Die elektronische Patientenakte (ePA) soll das Gesundheitswesen in Deutschland modernisieren und den Informationsaustausch zwischen Ärzten, Krankenhäusern und Patienten erleichtern. Alle medizinischen Daten eines gesetzlich Versicherten werden zentral gespeichert und sollen jederzeit abrufbar sein. Während Befürworter schnellere Diagnosen und bessere Behandlungen versprechen, gibt es erhebliche Bedenken hinsichtlich Datenschutz, Sicherheit und möglicher Missbrauchsmöglichkeiten. Wie funktioniert die ePA genau? Welche Vorteile bringt sie – und welche Risiken könnten auf die Versicherten zukommen?

➥ Autor: Niki Vogt

➥ Buchempfehlung: Die elektronische Patientenakte – vom Ende der Schweigepflicht

Wie funktioniert die ePA?

Seit dem 15. Januar 2025 werden die Gesundheitsdaten aller gesetzlich Versicherten automatisch in einer elektronischen Akte gespeichert. Die Daten werden zentral und von überall zugänglich gespeichert und mit der elektronischen Gesundheitskarte (eGK) verknüpft. Alle ärztlichen Befunde, Laborberichte, Verschreibungen für Medikamente, Operationen, Zahnbehandlungen, Physiotherapie, Kuren usw. werden hier dokumentiert. Allerdings liegen sie nicht direkt auf der Karte, sondern auf Servern, ähnlich wie bei Online-Banking-Systemen.

Die ePA soll eine schnellere und effizientere medizinische Versorgung ermöglichen, indem Ärzte und medizinisches Personal alle relevanten Informationen auf einen Blick haben. Das kann in Notfällen entscheidend sein. Doch während das Gesundheitsministerium die Vorteile betont, sehen Kritiker erhebliche Probleme – vor allem beim Datenschutz.

Das Opt-out-Verfahren: Du kannst der ePA widersprechen

Entgegen vieler Befürchtungen ist die Teilnahme an der ePA nicht verpflichtend. Jeder Versicherte kann sich dagegen entscheiden – muss dies aber aktiv tun. Das nennt sich Opt-out-Verfahren. Und viele werden von diesem Recht wohl Gebrauch machen.

Während die Krankenkassen in ihren Schreiben die Vorteile der ePA hervorheben¹, zeigt die Erfahrung, dass viele Versicherte skeptisch bleiben. Bei der Testphase 2021 entschieden sich nur etwa 1 Prozent (!!!) der Versicherten freiwillig für die Nutzung der ePA. Damals mussten die gesetzlich Versicherten die ePA noch ausdrücklich anfordern. Man war ziemlich sicher, dass die ePA gut ankommen würde. Das war aber nicht so. Viele lehnten die Teilnahme ab. Sei es aus Datenschutzgründen oder, weil sie sich nicht mit der zusätzlichen Bürokratie auseinandersetzen wollten.

Dennoch setzen Krankenkassen und Gesundheitsministerium auf die Digitalisierung und preisen die ePA als Meilenstein für die medizinische Versorgung an. Eine Umfrage der Techniker Krankenkasse zeigt, dass viele Menschen die Digitalisierung im Gesundheitswesen zwar grundsätzlich begrüßen, gleichzeitig aber große Vorbehalte gegenüber neuen Technologien wie der ePA oder künstlicher Intelligenz im medizinischen Bereich haben.

Die Nachteile der ePA

Datenschutzbedenken: Wer kann auf deine Gesundheitsdaten zugreifen?

Einer der größten Kritikpunkte an der ePA ist die Speicherung der Daten in der sogenannten European Health Data Space (EHDS). Sobald ein Patient seine Karte auf den Praxistresen am Empfang aushändigt und damit Zugriff auf seine Akte gibt, verliert er im Prinzip die Kontrolle über seine Daten. Ohne aktives Opt-out werden die Daten automatisch in den Daten-Pool des EHDS eingespeist. Das bedeutet, dass nicht nur behandelnde Ärzte, sondern auch Forschungseinrichtungen und die Pharmaindustrie darauf zugreifen können – ganz legal und ohne direkte Zustimmung der Patienten. So hat es jedenfalls die EU geplant und will das als Gesetz verabschieden.

Günter Born, Digital- und Sicherheitsfachmann im IT-Bereich, sieht darin ein massives Problem. Er schreibt auf seinem Blog:

„Ich habe aus aktuellem Anlass etwas gegraben. Mir liegen nun aktuell Informationen hinsichtlich technischer Umsetzung und Zugriffsmöglichkeiten auf die ePA vor, die ich so nicht erwartet hatte – technisch läuft es auf ein Desaster hinaus und das Ende der ärztlichen Schweigepflicht ist absehbar. Versicherte sollten daher dringend über ein ePA-Opt-out nachdenken.“

Und weiter führt er aus:
„Hier sind wir in der Praktikabilitätsfalle: Wenn es möglichst einfach sein und für die meisten Patienten und Patientinnen funktionieren soll, muss das Ganze offen wie ein Scheunentor sein. EGK (e-Gesundheitskarte) stecken und fertig – die ePA ist dann für 90 Tage gegenüber der Praxis offen. Damit verliere ich die Kontrolle über die Daten – die ja auch – so die gesetzliche Planung der EU – ohne Opt-Out-Recht in den European Health Data Space (EHDS) eingespeist und dann der (Pharma-)Industrie zur Verfügung gestellt werden.“

Ein weiteres Risiko: Zugriffsrechte für medizinisches Personal. Sobald ein Patient seine ePA freigibt, können nicht nur Ärzte, sondern auch Physiotherapeuten, Zahnärzte, Heilpraktiker oder sogar Hörgeräte-Akustiker Daten einsehen und ergänzen. Das kann unerwünschte Folgen haben.

Veränderte Arzt-Patienten-Beziehung: Gefahr der Voreingenommenheit?

Ein weiterer Kritikpunkt ist die mögliche Voreingenommenheit durch gespeicherte Diagnosen. Wechselt ein Patient seinen Arzt, kann der neue Mediziner auf die bisherigen Einträge zugreifen – inklusive möglicher Fehldiagnosen oder abfälliger Bemerkungen früherer Behandler.

Das könnte dazu führen, dass Patienten mit psychosomatischen Beschwerden, psychiatrischen Diagnosen oder früheren Suchterkrankungen nicht mehr unvoreingenommen behandelt werden. Ein Arzt könnte beispielsweise eine neue Symptomatik vorschnell als Fortsetzung einer früheren Erkrankung deuten – und dabei eine tatsächliche neue Diagnose übersehen.

Besonders problematisch wird es, wenn Fehldiagnosen vorliegen und der neue Arzt sie ungeprüft übernimmt. Ein falscher Eintrag in der ePA kann so über Jahre hinweg die Behandlung beeinflussen – möglicherweise mit tragischen Konsequenzen.

Sicherheitslücken in der ePA: Ein Paradies für Hacker?

Und nicht nur das: Wenn sich ein Hacker in die Server einer Klinik einhackt oder bei Deinem Hausarzt – und dort Schadprogramme einschleust oder beliebigen Unsinn in verschiedene elektronischen Akten einschleust, dann hast Du das in Deiner Akte und bekommst möglicherweise richtig Probleme. Denn was in der ePA drinsteht, das ist drin und gilt. Immer. Überall. In allen Deinen Dokumenten.

Künstliche Intelligenz und Datenschutz: Wer liest in Deiner ePA mit?

Günter Born ist noch pessimistischer. Insbesondere, was die künstliche Intelligenz (AI oder KI) angeht:

„Der Therapeut oder die Praxis nutzt da ein solches Produkt und öffnet die Dokumente in der Patientenakte – Big Brother AI liest mit. Einige Gedanken dazu sind im Beitrag Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/ Datenschutz nachzulesen. Und wenn ich das Ganze sicherheitstechnisch betrachte, sträuben sich mir die Nackenhaare. Es braucht keine Fähigkeiten als Wahrsager, um zu erkennen, was da in Zukunft dräut.“

Seitenlang kann man auf der Webseite des Bundesgesundheitsministeriums die wunderbaren Vorteile nachlesen und sich freuen, wie alles (in der Theorie) wunderbar ineinandergreift. Und wie penibel alles mehrfach gesichert ist. So steht unter dem Punkt „Haben Unbefugte Zugriff auf meine ePA?“ folgendes sehr optimistisches Statement:

„Nein. Nur Patientinnen und Patienten sowie das von ihnen berechtigte medizinische Personal haben Zugriff auf die Daten. Selbst Krankenkassen und ihre Ombudsstellen können die Daten in der  ePA nicht einsehen.“

Das war ein wenig sehr voreilig optimistisch. Sicher, diejenigen, die auf diese ePA zugreifen dürfen, müssen ja auch erst darauf geschult werden, wie man mit der elektronischen Patientenakte umzugehen hat. Bei ausgebufften Hackern ist das aber etwas ganz anderes. Für die ist das ein Fingerspiel und es ist bekannt, dass persönliche Daten eine wahre Goldgrube sind, die viel Geld einbringen – in besondere die vulnerablen Gesundheitsdaten.

Hacker-Angriffe: Wie sicher sind die sensiblen Daten wirklich?

Daher ist die ePA ein Paradies für Hacker, die diese Daten an solche Unternehmen verkaufen. Und es geht viel einfacher, als man denkt:

So konnten keine drei Wochen vor dem ePA-Roll-out  zwei Leute vom Chaos Computer Club  beim Hacker-Kongress „38C3“ in Hamburg in kurzer Zeit live vorführen, wie leicht man das Datengold aus den ePAs abziehen kann. Der berühmt-berüchtigte CCC hatte die Sicherheitsmängel schnell ausgemacht. Auf dem Kongress führten zwei IT-Sicherheitsexperten vor, wie sie sehr flott die Sicherheitsvorkehrungen aufs Kreuz legen können und auf einen Streich nach Belieben auf alle 70 Millionen Patientenakten zugreifen. 

Die beiden konnten ganz leicht und auf mehrere, verschiedene Weisen die elektronischen Patientenakten flott knacken. Sie führten auf der Bühne vor, wie sie einfach und immer wieder neu, gültige Heilberufs- und Praxisausweise sowie die Gesundheitskarten Dritter beschaffen und damit – für das System legal – auf Gesundheitsdaten zugreifen konnten. Besonders brisant: Es war Herr Bundesgesundheitsminister Lauterbach, der noch Ende September 2024 erklärte, das bisher noch niemand  die ePA-Technologie hacken konnte.

Ein Wunder ist es nicht. Wenn man sieht, welche Organisationen da alle eingebunden sind und alle „Zugangsschlüssel“ haben. Es gibt bei der ePA Hunderte von Teilnehmer auf verschiedenen Verwaltungsebenen, was die Möglichkeiten an Lücken vervielfältigt, durch die man eindringen kann. Dass die Chaos-Computerleute auf der Bühne zeigen konnten, wie man an sogar gültige Ausweise für Heilberufe gelangt, ist schon sehr bedenklich.

Ärzte schlagen Alarm: Datenschutz weiterhin mangelhaft

Nach den aufgedeckten Sicherheitslücken wurde die Einführung der ePA zunächst gestoppt und in eine erweiterte Testphase überführt. Doch auch dort gibt es weiterhin massive Probleme. Die Seite Krankenkasseninfo berichtet unter dem Titel: „Digitalisierung – Datenschutz bei ePA noch mangelhaft – Ärzte fordern Nachbesserungen„:

„Bundesärztekammer-Präsident Klaus Reinhardt hat angesichts gravierender Datenschutzmängel bei der elektronischen Patientenakte (ePA) rasche Nachbesserungen gefordert. Die festgestellten Sicherheitsmängel seien zu groß und stellten mögliche Einfallstore dar.“

Fazit: Lohnt sich die ePA oder sollte man widersprechen?

Die elektronische Patientenakte ist ein zweischneidiges Schwert. Auf der einen Seite stehen potenzielle Vorteile wie eine schnellere und einfachere Kommunikation zwischen Ärzten und eine bessere Versorgung der Patienten. Auf der anderen Seite gibt es erhebliche Risiken, insbesondere in Bezug auf Datenschutz, Datensicherheit und den Missbrauch von Gesundheitsdaten durch Dritte.

Die Entscheidung, ob man an der ePA teilnehmen möchte, sollte gut überlegt sein. Wer Bedenken hat, kann und sollte das Opt-out-Verfahren nutzen und sich gegen die automatische Speicherung seiner Daten entscheiden.

Letztlich bleibt abzuwarten, ob die bestehenden Sicherheitsmängel behoben werden – oder ob sich die ePA als ein Datenschutz-Desaster mit weitreichenden Folgen herausstellt.

1. Günter Born schreibt hierzu: „Ich habe die Tage den Brief der Techniker Krankenkasse bekommen. Der O-Ton liest sich echt gut: ‚Ab Januar 2025 bekommen Sie automatisch eine elektronische Patientenakte (ePA). Das wurde gesetzlich so entschieden. Dafür brauchen Sie nichts zu tun. Wir kümmern uns um alles.‘
   Ein Zuckerl gibt’s natürlich auch noch, ich hätte nie wieder Papierkram, brauche mein gelbes Heft mit den Impfungen nie wieder zu suchen, bekomme meine anstehenden Vorsorgeuntersuchungen auf einen Blick angezeigt, weiß, welche Medikamente und Leistungen ich (abgerechnet) bekomme und die ePA ermöglicht den Arztpraxen sich schnell untereinander auszutauschen. Und meine Gesundheitsdaten sind besonders sicher im TK-Safe gespeichert. Da entscheide ich auch, wer meine Daten sehen darf. Wer kann da schon Nein sagen?“ ↩︎