In fünf Schritte zu mehr Vertrauen in die ePA

14.1.2025: Gemeinsamer offener Brief zu den immensen Problemen mit der elektronischen Patient:innenakte (ePA) an Bundesgesundheitsminister Lauterbach

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben. 
2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen

Mitzeichnende Organisationen in alphabetischer Reihenfolge

1. AG Kritis
2. Ärzteverband MEDI Baden-Württemberg
3. BAG Selbsthilfe
4. Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)
5. Björn Steiger Stiftung
6. Bundesverband Neurofibromatose
7. Bündnis für Datenschutz und Schweigepflicht (BfDS)​​​​​​​
8. Chaos Computer Club
9. D64 - Zentrum für digitalen Fortschritt
10. Deutsche Aidshilfe
11. Deutsche Alzheimer Gesellschaft
12. Deutsche DepressionsLiga
13. Deutsche Hörbehinderten Selbsthilfe e.V. (DHS)
14. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
15. Deutsche Rheuma-Liga Bundesverband
16. Deutscher Paritätischer Wohlfahrtsverband - Gesamtverband
17. dieDatenschützer Rhein Main
18. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
19. Freie Ärzteschaft e. V.
20. Gen-ethisches Netzwerk
21. Humanistische Union
22. Innovationsverbund Öffentliche Gesundheit (InÖG)
23. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
24. LAG Selbsthilfe Rheinland-Pfalz
25. Landesvereinigung Selbsthilfe Berlin
26. Patientenrechte und Datenschutz e. V.
27. SUPERRR Lab
28. Verbraucherzentrale Bundesverband

Zitat des FIfF

„Nationale IT-Gesundheits-Großprojekte sind sensibelster Natur und beeinflussen nicht nur individuell Betroffene, sondern münden auch in allgemeinem Vertrauenszuwachs oder -verlust. Die Corona-Warn-App etwa hat gezeigt, wie ein offener und vertrauenswürdiger Prozess aussehen kann. Umso überraschender ist es, dass die ePA sowohl im Prozess als auch im Ergebnis so stümperhaft umgesetzt wurde. Nur mit zeitgemäßer offener und partizipativer System-Entwicklung können derartige Projekte gelingen.“ – Rainer Rehak, Ko-Vorsitz des FIfF

Weitere Informationen und Zitate von anderen

Fünf Schritte zu mehr Vertrauen in die ePA

Fünf Schritte zu mehr Vertrauen in die ePA

Pressekontakt und Mitunterzeichnung

• Mitzeichnen und Presseanfragen: epa [ät] inoeg [dot] de
• FIfF-Kontakt: Rainer Rehak, rainer [dot] rehak [ät] fiff [dot] de

Über das FIfF

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten überwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin für Theoretische Informatik. Das FIfF wirkt in vielen technischen und nicht technischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben zählen wir Öffentlichkeitsarbeit sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF vierteljährlich die „FIfF-Kommunikation – Zeitschrift für Informatik und Gesellschaft“ heraus und arbeitet mit anderen Friedens- sowie Bürgerrechtsorganisationen zusammen. Hier finden sich unsere 10 Werte.