Manchmal braucht es kein Leck, keinen Hack, keinen Skandal. Manchmal reicht ein einziges Interview, in dem jemand aus der Praxis ganz nüchtern beschreibt, was eigentlich längst bekannt sein sollte – und trotzdem für die meisten Menschen eine Überraschung ist. Genau das ist gerade passiert. Eine Psychotherapeutin hat in einem Gespräch mit heise online offen gelegt, wie wenig die Versicherten in Deutschland tatsächlich darüber wissen, wer Einblick in ihre elektronische Patientenakte nehmen kann. Und das Ergebnis ist ernüchternd.

Was die Praxis zeigt

In dem Gespräch berichtet die Psychotherapeutin Susanne Berwanger, dass viele Patienten erstaunlich wenig darüber wissen, wie die ePA tatsächlich funktioniert. Sobald sie erklärt, welche Daten dort gespeichert werden und welche Berufsgruppen Zugriff erhalten können, reagieren viele zunächst mit Überraschung. Den meisten ist demnach gar nicht bewusst, dass nicht nur der unmittelbar behandelnde Arzt Zugriff erhält, sondern unter Umständen auch andere Behandler Einblick in bestimmte Daten nehmen können. Gerade bei psychischen Erkrankungen sei das hochsensibel: Kaum jemand möchte, dass ein Orthopäde oder Augenarzt nebenbei erfährt, dass eine Psychotherapie läuft oder welche Diagnose dahinter steckt.

Noch deutlicher wird es bei der Frage der Steuerungsmöglichkeiten. Aktuell funktioniere vieles nach dem Alles-oder-Nichts-Prinzip, so die Psychotherapeutin. Versicherte können einzelne Dokumente komplett sperren, eine wirklich feingliedrige Steuerung – also “dieser Befund darf von diesem Facharzt gesehen werden, jener aber nicht” – ist dagegen kaum möglich. Genau solche Funktionen waren bei der Konzeption der ePA ursprünglich einmal vorgesehen. Übrig geblieben ist davon nicht viel.

Ein Jahr Vorlauf, viele Warnungen

Wer jetzt überrascht ist, hat schlicht nicht zugehört. Schon Ende 2024, kurz vor dem damals geplanten Start der “ePA für alle”, hatte der Chaos Computer Club auf seinem Jahreskongress in Hamburg demonstriert, wie groß die Lücken zwischen Anspruch und Wirklichkeit sind. Die Sicherheitsforscher Martin Tschirsich und Bianca Kastl zeigten, dass sich mit vergleichsweise geringem Aufwand gültige Heilberufs- und Praxisausweise sowie Zugriffstoken für beliebige Versichertenakten erzeugen ließen – ganz ohne dass eine Gesundheitskarte physisch vorliegen musste. Ihr Fazit damals: Das Sicherheitskonzept der ePA sei in dieser Form gescheitert, und zwar nur wenige Wochen vor dem bundesweiten Rollout.

Der CCC forderte daraufhin unmissverständlich ein Ende der “ePA-Experimente am lebenden Bürger”. In einer späteren Stellungnahme hielt der Verein fest, dass die aufgezeigten Lücken in Kombination Unbefugten einen Vollzugriff auf die Akten aller rund 70 Millionen gesetzlich Versicherten ermöglicht hätten – und dass wesentliche Schwachstellen, etwa bei der Ausgabe von Gesundheitskarten, bis heute nicht restlos gelöst seien. Die Reaktion der politisch Verantwortlichen bestand im Wesentlichen aus Dankesworten an den CCC und der Behauptung, die “Massenprobleme” seien gelöst. Die beteiligten Sicherheitsforscher widersprachen dem öffentlich.

Wer das nachliest, merkt schnell: Die Warnungen waren da. Sie waren konkret, sie waren öffentlich, sie kamen von Leuten, die sich auskennen. Gehört wurde trotzdem vor allem das Lob der eigenen Pressestelle.

Vom Antrag zum Automatismus

Was die Tragweite der Sache verschärft, ist der Wechsel des Grundprinzips. Bis Ende 2024 musste eine elektronische Patientenakte aktiv beantragt werden – entsprechend gering war die Verbreitung. Seit Januar 2025 gilt das Gegenteil: Jeder gesetzlich Versicherte, der nicht aktiv widerspricht, bekommt automatisch eine ePA angelegt. Aus einer Frage der freien Entscheidung wurde eine Frage der Holschuld. Wer nichts tut, ist drin.

Laut aktuellen Zahlen haben mittlerweile rund 70 von gut 74 Millionen gesetzlich Versicherten eine ePA von ihrer Kasse angelegt bekommen. Gleichzeitig zeigen Rückmeldungen aus der hausärztlichen Praxis, dass die allerwenigsten Patienten ihre Akte überhaupt einmal angeschaut haben – die Registrierung sei für viele schlicht zu kompliziert. Die Konsequenz: Eine Infrastruktur, die hochsensible Gesundheitsdaten von Millionen Menschen bündelt, wird von genau diesen Menschen größtenteils gar nicht beobachtet. Was darin passiert, passiert weitgehend unbemerkt.

Wer noch mitliest – das Forschungsdatenzentrum

Damit ist die Geschichte aber noch nicht zu Ende. Neben dem Zugriff durch Behandler im Versorgungsalltag gibt es eine zweite, deutlich weniger beachtete Ebene: die Weiterleitung von Daten an das Forschungsdatenzentrum Gesundheit, angesiedelt beim Bundesinstitut für Arzneimittel und Medizinprodukte. Gut strukturierte Daten aus der ePA – also keine eingescannten Arztbriefe, sondern maschinenlesbare Einträge – sollen künftig automatisch in pseudonymisierter Form dorthin fließen. Zugriff darauf können dann unterschiedliche Stellen beantragen, ausdrücklich auch Pharmaunternehmen, sofern die Forschung einem nicht näher definierten Gemeinwohl dient.

Pseudonymisiert heißt dabei ausdrücklich nicht anonymisiert. Und die Aufbewahrungsfrist hat es in sich: Beim Forschungsdatenzentrum Gesundheit werden die Daten nach aktuellem Stand bis zu 100 Jahre vorgehalten. Wer heute zwanzig ist, kann also davon ausgehen, dass pseudonymisierte Datensätze über die eigene Gesundheit noch existieren, wenn man selbst längst nicht mehr lebt.

Besonders heikel wird es bei Diagnosen, die mit Stigmatisierung verbunden sind: psychiatrische Erkrankungen, HIV-Befunde, Suchterkrankungen. Genau solche Einträge sind es häufig, die bei Menschen mit Schwerbehinderung den Grad der Behinderung begründen – und genau solche Daten sollen nach aktuellem Fahrplan ab Ende 2026 in den regulären Datenfluss zum Forschungsdatenzentrum aufgenommen werden. Die gematik hat dafür im September 2025 einen Zeitplan vorgelegt, wonach die Datenausleitung in Modellregionen im dritten Quartal 2026 beginnen und die erste reguläre Lieferung im vierten Quartal 2026 erfolgen soll.

Wer schon klagt

Dass es bei der Sekundärnutzung von Gesundheitsdaten nicht erst seit der ePA Probleme gibt, zeigt ein Blick auf das ältere Digitale-Versorgung-Gesetz von 2019, mit dem das Forschungsdatenzentrum überhaupt erst eingerichtet wurde. Die Gesellschaft für Freiheitsrechte klagt gegen dieses Gesetz – unter anderem, weil aus ihrer Sicht keine angemessene IT-Sicherheit gegeben war und es für Versicherte zunächst keine Widerspruchsmöglichkeit gab. In den ersten Instanzen bekam die Organisation Recht, das Hauptverfahren ruht derzeit – mit der Begründung, das Forschungsdatenzentrum habe bislang kein tragfähiges Sicherheitskonzept vorlegen können. Man liest das zweimal, weil man es kaum glauben will: Eine zentrale Datensammelstelle für hochsensible Gesundheitsdaten von Millionen Menschen läuft, ohne dass ein Gericht deren Sicherheitskonzept überhaupt beurteilen konnte.

Was Versicherte tatsächlich tun können

Die gute Nachricht, sofern man sie so nennen will: Es gibt Widerspruchsmöglichkeiten, und sie sind gestaffelt. Wer die ePA insgesamt nicht will, kann ihr komplett widersprechen. Wer die ePA nutzen, aber bestimmte Funktionen ausschließen möchte, kann einzelne Bausteine abwählen – etwa die automatische Befüllung mit Abrechnungsdaten, die elektronische Medikationsliste oder eben die Weitergabe an das Forschungsdatenzentrum. All diese Widersprüche müssen direkt bei der jeweiligen Krankenkasse erklärt werden, entweder über die App der Kasse oder über die gesetzlich vorgeschriebenen Ombudsstellen, die telefonisch oder schriftlich erreichbar sein müssen.

Wichtig dabei: Ein Widerspruch gegen die ePA insgesamt ist nicht dasselbe wie ein Widerspruch gegen die Forschungsdatenweitergabe. Wer beides nicht möchte, muss beides separat erklären – und zwar nicht einmalig, sondern jederzeit widerruflich und ebenso jederzeit wieder änderbar. Wer technisch nicht versiert ist oder kein geeignetes Endgerät besitzt, ist nach aktuellem Stand auf die Ombudsstellen der Kassen angewiesen, was den Vorgang in der Praxis deutlich erschwert.

Bemerkenswert ist außerdem, was Ärzte und Psychotherapeuten dürfen, ohne dass Versicherte zustimmen müssen: Beim Einlesen der Gesundheitskarte wird der Zugriff auf die ePA automatisch für 90 Tage freigeschaltet – ohne mündliche oder schriftliche Zustimmung im Einzelfall. Wer die App nicht nutzt, kann diesen automatischen Zugriff selbst weder einsehen noch steuern, sondern ist auch hier auf die Ombudsstelle der eigenen Kasse verwiesen.

Warum das wichtig ist

Es geht hier nicht um technische Petitessen. Es geht um die Frage, wie eine Gesellschaft mit den intimsten Informationen umgeht, die über Menschen existieren: Diagnosen, Therapien, Medikationen, psychische Erkrankungen, Schwangerschaftsabbrüche, Suchtbehandlungen. Das Versprechen der ePA war immer, dass die Versicherten selbst entscheiden, wer was sieht. In der Praxis ist daraus ein System geworden, in dem die Voreinstellung “alle dürfen alles sehen” lautet und die Steuerung durch die Patienten selbst organisiert, verstanden und aktiv eingefordert werden muss – gegen ein Alles-oder-Nichts-Prinzip, das genau jene differenzierte Kontrolle verweigert, die ursprünglich zugesagt war.

Der Chaos Computer Club hat vor den Sicherheitslücken gewarnt. Die Gesellschaft für Freiheitsrechte klagt gegen die Sekundärnutzung. Datenschutzbeauftragte mahnen seit Jahren bessere Information durch die Kassen an. Und jetzt bestätigt eine Psychotherapeutin aus dem Praxisalltag, dass am Ende all dieser Warnungen genau das steht, was zu erwarten war: Die Menschen wissen nicht, wer in ihre Akte schaut. Sie wissen nicht, wohin ihre Daten fließen. Und sie merken es erst, wenn jemand es ihnen erklärt – oder wenn es zu spät ist.

Soll also wirklich keiner sagen, man hätte es nicht gewusst. Die Warnungen liegen seit anderthalb Jahren öffentlich vor. Was jetzt fehlt, ist nicht mehr Information – sondern der politische Wille, aus dem Alles-oder-Nichts endlich ein Sowohl-als-auch zu machen, bei dem Patienten tatsächlich selbst bestimmen, was sie teilen und was nicht.

Weiterführende Quellen und Links:

• heise online: “Viele Patienten sind überrascht, wer alles ihre ePA einsehen kann”
• netzpolitik.org: “Das Narrativ der sicheren elektronischen Patientenakte ist nicht mehr zu halten”
• Chaos Computer Club: Ohne Transparenz kein Vertrauen in die elektronische Patientenakte
• heise Ratgeber: Wie der Widerspruch bei der elektronischen Patientenakte funktioniert
• KBV: Häufig gestellte Fragen zur ePA
• Deutsche Aidshilfe: Forschungsdatenweitergabe aus der ePA
• widerspruch-epa.de: Häufig gestellte Fragen
• ZDFheute: Warum kaum jemand die elektronische Patientenakte nutzt
• Verbraucherzentrale: Elektronische Patientenakte – was sie kann und wie man sie nutzt

Siehe auch

• Überwachung ohne Grundlage: Wenn der Geheimdienst einfach weitermacht
• Sachsen auf dem Weg zum Überwachungsstaat: CDU, SPD und BSW ebnen den Weg
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird
• Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen