EHDS – der große Bruder der ePA
Am 5. März 2025 wurde die Verordnung über den europäischen Raum für Gesundheitsdaten EHDS – European Health Data Space im Amtsblatt der Europäischen Union veröffentlicht. Sie trat am 26. März 2025 in Kraft. Das bedeutet aber nicht, dass die Verordnung sofort Anwendung findet. Die meisten Vorschriften treten erst am 26.03.2027 in Kraft. Bis dahin sollte in Deutschland eine neue Rechtsvorschrift erlassen werden, die regelt, ob ein Widerspruch gegen die vorgesehene „Primärnutzung“ möglich ist. Es könnte in Deutschland auch eine „EU-ePA“ verpflichtend für alle eingeführt werden. Der Widerspruch gegen die „Sekundärnutzung“ ist ab 26.03.2027 in jedem Fall zulässig. „Sekundärnutzung“ bedeutet Zugriff auf die „Forschungsdaten“, die dann Personen und Einrichtungen aus der ganzen EU nutzen können. Darüber hinaus können auch die Bestände von Krankenkassen und Krankenhäusern direkt zur „Sekundärnutzung“ angefordert werden.
Zu gegebener Zeit werden wir auch zu EHDS Widerspruchs-Generatoren und entsprechende Muster-Texte veröffentlichen.
Aktueller Stand der ePA
Am 15.01.2025 hätte die ePA, nach dem Gesetz, für alle Versicherten verfügbar sein müssen. In Wirklichkeit wurde an diesem Tag lediglich ein Testbetrieb in 260 Praxen von ÄrztInnen und Apotheken aufgenommen. Das sind 0,38 % von allen Praxen, die am Ende mitmachen sollen. Beim Test treten viele Probleme auf, einige Praxen konnten wohl bis heute nicht angeschlossen werden. Die stellvertretende Vorstandsvorsitzende der Kassenärztlichen Vereinigung (KV) Hamburg rät (8.3.2025), zusammen mit den anderen KVen in den Modellregionen, den flächendeckend Rollout der ePA zu verschieben. Denn etwa 20 Prozent der Testpraxen in Hamburg konnten acht Wochen nach ePA-Start noch nicht auf die Akte zugreifen. Ursache dafür war ein fehlendes Softwareupdate. Ähnliches berichten auch die KVen Westfalen-Lippe, Bayern und Nordrhein. Gleichwohl hält das Gesundheits-Ministerium weiterhin daran fest, dass die „ePA für alle“ am 15.4.2025 starten soll.
Im Juli 2025 soll es darüber hinaus ein Zwischen-Release ePA 3.0.5 geben, das vorrangig der Stabilisierung und Optimierung des Systems dienen soll. Darüber hinaus umfasst es auch den TI-Messenger für die Kommunikation zwischen Leistungserbringenden und Patienten. Voraussichtlich dürfte aber bis zu diesem Termin noch nicht mal die ePA 3.0 flächendeckend ausgerollt sein.
Von Ananas und Pizza
Nur jeder Zweite glaubt, dass seine Daten in der elektronischen Patientenakte sicher sind. Dies geht aus einer repräsentativen Umfrage der ZEIT hervor:
https://www.zeit.de/2025/11/elektronische-patientenakte-datenschutz-sicherheit-risiken-digitalisierung
4 Millionen Widersprüche – mehr Widerspruch als Zustimmung
Laut der Kassenärztlichen Bundesvereinigung konnten Ende Februar maximal 2,2 Millionen Versicherte (ca. 3 %) eine App nutzen, denn so viele digitale Identitäten haben die Krankenkassen bislang eingerichtet. Diese sind für die Einrichtung der ePA-App notwendig – aber auch für die App, mit der Versicherte schon länger ihre elektronischen Rezepte (eRezepte) anzeigen lassen konnten. Wie viele Versicherte die App aktiv nutzen, ist nicht genau bekannt.
Dem gegenüber steht, dass ca. 70 Millionen ePAs angelegt worden sind. Bei 74 Millionen GKV-Versicherten ergeben sich somit etwa 4 Millionen Widersprüche. Dies ergibt eine Widerspruchsqote (opt-out) von ca. 5%.
Somit gibt es mehr aktiven Widerspruch als aktive Zustimmung, sofern man beide Vorgänge als informierte Entscheidungen betrachtet.
30.000 Widersprüche und kein Ende in Sicht
Unsere Widerspruchsgeneratoren werden weiterhin rege genutzt: Die generierten Widersprüche gegen die gesamte elektronische Patientenakte (inkl. Widersprüche für Kinder und betreute Personen) haben 30.000 erreicht. Dies ist um so bemerkenswerter, da wir die Widerspruchstexte zusätzlich auch als Text und pdf anbieten. Auch die Teilwidersprüche kommen noch hinzu.
Rückblick: Konnte bisher noch nie gehackt werden…
Beim Kongress des Chaos Computer Clubs Ende 2024 haben die IT-Fachleute Bianca Kastl und Martin Tschirsich in einer Präsentation mehrere Sicherheitslücken bei der ePA vorgestellt.
Dies veranlasste Karl Lauterbach zu der Aussage: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ (https://x.com/Karl_Lauterbach/status/1875316946922770627?mx=2 ). Später ruderte er dann zurück.
Hier der sehr sehenswerte Vortrag: https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle