Lauterbach lässt ePA trotz Sicherheitslücken in seinen letzten Amtstagen noch starten

17 04. 2025 | Gesundheitsminister Karl Lauterbach hat angekündigt, die elektronische Patientenakte am 29. April über ganz Deutschland auszurollen. Seiner Versicherung, dass die massiven Sicherheitsprobleme gelöst seien, die der Chaos Computer Club aufgedeckt hat, widersprechen dessen Experten entschieden. Politiker und Beamte verschont Lauterbach.

Die elektronische Patientenakte (ePA) startet bundesweit am 29. April. Die Begrenzung auf Testregionen wird aufgehoben. Das hat der geschäftsführende Gesundheitsminister Karl Lauterbach (SPD) angekündigt. Wenige Tage später, am 6. Mai, soll eine neue Bundesregierung unter einem Kanzler Friedrich Merz (CDU) gewählt werden. Das Gesundheitsministerium soll dann an die CDU gehen, und mit ihm die absehbar großen Probleme, die ein übereilter Start der ePA verursachen wird.

Der Chaos Computer Club hatte im Dezember aufgedeckt, wie leicht es ist, sich massenhaften Zugang zu den elektronischen Patientenakten zu verschaffen. Einer von mehreren Wegen hierzu war der Kauf einer Zugangskarte mit Passcode von einer aufgegebenen Arztpraxis. Daraufhin hatte das Gesundheitsministerium versichert, die Akte, die derzeit in „Modellregionen“ getestet wird, werde nicht vor Schließung der Sicherheitslücken an den Start gehen.

Minister Lauterbach versicherte bei der Ankündigung des Starttermins, so ein Massenangriff sei nun „technisch nicht mehr möglich“.

Was Versicherungen von Lauterbach wert sind, zeigt das sehr lange Lügenregister seiner Amtszeit. Am bekanntesten ist die mehrfach vor Millionenpublikum geäußerte Behauptung, die Corona-Impfungen seien „nebenwirkungsfrei“. Eine Versicherung seines Ministeriums, dass die Lücken geschlossen sind, sucht man nun jedoch vergeblich. Auf der Netzseite des Gesundheitsministeriums zur ePA heißt es zur Sicherheit der Akte in Fragen und Antworten immer noch:

„Das theoretische Problem, das der CCC beschreibt, wird vor der Einführung der ePA für alle technisch gelöst sein.“

Es heißt wohlgemerkt nicht: „sind gelöst“. Die Gesellschaft gematik, die die technische Infrastruktur der Akte betreut, hat als Maßnahmen nur vage angekündigt: „Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können“ und die „Ausweitung der Überwachungsmaßnahmen“ sowie die „Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten“. Das Ministerium schreibt dazu auf seiner Netzseite:

„Diese Maßnahmen sind bereits in der Erarbeitung und werden vor dem bundesweiten Rollout abgeschlossen sein.“

Die CCC-Experten Bianca Kastl und Martin Tschirsich, die die Sicherheitslücken aufgedeckt hatten, sind laut einer Aussage vom 16. April alles andere als überzeugt von Lauterbachs Versicherung und den Maßnahmen der gematik:

„Bei den versprochenen Updates handelt es sich lediglich um den Versuch der Schadensbegrenzung bei einem der vielen von uns demonstrierten Angriffe. Eine umfassende Behebung aller von uns demonstrierten Mängel kann nur mit kompromissloser Aufklärung und Transparenz erreicht werden, die bisher nicht stattgefunden hat.“

Der Bundesdatenschutzbeauftragte, Ulrich Kelber, hatte in seinem im März vorgelegten Jahresbericht die ePA mit deutlichen Worten kritisiert. Er wies unter anderem auf die Gefahr hin, dass Daten, die in die ePA aufgenommen werden müssen, wenn der Patient nicht ausdrücklich widerspricht, bei Bekanntwerden zu erheblichen Gefährdungen für die Rechte der Versicherten führen können, etwa weil sie Anlass zur Diskriminierung oder Stigmatisierung geben können. Dazu zählt er Daten zu HIV-Infektionen, Schwangerschaftsabbrüche oder psychische Erkrankungen.

Im März hatte der Vorsitzende der Kassenärztlichen Bundesvereinigung, Andreas Gassen, noch ausdrücklich in Frage gestellt, dass der Starttermin Ende April zu halten sei: Der scheidende Gesundheitsminister wolle den Vollzug zwar gern noch selbst verkünden, sagte Gassen, aber in den Testregionen fehle in der Hälfte der Praxen, die mitmachen wollten, noch immer die dafür nötige Software. Außerdem müssten alle Sicherheitslücken geschlossen werden, die der Chaos Computer Club entdeckt habe. Das müsse die Bundesdatenschutzbeauftragte dann auch noch bestätigen. Gassen betonte: „Vorher kann und darf es keine verpflichtende Einführung geben.“ Lauterbach scheint das anders zu sehen.

Trotz aller Versicherungen zur Datensicherheit und Nützlichkeit der ePA hat die Regierung die umstrittenen Aspekte für Politiker und Beamte, die in aller Regel privatversichert sind, weggelassen. Privatversicherer müssen die ePA nicht einrichten, schon gar nicht ohne Zustimmung des Versicherten. Gesetzliche Versicherte müssen dagegen aktiv widersprechen, sonst müssen die Versicherer die Akte einrichten. Die Ärzte müssen die Akten Privatversicherter nicht befüllen, müssen also nicht an dem System teilnehmen, und die Daten der Privatversicherten werden nicht „für Forschungszwecke“ an Google und Co. weitergegeben. Das geht aus den Fragen und Antworten auf der Netzseite des Ministeriums hervor.

Durch Widerspruch bei ihrer Krankenkasse können und sollten Versicherte der ePA-Einrichtung widersprechen.

Mehr

Die traurige Wahrheit hinter dem ePA-Hack – Unsere Krankheitsdaten sollen in falsche Hände geraten
29. 12. 2024 | Auf der Tagung des Chaos Computers Clubs haben IT-Experten offengelegt, dass sie von überall kompletten Zugang zu allen elektronischen Patientenakten (ePA) hatten. Es war von vornherein klar, dass die Daten nicht sicher sein würden. Auch der Regierung war das klar. Aber sie will ja ohnehin, dass unsere Krankheitsdaten bei den Datenkrakenlanden.

Datenkraken sollen ihre KI-Modelle mit ePA-Daten trainieren dürfen – bei abgespecktem Datenschutz
29. 11. 2024 | Auf einer Konferenz des Digitalverbands Bitkom hat Gesundheitsminister Karl Lauterbach offengelegt, warum die Regierung sich so für Digital Health und die elektronische Patientenakte engagiert: Weil unsere Krankheitsdaten ungemein wertvoll sind und die großen US-Datenkraken wie Google, Meta und Open AI scharf darauf sind, wie der Rüde auf die läufige Hündin.