Der geschäftsführende Gesundheitsminister hat für den 29. April die bundesweite Einführung der elektronischen Patientenakte (ePA) verkündet. Vor diesem Hintergrund wollten die NachDenkSeiten unter anderem wissen, aus welchen Gründen Karl Lauterbach beschlossen hat, die ePA trotz der von IT-Experten des Chaos Computer Clubs aufgedeckten und laut diesen bis heute nicht gelösten Sicherheitsproblemen noch kurz vor Antritt der neuen Bundesregierung einzuführen. Ebenso wurde thematisiert, dass Karl Lauterbach von den negativen Folgen der ePA, etwa bei Datenleaks, nicht betroffen sein wird, da er wie auch ein Großteil der Ministerialbeamten privatversichert ist und die ePA-Einführung sowie die geplante Bereitstellung dieser Daten „für die Forschung und für weitere gemeindienliche Zwecke“ in dieser Form nur Kassenpatienten betrifft. Von Florian Warweg.

Dieser Beitrag ist auch als Audio-Podcast verfügbar.

Podcast: Play in new window | Download

Hintergrund

In einem offiziellen Schreiben wandte sich der geschäftsführende Gesundheitsminister Lauterbach Mitte April an die Gesellschafter der Digitalagentur Gematik, welche sich für die technische Umsetzung der „ePA für alle“ verantwortlich zeichnet und verkündete für den 29. April den bundesweiten Start der umfassend kritisierten elektronischen Patientenakte (ePA). Die „intensive Testung“ der ePA in den Modellregionen habe Lauterbach zufolge gezeigt, „dass die Technik einsatzbereit ist“, und deshalb sei es „jetzt an der Zeit, in die entscheidende Phase einzutreten“.

Massive Kritik von Datenschützern und IT-Experten

Diese bundesweite Einführung erfolgt trotz massiver Kritik von IT- und Datenschutzexperten. So hatte erst Ende März der amtierende Bundesdatenschutzbeauftragte Ulrich Kelber bei der Vorstellung seines Jahresberichts scharfe Kritik an der ePA geäußert. Er kritisierte unter anderem die Tatsache, dass alle gesetzlich Versicherten E-Patientenakten bekommen – außer, sie lehnen diese proaktiv ab. Dies greife laut Kelber „erheblich in das Grundrecht auf die informationelle Selbstbestimmung“ ein. Zudem verwies der Bundesdatenschutzbeauftragte in seinem Bericht auf „erhebliche Gefährdungen für die Rechte der Versicherten“, wenn Daten beispielsweise „zu HIV-Infektionen, Schwangerschaftsabbrüchen oder psychischen Erkrankungen“ bekannt werden würden, „weil sie Anlass zur Diskriminierung oder Stigmatisierung geben können“. Grundsätzlich würde er die Digitalisierung des Gesundheitswesens und der Pflege begrüßen, allerdings sehe er nicht, dass dies derzeit in der Form der ePA datenschutzkonform ablaufen würde.

Mindestens ebenso kritisch äußerten sich die IT-Experten des Chaos Computer Clubs. Die IT-Experten Bianca Kastl und Martin Tschirsich hatten im vergangenen Jahr zahlreiche Schwachstellen bei der elektronischen Patientenakte aufgedeckt und sehen nach eigener Darstellung die Sicherheitsprobleme bis heute nicht beseitigt. Beide Experten erklärten am 16. April, also eine Woche nach Bekanntgabe der bundesweiten Einführung der ePA durch Lauterbach:

„Die demonstrierten Sicherheitsmängel der elektronischen Patientenakte bestehen fort. Die bisher angekündigten Updates sind grundsätzlich ungeeignet, die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen. (…) Eine umfassende Behebung aller von uns demonstrierten Mängel kann nur mit kompromissloser Aufklärung und Transparenz erreicht werden, die bisher nicht stattgefunden hat.“

Als Konsequenz forderten die beiden IT-Experten eine „unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken“ und bezeichneten die bisherige „Sicherheitsaussage über die ePA“ durch Lauterbach als „hohle Phrase“. Ebenso verlangten Kastl und Tschirsich eine „transparente Kommunikation von Risiken gegenüber Betroffenen“, die bisher auch nicht erfolgt sei.

Auch der Vorsitzende der Kassenärztlichen Bundesvereinigung, Andreas Gassen, hatte im März ausdrücklich den Starttermin am 29. April infrage gestellt. Selbst in den Testregionen fehlte laut ihm mit Stand März noch in der Hälfte der Praxen, die mitmachen wollten, die dafür nötige Software. Außerdem müssten alle bisher entdeckten Sicherheitslücken geschlossen werden und dies müsse vom Bundesdatenschutzbeauftragten auch noch offiziell bestätigt werden. Gassen betonte diesbezüglich:

„Vorher kann und darf es keine verpflichtende Einführung geben.“

Ein weiterer Kritikpunkt, auf den etwa der Fachjournalist Norbert Häring hingewiesen hat, ist die Tatsache, dass von den negativen Folgen der ePA, etwa bei Datenleaks aufgrund der genannten Sicherheitslücken, vor allem Kassenpatienten betroffen wären. Lauterbach ist jedoch, wie die Mehrheit der Ministerialbeamten und Bundestagsabgeordneten, privat versichert. Dies hatte er auf Anfrage von ARD-Frontal bereits 2013 eingeräumt.

Auf der Informationsseite des Bundesgesundheitsministeriums „Die elektronische Patientenakte für alle“ findet sich bezüglich des Unterschieds im Umgang mit den Daten von privat oder gesetzlich Versicherten dieses vielsagende „Detail“:

„Die Daten aus der elektronischen Patientenakte von Privatversicherten werden vorerst nicht über das Forschungsdatenzentrum Gesundheit für die Forschung und für weitere gemeindienliche Zwecke bereitgestellt.“

Der entscheidende Unterschied

Privatversicherer müssen die ePA, im Gegensatz zu gesetzlichen Versicherern, nicht einrichten, und es braucht vorab die Zustimmung des Versicherten. Gesetzlich Versicherte müssen hingegen aktiv widersprechen, ohne diesen aktiven Widerspruch sind die Versicherer dazu verpflichtet, die elektronische Patientenakte einzurichten. Das heißt auch, die jeweiligen Ärzte müssen die ePA von privat Versicherten nicht befüllen, nehmen also nicht an dem verpflichtenden System teil. Und im Gegensatz zu gesetzlich Versicherten werden die Daten aus der ePA nicht „für Forschung und weitere gemeindienliche Zwecke“ an das Forschungsdatenzentrum Gesundheit sowie Google und Co (über die entsprechend für die ePA vorgesehenen Cloud-Systeme) weitergegeben.

Auszug aus dem Wortprotokoll der Regierungspressekonferenz vom 23. April 2025

Frage Warweg

Der geschäftsführende Gesundheitsminister hat für den 29. April die bundesweite Einführung der elektronischen Patientenakte, der ePA, verkündet, und das trotz der von den IT-Experten des Chaos Computer Clubs aufgedeckten Sicherheitslücken, die laut diesen auch bis heute nicht gelöst sind. Da würde mich interessieren: Aus welchen Gründen hat sich Herr Lauterbach entschlossen, die ePA trotz der erwähnten Sicherheitslücken jetzt kurz vor Antritt der neuen Bundesregierung noch bundesweit durchzudrücken?

Gülde (BMG)

Herr Warweg, Herr Minister Lauterbach hat sich zu diesen Themen ja eindringlich geäußert. Die Lücken sind, wie gesagt, weitgehend ausgeräumt. Probeweise wird die ePA dann am 29. April an den Start gehen. Insofern verweise ich auf die Äußerungen des Ministers.

Zusatzfrage Warweg

Dann habe ich noch eine generelle Verständnisfrage. Auf der Webseite des BMG steht, dass die Einführung der ePA im Gegensatz zu Kassenpatienten für Privatversicherte freiwillig sei. Verstehe ich es richtig, dass damit der Gesundheitsminister, der ja wie auch die meisten Bundestagsabgeordneten und Staatssekretäre und auch hier anwesende Sprecher privatversichert ist, von den potenziellen negativen Folgen der ePA, die beispielsweise der Datenschutzbeauftragte hier im März thematisiert hat, gar nicht persönlich betroffen sein wird?

Vorsitzender Feldhoff

Herr Warweg, bitte keine Mutmaßungen über den Versicherungsschutz unserer Gäste! Ich glaube, das trifft einfach nicht zu. Es ist auch unangemessen, nicht?

Zusatz Warweg

Das ist ein Fakt!

Vorsitzender Feldhoff

Haben Sie eine Umfrage unter den Kolleginnen und Kollegen gemacht, die neben mir sitzen, wie sie versichert sind?

Zusatz Warweg

Es gibt Datenerhebungen über alle mit einem Beamtenstatus, und es gibt einen ausführlichen „SPIEGEL“-Artikel, der auch den Privatversichertenstatus von Herrn Lauterbach bestätigt.

Vorsitzender Feldhoff

Oh, meine Güte! Okay.

Gülde (BMG)

Herr Warweg, vielleicht einmal ganz, ganz kurz zur Sache: Für die Versicherten ist die ePA-Nutzung freiwillig. Das heißt, das, was Sie hier betonen, nämlich die ePA-Nutzung sei für Kassenversicherte irgendwie eine Pflichtveranstaltung, ist schlicht und ergreifend falsch. Für Versicherte ist die ePA-Nutzung freiwillig. Ärzte müssen sie nutzen. Die verpflichtende Regelung gilt lediglich für Ärzte.

Zusatzfrage Warweg

Nach dem Stand, also auch nach dem, was Ihr eigenes Ministerium kommuniziert, müssen Kassenpatienten dem aktiv widersprechen, wohingegen sich diese Frage bei Privatpatienten gar nicht stellt. Da ist es den Kassen sozusagen freigestellt, auf die ePA einzugehen. Das ist bei Kassenpatienten nicht der Fall. Sagen Sie also, dass die eigene Aussage Ihres Hauses so nicht stimmt?

Gülde (BMG)

Noch einmal: Die Nutzung der ePA für die Versicherten ist freiwillig. Ja, Sie müssen halt gegebenenfalls irgendwie widersprechen. Wie Sie möglicherweise auch wissen, hat das BMG keinen Einfluss auf privatrechtlich abgeschlossene Versicherungen, also private Versicherungen. Insofern bleibt es dabei: Die ePA-Nutzung für Versicherte ist freiwillig.

Titelbild: Screenshot NachDenkSeiten, Bundespressekonferenz 23.04.2025