Offener Brief
Fünf Schritte zu mehr Vertrauen in die ePA

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

  1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben. 

  2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.

  3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.

  4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.

  5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen



Mitzeichnende Organisationen in alphabetischer Reihenfolge

  1. AG Kritis
  2. Ärzteverband MEDI Baden-Württemberg
  3. BAG SELBSTHILFE e.V.
  4. Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)
  5. Björn Steiger Stiftung
  6. Bundesverband Neurofibromatose
  7. Bündnis für Datenschutz und Schweigepflicht (BfDS)​​​​​​​
  8. Chaos Computer Club
  9. D64 - Zentrum für digitalen Fortschritt
  10. Deutsche Aidshilfe
  11. Deutsche Alzheimer Gesellschaft
  12. Deutsche DepressionsLiga e.V.
  13. Deutsche Hörbehinderten Selbsthilfe e.V. (DHS)
  14. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
  15. Deutsche Rheuma-Liga Bundesverband
  16. Deutscher Paritätischer Wohlfahrtsverband - Gesamtverband
  17. dieDatenschützer Rhein Main
  18. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
  19. Freie Ärzteschaft e. V.
  20. Gen-ethisches Netzwerk
  21. Humanistische Union
  22. Innovationsverbund Öffentliche Gesundheit (InÖG)
  23. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
  24. LAG Selbsthilfe Rheinland-Pfalz
  25. Landesvereinigung Selbsthilfe Berlin
  26. Patientenrechte und Datenschutz e. V.
  27. SUPERRR Lab
  28. Verbraucherzentrale Bundesverband


Einzelpersonen in alphabetischer Reihenfolge
  1. Kristina Achterberg, Kinder- u. Jugendlichenpsychotherapeutin, Kösching
  2. Matthias Bauer, Kinder- u. Jugendlichenpsychotherapeut, Kösching
  3. Regine Bielecki, Psychologische Psychotherapeutin, Mönchengladbach
  4. Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag
  5. Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum - Technik, Wirtschaft, Gesundheit
  6. Juliane Göbel, Psychotherapeutin, Bernstadt auf dem Eigen
  7. Katharina Groth, Psychologische Psychotherapeutin, Geisenheim
  8. Sabine Grützmacher, MdB, Bündnis 90/Die Grünen
  9. Dr. Sven Herpig, Lead for Cybersecurity Policy and Resilience, interface
  10. Jan-Tilo Kirchhoff, IT-Sicherheitsexperte, Berlin
  11. Prof. Ulrich Kelber, Parlamentarischer Staatssekretär a.D.
  12. Julia Rasp, Psychotherapeutin in Ausbildung
  13. Elisabeth Reich, Psychologische Psychotherapeutin, Marburg
  14. Thomas Schäfer, Bündnis 90/Die Grünen, Sprecher der Bundesarbeitsgemeinschaft Digitales und Medien, München
  15. Katharina Schwietering, Psychotherapeutin, Pinneberg
  16. E. Walther, Psychotherapeutin
  17. Katharina Wendling, Psychologische Psychotherapeutin, Köln
  18. Benedikt Wildenhain, Wissenschaftlicher Mitarbeiter, Hochschule Bochum


Mitzeichnen und Presseanfragen unter epa@inoeg.de



Zitate

Wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden. Unsichere und nicht an den individuellen Bedarf nach Vertraulichkeit angepasste Lösungen schließen gerade diejenigen Menschen aus, die am meisten von der Digitalisierung des Gesundheitswesens profitieren könnten
- Bianca Kastl, Innovationsverbund öffentliche Gesundheit e.V.


„Eine gut gemachte elektronische Patient*innenakte kann ein großer Fortschritt werden – wenn die Interessen der Patient*innen im Vordergrund stehen. Es ist nicht akzeptabel, dass Menschen gedrängt werden, ganz auf die ePA zu verzichten, weil sie nicht sicher genug oder zu kompliziert für ihre Bedürfnisse ist. Eine ,ePA für alle‘ muss auch leicht bedienbar für alle sein und zu den jeweiligen individuellen Datenschutzbedürfnissen passen.“
- Winfried Holz, Vorstand Deutsche Aidshilfe


"Die Björn Steiger Stiftung fordert seit Jahren die Einführung einer ePa und befürworten sie, aber es muss selbstverständlich eine hoch sichere Lösung sein, so wie es in anderen EU Staaten seit Jahren üblich ist."
- Pierre-Enric Steiger, Björn Steiger Stiftung


„Die Menschen brauchen Gewissheit, dass ihre Gesundheitsdaten in der ePA sicher sind. Die aufgedeckten Sicherheitslücken haben das Vertrauen der Versicherten in die ePA beschädigt. Ein bundesweiter Roll-Out der ePA darf erst dann erfolgen, wenn alle berechtigen Zweifel ausgeräumt sind. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) kann die ePA dazu beitragen, die gesundheitliche Versorgung zu verbessern. Das funktioniert aber nur, wenn Patient:innen und Leistungserbringer der ePA vertrauen können und sie aktiv nutzen.“
- Michaela Schröder, Geschäftsbereichsleiterin Verbraucherpolitik beim Verbraucherzentrale Bundesverband e.V. (vzbv)


„Beteiligung schafft Vertrauen. Daher wäre es sehr hilfreich, wenn die Patientenorganisationen in Deutschland künftig intensiver auch in die Risikoabschätzungsprozesse bei der Digitalisierung des Gesundheitswesens eingebunden würden.“
- Dr. Martin Danner, Geschäftsführer BAG SELBSTHILFE


„Was lange währt, wird nicht automatisch gut. Die ePA - und die Digitalisierung des Gesundheitswesens - kann nur dann ein Erfolg werden, wenn die Bedürfnisse der Patient*innen konsequent im Vordergrund stehen. Dazu gehört neben Sicherheit, Transparenz und Selbstbestimmung auch die langfristige Beteiligung der Zivilgesellschaft - auf Augenhöhe. Die kritische Auseinandersetzung der Zivilgesellschaft mit Projekten wie der ePA muss rechtlich abgesichert werden, der Hackerparagraph gehört abgeschafft."
- Svea Windwehr, Co-Vorsitzende von D64


„Patient*innen verdienen eine ePA, die gut funktioniert und sicher ist. Wissenschaft und Zivilgesellschaft äußern schon lange Kritik an der aktuellen Ausgestaltung und haben konkrete Vorschläge eingebracht, wie es besser gehen kann. Es ist Zeit, ihnen endlich zuzuhören und ihre Vorschläge aufzugreifen."
- Elisa Lindinger, SUPERRR Lab


„Menschen mit Behinderungen und chronischen Erkrankungen haben sehr häufig eine komplexe Gesundheitshistorie. Die eigenen Informationen aktuell, gesichert, strukturiert und digital zur Verfügung zu haben und an Behandler*innen weiterleiten zu können, wäre eine große Entlastung für viele Menschen. Als Verbände der Selbsthilfe bringen wir uns gerne in einen transparenten Prozess zur Weiterentwicklung der ePA ein, um die Sicherheit und die Nutzbarkeit für uns alle zu gewährleisten."
- Oliver Pfleiderer, Vorsitzender LAG Selbsthilfe Rheinland-Pfalz


„Gesundheitsdaten sind hochsensibel und müssen nachhaltig vor Missbrauch geschützt werden! Die Digitalisierung des Gesundheitssystem kann viele Vorteile bringen, aber die Risiken der ePA für Versicherte dürfen nicht unter den Tisch gekehrt werden."
- Dr. Isabelle Bartram, Gen-ethisches Netzwerk


„Der Schutz der Daten von Patientinnen und Patienten ist im derzeitigen Sicherheitskonzept der ePA nicht gewährleistet. Die ePA wäre eine tolle Chance, um die gesundheitliche Versorgung zu verbessern, aber im Augenblick vermissen wir an vielen Stellen den Nutzen für Patienten und Patientinnen. Die ePA könnte so viel besser sein, wenn die Vorschläge der Patientenorganisationen umgesetzt würden."
- Sonja Arens, Vorsitzende der Landesvereinigung Selbsthilfe Berlin e.V.


„Der Bundesverband Neurofibromatose e.V. unterstützt grundsätzlich die Möglichkeiten und Perspektiven, die durch die ePA für Menschen mit einer seltenen Erkrankung entstehen. Menschen mit einer seltenen Erkrankung erfahren durch ihre Erkrankung oftmals Benachteiligungen, die durch die ePA nicht noch zusätzlich verstärkt werden dürfen. Sicherheitslücken müssen dringend vor flächendeckender Einführung geschlossen werden und auch das Berechtigungsmanagement müssen Patienten aktiv steuern können, um mögliche Nachteile auszuschließen.“
- Bundesverband Neurofibromatose


„Die Sicherheit der Speicherung sensibler Krankheitsdaten zentral auf Servern, geplant zudem für 100 Jahre, muss von Beginn an gewährleistet sein. Sonst kann kein Vertrauen in ein derart großes IT-Projekt entstehen - ein Vertrauen, das durch fraglichen Nutzen, hohe Kosten, Zwang für Behandelnde zum Anschluss an die Datenautobahn, ePA-opt-out, automatisierte ePA-Befüllung sowie intransparente Weiterleitung der Daten an die Forschung und in den EHDS sowieso schon beschädigt ist.​​​​​​​“
- Bündnis für Datenschutz und Schweigepflicht (BfDS)


„Wir machen mit einer eigenen Aufklärungskampagne seit Monaten auf die Risiken bei der Nutzung der ePA aufmerksam. Wir sind froh, dass auch andere seriöse Institutionen und Verbände erkennen, dass Nachbesserungen für die Sicherheit der ePA zwingend notwendig sind, damit die ePA nicht nur die Akzeptanz der Patientinnen und Patienten, sondern auch der Ärzteschaft und Psychotherapeutenschaft gewinnt. Denn die ärztliche Schweigepflicht hat für uns oberste Priorität.“
- Ärzteverband MEDI Baden-Württemberg e. V.


„Nationale IT-Gesundheits-Großprojekte sind sensibelster Natur und beeinflussen nicht nur individuell Betroffene, sondern münden auch in allgemeinem Vertrauenszuwachs oder -verlust. Die Corona-Warn-App etwa hat gezeigt, wie ein offener und vertrauenswürdiger Prozess aussehen kann. Umso überraschender ist es, dass die ePA sowohl im Prozess als auch im Ergebnis so stümperhaft umgesetzt wurde. Nur mit zeitgemäßer offener und partizipativer System-Entwicklung können derartige Projekte gelingen.“
- Rainer Rehak, Ko-Vorsitz Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)


„Das Nutzenpotenzial der ePA ist hoch, aber auch ihre Risiken. Gesundheitsdaten sind besonders sensible Daten, die geplante zentrale Langzeitspeicherung erhöht die Angriffswahrscheinlichkeit durch Dritte und die vielen Sicherheitslücken vergrößern die Gefahr des Datenverlusts auf ein inakzeptables Niveau. Bundesweit darf die ePA daher erst dann starten, wenn einerseits ihre potenziellen Risiken durch Anwendung höchster Sicherheitsstandards nachweislich und überprüfbar auch durch die digitale Zivilgesellschaft minimiert wurden und andererseits eine transparente Aufklärung der 'Risiken und Nebenwirkungen' für alle Nutzenden erfolgt, wie man es bei jedem Medikament kennt. Nur so können Patient:innen auch wirklich eine informierte Entscheidung für oder gegen die Nutzung der ePA treffen.“
- Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag


„Tschirsich und Kastl haben gezeigt, daß die ePA-Software Anfängerfehler enthält, teilweise bereits in der grundlegenden Architektur. Hier geht es nicht um 'kleine technische Probleme' (Lauterbach), sondern um eine grundlegende Überarbeitung. Abfluß privater Gesundheitsdaten kann soziale Ächtung oder Nachteile beim Abschluß von Versicherungsverträgen bedeuten. Manipulation dieser Daten eröffnet neue Betätigungsfelder für Kriminelle. Zeitdruck bewirkt hier irreversiblen Schaden.“
- Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum - Technik, Wirtschaft, Gesundheit, Campus Velbert-Heiligenhaus


„Der BDP fordert eine transparente Kommunikation bezüglich bestehender Datenschutzrisiken – auch bei der geplanten Nutzung der Daten für Forschungszwecke in Europa. Neben der dringend notwendigen Behebung der Datenschutzrisiken und Sicherheitslücken braucht es zudem unbedingt ein differenziertes Zugriffsmanagement sowie eine möglichst frühe und differenzierte Verschattungsmöglichkeit sensibler Dokumente in der ePA.“
- Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)


„Der Schutz des Arztgeheimnisses muss in der Psychotherapie über allen anderen Belangen stehen, damit die Patienten sich öffnen können - daher darf die ePA nur kommen, wenn sie völlig sicher ist!“
- Katharina Schwietering, Psychotherapeutin, Pinneberg,


„Ich bin nicht Psychtherapeutin geworden, um zur Datenlieferantin für das Trainieren von KI gemacht zu werden. Das ist mit meinem Berufsethos nicht vereinbar.“
- Dipl.-Psych. Reinhild Temming, Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.


„Die dezentrale Speicherung und die patientenindividuelle Verschlüsselung der Gesundheitsdaten, welche für den Zugriff auf Gesundheitsdaten durch Forschende ohne technische Notwendigkeit abgeschafft wurde, halte ich weiterhin für notwendig und alternativlos. Die Forderung des neuen offenen Briefs nach Bereitstellung des Quellcodes und einer Testumgebung teile ich. Unabdingbar ist darüber hinaus aber die Reform des Hackerparagraphen.“
- Sabine Grützmacher, MdB, Bündnis 90/Die Grünen


"In Zeiten hybrider Bedrohungen ist es unabdingbar, auch dieses Szenario zu berücksichtigen. Viele Bürger haben aus dienstlichen Gründen Kenntnis von Staatsgeheimnissen. Nur wenn auch deren Gesundheitsdaten ausreichend geschützt werden, können wir diese Bürger vor Erpressung bewahren. Schlecht geschützte Gesundheitsdaten sind daher direkt ein Thema der nationalen Sicherheit. Es reicht nicht aus, lediglich Bundesminister und den Bundeskanzler von der ePA auszuklammern, denn Berufsgeheimnisse existieren in nahezu jeder Gehaltsstufe.“
- Manuel ´HonkHase´ Atug - Sprecher der AG Kritis, AG Kritis





Wir verbinden Innovationen
und den ÖGD miteinander

Kontakt
info@inoeg.de Impressum Datenschutz
Partner
Björn Steiger Stiftung
Unterstützen
GitHub Patreon