Warten oder starten?

Angst vor dem Datenklau bei der elektronischen Patientenakte

Sicher verschlüsselte Daten oder leicht zu öffnendes System? Der Chaos Computer Club (CCC) hat auf Sicherheitsrisiken bei der elektronischen Patientenakte (ePA) aufmerksam gemacht. Die ePA könne ihre Sicherheitsversprechen nicht halten, teilen die IT-Tüftler mit. Auf ihrem Jahreskongress im Dezember in Hamburg demonstrierten sie dem Publikum, wie unberechtigte Personen Zugang zur ePA erlangen können. Auch andere Datenschützer warnen vor den Risiken des Systems. Wie sicher ist die ePA wirklich?

Wie das WOCHENBLATT berichtete, fällt der Startschuss der ePA Mitte Januar zunächst in ausgewählten Modellregionen (Hamburg, Franken und das Umland in Nordrhein-Westfalen). Nach vier bis sechs Wochen Testphase soll die ePA dann bundesweit für alle gesetzlich Versicherten verfügbar sein. In der ePA können verschiedene Gesundheitsdaten wie Arztbriefe, Befunde, Laborwerte und Medikationspläne gespeichert werden. Auf die zentralisiert gespeicherten Daten können dann sowohl behandelnde Ärzte als auch die Patienten und Patientinnen zugreifen. Dies ermöglicht einen ganzheitlichen Überblick über den Gesundheitszustand des Patienten. Infolgedessen sollen die Diagnostik schneller und Behandlungen effizienter werden. Zudem sollen Doppeluntersuchungen vermieden und mögliche Wechselwirkungen von Medikamenten schneller erkannt bzw. vermieden werden.

CCC findet mehrere Wege zu den Gesundheitsdaten

In Hamburg zeigte der Chaos Computer Club mehrere illegale Wege in die verschlüsselten Gesundheitsdaten. Sicherheitsforscher zeigen u.a., wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Möglich machten dies Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Alltag.

Zudem demonstrieren die Forscher Möglichkeiten, Zugriffs-Werkzeuge für Akten beliebiger Versicherter zu erstellen. Prekär: Dies ist auch ohne Einlesen von Gesundheitskarten möglich. Wie bereits zuvor gelang der Fernzugriff auf Patientenakten über unsicher konfigurierte IT – sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge. Die Sicherheitsforscher und Mitglieder des CCC fordern eine unabhängige und belastbare Bewertung von Sicherheitsrisiken und eine transparente Kommunikation von Risiken gegenüber Betroffenen.

Dem schließt sich die Kassenzahnärztliche Vereinigung Niedersachsen an. Die Vereinigung der niedersächsischen Zahnärzte warnt vor einer vorschnellen und auf politischen Druck vorangetriebenen kurzfristigen Einführung der ePA. Die Folgen einer Offenlegung intimster Gesundheitsdaten würden die ärztliche Schweigepflicht als Grundlage einer vertrauensvollen Arzt-Patienten-Beziehung endgültig aushebeln.

KVN in Stade: "System sollte jetzt starten"

Dr. med. Stephan Brune, Kardiologe in Stade und Vorsitzender im Bezirksausschuss der Kassenärztlichen Vereinigung Niedersachsen (KVN), fordert zwar ebenfalls eine maximale Datensicherheit für die ePA. "Wir Ärzte können diesen Aspekt jedoch nicht beurteilen", sagt er. Er ist der Ansicht, dass das System jetzt starten solle. "Die Einführung der elektronischen Patientenakte wird seit rund 30 Jahren geplant", sagt er. Die Digitalisierung von Gesundheitsdaten werde generell von den Ärzten begrüßt. Er hofft, dass das System die Patientenversorgung erleichtert. Eine Voraussetzung hierfür sei, dass die Daten in der Akte gut sortiert sind. Die behandelnden Ärzte müssen die für sie wichtigen Befunde ohne langes Suchen schnell finden können.
Zudem betont Dr. Brune, dass jeder Patient selbst für seine Akte verantwortlich sei und sie deshalb regelmäßig mit seiner App prüfen solle. Das betreffe u.a. den Medikamentenplan. Werde zum Beispiel bei Bluthochdruck die Dosierung verändert, müsse das im Plan vermerkt werden. Das könne sowohl durch den Arzt als auch durch den Patienten geschehen.

"Jeder Start in ein neues System ist holprig", sagt Dr. Brune abschließend. Das habe die Einführung des E-Rezepts vor einem Jahr gezeigt. Jetzt funktioniere es jedoch gut. Auch die ePA müsse nach ihrem Start sicherlich noch optimiert werden. Den Start jedoch immer weiter zu verschieben, sei keine Lösung.