Fünf Schritte zu mehr Vertrauen in die ePA - Offener Brief an Bundesgesundheitsminister Professor Lauterbach
Gemeinsam mit zahlreichen anderen gemeinnützigen Organisationen fordert die DMSG in einem Offenen Brief an Bundesgesundheitsminister Lauterbach die gravierenden Mängel der elektronischen Patientenakte (ePA) vor dem Start abzustellen.
"Die DMSG steht grundsätzlich hinter der Digitalisierung des deutschen Gesundheitswesen, um die Versorgung von Menschen mit chronischen Krankenheiten, u.a. der Multiple Sklerose, zu verbessern, die Prozesse zu beschleunigen und Ressourcen besser einzusetzen", stellt Herbert Temmes, Bundesgeschäftsführer der DMSG fest. Dies dürfe jedoch nicht zu Lasten der Sicherheit von Patientendaten gehen.
Sehr geehrter Herr Bundesminister Lauterbach,
wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patientenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.
Sicherheitsforschende zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patientenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.
Alle berechtigtenBedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.
Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteure und unabhängige Experten ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.
Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:
- Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
- Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patienten, Ärzte und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
- Experten aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexperten sowie die Förderung unabhängiger Sicherheitschecks.
- Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzenden auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
- Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patienten und Leistungserbringer gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.
In einen konstruktiven Prozess, der den Nutzen für Patienten in den Vordergrund stellt, bringen wir uns gerne ein.
Mit freundlichen Grüßen
Quelle: www.inoeg.de/offenerbrief-epa-2025/
Redaktion: DMSG-Bundesverband e.V. - 14.01.2025