# taz.de -- Datenschützer über neue Patientenakte: „Es ist ein Leichtes, un… | |
> Schweigen oder widersprechen? Ex-Bundesdatenschutzbeauftragter Ulrich | |
> Kelber erklärt die elektronische Patientenakte – und wie er sich | |
> entschieden hat. | |
Bild: Wer soll was über mich wissen? Lesegerät für die elektronische Patient… | |
taz: Herr Kelber, bekommen Google, Meta, OpenAI und Co in Zukunft auch noch | |
unsere Gesundheitsdaten? | |
Ulrich Kelber: Das ist möglich. Sie müssen natürlich einen entsprechenden | |
Antrag stellen. Aber die Gesundheitsdaten aus den elektronischen | |
Patientenakten, die pseudonymisiert an das Forschungsdatenzentrum fließen, | |
können dort auch von Privatunternehmen für medizinische Forschung genutzt | |
werden. | |
taz: Alle gesetzlich Versicherten, die nicht widersprochen haben, bekommen | |
eine elektronische Patientenakte – die ePA – von ihrer Krankenkasse | |
eingerichtet. Die Ärzt:innen müssen diese Akten dann mit den | |
Gesundheitsdaten der Versicherten befüllen. Was kommt hier auf die | |
Versicherten zu? | |
Kelber: Auf alle Fälle eine große Verantwortung. Denn jede und jeder muss | |
entscheiden: Glaubt man, dass für einen selbst die Vorteile überwiegen, | |
wenn alle Ärzte auf die eigenen Gesundheitsdaten zugreifen können? Gibt es | |
vielleicht einzelne Befunde oder Diagnosen, die man verbergen möchte? Oder | |
schätzt man das Risiko insgesamt so hoch ein, dass man lieber ganz | |
widerspricht? | |
taz: Wie hoch schätzen Sie das Risiko ein? | |
Kelber: Die ePA 3.0, die jetzt kommt, hat definitiv in einigen Bereichen | |
[1][niedrigere Standards in Sachen Sicherheit als ihr Vorgänger]. Und ihr | |
fehlen wichtige Funktionen, zum Beispiel um zu steuern, wer auf welche | |
Inhalte zugreifen darf. | |
taz: Der Vorgänger, das ist die ePA, die sich die Versicherten schon in der | |
Vergangenheit freiwillig einrichten lassen konnten, wenn sie das bei ihrer | |
Krankenkasse beantragt haben. Die hat nur kaum jemand genutzt. | |
Kelber: Beim Vorgänger wurde zum Beispiel jede einzelne ePA noch mal | |
separat verschlüsselt. Das fällt jetzt weg und das ist sicher eine | |
Verschlechterung. | |
taz: Wird jetzt vielleicht mehr Wert auf [2][Komfort und einfache | |
Bedienbarkeit] gelegt und das geht zu Lasten der Sicherheit? | |
Kelber: Komfort ist kein Argument für weniger Sicherheit. Heutzutage ist es | |
möglich, hochsichere Systeme zu bauen, die trotzdem gut bedienbar sind. | |
Nein, hier wurde die Sicherheit und der Schutz der Patientendaten einfach | |
an vielen Stellen überflüssigerweise vernachlässigt. | |
taz: Bei der Verschlüsselung also, an welchen Stellen noch? | |
Kelber: Nehmen wir zum Beispiel die Zeitspanne, in der etwa Ärzte auf die | |
Daten zugreifen können. Hat die Patientin einmal ihre Krankenkassenkarte | |
bei einer Arztpraxis eingesteckt, dürfen alle Mitarbeitenden dieser Praxis | |
90 Tage in deren ePA lesen und schreiben. In einer Apotheke sind es immer | |
noch drei Tage. Das ist beides zu lang. Warum soll die Apotheke, nachdem | |
eine Kundin dort war, noch drei Tage auf die Daten zugreifen können? Und | |
zwar nicht nur auf den Medikationsplan, sondern auch auf andere | |
Gesundheitsdaten. | |
In einer Apotheke können Dutzende Menschen arbeiten, in einer | |
Versandapotheke auch mal Hunderte. Da wäre es ein Leichtes, unbefugt auf | |
Daten zuzugreifen. Oft ohne, dass sich hinterher nachvollziehen lässt, wer | |
das war. Denn dokumentiert wird in der ePA nur, welche Einrichtung auf die | |
Daten zugegriffen hat und nicht, welche Person. | |
Dazu kommt: Patienten können nicht mehr einstellen, dass ein Dokument, zum | |
Beispiel das Ergebnis einer Blutuntersuchung, vom Hausarzt eingesehen | |
werden kann, aber von der Zahnärztin nicht. Gerade Patienten mit sensiblen | |
Diagnosen, zum Beispiel HIV, oder bei einem Schwangerschaftsabbruch, | |
befürchten zu Recht Stigmatisierung. In der freiwilligen ePA ließen sich | |
Dokumente noch arztbezogen verbergen. Nun werden solch sensiblen Daten ohne | |
Not schlechter geschützt. | |
taz: Welche Folgen kann das konkret haben? | |
Kelber: Es gibt schon Fälle, in denen Menschen erpresst werden, weil | |
medizinische Daten in falsche Hände geraten sind. Ein Fall aus Finnland: | |
Hier sind die Daten des Anbieters, der die meisten psychotherapeutischen | |
Behandlungen durchführt, an Unbefugte gelangt. [3][Die Betroffenen wurden | |
erpresst]. | |
taz: Wer würde denn hierzulande in solchen Fällen haften? | |
Kelber: Das wird wohl erst vor Gericht entschieden werden – genauso wie | |
mögliche Schadensersatzansprüche. Aber der Fall aus Finnland zeigt: Längst | |
nicht alles landet vor Gericht. Denn wenn die Betroffenen nicht wollen, | |
dass ihre Depression öffentlich wird, dann werden sie wohl kaum eine | |
Anzeige erstatten, die dann in ein öffentliches Gerichtsverfahren mündet. | |
taz: War es ein Fehler, auf Opt-out umzustellen, also darauf, dass alle die | |
ePA bekommen, die keinen Widerspruch einlegen? | |
Kelber: Es wäre jedenfalls das Mindeste gewesen, das Opt-out anders | |
umzusetzen. So, dass weniger Daten automatisch in die Akte fließen. Zum | |
Beispiel nur die verordneten Medikamente oder Daten für Notfallzwecke. Bei | |
allen anderen Informationen hätten die Versicherten dann aktiv entscheiden | |
müssen, ob diese in die ePA sollen. In Idealfall wäre das gemeinsam mit dem | |
Arzt passiert – sodass Behandelnde und Patienten Vor- und Nachteile | |
gemeinsam abwägen. | |
So wie es jetzt ist, wird die Verantwortung auf die Versicherten abgewälzt. | |
Die müssen laufend reinschauen in ihre ePA-App und sich überlegen: Wer soll | |
welche Daten sehen dürfen? Welches Risiko gehe ich hier ein? Und gerade für | |
die älteren Patienten, für die diese zentrale Akte ja die größten Vorteile | |
bringen soll, und die zu Teilen gar kein Smartphone nutzen, ist das | |
überhaupt nicht praktikabel. Ich halte das alles für nicht gut durchdacht. | |
taz: Auf dem Kongress des [4][Chaos Computer Clubs wurden neue Lücken | |
vorgestellt, mit denen Unbefugte auf die Akten von Patient:innen | |
zugreifen können]. Wie groß ist das Problem? | |
Kelber: Das ist groß. Hier geht es teils auch um Lücken, auf die bereits | |
die Datenschutzbehörden vor Jahren hingewiesen haben. Nämlich, dass es | |
vergleichsweise leicht ist, sich einen Heilberufsausweis samt | |
entsprechendem Schlüssel zu verschaffen – die braucht man, um auf die Akten | |
von Patienten zuzugreifen. Und, noch gravierender: Die CCC-Experten haben | |
gezeigt, dass es möglich ist, Zugriffs-Tokens für die Patientenakten | |
beliebiger Versicherter zu erstellen. Damit lässt sich potenziell Zugriff | |
auf die Daten aller Versicherten erlangen – ohne, dass deren Karten | |
eingelesen werden müssen. | |
taz: [5][Am 15. Januar ist die ePA in Modellregionen in Franken, Hamburg | |
und NRW] [6][gestartet, ab 15. Februar soll sie laut Plan für alle kommen]. | |
Sollten die Patient:innen in den Modellregionen jetzt schnell | |
widersprechen? | |
Kelber: In den Modellregionen ist das Risiko nicht so hoch. Denn hier | |
dürfen nur die teilnehmenden Praxen und Apotheken auf die Daten zugreifen, | |
da kann sich niemand von außen so einfach reinmogeln. Aber vor dem | |
bundesweiten Start müssen solche Lücken geschlossen werden. Denn 70 | |
Millionen gesetzlich Versicherte – das ist der Daten-Honeypot in Europa. | |
taz: Was raten Sie Versicherten? | |
Kelber: Pauschal zu- oder abraten kann ich nicht. Das Wichtigste ist, sich | |
gut zu informieren und auf dieser Basis eine Entscheidung zu treffen. Für | |
manche Menschen kann es richtig sein, die ePA zu nehmen – für andere, ihr | |
zu widersprechen. | |
taz: Und wie haben Sie sich selbst entschieden? | |
Kelber: Ich habe keine Krankheiten, deretwegen ich Stigmatisierung | |
befürchten müsste. Ich erwarte auch keine Nachteile im Job oder wenn es | |
darum geht, eine Versicherung zu bekommen. Daher werde ich der ePA Stand | |
jetzt nicht widersprechen. | |
18 Jan 2025 | |
## LINKS | |
[1] /Ethischer-Hacker-ueber-Gesundheitskonten/!6060883 | |
[2] /Elektronische-Patientenakte-kommt-2025/!6054036 | |
[3] https://www.zeit.de/digital/datenschutz/2024-04/psychiatrie-finnland-vastaa… | |
[4] /Ethischer-Hacker-ueber-Gesundheitskonten/!6060883 | |
[5] /Digitale-Patientenakte/!6034671 | |
[6] /Digitale-Patientenakte/!6034671 | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Digitale Patientenakte | |
Gesundheit | |
Datenschutz | |
Datenleak | |
Datendiebstahl | |
personenbezogene Daten | |
Datenspeicherung | |
Datenschutzbeauftragte | |
Datensicherheit | |
Digitalisierung | |
GNS | |
Kolumne Digitalozän | |
Digitalisierung | |
Schwerpunkt Bundestagswahl 2025 | |
Kolumne Digitalozän | |
Digitale Patientenakte | |
Klinik | |
## ARTIKEL ZUM THEMA | |
Schwachstellen im Alltag: Der Trick mit den Legosteinen | |
Legosteine waren nicht immer das, was sie heute sind. Bei Herstellern von | |
Elektronikgeräten und Autos scheinen sie für Inspiration gesorgt zu haben. | |
Umstrittener Start: Probleme bei Tests für E-Patientenakte | |
Die elektronische Patientenakte wird derzeit in drei Testregionen erprobt. | |
Von dort werden diverse Schwierigkeiten gemeldet. | |
Kritik an Merz-Vorschlag: Krankenkassen-Rabatt für Gesundheitsdaten | |
Persönliche Gesundheitsdaten weitergeben und dafür weniger | |
Krankenkassenbeitrag bezahlen? Kritiker:innen sehen den Datenschutz | |
gefährdet. | |
Passwörter und andere Widrigkeiten: Kreativ nur bei Schokoriegeln | |
Passwörter gehören zu den alltäglichen Ärgernissen. Warum nur tun wir uns | |
so schwer damit? Unsere Kolumnistin hat da eine Idee. | |
Ethischer Hacker über Gesundheitskonten: „Wir hatten theoretisch Zugriff auf… | |
Martin Tschirsich von Chaos Computer Club hält die neue elektronische | |
Patientenakte nicht für sicher. Angreifer könnten gebrauchte Lesegeräte | |
kaufen. | |
Datensicherheit in deutschen Kliniken: Patientenakte unzureichend geschützt | |
Beim Datenschutz in Kliniken besteht Nachholbedarf. Patientendaten könnten | |
für immer verloren gehen und auch die Vertraulichkeit ist oftmals nicht | |
gewährleistet. | |
Daten-Schlamperei: Patientenakten im Sperrmüll | |
Der Klinikkonzern Asklepios verklappt sensible Daten von Tausenden | |
Patienten im Abfallcontainer. Der Datenschutzbeauftragte ist entsetzt - und | |
machtlos. |