Elektronische Patientenakte - Eine Datenschutz Kathastrophe?
Veröffentlicht:Die elektronische Patientenakte (ePA) soll dazu dienen medizinische Informationen eines Patienten zentral und sicher zu speichern. Sie ermöglicht es sowohl Patienten als auch behandelnden Ärzten, relevante Gesundheitsdaten wie Befunde, Arztberichte, Impfungen oder Medikationspläne einfach und schnell einzusehen. Ziel der ePA ist es, die medizinische Versorgung zu verbessern, Doppeluntersuchungen zu vermeiden und den Datenaustausch zwischen verschiedenen Akteuren im Gesundheitswesen zu erleichtern. Die Einführung der ePA wurde in Deutschland im Rahmen des Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz) beschlossen und steht seit Januar 2021 freiwillig zur Verfügung. Ab Januar 2025 wird die elektronische Patientenakte nun automatisch für alle gesetzlich Versicherten eingerichtet, es sei denn, sie widersprechen ausdrücklich. Mit diesem Schritt wird die Nutzung der ePA weiter vereinfacht und die Digitalisierung des deutschen Gesundheitssystems vorangetrieben. Doch wie steht es um den Datenschutz sowie um die Datensicherheit?
Disclaimer
In diesem Artikel möchte ich meine persönliche Meinung und Bedenken zur elektronischen Patientenakte (ePA) äußern. Grundsätzlich halte ich die ePA für einen Schritt in die richtige Richtung, jedoch nur unter der Voraussetzung, dass sie korrekt umgesetzt und umfassend abgesichert wird. Meine Beurteilung basiert auf den mir vorliegenden Informationen, die leider begrenzt sind und somit Raum für Interpretationen und Spekulationen lassen.
Es ist wichtig zu betonen, dass meine Meinung nicht zwangsläufig den tatsächlichen Gegebenheiten entspricht, da mir in einigen Punkten entscheidende Informationen oder Einblicke fehlen.
Im Anschluss an das Kapitel mit meiner Kritik habe ich diese Punkte auch als Fragen an den Landesdatenschutzbeauftragten weitergeleitet. Die erhaltene Antwort möchte ich Euch nicht vorenthalten und werde sie hier ebenfalls vorstellen.
Meine Kritik an der elektronischen Patientenakte
Kritikpunkt 1 - Opt-out
Für sämtliche Vorgänge muss heutzutage gemäß DSGVO das Opt-in- oder sogar das Doppel-Opt-in-Verfahren verwendet werden – sei es für Cookies, Newsletter, Registrierungen auf Websites oder Kontaktformulare. Warum jedoch ausgerechnet bei Gesundheitsdaten ein Opt-out-Verfahren gerechtfertigt sein soll, erschließt sich mir nicht.
Natürlich ist das Ziel klar: Es soll sichergestellt werden, dass möglichst viele Menschen die ePA nutzen. Dennoch finde ich es höchst fragwürdig, in diesem sensiblen Bereich auf Opt-out zu setzen und damit etablierte Standards und Verfahren zu umgehen. Es entsteht der Eindruck, dass hier mit zweierlei Maß gemessen wird, abhängig davon, was gerade politisch oder organisatorisch opportun erscheint.
Kritikpunkt 2 - Wo finde ich die Datenschutzerklärung?
Wenn bereits ein Opt-out-Verfahren angewendet wird, sollte der Hersteller zumindest seiner Informationspflicht nachkommen und mir eine leicht zugängliche Datenschutzerklärung zur Verfügung stellen. Nach stundenlanger Recherche im Internet konnte ich jedoch keine umfassende Datenschutzerklärung zur ePA finden.
Eine solche Erklärung müsste klar und transparent darlegen, wo die Daten gespeichert werden. Die pauschale Aussage, dass die Daten „in einem deutschen Rechenzentrum“ liegen, halte ich für unzureichend. Es bleiben viele offene Fragen:
- Wer ist der Betreiber des Rechenzentrums?
- Gibt es eine Umsetzung der NIS2-Richtlinie?
- Wer hat Zugriff auf die Daten?
- Liegt eine ISO 27001-Zertifizierung vor?
Gerade bei hochsensiblen Gesundheitsinformationen ist es unerlässlich, dass diese Informationen offengelegt werden. Eine transparente und detaillierte Datenschutzerklärung wäre aus meiner Sicht das absolute Minimum, um das Vertrauen der Nutzer zu gewinnen und den Datenschutz sicherzustellen.
Kritikpunkt 3 - Fragwürdige Sicherheit und kein Virenscanner oder SIEM?
Der Hersteller Gematik beschreibt seine Sicherheitsstrategie damit, dass kein Virenscanner eingesetzt wird, sondern lediglich PDF-Dokumente ohne Makros hochgeladen werden dürfen. Dennoch halte ich den Verzicht auf einen Virenscanner für fragwürdig. Ein solcher Scan wäre heutzutage technisch problemlos umsetzbar, zum Beispiel über die VirusTotal API, und müsste nicht einmal manuell erfolgen.
Nach jedem Upload könnte automatisch geprüft werden, ob es sich um eine bekannte Malware handelt. Angesichts der Datenmenge würde sogar ein täglicher Cronjob ausreichen, um alle neuen Dateien zu scannen. Meiner Meinung nach geht es hier jedoch eher um Kostenersparnis als um Sicherheit.
Außerdem wäre es interessant zu wissen, ob ein SIEM (Security Information and Event Management) als Sicherheitslösung eingesetzt wird. Ein SIEM überwacht, analysiert und reagiert auf sicherheitsrelevante Ereignisse und würde eine zusätzliche Schutzschicht darstellen. In meinem Blogbeitrag über Wazuh erkläre ich ausführlich, was ein SIEM ist und wie es eingesetzt werden kann.
Auch in Wazuh ließe sich die VirusTotal API integrieren, um Malware-Scans automatisiert durchzuführen. Eine solche Lösung würde nicht nur den Sicherheitsstandard erhöhen, sondern auch das Vertrauen in die ePA stärken.
Kritikpunkt 4 - Wer ist Hersteller / Betreiber?
Nach längerer Recherche konnte ich Gematik als den Hersteller der elektronischen Patientenakte identifizieren. Auffällig ist, dass diese Information nicht direkt von den Krankenkassen bereitgestellt wird – man muss selbst aktiv suchen, um dies herauszufinden. Gematik ist eine GmbH, also eine Kapitalgesellschaft mit beschränkter Haftung. Das allein ist nichts Schlechtes, wirft aber die Frage auf, warum Deutschland es nicht schafft, als Regierung eigene Software und Infrastruktur zu entwickeln und zu betreiben.
Bereits bei der Corona-Warn-App wurde auf ein Privatunternehmen zurückgegriffen. Unternehmen verfolgen jedoch in erster Linie finanzielle Interessen und nicht zwingend die Interessen der Bürger oder Patienten. Diese Abhängigkeit von privaten Firmen ist besonders problematisch, wenn es um kritische Infrastruktur geht. Wir sprechen oft von digitaler Souveränität, machen uns jedoch gleichzeitig durch die Vergabe solcher Projekte an private Unternehmen abhängig.
Ein weiteres bemerkenswertes Detail ist, dass die Infrastruktur der ePA von der eigentlichen Anwendung getrennt zu sein scheint. Diese wird als Telematikinfrastruktur (TI) bezeichnet. Es bleibt unklar, wie eng die Zusammenarbeit zwischen der Gematik und den Betreibern der TI ist und wie die Sicherheit dieser sensiblen Systeme gewährleistet wird.
So schreibt das BSI:
'Die Telematikinfrastruktur' besteht aus mehreren einzelnen Komponenten. Um von den Arztpraxen, Krankenhäusern und Apotheken Zugriff auf die TI zu bekommen wird der Konnektor benötigt. Dieser baut eine Verbindung zum VPN-Netzwerk auf, damit auf sicherem Wege Dokumente empfangen und versendet werden können.
Für den Zugriff auf die Telematikinfrastruktur (TI) wird entweder ein Heilberufsausweis (eHBA) oder eine Institutionskarte (SMC-B) benötigt. Das bedeutet, dass grundsätzlich nur Personen oder Institutionen mit Zugang zu diesem speziellen VPN-Netzwerk mit den jeweiligen Komponenten kommunizieren können. Diese Lösung ist prinzipiell gut umgesetzt und bietet durch die Karte als zweiten Faktor ein hohes Maß an Sicherheit.
Weitere Informationen zur Telematikinfrastruktur sind direkt bei der Gematik abrufbar: https://www.gematik.de/telematikinfrastruktur.
Wer allerdings die eigentliche Infrastruktur betreibt, bleibt unklar. Ist es das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Telekom, ein Cloud-Anbieter oder doch die Gematik selbst? Ich konnte dazu keine eindeutigen Informationen finden. Falls jemand hierzu mehr weiß, würde ich mich freuen, wenn diese Information in den Kommentaren ergänzt wird.
Kritikpunkt 5 - Daten automatisch mit Forschungsunternehmen geteilt
Fragwürdig finde ich auch, dass Gesundheitsdaten automatisch und ohne explizite Zustimmung mit Forschungsinstituten geteilt werden. Auch hier ist ein Widerspruch erforderlich, um dies zu verhindern. Zwar sollen die Daten pseudonymisiert übermittelt werden, doch bleibt unklar, welche Informationen tatsächlich geteilt werden und ob es möglich ist, durch Metadaten einen Bezug zu einer echten Person herzustellen.
Zudem frage ich mich, wie die Pseudonymisierung in der Praxis funktioniert. Wenn ich beispielsweise PDF-Dateien mit Blutwerten hochlade, steht in diesen Dokumenten häufig mein Name. Das gesamte Dokument darf also nicht geteilt werden, es sei denn, es wird zuvor durch einen OCR-Scanner analysiert und bereinigt.
Auch die Frage, welche zusätzlichen Informationen wie Standort, Krankenhaus oder Arzt erfasst werden, bleibt offen. Es könnte beispielsweise möglich sein, Rückschlüsse auf das Alter der Person zu ziehen, was für Forschungsinstitute durchaus relevant sein könnte – etwa bei der Frage, ob jemand mit Mitte 20 oder Mitte 70 an Krebs erkrankt ist.
Dass keinerlei personenbezogene Daten übermittelt werden, halte ich daher für fragwürdig. Wahrscheinlich werden lediglich Name, Vorname und das genaue Geburtsdatum entfernt, aber das ist an dieser Stelle reine Spekulation. Eine klare und transparente Erklärung darüber, welche Daten wie verarbeitet werden, wäre dringend erforderlich.
Kritikpunkt 6 - Die Download Möglichkeit für Ärzte hebelt Verschlüsslung aus
Jeder Patient kann seinem Arzt des Vertrauens Zugriff auf bestimmte Unterlagen in der elektronischen Patientenakte gewähren. Was jedoch unklar bleibt, ist, was der Arzt anschließend mit diesen Daten macht. Zwar werden die Daten in der Cloud verschlüsselt gespeichert, doch so wie ich es verstehe, kann der Arzt die PDF-Dateien herunterladen. Dadurch liegen die Daten unverschlüsselt auf seinem Rechner, der potenziell Sicherheitslücken aufweisen könnte. Dieses Problem ist zwar nicht neu, aber ein reiner Read-only-Zugriff ohne Download-Funktion wäre aus meiner Sicht eine deutlich sicherere Lösung.
Ebenso bleibt die genaue Ausgestaltung der Verschlüsselung unklar. Es wird lediglich angegeben, dass sie „nach Stand der Technik“ erfolgt. Ich vermute, dass ein Public-Key-/Private-Key-Verfahren verwendet wird. Wann und wo dieser Schlüssel erzeugt und gespeichert wird, ist jedoch nicht näher erläutert. Vermutlich geschieht dies auf der Gesundheitskarte.
Eine weitere offene Frage betrifft den Wechsel der Krankenkasse: Wie wird der Schlüssel in diesem Fall übertragen, ohne dass die Krankenkasse selbst Zugriff auf den Private Key erhält? Dieser Aspekt ist für mich völlig undurchsichtig und würde eine präzisere Erklärung erfordern.
Meine Anfrage an den Landesdatenschutzbeauftragten Rheinland-Pfalz
Sehr geehrte Damen und Herren,
ich wende mich an Sie mit der Bitte um eine kurze Auskunft bezüglich des Datenschutzes im Zusammenhang mit der elektronischen Patientenakte (ePA).
Ich plane, ein Aufklärungs- und Informationsvideo zu diesem Thema zu erstellen, da mir bisher nur sehr begrenzte Informationen vorliegen.
Vor kurzem habe ich über die App meiner Krankenkasse ein Informationsschreiben (digital über die App) erhalten, dass die ePA ab dem 15.01.2025 automatisch für mich angelegt wird,
sofern ich diesem nicht ausdrücklich widerspreche (Opt-out-Verfahren).
Dieser Prozess wirft für mich einige datenschutzrechtliche Fragen auf, insbesondere im Hinblick auf die DSGVO:
Artikel 7 Absatz 1 DSGVO – Nachweis der Einwilligung:
Laut DSGVO muss die Einwilligung aktiv erfolgen und nachweisbar sein. Ist es in diesem Fall zulässig, dass keine aktive Zustimmung erforderlich ist, sondern lediglich ein Widerspruch, um die Erstellung der ePA zu verhindern?
Reicht es aus, eine Benachrichtigung nur über die App zu versenden, oder wäre nicht der postalische Weg angemessener?
Vergleich mit Double-Opt-in-Verfahren bei Marketingzwecken:
Bei der Verarbeitung von sensiblen Daten, insbesondere Gesundheitsdaten, wäre es aus meiner Sicht naheliegend, mindestens ein Double-Opt-in-Verfahren zu nutzen. Warum wird dies hier nicht umgesetzt?
Unklarheiten bezüglich der Datenschutzinformationen:
Dem Schreiben lagen keine ausführlichen Informationen oder eine Datenschutzerklärung bei. Dadurch bleiben folgende Punkte offen:
Wer verarbeitet meine Daten?
Welche konkreten Daten werden verarbeitet (Artikel 5 Absatz 1a und b DSGVO)?
Wo und wie werden die Daten verarbeitet (z. B. Rechenzentrum, Dienstleister) gemäß Artikel 5 Absatz 1f und Artikel 5 Absatz 2?
Wer hat Zugriff auf die Daten (z. B. Softwareanbieter, Support)? Gibt es entsprechende Auftragsverarbeitungsverträge?
Entspricht das Rechenzentrum den Sicherheitsanforderungen (z. B. ISO 27001-Zertifizierung, Artikel 32 Absätze 1 und 2 DSGVO)?
Liegt eine Datenschutz-Folgenabschätzung vor?
Ich wäre Ihnen sehr dankbar, wenn Sie mir hierzu weiterführende Informationen zur Verfügung stellen könnten, um diese offenen Fragen zu klären.
Vielen Dank im Voraus für Ihre Unterstützung!
Mit freundlichen Grüßen
Marco Griep
Die Antwort
Datenschutz und Elektronische Patientenakte (EPA); Ihre Anfrage vom 18.11.2024 Sehr geehrter Herr Griep, Ihre o. g. Anfrage habe ich erhalten. Der Vorgang wird hier unter dem o. g. Geschäftszeichen geführt. Ich habe zu den von Ihnen aufgeworfenen Fragen Folgendes anzumerken: zu Frage 1: Nach § 342 Abs. 1 Satz 2 SGB V sind die Gesetzlichen Krankenkassen verpflichtet, ab dem 15.01.2025 jedem Versicherten, der nach vorheriger Information gemäß § 343 SGB V der Einrich- tung einer elektronischen Patientenakte gegenüber der Krankenkasse nicht innerhalb einer Frist von sechs Wochen widersprochen hat, eine nach § 325 Absatz 1 SGB V von der Gesellschaft für Tele- matik zugelassene elektronische Patientenakte zur Verfügung zu stellen. Hiernach bedarf es also für die Bereitstellung einer EPA keiner Einwilligung der Versicherten, so dass die Anforderungen des Art. 7 EU Datenschutz-Grundverordnung (DS-GVO) nicht heranzuziehen sind. Den Krankenkassen obliegt es sicherzustellen, wie und vor allem in welcher Form sie ihrer gesetzlich festgelegten Informationspflicht nach § 343 SGB V nachkommen. Nach § 343 Abs. 1a SGB V müs- sen die Informationen den Versicherten in leicht zugänglicher Form und barrierefrei bereitgestellt werden. zu Frage 2: Der Gesetzgeber hat die Voraussetzungen für das Anlegen einer EPA und insbesondere den Wechsel von der bisherigen Opt-In-Lösung auf die ab dem 15.01.2025 geltende Opt-Out-Variante festgelegt. Bei Bedarf empfehle ich Ihnen, sich unmittelbar an das federführende Fachministerium auf Bundesebene, das Bundesministerium für Gesundheit (BMG) zu wenden. Dieses hat vielfältige Informationen zur EPA veröffentlicht (https://www.bundesgesundheitsministerium.de/elektronische- patientenakte.htmlDer Landesbeauftragte für den Datenschutz Geschäftszeichen Schreiben vom 19.11.2024 und die Informationsfreiheit Rheinland-Pfalz 4073-0001#2024/0004-0104 LfDI Seite 2 von 2 zu Frage 3: Soweit eine gesetzliche Krankenkasse Ihrer Informationspflicht nach § 343 Abs. 1a SGB V nicht oder nicht vollständig nachgekommen ist oder Ihrerseits noch Fragen offen geblieben sind, rege ich an, sich zunächst an die Krankenkasse selbst zu wenden und um ergänzende Erläuterungen zu bitten. Darüber hinaus steht es Ihnen selbstverständlich frei, sich an die für die konkrete Krankenkasse zuständige Datenschutz-Aufsicht zu wenden und diese um Unterstützung Ihres Anliegens zu bitten. Da die Datenschutz-Aufsicht über die Gesetzlichen Krankenversicherungen in Deutschland zwischen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und den jeweiligen Landesdatenschutzbeauftragten aufgeteilt ist, kommt es auf die Identität der konkreten Krankenkasse an, um die zuständige Datenschutz-Aufsicht zu bestimmen. Bitte beachten Sie, dass die weit überwiegende Zahl der Gesetzlichen Krankenversicherungen der Aufsichtszuständigkeit der BfDI unterliegen. Der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informa- tionsfreiheit überwacht die AOK Rheinland-Pfalz/Saarland sowie wenige im Lande ansässige Betriebskrankenkassen. Bei Bedarf können Sie sich zur Klärung der konkret zuständigen Daten- schutzaufsicht gerne an mich wenden. Sollten Sie generell an Informationen zum Datenschutz bei der EPA aus Sicht der Datenschutz- Aufsichtsbehörden interessiert sein, weise ich auf die seitens der BfDI bereitgestellten Inhalte hin:(https://www.bfdi.bund.de/DE/Buerger/Inhalte/GesundheitSoziales/eHealth/elektronischePatien tenakte.html) Abschließend hoffe ich, zur Klärung Ihres Anliegens beigetragen zu haben. Mit freundlichen Grüßen Im Auftrag
IT-Sicherheit durchgefallen - Sicherheitslücken bei der elektronischen Patientenakte: Kritik des Chaos Computer Clubs
Bianca Kastl und Martin Tschirsich haben beim Jahreskongress des Chaos Computer Club (CCC) gravierende Sicherheitsprobleme der elektronischen Patientenakte (ePA) aufgezeigt. In ihrer Präsentation erklärten sie, wie sie mithilfe von Schwachstellen im System sowohl die Identitäten von Patientinnen und Patienten als auch die Praxisidentitäten von Ärztinnen und Ärzten kompromittieren konnten. Laut ihrer Aussage hatten sie damit theoretisch Zugriff auf alle 70 Millionen Akten.
Ihr Ziel war es, Sicherheitslücken offenzulegen – ein Angriff, der jedoch auch von Cyberkriminellen genutzt werden könnte. Diese Schwachstellen betreffen insbesondere die Identifikations- und Verifikationsmechanismen der ePA, die eigentlich dazu dienen sollen, unbefugten Zugriff zu verhindern. Der CCC warnt, dass die Daten von Millionen Menschen gefährdet sein könnten, darunter einige der sensibelsten Informationen überhaupt: Gesundheitsdaten.
Obwohl Politik und Betreiber die Sicherheit des Systems betonen, bleibt nach der Präsentation des CCC ein bitterer Nachgeschmack. Die Frage steht im Raum, ob die Nutzung der ePA angesichts dieser Risiken bedenkenlos möglich ist oder ob man dem System widersprechen sollte.
Quellenangabe:
RND Wirtschaft, "Elektronische Patientenakte offenbart schwere Sicherheitslücken – doch besser widersprechen?", abgerufen am 15. Januar 2025, Link
Was werde ich tun?
So sehr ich auch eine elektronische Patientenakte befürworten würde, hab ich mittlerweile der Krankenkasse widersprochen das eine ePA für mich angelegt werden darf. Ich werde solange warten, bis meine Bedenken ausgeräumt sind. Schade!