Liebe Kolleginnen und Kollegen,
wenn es im Gesundheitswesen doch nur auch so eine Karte gäbe wie bei Monopoly: „Gehen Sie zurück auf Los!“ Ich würde sie direkt an den Bundesgesundheitsminister adressieren – mit dem Betreff „ePA“.
Leider befinden wir uns nicht auf einem bunten Spielfeld, sondern im finsteren Behörden-Dschungel: Gleich zweimal in kürzester Zeit haben Staatsunternehmen beim Datenschutz kläglich versagt. Bereits Ende Dezember 2024 demonstrierte der „Chaos Computer Club“, dass Unberechtigte über die elektronische Patientenakte (ePA) auf die sensibelsten Daten von 70 Millionen Versicherten zugreifen könnten. Verantwortlich für die ePA ist bekanntlich die gematik, an der das Bundesgesundheitsministerium die Mehrheit hält. Im Januar offenbarte dann die D-Trust GmbH, ein Unternehmen der Bundesdruckerei, dass auch das Antragsportal für den elektronischen Heilberufsausweis (eHBA) sowie für Praxisausweise (SMC-B) gehackt wurde. Die jeweils betroffenen Zahnärztinnen und Zahnärzte wurden von BLZK und KZVB persönlich darüber informiert.
Wenngleich laut D-Trust „nur“ personenbezogene Daten entwendet wurden und keine PINs oder Zahlungsinformationen betroffen sein sollen: Die BLZK warnt alle Zahnärzte, die einen eHBA von D-Trust besitzen, vor Phishing-Mails und Anrufen, in denen persönliche Informationen abgefragt werden.
Der „Chaos Computer Club“ schreibt Angriffe auf das Antragsportal von D-Trust einem „anonymen Sicherheitsforscher“ zu. Dieser will die Daten zwischen dem 3. und 6. Januar entwendet und im Nachgang gelöscht haben. Das Problem ist nicht dieser mutmaßliche „White-Hat-Hack“, sondern, dass unsere Daten bei einem staatseigenen „Vertrauensdiensteanbieter“ nicht in sicheren Händen waren. D-Trust stellte den Datenklau nach eigenen Angaben am 13. Januar fest. Trotzdem hat Bundesgesundheitsminister Karl Lauterbach zwei Tage später, am 15. Januar, weder den Start der ePA-Pilotphase noch die massenweise Befüllung von Patientenakten mit den Abrechnungsdaten von Millionen Versicherten gestoppt.
Lauterbach hat damit seine Glaubwürdigkeit endgültig verspielt und das Vertrauen in die Datensicherheit im Gesundheitswesen zutiefst erschüttert. Stünde die Bundestagswahl nicht ohnehin unmittelbar bevor, wäre das ein Fall für seinen Rücktritt!
Ich fordere: Schluss mit dem Relativieren und Schönreden eklatanter Datenschutzmängel im Gesundheitswesen. Mit der Wahl muss auch die ePA zurück auf Los. Ein Neustart muss mit der Garantie verknüpft sein, dass sich unsere Patienten auf höchste Sicherheitsstandards verlassen können. Auch brauchen sie echte Souveränität über ihre Daten – das wiederum kann nur eine Opt-in-Lösung leisten. Die entscheidende Voraussetzung aber ist, dass die Akte in der Praxis überhaupt einen Mehrwert bietet. Solange sie nicht einmal über eine Volltextsuche verfügt, ist sie praktisch nutzlos. In der jetzigen Form gehört die ePA in den Papierkorb, von mir aus auch in den elektronischen!
Ihr Dr. Dr. Frank Wohl
Präsident der BLZK