CCC noch nicht zufrieden mit ePA-Sicherheit 

Kurz vor dem verpflichtenden Start der ePA ist die Software noch längst nicht flächendeckend startklar. Vielerorts fehlen etwa noch erforderliche Softwaremodule. So könne etwa ein Fünftel der Praxen bis dato noch nicht mit der ePA arbeiten, was »sehr kritisch« sei, sagte etwa Sibylle Steiner, Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV), unlängst der Deutschen Presse-Agentur.

Die Gematik selbst ist zuversichtlicher. Sie ließ wissen, dass die ePA »technisch startklar« sei. Rund 58.000 der 98.500 Arztpraxen in Deutschland nehmen demnach bereits teil, ebenso wie knapp 20.000 Zahnarztpraxen, rund 6500 Apotheken und 727 Kliniken. In der letzten Woche seien etwa 13 Millionen Aufrufe von Medikationslisten verzeichnet worden, knapp zwei Millionen Dokumente wurden demnach hoch- und mehr als 900.000 Dokumente heruntergeladen.

Die große Mehrheit der Hersteller habe die notwendigen Module bereitgestellt; weitere Updates würden im Rahmen des Quartalswechsels erfolgen. Insgesamt seien seit dem Start rund 70 Millionen Patientenakten für gesetzlich Versicherte angelegt worden.

Nach einer Probephase in Modellregionen läuft seit Ende April der bundesweite Rollout, zunächst war die Nutzung freiwillig. Schulungen und Informationsveranstaltungen für Apotheken gab es seitdem einige. So boten Gematik und Deutscher Apothekerverband (DAV) im Sommer eine gemeinsame Info-Veranstaltung an. Verschiedene Nutzergruppen wurden in einzelnen Sessions geschult; für Apotheken relevante Mitschnitte sind abrufbar auf der Gematik-Website. Auch Kammern und Verbände gaben bei Schulungen und Rundmailings Auskunft über den Stand der Dinge. Softwarehersteller bieten Nutzerschulungen und teils On-demand-Videos zum Üben an. Die ABDA stellt ein ePA-FAQ bereit. 

Der Rollout im Frühjahr war von einigen Startschwierigkeiten begleitet, unter anderem wegen Sicherheitslücken. So hatten Hacker vom Chaos Computer Club (CCC) Ende vergangenen Jahres Sicherheitsrisiken anhand von simulierten Angriffen aufgedeckt. Der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) versicherte umgehend, dass diese Lücken geschlossen würden, bis zum Start der Hochlaufphase monierten die Experten aber immer wieder solche Pannen.

Auch jetzt ist das System nach Einschätzung des CCC nicht so sicher, wie es sein könnte. Wie Bianca Kastl vom CCC zur PZ sagte, habe es durchaus Verbesserungen gegeben, um das Risiko zu minimieren. Allerdings werde die Prüfung der Berechtigung zum Zugriff auf eine ePA »immer noch nicht nach anerkannten Regeln der Technik durchgeführt«, kritisierte die IT-Entwicklerin.

Die ePA sei mithin sicherer geworden, aber »nicht  sicher auf dem Niveau, was technisch möglich und etabliert wäre«. Kastl und ihr Kollege Martin Tschirsich gehörten zu den Hackern im CCC-Umfeld, die beim letzten Chaos Communication Congress in Hamburg die Sicherheitsrisiken aufgedeckt hatten.

Auch Verbraucherschützer sehen weiterhin Nachbesserungsbedarf. So forderte Lucas Auer, Gesundheitsexperte im Verbraucherzentrale Bundesverband, dass Patientinnen und Patienten mehr Kontrolle über ihre Daten haben müssten. Versicherte könnten bislang nicht im Detail steuern, wer welche Informationen sieht, so Auer. Abrechnungsdaten sollten standardmäßig nur für die Versicherten selbst einsehbar sein. Großen Informationsbedarf bei den Versicherten sieht der AOK-Bundesverband, stellt auf Grundlage einer Forsa-Umfrage gleichzeitig fest, dass ein Großteil der Bürgerinnen und Bürger die verpflichtende ePA-Nutzung begrüße.

Apotheken müssen mit der verpflichtenden Einführung gegenüber dem Nacht- und Notdienstfonds (NNF) nachweisen, dass sie die ePA-Anwendungen nutzen, andernfalls droht eine Kürzung der TI-Pauschale. Der Nachweis ist innerhalb von drei Monaten nach Einführung zu erbringen, also bis spätestens 31. Dezember 2025.