Elektronische Patientenakte für alle: Lauterbachs letztes Desaster
Seit Ende April wird die „Elektronische Patientenakte für alle“ (ePA) bundesweit genutzt. Expert:innen für IT-Sicherheit warnen jedoch seit Jahren vor Sicherheitslücken.
Am 29. April war es nach reichlich Verzögerung so weit: Die Elektronische Patientenakte 3.0 – auch „Elektronische Patientenakte für alle“ oder kurz: epA genannt – wurde bundesweit ausgerollt. Zuvor gab es bereits eine Nutzung dieser Version in einigen Testregionen. Die Probleme der ePA sind allerdings vielfältig. Nicht nur ist der Datenschutz kaum zu gewährleisten, was besonders für marginalisierte Gruppen schwerwiegende Folgen haben kann. Die ePA droht sogar zu einem weiteren mächtigen Werkzeug für Überwachung und Repression zu werden.
In einer Rede im Bundestag Ende 2023 verkündete der damalige Gesundheitsminister Karl Lauterbach (SPD) noch großspurig, das verwendete System „konnte bisher noch nie gehackt werden […]“. Vielleicht meinte Lauterbach, dass er es nicht konnte, denn Mitglieder des Chaos Computer Clubs (CCC) verweisen seit Jahren auf gravierende Sicherheitsmängel und demonstrieren diese immer wieder, wie etwa auf den vom CCC veranstalteten Kongressen 36C3 2019 und 38C3 2024. Dabei zeigten sie gleich mehrere Möglichkeiten auf, sich Zugang zu den ePAs und damit zu den darin hinterlegten Gesundheitsdaten zu verschaffen, wobei der Arbeitsaufwand sich auf wenige Stunden bis einen Monat belief und die Angriffe überwiegend remote, das heißt von zu Hause aus, durchführbar waren. Teilweise reichte es aus, sich ein paar Utensilien auf Kleinanzeigen zu beschaffen.
Vor dem Start der ePA versuchte Lauterbach weiter, zu beschwichtigen, und bezeichnete sie als „extrem sicher“. Nur 24 Stunden nach dem Start hatte der CCC die ePA erneut gehackt. Zwar gab die gematik, die die Gesamtverantwortung für die Telematikinfrastruktur (TI) in Deutschland trägt, auf der die ePA basiert, bekannt, man habe die Sicherheitslücke umgehend geschlossen; allerdings war es eben nur eine Sicherheitslücke in einer ganzen Historie.
Eine Historie weist auch die ePA selbst auf. Der Beschluss zur Einführung einer elektronischen Patientenakte erfolgte bereits 2003. Am 1. Januar 2021, das heißt 18 Jahre später, startete die ePA in der Version 1.0, 2022 folgte Version 2.0. Bis 2025 und damit der ePA für alle beziehungsweise Version 3.0 waren die gesetzlichen Krankenkassen zwar verpflichtet, den Versicherten die ePA anzubieten; diese mussten für eine Nutzung aber mittels Opt-in zustimmen. Der Erfolg war eher mäßig: Laut der Bundesärztekammer besaßen im Mai 2022 lediglich 480.000 Personen eine ePA. Schon damals drängten der Deutsche Ärztetag und Politiker:innen daher auf ein Opt-out-Verfahren, welches in Zusammenhang mit dem 2023 verabschiedeten „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ beschlossen wurde. Opt-out bedeutet, dass für jede:n Versicherungsnehmer:in bei einer gesetzlichen Krankenkasse eine ePA angelegt wird, es sei denn, Versicherte widersprechen explizit. Der damals amtierende Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte, dass „es […] sicherlich auch ein völliger Fehler [war], Sicherheitsmaßnahmen herauszunehmen. Sowohl beim Zugriff auf die Akte, als auch für die Aufgabe der individuellen Verschlüsselung im System“.
Dabei wäre eigentlich ein besonders hohes Maß an Sicherheit geboten, handelt es sich doch um sensible Gesundheitsdaten, die nun in der ePA gespeichert werden. Dazu zählen unter anderem Befunde, Diagnosen, Therapiemaßnahmen, Vorsorgeuntersuchungen, Behandlungsberichte, Arztbriefe, Medikationspläne und weitere. Zugriffsberechtigt sind zunächst einmal Personen, die in einem Behandlungsverhältnis mit Patient:innen stehen, demnach Ärzt:innen, Apotheker:innen, Zahnärzt:innen, Psychotherapeut:innen, Pflegekräfte, Hebammen, Heilmittelerbringer:innen, Notfallsanitäter:innen, Betriebsärzt:innen, Mitarbeiter:innen des Öffentlichen Gesundheitsdienstes sowie entsprechend Azubis und Gehilf:innen aus den jeweiligen Bereichen. Zugriff erhalten diese Personen standardmäßig für 90 Tage nach Auslesen der elektronischen Gesundheitskarte; eine Ausnahme bilden Apotheker:innen, der öffentliche Gesundheitsdienst und Arbeitsmediziner:innen, für die ein Zeitraum von drei Tagen gilt. Damit Versicherte auf ihre ePA zugreifen können, benötigen sie eine App. Ohne diese App können Versicherte ebenfalls eine ePA führen, in die Ärzt:innen, Apotheker:innen oder andere berechtigte Personen Daten einstellen und vorhandene Daten einsehen können. Zum eigenständigen Einsehen und Verwalten empfiehlt das Gesundheitsministerium in diesem Fall ein:e Vertreter:in, der:die die App benutzt. Weiterhin können Versicherte in Apotheken durch die assistierte Telemedizin die Daten in ihrer ePA einsehen und Dokumente löschen lassen. Über Ombudsstellen bei den Krankenkassen können Versicherte Widersprüche durchsetzen und Zugriffsbeschränkungen erteilen. Was das Gesundheitsministerium nicht thematisiert, ist die Abhängigkeit der Nutzer:innen von der ePA-App. Oder anders formuliert: Ohne App kein eigenständiges Verwalten der ePA. Dies dürfte insbesondere ältere Menschen sowie Personen ohne Smartphone überdurchschnittlich häufig betreffen.
Kein Recht auf informationelle Selbstbestimmung
Die mangelnde Selbstbestimmung beginnt allerdings nicht erst beim Verwalten der Daten in der ePA – sie beginnt bei der automatischen Einrichtung der ePA ohne aktive Einwilligung der Versicherungsnehmer:innen selbst. Natürlich steht es jedem frei, der ePA zu widersprechen, doch kann die Aufklärung darüber allenfalls als mangelhaft bezeichnet werden, wenn sich Personen nicht ohnehin für Themen wie Datenschutz und IT-Sicherheit interessieren. Bei einer so umfassenden Maßnahme wie der ePA kann die Aufklärung, um eine informierte Entscheidung treffen zu können, aber nicht zur Privatangelegenheit erklärt werden. Schließlich geht es um die Daten von über 70 Millionen Menschen.
2020 erklärte Christine Aschenberg-Dugnus von der FDP noch, dass Schweigen nicht als Zustimmung gewertet werden könne, da damit der gesellschaftliche Konsens missachtet werde. Viele Menschen fühlten sich ihr zufolge nicht ausreichend informiert, um eine so weitreichende Entscheidung zu treffen; möglicherweise erhielten sie in der Vergangenheit falsche Informationen. Diese Aussage bezog sich allerdings nicht auf die ePA, sondern fiel in einer Debatte um die Organspende. Die Mehrheit im Bundestag stimmte damals für die Entscheidungslösung, das heißt Opt-in statt Opt-out. Nicht so bei der ePA: Hier gilt Opt-in nur für privat Versicherte.
Mit der ePA für alle kommt darüber hinaus eine – im Vergleich zu Version 2.0 – Verschlechterung hinsichtlich dessen, was „feingranulares Berechtigungs-Management“ genannt wird. Gemeint ist damit, dass Besitzer:innen einer ePA zwar den Zugriff auf ein bestimmtes Dokument sperren können, dieses dann aber für alle zugriffsberechtigten Personen gesperrt ist. Oder anders formuliert: Es ist nicht mehr möglich, Dokumente in der ePA nur bestimmten Personen zugänglich zu machen. Lediglich können Versicherte einzelne Leistungserbringer insgesamt sperren, die dann aber auf die gesamte ePA keinen Zugriff mehr haben. Das Bündnis widerspruch-epa.de warnt jedoch, dass Leistungserbringer „selbst bei gesperrten Dokumenten immer noch auf die Abrechnungsdaten und den Medikationsplan in der ePA zugreifen [können]. Aus diesen Daten können sie dann gegebenenfalls auch auf gesperrte Behandlungen schließen. Wenn ein Patient z.B. Psychopharmaka erhält, dürfte allein diese Information sehr viel aussagen“.
Unterlaufen wird so auch ein wesentlicher Grundsatz im Kontext medizinischer Behandlungen: die ärztliche Schweigepflicht. Wenn alle Zugriffsberechtigten alles lesen können, dann ist diese ganz einfach nicht mehr gewahrt. Dies dürfte vor allem für Personen mit psychischen und/oder chronischen Erkrankungen, Menschen mit HIV oder anderen gesellschaftlich stigmatisierten Krankheiten ebenso wie für ihre Behandler:innen von besonderer Bedeutung sein.
Wo es Daten gibt, gibt es Begehrlichkeiten
Neben der Zusammenführung und Digitalisierung von Dokumenten besteht die zweite wesentliche Funktion der ePA in der Bereitstellung von Daten für die Forschung, wobei Versicherte dieser auch widersprechen können; die Daten nur für bestimmte Studien zur Verfügung zu stellen, funktioniert hingegen nicht. Forscher:innen beziehungsweise Institutionen können beim Forschungsdatenzentrum des Bundes einen Antrag stellen, um diese Daten zu nutzen. Zuvor werden die Daten pseudonymisiert, wobei Expert:innen jedoch kritisieren, dass es mit relativ geringem Aufwand möglich ist, pseudonymisierte Daten eben doch einzelnen Personen zuzuordnen.
Nun kann man sicherlich argumentieren, dass Forschung etwas ist, was letztlich allen Menschen früher oder später in irgendeiner Weise zugute kommen wird, insbesondere dann, wenn sie dazu beiträgt, Krankheiten zu bekämpfen und die Gesundheit zu fördern – allerdings leben wir in einem kapitalistischen System. Auf die Daten sollen nicht nur unabhängige Forschungsinstitute und Universitäten Zugriff haben, sondern auch Konzerne, allen voran die Pharmaindustrie. Kapitalistische Unternehmen werden so befähigt, aus Millionen von Daten Profit zu schlagen. Spätestens bei der Impfstoffentwicklung im Zusammenhang mit der COVID-19-Pandemie wurde deutlich, dass Konzerne Profite über Menschenleben stellen. So erhielt beispielsweise das Biotechnologieunternehmen BioNTech eine staatliche Förderung in Höhe von 375 Millionen Euro und generierte allein 2021 einen Nettogewinn von 10,3 Milliarden Euro. Im gleichen Jahr ging nur ein Prozent der gesamten Impfstoffproduktion an Länder mit geringem Einkommen. Darüber hinaus lehnte die Bundesregierung die Freigabe der Patente ab. Sie gehörte damit einer Minderheit an, die den Vorschlag zur Freigabe, den Südafrika und Indien bei der Welthandelsorganisation (WTO) eingebracht hatten, blockierte.
Es verwundert also nicht, dass die kommerzielle Nutzung der Gesundheitsdaten aus den ePAs auch dem ehemaligen Aufsichtsratsvorsitzenden und neuen Bundeskanzler Friedrich Merz (CDU) ein besonderes Anliegen ist. Um zusätzliche Anreize zu schaffen, schlug er vor, dass diejenigen, die ihre Daten zur Verfügung stellen, zehn Prozent weniger Krankenversicherungsbeiträge bezahlen sollten. In Deutschland „werde zu viel über Datenschutz und zu wenig über Datennutzung“ gesprochen. Dieser Behauptung widerspricht allen voran das miserable Abschneiden der gematik in puncto IT-Sicherheit bei der ePA.
Diskriminierung im Gesundheitswesen
Wie schon in Zusammenhang mit der unterlaufenen ärztlichen Schweigepflicht angedeutet, bringt die ePA für einige Personengruppen durchaus mehr Risiken mit sich als für andere. Im Anschluss an den Vortrag zu Sicherheitslücken der ePA, den Bianca Kastl und Martin Tschirsich auf dem 38C3 gehalten haben, stellte eine Person explizit die Frage danach, ob es zum Problem für trans Personen werden könnte, dass es nicht möglich ist, Daten nur bestimmten Zugriffsberechtigten zur Verfügung zu stellen. Kastl, die selbst trans ist, beantwortete die Frage in ähnlicher Weise wie die Deutsche Aidshilfe, die auf besondere Problematiken für queere und trans Menschen, Personen mit HIV, Personen mit psychischen Erkrankungen und sich in Substitution befindenden Menschen verweist.
Allein die Medikationsübersicht kann Hinweise auf die Geschlechtsidentität, Sexualität, eine Substitution oder HIV-Infektion enthalten, was ebenso für Abrechnungsdaten der Krankenkassen gilt. Zwar können Patient:innen dem Einstellen aller Dokumente mit HIV-Bezug in die ePA widersprechen, haben dann aber selbst auch keinen Zugriff mehr auf die Dokumente. Die gleiche Situation ergibt sich, wenn Personen den Teilbereichen der Abrechnungsdaten und der Medikationsübersicht widersprechen. Es bliebe noch die Möglichkeit, einzelne Institutionen oder Ärzt:innen zu sperren, allerdings müsste dies bei neuen Ärzt:innen jedes Mal aktiv erfolgen. Die Deutsche Aidshilfe betont, dass HIV-positive Menschen immer noch „Benachteiligung in besonderem Maße im Gesundheitswesen“ erleben. Es müsse daher für Patient:innen möglich sein „jederzeit voll umfänglich steuern [zu] können, wer ihre Gesundheitsdaten jeweils einsehen und nutzen kann“. Bei allen „Prozessen der Digitalisierung müssen […] Ungleichgewichte, [die aufgrund der ungleich verteilten Machtverhältnisse zwischen Patient:innen und Ärzt:innen bestehen], und Interessenskonflikte beachtet und abgewogen werden“.
Nach dem rechten Anschlag in Magdeburg entbrannte eine diffamierende Debatte über Menschen mit psychischen Erkrankungen, die in der Forderung des CDU-Generalsekretärs Carsten Linnemann nach einem Online-Register gipfelte. Hierzu sollten sich Polizei und Verfassungsschutz auch Daten über Patient:innen von Kliniken, Psychiater:innen und Psychotherapeut:innen bedienen können. Es sei angemerkt, dass ein Register für psychisch kranke Straftäter:innen bereits besteht. Wenig später forderte der Bundesrat in einem Entschließungsantrag die Bundesregierung auf, für den schnellen Einsatz einer polizeilichen Analysesoftware zu sorgen. Der Antrag behauptet, dass „in der jüngsten Vergangenheit oftmals Personen mit psychischen Auffälligkeiten als Täter von Gewalttaten in Erscheinung getreten“ seien. Für die Einschätzung „eines möglichen Gewaltpotentials Einzelner“ sollen „sicherheitsrelevante Informationen“ unter anderem aus Gesundheitsämtern oder von Ärztekammern einbezogen und mit Erkenntnissen und Daten sämtlicher anderer Behörden, Ämter, Justiz und aus dem Straf- und Maßregelvollzug vernetzt werden. Der Bundesrat möchte es der Polizei demnach ermöglichen, Gesundheitsdaten zu durchleuchten.
Durch eine Lücke in der Strafprozessordnung könnte die ePA zum Einfallstor für Polizei und Justiz werden. Ärztliche Unterlagen und Aufzeichnungen unterliegen in Deutschland einem Beschlagnahmeverbot. Dieses setzte zunächst voraus, dass sich jene Dokumente in Gewahrsam von Ärzt:innen befanden. Mit Einführung der elektronischen Gesundheitskarte (eGK) wurde dieses Verbot insofern ausgeweitet, als auch die eGK unter das Beschlagnahmeverbot fällt, obwohl sie sich in Gewahrsam des:der Patient:in befindet. Eine solche Regelung gibt es für die ePA jedoch nicht. Es ist bisher offen, welche Auswirkungen das Fehlen der ePA im Gesetz haben könnte, da noch keine höchstrichterlichen Entscheidungen dazu vorliegen.
Die ePA zeigt deutlich, dass die Heilsversprechen der Digitalisierung bezweifelt werden müssen. Dabei könnte die Technologie tatsächlich das Leben der großen Mehrheit der Menschen verbessern.
Der CCC betont, dass die zahlreichen Sicherheitslücken im Verlauf der ePA unter anderem den Verlust des Vertrauens in ein digitales Gesundheitswesen nach sich ziehen. Er fordert daher eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“, eine „transparente Kommunikation von Risiken gegenüber Betroffenen“ sowie einen „offenen Entwicklungsprozess über den gesamten Lebenszyklus“.
Die Digitalisierung im Gesundheitswesen muss den Patient:innen dienen, anstatt eine kostenlose Datenquelle für Polizei, Geheimdienste und Konzerne darzustellen! Die vom CCC formulierten Forderungen sind ein wichtiger Schritt dorthin. Darüber hinaus brauchen wir ein Gesundheitssystem, das auf die Bedürfnisse der Menschen und nicht auf die Profite von Konzernen ausgerichtet ist. Ein solches ist nur durch die Verstaatlichung unter Kontrolle der Arbeiter:innen möglich, wobei den Gewerkschaften eine zentrale Rolle zukommt. Um die Gewerkschaften wieder zu Kampforganen der Arbeiter:innenklasse zu machen, müssen in ihnen Strömungen aufgebaut werden, die in der Lage sind, sich gegen die Gewerschaftsbürokratien zu stellen und stattdessen die Selbstorganisation der Arbeiter:innen voranzutreiben – wie etwa durch Streikversammlungen oder Koordinationsgremien zwischen verschiedenen Sektoren. Denn ein Gesundheitssystem ohne Profite kann nicht von einer bürgerlichen Regierung durchgesetzt werden, sondern nur von einer Regierung der Arbeiter:innen selbst, die sich auf die Organe der proletarischen Selbstorganisierung in den Betrieben und Sektoren stützt.
