Elektronische Patientenakte (ePA): Deutsche Gesundheitsdaten könnten frei Haus in den USA landen
von André Westphal | 65 Kommentare
Die Kritik an der elektronischen Patientenakte (ePA) reißt nicht ab. Eine kleine Anfrage der Bundestagsfraktion Die Linke hat neue Informationen zutage gefördert, die äußerst bedenklich sind. So bleiben nicht nur Zweifel an der grundsätzlichen Sicherheit der Daten deutscher Nutzer – sie könnten unter Umständen zudem auch noch frei Haus in die USA geliefert werden.
So hat Die Linke unter anderem die Bundesregierung gefragt, welche Vorkehrungen es gibt, damit die Patientendaten der ePA nicht in die USA transferiert werden. Die gegebenen Antworten sind teilweise unvollständig oder sachlich falsch. Anlass war, dass der Chefjustiziar von Microsoft Frankreich im Juni 2025 in einer öffentlichen Anhörung nicht ausschließen konnte, dass der Microsoft auf Anordnung US-amerikanischer Behörden auch Daten europäischer Bürger weitergeben müsse. Grundlage ist hier der Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Dieser verpflichtet Tech-Unternehmen aus den USA nämlich unter gewissen Umständen dazu, Daten an die Behörden zu übergeben – auch wenn diese außerhalb der Vereinigten Staaten erhoben und gespeichert worden sind.
Kann die deutsche Bundesregierung das für die ePA-Daten ausschließen? Hier verweist sie nur auf die Verträge der technischen Betreiber und der Krankenkassen. Bei denen hat Netzpolitik dann auch einmal nachgehakt, konkret bei der Techniker Krankenkasse, der Barmer GEK und der DAK, aber keine konkreten Angaben erhalten. Denn die zeigen dann wieder mit dem Finger auf die Gematik, welche für die Spezifikationen zur technischen Ausgestaltung der ePA zuständig ist. Im Klartext ist aktuell völlig offen, ob hier der Schutz der Patientendaten sichergestellt ist.
ePA: Bundesregierung macht irreführende Angaben zur Sicherheit
Zusätzlich verwies die Bundesregierung auf „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“ zum Schutz der Gesundheitsdaten und behauptete, dass ohne „den Schlüssel der Versicherten“ kein Zugriff durch Dritte möglich sei. Das suggeriert eine patientenindividuelle Verschlüsselung, die es allerdings gar nicht gibt. So war zwar für die ePA anfangs eine Ende-zu-Ende-Verschlüsselung vorgesehen, wurde dann aber nicht bei der breiten Einführung umgesetzt.
Frühere Versionen der elektronischen Patientenakte hatten auch noch die Schlüssel auf der elektronischen Gesundheitskarte der Versicherten hinterlegt, auch das strich man dann aber bei der breiten Einführung der ePA. Jetzt liegen sie auf den Servern des ePA-Betreibers. Das Gesundheitsministerium behauptet auch auf diese Weise könne die Sicherheit garantiert werden. Allerdings konnten in den vergangenen Monaten Sicherheitsexperten des Chaos Computer Clubs wiederholt die Zugriffskontrolle der ePA überwinden. Die Verschlüsselung ist dann keine Hilfe mehr.
Einige der Sicherheitslücken sind zwar geschlossen worden, andere bestehen immer noch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt erst für 2026 endgültige Lösungen in Aussicht. Aktuell ist im Übrigen die IBM Deutschland GmbH Hauptbetreiber der ePA – unter anderem für die Techniker Krankenkasse, die Barmer Ersatzkasse und die AOK. Mehr als zwei Drittel aller digitalen Patientenakten in Deutschland laufen deswegen auf IBM-Systemen.
Tja, und die IBM Deutschland GmbH ist eine Tochter der US-amerikanischen IBM Corp. Das heißt, am Ende könnten US-Behörden leider in der Tat gemäß dem oben erwähnten CLOUD Act die Herausgabe der Gesundheitsdaten aus Deutschland verlangen. Jetzt könnte natürlich die deutsche Bundesregierung versuchen, diese Abhängigkeit zu lösen – dazu gibt es aber aktuell keinerlei Pläne.
Die Sprecherin der Linken für Digitalisierung im Gesundheitswesen, Stella Merendino, kritisiert scharf, dass die ePA aktuell wirke wie „ein mangelhaftes und fahrlässiges Prestigeprojekt“. Ausbaden müssen etwaige Probleme am Ende die Nutzer.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hauptsache, meine Kasse hält sich an den Widerspruch und speichert nicht illegal doch etwas.
ich denk ich war grad schnell genug bevor die es groß raugerollt haben.
es gab nicht wirklich konkrete infos bis wann man zu widersprechen hatte.
es war ja auch vom weichen launch die rede.
ich geh davon aus, dass die evtl gespeicherte daten, die durch postlauf- und bearbeitungszeit angefallen sein könnten, gelöscht wurden.
es war mir klar, dass es ggf in den usa landet und zwar bevor ich ne doku dazu gesehen hab in der es hieß, dass deutsche clouds wohl us software benötigen und so weiter und sofort.
ich will kein roman schreiben, aber es war mir irgendwie klar, dass die es erst nach release absichern und fertig bekommen, obwohl seit etwa 20j, oder so, dran gearbeitet wird.
Und wenn sie zukünftig die Groß- und Kleinschreibung beherrschen, wären sicherlich alle Leser darüber erfreut.
Im übrigen gilt, dass die US Regierung diese Anordnung nur an US Firmen mit Sitz in den USA rechnen kann. Die IBM Deutschland GmbH und unterliegt nicht der US Gesetzgebung. Da reicht ein Telefonanruf aus den USA nicht aus. Ein derartiges Ansinnen bedarf eines Gesellschafter Beschlusses der GmbH. Falls diese dies machen würde, hätte IBM Deutschland GmbH ein Riesenproblem. Das kann die sich nicht leisten.
Aber konsequent mit „Sie“ statt „sie“ und ohne Deppenleerzeichen US“-„Firmen usw. .)
>> Hauptsache, meine Kasse hält sich an den Widerspruch und speichert nicht illegal doch etwas.
Und wenn die Kasse bzw. der von ihr beauftragte Dienstleister das macht, erfährst du es vielleicht wenn die Daten geleakt wurden. Obwohl die ja schön dumm wären, wenn sie ihre Kunden, die einer Nutzung der ePA widersprochen haben, informieren würden. Also erfährst du es nie. 😉
Genau das ist meine Befürchtung
Glückwunsch, damit ist es wohl nun endgültig unbenutztbar. Aber hey, die Gematik Unternehmen, die die Schrott-Konnektoren verbrochen haben, haben sich wenigstens eine goldene Nase verdient.
Sie wollen mehr Wissen zur Gematik – hier https://youtu.be/n_4bcVwgZPA?t=298
Warnung: Nichts für schwache Nerven.
ich weiß nicht wie die auftragsvergabe läuft, aber die auftraggeber müssten zumindest ein anforderungsprofil oder leistungsbeschreibung von eigenen it-experten erstellen lassen.
k.a. wer es wäre, aber man muss genau definieren was man will und es durchsetzen!
Keine E2E-Verschlüsselung bei besonders schützenswerten Daten? Meines Erachtens dürfte es für diese Architektur keine Freigabe des Datenschutzbeauftragten geben. Eine echte Sauerei!
Nicht mehr zeitgemäß ist außerdem die Nutzung US-amerikanischer Dienste. Klar, aktuell kommt man praktisch nicht darum herum. Aber mir fehlt bei der aktuellen Situation einfach die rechtliche Sicherheit in den USA.
hat es der bund oder jedes land oder krankenkasse selbst umgesetzt?
ich glaube die wollten es jetzt endlich umsetzen, um die gesundheitsversorgung zu verbessern und die kosten zu senken. ich glaub es hat lauterbach mal in ner talkshow so gesagt.
„…gesundheitsversorgung zu verbessern und die kosten zu senken. ich glaub es hat lauterbach mal in ner talkshow so gesagt“
Ja nee, is klar – seit dreissig Jahren beobachte ich Politik nun aktiv und bewusst und NIEMALS in dieser Zeit wurden die „Versprechen“ bzw. Absichtserklärungen gehalten bzw. umgesetzt. NIEMALS!
Und hier geht es nicht um den Bürger, sondern um dessen Daten, die wahnsinnig wertvoll für die Pharmabranche sind.
Und daher habe ich seit Langem einen neuen Grundsatz: „Hör‘ nicht auf das was sie sagen, beobachte was sie tun!“
>> Und hier geht es nicht um den Bürger, sondern um dessen Daten, die wahnsinnig wertvoll für die Pharmabranche sind.
Die Daten sind nicht nur für die Pharmabranche wertvoll. Mit diesen Daten wird es der Pharmabranche ermöglicht, die Forschung an pharmazeutischen Produkten zu forcieren und durch die Entwicklung neuer oder besserer Medikamente das Leben vieler Menschen zu verbessern. Somit geht es dann doch um den Bürger.
Wie naiv bist du eigentlich? Wenn ich meine Daten bereitstelle, dann will ich gefragt werden! Ich lasse ja auch nicht jeden in mein Haus laufen und lasse ihn alles durchstöbern oder tust du das? Du findest anscheinend alles toll, was die deutsche Regierung veranlasst? Hast du dich auch 15 mal Corona impfen lassen? Hast du schon die neueste Grippeimpfung? Du solltest mal besser lernen, Dinge zu hinterfragen! Nicht alles als gegeben oder als selbstverständlich hinnehmen! Bevor du wieder mit dem Alu Hutträger Argument kommst, den trage ich definitiv nicht. Ich besitze aber ein Gehirn zum nachdenken!
Servicepost (auch wenn das von dem Ausgangspunkt etwas wegführt): Nein, auch wenn das „Nachdenken“ oft zu kurz kommt, du hast gerade bei Themen wie Impfung ohne eine entsprechende wissenschaftliche Ausbildung oder ähnliches, langjährig erworbenes Vorwissen und den Zugriff auf die entsprechenden Daten keine Chance, durch „Selbstdenken“ zu einem Ergebnis zu kommen, dass sich auch nur annähernd von dem unterscheidet, was dir Fachleute bereits vorher gesagt haben (und wir sprechen hier von mehrjährigen Ausbildungen plus Jahre an Forschung). Und ja – du solltest dich in Absprache mit deinem Arzt regelmäßig Impfen lassen.
Made my day (im positiven Sinn).
Das hier zeigt sehr schön, wie weite Teile der Debatte an ihrem eigentlich schwierigen Punkt vorbei läuft.
Ein hypothetischer perfekter Impfgegner (also gegen jede Impfung, produktunabhängig & umstandsunabhängig, bei sich und bei Dritten) ist sehr selten. Ein hypothetischer perfekter Impfbefürworter (also für jede Impfung, produktunabhängig & umstandsunabhängig, bei sich und bei Dritten) ist auch sehr selten.
Aber das sind dann eben die Schubladen, in die man einander in der Impfdebatte eingeordnet hat. Persönlich bin ich zum Beispiel militanter Impfpflichtgegner. Aber bin ich froh, dass wir mit der medizinischen Errungenschaft Impfung die Pocken ausrotten konnten? Ja, sicher. Würde ich wollen, dass uns das auch mit Polio gelingt? 100 %. Das ist ne Superpower.
So ist das bei der ePA hier jetzt auch: Natürlich verspricht eine Gesundheitsdigitalisierung immense Vorteile. Aber die Erosion der Gesundheitsdatensicherheit, wie die ePA sie durchsetzt, ist für eine Demokratie, wie wir sie haben, kein akzeptabler Preis. Die ePa ist offenbar sogar eine Form der Sabotage an der deutschen Datensouveränität.
Die ePa und ihr Zustandekommen wirken für mich wie Symptome systemischer Verwahrlosung. Politische Verantwortlichkeiten sind Diffus und auf handfeste Kritik wird nur noch mit Slop wie „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“ reagiert.
In einer Ende zu Ende verschlüsselten ePA, in der der jeweilige Patient die volle technische (nicht bloß rechtliche!) Kontrolle über den Zugang zu seinen Daten hat, kann man darüber diskutieren, ob der Patient diese Daten der Forschung freigeben sollte, wenn er möchte. In einer ePA, in der die Datenweitergabe erzwungen wird, ist diese Forschungserzählung m.M.n. ein beschämendes, apologetisches Feigenblatt.
Nein, es geht nicht vorbei, genau das IST der schwierige Punkt (und ist auch der Anlass meines Posts gewesen): Jede Debatte wird fast unmöglich sich, wenn die Beteiligten überhaupt nicht in der Lage sind, die Debatte zu führen. „Denk selber nach“ ist da eigentlich immer eine rote Fahne, ausnahmslos.
In der Medizin ist es besonders problematisch, weil ein Patient oft eine Entscheidung treffen soll, zu der er eigentlich überhaupt nicht fähig ist. Die moderne Medizin und die Forschung basiert (u.a. daher) auch nicht nur auf der Autonomie des Patienten, sondern auch auf Benefizienz und Gerechtigkeit. Diese Prinzipien haben also Folgen – hast du eine Selbstbestimmung über deine (medizinischen) Daten? Im Zusammenhang mit deiner Person: ja, ganz klar. Aber ohne deine Person? (Also anonymisiert, ohne das Rückschlüsse auf deine Person möglich sind) Da greifen andere Prinzipien. Prinzipien wie Gerechtigkeit und Benefizienz. Unter solchen Aspekten sind Datenweitergaben und Impfpflichten immer auch zu betrachten. Und ich hoffe, du meinst nicht „militant“ sondern eher „strikt“, sonst müssen wir uns jetzt prügeln… 😉
@Legomio
Vielleicht wäre es auch ohne persönliche Angriffe gegangen, uns mitzuteilen, dass du gefragt werden willst, wenn du deine Daten bereitstellst. Keine Ahnung, was Du uns mit der Verknüpfung mit der Corona- und Grippeimpfung sagen willst?
Ich finde nicht alles toll, was Regierungen, insbesondere die aktuelle Bundesregierung, machen. Nachdenken hilft, aufgrund fehlender Fachkenntnisse im Gesundheitsbereich, nur bedingt. Trotzdem oder eben deshalb halte ich die Erfassung der Gesundheitsdaten mittels ePA für ein sachdienliches Instrument für die Forschung und die Entwicklung unseres Gesundheitswesens.
Dieses Gejammer, „Uuuh meine Daten“, geht mir ziemlich auf den Senkel. Auch, weil in meinen Augen sämtliche Vorschriften zum Thema Datenschutz nur ein Deckmäntelchen sind, mit dem Politiker dem Volk suggerieren, sich um das Thema zu kümmern. Wo bitte sind denn die Kontrollrechte für einzelne Betroffene? Was nützen Widersprüche und Löschanforderungen, wenn deren Vollzug nicht kontrolliert werden kann?
vergessen…
wenn man die verantwortung bzw die umsetzung nicht übernimmt, sondern auf andere abwältzt, dann bekommt man am ende emu qualität.
Der damalige Datenschutzbeauftragte hat sich lautstark beschwert, weil es massiv gegen die Vorschriften der DSGVO verstößt. Interessiert nur keinen.
Zum Glück war der Widerspruch das erste was ich getan habe, als ich erfahren habe, man könne Widerspruch einlegen. Vielleicht stimme ich dem Mist in 15 Jahren zu.
Widerspruch eingelegt habe ich auch, obwohl so eine ePA für mich praktisch wäre. Wenn es dumm läuft, schleppe ich 4 Ordner mit, wenn ich wieder mal bei einem neuen Arzt aufschlage.
ich habe jemand geraten die patientenakte zum neuen arzt mitzunehmen, weil die einem gehört und es geht. bei dem fall wo ich mit dabei war, wurde die anstandslos rausgerückt, im zweiten fall war ich nicht dabei, da wurde nur ne 2 a4 seiten lage zusammenfassung mit kryptischen namen und zahlenkombinationen rausgegeben. das lag aber auch daran, dass der neue arzt den senior so eingelult hat, dass es nur diese will. die behandlung war dementsprechend. man muss überall kämpfen.
die behandlung davor war noch schlimmer, eindeutige anzeichen und beschriebenen symptome, die auf schlaganfall hindeuten und passende krankheitsgeschichte wurden einfach abgetan und dem patienten gesagt einfach zu hause beobachten.
am nächsten tag auf der stroke unit gelandet.
da dürfen einige ärzte froh sein, dass da keine meldung erfolgte, weil nicht jeder dafür die kraft hat.
es ist wie die gesundheitssendungen und medien propagieren, man muss ein mündiger patient sein, sonst bekommt man nur verträge und igel leistungen reingeschwatzt.
trotz ablehnung, jedes mal dieverse verträge bis zum nachgeben reinreden.
…dann können wir sie besser versorgen. nix da, krankheiten teils nicht behandelt und nur auf nachdruck hausmittel empfohlen, die bei den miserablen werten nicht halfen.
ich weiß es genau, weil teils dabei gewesen und teils helfen musste schlimmeres zu verhindern.
Einfach dem arzt ne Freigabe erteilen zur Anforderung deiner Daten. Habe ich schon mehrfach gemacht.
Als die ePA aufkam, hatte man doch auch damit „geworben“, dass die in der ePa enthaltenen Daten, etc. pp. von ausländ. Firmen analysiert und ausgewertet werden können/ dürfen. Von irgendwem kam da mal später eine Nachfrage und als Antwort von den verantwortlichen Personen (ex-Minister Lauterbach?) tauchten da u.a. auch die Tech-Giganten wie Google und Meta und andere auf, um die Gesundheitsversorgung zu verbessern.
https://www.borncity.com/blog/2024/11/29/elektronische-patientenakte-epa-hebt-lauterbach-mit-meta-openai-und-google-den-datenschatz/
Stellt doch auch bitte dar, welche Kassen NICHT auf IBM gesetzt haben: die BITMARCK-Kassen, also (fast) alle BKKen, alle IKKen, DAK, hkk.
Was genau bedeutet das? Darüber möchte ich gerne mehr wissen. Ich dachte immer, es wäre ein einziges zentralisiertes System. Aber was du schreibst könnte ein Wechselgrund sein.
https://nutzerzentriert-entwickelt.de/fallbeispiele/bitmarck-und-rise/ BITMARCK arbeitet bei ihrem ePA-Produkt nicht mit IBM, sondern mit RISE zusammen. Bedeutet: wenn du bei einer BITMARCK-Kasse bist (BKK, IKK, DAK, hkk), hast du keine IBM-ePA.
Es gibt 2 Hersteller der Aktensysteme, der eine ist IBM, der andere RISE
Das ist mir persönlich egal. Wie es scheint, ist die Kommentarspalte sehr, um es diplomatisch auszurücken, empfindlich gegenüber den USA. Ist ja aber auch vollkommen ok.
Ich genieße einen Stressfreien Alltag dank den Amis und ob die nun meine Daten haben, ist mir so richtig egal. Da bin ich einfach mal das Gegenteil der meisten.
Das Hass-Getue als Zeichen, dass wir in der Zeit stehengeblieben sind; daran können die USA doch wirklich nichts.
Liebe Grüße
Tja, wenn man auf eine globale Diktatur durch einen Staat, der seit seiner Gründung nahezu ununterbrochen Krieg führt, hunderte Regime-Change-Aktionen durchgeführt hat, die schlimmsten, ultra-rechten Verbrecher an die Macht gebracht hat (siehe Pinochet u.a.) und gerade mal wieder einfach so Menschen ohne Anklage, Verfahren, Beweise abschlachtet und alles mit Zwangsmassnahmen überzieht was nicht bei drei auf dem Baum ist, toll findet dann okay.
Und es ist nicht Hass, sondern Bildung wenn man erkennt in was für einem menschenverachtenden System man lebt(e).
Ein paar Beispiele aus aktuellen Studien:
– U.S. launched 251 military interventions since 1991, and 469 since 1798 (Quelle: „Instances of Use of United States Armed Forces Abroad, 1798-2022“, 2022, by Congressional Research Service, a U.S. government institution that compiles information on behalf of Congress)
– According to research from Tufts University, the rate of U.S. military interventions increased after the Cold War, contrary to expectations: “The U.S. has undertaken over 500 international military interventions since 1776, with nearly 60% undertaken between 1950 and 2017,” the project wrote. “What’s more, over one-third of these missions occurred after 1999.”
– We estimated that unilateral sanctions were associated with an annual toll of 564 258 deaths (95% CI 367 838–760 677), similar to the global mortality burden associated with armed conflict. (Quelle: Effects of international sanctions on age-specific mortality: a cross-national panel data analysis, 2025, Lancet)
– Aus obiger Lancet-Studie ergibt sich auch folgende Headline, leider nicht im westlichen Raum, da wir dies wohl besser nicht hören sollen: „US and EU sanctions have killed 38 million people since 1970.“
– An estimated over 940,000 people were killed by direct post-9/11 war violence in Iraq, Afghanistan, Syria, Yemen, and Pakistan between 2001-2023. Of these, more than 432,000 were civilians. An estimated 3.6-3.8 million people died indirectly in post-9/11 war zones, bringing the total death toll to at least 4.5-4.7 million and counting. (Quelle: Costs of War project der Brown University)
Wer dieses System toll findet, oder gar noch als Werte-Partner bezeichnet, der wäre auch bei Adolf stramm mitmarschiert.
Na, der letzte Satz ist schon ein wenig drüber. Es besteht schon noch ein Unterschied zwischen einer faschistischen aggressiven Diktatur, die über 50 Millionen Menschen das Leben gekostet hat, und einem Staat, der derzeit am Rande der Diktatur steht, und für den es zugegeben wenig Hoffnung gibt (ein bisschen aber schon noch).
die Amerikaner haben Berlin vor dem Hungertod bewahrt !
Alles schon vergessen ?
Die Luftbrücke war eine gemeinsame Aktion der Alliierten und läuft in diesem Zusammenhang als Whataboutism.
Einreise verweigert. Oder erstmal in Schutzhaft genommen. Psychische Behandlung gehabt. Denen traut man ja nicht mehr. Schwere Krankheit / Virus gehabt – erstmal in Quarantäne man weiß ja nie. Etc. Etc.
Klingt alles konstruiert? Naja, dachte man Anfang der 1930er in Deutschland auch schon mal … Ich bin da inzwischen skeptischer geworden.
… wenn du aktuell in die USA musst… angestellten und wissenschaftlichen wird von Unternehmen und Unis empfohlen NICHT das private Handy dabei zu haben … und man sollte mit klarname oder nachbollziehbar nichts gegen den König – äh – Trump geäußert oder entsprechende Beiträge geliked haben …
Und das ist bereits heute. Ich mag nicht dran denken was morgen sein könnte
Das hat meines Erachtens nichts mit „Empfindlichkeiten“ zu tun.
Die (Cloud-)Monopolisierung der in den USA ansässigen Firmen hat zwei deutliche Nachteile, die zudem der DSGVO widersprechen. Erstens verliert man als Bürger die Hoheit über die eigenen Daten. Und zweitens ist das „Hass-Getue“ kein solches. Die Kritik richtet sich vielmehr an einen grundlegenden Effekt des Monopols, die Verhinderung von Wettbewerb. Und deshalb „können die USA“ doch etwas „daran“, „dass wir in der Zeit stehengeblieben sind“. Entsprechende Urteile bestätigen dies seit Jahrzehnten auf allen europäischen Gerichtsebenen. Ein Artikel wie dieser fasst zudem die aktuelle Situation bezüglich Cloud-Technologien ganz gut zusammen:
https://www.deutschlandfunk.de/digitalsteuer-eu-usa-zoelle-amazon-netflix-google-100.html
Dazu kommt noch das sogenannte „Investitionsklima“. Hier ist neben wirtschaftlicher auch die politische Stabilität wichtig. Und genau damit spielt die US-Regierung seit etlichen Monaten. Dadurch sinkt die Attraktivität des Standorts, was aktuell nur wegen politischer Abhängigkeiten und eben der Monopole nicht zu Gegenreaktionen führt, jedoch führen sollte.
Die Hoheit über die eigenen Daten verlierst Du in dem Moment, in dem Du sie aus der Hand gibst. Und dabei ist es völlig unerheblich, wem Du sie gibst oder wo sie gespeichert werden. Das ist ein grundsätzliches Problem und nicht auf die USA beschränkt.
Das ist nicht korrekt, denn genau aus diesem Grund gibt es die DSGVO.
Praktiker: „Die Hoheit über die eigenen Daten verlierst Du in dem Moment, in dem Du sie aus der Hand gibst.“
Theoretiker: „Das ist nicht korrekt, denn genau aus diesem Grund gibt es die DSGVO.“
Unterschied verstanden?
IBM. Die haben schon vor über 20 Jahren hier in Deutschland in ihren Bunkern Daten der Banken gespeichert und die Adminstration outgesourct – an Chinesen. Cloud ist halt auch immer nur der PC von jemand anderem…
Kurz zur ePA: Das Risiko durch den US CLOUD Act ist real (bestätigen die Wissenschaftlichen Dienste des Bundestages seit Jahren), da US-Firmen wie IBM/Red Hat die Kern-Infrastruktur der Telematikinfrastruktur 2.0 betreiben. Die versprochene Ende-zu-Ende-Verschlüsselung wird von IT-Experten (CCC) stark bezweifelt. Lediglich die Kommunikation zwischen den Komponenten der ePA ist (laut BMG/Gematik) E2E-verschlüsselt.
Obwohl die ePA (gut gemeint) Skandale wie Contergan verhindern soll: Da die Opt-Out-Frist zur Erstanlage abgelaufen (nach Digital-Gesetz hatten die Versicherten ab dem Erhalt des Informationsschreibens sechs Wochen Zeit, der Erstanlage zu widersprechen, Art. 21 DSGVO) ist, hilft jetzt nur noch eins – die aktive, schriftliche Löschaufforderung (Art. 17 DSGVO und § 344 Abs. 3 SGB V) bei der eigenen Krankenkasse nach DSGVO.
Eine Kündigung der Kasse (also ein Wechsel) ist übrigens keine Lösung: Die Frage ist nicht, welche Kassen US-Firmen nutzen. Da die Gematik-Infrastruktur die gesetzlich verpflichtende Basis ist, sind ausnahmslos alle gesetzlichen Krankenkassen (AOKs, TK, Barmer, DAK, IKKs etc.) gleichermaßen betroffen.
Bist du dir da sicher? Was ist mit den Kassen, die nicht mit IBM arbeiten?
Jup, die Gematik baut die neue, zentralisierte Infrastruktur (das sogenannte „TI-Gateway“, das die alten Konnektoren in den Praxen ablösen soll mit Auftrag aus § 306 SGB V) auf der Container-Plattform „OpenShift“ auf. „OpenShift“ ist das zentrale Produkt von Red Hat, einem US-Unternehmen, das 2019 von IBM (ebenfalls USA) übernommen wurde (alles nachzulesen bei heise online).
Wenn die Gematik (deren Gesellschafter der GKV-Spitzenverband ist) also eine Infrastruktur (die TI 2.0) definiert, ist dies die verbindliche Grundlage für alle ihre Mitgliedskassen. Eine einzelne Kasse (z.B. die TK) kann keine eigene, separate ePA-Infrastruktur bauen; sie muss die Gematik-Architektur nutzen (Pflicht nach § 341 SGB V).
Achtung: Einzelne Kassen nutzen unterschiedliche IT-Dienstleister (z.B. BITMARCK für viele BKKs/IKKs oder die TK nutzt eigene), ABER diese Dienstleister müssen sich dennoch an die zentralen Vorgaben und die Kern-Infrastruktur der Gematik (wie das TI-Gateway) anbinden.
gut, Openshift ist erst mal ein Container Orchestrierungs Management Tool auf Basis kubernetes. Das sagt erst mal rein gar nichts über die Datenhaltung aus. Aber klar, naheliegend dass dazu dann AWS Cloud noch teurerer aber ggf tatsächlich konform IBM Cluster/Server in deutschen Rechenzentren benutzt werden?!
IBM ist nur eines von vielen Unternehmen. Was sollen diese KK denn sonst einsetzen, was garantiert vor Weitergabe an unbefugte schützt? Und das Speichern der Daten bei den KK ist ja nur der Anfang. Jeder, der Zugriff auf diese Daten erhalten kann, muss per Definition garantieren können, dass dort keine unbefugten Zugriff haben. Die DSGVO hat die Messlatte hoch angelegt, für besonders schützenswerte Daten wie Gesundheitsdaten liegt sie noch wesentlich höher. Insbesondere wird immer „Stand der Technik“ vorgeschrieben. Stand der Technik für so schützenswerte Daten ist eine gut umgesetzte E2EE, sodass einzig die Patienten, Ärzte und andere explizit genehmigte Stellen Zugriff haben – und nur auf die Daten, die dieser Stelle freigegeben wurden – und somit eben auch die KK nicht sehen, was bei ihnen gespeichert wird.
Die „die aktive, schriftliche Löschaufforderung (Art. 17 DSGVO und § 344 Abs. 3 SGB V) bei der eigenen Krankenkasse nach DSGVO“ ist so wie der Widerspruch gegen die Nutzung der ePA in meinen Augen eine Farce.
Betroffene sind nicht in der Lage, die Datenlöschung bzw. die Nichtnutzung ihrer Daten zu kontrollieren. Sowohl die Bestätigung über den Eingang des Widerspruchs als auch die Erfüllung der Löschaufforderung können bestätigt werden und damit muss man sich mangels zugesicherter Kontrollmöglichkeiten zufriedengeben.
Ich kann mich noch daran erinnern, wie einige im Netz die ePa gefeiert haben. Mittlerweile wurden die auch des Besseren belehrt. Naja, der eine oder andere hier glaubt ja immer noch an das Gute im Menschen. Zur Corona Zeit wurden die ungeimpften geächtet und tyrannisiert, haben aber am ende doch recht behalten, wie sich später herausstellte. Ab und zu sollte man vielleicht dich zuhören, wenn ein Alu Hutträger, was zu berichten hat.
Insgesamt finde ich die ePa eine große Sauerei. Das Ding wird einfach so hingenommen. Millionen haben ihre Daten bereitgestellt, ohne vielleicht zu wissen, dass sie hätten widersprechen können. Manche waren vielleicht sogar garnicht in der Lage zu widersprechen.
Die Daten sind unfassbar wertvoll für die Pharmaindustrie. Es können gezielt Medikamente hergestellt werden und gezielt auf Profit produziert werden. Warum sollte man für Schnupfen Medikamente produzieren, wenn mehr Menschen an Huster erkranken? Man kann auch gezielt produzieren und erhöht so auch den Profit. Warum sollte ein Pharma Unternehmen über den Bedarf produzieren? Mit Zugriff auf die Patientendaten gehört das auch der Vergangenheit an.
Was wäre, wenn es eine neue Pandemie geben würde? Jeder Arzt wüsste sofort, ob man geimpft oder nicht geimpft ist, was natürlich in der ePa eingetragen ist. Ein Horror für Leute, die sich nicht impfen lassen wollen.
Man kann auch bei einem Krankenkassenwechsel erneut widersprechen. Das habe ich dieses Jahr gemacht. Der Widerspruch jederzeit möglich. Die Zustimmung natürlich auch. Vielleicht werde ich in 10-20 Jahren zustimmen, wenn ich nicht vorher gezwungen werde, momentan jedoch nicht. Ich denke schon, dass man die Leute zwingen könnte, die Daten doch auf der ePa zu speichern. Man könnte zum Beispiel Geld verlangen, wenn man keine ePa hat, da der Verwaltungsaufwand höher ist. Auch höhere Kassen Beiträge könnte ich mir vorstellen aufgrund des höheren Verwaltungsaufwands. Warten wir’s mal ab.
„Zur Corona Zeit wurden die ungeimpften geächtet und tyrannisiert, haben aber am ende doch recht behalten, wie sich später herausstellte. Ab und zu sollte man vielleicht dich zuhören, wenn ein Alu Hutträger, was zu berichten hat.“ Lass doch bitte deine Corona-Theorien aus dieser Diskussion heraus. Das gehört, neben der Tatsache, dass es faktisch falsch ist, nicht hierher. Danke.
Was bist Du denn für ein Spinner? „Zur Corona Zeit wurden die ungeimpften geächtet und tyrannisiert, haben aber am ende doch recht behalten“… Womit bitte haben haben diese Ignoranten denn recht behalten? Durch ihr Nichtimpfen die Viren fröhlich durch die Welt transportieren und den Rest der Menschheit beglücken?
Erstens wurden eher die Geimpften tyrannisiert und geächtet, ging los von Freunden, die einen plötzlich beschimpft und den Kontakt abgebrochen haben, weil man ja ein Schlafschaf und Systemhure war, ging über nervige Demonstrationen, Fakenews und Fackelzügen bis hin zu Mordanschlägen.
Und zweitens findet ein blindes Huhn auch mal ein Korn. Tante Erna sollte man nicht glauben, wann der beste Zeitpunkt zum Aktien-An- und Verkauf ist und Tante Erna sollte man nicht glauben, ob es Corona gibt oder nicht. Weil Tante Erna einfach keine Ahnung hat. Trotzdem kann Tante Erna später Recht behalten, aber eben nicht, weil sie es wusste, sondern weil die Wahrscheinlichkeit, wenn man einfach 20 Theorien pro Tag raus haut, einfach groß ist, dass eine davon wirklich zutrifft. Und über die 9.999 anderen, die falsch waren, redet Tante Erna einfach nie wieder.
Cooles Bild.
Ein HTC hatte ich vor ein paar Jahrzehnten auch mal.
Was mir nicht klar ist. Läuft die Umgebung für die ePA auf IBM-Systeme z.B. Z-System oder sind die Daten in der IBM-Cloud
Nein, die Daten sind nicht in der „IBM Cloud“.
Aber: IBM ist als US-Firma an zwei Stellen involviert:
1. Als Software-Lieferant (Red Hat) für die Gematik-Kerninfrastruktur (die in Deutschland betrieben wird).
2. Als Hoster (IBM Deutschland) für die ePA-Daten vieler BKK/IKK-Versicherter (ebenfalls in Rechenzentren in Deutschland, oft wird der Standort Magdeburg genannt).
Ob die Systeme in diesen deutschen Rechenzentren physisch „Z-Systeme“ (Mainframes) oder x86-Server sind, ist technisch sekundär. Entscheidend (für die CLOUD Act-Debatte) ist, dass ein US-Tochterunternehmen (IBM Deutschland) den Betrieb verantwortet, selbst wenn dies auf deutschem Boden geschieht.
Der US CLOUD Act zielt nicht auf die deutsche GmbH, sondern auf den US-Mutterkonzern (IBM Corp.).
1. Kontrolle ist entscheidend: Der CLOUD Act verpflichtet US-Unternehmen (die „U.S. persons“ sind) zur Herausgabe von Daten, die sich in ihrem „Besitz, Gewahrsam oder ihrer Kontrolle“ befinden – unabhängig vom Speicherort.
2. Tochter = Kontrolle: Nach US-Rechtsauffassung hat ein Mutterkonzern (IBM Corp.) die „Kontrolle“ über seine Tochtergesellschaften (IBM Deutschland GmbH).
3. Die Zwickmühle (Normenkollision): Erhält IBM in den USA eine CLOUD-Act-Anordnung, muss der US-Konzern seine deutsche Tochter anweisen, die Daten (z.B. aus dem Rechenzentrum in Magdeburg) herauszugeben.
• Tut die IBM GmbH das, verstößt sie massiv gegen die DSGVO (Art. 48) und deutsches Recht.
• Weigert sich die IBM GmbH, drohen dem Mutterkonzern in den USA massive Strafen.
Fazit: Die Rechtsform als deutsche GmbH ist daher kein Schutzschild gegen den CLOUD Act. Sie ist vielmehr der Grund, warum dieser massive Rechtskonflikt überhaupt erst entsteht.
Besteht ein echtes Risiko, dass sensible Informationen wie Gesundheitsdaten für Versicherungen oder Arbeitgeber missbraucht werden? Es auch in den USA Gesetze und Gerichte, eine absolute Sicherheit gibt es nicht. Die typisch deutsche Angst vor Datenmissbrauch blockiert jedoch jede Innovation und führt dazu, dass wir technologisch abgehängt werden
Deutschland und Europa haben es schlicht verpasst, eigene Cloud-Lösungen zu schaffen. Jetzt sind wir abhängig von US- oder asiatischen Anbietern – und selbst mit viel Geld und Willen fehlt es an Fachkräften und Ressourcen, um das schnell zu ändern.
Die deutsche Angst vor Datenmissbrauch lähmt Innovationen. Statt zu handeln, wird blockiert – und die technologische Entwicklung findet woanders statt.
Klar gibt’s auch in den USA Gesetze. Allerdings schützen diese (wenn überhaupt) nur US-Bürger. Der Rest der Welt ist quasi Freiwild.
Ja leider. Anstatt Datenmissbrauch wirklich zu verhindern, hat man Angst davor, was dazu führt, dass deutsche Unternehmen mit Vorschriften zugeschüttet werden, die viel Entwicklungszeit und Geld kosten, während Unternehmen aus dem Ausland ein Fetzen Papier ausreicht, auf dem steht, dass man sich an alle Vorschriften hält. Was natürlich zu einem Entwicklungsvorsprung führt, der die ausländischen Angebote günstiger macht und die Entscheider regelrecht zwingt diese Angebote anzunehmen.
Da gehört ein klarer Plan dahinter, der bei der Auftragsvergabe der Einhaltung der DSGVO einen klaren Vorzug einräumt und falls es keine DSGVO kompatible Lösung gibt, muss entweder das beauftragte Unternehmen sich verpflichten, innerhalb von 3 Jahren seine Lösung DSGVO entsprechend zu gestalten (mit hoher vereinbarter Konventionalstrafe) oder alternativ ein deutsches Unternehmen beauftragt werden, eine DSGVO angepasste Alternative in diesen 3 Jahren zu entwickeln.
Geht natürlich nur im öffentlichen Sektor, Privatunternehmen muss man eben entsprechend unter die Lupe nehmen, aber eine klare Richtlinie bei Geschäften mit dem Staat hat schon häufiger Erstaunliches hervor gebracht.
Kurze Richtigstellung: Das „Freiwild“-Gefühl ist juristisch real. US-Gesetze wie FISA Section 702 (Geheimgerichte) und die Executive Order 12333 (seit 1981) erlauben US-Diensten explizit die anlasslose Massenüberwachung von Nicht-US-Bürgern im Ausland.
Weil uns EU-Bürgern dagegen jeglicher effektive Rechtsschutz fehlt, hat der EuGH das „Privacy Shield“-Abkommen gekippt (EuGH, „Schrems II“, Az. C-311/18) und die Grundfesten des aktuellen Data Privacy Frameworks wackeln bereits (auch wenn das erstinstanzliche Gericht Herrn RA Latombe abgewiesen hat, macht Noyb weiter).
Zur „Überregulierung“: Die geforderte „klare Richtlinie“ haben wir seit 2018 – sie heißt DSGVO. Das Problem ist nicht, dass sie deutsche Firmen hemmt, sondern dass der Staat (als Auftraggeber) seine eigenen Regeln bricht. Er verbietet Datenchaos, nutzt aber selbst massenhaft Microsoft 365 in Schulen und Behörden, obwohl die deutschen Datenschutzbeauftragten (in den Beschlüssen der DSK) einen DSGVO-konformen Betrieb wegen der US-Datenflüsse für unmöglich halten. Der Staat sollte Vorbild sein, hat sich aber bei Verstößen teils selbst von Bußgeldern befreit, während die Privatwirtschaft zahlen muss.
Und noch ein Gedanke zum Thema „Regulierung hemmt Innovation“: Das ist ein Mythos. Guter Datenschutz ist kein Hemmschuh, sondern ein Qualitätsmerkmal für nachhaltige IT. Gerade im Zeitalter von KI ist das überlebenswichtig. KI-Systeme, die auf unregulierten Datenbergen trainiert werden, führen zu handfester Diskriminierung (Bias) – sei es bei der Jobvergabe, bei Kredit-Scorings oder in der Medizin.
Die DSGVO zwingt Entwickler durch „Privacy by Design“ (Art. 25 DSGVO) von Anfang an sauber zu arbeiten (Stichwort: Datenminimierung). Das fördert Innovation, weil es robuste, ethische Alternativen zu „schmutzigen“ Datenkraken-Modellen erzwingt. Apple nutzt „Privacy“ (z.B. Differential Privacy) längst als Verkaufsargument. Wer sehen will, was ohne Regulierung passiert, sollte die Arbeit von Joy Buolamwini (MIT) googeln, die nachwies, wie rassistisch kommerzielle Gesichtserkennung (von Amazon, IBM etc.) agierte, weil die Trainingsdaten Schrott waren.
Das zentrale Problem ist die fehlende Ende zu Ende Verschlüsselung. Mit Ende zu Ende Verschlüsselung wäre es egal, Ob IBM die Daten nach Amerika übermittelt. Sollen Sie versuchen zu entschlüsseln. Aber mit dem jetzigen System, wo die Schlüssel gleich mit auf dem Server liegen, ist das Ganze Indiskutabel
Unter anderem jeder Arzt soll bzw. muss etwas in die E-Akte eintragen können, sowie diese auch lesen können. Dazu müsste er bei Ende-zu-Ende-Verschlüsselung über einen Schlüssel verfügen.
Wenn dem so wäre, denkst Du, dass die US-Dienste sich nicht einfach einen besorgen könnten, und wenn die hier eine Fake-Praxis gründen würden, hm?
Das wäre kein Problem wenn der Schlüssel auf der Karte wäre. Einlesen sollte die akte eine gewisse Zeit freigeben und fertig.
Wenn ich das so lese, bin ich wirklich froh, dass ich keine elektronische Patientenakte habe.
Hallo Andreas, was gibt dir diese Sicherheit, dass deine Gesundheitsdaten nicht irgendwo von irgendwem in elektronischer Form gespeichert wurden? Nur weil du keinen Zugriff darauf hast, bedeutet das noch lange nicht, dass es nicht so ist. Die DSGVO und andere Vorschriften geben dir keine persönlichen Rechte, mit denen du den Umgang mit deinen Daten kontrollieren kannst.
Ich bin privat versichert. Natürlich hat meine PKV meine Daten. Aber eine ePA, die dann auch Ärzten zur Verfügung steht, ist mir nicht bekannt.
Und die Regierung wundert sich wenn vertrauen durch ihre Bürger verloren geht. Ohne das werbeversprechden der E2EE und die Speicherung der Schlüssel auf der Karte würde die Diskussion wie das sicher umgesetzt werden soll heute noch laufen.