Sie soll Krankenkassen, Versicherten, Ärzten und Apotheken das Leben leichter machen und die Digitalisierung im Gesundheitswesen vorantreiben. Doch zum Start der Testphase der elektronischen Patientenakte (ePA) in einigen deutschen Regionen an diesem Mittwoch herrscht weiter große Skepsis, was deren Funktionalität und vor allem den Schutz der sensiblen Patientendaten angeht.

In der ePA werden nach und nach medizinische Daten, Befunde und Untersuchungsergebnisse von Patienten gespeichert, so dass sie für Nutzer jederzeit einsehbar sind und auf Wunsch auch mit behandelnden Ärztinnen und Ärzten geteilt werden können.

Bedenken gegen die Zusammenführung der Gesundheitsdaten von Millionen von Versicherten kommen von verschiedenen Seiten. Ihre Organisation werde genau hinschauen, ob die elektronische Patientenakte reibungslos in den Praxen funktioniere, sagte Sibylle Steiner, Vorstandsmitglied der Kassenärztlichen Bundesvereinigung (KBV). "Das ist eine Voraussetzung, um einen bundesweiten Rollout zu starten", mahnt die oberste Vertreterin der Kassenärzte.

"Die elektronische Patientenakte ist sicher und macht bessere Behandlung und Forschung möglich", sagte Bundesgesundheitsminister Karl Lauterbach (SPD). Doch Zivilgesellschaftliche Organisationen warnen ihn in einem offenen Brief vor Problemen. "Das System darf nicht bundesweit an den Start gehen, bevor Sicherheitslücken geschlossen und Bedenken ausgeräumt sind", heißt es in dem Brief, den unter anderen der Bundesverband der Verbraucherzentrale, der Chaos Computer Club (CCC) und die deutsche Aidshilfe unterzeichnet haben.

Eingeführt wurde die elektronische Akte bereits Anfang 2021. Versicherte konnten die Nutzung bisher auf eigenen Wunsch beantragen. Künftig greift eine sogenannte Opt-out-Lösung. Das heißt, die ePA wird für alle Versicherten bereitgestellt, die nicht aktiv widersprechen. Sie bleibt aber freiwillig. Nach einer Umfrage des IT-Branchenverbands Bitkom wollen 71 Prozent der Deutschen die ePA künftig nutzen.

Weil es weiter erhebliche Widerstände gibt, hatte Gesundheitsminister Lauterbach den ursprünglich für Mitte Januar geplanten bundesweiten Start verschoben. Stattdessen wird die elektronische Patientenakte nun nur in ausgewählten Testpraxen in Hamburg, in Nordbayern und Teilen Nordrhein-Westfalens erprobt.

Für Schlagzeilen hatte jüngst der Chaos Computer Club gesorgt, der Ende vergangenen Jahres gravierende Sicherheitslücken aufdeckte. Die CCC-Hacker demonstrierten bei ihrem Jahreskongress im Dezember, wie unberechtigte Personen mit wenig Aufwand Zugang zu diesen Daten erhalten können.

Der Fernzugriff auf Massen von Patientenakten sei über unsicher konfigurierte IT gelungen, teilte der CCC anschließend mit und forderte unter anderem eine transparente Kommunikation über Risiken der elektronischen Patientenakte.

Die Nationale Agentur für Digitale Medizin (Gematik), die das Gerüst für digitale Anwendungen im Gesundheitswesen aufbaut, wehrt sich: Zwar betonte die Gematik, dass sie die Sicherheitshinweise des Chaos Computer Clubs ernst nehme, beschwichtigte aber zugleich: "Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich", heißt es in einer Stellungnahme.

Denn für einen solchen Fernzugriff müssten "verschiedene Voraussetzungen erfüllt sein". Dazu gehöre beispielsweise, sich illegal den digitalen Zugangsausweis einer Institution zu besorgen, die auf die ePa zugreifen kann, also beispielsweise einer Arztpraxis oder Apotheke.

Dies war dem CCC allerdings ohne großen Aufwand gelungen. Vor dem bundesweiten Rollout der ePA würden "weitere technische Lösungen umgesetzt und abgeschlossen sein", um die Datensicherheit weiter zu verbessern, versichert die Gematik.

Doch die Kritiker bleiben skeptisch: "Was lange währt, wird nicht automatisch gut", sagt Svea Windwehr, Co-Vorsitzende des Vereins D64 – Zentrum für Digitalen Fortschritt, der zu den Mitunterzeichnern des offenen Briefs an Lauterbach gehört.