Umsetzung der EPA 3.0

22. Juli 2025

Ein unnötiges Risiko

Die Politik hat völlig Recht: Deutschland ist im Gesundheitswesen gefährlich unterdigitalisiert. Wegen mangelhafter digitaler Kommunikation und unzureichender Auswertung von Daten werden Chancen für bessere Behandlungen, detailliertere Diagnosen, systematischere Qualitätssicherung und die Entwicklung neuer Arzneimittel und Medizinprodukte vertan. Und ja, hier verteidige ich ganz entschieden die Ziele der deutschen Gesundheitspolitik gegen so manche Kritik, die die Debatte um die Umsetzung des European Health Data Space (EHDS) und der deutschen Digitale-Gesundheit-Gesetzgebung mit einem grundsätzlichen Zweifeln am Wert solcher Datennutzungen verbinden.

Ich bin fest davon überzeugt, dass ein durchgängig gut digitalisiertes Gesundheitswesen Prozesse beschleunigt, Fehler vermeiden hilft und Erkenntnisse generieren kann. Deshalb wundere ich mich immer wieder, wie wenig die Gesundheitspolitik Vorgaben und Standards und Prozesse nutzt, um die Datenbasis zu verbessern und zu erweitern. Alle deutschen Datenschutzaufsichtsbehörden haben übrigens ein Plädoyer für die verantwortungsvolle Nutzung von mehr Gesundheitsdaten als bisher abgegeben¹, so viel zur Ausrede vom „verhindernden Datenschutz“.

Es ist gut, dass auf den letzten Metern der Umsetzung der ePA 3.0 mehr Realitätssinn für die damit verbundenen Sicherheitsfragen einzuziehen scheint. Während ich diesen Text schreibe, hat Bundesgesundheitsminister Karl Lauterbach (SPD) sich wohl festgelegt, während und nach der Testphase zuerst die größten erkannten Schwachstellen anzugehen. Alles andere würde auch das erhöhte und realistische Risiko eines Daten- und damit Vertrauensverlustes nach sich ziehen. Die Gesundheitsdaten von 74 Millionen gesetzlich Krankenversicherten zentral zusammengeführt, bestehende Lücken in den dahinter stehenden Prozessen, der Architektur und wohl auch der Umsetzung: Was könnte denn da schon schiefgehen.

Wie es ganz anders hätte laufen können

Die Ziele müssen über das reine Lückenstopfen hinausgehende Verbesserungen der ePA 3.0 sein. Um so nachhaltig die Gefahr eines Daten und damit Vertrauensverlustes abzuwenden und die Akzeptanz zu erhöhen. Aber es muss auch erlaubt sein aufzuzeigen, wie man es grundsätzlich hätte anders machen können, auch als Lektion und Blaupause für die Zukunft. Nur: Wo fängt man damit an? Ganz vorne, in der Mitte oder ganz am Ende?

Die engagierte, immer seriös agierende Bianca Kastl hat es vor kurzem auf Mastodon hervorragend zusammengefasst²: Schon zu Beginn hätte statt einer rein politischen, mit den unterschiedlichen wirtschaftlichen Interessen der Beteiligten notdürftig überein gebrachten politischen Entscheidung eine klare Analyse stehen müssen. Welche Daten werden wofür benötigt? Wie schnell und sicher muss der Zugriff darauf sein? Wer braucht diesen Zugriff? Wie hoch ist die Notwendigkeit, dass die Daten vollständig und korrekt sind? Wäre man so vorgegangen, es wäre wohl nicht zu der All-in-One-Lösung ePA 3.0 in der aktuellen Form gekommen, da gehe ich jede Wette ein.

Man hätte für die Notfalldaten eine Lösung gefunden, dass diese ohne aktive Einwilligung der Betroffenen (zum Beispiel bei Bewusstlosigkeit nach einem Unfall) und am besten auch noch offline für Ärzte und Rettungskräfte abrufbar wären. Für diese Daten ist ein Opt-out anstelle eines Opt-in durchaus die richtige Wahl. Was die medizinische Dokumentation angeht, hätte man diese vertraulich und dezentral bei den medizinischen Einrichtungen halten können. Die Gesundheitspolitik könnte dabei auf eine technische Umsetzung bestehen, die es den Versicherten ermöglicht hätte, ohne Zeitverzögerung in der Praxis oder im Krankenhaus Vorbefunde von anderen Stellen abzurufen, rund um die Uhr und ausfallsicher.

Keinem Angreifer wären so umfassende Daten eines großen Anteils der Bevölkerung auf einmal zugänglich gewesen. Ergänzt werden könnte ein solches System um eine versichertengeführte ePA, in der alle Daten übernommen werden, die man selbst bei sich führen und um weitere Daten, etwa aus eigener Beobachtung oder Wearables, ergänzen möchte. Der medizinische Nutzen für Versicherte und Ärzte wäre größer als mit der ePA 3.0.

Bei Forschungsdaten hätte die Gesundheitspolitik eine große Wahlfreiheit für Umfang und Nutzungsmöglichkeiten. Man könnte gesetzlich festlegen, welche Daten verpflichtend geteilt werden – beispielsweise bei einem Implantateregister – und welche nur auf Einwilligung. Die erwähnte Petersberger Erklärung der Datenschutzaufsichtsbehörden, der EHDS und die DSGVO lassen hier einen großen Spielraum.

Falsche Prioritätensetzung und (zunächst) ungenügende Reaktion

Auch im Prozess der Umsetzung der ePA 3.0 hätte man viele Probleme vermeiden oder zumindest reduzieren können. Der Hinweis, dass man den Datenkranz der ohne zusätzliche Einwilligung automatisch in die ePA laufenden Daten auf das Notwendige begrenzen sollte³, hätte genauso aufgenommen werden können wie die Forderung, die Sicherheit der ePA nicht durch ein wenig geeignetes Authentifizierungsverfahren und den Verlust der individuellen Verschlüsselung pro ePA zu schwächen. Bei der Authentifizierung hat man sich (zusätzlich) für eine unsichere Variante entschieden, obwohl das sichere Verfahren (NFC und elektronische Gesundheitskarte) ebenfalls in Sekunden durchführbar ist und dann das jeweilige Smartphone zwischen einem Tag und – bei neueren Geräten – sechs Monaten an die ePA angebunden wäre. Und zuletzt wurden Bitten nach unabhängiger Sicherheitstestung, Berücksichtigung aller relevanten Bedrohungsszenarien und ausreichend Zeit für Software-Entwicklung, Testung und Roll-out nicht befolgt.

Bei der einzigen externen Beauftragung zur Einschätzung der Sicherheit der ePA 3.0 war eine Vorgabe der gematik, dass Angriffe, die die Ressourcen eines Staates oder eines Geheimdienstes benötigten, nicht berücksichtigt werden dürfen⁴. Und das, um es zu wiederholen, bei einem Gesundheitsdatenbestand von 74 Millionen gesetzlich Krankenversicherten. Leid tun mussten einem außerdem die Software-Entwickler der ePA-Frontend Systeme, die noch Anfang Januar 2025 ihre Software nicht vollständig auf den beiden Backend-Systemen testen konnten, weil diese noch nicht final zur Verfügung standen.

Alles das lief, in Fachkreisen durchaus diskutiert, unterhalb des Wahrnehmungshorizontes der Öffentlichkeit ab. Bis dann Ende Dezember auf der Konferenz 38C3 gezeigt wurde, wie „Außentäter“ Zugriff auf den Inhalt beliebiger elektronischer Patientenakten nehmen könnten⁵. Die erste Reaktion der gematik darauf war erschreckend: „Die vom Chaos Computer Club vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, praktische Durchführung in der Realität aber nicht sehr wahrscheinlich“⁶, obwohl doch gerade vor Publikum praktisch demonstriert. Die aufgezeigten Fehler sind dabei keineswegs nur Folgen aktueller Software Umsetzung, sondern beruhen auf Fehler beim Ausgabeprozess von Zugangsberechtigungen, die schon seit Jahren kritisiert werden⁷ und der Wiederholung von Architekturfehlern, wie sie auch schon beim eRezept zu beobachten waren⁸.

Die Reaktion des Bundesgesundheitsministers war angemessener und schoss sogar über das Ziel hinaus: Karl Lauterbach sagte zu, dass alle bekannt gewordenen Lücken vor dem bundesweiten Roll-out der ePA geschlossen würden und man nur mit einer – bekanntlich nicht möglichen – hundertprozentig sicheren Lösung starten würde. Die heftigsten Angriffsszenarien wurden in der Testphase unter anderem durch ein White Listing zugriffsberechtigter Stellen tatsächlich verhindert.

Was sollte jetzt passieren?

Die lange bekannten Sicherheitslücken, die aufgezeigten Probleme und die Erkenntnisse aus der Testphase müssen konsequent angegangen werden. Das lässt sich nicht, wie ursprünglich geplant, in vier Wochen erledigen. Erfahrungen aus großen IT-Projekten zeigen, dass es hier um Monate gehen wird. Aber was wäre diese der Qualität der ePA geschuldete Verzögerung denn im Vergleich zu den Blockaden und der Untätigkeit der bis dahin Verantwortlichen in den 22 Jahren seit dem Bundestagsbeschluss, eine ePA einzuführen? Bei allem Willen zum Endlich-mal-Machen darf nicht jetzt eine Zeitpeitsche Vorgaben aufstellen, die eine gute Softwareentwicklung unmöglich machen.

Stattdessen muss es eine transparente und umfassende Evaluierung der Testphase geben. Anschließend müssen die identifizierten Schwachpunkte bei der Sicherheit und bei der Nutzung von Daten abgestellt werden. Dazu müssen insbesondere die Ausgabe der Heilsberufe Ausweise und der eGK grundlegend überarbeitet werden. Die Sicherheit der Lösung muss ohne einschränkende Vorgaben unabhängig überprüft werden und alle gravierenden Lücken, wie zum Beispiel fehlende Signierungen, beseitigt werden.

Wenn die Gesundheitspolitik nicht bereit ist, zu Opt-in bei der ePA zurückzukehren, sollten wenigstens besonders sensible Gesundheitsdaten von der automatischen Einspeicherung in die ePA ausgenommen werden, um nicht alle Verantwortung zum Schutz dieser Daten bei den Patientinnen und Patienten abzuladen. So könnte man übrigens auch Ärztinnen und Ärzte aus dem Dilemma zwischen der wichtigen Verschwiegenheit im Arzt-Patienten-Verhältnis und der gesetzlich vorgeschriebenen Dokumentation in der ePA befreien. Die ePA kann nur erfolgreich sein, wenn alle Beteiligten ihr vertrauen.

Die Versicherten müssen wieder wie bis Ende 2024 das Recht erhalten, individuell pro Inhalt der ePA und pro Arzt festzulegen, wer was wann sehen darf. Das „Alles oder Nichts“ in der ePA 3.0 ist unfair und, da technisch und systematisch nicht notwendig, auch datenschutzrechtlich hoch fragwürdig. Genauso muss der Versuch aufgegeben werden, eine Einwilligung der Nutzenden in eine nicht ausreichend sichere Authentifizierung beim Öffnen der ePA zu erreichen, obwohl eine sichere und komfortabel zu bedienende Methode existiert. Aus meiner Sicht ist das Vorgehen in der ePA 3.0 ein Verstoss gegen die Verpflichtungen des Artikels 32 der DSGVO⁹ zur Sicherheit der Verarbeitung.

Und letztlich muss die ePA durch Funktionalität überzeugen. Ein Friedhof an PDF-Dokumenten ist sinnlos, es braucht mehr strukturierte Daten und Funktionen darauf.

Mittelfristig: Umstieg vorbereiten und Entscheidungsprozesse anpassen

Um das Thema Risiko noch einmal aufzunehmen: Die Gesundheitsdaten von 74 Millionen gesetzlich Krankenversicherten sind verlockend, für alle Arten von Unbefugten, vom Datenkonzern über Kriminelle bis hin zu Geheimdiensten. Das System wird angegriffen werden, das steht außer Frage. Ich habe Verständnis dafür, wenn die Gesundheitspolitik den Zwischenstand ePA 3.0 nicht wegwerfen und ganz von vorne beginnen will. Aber man sollte es auch nicht nur bei den oben genannten ersten Reparaturen und Verbesserungen belassen. Sondern man sollte parallel, unter Einbindung der Beteiligten des Gesundheitssektors, von Betroffenenverbänden, Sicherheitsforschenden und Zivilgesellschaft, ein besseres, abgestuftes, dezentrales und damit sichereres System für Gesundheitsdaten entwerfen. Schrittweise könnte dann die jetzige ePA dahin überführt werden.

Das wäre eine Blaupause dafür, wie große IT-Projekte als Umsetzung politischer Entscheidungen zukünftig aufgesetzt werden sollten. Die Politik sollte zunächst allgemeine Zielvorgaben machen, ohne durch Festlegungen in den Details praktische Umsetzungsprobleme zu riskieren. Nach Einbeziehung der Stakeholder, wie oben beschrieben, muss dann ein Digitalcheck aufzeigen, welche Funktionalitäten wie umgesetzt werden könnten und was aus rechtlichen oder technischen Notwendigkeiten folgt. Unter Kenntnis dieser Fakten könnte dann die abschließende politische Entscheidung für eine sichere, funktionsfähige und Vertrauen schaffende digitale Lösung getroffen werden.

Über den Autor

Prof. Ulrich Kelber


war von 2019 bis 2024 Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Er hat eine Honorarprofessur für Datenethik an der Hochschule Bonn-Rhein-Sieg. Der Diplom-Informatiker beschäftigte sich bereits seit seinem Studium mit Künstlicher Intelligenz und Robotik. Von 2005 bis 2013 war er stellvertretender SPD-Fraktionsvorsitzender im Bundestag und von 2013 bis 2018 Parlamentarischer Staatssekretär.

1. Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder „Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ vom 24.11.2022, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKEntschliessungen/104DSK-Petersberger-Erklaerung.pdf?__blob=publicationFile&v=2
2. Bianca Kastl auf Mastodon am 27.01.2025, https://mastodon.social/@bkastl/113898813067393615
3. Zentrale Forderungen der Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf eines Gesetzes
zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG), BR-Drs. 435 /23, https://www.bfdi.bund.de/SharedDocs/
Downloads/DE/DokumenteBfDI/Stellungnahmen/2023/StgN_Beschleunigung-DigiG-Kurzversion.pdf?__blob=publicationFile&v=4
4. Artikel „Elektronische Patientenakte leidet an schweren Schwachstellen“ vom 29.10.2024 auf netzpolitik.org, https://netzpolitik.org/2024/fraunhofergutachten-
elektronische-patientenakte-leidet-an-schweren-schwachstellen/
5. „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! Vortrag auf dem 38C3,
https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle
6. Stellungnahme der gematik zum CCC-Vortrag vom 27.12.2024, https://www.gematik.denewsroom/news-detail/aktuelles-stellungnahme-zum-cccvortrag-
zur-epa-fuer-alle
7. Artikel auf heise.de vom 27.12.2019, „36C3: Unsichere Patientendaten – die Telematik-Infrastruktur des Gesundheitswesens hat ein Identitätsproblem“, https://www.heise.de/news/36C3-Unsichere-Patientendaten-die-Telematik-Infrastruktur-des-Gesundheitswesens-hat-ein-4624092.html
8. Mitteilung „Abruf des E-Rezepts per eGK? Aber sicher!“ des BfDI vom 07.11.2022, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html
9. Rundschreiben des BfDI anlässlich der Veröffentlichung des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (BGBl. 2024 I Nr. 102 vom 25. März 2024) und des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (BGBl. 2024 I Nr. 101 vom 25. März 2024), https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2024/Rundschreiben-Krankenkassen-Pflegekassen.pdf?__blob=publicationFile&v=1

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.