Die elektronische Patientenakte (ePA) steht kurz vor ihrer Einführung – doch von ärztlicher Seite hagelt es scharfe Kritik. Das neue System soll rund 70 Millionen gesetzlich Versicherten zur Verfügung gestellt werden.
Experten warnen nun allerdings vor erheblichen Sicherheitsrisiken, die derzeit nicht ausreichend adressiert seien, wie das Ärzteblatt berichtet. Klaus Reinhardt, Präsident der Bundesärztekammer (BÄK), empfiehlt seinen Patienten aktuell die ePA nicht zu nutzen.
Auch Michael Hubmann, Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), zeigt sich alarmiert. Er wirft den Verantwortlichen vor, bestehende Sicherheitslücken herunterzuspielen. Es werde der Eindruck erweckt, die ePA könne die Datensicherheit in Deutschland gewährleisten – das sei schlichtweg falsch. Beide Mediziner fordern, dass vor einer breiten Einführung der ePA entscheidende Schwachstellen beseitigt werden, um die sensiblen Gesundheitsdaten der Versicherten zu schützen.
CCC warnt vor Sicherheitslücken
In einem Vortrag anlässlich des 38. Chaos Communication Congress (38C3) zeigte der Chaos Computer Club (CCC), wie Angreifer mit geringem Aufwand auf freigeschaltete elektronische Patientenakten (ePA) zugreifen könnten. Sicherheitsforscher kritisierten die unzureichende Absicherung und warnten vor den Risiken einer flächendeckenden Einführung in diesem Zustand.
In einem Blogbeitrag fordern Sicherheitsforscher und der Chaos Computer Club (CCC) nun eine unabhängige und belastbare Bewertung von Sicherheitsrisiken sowie eine transparente Kommunikation dieser Risiken gegenüber Betroffenen. Zudem hielten sie einen offenen Entwicklungsprozess über den gesamten Lebenszyklus für notwendig. Vertrauenswürdige digitale Infrastrukturen könnten ihrer Ansicht nach nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermögliche.
Kinder nicht ausreichend geschützt
Auch Bundesgesundheitsminister Karl Lauterbach äußerte sich Anfang 2025 zu dieser Angelegenheit auf X. Er erklärte, dass die elektronische Patientenakte (ePA) erst dann eingeführt werde, wenn sämtliche Hackerangriffe technisch unmöglich gemacht werden können. Während das Bundesgesundheitsministerium am geplanten Zeitplan festhält, versichert es, dass die von Experten aufgezeigten Sicherheitsprobleme bis zur Einführung gelöst werden sollen.
Neben den Sicherheitsrisiken werfen Kinder- und Jugendärzte auch Datenschutzprobleme auf. So fehle es beispielsweise an einer Möglichkeit, ehemals Berechtigten den Zugang zu sensiblen Daten zu entziehen. Der Berufsverband kritisiert den aktuellen Zustand der ePA scharf und bezeichnet ihn als „Blindflug“, der weder funktional noch sicher sei.
Das System basiert außerdem auf einer Opt-out-Lösung: Wer die ePA nicht nutzen möchte, muss aktiv widersprechen. Der Zugriff auf die sensiblen Daten erfolgt in der Regel durch Autorisierung mit der elektronischen Gesundheitskarte, beispielsweise bei einem Arztbesuch.
