 2024) ist klar: Die elektronische Patientenakte (ePA) wird ab dem 15. Januar 2025 für alle gesetzlich Versicherten in Deutschland automatisch angelegt, sofern kein Widerspruch erfolgt. Das bedeutet, die Akte wird zunächst eingerichtet, außer Sie widersprechen aktiv. Es handelt sich hierbei um ein sogenanntes „Opt-out“-System.

Der Zugriff auf die ePA ist (angeblich) streng geregelt: Ärzte und Krankenhäuser dürfen nur mit ausdrücklicher Zustimmung des Patienten darauf zugreifen. Jede Freigabe muss individuell erteilt werden, und Patienten können festlegen, wer welche Informationen einsehen darf. Auch in Notfällen ist kein automatischer Zugriff möglich, es sei denn, relevante Notfalldaten wurden separat hinterlegt. Die Nutzung der ePA bleibt somit freiwillig und vollständig unter der Kontrolle der Versicherten.

Das heißt der Patient unterschreibt einen Zettel und der Arzt kann auf die Daten zugreifen?

Angeblich nein. Der Zugriff auf die elektronische Patientenakte (ePA) erfolgt nicht einfach durch das Unterschreiben eines Zettels. Es gibt klar geregelte digitale Verfahren, die sicherstellen, dass der Zugriff nur mit Ihrer aktiven und bewussten Zustimmung erfolgen soll.

Wie funktioniert der Zugriff auf die ePa?

Zustimmung über digitale Authentifizierung:

Der Zugriff auf die ePA wird in der Regel über eine App oder ein Online-Portal Ihrer Krankenkasse gesteuert. Dort können Sie gezielt einstellen, welcher Arzt oder welches Krankenhaus welche Daten einsehen darf und für welchen Zeitraum.

Keine „Papierfreigabe“:

Die Freigabe erfolgt nicht durch eine einfache Unterschrift vor Ort. Stattdessen müssen Sie die Berechtigung digital erteilen, oft durch eine Zwei-Faktor-Authentifizierung (z. B. in Kombination mit einem Passwort oder einer TAN).

Jeder Zugriff wird protokolliert. Sie können jederzeit nachsehen, wer auf Ihre Akte zugegriffen hat.

Das bedeutet letztlich, dass ein Arzt nicht einfach durch Ihre Unterschrift auf die ePA zugreifen kann. Der Prozess ist digitalisiert und verlangt Ihre ausdrückliche Zustimmung über digitale Systeme.

Das klingt soweit ja erst einmal beruhigend.

Bleibt die Frage:

Wie kommen die Daten in die ePa? Wer trägt dort ein?

Die Daten in Ihrer elektronischen Patientenakte (ePA) werden nicht automatisch gefüllt, sondern müssen von jedem Patienten (mit dessen Zustimmung) hinzugefügt werden.

Der Prozess funktioniert angeblich wie folgt:

1. Manuelles Hinzufügen durch Ärzte und Krankenhäuser

Ärzte oder Krankenhäuser können medizinische Informationen (z. B. Diagnosen, Laborbefunde, Röntgenbilder) nur in Ihre ePA einstellen, wenn Sie das ausdrücklich erlauben. Sie entscheiden, welche Dokumente in die ePA aufgenommen werden. Ohne Ihre Zustimmung werden keine Daten hinterlegt.

2. Selbst hinzufügen

Über die App oder das Online-Portal Ihrer Krankenkasse können Sie auch selbst Dokumente hochladen, wie z. B. Impfbescheinigungen, Arztbriefe oder eigene Gesundheitsdaten.

3. Keine automatische Datenübertragung

Es erfolgt keine automatische Übertragung von Daten aus bestehenden Arztakten, Krankenhäusern oder anderen Gesundheitssystemen in Ihre ePA. Jeder Dateneintrag erfordert Ihre aktive Freigabe.

4. Überblick behalten

Sie können jederzeit einsehen, welche Daten in Ihrer ePA gespeichert sind, und unerwünschte Einträge entfernen lassen.

Auch das hört sich alles gut an.

Die Frage bleibt aber:

1. Was bringt der ganze Aufwand, wenn die Patienten nicht mitmachen? Oder wird das Ganze nicht ein Bürokratiemonster mit dem sich Praxen und Versicherungen herumschlagen müssen?

2. Die Patienten sollen also ihre ePa „aktiv“ verwalten? Wenn wir das Alter der Patienten betrachten, dürfte das wohl eher ein Witz werden. Schließlich soll ja alles digital sein. Die Freigabeprozesse über Apps und Online-Portale werden viele ältere oder technisch wenig versierte Menschen überfordern. Ohne einfache Zugänge besteht die Gefahr, dass Teile der Bevölkerung von der Nutzung ausgeschlossen werden.

3. Nicht nur Patienten werden widersprechen, sondern es wird auch zahlreiche Praxen geben, die nicht wirklich mitmachen werden – alleine schon wegen des Aufwands. Sicher: die Software wird in den Praxen installiert sein, aber werden die Daten auch eingegeben, sofern die Patienten das wünschen? Und sind diese Daten korrekt? Welcher Patient kontrolliert das? Und verstehen die Patienten überhaupt was dort steht? Die verstehen ja noch nicht einmal ihre Arztberichte…

4. Der vielleicht wichtigste Punkt: Wer hat denn wirklich Zugriff auf die Daten? Trotz  angeblich strenger Vorschriften bleibt die Sorge, dass sensible Gesundheitsdaten gehackt oder missbraucht werden könnten. Da alle Daten digital gespeichert und zentral verknüpft werden, könnten auch jeder Zugriff erhalten, der sich Zugang verschafft (Hacker) oder eine entsprechende Zugriffsberechtigung hat. Und genau damit hat der Chaos Computer Club beschäftigt:

Chaos Computer Club warnt: ePA-Daten in Gefahr

Der Chaos Computer Club (CCC) hat auf seinem jünsten Kongress gravierende Sicherheitslücken in der ePA aufgezeigt.

Der CCC hat demonstriert, dass der Schutz der ePA bestenfalls lückenhaft ist. Mit erschreckender Leichtigkeit gelang es den Experten Bianca Kastl und Martin Tschirsich, auf verschiedene Weisen Zugang zu den in der ePA gespeicherten Daten zu erlangen. Ihre Ergebnisse machen klar: Das Sicherheitskonzept der ePA ist nicht nur unzureichend – es ist in seiner aktuellen Form gescheitert.

Unsichere Prozesse, einfache Angriffe

Ein zentrales Problem liegt in den unsicheren Prozessen bei der Ausgabe von Heilberufs- und Praxiskarten sowie den elektronischen Gesundheitskarten der Versicherten. Diese Karten sind der Schlüssel zur ePA. Doch wie der CCC zeigte, können Angreifer diese Karten mit vergleichsweise geringem Aufwand über gefälschte Anrufe bei Krankenkassen oder Sicherheitslücken in Datenbanken beschaffen. Solche Angriffe erfordern oft nicht mehr als 20 Minuten Zeit.

Ein besonders gravierender Schwachpunkt: Die neue Version der ePA, die ab 2025 eingeführt wird, verzichtet auf die bisher erforderliche PIN-Eingabe der Versicherten. Dieser vermeintliche Schritt zur Nutzerfreundlichkeit senkt die Sicherheitsstandards drastisch. Angreifer benötigen somit weniger Informationen, um Zugang zu sensiblen Daten zu erhalten.

Systemische Schwachstellen

Noch alarmierender ist der Fernzugriff über den Versichertenstammdatendienst (VSDD). Dieser Dienst übermittelt die Ausweisnummer der elektronischen Gesundheitskarte – die sogenannte ICCSN – ohne jegliche Sicherheitsmechanismen. Laut CCC reicht diese unsignierte Nummer aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Noch schlimmer: Die ICCSN lässt sich manipulieren, da sie nach einem einfachen fortlaufenden Schema vergeben wird. Ein kleiner Fehler in der Systemarchitektur – mit potenziell verheerenden Folgen.

Eine Frage des Vertrauens

Bundesgesundheitsminister Karl Lauterbach und die Gematik betonen indes natürlich die Sicherheit des Systems. Doch diese Versprechen stehen im Widerspruch zu den Befunden unabhängiger Experten. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber warnte bereits im Juni 2024 vor gesenkten Sicherheitsstandards und forderte eine Verlängerung der Testphase auf mindestens sechs Monate. Seine Mahnungen verhallten ungehört.

Was muss sich ändern?

Wenn die ePA ein Erfolg werden soll, müssen grundlegende Änderungen vorgenommen werden. Kastl und Tschirsich fordern drei zentrale Maßnahmen:

1. Unabhängige Sicherheitsbewertungen: Sicherheitsrisiken müssen von externen Fachleuten bewertet werden, um Interessenkonflikte zu vermeiden.
2. Offene Kommunikation: Die Risiken der ePA sollten transparent kommuniziert und offen diskutiert werden, anstatt sie zu verschleiern.
3. Kontinuierliche Weiterentwicklung: Die ePA darf kein statisches Produkt sein, sondern muss sich über ihren gesamten Lebenszyklus hinweg an neue Sicherheitsanforderungen anpassen.

Nach den bisherigen Ausführungen bleibt eigentlich nur eine Maßnahme: der ePA widersprechen.

Widerspruch bei den Krankenkassen

Wenn man Widerspruch einlegen möchte ist das nicht ganz so einfach. Jede Kasse scheint da ein unterschiedliches Verfahren zu haben. Hier einige Beispiele und wie ich diese verstanden habe:

AOK: Die AOK bietet ein Online-Formular für den Widerspruch an. Die genaue Vorgehensweise kann je nach regionaler AOK variieren. Es wird empfohlen, die Website der regionalen AOK zu besuchen oder direkt Kontakt aufzunehmen, um das entsprechende Formular zu erhalten. Quelle: AOK

BARMER: BARMER-Versicherte können online widersprechen, indem sie einen „Antwort-Code“ nutzen, der bis zum 28. Februar 2025 gültig ist. Alternativ steht ein PDF-Formular zur Verfügung, das ausgefüllt und per Post an die Krankenkasse gesendet werden kann. Quelle: Barmer

Techniker Krankenkasse (TK): Die TK informiert ihre Versicherten per Post und stellt ein Einmal-Kennwort für den Widerspruch zur Verfügung. Der Widerspruch kann jederzeit über das Online-Portal „Meine TK“ erfolgen. Quelle: TK

DAK-Gesundheit: Die DAK bietet ihren Versicherten die Möglichkeit, über verschiedene Kanäle zu widersprechen, darunter Online-Formulare, Service-App oder schriftlich per Post. Es wird empfohlen, die Website der DAK zu besuchen oder direkten Kontakt aufzunehmen, um genaue Informationen zum Widerspruchsverfahren zu erhalten.

Was ist mit den Privaten Krankenkassen?

Private Krankenversicherungen (PKV) sind nicht an die Telematikinfrastruktur (TI) gebunden, die für die gesetzlichen Krankenkassen vorgeschrieben ist. Stattdessen können sie eigene digitale Gesundheitsakten entwickeln oder auf Drittanbieter-Plattformen zurückgreifen. Es bleibt abzuwarten ob diese Lösungen kompatibel mit denen der Gematik sein werden.

Fest steht: Wie bei der ePA der gesetzlichen Kassen ist auch bei den PKV die Nutzung freiwillig. Versicherte müssen der Einrichtung einer elektronischen Akte aktiv zustimmen. Diese kann über Apps oder Online-Portale genutzt werden, wo Dokumente hochgeladen oder Ärzten Zugänge erteilt werden können.

Die Nutzung der elektronischen Patientenakte bei Privatversicherten ist bisher noch begrenzt. Viele Versicherte und auch Ärzte setzen die ePA bisher nicht aktiv ein, da der Mehrwert im Alltag oft noch nicht klar erkennbar ist. Fehlende einheitliche Standards  erschweren die Akzeptanz bei den Leistungserbringern.

Fazit

Edward Snowden hat eindringlich gezeigt, wie leicht umfassende Datensammlungen missbraucht werden können – sei es durch Hacker, staatliche Stellen oder Unternehmen. Und das war bereits 2013 – also vor über 10 Jahren! Die Probleme die Snowden aufzeigte existieren noch immer. Das hat der Chaos Computer Club deutlich gezeigt. Erschreckend ist, wie einfach das System zu hacken war.

Da kann mir doch keiner erzählen, dass die Daten aus der ePA „sicher“ seien! Zwar betonen die Verantwortlichen die angeblich hohen Sicherheitsstandards. Aber seitens der „öffentlichen“ Stellen wird ja alles möglich als angeblich sicher oder gar „nebenwirkungsfrei“ bezeichnet.

Meine Meinung: Die ePA-Daten sind so sicher wie ein Schließfach, bei dem jeder potenzielle Interessent den Schlüssel beantragen kann – natürlich nur, wenn Sie ausdrücklich zustimmen… oder jemand clever genug ist, die Tür ohne Schlüssel zu öffnen. Laut den Verantwortlichen ist das Schließfach bombensicher – so bombensicher wie damals die Titanic unsinkbar oder die Gentech-Spritzen praktisch nebenwirkungsfrei und eine Wirksamkeit von angeblich 95% hatten.

DANKE – keine weiteren Fragen.

Übrigens: Wenn Sie solche Informationen interessieren, dann fordern Sie unbedingt meinen kostenlosen Praxis-Newsletter „Unabhängig. Natürlich. Klare Kante.“ dazu an:

Quellen:

[1]      Bundestag stimmt für Einführung der elektronischen Patientenakte ZEIT ONLINE

[2]      Die elektronische Patientenakte kommt: Versicherte müssen entscheiden MDR

[3]      Lauterbach: Elektronische Patientenakte ab Ende 2024 für alle verbindlich

[4]      Archiv Interviews der 19. Legislaturperiode – Bundesgesundheitsministerium

[5]      Elektronische Patientenakte in Deutschland zur Erfassung der Gesundheitsdaten aller Bürger

[6]       § 341 SGB V Elektronische Patientenakte

Dieser Beitrag wurde erstmals am 15.3.2023 erstellt und am 2.2.2025 letztmalig ergänzt und überarbeitet.