Elektronische Patientenakte wird nochmals verschoben, Sicherheit wohl weiter zweifelhaft
von André Westphal | 47 Kommentare
Die Geschichte der elektronischen Patientenakte (ePA) in Deutschland ist lang und voller Wendungen. Vereinfacht gesagt, soll das für euch eine digitale Aktenablage sein, in der Ärzte eure Befunde ablegen können. Das soll es dann beim Besuch einer anderen Praxis vereinfachen, dem jeweiligen, behandelnden Mediziner Einblicke in eure Krankengeschichte zu verschaffen. Doch Sicherheitsforscher und der Chaos Computer Club (CCC) hatte signifikante Sicherheitslücken des zugrunde liegenden Systems aufgezeigt, die den Diebstahl der hochsensiblen Daten zum Kinderspiel machen würden. Jüngst ist die ePA nun erneut verschoben worden. Und auch an der Sicherheit gibt es weiterhin Zweifel.
Zwar behauptete der noch amtierende Bundesgesundheitsminister Karl Lauterbach zuletzt, die Sicherheitsprobleme seien behoben, Experten stimmen dem aber nicht zu. Bianca Kastl und Martin Tschirsich, die 2024 auf einem CCC-Kongress aufgezeigt hatten, wie mit minimalem Aufwand die Gesundheitsdaten jeder beliebigen ePA stibitzt werden könnten, haben Zweifel daran, dass es echte Besserungen gebe. Laut Kastel gilt: „die bisher angekündigten Updates sind grundsätzlich ungeeignet, um die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen“. Es werde aktuell lediglich Schadensbegrenzung betrieben. Auch fehle es an ernsthaftem Aufklärungswillen und Transparenz zum Prozess.
Wann die ePA außerhalb der aktuellen Modellregionen wie Hamburg damit am Ende für alle kommen soll, ist immer noch offen. Bundesgesundheitsminister Lauterbach hat mitgeteilt (via Netzpolitik.org), dass in den kommenden Wochen zunächst eine „Hochlaufphase“ außerhalb der Modellregionen anberaumt werde. Die Nutzung soll aber in der zweiten Testphase für Ärzte freiwillig bleiben. Wann die ePA dann endgültig für alle starten soll, bleibt offen.
ePA ist für Kriminelle äußerst reizvoll
Letzten Endes solltet ihr euch gut überlegen, ob ihr die elektronische Patientenakte nutzen wollt, oder lieber Widerspruch einlegt. Tut ihr das nämlich nicht, wird sie für euch automatisch angelegt. Da dort ärztliche Befunde, Laborwerte, Arztbriefe und Medikamentenverordnungen landen sollen, ergibt das einen für Cyberkriminelle extrem verlockenden Datenmix. Bislang haben offenbar nur 5 % der Deutschen der Anlegung der ePA widersprochen.
Wird euere Krankenkassenkarte gescannt, kann die jeweilige Praxis, Apotheke oder das Krankenhaus bis zu 90 Tage auf eure Daten zugreifen. Ärzteverbände haben die Verschiebung des breiten Starts begrüßt, weil dadurch auch erstmal niemand sanktioniert werden soll, der die ePA noch nicht verwendet. Das soll nämlich später für die Praxen Pflicht werden.
![Lenovo [Tasche] 15,6 Zoll Casual Topload Laptop Tasche T210 (wasserabweisend), works with Chromebook (WWCB),...](https://m.media-amazon.com/images/I/412mKqdD68L._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hab der EPA widerspochen, sobald das bei meiner Kasse möglich war, jetzt sieht man warum das die richtige Entscheidung ist.
Das selbst Zahnärzte für 90 Tage und sogar Apotheken 3 Tage sehen können, ob ich z.B.Geschlechtskrankheiten oder ein psychisches Problem habe, sobald die Karte einmal gesteckt wurde. ist ein weiteres Unding…
Dann noch der Datenabfluss an die Forschung…
Nee… das lassen wir mal lieber weiterhin sein…
Eben, ich habe auch direkt widersprochen.
Dass nur 5% widersprochen haben liegt eher daran, dass die meisten nicht kapieren was da vor sich geht, Schulterzucken nach dem Motto „die haben eh alle Daten im Computer“… Aaaalles klar!..
Völlig egal ob das Ärzte wissen.
Wieso stigmatisierst du psychische Krankheiten, oder Geschlechtskrankheiten als besonders schlimm?
Ist ein Bandscheibenvorfall als Krankheit für dich anders verordnet?
Die Ärzte und Apotheker haben Schweigepflicht. Noch NIE sah ich Grund daran zu zweifeln oder mich für meine Krankheiten/Eigenheiten zu schämen.
Evtl. das eigene Gedankengut nochmal überdenken bevor wir hier in Euthanasietriage enden.
Hallo RoB,
Im Artikel wird unter der 2. Überschrift klar davon gesprochen, daß die Sicherheitslücken in der EPA von _Kriminellen_, nicht von Menschen, also Deinem Arzt, Deiner Ärztin oder in der Apotheke oder nicht von jeder anderen ehrlichen Person z. B. in der Krankenkassenverwaltung ausspioniert und ausgenutzt werden können.
Also z. B. von Erpressern.
Natürlich ist für die Dein Bandscheibenvorfall kein anknüpfungspunkt für eine Straftat.
Aber eine erfolgte Abtreibung? Eine HIV-Infektion? eine Substitutionstherapie mit Metadon?
Du erhältst also eine Droh-Mail mit einem EPA-Auszug, dem Hinweis das könnte man auch an Deinen Ehepartner, Deinen Arbeitgeber, eine religiös-fundamentalistische Anti-Abtreibungs-Terroristenvereinigung weitergeben wenn Du nicht sounsoviel Euro oder Bitcoin irgendwohin schickst?
Lesen des bezugsartikels hätte Dir hier weitergeholfen, und Du hättest nicht einem anderen Schreiber völlig zu Unrecht irgendwelche Probleme mit bestimmten Krankheitsbildern vorwerfen müssen!
Mich kann man mit nichts erpressen, da ich den Grundsatz der Offenheit und Ehrlichkeit seit Jahrzehnten LEBE.
Alle dürfen gerne alles von mir wissen:
„ich bin ein offenes Buch, schaut’s rein, ich habe nichts zu verbergen“ (Zitat FALCO).
JEDER Arbeitgeber wusste von meinen Krankheiten und Eigenheiten von Anfang an, wenn er mich einstellte, Glückwunsch, er bekam Leidenschaft, Herzblut, Wissbegierigkeit und Wille zur Veränderung und Optimierung.
Wer es deswegen nicht tat, hatte Pech und musste ohne mich auskommen.
Ich bin viel zu wertvoll um mich für Andere zu verstellen.
Resiliente Grüße
Hallo RoB,
Glückwunsch zu Deiner Haltung.
Aber jeder Mensch ist nicht in sich so stabil wie Du es bist.
Das und die damit verbundenen Ängste sollte man respektieren.
ich spiel jetzt mal des Teufels Advokat.
Gibst du uns bitte folgende Datenauskunft zu dir:
– Anzahl der Geschlechtspartner + jeweiliges Geschlecht?
– hattest du bereits sexualisierte Gedanken mit Tieren oder Kindern?
– Hast du bereits Suizidgedanken gehabt?
– Gibt es einen Kink für den du dich schämst?
Alles Infos die auch in der Akte deines Psychologen stehen können und potentiell missbraucht werden können!
Es geht nicht nur um kriminelle „Einbrecher“ in der Arztpraxis. Geh mal uffm Dorf zum Arzt, dann sieht Schwester Hilda die Berichte deines Psychologen, ggf Medikamentenverordnung und, dass dich dein (zweiter) Hausarzt wegen Suizidgedanken dahin geschickt hat.
Oder die kleine 14 jährige Anna, war beim Frauenarzt. Die Eltern sind erzkatholisch. 2 Stunden später wissen es die Eltern und Anna kommt das nächste mal mit ner gebrochenen Nase zum Arzt. Glückwunsch!
2 Stunden später, weiß es das ganze Dorf, weil Hilda die Gusche nicht halten kann. Das alles dank Patientenakte!
Und nur zur Freude:
Bitte deine Email-Adresse, Banklogin, Zweifaktor-Login plus alle zugehörigen Passwörter. Ich wüsste gerne deinen Kontostand, wo/wie viele Schulden du hast. Du bist ja offensichtlich ein offenes Buch.
Wenn dir das egal ist, bitteschön!
Mir ist es für meine Daten jedenfalls nicht egal.
Den Zahnarzt oder Apotheker und deren Mitarbeiter geht es das nix an, was ich sonst noch so alles habe oder auch nicht, die müssen das nicht wissen. So einfach ist das!
Und mit Euthanasietriage hat das schon mal gar nix zu tun!
Wenn Dir das egal ist, ok. Dann kannst Du die ePa nutze. Mir ist es nicht egal. Ich arbeite nach dem Grundsatz der Datensparsamkeit, was auch bedeutet: Nur so viel Zugriffsrechte, wie nötig. Bei der ePA gibt’s bisher leider kein Zugriffsmanagement und daher für mich nur den Widerspruch.
Ich ebenso.
Deswegen GraphenOS und alles von amerikanischen Unternehmen boykottieren oder sabotieren.
Aber wieso sollte ich weiterhin von Arzt zu Arzt (was ich seit 1997 mache) und meine dutzenden Leitz-Ordnerberge jedesmal extra mitnehmen bzw. separat freigeben und endlose Wartezeiten auf die Übertragung in Kauf nehmen, wenn es etwas (für MICH) so hilfreiches gibt?
Hier bin ich oportunistisch.
Wer von Arzt zu Arzt rennt und tatsächlich viel Krank ist und die verschiedensten Medikamente nehmen muss, dem kann die EPA vielleicht tatsächlich helfen, wenn man denn vor dem Missbrauch der Daten keine Angst hat. Mich sieht der Arzt nur zur Vorsorge und so lange das so bleibt, gibt es keinen Grund, meine Daten für potentielle Ganoven bereitzustellen.
Und ja, hätte ich Geschlechtskrankheiten, HIV, oder auch psychische Probleme, so ginge das keinen was an. Erst Recht nicht meinen Arbeitgeber.
Hach….
ich frage mich ja, wie weit diese Haltung wirklich reicht.
Konsumierst du deine Unterhaltungsmedien in denen US Produkte irgendwie einen Teil des Schaffungsprozesses waren? Uff…. da kannst du ja nicht einmal mehr Halma im Laden kaufen, weil die Maschine mit der die Spielfiguren gefräst(?) werden in China hergestellt wurde mit 2-3 Patenten aus den USA… Hurz
und auch dein geliebtes GrapheneOS ist im Herzen ein US Produkt. Und auch in den untiefen von Linux steckt ganz viel US Know-How. MS/Apple selbstredend.
Kein US Chipsatz im PC/Handy…. viel Spaß bei der Suche nach einem MediaTek Desktop CPU mit nicht-US Treibern, nicht US-OS und keinen weiteren Bauteilen mit US Beteiligung.
Es heißt nicht ganz ohne Grund WELTwirtschaft. Sorry, aber du lebst in einer Traumwelt, wenn du denkst du könntest ein Land wie die USA boykottieren oder gar sabotieren.
Sorry hab was vergessen….
Leitz gehört seit 2016 zu einem US Konzern. VERBRENN DEINE ORDNER!!!!!
Du solltest dich als Schreiberling bei der Titanic anmelden. Da wärst du goldrichtig mit deinem Humor 😀
Das mag dir im Moment egal sein n ur schau mal in die Weltgeschichte… Krieg in Europa nen anderer Spinner in den USA… die Wahlergebnisse und ein grundsätzlicher Rechtsdrift in den Ländern… in ein paar JAhren ist es vieleicht nicht mehr so ratsam das da jeder reinscheuen kann…. aber heh hast ja vollkommen recht trifft dann ja nur De***** die das selbst verantwortet haben, who cares!
Habe ich auch gerade widersprochen bei meiner TK.
Nein, doch, ooh!
Ach was!
Egal, die neue Koalition im allerbestesten Deutschland aller Zeiten inkludiert endlich auch die „Schwurbler“ und „Aluhutträger“: 😉
„Noch 2025 rollen wir die elektronische Patientenakte stufenweise aus, von einer bundesweiten Testphase zu einer verpflichtenden sanktionsbewehrten Nutzung. “
https://www.spd.de/fileadmin/Dokumente/Koalitionsvertrag_2025.pdf
Soweit ich das verstehe, bezieht sich die „verpflichtende sanktionsbewährte Nutzung“ auf Dienstleister, also Ärzte, Krankenhäuser, Apotheken usw., da wollen nämlich auch so einige nicht mitmachen.
Die Patienten können wählen, ob sie die EPA nutzen wollen oder nicht.
Ich gebe aber zu, das es etwas schwammig formuliert ist.
Sollte es für Patienten verpflichtend werden, kann ich nur hoffen, das möglichst viele der 5 % Verweigerer klagen werden, ich mach das dann auf jeden Fall und würde auch mit Eilanträgen arbeiten, d.h. zu beantragen, dass zumindest in meinem Fall weiterhin keine EPA angelegt wird, bis in der Hauptsache entschieden wurde.
Von WOLLEN kann da gar keine Rede sein. Gerade sehr große Krankenhäuser KÖNNEN gar nicht mal in ein paar Jahren eine ePA Infrastruktur aufbauen.
Vor allem nicht mit diesem politischen Wischiwaschi in den letzten Jahren.
Diese ganze Telematik Infrastruktur ist einfach für Arztpraxen und kleinen Apotheken gedacht. Klinken wurde einfach ignoriert. Oder schonmal ein eRezept oder ne eAU nach einem stationären Aufenthalt bekommen?
Schaun wir mal, was der Tino Sorge mit dem Thema macht.
Es gibt ja bald genug Alpha-Tester, mit den man experimentieren kann, da Sie zu ihrem „Glück“ gezwungen werden. Wir wohl vor allen Alte Menschen treffen, die von digitalen Dinge keine Ahnung haben und nicht wissen wie man Wiederspricht.
Ich schau mir das mal an, wie die Tests so laufen und was man bald so alles im Netz findet. Wenn das System in ein paar Jahren dann fertig enwickelt und abgesichert ist, überleg ich mir nochmal einzusteigen.
tja wenn nur 5% widersprochen haben… muss der Rest ja ziemlich alt sein oder oder ziemlich bescheuert…
Aktuell kann man die EPA auch wunderbar als kostenlosen Cloudspeicher nutzen, einfach die Files hochladen, idealerweise verschlüsselt.
Ich hab gelesen dass schon leute 2 TB dort hochgeladen haben..
…könnte was sein für die private Schmuddelbild-Sammlung, da haben dann auch Ärzte und Apotheken was zu schauen. .
Dienstag auf der DMEA hat sich Lauterbach noch gefeiert für die ePa 🙂
Wer ist Lauterbach?
Du meinst der, der seine Macht als Minister missbraucht, indem er die Untersuchung und Aufarbeitung seines Amtsmissbrauchs selbst aktiv verhindert, indem er sagt dies sei nicht nötig?
Als wenn ich vor Gericht gesagt hätte, der Fall muss nicht verhandelt werden, es gibt keine Gründe und das Gericht sagt:
OK Herr Angeklagter, stimmt, wir lassen es. Völlig irre.
Angesäuerte Grüße
Ja, bin auch da gewesen, die Talks waren dann doch eher kritischer….
Echt schade.
Gerade mit meiner Historie und Krankenaktenbergen, wäre dieser Fortschritt ein Segen.
Traurige Grüße
yep unverständlich mit diesem lächerlichen Sicherheitswahn wo niemand zustimmen muss die ePA zu nutzen
Stimmt. Niemand muss zustimmen und bald muss auch niemand mehr ablehnen:
„Noch 2025 rollen wir die elektronische Patientenakte stufenweise aus, von einer bundesweiten Testphase zu einer verpflichtenden sanktionsbewehrten Nutzung. “
https://www.spd.de/fileadmin/Dokumente/Koalitionsvertrag_2025.pdf
Wer sich mit der langen Vita (als Arzt wie Politiker) von Hr. Lauterbach intensiver befaßt, begreift rasch, weswegen er und seine Mitstreiter für ein Konstrukt wie die deutsche ePA propagandieren.
Ich behaupte, ihn ganz gut zu kennen. Erleuchte uns bitte, was du damit meinst.
Er ist „Gesundheitsökonom“ (der BWLer im Gesundheitswesen) und entsprechend agiert er auch.
Ach, die gibt es noch nicht? Was ist denn dann die Gesundheitskarte für gesetzlich Versicherte? Was wird denn da alles drauf gespeichert?
Mein Rezept bisher nur.
BTM Rezepte aber weiterhin nicht.
Die sind immer noch auf gelben Zetteln.
In den Niederlanden ist die EPA seit 15 Jahren eingeführt. In Deutschland, alles „NEULAND“.
Typisch Deutsch. Wenn wir, wie in anderen Ländern bereits seit Jahren üblich, eine über 80%ige Zahlung mit Karte haben, also Visa etc, dann fangen wir mit der ePA bei 12% an um in 123 Jahren dann vollständig diese zu nutzen.
Gestern hat übrigens jemand mene Karte ausgelesen und in TikTik veröffentlicht, dass ich vor drei Wochen eine Erkältung hatte.
Wir, die ewig Gestrigen. Die Angsthasen Europas, ach was sage ich: der Welt. Die Verschwörungsbesessenen der Welt, die… u.s.w.
Hallo MauCreek,
„Wir, die ewig Gestrigen. Die Angsthasen Europas, ach was sage ich: der Welt. “
Nun wir hatten im letzten Jahrhundert zwei totalitäre Systeme in Deutschland bzw. einem Teil davon.
Das hinterläßt Spuren, Ängste und wie ich finde, eine berechtigte Zurückhaltung gegen bestimmte Formen staatlicher Kontrolle, Datensammelei, Vereinnahmung des Einzelnen.
Ich wünschte die menschen hier im lande wären auch hinsichtlich der Datensammelwut gegenüber kommerziellen Konzernen sensibler. Denn gerade die Diktatur in III. Reich wurde auch von der Großindustrie mit getragen. Das und auch das DDr-System waren ja nicht nur die paar Leute um Hitler, Ulbricht und Honnecker: Das waren ja nicht die allein-Verantwortlichen . Die Geheimpolizeien beider Diktaturen wären froh sie hätten die Werkzeuge wie EPA, Homebanking oder allgegenwärtige Clouds gehabt. Das Smartphone in jedermanns Tasche wäre doch der beste „Inoffizielle Mitarbeiter“ den man sich wünschen konnte.
Vieles was hier – m. E. unberechtigterweise – als „Angst“ teilweise belächelt und bespöttelt wird ist Teil eines lernprozesses aus der jüngeren deutschen Geschichte.
U. a. der CCC, Vereine wie Digital Courage und so sind wichtige Mahner und „Wachhunde“ auf deren signale man viel mehr hören sollte.
Davon abgesehen wird die ePA laut Koalitionsvertrag ohnehin verpflichtend,, s. Zeile 3520:
Noch 2025 rollen wir die elektronische Patientenakte stufenweise aus, von einer bundesweiten Testphase zu einer verpflichtenden sanktionsbewehrten Nutzung.
Soweit ich das verstehe, bezieht sich die „verpflichtende sanktionsbewährte Nutzung“ auf Dienstleister, also Ärzte, Krankenhäuser, Apotheken usw., da wollen nämlich auch so einige nicht mitmachen.
Die Patienten können wählen, ob sie die EPA nutzen wollen oder nicht.
Ich gebe aber zu, das es etwas schwammig formuliert ist.
Sollte es für Patienten verpflichtend werden, kann ich nur hoffen, das möglichst viele der 5 % Verweigerer klagen werden, ich mach das dann auf jeden Fall und würde auch mit Eilanträgen arbeiten, d.h. zu beantragen, dass zumindest in meinem Fall weiterhin keine EPA angelegt wird, bis in der Hauptsache entschieden wurde.
Bekommen das nicht hin, wollen aber irgendwas mit KI aufbauen.
Klar doch.
Digital hat das Deutschland irgendwie nicht drauf.
Ich habe nicht wirklich geglaubt, dass es hierzulande in Sachen Digitalisierung mal vorangeht, und ich wurde nicht enttäuscht.
Hat denn der überwiegende Teil der Ärzte tatsächlich Zeit sich die Unterlagen, die nicht unmittelbar mit ihrem Themengebiet zu tun haben, anzuschauen. Hab die Erfahrung gemacht, dass meist darauf wenig wert gelegt wird. Leider. Würde vielleicht auch helfen. Wenigstens dem Patienten am Ende.
You get what you pay for ♂️
Es ist schon sportlich von GKV-Patienten, von einem Unternehmer geldwerte Geschenke zu erwarten¹. Der (Haus-)Arzt bekommt ein knappes Budget pro Patient und Quartal und mit dem muss er natürlich auch auskommen, „Gesundheitsökonom“en (die BWLer des Gesundheitswesen) wie Karl L. sei ‚Dank‘.
Wenn Sie da mehr erwarten empfähle sich die Behandlung² nach PKV-Tarif auf Rechnung.
¹ kein Vorwurf an GKV-Mitglieder, sie werden halt bitterböse von der Politik gefi…
² es könnte bereits genügen, eine Anamnese unter Berücksichtigung vergangener Diagnosen als Einzelleistung zu buchen
Habe ich das Konzept ePA falsch verstanden? Der im Beitrag und den Kommentaren erwähnte pauschale Vollzugriff über 90 Tage ist doch völliger Quatsch. Es muss jeder Zugriff einzeln freigegeben werden und bei jedem Dokument existiert eine Historie, wer wann darauf zugegriffen hat. Ich kann mir im aktuellen DSGVO-Umfeld, in dem wir leben, beim besten Willen nicht vorstellen, dass ein Orthopäde begründen kann, weshalb er meine Zahnarztunterlagen abgefragt hat. Bzw. ob er das in der Praxis überhaupt in Erwägung zieht, denn er muss sich ja erklären.
Sicherheitslücken, wie die vom CCC aufgedeckten, müssen geschlossen werden. Ganz klar. Aber wo kommt die Mär vom pauschalen Vollzugriff auf alle hinterlegten Daten her?
Und ja, ich nutze die ePA bereits. Gesetzlich versichert in BaWü. Bisher hat lediglich meine Krankenkasse 2 belanglose Dokumente dort automatisiert eingestellt, die ich nach Bekanntwerden der Sicherheitslücken gelöscht habe.
Das ist einer der bisherigen Systemfehler bei der EPA. Zu einem späteren Zeitpunkt soll implementiert werden, das für jedes Dokument eine explizite Freigabe erstellt werden kann.
Zur Zeit gibt es diese aber noch nicht, so dass jeder auf alles zugreifen kann. Wann sich das ändern soll, steht in den Sternen.
Zur Zugriffshistorie:
Diese ist nur sehr grob angelegt. Wenn z.B. ein Krankenhaus auf dene Dokumente zugegriffen hat, steht da eben nur das Krankenhaus, aber nicht, welcher Mitarbeiter oder Abteilung das war.
Der größte Fehler der EPA ist es, sie erstmal einzuführen, und die ganzen Sicherheitslücken erst so nach und nach schließen zu wollen, wenn es überhaupt irgendwann geschieht.