Politik

Elektronische Patientenakte: Kritik an „langsamer Reaktionszeit“ der Gematik

  • Freitag, 27. Juni 2025
/nmann77, stock.adobe.com
/nmann77, stock.adobe.com
1

Berlin – Sicherheitslücken bei der elektronischen Patientenakte (ePA) müssen durch die Gematik und die technisch Verantwortlichen künftig deutlich schneller geschlossen werden, auch bei Nachbesserungen ist mehr Eile geboten. Das mahnte Bianca Kastl, Entwicklerin und Sicherheitsforscherin aus dem Umfeld des Chaos Computer Clubs (CCC), heute auf dem Hauptstadtkongress an.

Sie betonte, im August des vergangenen Jahres habe der CCC bereits auf Sicherheitslücken rund um die ePA hingewiesen. Diese seien „erstmal totgeschwiegen“ worden. Im Dezember habe der CCC nachweisen können, dass die Lücken zu realistischen Problemen führen könnten. „Dann wurde schnell reagiert“, sagte Kastl.

Aus ihrer Sicht braucht es aber einen Prozess, „der effizient und direkt“ Fehler korrigiert. Wenn Fehler gefunden worden seien, habe es bisher vonseiten der Gematik eine „langsame Reaktionszeit“ gegeben. Das „Schiff“ der Telematikinfrastruktur und ePA sei aber auch kompliziert, räumte Kastl ein. Die bisherige Reaktionszeit von ein paar Monaten sei aber unzureichend.

Entsprechend müsse sich die Gematik fragen, wie man schneller Fehler beheben könne, um die sensiblen Daten von rund 70 Millionen gesetzlich Krankenversicherten zu schützen. Und: Es benötige eine Fehlerkultur, um einzuräumen, dass etwas kaputt sei und es eine bestimmte Zeit dauere, bis es repariert werden könne, so Kastl. „Das ist bisher nicht gut gelaufen.“

Die Entwicklerin forderte zudem, dass nicht rein politische Ziele mit entsprechenden Digitalvorhaben verfolgt werden dürften. Es müsse stattdessen klar kommuniziert werden, was zu welchem Zeitpunkt realistisch verfügbar sei, betonte Kastl. Wenn es Probleme gebe, dann müssten diese auch transparent kommuniziert werden, um die Bevölkerung mitzunehmen.

Sicherheitslücken haben Annahmen verändert

Man sei Sicherheitsforschern dankbar, entgegnete der Geschäftsführer der Gematik, Florian Fuhrmann, auf die Kritik. Er verwies auf klare Prozesse in der Agentur und dass Hinweise von Sicherheitsforschern angenommen und aufgearbeitet werden würden. Dafür gebe es auch Geld für diejenigen, die Meldungen machten, so Fuhrmann.

Er erklärte: „Wenn es noch Lücken gibt, dann schließen wir die.“ Man wolle nicht intransparent sein und die Gematik habe die eigenen Fehler- und Gefährdungsanalysen nach den Hinweisen des CCC hinterfragt. Man arbeite aber mit Annahmen, sagte er.

„Wir gehen davon aus, dass alle Arztpraxen und Apotheken mit den SMC-B-Karten vorschriftsmäßig umgehen“, sei eine gewesen, so Fuhrmann. Wenn dies nicht getan werde, dann müsse man die Gefährdungsanalysen hinterfragen, ob sie ausreichten. Diese Annahme habe man nach den Hinweisen des CCC überarbeitet und nehme nun entsprechende Realitätschecks vor.

Kastl entgegnete, dass man bei mehr als 100.000 Leistungserbringungsinstitutionen mit Sicherheitslücken rechnen müsse. Eine dieser Lücken bei etwa einer Arztpraxis dürfe aber nicht das Gesamtsystem gefährden. Staatliche Systeme wie die ePA müssten zudem ausreichend finanziert sein, betonte Kastl. Sichere Systeme kosteten zwar Geld, aber deutlich weniger als wenn ein Schadensfall eintrete.

Darauf dass neben der Debatte um die Sicherheitsprobleme auch die technischen Voraussetzungen häufig noch fehlen würden, wies Sibylle Steiner, Vorstandsmitglied bei der Kassenärztlichen Bundesvereinigung (KBV) hin. Derzeit würden erst ungefähr 80 Prozent der Arztpraxen über das ePA-Modul der Praxisverwaltungssysteme (PVS) verfügen. Davon müssten 50 Prozent noch das Modul durch die PVS-Hersteller freischalten lassen, sagte Steiner.

Sie appellierte an die Hersteller, dass sie die entsprechenden Module aufwandsarm und zeitnah freischalten sollten. Dass 20 Prozent der Arztpraxen noch keine technische Voraussetzung hätten, die ePA zu nutzen, sei „inakzeptabel“, so Steiner.

Die elektronische Patientenakte befindet sich derzeit in einer „Hochlaufphase“. Seit 15. Januar testen rund 300 Leistungserbringer die ePA auf Herz und Nieren, seit dem 29. April können alle Arztpraxen, Apotheken und Krankenhäuser bundesweit die ePA testen und nutzen.

Bis Ende September können Ärztinnen und Ärzte die ePA freiwillig verwenden, danach werden sie zur Befüllung verpflichtet. Ab dem 1. Januar 2026 folgen Sanktionen für Niedergelassene, ab dem 1. März 2026 auch für die Krankenhäuser.

cmk

Diskutieren Sie mit:

1

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Kommentare (1)

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung