Die elektronische Patientenakte (ePA) steht kurz vor ihrer "Einführung" ab Januar 2025. Der Chaos Computer Club (CCC) fordert auf Grund von Sicherheitslücken ein "Ende der ePA-Experimente am lebenden Bürger". Fachleute weisen zudem auf die Gefahr einer Stigmatisierung hin, oder bezweifeln die Rechtmäßigkeit eines Opt-out für Minderjährige. Hier ein Überblick über den aktuellen Stand.
Anzeige
Ab dem 15. Januar 2025 soll die elektronische Patientenakte (ePA) – zunächst in Modellregionen – verpflichtend für alle gesetzlich Krankenversicherten kommen. Man kann nur die Einrichtung der ePA per Opt-out ablehnen. Lobbyisten machen den Leuten mit der Aussage "ohne ePA wirst Du nicht behandelt" Angst und hoffen, dass wenige Versicherte von ihrem Recht auf Opt-out Gebrauch machen. Inzwischen ist auch klar, dass es vordergründig um Datensammlung für die Industrie und Big-Tech geht (siehe Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz").
Ich hatte diese Entwicklung und die Hintergrundinformationen hier im Blog in zahllosen Beiträgen aufbereitet (siehe Links am Artikelende). Netzpolitik hat diverse Probleme ebenfalls Anfang Dezember 2024 im Beitrag Elektronische Patientenakte: Widerspruch im Keim erstickt analysiert.
CCC zur Mär der "sicheren ePA"
Die gematik sowie die Protagonisten werden ja nicht müde, die "Sicherheit der ePA" zu betonen. Dass es gravierende Schwachpunkte im Konzept der ePA gibt, die ein Fraunhofer-Gutachten benennt, hatte ich im Beitrag Sicherheitsgutachten zur elektronischen Patientenakte (ePA) angesprochen.
Eine der zentralen Argumentationen der gematik ist ja, dass nur befugtes Personal in Form von Apotheken, Ärzten, Therapeuten auf die ePA zugreifen können. Und nur, wenn ein Versicherter seine Gesundheitskarte (eGK) einlesen lässt, bekommt das Personal Zugriff auf die Daten, die in der ePA gespeichert sind. Was soll schon schief gehen?
Anzeige
Was aber, wenn sich der Heilberufsausweis erschleichen ließe? Und was wäre, wenn die eGK zum Zugriff auf die Patientenakte gar nicht erforderlich wäre? Dann hätte man Zugriff auf die Daten aller ePA-Konten.
Der CCC deckt Schwachstellen auf
Der Chaos Computer Club (CCC) hat sich des Themas angenommen und zeigt, dass genau die oben in den Fragen angerissenen Schwachstellen existieren. Im Beitrag CCC fordert Ende der ePA-Experimente am lebenden Bürger wird der CCC sehr deutlich.
Der Chaos Computer Club (CCC) begleitet die Lösungen aus dem Hause Gematik seit Jahren kritisch und hat schon einige Sauereien wie die geplante Obsoleszenz der TI-Konnektoren, die Fails beim Ident-Verfahren oder die Angaben zur Kosten-Nutzen-Rechnung aufgedeckt.
Nun offenbart eine erneute Analyse des aktuellen Stands wieder Bedenkliches in Sachen Sicherheit der ePA. Durch die Umstellung der ePA vom bisherigen (kaum genutzten) Opt-In auf Opt-Out kommt die Patientenakte für gesetzlich Versicherte automatisch für alle, die nicht widersprechen. Alle Gesundheitsdaten der Versicherten, die kein Opt-out vornehmen, werden ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank zusammengeführt.
Das Problem: Wie erwartet kann auch die ePA 3.0 die Sicherheitsversprechen nicht halten. Die erneute Analyse des aktuellen Stands förderte Bedenkliches ans Licht. Sicherheitsforscher zeigen auf dem gerade stattfindenden 38C3 unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen. Mit diesen Ausweisen lässt sich über die TI auf Gesundheitsdaten zugreifen. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld (neu ist das nicht, wurde das bereits auf dem 36C3 demonstriert).
Aber es kommt noch dicker, es heißt ja, es braucht das Krankenkassenkärtchen, damit der Arzt auf die ePA zugreifen kann. Der CCC schreibt, dass seine Sicherheitsforscher auf dem 38C3 demonstrieren, wie Mängel in der Spezifikation es das Erstellen von Zugriffstoken für Akten beliebiger Versicherter ermöglichen. Ein Zugriff auf Gesundheitskarten (eGK) ist nicht erforderlich. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten, schreibt der CCC.
Auch hier ergibt sich nichts neues, konnte der CCC bereits in der Vergangenheit einen Fernzugriff auf Patientenakten über unsicher konfigurierte IT, sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge, nachweisen.
Trotzdem soll nun im Rahmen der Initiative "ePA für alle" das Experiment auf fast alle Versicherten ausgedehnt werden, schreibt der CCC. Der CCC geht auch auf das von mir oben erwähnte Sicherheitsgutachten des Fraunhofer-Instituts ein. Das gematik Sicherheitskonzept musste von einer KI gelesen werden, und wurde "mit geringen Mängeln für sicher" befunden – was Stirnrunzeln hervorrufen sollte. Die Gematik stellte erfreut fest: "Gutachten bestätigt: ePA für alle ist sicher" – der CCC klassifiziert dies als halluzinierte Fehldiagnose.
Nur wenn die Sicherheit der „ePA für alle" ausreichend gewährleistet ist, werden Leistungserbringer und Versicherte die ePA akzeptieren und auch nutzen, meint nicht nur der CCC. Das dazu notwendige Vertrauen lässt sich eben nicht verordnen, ist das Credo der Fachleute. Gefordert wird eine ePA zu bauen, die den individuellen Sicherheitsbedarf berücksichtigt. Die gemeinsamen Forderungen der Sicherheitsforscher und des CCC lauten:
- Unabhängige und belastbare Bewertung von Sicherheitsrisiken,
- transparente Kommunikation von Risiken gegenüber Betroffenen und
- ein offener Entwicklungsprozess über den gesamten Lebenszyklus.
Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.
Beschwichtigung der gematik
Die gematik hat umgehend mit einer Stellungnahme reagiert und erklärt, die Hinweise zur Sicherheit der neuen elektronischen Patientenakte (ePA für alle) entsprechend ernst zu nehmen. Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, gesteht die gematik ein. Aber man ist der Ansicht, dass die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich sei, da verschiedene Voraussetzungen erfüllt sein müssen.
Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.
Die gematik stehe zudem im intensiven Austausch mit den Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Man habe bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert und ist mit deren Umsetzung gestartet.
Dann weist die gematik darauf hin, dass für die ab 15. Januar 2025nstartende Pilotphase zunächst nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt. Security by obscurity.
Vor dem bundesweiten Rollout werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Die zusätzlichen Sicherungsmaßnahmen sind bereits in Erarbeitung und haben folgenden Fokus:
- Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
- Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer.
- Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten.
- Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.
Grundsätzlich gilt laut gematik-Sprech weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft – in enger Abstimmung mit den zuständigen Behörden und externen Expert:innen.
Ich stelle fest: Wunderbar gegendert und ansonsten gibt es Sicherheit per Definition. Was bringt ein Sicherheitsaudit der Spezifikation durch das Fraunhofer Institut, wenn die Implementierung nun offenbar modifiziert erfolgt. Experten gaben im November 2024 an, dass die gesamte Implementierung noch ungetestet sei, weil die Test-Suiten schlicht noch fehlen. Es ist alles eine "Operation am lebenden Herzen". Da hilft auch der Verweis auf das BSI nichts – das ePA-Konzept ist schlicht unrettbar kaputt.
Kritik von weiteren Experten
In den letzten Wochen sind mit interessante Stellungnahmen und Interviews zur ePA unter die Augen gekommen. Bereits Anfang 2024 forderte der Bundesverband der Psychotherapeuten ein Opt-in bei der elektronischen Patientenakte für Kinder (siehe diesen heise-Beitrag). Mitte Dezember 2024 hat heise dann im Beitrag ePA 3.0: Warum Ärzte vor der elektronischen Patientenakte für Kinder warnen nachgelegt. Die ePA bietet in diesem Bereich jede Menge Konfliktpotential – und Eltern müssen Entscheidungen für ihre Kinder treffen, die vielleicht Jahrzehnte später zum Problem werden.
Das Vertrauen in die ePA ist bei Ärzten und informierten Zeitgenossen eh nicht vorhanden, wie dieser heise-Artikel analysiert. Eine Psychologin sieht im Artikel Elektronische Patientenakte 3.0: Psychologin sieht hohes Stigmatisierungsrisiko erhebliches Probleme für Versicherte – nichts mit der shiny happy world, die der Gesundheitsminister propagiert.
Und die Mär des "aber mit den erhobenen Daten können wir forschen" räumt der ehemalige IQWiG-Leiter, Jürgen Windeler, im Artikel Interview zu Forschungsvorhaben: "Elektronische Patientenakte kein Heilsbringer" ab. Wo man hin schaut oder nachhakt, zeigt sich ein Desaster nach dem anderen. Es bleibt eigentlich nur eine Verweigerung der ePA 3.0 durch Opt-out – und ohnmächtig zuschauen, wie Milliarden verbrannt werden. Wer sich immer noch nicht informiert fühlt, sei auf die ePA 3.0 FAQ bei heise bzw. die folgenden Artikel verwiesen.
Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen CyberangriffeEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx "falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten
Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz"
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Anzeige
An diesem Punkt bin auch ich raus. Ich war jemand der die ePA verteidigt hat und ich halte das nach wie vor auch für eine gute Idee. Manche Punkte unterschreibe ich auch so nicht, z.B. dass es primär darum geht Unternehmen den Zugang auf die Gesundheitsdaten zu ermöglichen.
Aber der Schutz der Daten muss hier an erster Stelle stehen und wie sich gerade herausstellt gibt es eklatante Sicherheitsmängel. Ich wollte diesem Projekt wirklich eine Chance geben die Digitalisierung in Deutschland nach vorne zu bringen. Möglicherweise können wir digital einfach nicht. Es ist zum Mäuse melken.
Ich bin auch nach wie vor eigentlich ein Verfechter der Idee hinter der ePA. Aber es wurde eben leider wie so oft einfach richtig Kacke umgesetzt. So machen sie die Idee hinter der ePA kaputt.
Die Idee ist ja auch gut, so wie Weareables auch gut sind, eigentlich. Was daraus geworden ist oder wie es(schlecht) umgesetzt wird, ist halt mehr als fragwürdig.
Das Thema IT Sicherheit ist in der gesamten Branche fragwürdig. Egal ob IT Dienstleister oder Leistungserbringer. Solange man zu nichts gesetzlich verpflichtet wird passiert hier nichts. Angestellte können hier intervenieren wie sie wollen, es wird das gemacht was Chef sagt was richtig wäre.
So einfach ist es leider nicht.
IT-Security ist eine hochkomplexe Angelegenheit und je mehr Beteiligte es gibt, desto mehr Angriffsflächen entstehen.
Leider scheint das Konzept des ePA so komlex, dass es wahrscheinlich gar nicht möglich ist, jeden Vector zu schließen.
Da helfen auch keine neuen Gesetze, es geht einfach nicht.
Ich rede hier von Systemen die kaum abgesichert sind. Das hat nichts mit der Komplexität der ePA zu tun.
Was ist mit den Leistungserbringern vor Ort. Auch hier gibt es unzählige Beispiele wo die Datenbanken der PVS Systeme nur rudimentär geschützt sind und ansonsten jegliche Grundlagen der IT Sicherheit aus Gründen der Bequemlichkeit ignoriert werden?
Hier wird noch einiges auf uns zu kommen.
"Ich rede hier von Systemen die kaum abgesichert sind. Das hat nichts mit der Komplexität der ePA zu tun. "
Ok, das hat sich mir bei dem Thema nicht erschlossen ;-)
Ob es sich aber um eine "Angestellten-Chef Sache" handelt wage ich zu bezweifeln.
Es ist eher ein allgemeines Problem.
IT-Sec kostet richtig Geld und geht in den meisten Fällen mit einem Verlust der Bequemlichkeit einher.
Zusätzlich bringt es erst einmal keinen ersichtlichen Vorteil und wird
daher wohl gerne ignoriert.
Alles in allem sollte man einfach davon ausgehen, dass alle Daten die irgendwo gespeichert werden grundsätzlich öffentlich sind.
"Was ist mit den Leistungserbringern vor Ort. Auch hier gibt es unzählige Beispiele wo die Datenbanken der PVS Systeme nur rudimentär geschützt sind und ansonsten jegliche Grundlagen der IT Sicherheit aus Gründen der Bequemlichkeit ignoriert werden?"
Ich habe für zwei PVS-Anbieter im Support gearbeitet. Das Thema Sicherheit kam da immer wieder auf. Auf der einen Seite sitzen vielfach Quereinsteiger im Support, die das PVS für die Installation durchklicken können, aber ansonsten von IT-Sicherheit so viel Ahnung haben, wie von IT grundsätzlich.
Auf der anderen Seite gibt es im deutschen Gesundheitswesen viele Selbstständige, die die Anforderungen nicht oder nur rudimentär erfüllen können, weil ihnen das Wissen und / oder die Kapazität fehlt.
99 % der Kunden im Gesundheitswesen verstehen nicht mal den TI-Konnektor, der – salopp gesagt – nichts weiter als ein Router mit integriertem VPN darstellt. In der Praxis wird der Einsatz im Reihenbetrieb empfohlen, wo sich der Konnektor hinter dem Router befindet, um über den sogenannten "Secure Internet Service" (SIS) oder den KV-SafeNet einen VPN-Tunnel zur TI aufzubauen. Damit soll der Datenverkehr vom regulären Internetverkehr getrennt werden. Zumindest in der Theorie.
Im Parallelbetrieb braucht man zusätzlich eine dedizierte Firewall. Alle Clients mit installiertem PVS werden dann vom Rest des Netzwerkes "isoliert", sodass zwar zwei beide Zonen über den Router nach draußen finden, aber der Client mit PVS zwangsläufig durch den Konnektor und die Firewall gehen muss, während andere Clients ohne PVS den "kürzesten Weg" zum Internet nutzen.
Du brauchst heutzutage eine Zertifizierung nach § 75b Absatz 5 SGB V durch die KBV, um als IT-Dienstleister oder selbstständiger Turnschuhadmin in den Praxen tätig zu werden. Ein Garant dafür, dass elementare IT-Sicherheitsstandards eingehalten werden, ist das allerdings nicht.
Analyse und Veröffentlichung gibt es von Kastl oder via CCC-Seiten …
Danke für den Link zum Stream! Sehr interessant und zugleich erschreckend – entweder wissen die Verantwortlichen nichts davon oder wollen es einfach nicht wissen, "weil nicht sein kann was nicht sein darf" – ich befürchte letzteres.
tja, wenn unsere Gesellschaft und Führung bei IT so weiter macht … hab ich bald Lust mehr auf geile IT, Security oder Compliance. Zum Glück kann ich auch Survival, spreche Sprachen oder fahr Klasse T – bis 50 Tonnen . Egal, weit weg…
Ich schreibe es nochmals groß und deutlich:
§ 335 SOZIALGESETZBUCH V ABSATZ 3 DISKRIMINIERUNGSVERBOT
Die Versicherten dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 bewirkt oder verweigert haben.
§ 334 SOZIALGESETZBUCH V ABSATZ 1 SATZ 2 ANWENDUNGEN DER TELEMATIKINFRASTRUKTUR
Die Anwendungen der Telematikinfrastruktur dienen der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung. Anwendungen sind:
1. die elektronische Patientenakte nach § 341
Lobbyisten, schreibt euch das hinter eure Ohren!
@Tom – kennst Du "Mensch aus Glas"? Eine von mir favorisierte Band hatte vor Jahren damit Weitsicht …
Hallo Günter,
hast du schon den Ansprechpartner für eine DSGVO-konforme nach gespeicherten Daten? Es würde mich interessieren, wie es mit der schon geteilten Opt-out aussieht, nach dem eines Tages bundesweit gestarteten Go. Vor allem, ob sich doch Daten in dieser komplexen Anwendung finden lassen, die da nicht hingehören.
Ich habe den Kommentar inhaltlich nicht verstanden – und nein Ansprechpartner habe ich keine in diesem Konglomerat.
Hallo,
ich habe der ePA im Online-Formular meiner KV widersprochen (AOK). Zunächst wurde das wegen angeblich falscher Daten abgelehnt, weshalb der Vorgang in einer Beratungsstelle vom Sachbearbeiter erneut ausgeführt wurde.
Diesmal kam postalisch die positive Bestätigung, in der es u.a. heißt: "Versicherte, die keine ePA möchten, können der Einrichtung widersprechen".
Klingt gut, aber:
"Ihre ePA legen wir ab dem 15.01.2025 wunschgemäß für Sie an und werden keine Abrechnungsdaten an ihre ePA übermitteln."
Für mich klingt die zweite Formulierung widersprüchlich. Kann jemand bestätigen, dass eine ePA bei Widerspruch trotzdem angelegt und lediglich nicht genutzt wird?
Das klingt nicht nach einer Bestätigung eines Widerspruchs. Nochmal widersprechen.
Eine durch die KV rechtlich korrekte Bestätigung des Widerspruchs sollte mindestens folgende 3 Aussagen enthalten:
– Ihren Widerspruch vom xx.xx.xx gegen die Anlage der ePA haben wir erhalten (oder erfasst oder verarbeitet)
– Wir bestätigen Ihnen, dass keine ePA für sie zum 15.01.2025 angelegt wird
– Sie haben jederzeit die Möglichkeit, Ihren Widerspruch zu widerrufen
Die AOK besteht aus 11 eigenständigen Körperschaften.
Alle "kochen" ihre eigene Suppe in Bezug auf den Widerspruch zur ePA.
Einige haben Onlineformulare. Bei der AOK NordWest z.B. muss man noch per PDF-Formular der Anlage der ePA widersprechen, welches man per Post versenden muss.
Jetzt kommt das Aber und das könnte das Problem sein, was bei Deinem Widerspruch zu Missverständnissen führte:
Zitat*: "Zusätzlich haben Sie bei einigen AOKs die Möglichkeit, bereits vor Start der neuen ePA verschiedenen Funktionen einzeln zu widersprechen. Auch bei den anderen AOKs wird das schon bald möglich sein."
Das bedeutet, dass die ePA zwar angelegt wird, jedoch einzelne Funktionen (welche, liegen mir gerade leider nicht vor) durch den Nutzer/Patienten eingeschränkt werden können.
Kann es sein, dass Du beim Ausfüllen des Formulars versehentlich ein Häkchen falsch gesetzt hast oder ähnliches?
Oder hat der Sachbearbeiter einen Fehler gemacht?
*https[://]www.aok.de/pk/versichertenservice/epa-widerspruch/
Hallo,
da gibt es keine Häkchen, die man vergessen kann: Der Online-Antrag ist leicht verständlich (mit Bildern, wo man welche Angaben auf der Versichertenkarte findet) und eindeutig formuliert – man hat nur die Auswahl zwischen ablehnen oder zustimmen.
Was der Sachbearbeiter beim zweiten Versuch wie ausgefüllt hat, kann ich nicht beurteilen. Mir wurde aber bestätigt, dass es keine Abweichungen beim Datensatz gäbe und die erste Ablehnung eigentlich nicht sein könne.
Ich habe den Antrag nochmal ausgefüllt, mal sehen, ob die wieder was daran auszusetzen haben……
"ohne ePA wirst Du nicht behandelt" << Wieso haben Privatversicherte dann keine? ;)
Das ist ein weiterer Anhaltspunkt, warum man hellhörig werden sollte. Immerhin sind ca. 10% aller Versicherten bei einer PKV.
Das Gesundheitsministerium sagt:
"Die privaten Krankenversicherungen können ihren Versicherten ebenfalls eine ePA anbieten. Viele Versicherer bereiten dies gerade vor."
Beim gesetzlich Versicherten ist der Vertragspartner des Arztes die GKV, beim privat Versicherten ist es der Patient.
Vielleicht gilt hier: Wer zahlt, bestimmt die Regeln? Reine Vermutung ;-)