Als Bundesgesundheitsminister Karl Lauterbach Ende November 2024 auf der Digital Health Conference des Digitalverbandes Bitkom über die elektronische Patientenakte sprach, klang es, als wäre Deutschland damit auf dem Zenit der Digitalisierung angekommen. Vom „größten Digitalprojekt Deutschlands“ und „größter Innovation in der Digitalisierung“ wurde die ePA bis zu einer „Sonne im Kosmos der Digitalisierung“ erhoben.
Der Nutzen für Patienten ist zum Start der ePA nach wie vor unbestritten und liegt auf der Hand: Wenn Befunde, Bilder, Medikamentenpläne und andere gesundheitsrelevante Unterlagen und Informationen an einer zentralen Stelle gespeichert und abgerufen werden können, spart das wertvolle Zeit und Ressourcen bei der Behandlung. In einem Bereich, in dem Leben und Tod so nah beieinander liegen wie im Gesundheitswesen, kann das drastische Auswirkungen haben.
In Deutschland, wo Lauterbach zufolge die Lebenserwartung inzwischen unter dem EU-Durchschnitt liegt, könnte die ePA in dieser Hinsicht also zu einer Verbesserung beitragen. Aus wirtschaftlicher Sicht kann die Ersparnis ebenfalls nicht schaden, denn „unser Gesundheitssystem ist sehr teuer und bestenfalls mittelmäßig“, attestierte der Minister.
Datenschatz aus einer Milliarde Kontakten pro Jahr
Neben der ePA scheint im digitalen Gesundheitskosmos von Karl Lauterbach noch eine zweite Sonne: Das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) beim Bundesinstitut für Arzneimittel- und Therapiesicherheit. Hier sollen künftig die Daten der ePA mit Daten aus medizinischen Registern und Genomdaten zusammengeführt und über pseudonymisierte Krankenversichertennummern mit Abrechnungsdaten der Krankenkassen verknüpft werden.
Auf der Bitkom Veranstaltung sollte sich das Publikum vor Augen führen „wie groß dieser Datenschatz ist“, der sich aus einer Milliarde Arzt-Patienten-Kontakten pro Jahr für Therapieentscheidungen, aber auch für die Medizinforschung und Gesundheitspolitik ergibt. Lauterbach sprach von einem der weltweit größten und interessantesten Gesundheitsdatensätze, der beim FDZ Gesundheit Tag für Tag weiter anwächst.
Opt-Out zur Datenspende
In diesem Zusammenhang kam der SPD-Politiker auch auf die Wichtigkeit der Widerspruchslösung zu sprechen, welche diese umfassenden Datenspenden erst möglich mache. Die ePA wird ab dem 15. Januar im Rahmen des Opt-Out-Verfahrens – das heißt ohne eigenes Zutun – schrittweise für 70 Millionen gesetzlich Versicherte von den Krankenkassen eingerichtet. Im Umkehrschluss bedeutet das: Wer keine ePA möchte, muss der Einrichtung aktiv widersprechen. Gleiches gilt für die Datenspende an das FDZ Gesundheit.
Gesundheitsdaten sind „KI-ready“
Die Struktur der Gesundheitsdatensätze sei „KI-ready“, was sich zum einen auf die Bewältigung und Nutzbarkeit der enormen Datenmengen mithilfe von KI bezieht. Zum anderen sollen auf Basis der Daten neue generative KI-Systeme trainiert werden. Das Interesse am Datensatz sei weltweit sehr groß, versicherte Lauterbach. Er berichtete von Gesprächen mit Meta, Open Ai und Google, die alle daran interessiert seien, ihre KI-Sprachmodelle für diesen Datensatz zu nutzen beziehungsweise daran zu arbeiten.
Eine Kostprobe im Zusammenspiel mit KI lieferte wenige Wochen zuvor das Fraunhofer Institut für Sichere Informationstechnologie (SIT), indem es die ePA mithilfe einer KI in puncto Sicherheit überprüfte. Ergebnis: Die ePA für alle ist sicher.
Künstliche Sicherheit oder künstliche Gefahr?
Doch eine Sonne am Zenit kann untergehen und die Welt in Schatten tauchen. Genau dort, in der Schattenwelt, agieren auch die Kriminellen und Habgierigen, die von dem großen Schatz etwas abhaben wollen, der sich aus den wertvollen Daten von 70 Millionen gesetzlich Versicherten speist. Wie leicht der unbefugte Zugriff auf die hochsensiblen ePA-Daten selbst ohne Gesundheitskarte gelingen kann, demonstrierten Ende Dezember 2024 Sicherheitsforscher auf dem Kongress des Chaos Computer Clubs (CCC).
Die „halluzinierte Fehldiagnose“, als die der CCC die positive Sicherheitsbewertung der ePA betrachtet, scheint den Verantwortlichen allerdings wenig Kopfzerbrechen zu bereiten. Die Gematik, die als nationale Agentur für die digitalen Anwendungen im deutschen Gesundheitswesen verantwortlich ist, räumte in einer Stellungnahme umgehend ein, dass die Angriffsszenarien des CCC zwar technisch möglich seien, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich. Dazu müssten verschiedene Voraussetzungen erfüllt sein, wie die illegale Beschaffung von Ausweisen nebst PIN und komplexe technische Manipulation.
Zudem seien unberechtigte Zugriffe auf die ePA strafbar und könnten Geld- und Freiheitsstrafen nach sich ziehen. Ob sich potenzielle Datendiebe von den drohenden Konsequenzen abschrecken lassen, ist fraglich. Die Gematik kündigte jedenfalls weitere technische Umsetzungen und Sicherungsmaßnahmen, wie eine zusätzliche Verschlüsselung der Krankenversichertennummer, an.
Auch der Gesundheitsminister beschwichtigte angesichts der Sicherheitsbedenken und verspricht: „Die Daten der Bürger sind sicher vor Hackern“. Dazu stehe man mit dem CCC und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in engem Austausch. Die elektronische Patientenakte würde nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte. Das sei aber nicht zu befürchten.
Empfehlungen zum Widerspruch
Von diesen Bekundungen – und der ePA selbst – sind längst nicht alle überzeugt. Der Präsident der Bundesärztekammer, Klaus Reinhardt, teilte nach den Warnungen des CCC mit, die ePA zum aktuellen Stand Patienten nicht empfehlen zu können und forderte Nachbesserung. Auch Michael Hubmann, Präsident des Verbandes der Kinder- und Jugendärzte (BVKJ) äußerte sich kritisch: „Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen.“
Der BVKJ riet Eltern schon vor Bekanntwerden der Sicherheitslücken zum Widerspruch gegen die ePA, da sich Datenschutzrisiken für Kinder und Jugendliche ergeben können. So gäbe es zum Beispiel bisher noch keine Lösung, um ehemals Berechtigten den Zugang zu den sensiblen Daten von Kindern und Jugendlichen wieder zu entziehen.
Umfrage: Breite Zustimmung in der Bevölkerung
In der Bevölkerung stößt die ePA kurz vor dem Start dagegen auf breite Zustimmung. In einer YouGov-Umfrage Anfang Januar 2025 im Auftrag der Deutschen Presseagentur (dpa) gaben 79 Prozent an, die elektronischen Patientenakte für sehr sinnvoll oder eher sinnvoll zu halten. Als überhaupt nicht sinnvoll oder eher nicht sinnvoll bewerteten die ePA dagegen 16 Prozent.
Ob man die ePA nun befürwortet oder ihr skeptisch gegenübersteht, ändert nichts an einem entscheidenden Punkt: Grundsätzlich haben die Versicherten ihre ePA selbst in der Hand. Sie können der Einrichtung widersprechen oder die Löschung veranlassen, Zugriffsrechte beschränken und mitbestimmen, welche Informationen gespeichert werden. Ob und wie gut das in der Praxis funktioniert, wird sich ab dem 15. Januar zeigen.