Der digitale Patient: Vision oder Risiko?
Der Begriff „elektronische Patientenakte“ (ePA) verspricht nicht weniger als die längst überfällige Modernisierung des deutschen Gesundheitssystems. Dokumentierte Befunde, Impfverläufe, Medikationshistorien und Röntgenbilder – jederzeit digital verfügbar, für behandelnde Ärzt:innen ebenso wie für Patient:innen selbst. Eine Revolution der Versorgung – eine Zeitenwende, wie Noch-Gesundheitsminister Prof. Dr. Karl Lauterbach es formulierte.
Doch was als große Ambition begann, mündet – Stand heute – in eine sicherheitstechnische Blamage von bundesrepublikanischem Ausmaß. Auf dem 37. Chaos Communication Congress (37C3) demonstrierten Sicherheitsforscher:innen, wie sich durch technisch machbare Angriffsvektoren tiefgreifend auf hochsensible Gesundheitsdaten zugreifen lässt. Trotz öffentlicher Beteuerungen des Ministers, die ePA erst dann flächendeckend auszurollen, „wenn alle Hackerangriffe technisch unmöglich gemacht worden sind“, startete die Einführung im April – offensichtlich gegen besseren Wissens.
Die Bilanz: ein digitaler Pelz mit zahllosen Mottenlöchern. Transparente Kommunikation? Fehlanzeige. Echte IT-Sicherheit? Eine Farce. Vertrauen? Allenfalls im Rückbau.
E-Patientenakte: Anspruch, Realität und eine gehackte Brücke dazwischen
Ursprünglich unter dem Leitbild datengetriebener medizinischer Versorgung in die Wege geleitet, existiert die Idee der ePA bereits seit mehr als zwei Dekaden. Länder wie Estland, Dänemark und Schweden haben sie erfolgreich implementiert. Deutschland hingegen kämpft 2024 noch immer mit der Absicherung grundsätzlicher IT-Infrastrukturprobleme – und sieht sich einem der heikelsten Datenschutzskandale der jüngeren Bundesgeschichte gegenüber.
Besonders brisant: Der Zugriff auf digitale Gesundheitsakten war trotz technischer Authentifizierungsmöglichkeiten manipulierbar. Ein falsches Sicherheitsgefühl wurde auf weitgehend öffentlich zugänglichen Infrastrukturen aufgebaut. Bei näherer Betrachtung wurde klar: Die Tür zur ePA war tatsächlich doppelt abgeschlossen – nur lag der Schlüssel selbst unter der Fußmatte.
Wenn Provisorien zur Norm werden
Die von der staatlichen Gematik GmbH eingeführten Schutzmaßnahmen blieben im besten Fall kosmetischer Natur, im schlechtesten lückenhaft, naiv und ethisch fragwürdig. Rate Limits und Prüfwerte wie der sogenannte „Hash Check Value“ (hcv) sollten Zugriffshürden bauen. Doch wie die IT-Experten Bianca Kastl, Martin Tschirsich sowie Prof. Christoph Saatjohann in einem Live-Test zeigten, ist der Schutzwert eines solchen Modells bestenfalls symbolisch – und keineswegs nachhaltig.
Die Ermittler:innen nutzten dabei lediglich öffentlich dokumentierte Prozesse zur Umgehung der Schutzmaßnahmen – unter anderem durch das missbräuchliche Auslesen digitaler Ersatzbescheinigungen, mit deren Hilfe sensible Daten automatisiert und in Echtzeit beschafft wurden. Der Clou dabei: Für akademisch geschulte Angreifer:innen war der Zugang innerhalb von Stunden automatisierbar. Technischer Sachverstand reichte aus – kriminelle Absicht vorausgesetzt.
Zwischen Realität und PR: Lauterbachs Schutzversprechen auf dem Prüfstand
Trotz aller Warnungen verkündete Minister Lauterbach Mitte April, dass die gemeldeten Sicherheitslücken „behoben“ wurden – gestützt auf Gespräche mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch die Realität, live vorgeführt von ethischen Hacker:innen, lässt kaum Zweifel offen: Das derzeit verfügbare System widerspricht nach wie vor den fundamentalen Anforderungen an ein digitales Gesundheitsnetzwerk.
Die Gematik reagierte mit einer Notmaßnahme und setzte das Verfahren rund um die elektronische Ersatzbescheinigung „bis auf Weiteres“ aus. Reaktiv, statt präventiv. Kommando zurück, aber zu spät.
Argumente und Verantwortung: Was Betroffene jetzt wissen sollten!
Ein flächendeckender Zugriff durch Dritte auf 70 Millionen potenzielle Datensätze wurde dank kurzer Follow-up-Kommunikationsketten vorerst verhindert – ein Verdienst zivilgesellschaftlicher Verantwortungskraft und nicht etwa staatlicher Proaktivität.
Was bedeutet das für uns alle?
🧠 Die ePA ist grundsätzlich eine sinnvolle Digitalisierungslösung.
🔒 Sie ist aktuell jedoch anfällig, unzureichend abgesichert und strukturell falsch implementiert.
📣 Eine informierte Öffentlichkeit, transparent kommunizierte Risiken und unabhängig zertifizierte Sicherheitsmechanismen sind zwingend erforderlich.
Die Vorstellung, nicht über die Erstellung einer eigenen Patientenakte informiert worden zu sein oder ihr nicht in zugänglicher Weise widersprechen zu können, widerspricht sämtlichen Grundsätzen informationeller Selbstbestimmung – und eröffnet Missbrauch Tore, die wir eigentlich längst verriegeln wollten.
Die Widerspruchsmöglichkeit: Ihre Daten, Ihre Entscheidung
Gemäß aktueller Regelung haben gesetzlich Versicherte das Recht, einer elektronischen Patientenakte aktiv zu widersprechen. Und ja: Dieses Recht sollten Sie in Erwägung ziehen – sachlich, informiert, selbstbestimmt – bevor Sie unfreiwillig zum Datenexponat auf einem digitalisierten Silbertablett werden.
So widersprechen Sie der ePA:
✅ Besuchen Sie die Webseite Ihrer Krankenkasse (oft im Bereich Datenschutz/Widerspruch)
✅ Widersprechen Sie direkt über die App Ihrer Krankenkasse oder nutzen Sie externe Tools wie den bundesweiten Widerspruchsgenerator (z. B. von attac, digitalcourage.org u.v.a.)
✅ Widersprechen Sie einzelnen Elementen oder dem gesamten Verfahren
✅ Bereits angelegte ePAs lassen sich im Nachhinein nur eingeschränkt beeinflussen – handeln Sie frühzeitig!
Ein digitalisiertes Gesundheitssystem ist kein Selbstzweck, sondern ein Dienst an der Öffentlichkeit – transparent, sicher und im Sinne des Gemeinwesens, nicht des Datensammelkapitalismus oder schlecht implementierter Prestigeprojekte.
Unsere Einschätzung: Fortschritt braucht Verantwortung – keine Flickschusterei
Die Debatte rund um die ePA zeigt: Wer Digitalisierung ohne datenschutztechnische Redlichkeit denkt, betreibt politisch unverantwortliche Täuschung. Es ist bedauerlich, dass ausgerechnet progressive Ideen wie die Digitalisierung des Gesundheitswesens durch Inkompetenz und Realitätsverweigerung sabotiert werden. Wer das vorantreibt, ohne auf Sicherheit und Aufklärung zu setzen – sei es aus Politik, Wirtschaft, Kassenwesen oder Lobbyinteresse – handelt grob fahrlässig.
☑ Nein, wir stehen nicht gegen die Digitalisierung der Medizin.
☑ Ja, wir stehen entschieden gegen ihre schlampige und unbeaufsichtigte Umsetzung.
☑ Und ganz sicher steht dieser Blog nicht auf der Seite derer, die durch digital verpackte Überwachung und Sicherheitsillusion ein scheinlegales Kontrollsystem errichten wollen.
Die Wahrheit ist: Eine falsche Digitalisierung kostet Vertrauen, Sicherheit und am Ende die Menschenrechte selbst.
Und daher fordern wir, als antifaschistischer, faktengetriebener Kanal mit Anstand und Anspruch: Entweder die Politik liefert saubere Lösungen – oder sie überlässt die Zukunft unseres Gesundheitssystems Fachleuten mit Ethik und Kompetenz. Flickwerk war gestern.
📢 Bleiben Sie kritisch. Bleiben Sie informiert. Und widersprechen Sie, wenn nötig – demokratisch, freiheitlich, digital verantwortungsvoll.
Wasserpuncher | Kai 