Ministerium: Die elektronische Patientenakte ist immun gegen Hacker

Von Norbert Wallet

Sie soll einen Quantensprung der Digitalisierung im deutschen Gesundheitswesen bewirken: Die elektronische Patientenakte (ePa) ist neben der Krankenhausreform das wohl wichtigste gesundheitspolitische Projekt in der Amtszeit von Gesundheitsminister Karl Lauterbach (SPD).

Mit ihrer Einführung, zunächst ab 15. Januar in einigen Modellregionen und dann im Februar bundesweit, sollen die Versicherten eine digitalisierte Medikationsübersicht bekommen. Ärzte sollen so besser nachvollziehen können, welche Medikamente eingenommen werden. Auf diese Weise sollen schädliche Wechselwirkungen, die zu Krankenhausaufenthalten führen können, vermieden werden. Zudem werden alle Befundberichte aus medizinischen Untersuchungen und Behandlungen sowie Arztbriefe und Entlassbriefe der Kliniken gespeichert werden. Das soll unnötige Mehrfachuntersuchungen nach einem Arztwechsel oder bei neuer Einweisung ins Krankenhaus vermeiden, da alle wichtigen Informationen auf einen Blick vorliegen.

Klingt gut. Aber unmittelbar vor Einführung bleiben Datenschützer skeptisch. So sprach der ehemalige Bundesbeauftragte für den Datenschutz, Professor Ulrich Kelber, kürzlich von einer unvollständig getesteten „tiefgrünen Schrumpelbananensoftware“, die auf das Gesundheitswesen zukomme. Er kritisierte angebliche Sicherheitslücken und die sogenannte Opt-Out Regelung, nach der Patienten aktiv widersprechen müssen,um keine Akte zu bekommen.

Im Bundesgesundheitsministerium trifft Kelbers Kritik nach Informationen unserer Zeitung auf Widerspruch. Dort hält man die Behauptung angeblicher Sicherheitslücken für sachlich unbegründet. Das Haus legt vor allem wert auf die Feststellung, dass die Patientendaten absolut vertraulich bleiben. Deshalb gelte auch bei der deutschen Lösung, anders als bei Modellen in anderen europäischen Staaten, der sogenannte „Betreiberausschluss“. Das heißt, dass weder die Krankenkassen, noch die Anbieter der ePa-Technik die eingepflegten Daten einsehen können.

Zugriff ist streng geregelt

Die Zugriffsberechtigung auf die ePa ist gesetzlich geregelt. Zugriffe durch Ärzte setzen einen nachgewiesenen Behandlungs- oder Versorgungskontext voraus. Sie sind gebunden an die von den Versicherten erteilte Zustimmung. Diese wird durch das Einlesen der elektronischen Gesundheitskarte in der Arztpraxis für die Dauer von 90 Tagen erteilt. Den Versicherten ist es zudem möglich, bestimmten Ärzten den Zugriff ganz oder auf bestimmte Dokumente beschränkt zu verweigern. Das kann auch über die ePa-App geregelt werden. Auch die dort voreingestellte Frist von 90 Tagen kann verlängert oder verkürzt werden. Ein fortlaufend aktualisiertes Protokoll in der ePa ermöglicht es den Versicherten zudem, zu verfolgen, wer Einblick in die Akte genommen hat. Anonym ist das nicht möglich. Das Protokoll wird drei Jahre lang gespeichert.

Das Ministerium hält das neue System auch für immun gegenüber Hackerangriffen und Erpressungsversuchen. Experten des Hauses wiesen gegenüber unserer Zeitung darauf hin, dass das Herzstück des Aktensystems die sogenannte „VAU“ ist. Das steht für „vertrauenswürdige Ausführungsumgebung“. Da der Betreiber der Systems nicht auf die Daten zugreifen kann, seien gezielte Erpressungsversuche unmöglich, da aufgrund der technischen Organisation der VAU keine „Innentäter“ ohne Zugangsberechtigung Einblick in Akteninhalte erhalten können. Da Angriffe auf eine sehr große Datenmenge nur an zentraler Stelle geführt werden können, sei die Tür für Hacker auf diese Weise praktisch geschlossen. Um illegale Zugriffe von zugangsberechtigten Personen, also etwa Ärzten, zu verhindern, sind gesetzliche Strafverschärfungen eingeführt worden, die Strafandrohungen von bis zu einem Jahr enthalten.

Bis 15. Januar 2025 haben gesetzlich Krankenversicherte noch Zeit, sich für oder gegen die elektronische Patientenakte (ePA) zu entscheiden.