![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
Einen Tag nach dem Deutschlandstart der elektronischen Patientenakte (ePA 3.0) musste die Betreiberin der Infrastruktur, die gematik, bereits eingestehen, dass man eine weitere Sicherheitsl\u00fccke, die der CCC gemeldet hatte, kurzfristig beseitigt habe. Jetzt wurde bekannt, dass das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) genau vor diesem Szenario gewarnt hatte.<\/p>\n
<\/p>\n
Zum 29. April 2025 war der Stichtag, zu dem die Elektronische Patientenakte (ePA 3.0) aus dem Pilotbetrieb (seit 15. Januar 2025) in den Regelbetrieb wechselte. Alle gesetzlich Krankenversicherten, die nicht f\u00fcr ein Opt-out votiert hatten, besitzen eine solche von den Krankenkassen angelegte und verwaltete Elektronische Patientenakte (ePA 3.0).<\/p>\n
Der fl\u00e4chendeckende Betrieb ist freiwillig f\u00fcr Leistungserbringer und startete mit Verz\u00f6gerung (der Start war urspr\u00fcnglich zum 15. Februar 2025 geplant, aber es gab massive Probleme in der Pilot-Phase, siehe Apothekenumschau: Insights zum ePA 3.0-Testlauf \u2013 es hakt weiterhin<\/a>). Erst zum 1. Oktober 2025 wird die ePA-Unterst\u00fctzung f\u00fcr Leistungserbringer verpflichtend.<\/p>\n Ab dem 1.1.2026 ist eine fehlende ePA-Unterst\u00fctzung durch Leistungserbringer sanktionsbewehrt, d.h. es gibt Abz\u00fcge bei der Verg\u00fctung. Den Status der ePA 3.0 zum fl\u00e4chendeckenden Start hatte ich im Beitrag\u00a0Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025<\/a> umrissen: Kaum Funktionen, viele Praxen k\u00f6nnen noch keine ePA 3.0 unterst\u00fctzen.<\/p>\n Tipp: heise gibt in diesem Artikel<\/a> einige Erl\u00e4uterungen zur ePA samt Verwaltung der Daten per Krankenkassen-App durch die Versicherten. Die Redaktion hat sich die M\u00fche gemacht, die betreffenden Links zum App-Download f\u00fcr zahlreiche Krankenkassen zusammen zu tragen.<\/p><\/blockquote>\n Seit die gesetzlichen Grundlagen f\u00fcr die Elektronische Patientenakte (ePA 3.0) mit Opt-out f\u00fcr die gesetzlich Krankenversicherten geschaffen wurden, kreiste ein Teil der Debatte um die Frage der Sicherheit der Daten. Nur zur Erinnerung: Wir haben ein System, bei dem Hunderttausende Stellen potentiell auf die Daten in den elektronischen Patientenakten zugreifen k\u00f6nnen – Zugang soll die Gesundheitskarte (eGK) der Versicherten und ggf. eine App der Krankenkassen regeln.<\/p>\n Jeder Fehler schl\u00e4gt sofort auf die Sicherheit durch. Problem ist beispielsweise auch, dass diese Daten f\u00fcr staatliche Akteure (staatliche Hacker und Geheimdienste) von Interesse sein k\u00f6nnen (siehe Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe<\/a>). Auch das BSI kritisiert im betreffenden Artikel die Sicherheit der TI-Infrastruktur, viele Leistungserbringer haben die IT-Sicherheitsma\u00dfnahmen nicht umgesetzt. Wir sind weit von einer sicheren Anbindung an die Telematik Infrastruktur (TI) entfernt.<\/p>\n Zudem sollen die Daten aus der ePA in das Forschungsdatenzentrum Gesundheit weitergeleitet werden. Hie\u00df es erst noch, dass die Daten pseudonymisiert zusammengef\u00fchrt werden, hatte ich im Beitrag\u00a0Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025<\/a> darauf hingewiesen, dass ab\u00a0Mitte 2025 neben den Abrechnungsdaten weitere Daten der gesetzlich Versicherten automatisch an das Forschungsdatenzentrum Gesundheit \u00fcbermittelt werden sollen. Dort sollen \u00fcber den Spitzenverband der gesetzlichen Krankenkassen unter anderem die von den Pflege- und Krankenkassen \"\u00fcbermittelten Daten [\u2026] in versichertenbezogene Datens\u00e4tze zusammen\" gef\u00fchrt werden.<\/p>\n Die Daten der Versicherten wandern zus\u00e4tzlich in Zukunft in den European Health Data Space (EHDS), da Patienten europaweit behandelt und die \u00c4rzte auf deren Daten zugreifen k\u00f6nnen sollen. Beim EHDS gibt es kein Widerspruchsrecht der Patienten, nur in den einzelnen EU-Mitgliedsstaaten kann ein Opt-in oder Opt-out bei der Erfassung der Gesundheitsdaten zugestanden werden.<\/p>\n Sprich: Die ePA-Daten entwickeln nach der Erfassung ein Eigenleben und urspr\u00fcngliche Zusicherungen \"alles ist sicher, der Patient hat die Kontrolle\" haben sich nach meinem Gef\u00fchl in Luft aufgel\u00f6st. Erste Begehrlichkeiten sind ja zu erkennen – selbst Prof. Karl Lauterbach schw\u00e4rmte vom riesigen Datenschatz, an dem US-Unternehmen wie Meta und Alphabeth Interesse zeigten (Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den \"Datenschatz\"<\/a>).<\/p>\n Noch Gesundheitsminister Prof. Karl Lauterbach verk\u00fcndete immer, dass die ePA 3.0 nicht an den Start gehe, wenn nicht alle Sicherheitsl\u00fccken geschlossen w\u00e4ren. Vor dem Start zum 29. April 2025 hie\u00df es dann \"die Elektronische Patientenakte ist sicher, die Schwachstellen wurden beseitigt\". Fachleute bezweifelten dies immer wieder – was aber von den Verantwortlichen abgetan wurde. Hier ein kurzer Abriss, was mir\u00a0 zu diesem Thema spontan einf\u00e4llt.<\/p>\n Es zeigt sich ein wiederkehrendes Muster: Sicherheitsforscher weisen auf Probleme hin, die gematik als Bereitsteller der Infrastruktur negiert ein Problem oder reagiert bei konkretem Nachweis einer Schwachstelle. Sicherheitsfachleute bezeichnen das Konstrukt der ePA 3.0 in Bezug auf die Sicherheit der Daten als \"Flickwerk\". Aufgezeigte Schwachstellen wurden durch \"Winkelz\u00fcge\" wie Abschaltung von Funktionen ausgeb\u00fcgelt.<\/p>\n Kommen wir zum letzten Fall, den ich im Beitrag ePA 3.0: Neue Sicherheitsl\u00fccke entdeckt und geschlossen<\/a> aufgegriffen hatte. Sicherheitsforscher, die sich f\u00fcr das Thema ePA-Sicherheit interessieren, hatten eine Missbrauchsm\u00f6glichkeit zum Zugriff auf ePA-Daten nachgewiesen. Die gematik definierte es als \"Risiko, welches nur einige wenige Versicherte bestimmter Krankenkassen betraf\" (was zutreffen kann, oder auch nicht).<\/p>\n Spannend ist aber die Rolle des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in der ganzen Angelegenheit. Das BSI hat bezahlte Fachleute f\u00fcr Sicherheitseinsch\u00e4tzungen und war auch mit der ePA 3.0 befasst. Die Erkl\u00e4rung des BSI zur elektronischen Patientenakte<\/a> (g\u00fcltig zum Zeitpunkt der Erstellung dieses Blog-Beitrags) habe ich am Ende des Artikel angeh\u00e4ngt.<\/p>\n Die Redaktion von heise hatte bez\u00fcglich der zuletzt geschlossenen Sicherheitsl\u00fccke mit dem BSI Kontakt und direkt nachgefragt. Gem\u00e4\u00df dem heise-Artikel\u00a0ePA-Sicherheit: BSI hat vor Risiko gewarnt<\/a> war dem BSI das Problem bekannt. heise zitiert eine BSI-Sprecherin mit: \"Das BSI hatte auf ein bestehendes Restrisiko f\u00fcr gezielte Angriffe auf die ePA durch ein solches potentielles Szenario [\u00fcber die elektronische Ersatzbescheinigung] hingewiesen und seine Stakeholder dar\u00fcber vor dem bundesweiten ePA-Rollout informiert.\" Das ist eine klare Aussage – das Risiko war den Verantwortlichen bekannt.<\/p>\n Etwas irritierend fand ich die von heise zitierte Aussage des BSI, die von \"hohen technischen H\u00fcrden\" ausgehen und die Notwendigkeit, Hardware aus dem Gesundheitssystem sowie einem g\u00fcltigen Identit\u00e4tsnachweis zu beschaffen, was eine H\u00fcrde sei, die zudem Aufdeckungsrisiko mit sich bringe.<\/p>\n Die Spezialisten des CCC hatten sich die technische Ausr\u00fcstung auf dem Gebrauchtmarkt besorgt – entsprechende Identit\u00e4tsnachweise konnten die White-Hat-Hacker im Umfeld des CCC ebenfalls beschaffen. Die ben\u00f6tigten Informationen f\u00fcr einen potentiellen Angriff \u00fcber die Daten der elektronischen Ersatzbescheinigung lie\u00dfen sich \u00fcber die API der Krankenkassen abrufen.<\/p>\n Liest man den heise-Beitrag, wird klar, dass das BSI die Verantwortlichkeit bei der gematik und der \u00fcbergeordneten Instanz, dem Bundesgesundheitsministerium, sieht. Entlarvend ist die von heise zitierte BSI-Aussage: \"Die Frage, ob die f\u00fcr das Angriffsszenario notwendigen zus\u00e4tzlichen Patienteninformationen strukturell angemessen gesch\u00fctzt sind, entzieht sich dem Aufgabenbereich des BSI\". Im Klartext: Das BSI hat nichts zu sagen, und kann auch \"nichts freigeben\", sondern bewertet nur. Die Entscheidungen fallen bei der gematik. Und dort deutet sich das in obigen Abschnitten skizzierte Muster an.<\/p>\n An dieser Stelle: Es w\u00e4re der elektronischen Patientenakte ein Erfolg zu w\u00fcnschen – die Idee dahinter ist ja nicht schlecht. Weil die Dinge aber mal so sind, wie sie sind, ist mit dem Ansatz \"Einfach mal machen und schauen, was da bei herauskommt\" meiner Einsch\u00e4tzung nach kurzfristig kein Blumentopf zu gewinnen. Aus den USA lese ich fast t\u00e4glich \u00fcber Datenschutzvorf\u00e4lle im Bereich Gesundheitsdaten, die Millionen Versicherte umfassen. Ich hoffe nicht, dass uns in den kommenden Jahren \u00e4hnliche F\u00e4lle bl\u00fchen. Aber das ist einer der Gr\u00fcnde, warum ich der ePA 3.0 im Rahmen der Opt-out-M\u00f6glichkeiten widersprochen habe.<\/p>\n \u00c4hnliche Artikel: Vernichtendes Urteil an elektronischer Patientenakte auf Freie \u00c4rzteschaft (FA) Kongress (3.12.2022)<\/a> Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe<\/a> B\u00fcchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-\/Datenschutz<\/a> Sicherheitsgutachten zur elektronischen Patientenakte (ePA)<\/a> Die elektronische Patientenakte \u2013 Meilenstein f\u00fcr die Digitalisierung der Gesundheitsversorgung<\/strong><\/p>\n Ab dem 29. April 2025 steht die elektronische Patientenakte (ePA) nach einer Erprobungsphase in Modellregionen bundesweit f\u00fcr rund 73 Millionen gesetzlich Versicherten zur Verf\u00fcgung. Die Krankenkassen richten die ePA automatisch f\u00fcr ihre Versicherten ein. Die Versicherten haben jederzeit die M\u00f6glichkeit, der elektronischen Patientenakte zu widersprechen.<\/p>\n Die ePA bringt zahlreiche Vorteile f\u00fcr die Gesundheitsversorgung mit sich. Sie verbessert den Austausch und die Nutzung von Gesundheitsdaten zwischen behandelnden \u00c4rztinnen und \u00c4rzten sowie anderen leistungserbringenden Institutionen im Gesundheitswesen, um die Versorgung der Patientinnen und Patienten effizienter und gezielter zu gestalten.<\/p>\n Wichtige Unterlagen wie Arztbriefe, Laborbefunde oder Medikationspl\u00e4ne werden sicher gespeichert und sind jederzeit verf\u00fcgbar. Dabei bleibt der Datenschutz oberstes Gebot: Nur berechtigte Personen und Einrichtungen erhalten Zugriff und die Versicherten behalten stets die Kontrolle dar\u00fcber, wer ihre Daten einsehen darf.<\/strong><\/p>\n Mit der ePA wird ein gro\u00dfer Schritt hin zu einer modernen, vernetzten und patientenzentrierten Gesundheitsversorgung unternommen.<\/p>\n Die ePA erm\u00f6glicht es Versicherten jederzeit Einsicht in ihre Gesundheitsdaten zu nehmen, die sicher in der Akte abgelegt sind. Jede Krankenkasse stellt daf\u00fcr eine App bereit, \u00fcber die Versicherte ihre Daten einsehen und verwalten k\u00f6nnen. \u00dcber die App behalten Versicherte zudem die volle Kontrolle: Sie k\u00f6nnen nachvollziehen, wer Zugriff auf ihre Daten hat, Zugriffsrechte \u00e4ndern oder einzelnen Institutionen den Zugriff verweigern. Zus\u00e4tzlich k\u00f6nnen sie bei Bedarf eine Stellvertreterin oder einen Stellvertreter \u2013 etwa ein Familienmitglied, eine vertraute Person oder eine rechtliche Vertretung \u2013 f\u00fcr die Verwaltung der ePA erm\u00e4chtigen.<\/p>\n Mit der ePA wird die Verwaltung der eigenen Gesundheitsdaten einfach, transparent und flexibel.<\/p>\n Die Sicherheit der Daten in der elektronischen Patientenakte ist durch eine umfassende Sicherheitsarchitektur gew\u00e4hrleistet. Die sensiblen Gesundheitsdaten werden verschl\u00fcsselt in zertifizierten Rechenzentren in Deutschland gespeichert. In den leistungserbringenden Institutionen sorgen BSI-zertifizierte Konnektoren, Kartenterminals und Smartcards f\u00fcr einen sicheren Zugang zur Telematikinfrastruktur.<\/p>\n Versicherte melden sich \u00fcber die ePA App mit ihrer elektronischen Gesundheitskarte (eGK) oder ihrem Personalausweis und der jeweils dazugeh\u00f6rigen PIN an. Diese Kombination gew\u00e4hrleistet, dass nur autorisierte Personen Zugriff \u00fcber die App auf die Akte erhalten.<\/p>\n Der Datenaustausch mit den Servern der ePA erfolgt \u00fcber verschl\u00fcsselte Kan\u00e4le. Dadurch wird sichergestellt, dass die Gesundheitsdaten w\u00e4hrend der \u00dcbertragung gesch\u00fctzt sind.<\/p>\n Mit diesem Sicherheitskonzept erf\u00fcllt die ePA die h\u00f6chsten Sicherheitsanforderungen nach aktuellem Stand der Technik und bietet gleichzeitig eine moderne und verl\u00e4ssliche Grundlage f\u00fcr die digitale Gesundheitsversorgung.<\/p>\n","protected":false},"excerpt":{"rendered":" Einen Tag nach dem Deutschlandstart der elektronischen Patientenakte (ePA 3.0) musste die Betreiberin der Infrastruktur, die gematik, bereits eingestehen, dass man eine weitere Sicherheitsl\u00fccke, die der CCC gemeldet hatte, kurzfristig beseitigt habe. Jetzt wurde bekannt, dass das Bundesamt f\u00fcr Sicherheit … Weiterlesen R\u00fcckblick:\u00a0Der Disput um die Sicherheit<\/h2>\n
ePA und Cyberangriffe<\/h3>\n
Riesige Datenfl\u00fcsse abseits der ePA<\/h3>\n
Das \"die ePA ist sicher\"-Muster der Protagonisten<\/h2>\n
\n
Das BSI hat auf die letzte Schwachstelle hingewiesen<\/h2>\n
\n<\/strong>Gesundheitsgesetze I: EU-Parlament macht Weg f\u00fcr EU Health Data Space (EHDS) frei<\/a>
\nGesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a>
\nGesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?<\/a>
\nElektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\ngematik-Gesellschafter haben Opt-out f\u00fcr elektronische Patientenakte (ePA) beschlossen<\/a><\/p>\n
\nNeustart in 2023 f\u00fcr Elektronische Patientenakte (ePA) geplant<\/a>
\nLauterbach \"will\" die elektronische Patientenakte (ePA) mit Opt-out \u2013 ein Desaster mit Ansage oder Wolkenkuckucksheim?<\/a><\/p>\n
\nEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pl\u00e4ne, offene Fragen<\/a>
\nEurop\u00e4ischer Gesundheitsdatenraum (EHDS) beschlossen \u2013 die Haken f\u00fcr Patienten<\/a><\/p>\n
\nre:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx \"falsch abgebogen?<\/a>
\nNachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay<\/a>
\nDesaster Cyberangriff auf Change Healthcare der UnitedHealth Group<\/a>
\nElektronische Patientenakte: Das Ende der \u00e4rztlichen Schweigepflicht?<\/a>
\nNews aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und \u00c4rzte\u00e4rger<\/a>
\nElektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?<\/a>
\nElektronische Patientenakte (ePA) und das (zwingende) Opt-out<\/a>
\nElektronische Patientenakte (ePA): Opt-out jetzt! Erste Pl\u00e4ne f\u00fcr Begehrlichkeiten<\/a><\/p>\n
\nElektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den \"Datenschatz\"<\/a>
\nStatus elektronische Patientenakte (ePA 3.0): Weg ins Desaster?<\/a>
\nElektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten<\/a>
\n\u00c4rzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)<\/a>
\nElektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025<\/a>
\nElektronischen Patientenakte (ePA) kommt erst im April; und weitere News<\/a>
\nKBV \u00c4rztepr\u00e4sident Gassen: \"Elektronische Patientenakte verz\u00f6gert sich\"<\/a>
\nApothekenumschau: Insights zum ePA 3.0-Testlauf \u2013 es hakt weiterhin<\/a>
\nStatus zum Start der elektronischen Patientenakte (ePA) am 29.4.2025<\/a>
\nePA 3.0: Neue Sicherheitsl\u00fccke entdeckt und geschlossen<\/a><\/p>\n
\nInformation des BSI zur ePA 3.0<\/h2>\n
![\"Information](\"https:\/\/i.postimg.cc\/4dB67Sfn\/image.png\")
<\/a><\/p>\nNutzung der elektronischen Patientenakte<\/h3>\n
Datensicherheit der elektronischen Patientenakte<\/h3>\n