2 months ago
4
Die Kritik an der elektronischen Patientenakte (ePA) reißt nicht ab. Eine kleine Anfrage der Bundestagsfraktion Die Linke hat neue Informationen zutage gefördert, die äußerst bedenklich sind. So bleiben nicht nur Zweifel an der grundsätzlichen Sicherheit der Daten deutscher Nutzer – sie könnten unter Umständen zudem auch noch frei Haus in die USA geliefert werden.
So hat Die Linke unter anderem die Bundesregierung gefragt, welche Vorkehrungen es gibt, damit die Patientendaten der ePA nicht in die USA transferiert werden. Die gegebenen Antworten sind teilweise unvollständig oder sachlich falsch. Anlass war, dass der Chefjustiziar von Microsoft Frankreich im Juni 2025 in einer öffentlichen Anhörung nicht ausschließen konnte, dass der Microsoft auf Anordnung US-amerikanischer Behörden auch Daten europäischer Bürger weitergeben müsse. Grundlage ist hier der Clarifying Lawful Overseas Use of Data Act (CLOUD Act). Dieser verpflichtet Tech-Unternehmen aus den USA nämlich unter gewissen Umständen dazu, Daten an die Behörden zu übergeben – auch wenn diese außerhalb der Vereinigten Staaten erhoben und gespeichert worden sind.
Kann die deutsche Bundesregierung das für die ePA-Daten ausschließen? Hier verweist sie nur auf die Verträge der technischen Betreiber und der Krankenkassen. Bei denen hat Netzpolitik dann auch einmal nachgehakt, konkret bei der Techniker Krankenkasse, der Barmer GEK und der DAK, aber keine konkreten Angaben erhalten. Denn die zeigen dann wieder mit dem Finger auf die Gematik, welche für die Spezifikationen zur technischen Ausgestaltung der ePA zuständig ist. Im Klartext ist aktuell völlig offen, ob hier der Schutz der Patientendaten sichergestellt ist.
ePA: Bundesregierung macht irreführende Angaben zur Sicherheit
Zusätzlich verwies die Bundesregierung auf „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“ zum Schutz der Gesundheitsdaten und behauptete, dass ohne „den Schlüssel der Versicherten“ kein Zugriff durch Dritte möglich sei. Das suggeriert eine patientenindividuelle Verschlüsselung, die es allerdings gar nicht gibt. So war zwar für die ePA anfangs eine Ende-zu-Ende-Verschlüsselung vorgesehen, wurde dann aber nicht bei der breiten Einführung umgesetzt.
Frühere Versionen der elektronischen Patientenakte hatten auch noch die Schlüssel auf der elektronischen Gesundheitskarte der Versicherten hinterlegt, auch das strich man dann aber bei der breiten Einführung der ePA. Jetzt liegen sie auf den Servern des ePA-Betreibers. Das Gesundheitsministerium behauptet auch auf diese Weise könne die Sicherheit garantiert werden. Allerdings konnten in den vergangenen Monaten Sicherheitsexperten des Chaos Computer Clubs wiederholt die Zugriffskontrolle der ePA überwinden. Die Verschlüsselung ist dann keine Hilfe mehr.
Einige der Sicherheitslücken sind zwar geschlossen worden, andere bestehen immer noch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt erst für 2026 endgültige Lösungen in Aussicht. Aktuell ist im Übrigen die IBM Deutschland GmbH Hauptbetreiber der ePA – unter anderem für die Techniker Krankenkasse, die Barmer Ersatzkasse und die AOK. Mehr als zwei Drittel aller digitalen Patientenakten in Deutschland laufen deswegen auf IBM-Systemen.
Tja, und die IBM Deutschland GmbH ist eine Tochter der US-amerikanischen IBM Corp. Das heißt, am Ende könnten US-Behörden leider in der Tat gemäß dem oben erwähnten CLOUD Act die Herausgabe der Gesundheitsdaten aus Deutschland verlangen. Jetzt könnte natürlich die deutsche Bundesregierung versuchen, diese Abhängigkeit zu lösen – dazu gibt es aber aktuell keinerlei Pläne.
Die Sprecherin der Linken für Digitalisierung im Gesundheitswesen, Stella Merendino, kritisiert scharf, dass die ePA aktuell wirke wie „ein mangelhaftes und fahrlässiges Prestigeprojekt“. Ausbaden müssen etwaige Probleme am Ende die Nutzer.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
