Politik

Elektronische Patientenakte: Testphase startet mit Hindernissen

  • Freitag, 17. Januar 2025
/picture alliance, epd-bild, Tim Wegner
/picture alliance, epd-bild, Tim Wegner

Berlin – Der Start der Testphase der neuen elektronischen Patientenakte (ePA) läuft nicht ganz so rund, wie es die Verantwortlichen vorgestern betont hatten. Die tatsächliche Testung von realen digitalen Akten von Versicherten wird erst in den kommenden Tagen und Wochen richtig anlaufen können.

Grund dafür sind zeitliche Verzögerungen bei der Bereitstellung der Technik und fehlende Freigaben. Zudem mangele es an Transparenz über das Vorgehen, bemängeln Teilnehmende der Testphase.

Teilweise liegt die Verzögerung des Starts an den Herstellern der Praxisverwaltungssysteme (PVS). Informationen des Deutschen Ärzteblatts (DÄ) zufolge sollen Updates mancher PVS-Systeme von Testpraxen erst Ende Januar eingespielt werden.

Der Hausarzt Moritz Eckert aus Herzberg am Harz in Niedersachsen ist hingegen technisch bereit, die ePA in seiner Praxis zu testen. Er nimmt in Kooperation mit der KV Nordrhein als Testpraxis teil. „Das entsprechende ePA-Update meines PVS-Systems wurde zeitgerecht am 15. Januar installiert“, erklärte Eckert dem .

Allerdings habe seine Praxis noch keinen Zugriff auf die Testumgebung, ein entsprechendes „Whitelisting“ der Gematik fehle noch. „Mich ärgert nicht der zeitliche Verzug, sondern vielmehr die optimierbare Kommunikation zu uns Testpraxen seitens der Gematik“, sagte Eckert.

Wie viele weitere Praxen aufgrund von fehlenden Freigaben noch nicht testen können, beantwortete die Gematik auch nach mehrmaliger Nachfrage nicht. „Der Onboarding-Prozess der teilnehmenden Einrichtungen läuft aktuell auf Hochtouren“, erklärte dazu eine Sprecherin.

Es werde nach außen hin kommuniziert, dass alles laufe, bemängelte der Arzt Eckert. „Aber selbst wenn wir die Freischaltung durch die Ge­matik zeitnah bekommen, rechne ich nicht damit, in den ersten Wochen viele Akten testen zu können. Es dauert vermutlich noch etwas, bis die Krankenkassen ihren Versicherten tatsächlich die ePA angelegt haben“, erläuterte Eckert weiter.

Dies berichtet auch der Hausarzt Oliver Pottkämper aus Köln. Er erklärte heute: „Ich habe noch nicht eine einzige ePA testen können.“ Bei ihm sei die benötigte technische Ausstattung und Freigabe der Gematik allerdings bereits vorhanden. Hintergrund ist, dass die Krankenkassen ihren Versicherten erst nach und nach eine ePA anlegen, dies kann bis zu vier Wochen dauern.

ePA-Hersteller erfüllen noch nicht alle Bedingungen

Erschwerend kommt hinzu, dass zum Start nur einer der beiden Hersteller alle technischen Voraussetzungen für einen ePA-Start bereitstellen können: So können die Krankenkassen, die bei Bitmarck/Rise Kunde sind, die Akten in den kommenden Tagen vollständig anlegen. Zu den Bitmarck/Rise-Kunden gehören als größte Krankenkasse die DAK-Gesundheit sowie alle Betriebskrankenkassen (BKK), die sechs IKKen, die KKH und die hkk.

Bei den Krankenkassen, die ihre Akte von IBM beziehen, wird es wohlmöglich etwas länger dauern: Zwar hat IBM seit dem vergangenen Donnerstag die „Zulassung“ für den Betrieb der Akte, es fehlt offenbar für den bundes­wei­ten Roll-out noch das Erfüllen einer sogenannten „Allow-List“, die das Bundesamt für Sicherheit und Informati­ons­technik (BSI) auferlegt hat. Nach Darstellung einiger Kunden von IBM wird die Abarbeitung dieser Liste „bis spätestens zum 29. Januar“ dauern.

„Die kurzfristig beschlossene Vorgabe der Gematik, eine sogenannte ,Allow-List' umzusetzen, dient der Stärkung der Sicherheit der elektronischen Patientenakte (ePA) und basiert auf Hinweisen des Chaos Computer Clubs (CCC)", erklärten die AOK Rheinland/Hamburg sowie die AOK Bayern wortgleich auf Anfrage des .

„IBM, als technischer Partner, arbeitet aktuell intensiv an der Implementierung dieser Liste. Dieser Prozess wird voraussichtlich bis spätestens 29. Januar 2025 abgeschlossen sein“, so die beiden Krankenkassen. Bis dahin sei „vorübergehend lediglich der Zugriff der Leistungserbringer im Behandlungskontext durch das Stecken der elektronischen Gesundheitskarte (eGK) deaktiviert.“ Versicherte könnten die Akte über die Apps der Kassen nutzen.

IBM ließ mehrfache Nachfragen des dazu unbeantwortet und verweist auf eine Mitteilung der Gematik. Darin hieß es gestern, die Gematik habe „Zulassungen für die Bereitstellung der Aktenkonten“ erteilt.

Zu den Kunden der IBM gehören neben den elf AOKen (Bayern, Baden-Württemberg, Bremen/Bremerhaven, Hessen, Niedersachsen, Nordost, Nordwest, AOK Plus, Rheinland/Hamburg, Rheinland-Pfalz/Saarland, AOK Sachsen-Anhalt) auch die Barmer, die TK, die HEK und die Viactiv Krankenkasse – damit bis zu 25 Millionen Versicherte in Deutschland.

Die TK als größte Krankenkasse erwartet eine „zeitnahe" Umsetzung des Sicherheitsupdates. „Die Datenfreigabe per eGK in den Arztpraxen funktioniert, sobald das Sicherheitsupdate integriert ist. Das ist wichtig, um die vom CCC berichteten Sicherheitsrisiken in den Modellregionen ausschließen zu können", heißt es auf Nachfrage des DÄ. Derzeit sei es auch alternativ möglich, in der Akte eine Praxisfreigabe zu erteilen und somit Praxen Zugriff auf die Dokumente zu gewähren, hieß es.

Auch die Barmer ist Kunde bei IBM und erklärte die derzeitige Situation so: „Auch wenn Arbeiten an der Allow-List noch nicht abgeschlossen sind, bereitet die Barmer den Rollout weiter zügig vor“, hieß es auf Anfrage des . Und weiter: „Lediglich der Aktenzugriff durch die Leistungserbringenden nach dem Stecken der eGK in der Praxis ist bis zum Abschluss der Arbeiten an der Allow-List nicht möglich.“

Damit ist auch in den drei Modellregionen zunächst die Nutzung der ePA nicht möglich. Aber: „In den Modellre­gio­nen wird der Hochlauf der Versicherten während der ersten Tage des Launchs erfolgen, wie es über alle Kas­sen hinweg immer geplant war“, teilte die Barmer mit.

Auch die AOK Rheinland/Hamburg, die Versicherte in der Testregion Hamburg hat, erklärt auf Anfrage des : „Wie geplant werden zunächst die Versicherten in den Modellregionen versorgt, dort wird mit der Aktenanlage b­e­gonnen. Wir stellen von unserer Seite sicher, dass die erforderlichen Tests im Realbetrieb möglich sind.“

Das Ausrollen der ePA soll laut Gematik nun in dieser Reihenfolge stattfinden: Zunächst die Versicherten, die be­reits eine ePA hatten. „Daraufhin folgt die Aktenanlage für Versicherte in den Modellregionen Hamburg & Umland, Franken und in Teilen NRW, dann bundesweit", so die Gematik. Insgesamt haben die Krankenkassen vier Wochen Zeit, die Akten an alle Versicherten, die nicht widersprochen haben, auszurollen.

Sicherheitslücke schon seit Sommer 2024 bekannt

Brisant ist zudem, dass die Sicherheitslücke, die nun für eine Verzögerung des vollen Zugriffs mancher ePA in der Testphase sorgt, für die Gematik nicht neu gewesen ist. Einem aktuellen Bericht von Zeit Online zufolge waren der Gematik die entsprechenden Probleme, auf die der CCC Ende Dezember 2024 hingewiesen hatte, offenbar bereits mindestens seit August 2024 bekannt. Erst Ende Dezember begann die Digitalagentur aber dem Bericht zufolge, die Hinweise ernst zu neh­men und Maßnahmen einzuleiten.

„Die vom CCC beschriebene technische Schwachstelle erforderte bis Dezember 2024 keinen akuten Handlungsbe­darf“, sagte eine Sprecherin der Gematik auf -Nachfrage. Dieser ergebe sich erst aus der vom CCC vorgestell­ten Kombination. „Dieses Gesamtszenario ist neu und hat eine neue Risikobetrachtung notwendig gemacht.“ Denn wichtig für die Nutzung der TI-Anwendungen sei, dass ein sicherer Herausgabeprozess die Karten bestmög­lichst schützt, heißt es weiter.

Zur Erklärung: Der CCC hatte offenbar mithilfe von gebrauchten Arztterminals und SMC-B-Karten sowie der zuge­hörigen PIN Zugang zur Telematikinfrastruktur (TI) erhalten. Da die Krankenversichertennummern bislang nicht verschlüsselt sind, könnten mit diesem Vorgehen Daten aus den elektronischen Patientenakte abfließen. „Illegale Beschaffungen von Karten sowie unberechtigte Zugriffe auf TI-Anwendungen wie die ePA sind strafbar“, betonte die Sprecherin der Gematik.

Die Gematik hatte deshalb in Zusammenarbeit mit dem Bundesgesundheitsministerium (BMG) und dem BSI Maß­nahmen entwickelt, die diese Sicherheitslücke schließen sollen. Die Umsetzung müsse bis zum bundesweiten Roll-out erfolgen, der für März/April angesetzt ist.

Dazu gehört eine zusätzliche Verschlüsselung der Krankenversichertennummer, die Verhinderung, dass Ausweise der TI missbräuchlich verwendet werden können, eine Sensibilisierung der Nutzerinnen und Nutzer der TI im Umgang und Schutz der technischen Infrastruktur und Ausweisen sowie eine Ausweitung der Überwachungsmaß­nahmen inklusive der Anomalieerkennung.

bee/cmk

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung