{"id":314268,"date":"2025-08-06T09:31:57","date_gmt":"2025-08-06T07:31:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314268"},"modified":"2025-08-07T07:04:13","modified_gmt":"2025-08-07T05:04:13","slug":"neues-zur-elektronischen-patientenakte-epa-theorien-dicke-fehler-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/06\/neues-zur-elektronischen-patientenakte-epa-theorien-dicke-fehler-und-mehr\/","title":{"rendered":"Neues zur elektronischen Patientenakte (ePA): Theorien, Ausf\u00e4lle und mehr – Teil 1"},"content":{"rendered":"

\"GesundheitHeute nochmals eine (l\u00e4ngere) Bestandsaufnahme zur elektronischen Patientenakte (ePA), die in nicht mal 60 Tagen an alle \u00c4rzte ausgerollt und ab 1.1.2026 verpflichtend f\u00fcr Praxen wird. Heute ist die TI von medisign wieder ausgefallen, und wir stehen bald vor dem breiten Rollout zum 1.10.2025. Ein Landesdatenschutzbeauftragter \u00e4u\u00dfert sich zur ungesunden gesetzlichen Situation und den verbundenen Gefahren f\u00fcr die Daten. Und es geht um die H\u00fcrden f\u00fcr Versicherte, sich f\u00fcr die ePA-App bei der Krankenkasse zu authentifizieren. Hier Teil1 mit einem kleinen Blick in die \"Praxis\".<\/p>\n

<\/p>\n

Hurra, wir haben ePA, bald …<\/h2>\n

\"\"In zwei Monaten, am 1. Oktober 2025, soll die elektronische Patientenakte (ePA) fl\u00e4chendeckend an alle \u00c4rzte in Deutschland ausgerollt werden. Dann k\u00f6nnte jeder gesetzlich Versicherte, der kein Opt-out gew\u00e4hlt hat, die Patientenakte vom Arzt erhalten.<\/p>\n

Dass dies so klappt, da habe ich meine Zweifel – ich verweist auf den Beitrag Elektronische Patientenakte (ePA) derzeit ungenutzt und ein Desaster<\/a> von Mitte Juli 2025, wo das Lagebild nicht gut ausschaut – um es positiv auszudr\u00fccken. Kaum von Patienten genutzt, und die \u00c4rzte sind nur noch genervt – die Praxisverwaltungssysteme (PVS) k\u00f6nnen die ePA 3.0 noch nicht, und die TI macht den Praxisalltag durch Ausf\u00e4lle nochmals etwas stressiger.<\/p>\n

Dabei sind es nur noch f\u00fcnf Monate, bis zum Jahreswechsel. Dann gilt: Ab dem 1.1.2026 ist die ePA verpflichtend f\u00fcr \u00c4rzte.\u00a0Eigentlich m\u00fcsste es mit der ePA jetzt schon flutschen, damit das Medizinsystem zum 1.10.2025 durchstarten kann. K\u00f6nnte ja auf dem Papier so sch\u00f6n dargestellt werden, wenn nur nicht immer diese Kritiker w\u00e4ren. Und da gibt es einige Kritiker und einige Punkte, wo man die Finger in die Wunden legen muss.<\/p>\n

Neuer NDR-Bericht: In SH ruckelt es mit der ePA<\/h3>\n

Erg\u00e4nzung:<\/strong> Ist mir beim Schreiben durchgerutscht – der Chaos Computer Club (CCC) wies vor einigen Tagen auf Mastodon auf die aktuelle Entwicklung bei der ePA 3.0 hin, die der NDR zum 4. August 2025 im Beitrag Elektronische Patientenakte: Schwieriger Start in Schleswig-Holstein<\/a> zusammen getragen hat.<\/p>\n

\"ePA<\/a><\/p>\n

Man kann es mit: Kaum jemand von den Patienten nutzt die ePA 3.0, und \u00c4rzte k\u00e4mpfen mit der Technik auf den Punkt bringen. Krankenh\u00e4user bzw. Kliniken haben noch \u00fcberhaupt keinen Zugriff. Und noch etwas f\u00e4llt mir auf: Die Leute im oberen Management der Krankenkassen, die Landesdatenschutzbeauftragten und der NDR \"fl\u00f6ten fr\u00f6hlich\" die Hoffnungen auf \"gro\u00dfen Nutzen, wenn dass Zeug breit genutzt wird\" (AOK-Vorstand), konstatieren \"Kein gro\u00dfer Hackerangriff m\u00f6glich\" (Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein), sehen ein \"Gutes Konzept, aber ausbauf\u00e4hig\" (AOK, Haus\u00e4rzteverbandes SH, Schleswig-Holsteins Gesundheitsministerin Kerstin von der Decken).<\/p>\n

Ich dr\u00fccke die Daumen, dass das wirklich so kommt – bleibe aber skeptisch. Wenn Du von \"ganz weit oben\" drauf schaust, siehst Du den \"vielen Dreck da unten\" (in ranzigen Praxisverwaltungssystemen und bei der streikenden Technik) nicht. Manches klingt mir auch wie \"pfeifen im Wald\". Ich hoffe, ich irre mich wirklich.<\/p>\n

Ups, TI steht heute (6.8.) bei medisign Kunden<\/h3>\n

\u00c4hm, so als Einschub – beim Schreiben des langen Text frisch als Mail aus der \u00c4rzteschaft eingetrudelt. Am heutigen 6. August 2025 titelt der \u00c4rztenachrichtendienst \"Erneut Probleme bei Medisign\" und berichtet, dass zahlreiche Praxen als Kunden von Medisign mit St\u00f6rungen der TI zu k\u00e4mpfen h\u00e4tten.<\/p>\n

Medisign ist einer von vier zugelassenen Anbietern f\u00fcr elektronische Heilberufsausweise (eHBA) und Praxis- und Institutionsausweise (SMC-B). Medisign ist guter Bekannter von \u00c4rzten und Liebling eines Bloggers und im Fokus der gematik (siehe\u00a0Medisign: Erneut langer Telematik-Ausfall (15.4.2024) \u2013 gematik pr\u00fcft den Anbieter<\/a>).<\/p>\n

Das Grauen des heutigen Tages l\u00e4sst sich im gematik Fachportal<\/a> unter St\u00f6rung: Karten SMC-B & HBA von medisign<\/em> nachsehen. \"TI-St\u00f6rung<\/p>\n

Obiges Bild zeigt die Misere – hab mal gerade nachgesehen, wir haben noch gar nicht Freitag, sondern Mittwoch. Gl\u00fcck gehabt, Mittwoch Nachmittags haben viele\u00a0 Arztpraxen geschlossen – happy ePA-Day? Ok, ist unfaire Dialektik, ziehe ich zur\u00fcck, aber der Schluss bleibt \"ePA? l\u00e4uft, oder?\". Ein Arzt, der mir die Info schickte, schrieb \"Nach Angaben der Kassen\u00e4rztlichen Bundesvereinigung summieren sich die Ausf\u00e4lle auf insgesamt zwei Wochen im Jahr.\"<\/p>\n

LfDI:\u00a0Datenschutz-Herausforderungen bei ePA\/EHDS<\/h2>\n

Mit Einf\u00fchrung des European Health Data Space (EHDS) in Europa und der elektronischen Patientenakte (ePA 3.0) in Deutschland \u00e4ndert sich der Umgang mit sensiblen Gesundheitsdaten fundamental.<\/p>\n

Den \"Datenschatz heben\"<\/h3>\n

Das Medizinwesen soll die Daten erfassen und liefern, Unternehmen stehen bereits in den Startl\u00f6chern, um diesen \"Datenschatz\" – oft ohne Wissen der Betroffenen – zu heben.\u00a0Im Beitrag Was sind eigentlich Daten im Darknet wert?<\/a> hatte ich 2021 mal einen Blick auf die monet\u00e4re Seite in Bezug auf die Frage, was Daten bereits in der Illegalit\u00e4t so wert sind, geworfen. In der regul\u00e4ren Nutzung d\u00fcrften da weit h\u00f6here Werte anzulegen sein. Das weckt Begehrlichkeiten an allen Ecken und Enden, die ich in Blog-Beitr\u00e4gen (siehe Links am Artikelende) mehrfach aufgegriffen hatte.<\/p>\n

Rechtlich\/technologisches Konstrukt mit L\u00fccken<\/h3>\n

Das ganze rechtliche und technologische Konstrukt f\u00f6rdert Unsicherheiten bez\u00fcglich fehlender oder inkompatibler gesetzlicher Regelungen oder unzureichender Sicherheitsregeln und -praktiken. Es besteht die Gefahr, dass \u00c4rzte und andere Teilnehmer im Medizinwesen \"rechtlich\" sowie vom Patientenvertrauen unter die R\u00e4der kommen. Und der Patient bleibt erst Recht auf der Strecke, blickt er doch selten in diesem Geflecht der Interessen und Unw\u00e4gbarkeiten durch.<\/p>\n

Ich weise hier im Blog ja gelegentlich auf solche Klopper hin, zum 1. August 2025 habe ich im Beitrag\u00a0Korrekturen des Z1 PVS durch CGM und aktueller Stand\u00a0 \u2013 Teil 3<\/a> auf die seit Jahren \u00fcberf\u00e4llige Absicherung eines Praxisverwaltungssystems (PVS) f\u00fcr Zahn\u00e4rzte hingewiesen. Erst als ich den zust\u00e4ndigen Landesdatenschutzbeauftragen (LfDI) von Rheinland-Pfalz eingeschaltet habe, bewegte sich etwas. Die Irrungen und Wirrungen des Vorgangs (wurde alles vom Hersteller des PVS abgestritten, aber es hatte Tage vorher ein Update gegeben) lassen sich in den untereinander verlinkten Beitr\u00e4gen nachlesen. Inzwischen liegen mir weitere Meldungen vor, die belegen, dass ich nur die Spitze eines Eisbergs angesto\u00dfen habe (bereite ich mit der Zeit auf – wo Du hinschaust, offenbaren sich Abgr\u00fcnde).<\/p>\n

In diesem Kontext geht es um das Fundament, die Praxisverwaltungssysteme (PVS), die die Basis der ePA darstellen. Aber auch bei der ePA selbst bzw. bei der Digitalisierung im Medizinbereich tun sich Abgr\u00fcnde auf.\u00a0Der Chaos Computer Club (CCC) hatte ja mehrfach auf gravierende Probleme mit der ePA 3.0 aufmerksam gemacht.<\/p>\n

Interview mit einem Landesdatenschutzbeauftragten<\/h3>\n

heise hat in diesem Kontext ein Interview mit dem Landesdatenschutzbeauftragten von Baden-W\u00fcrttemberg (LfDI), Prof. Tobias Keber, im Hinblick auf verschiedene Regelungen im Umgang mit Gesundheitsdaten gef\u00fchrt. Die Ausf\u00fchrungen im Beitrag\u00a0Elektronische Patientenakte: \"CCC machte zu Recht auf Probleme aufmerksam\"<\/a>\u00a0sind ganz lesenswert.<\/p>\n

Man kann es positiv sehen: \"Da gibt es Leute, die sich Gedanken machen, wie man das ganze (undurchsichtige) Konglomerat halbwegs rechtlich abgesichert umgesetzt bekommt\". Der n\u00fcchterne Kritiker k\u00f6nnte zum Schluss kommen: \"Wir st\u00fcrzen uns unreguliert in ein verdammtes Abenteuer, bei dem sensibelste Gesundheitsdaten an zwielichtige Akteure vertickt oder sogar kostenfrei weitergeleitet werden\" – wobei den Leuten das Ganze mit Verbesserungen im Gesundheitswesen \"verkauft wird\".<\/p>\n

TK will Videoident zur\u00fcck<\/h2>\n

Die gesetzlichen Krankenkassen haben zwar Ende 2024 fast 79 Millionen elektronische Patientenakten (ePA) f\u00fcr Versicherte, die kein Opt-out genutzt haben, angelegt. Die Opt-out-Rate lag im mittleren einstelligen Prozentbereich (jedenfalls weit unter 10 %). Aber auch sechs Monate nach dem Start der ePA ist die Nutzungsrate der elektronischen Patientenakte durch Versicherte \"bescheiden\".<\/p>\n

Es hakt einerseits an der Technik, aber es fehlt auch das Interesse der Versicherten. Ich hatte im\u00a0Beitrag Elektronische Patientenakte (ePA) derzeit ungenutzt und ein Desaster<\/a> von Mitte Juli 2025 auf diese geringe Nutzung hingewiesen.<\/p>\n

Versprochenes bei ePA gestrichen<\/h3>\n

Ein Problem ist auch, dass Versicherte eigentlich per Krankenkassen-App ihre ePA verwalten k\u00f6nnen sollen, das aber \"gewisse Probleme\" aufwirft. So wurde die anfangs versprochene M\u00f6glichkeit, Zugriffsberechtigungen auf ePA-Daten \u00fcber die App granular f\u00fcr \u00c4rzte zu vergeben, gestrichen wurde. Im Beitrag Bundesdatenschutzbeauftragte fordert Verbesserungen bei ePA-App<\/a> hatte ich auf diese Problematik und die diesbez\u00fcglichen Forderungen der Bundesdatenschutzbeauftragten hingewiesen.<\/p>\n

H\u00fcrden f\u00fcr ePA-Nutzer<\/h3>\n

F\u00fcr \"willige\" Versicherte, die den \"Versprechen der ePA-Protagonisten\" trotzdem Glauben schenken, ist aber die Authentifizierung gegen\u00fcber der Krankenkasse, die vor Nutzung der App erforderlich wird, eine zu hohe H\u00fcrde. Der Versicherte muss gegen\u00fcber der Krankenkasse nachweisen, dass er wirklich der Patient ist, der auf die ePA zugreifen darf. Dazu kann der Personalausweis zur elektronischen Authentifizierung genutzt werden (kann wegen fehlender Technik kaum jemand nutzen – ich habe diesen Weg ein Mal bei der deutsche Rentenversicherung genutzt).<\/p>\n

Es gibt die M\u00f6glichkeit des Post-Ident-Verfahrens, bei der eine (hoffentlich noch vorhandene Poststelle) die Identit\u00e4t nach Vorlage des Personalausweises best\u00e4tigt. Und der Versicherte kann eine Gesch\u00e4ftsstelle der Krankenkasse (in n\u00e4chster N\u00e4he, oder in weiterer Ferne, ja nach Region) aufsuchen, um sich authentifizieren zu lassen.<\/p>\n

Unsicheres Videoindent-Verfahren so wiederkommen<\/h3>\n

Fr\u00fcher ™ gab es auch noch das sogenannte Videoident-Verfahren: Du setzt dich vor die Kamera eines Notebooks oder eines Smartphones, wedelst mit dem Ausweis im Bild und ein Agent (Mensch oder eine KI) bewertet dann, ob die Person vor der Kamera die ist, die Zugriff auf die ePA begehrt.<\/p>\n

Genau dieses Verfahren wurde aus Sicherheitsgr\u00fcnden aber 2022 durch die gematik untersagt, wie ich im Beitrag\u00a0gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)<\/a> ausgef\u00fchrt habe. Tage vorher hatte ich im Blog berichtet, dass das Videoident-Verfahren zur Identifikation von Nutzern ausgetrickst wurde und so die eindeutige Identifikation einer Person umgangen werden konnte. Damit entf\u00e4llt aber die Basis der Chain-of-Trust f\u00fcr die ePA.<\/p>\n

F\u00fcr die Techniker Krankenkasse (TK) sind die oben erw\u00e4hnten Verfahren der\u00a0 Authentifizierung zu kompliziert. Die TK will das unsichere Videoident zur\u00fcck, wie heise die Tage im im Beitrag Elektronische Patientenakte: Techniker Krankenkasse will Videoident zur\u00fcck<\/a> berichtet. So viel zum Thema: Wir machen alles, damit die ePA sicher ist.<\/p>\n

Als Belohnung f\u00fcr den H\u00fcrdenlauf der Authentifizierung gibt es dann eine PIN (per Brief), mit der jeweils der Zugriff auf die ePA in der App freigegeben wird.<\/p>\n

Artikelreihe:<\/strong>
\nNeues zur elektronischen Patientenakte (ePA): Theorien, Ausf\u00e4lle und mehr – Teil 1<\/a>
\nNeues zur elektronischen Patientenakte (ePA): Dicke Fehler und mehr – Teil 2<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Gesundheitsgesetze I: EU-Parlament macht Weg f\u00fcr EU Health Data Space (EHDS) frei<\/a>
\nGesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a>
\nGesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?<\/a>
\nElektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\nNeustart in 2023 f\u00fcr Elektronische Patientenakte (ePA) geplant<\/a>
\nLauterbach \"will\" die elektronische Patientenakte (ePA) mit Opt-out \u2013 ein Desaster mit Ansage oder Wolkenkuckucksheim?<\/a>
\nDigitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe<\/a>
\nEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pl\u00e4ne, offene Fragen<\/a>
\nEurop\u00e4ischer Gesundheitsdatenraum (EHDS) beschlossen \u2013 die Haken f\u00fcr Patienten<\/a>
\nElektronische Patientenakte: Das Ende der \u00e4rztlichen Schweigepflicht?<\/a>
\nNews aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und \u00c4rzte\u00e4rger<\/a>
\nElektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?<\/a>
\nElektronische Patientenakte (ePA) und das (zwingende) Opt-out<\/a>
\nElektronische Patientenakte (ePA): Opt-out jetzt! Erste Pl\u00e4ne f\u00fcr Begehrlichkeiten<\/a>
\nSicherheitsgutachten zur elektronischen Patientenakte (ePA)<\/a>
\nElektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den \"Datenschatz\"<\/a>
\nStatus elektronische Patientenakte (ePA 3.0): Weg ins Desaster?<\/a>
\nElektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten<\/a>
\n\u00c4rzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)<\/a>
\nElektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025<\/a>
\nElektronischen Patientenakte (ePA) kommt erst im April; und weitere News<\/a>
\nKBV \u00c4rztepr\u00e4sident Gassen: \"Elektronische Patientenakte verz\u00f6gert sich\"<\/a>
\nApothekenumschau: Insights zum ePA 3.0-Testlauf \u2013 es hakt weiterhin<\/a>
\nStatus zum Start der elektronischen Patientenakte (ePA) am 29.4.2025<\/a>
\nePA 3.0: Neue Sicherheitsl\u00fccke entdeckt und geschlossen<\/a>
\nGeschlossene ePA 3.0-Sicherheitsl\u00fccke: Das BSI hatte wohl gewarnt<\/a>
\nBundesdatenschutzbeauftragte fordert Verbesserungen bei ePA-App<\/a>
\nElektronische Patientenakte (ePA) derzeit ungenutzt und ein Desaster<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Heute nochmals eine (l\u00e4ngere) Bestandsaufnahme zur elektronischen Patientenakte (ePA), die in nicht mal 60 Tagen an alle \u00c4rzte ausgerollt und ab 1.1.2026 verpflichtend f\u00fcr Praxen wird. Heute ist die TI von medisign wieder ausgefallen, und wir stehen bald vor dem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,8537,426,7459],"tags":[451,8560,8487,5325],"class_list":["post-314268","post","type-post","status-publish","format-standard","hentry","category-cloud","category-problem","category-sicherheit","category-software","tag-datenschutz","tag-ehds","tag-epa","tag-medizin"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314268"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314268\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}