Sicherheitsbedenken begleiten EPA-Start |
 |  | Cornelia Dölger |
 |
14.01.2025 16:00 Uhr |
Warben bei einer Pressekonferenz im Herbst für die EPA: (v.l.) Markus Beier, Bundesvorsitzender des Deutschen Hausärzteverbandes, Bundesministergesundheitsminister Karl Lauterbach (SPD), Florian Fuhrmann, Vorsitzender der Gematik-Geschäftsführung, sowie Doris Pfeiffer, Vorstandsvorsitzende des GKV-Spitzenverbands. / © IMAGO/dts Nachrichtenagentur
Man kann nicht sagen, dass der Start der EPA nicht ausgiebig angekündigt worden wäre; seit vergangenem Herbst und spätestens seit der Chaos Computer Club (CCC) Ende des Jahres massive Sicherheitsbedenken anmeldete, dürften die meisten Patientinnen und Patienten auf das Go des digitalen Großprojekts des Bundes eingestellt sein – womöglich mit Bangen, denn zum einen lässt sich nicht vorhersagen, wie der Start in den Modellregionen Hamburg und Franken gelingen wird.
Zum anderen gibt es nach wie vor Skepsis an der EPA. Viele fühlen sich nicht ausreichend informiert oder fürchten, dass ihre Daten in die falschen Hände geraten könnten; nach den simulierten IT-Attacken des CCC, die fürchten ließen, dass sich Kriminelle leicht Zugang zu den sensiblen Daten verschaffen könnten, dürften die Ängste nicht geringer geworden sein.
In einem Offenen Brief hat sich nun der Innovationsverbund Öffentliche Gesundheit, darunter der Verbraucherzentrale Bundesverband, der Ärzteverband MEDI Baden-Württemberg, das Bündnis für Datenschutz und Schweigepflicht (BfDS), die Deutsche Aidshilfe, der CCC sowie die Freie Ärzteschaft, an Bundesgesundheitsminister Karl Lauterbach (SPD) gewandt. Die Unterzeichner sehen die EPA als noch lange nicht startklar an und haben »erhebliche Bedenken«. Insbesondere die vom CCC dargelegten Sicherheitsmängel gäben Anlass dazu.
Grundsätzlich sei eine digitale Gesundheitsinfrastruktur wünschenswert und nötig. Allerdings müsse diese »gut gemacht« sein und die Interessen der Patientinnen und Patienten in den Mittelpunkt stellen. Dafür sei wichtig, alle Bedenken »glaubhaft und nachprüfbar« auszuräumen, bevor die EPA bundesweit ausgerollt wird – die Sicherheitslücken zu schließen, sei dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.
»Die Menschen brauchen Gewissheit, dass ihre Gesundheitsdaten in der EPA sicher sind. Die aufgedeckten Sicherheitslücken haben das Vertrauen der Versicherten in die EPA beschädigt. Ein bundesweiter Roll-Out der »PA darf erst dann erfolgen, wenn alle berechtigen Zweifel ausgeräumt sind«, meint etwa Michaela Schröder, Geschäftsbereichsleiterin Verbraucherpolitik beim Verbraucherzentrale Bundesverband.
Fünf Maßnahmen sind aus Sicht des Verbunds nötig, bevor die EPA für ganz Deutschland ausgerollt wird. So müsse es beim Start in den Modellregionen zusätzliche Sicherheitsvorkehrungen geben. Diese seien transparent zu kommunizieren. Zudem sei ein »echtes Mitspracherecht« von Patienten, Leistungserbringern und »Organisationen der digitalen Zivilgesellschaft« nötig, um die Modellphase zu bewerten. »Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.«
Drittens müssten Expertinnen und Experten aus Wissenschaft sowie aus besagter digitaler Zivilgesellschaft die Sicherheitsrisiken belastbar bewerten können. Dafür müssten alle Quelltexte veröffentlicht werden, eine Testumgebung müsse bereitgestellt sowie Updates kommuniziert werden.
Offen solle auch mit möglichen Sicherheitslücken umgegangen werden. Denn diese könnten in technischen Systemen nie ausgeschlossen werden. Etwa müssten die Kassen die Versicherten neutral informieren; eine pauschale Aussage wie »Die EPA ist sicher« sei ungeeignet. Wie die Kommunikation effizienter werden könnte, skizzieren die Unterzeichnenden allerdings nicht.
Schließlich müsse die Kritik von Organisationen an der EPA berücksichtigt und aufgegriffen werden, etwa zu Mängeln im Berechtigungsmanagement. Die Kritik spiegele die Interessen Betroffener. Auch nach dem Start müsse es einen offenen Prozess der Weiterentwicklung geben.
Dass die Testphase erst endet, wenn die EPA reibungslos funktioniert, fordert auch die Kassenärztliche Bundesvereinigung (KBV). »Das ist eine Voraussetzung, um einen bundesweiten Rollout zu starten«, so KBV-Vorstandsmitglied Sibylle Steiner. Datenschutz und -sicherheit seien ebenso wichtig. Die KBV nehme die jüngst aufgedeckten Sicherheitsprobleme sehr ernst. Mithin schaue man »mit einem unguten Gefühl auf die doch kurze Testphase und den sehr zeitig angedachten Rollout-Start«.
Auf den Gedanken geht SPD-Digitalexperte Matthias Mieves ein. »Es ist völlig normal, dass wir uns jetzt in der Diskussion auf die Fehler und Gefahren konzentrieren. Genau deswegen starten wir mit einer Testphase«, so Mieves in einer Rundmail. Das Thema sei komplex, Probleme seien daher nicht auszuschließen.
Aber: »Sicher muss es sein«, so Mieves. Daher sei man bei der ursprünglich auf vier Wochen angesetzten Probephase inzwischen flexibler. »Wenn dann noch irgendwas Substanzielles ruckelt, wird die Pilotphase einfach verlängert, bis die Probleme behoben sind.« Mieves ist sicher: »Nach und nach wird die EPA viele Probleme lösen, die wir jeden Tag in der Versorgung sehen.«
Die Gematik ließ unterdessen wissen, dass man auf die vom CCC aufgedeckten Mängel reagiert habe. Die technischen und organisatorischen Maßnahmen würden derzeit umgesetzt. Eine Sprecherin betonte, dass der bundesweite Rollout erst nach einer erfolgreichen Testphase erfolge. Der genaue Termin stehe also noch nicht fest.
Für diejenigen, deren Bedenken überwiegen, hat die Verbraucherzentrale Hamburg einen Tag vor dem Start noch einen Tipp parat. Patientinnen und Patienten könnten auch jetzt noch jederzeit widersprechen, selbst wenn die ursprüngliche Frist der Krankenkasse bereits abgelaufen sei. »Wer die elektronische Patientenakte nicht möchte, kann jederzeit deren Löschung beantragen«, so Jochen Sunken, Abteilungsleiter Gesundheit und Patientenschutz bei der Verbraucherzentrale Hamburg . Dies sei elektronisch, telefonisch oder per Post möglich.
