Die elektronische Patientenakte (ePA) ist ein digitales System zur Speicherung und Verwaltung von Gesundheitsdaten von Patientinnen und Patienten in Deutschland. Ziel ist es, eine sichere, zentrale und jederzeit zugängliche Akte zu schaffen, in der medizinische Informationen wie Diagnosen, Behandlungen und Medikationen gespeichert werden, um die Qualität der Versorgung zu verbessern und den Austausch zwischen Ärzten zu erleichtern. Dennoch gibt es immer wieder Bedenken hinsichtlich der Sicherheit dieses Systems.
Sicherheit der elektronischen Patientenakte (ePA)
Die Sicherheit der ePA hängt von verschiedenen Faktoren ab, z. B. von der technischen Umsetzung, den Datenschutzvorkehrungen und der Handhabung der Zugriffsrechte. Die ePA wird durch das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz) geregelt und verfolgt hohe Datenschutzstandards gemäß der Datenschutz-Grundverordnung (DSGVO). Allerdings gibt es mehrere potenzielle Schwachstellen, die Sicherheitsrisiken darstellen könnten.
Risiken und Bedenken:
- Zugriffsrechte und unbefugte Zugriffe: Ein zentrales Thema bei der ePA ist die Frage, wer Zugang zu den gespeicherten Gesundheitsdaten hat. Auch wenn der Patient die Kontrolle über den Zugang zur Akte hat, bleibt die Frage, wie sicher das System gegen unbefugte Zugriffe ist, besonders bei der Datenübertragung oder bei systematischen Schwachstellen in der Infrastruktur.
- Beispiel: 2020 gab es Berichte über Sicherheitslücken in der Telematikinfrastruktur, die es Angreifern theoretisch ermöglicht hätten, auf Daten zuzugreifen, ohne dass dies sofort bemerkt worden wäre.
- Datenpannen und Hackerangriffe: Wie jedes digitale System ist auch die ePA potenziell anfällig für Hackerangriffe und Datenpannen, besonders wenn sensible Gesundheitsdaten betroffen sind. Ein Hackerangriff könnte nicht nur private Daten entwendet, sondern auch den Ruf des Systems beschädigen und das Vertrauen der Bevölkerung in die digitale Gesundheitsversorgung erschüttern.
- Beispiel: Es gab Berichte über Sicherheitslücken in der digitalen Infrastruktur des deutschen Gesundheitswesens, die bereits in der Vergangenheit zu Datenlecks geführt haben. Angreifer könnten potenziell auf vertrauliche Gesundheitsdaten zugreifen, wenn Schwachstellen nicht rechtzeitig behoben werden.
- Mangelnde technische Standards und Umsetzung: Auch wenn gesetzliche Vorschriften wie die DSGVO bestehen, wird die Umsetzung der technischen Standards und die Interoperabilität zwischen verschiedenen Systemen oft als unzureichend angesehen. Manche Fachleute und Organisationen stellen infrage, ob die ePA in ihrer aktuellen Form tatsächlich sicher ist, da viele der beteiligten Akteure (wie Kliniken, Praxen, Softwareanbieter) noch nicht ausreichend auf die Implementierung sicherer Standards eingestellt sind.
Der Chaos Computer Club (CCC) und die ePA
Der Chaos Computer Club (CCC), eine der bekanntesten Hacker-Organisationen, hat sich mehrfach kritisch zur Sicherheit der ePA und zur allgemeinen digitalen Infrastruktur im Gesundheitswesen geäußert. Der CCC hebt insbesondere die Risiken im Hinblick auf Datenschutz und die Sicherheit von Gesundheitsdaten hervor.
- Kritik an der ePA und Datenschutz: Der CCC betont immer wieder, dass bei der Implementierung von digitalen Gesundheitsdiensten wie der ePA der Datenschutz nicht ausreichend berücksichtigt werde. Insbesondere bemängelt der CCC, dass es unsichere Schnittstellen gibt, über die Gesundheitsdaten potenziell abgegriffen werden können. Zudem wird die Frage aufgeworfen, wie gut die Infrastruktur gegen Hackerangriffe geschützt ist.Der CCC hat auch auf mögliche Schwächen in der Telearbeitsinfrastruktur und bei Zugriffsrechten hingewiesen, wenn unbefugte Dritte oder auch Angreifer im System landen können.
- Sicherheitslücken und fehlende Verschlüsselung: In der Vergangenheit hat der CCC wiederholt auf Sicherheitslücken in digitalen Gesundheitsdiensten hingewiesen. Dabei wurden insbesondere unzureichende Verschlüsselungsmaßnahmen und fehlerhafte Sicherheitsprotokolle bei der ePA kritisiert. Wenn Daten nicht ausreichend verschlüsselt sind, können sie potenziell während der Übertragung abgefangen werden, was ein erhebliches Risiko darstellt.
- Beispiel aus der Vergangenheit – E-Health-Infrastruktur: Der CCC hat in der Vergangenheit zum Beispiel die Telematik-Infrastruktur im Gesundheitswesen kritisiert, weil sie mit sicherheitsrelevanten Schwächen behaftet war. Ein weiteres Beispiel war der Vorwurf, dass die Versichertenkarte in ihrer frühen Form nicht ausreichend gesichert war und als Eintrittspunkt für Hacker in die Systeme dienen könnte.
Fazit:
Obwohl die elektronische Patientenakte (ePA) in Deutschland durch gesetzliche Rahmenbedingungen wie das E-Health-Gesetz und die DSGVO einen hohen Datenschutzstandard anstrebt, gibt es nach wie vor Sicherheitsbedenken und technische Schwächen, die die Vertraulichkeit und Integrität der gespeicherten Gesundheitsdaten gefährden können. Der Chaos Computer Club (CCC) hat diese Bedenken mehrfach öffentlich geäußert und insbesondere die Mängel in der technischen Umsetzung und mögliche Sicherheitslücken in der Infrastruktur als problematisch eingestuft. Es ist daher wichtig, dass bei der Weiterentwicklung der ePA und der Telematikinfrastruktur verstärkt auf sichere Verschlüsselung und Zugriffskontrollen geachtet wird, um das Vertrauen der Nutzer in das System zu gewährleisten.