Noch viele Unklarheiten bei der elektronischen Patientenakte
Nach dem Startschuss für den “bundesweiten Rollout” wird es nicht ruhiger um die elektronische Patientenakte (ePA), dabei wird sie bisher kaum genutzt. Transparenz soll für Vertrauen sorgen, doch die scheint es bei der ePA nur bedingt zu geben. Darum warnen Vereinigungen wie der Ärzteverband Medi Geno und der Berufsverband Deutscher Psychologinnen und Psychologen (BDP), Patientenorganisationen, Daten- und Verbraucherschützer und weisen auf das Widerspruchsrecht bei der ePA hin. Der BDP fordert “höchstmögliche Sicherheitsstandards und ‘ehrliche’ Informationen”.
Jedoch wurden offene Fragen in jüngster Zeit oft unzureichend beantwortet. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Louisa Specht-Riemenschneider, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind bei Sicherheitsangelegenheiten nur noch beratend tätig und können bei Datenschutzbedenken und Sicherheitsrisiken kaum eingreifen.
Auch E-Rezept-Fachdienst betroffen
Die strukturellen Sicherheitsmängel, die auf dem 38. Chaos Communication Congress vorgestellt wurden, beeinträchtigten auch den Live-Betrieb des E-Rezept-Fachdienstes. Diese Folge wurde von den Sicherheitsforschenden berichtet, erhielt aber wenig Aufmerksamkeit. Die Gematik hatte dazu Anfang des Jahres auf Anfrage erwidert, dass beim E-Rezept-Fachdienst “kein Handlungsbedarf” erforderlich sei und “keine praktische Gefahr” von der Sicherheitslücke ausgehe. Dem IT-Sicherheitsexperten Martin Tschirsich wäre es jedoch möglich gewesen, zahlreiche E-Rezept-Daten abzurufen.
Rückblickend zeigten sich bereits beim E-Rezept Mängel an der der ePA zugrundeliegenden Sicherheitsarchitektur. Dies führt Sicherheitsforscherin Bianca Kastl vom Innovationsverbund Public Health im Logbuch Netzpolitik “Spezial zu den jüngsten Sicherheitsschwankungen im digitalisierten Gesundheitswesen” aus. Vor dem bundesweiten Start des E-Rezepts hatte der ehemalige Beauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, bereits auf mögliche Datenschutzverletzungen hingewiesen.
Statt die verschiedenen vorhandenen kryptografischen Authentifizierungsmöglichkeiten der elektronischen Gesundheitskarte (eGK) direkt zu nutzen, dient stattdessen das Versichertenstammdatenmanagement (VSDM) als Nachweis, um die Präsenz der eGK, beispielsweise in der Apotheke, zu prüfen. Nach Bekanntwerden der neuen ePA-Sicherheitslücken Anfang des Jahres hatte Kelber der staatlichen Digitalisierung des Gesundheitswesens “sehr viele Bastellösungen” attestiert. So würde versucht, viele Dinge zu umgehen, weil die Grundtechnologien fehlen. Zudem hatten Experten aus dem Gesundheitswesen kritisiert, dass viele analoge Prozesse lediglich elektrifiziert, nicht aber wirklich digitalisiert würden.
Experten fordern, Kryptomaterial zu nutzen
Kastl und Tschirsich hatten Ende 2024 in ihrem ersten Hack der aktuellen ePA gezeigt, dass der Zugriff auf die ePA-Akten neben dem TI-Zugang allein mit Wissen der Integrated Circuit Card Serial Number (ICCSN) war. Die Kombination mit einer weiteren Sicherheitslücke ermöglichte dann den massenhaften Zugriff. Auch die von der Gematik daraufhin veranlasste Abfrage weiterer Gesundheitsdaten half in dem Fall nicht. Unklar ist, ob es zu Datenabflüssen kam. Die Gematik geht eigenen Angaben zufolge nicht davon aus. Hilfreich wäre es laut Tschirsich gewesen, die auf den Chipkarten gespeicherten kryptografischen Identitäten für die Prüfung der Echtheit der Karten zu nutzen.
Nicht nur Quellcode, sondern auch Annahmen veröffentlichen
Aufgrund der fehlenden schlüssigen Dokumentation der Entscheidungen, die zur Systemarchitektur führten, sei es eine Herausforderung, anhand der Spezifikationen zu erschließen, wie sich das System bei einem Zusammenspiel der Komponenten verhält. Sicherheit durch Obskurität habe bisher noch nie funktioniert, erklärt Christoph Saatjohann, der zusammen mit Tschirsich im eHealth-Podcast bei Prof. Dr. Christian Wache zum ePA-Hack zu Gast war. Dabei sei es kein Problem, den Quellcode gänzlich offenzulegen. Viel wichtiger seien laut Tschirsich jedoch “die dahinter stehenden Annahmen, weil dann kann man Fehlannahmen sehr schnell identifizieren. Und das fehlt uns”. Zwar habe sich das in der Vergangenheit etwas gebessert, bei den Maßnahmen zur ePA habe es jedoch keine derartigen Informationen gegeben.
Kürzlich hatten die Sicherheitsforscher jedoch gezeigt, dass die ergriffenen Maßnahmen der Gematik einen massenhaften Zugriff auf Patientenakten nicht verhindert hätten. Übersehen wurde, dass die für den Datenabruf erforderlichen Informationen vieler Versicherter auch über eine Schnittstelle für elektronische Ersatzbescheinigungen (eEB) zugänglich waren – sofern ein Zugang zur Telematikinfrastruktur, der Datenautobahn des Gesundheitswesens vorhanden ist. Daraufhin hatte die Gematik weitere Maßnahmen ergriffen, etwa die Anzahl der möglichen Zugriffe begrenzt, und die eEB, die ab Juli verpflichtend ist, vorerst abgeschaltet. Mit einer tatsächlichen Behebung dieses Mangels ist frühestens ab 2026 zu rechnen.
ePA kommt zu früh
“Das alles zeigt uns, dass der bundesweite Rollout der ePA viel zu früh kommt. Davor warnen wir seit Monaten. Die ePA befindet sich immer noch in einer Testphase. Es ist leichtsinnig und fast verantwortungslos, dabei mit rund 70 Millionen elektronischen Akten zu hantieren. Herr Lauterbach hat uns Ärztinnen und Ärzte mit seiner Fehleinschätzung ins offene Messer laufen lassen, wenn es um Haftungsfragen geht”, warnt Dr. Norbert Smetak, Vorsitzender von Medi Geno Deutschland. Vom Bundesgesundheitsministerium fordert der Verband, “die Sicherheitslage der ePA künftig genau zu überprüfen und gewissenhaft zu entscheiden, wie es mit der elektronischen Patientenakte weitergeht”. Auch der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, forderte auf Mastodon “eine unabhängige Sicherheitsbegutachtung und eine Schließung aller Sicherheitslücken nach guter Praxis und nicht mit Workarounds”.
Dabei ist allen Beteiligten klar, dass es keine 100-prozentige Sicherheit geben wird, jedoch sollte die Sicherheit rund um die ePA zumindest dem aktuellen Stand der Technik entsprechen. Zudem sollten Versicherte auch über das Restrisiko aufgeklärt werden. “Eine sichere und funktionierende ePA hat für viele Patientinnen und Patienten viele Vorteile. Solange die eigene Akte aber angreifbar ist, empfehlen wir, davon erst mal Abstand zu nehmen und der ePA zu widersprechen”, so Dr. Christian Messer, stellvertretender Vorsitzender von Medi Geno Deutschland und Facharzt für psychosomatische Medizin und Psychotherapie.
Anhaltende Kritik an Berechtigungsmanagement
Experten fordern bereits seit Jahren eine bessere Aufklärung und höchstmögliche Sicherheitsstandards. “Hier sind mehr Transparenz in der Informationspolitik in Bezug auf die allgemein bestehenden Sicherheitsrisiken der ePA sowie eine bessere Aufklärung über bestehende Nutzungs- und Widerspruchsmöglichkeiten nötig”, fordert der Berufsverband Deutscher Psychologinnen und Psychologen. Im Vorfeld und auch jetzt hatte es viel Kritik bezüglich des Berechtigungsmanagements bei der ePA gegeben.
Das feingranulare Berechtigungsmanagement wurde bei der Umstellung auf die “ePA für alle” abgeschafft, um schneller eine größere Datenverfügbarkeit zu erreichen. Jetzt können Versicherte nur noch entscheiden, ob Daten für alle am Behandlungsprozess Beteiligten oder für niemanden sichtbar sind – es sei denn, Institutionen werden aktiv vom Zugriff ausgeschlossen. “Das aktuell umgesetzte ‘Alles-oder-Nichts-Verschattungsprinzip’ gefährdet die informationelle Selbstbestimmung”, so der BDP.
Widerspruch zu niedrigschwellig?
Kürzlich berichtete das Handelsblatt zudem darüber, wie es jemandem, der für Krankenkassen als Dienstleister arbeitet, gelungen war, in der dritten Aprilwoche Widerspruch für eine fremde elektronische Patientenakte einzulegen, was zu deren sofortiger Löschung geführt hatte. Dazu habe er unter anderem in einem Widerspruchs-Formular der Barmer lediglich den Namen der Versicherten eingegeben und unterschrieben – die Angabe der Versichertennummer sei nicht erforderlich gewesen.
Laut Barmer sei es nicht ohne Mithilfe oder Einwilligung möglich, Widerspruch gegen die ePA einer dritten Person einzulegen. Zudem würden Widerrufe “seit dem bundesweiten Rollout am 29. April 2025 […] mit einer 28-tägigen Frist versehen”, sofern Versicherte zuvor nicht zweifelsfrei ihre Identität nachgewiesen haben. Ihre Identität sollen Versicherte beispielsweise in der Filiale mit Vorzeigen ihres Personalausweises nachweisen können oder beim Widerspruch in der eCare-App der Barmer mit ihrer GesundheitsID. Warum die Barmer diese Änderung zum Start der ePA vorgenommen hat, ist noch unklar.
Sicherheitsexperten empfahlen Mindestanforderungen
Sicherheitsexperten des Fraunhofer SIT hatten die Gematik bereits in ihrem Sicherheitsgutachten gewarnt, dass der Angriffsbaum zur unbefugten Widerspruchseinreichung mit einer Vielzahl von Angriffsvektoren am umfangreichsten sei. Weder für das Verfahren zum Einlegen noch für das Verfahren zur Rücknahme von Widersprüchen gibt es demnach Mindestsicherheitsanforderungen; und auch keinerlei Sicherheitsüberprüfungen. Ein Widerspruch gegen die Patientenakte sorgt für ihre sofortige Löschung, wie auch ein Sprecher der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Louisa Specht-Riemenschneider, gegenüber dem Handelsblatt erklärt hatte. Die Wiederherstellung ist dann unmöglich.
“Angreifer könnten die Widersprüche missbräuchlich für sich nutzen, um gezielt Patientenakten zu löschen”, heißt es in dem Gutachten. Die Gematik “weist explizit darauf hin, dass das Verfahren nicht Bestandteil der Spezifikation ist” – also nicht ihr Problem sei. Daher empfehlen sie, einen Prozess für die Kostenträger zu definieren, “wie ein Widerspruch eingelegt werden kann. So werden Mindestsicherheitsanforderungen berücksichtigt und es wird ein einheitlicher Prozess etabliert”.
Die Informationen zur elektronischen Patientenakte und zum Widerspruch sind bei den Krankenkassen zudem unterschiedlich zugänglich. Ein Teil der Krankenkassen spricht noch vom Widerspruch gegen das Anlegen einer elektronischen Patientenakte. Bei anderen sind die ePA-Apps der jeweiligen Krankenkassen auf deren Websites nur schwer oder gar nicht zu finden. Hilfreich ist daher die Auflistung der Gematik.
Anschluss der Pflege an die TI
Ebenso dauert es sicherlich noch, bis alle Ärzte über das erforderliche ePA-Modul in einem der mehr als 100 Software-Systeme verfügen und bis dieses reibungslos funktioniert. Die technischen Voraussetzungen für den Anschluss an die TI sind für den Pflegebereich aktuell größtenteils nicht gegeben. Bis Mitte Juli soll die Pflege an die TI angeschlossen sein, das ist Experten zufolge jedoch utopisch. Dabei könnte speziell der Pflegebereich von den Anwendungen profitieren. Doch bisher gibt es verschiedene Hürden, beispielsweise beim Beantragen von elektronischen Heilberufsausweisen.
Beschlagnahmeschutz fehlt
Zudem brauche es für die ePA-Akten laut BDP “dringend einen gesetzlich geregelten Beschlagnahmeschutz”. Für die elektronische Gesundheitskarte ist dieser Schutz bereits vorgesehen, für die ePA bislang nicht, wie auch der ehemalige BfDI in einer Stellungnahme 2020 (PDF) zu Bedenken gab. Kritisch sieht der Verband zudem das im Koalitionsvertrag zu Vermeidung von Gewalttaten bei Personen mit psychischen Auffälligkeiten geplante “behördenübergreifende Risikomanagement”, was viel Raum für Spekulationen lasse.
Darüber hinaus gibt es laut Verband noch Unklarheiten bezüglich der im Koalitionsvertrag genannten Absichten, Doppeldokumentationen zu vermeiden und den Austausch zwischen “Versicherungsträgern und den Ärztinnen und Ärzten” zu vereinfachen. Die “Klinik- und praxiseigene Behandlungsdokumentationen” müsse nach Sicht des BDP die “Primärquelle bei der Datenverarbeitung bleiben”.
Lebenslange ePA für Kinder umstritten
Ebenso gilt die ePA für Kinder weiterhin als umstritten. Die aus datenschutzrechtlichen Gründen erlassene Richtlinie der Kassenärztlichen Bundesvereinigung zum Schutz von Kindern und Jugendlichen ist laut BDP nicht hinreichend, und auch die Ärztekammer Niedersachsen hatte sich kürzlich für ein Opt-in für Kinder eingesetzt. Da es sich bei der ePA um einen “lebenslange” Akte handelt, plädiert der BDP für “eine generelle Opt-In-Regelung für Minderjährige, um mögliche spätere Nachteile bei der Berufswahl oder Versicherungsabschlüssen aufgrund von früheren (psychischen) Erkrankungen zu vermeiden”, heißt es vom BDP. Für mehr Schutz für Kinder hatte sich der Berufsverband der Kinder- und JugendärztInnen (BVKJ) lange eingesetzt. Dadurch sollen Kinderärzte nicht verpflichtet sein, die ePA von Kindern unter 15 Jahren zu befüllen, sofern das Kindeswohl dadurch gefährdet werden könnte.
Hinweis: Sobald es weitere Erkenntnisse gibt, wird der Artikel aktualisiert. Mit der zunehmenden Verbreitung der ePA werden sich höchstwahrscheinlich weitere (rechtliche) Unklarheiten ergeben.
(mack)
