Elektronische Patientenakte: Wenn der Datenschutz zur Nebensache wird

 Gepostet am October 21, 2025  |  10 Minuten  |  2029 Wörter  |  Stefan Fahl
Code

Elektronische Patientenakte: Wenn der Datenschutz zur Nebensache wird

 Gepostet am October 21, 2025  |  10 Minuten  |  2029 Wörter  |  Stefan Fahl

Die Einführung der elektronischen Patientenakte (ePA) wird von der Bundesregierung als Meilenstein der Digitalisierung im Gesundheitswesen gefeiert. Ab Januar 2025 soll jeder gesetzlich Versicherte automatisch eine ePA erhalten – es sei denn, er widerspricht aktiv. Was auf den ersten Blick nach Fortschritt klingt, entpuppt sich bei genauerer Betrachtung als datenschutzrechtliches Minenfeld mit weitreichenden Konsequenzen für die Privatsphäre von Millionen Menschen.

Das Opt-Out-Verfahren: Einwilligung auf den Kopf gestellt

Mit dem Wechsel vom Opt-In zum Opt-Out hat die Bundesregierung einen fundamentalen Paradigmenwechsel vollzogen. Statt dass Versicherte bewusst und informiert einwilligen müssen, wird ihnen die ePA automatisch aufgezwungen. Wer seine intimsten Gesundheitsdaten nicht zentral gespeichert haben möchte, muss aktiv widersprechen – und das rechtzeitig.

Dieses Verfahren widerspricht dem Grundprinzip des Datenschutzes: der informierten Einwilligung. Besonders problematisch ist, dass die Tragweite dieser Entscheidung vielen Versicherten erst bewusst wird, wenn bereits umfangreiche Datensätze angelegt wurden. Die psychologische Hürde, später zu widersprechen, steigt mit jedem gespeicherten Dokument.

Eine Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Fraktion offenbart: Eine systematische wissenschaftliche Evaluierung des Opt-Out-Verfahrens ist nicht geplant. Stattdessen überlässt man es der Gematik, das Verfahren zu bewerten – ohne abgestimmte Regelungen mit den Krankenkassen. Berichte über trotz Widerspruch angelegte Patientenakten häufen sich, doch eine offizielle Untersuchung bleibt aus.

Cloud-Speicherung: Das zentrale Sicherheitsproblem

Die Entscheidung für eine cloudbasierte, zentrale Speicherung der Gesundheitsdaten ist aus Datenschutzsicht fatal. Jedes zentralisierte System wird früher oder später zum attraktiven Angriffsziel für Cyberkriminelle, Geheimdienste und andere Akteure mit fragwürdigen Absichten.

Die Telematikinfrastruktur mag nach heutigem Stand der Technik gesichert sein – doch die IT-Sicherheitsgeschichte lehrt uns: Es ist nicht die Frage, ob ein System kompromittiert wird, sondern wann. Die Krankenhäuser in Deutschland erleben seit Jahren eine Welle von Ransomware-Angriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt: Das Gesundheitswesen gehört zu den am stärksten bedrohten Branchen.

Mit der ePA entsteht nun ein Single Point of Failure nationaler Dimension. Während bisher einzelne Praxissysteme kompromittiert werden können, bietet die zentrale Infrastruktur Angreifern Zugriff auf die Gesundheitsdaten von Millionen Menschen auf einen Schlag. Die Behauptung, die Daten seien verschlüsselt und ohne den Schlüssel der Versicherten nicht lesbar, ist nur die halbe Wahrheit. Entscheidend ist, wer im System Zugriff auf die entschlüsselten Daten hat – und das sind deutlich mehr Akteure als den Versicherten lieb sein dürfte.

Die ignorierte Alternative: Dezentrale Speicherung auf der Chipkarte

Es gäbe eine technisch überlegene Lösung, die den Patienten echte Datensouveränität garantieren würde: die verschlüsselte Speicherung der Gesundheitsdaten direkt auf der elektronischen Gesundheitskarte (eGK). Moderne Chipkarten verfügen über ausreichend Speicherkapazität und leistungsfähige Kryptoprozessoren, die eine sichere lokale Datenhaltung ermöglichen würden.

Die Vorteile dieses Ansatzes liegen auf der Hand:

Physische Kontrolle: Der Patient trägt seine Daten buchstäblich bei sich. Kein Zugriff ohne seine aktive Mitwirkung und das physische Vorhandensein der Karte.

Dezentralisierung: Es gibt kein zentrales Angriffsziel. Jeder Angriff müsste individuell erfolgen, was sowohl kriminelle als auch staatliche Überwachung massiv erschwert.

Ende-zu-Ende-Verschlüsselung: Die Daten würden ausschließlich mit dem privaten Schlüssel des Patienten entschlüsselbar sein. Selbst eine kompromittierte Infrastruktur würde keine lesbaren Daten preisgeben.

Transparenz durch physische Präsenz: Jeder Zugriff erfordert die physische Anwesenheit der Karte, wodurch unkontrollierte Hintergrundzugriffe ausgeschlossen sind.

Keine Abhängigkeit von externen Dienstleistern: Keine Cloud-Anbieter, keine komplexen Vertragswerke, keine Abhängigkeiten von amerikanischen IT-Konzernen.

Doch diese Lösung wurde nicht gewählt. Warum? Weil sie den zentralen Zugriff auf Patientendaten erschweren würde. Weil Forschungseinrichtungen, Krankenkassen und die Pharmaindustrie an den aggregierten Daten interessiert sind. Weil administrative Kontrolle und Auswertbarkeit Vorrang vor Patientenschutz haben.

Digitale Souveränität: Ein leeres Versprechen

Die Bundesregierung gibt offen zu, keine eigene Überprüfung der Abhängigkeiten von nicht-europäischen Anbietern zu planen. Nach eigener Aussage hat das Bundesgesundheitsministerium keine Kenntnis über die Verträge zwischen den Betreibern und den Krankenkassen. Man verweist lediglich auf das BSI-Gesetz, das theoretisch den Einsatz nicht vertrauenswürdiger Komponenten untersagen könnte.

Diese Haltung ist fahrlässig. Die Zusammenarbeit mit Unternehmen wie IBM und anderen amerikanischen Tech-Giganten macht die sensiblen Gesundheitsdaten deutscher Bürger potenziell dem Zugriff durch US-Behörden zugänglich. Der CLOUD Act der USA ermöglicht es amerikanischen Strafverfolgungsbehörden, auf Daten von US-Unternehmen zuzugreifen – unabhängig davon, wo diese Daten physisch gespeichert sind.

Von digitaler Souveränität kann unter diesen Umständen keine Rede sein. Die deutschen Gesundheitsdaten werden de facto der Kontrolle von Konzernen anvertraut, deren primäres Interesse nicht dem Datenschutz, sondern der Gewinnmaximierung gilt.

Zugriffsrechte: Feingranularität war gestern

Ein besonders problematischer Rückschritt ist die Abschaffung der feingranularen Zugriffskontrolle. In der früheren Opt-In-Version der ePA konnten Versicherte noch einzelne Dokumente gezielt für bestimmte Ärzte oder Einrichtungen freigeben oder sperren. Diese Möglichkeit wurde mit der neuen Version gestrichen.

Nun können Zugriffsrechte nur noch “institutionsbezogen” vergeben werden. Will ein Patient ein sensibles Dokument verbergen, muss er es komplett aus der Akte entfernen – dann ist es für niemanden mehr sichtbar. Eine gezielte Sperrung nur für einzelne Behandler ist nicht möglich.

Die Bundesregierung begründet dies mit mangelnder Praxistauglichkeit der alten Lösung. Doch dieser Vorwand ist durchschaubar: Was zu komplex erschien, war nicht die Technik, sondern das ehrliche Bemühen, Patienten echte Kontrolle über ihre Daten zu geben. Statt die Nutzerführung zu verbessern, hat man die Datenschutzfunktionen einfach entfernt.

Erst ab 2030 soll protokolliert werden, welche Person – und nicht nur welche Einrichtung – auf die Daten zugegriffen hat. Bis dahin bleibt die Rückverfolgung von Zugriffen unzureichend.

Abrechnungsdaten: Ein kleiner Schritt in die richtige Richtung

Immerhin: Auf Druck von Datenschützern sollen künftig Abrechnungsdaten nicht mehr automatisch für alle Leistungserbringer einsehbar sein. Ein Änderungsantrag zum Pflegeentbürokratisierungsgesetz sieht vor, dass nur noch beteiligte Behandler Zugriff auf diese sensiblen Informationen haben.

Doch dieser kleine Fortschritt kann nicht darüber hinwegtäuschen, dass das Gesamtsystem strukturelle Mängel aufweist. Abrechnungsdaten waren von Anfang an besonders problematisch, da sie detaillierte Rückschlüsse auf Diagnosen, Behandlungen und den Gesundheitszustand ermöglichen. Dass dieser Missstand erst jetzt korrigiert wird, zeigt, wie wenig durchdacht das ursprüngliche Konzept war.

Besonders sensible Daten: Symbolpolitik statt Schutz

Psychische Erkrankungen, Schwangerschaftsabbrüche, sexuell übertragbare Infektionen – die Bundesregierung erkennt an, dass solche Informationen “besonderen Schutzbedarf” haben. Die Konsequenz? Ärzte müssen Patienten vor der Speicherung auf ihr Widerspruchsrecht hinweisen.

Das ist alles. Darüber hinausgehende Schutzmechanismen sind nicht geplant. Dabei weisen Fachleute seit Jahren darauf hin, dass gerade psychisch erkrankte Menschen oft nicht in der Lage sind, komplexe Datenschutzentscheidungen zu treffen. Susanne Berwanger vom Berufsverband Deutscher Psychologinnen und Psychologen warnte bereits 2024: “Es gibt Patienten, die es vielleicht gar nicht schaffen, einer Datenspeicherung zu widersprechen, da sie die schriftlichen Hinweise in den Aufnahmeunterlagen aufgrund von Konzentrationsproblemen nicht vollständig lesen können.”

Das Stigmatisierungsrisiko ist enorm. Wer sichergehen will, dass sensible Diagnosen nicht in falsche Hände geraten, muss auf die Speicherung in der ePA vollständig verzichten – was wiederum die medizinische Versorgung beeinträchtigen kann. Es ist eine Wahl zwischen Pest und Cholera.

Notfallzugriff: Das Einfallstor

In medizinischen Notfällen können Ärzte auf die ePA zugreifen, sofern keine ausdrückliche Ablehnung des Patienten vorliegt. Klingt vernünftig, ist aber hochproblematisch. Denn was genau einen “Notfall” definiert, bleibt schwammig. Und wie wird sichergestellt, dass nur echte Notfälle zu einem Zugriff führen?

Die Antwort: Gar nicht. Es gibt keine wirksamen Mechanismen zur Missbrauchskontrolle. Wer nachträglich überprüft, ob ein Notfallzugriff gerechtfertigt war, bleibt unklar. Welche Sanktionen bei Missbrauch drohen, ebenso. Das Notfallzugriffs-Privileg ist ein Datenschutz-GAU mit Ansage.

Beschlagnahmeschutz: Fehlanzeige

Ein Aspekt, der in der öffentlichen Debatte kaum Beachtung findet, ist besonders beunruhigend: Die ePA-Daten genießen keinen Beschlagnahmeschutz. Während Ärzte, Psychotherapeuten und Rechtsanwälte in Deutschland einem besonderen Berufsgeheimnis unterliegen und deren Aufzeichnungen grundsätzlich vor staatlichem Zugriff geschützt sind, gilt dies für die zentral gespeicherten ePA-Daten nicht.

Staatsanwaltschaften und Gerichte können theoretisch auf die gesamte Gesundheitshistorie zugreifen. Die Hemmschwelle ist deutlich niedriger als bei der Beschlagnahme von Patientenakten in einer Arztpraxis. Dieser fehlende Beschlagnahmeschutz untergräbt das Vertrauensverhältnis zwischen Patienten und Behandlern fundamental.

Versicherte in der Verantwortung? Ein zynisches Spiel

Die Bundesregierung betont immer wieder, Versicherte hätten die Kontrolle über ihre Daten. Sie könnten Zugriffsrechte vergeben, Dokumente verbergen und der ePA widersprechen. Diese Argumentation ist zynisch. Sie überwälzt die Verantwortung für strukturelle Sicherheitsmängel auf den einzelnen Patienten.

Millionen Versicherte sollen sich nun mit komplexen IT-Sicherheits- und Datenschutzfragen auseinandersetzen. Sie sollen verstehen, welche Risiken die Cloud-Speicherung birgt, welche Zugriffsrechte sie vergeben sollten und welche Dokumente besser nicht gespeichert werden. Für ältere Menschen, Menschen mit kognitiven Einschränkungen oder solche, die einfach kein Interesse an IT haben, ist das eine unzumutbare Aufgabe.

Bisher haben lediglich 3,7 Millionen Versicherte eine GesundheitsID eingerichtet – die Voraussetzung für die aktive Nutzung der ePA. Das zeigt: Die Mehrheit interessiert sich nicht für das Thema oder ist überfordert. Genau diese Menschen werden nun automatisch in ein System gezwungen, dessen Konsequenzen sie nicht überblicken.

Die Praxis: Ernüchterung statt Revolution

Die Bundesregierung schwärmt vom “medienbruchfreien Austausch” zwischen Praxen, Kliniken und psychiatrischen Einrichtungen. Die Realität sieht anders aus. Nur wenige Krankenhäuser haben die ePA bislang technisch integriert. Die Anbindung ist kompliziert, teuer und wird von vielen Einrichtungen als bürokratischer Zusatzaufwand wahrgenommen.

Solange die technische Infrastruktur nicht flächendeckend funktioniert, bleibt die ePA ein teurer Papiertiger – mit dem Unterschied, dass die Datenschutzrisiken bereits jetzt real sind, während der versprochene Nutzen auf sich warten lässt.

Internationale Warnsignale ignoriert

Andere Länder haben bereits Erfahrungen mit elektronischen Patientenakten gesammelt – oft negative. Großbritannien musste sein ambitioniertes NHS-Projekt nach massiven Datenschutzbedenken und Kostenexplosionen einstampfen. Schweden kämpft mit Datenlecks. Die Niederlande mussten nach Protesten von Ärzten und Datenschützern umfangreiche Nachbesserungen vornehmen.

Diese internationalen Erfahrungen hätten in die deutsche Planung einfließen müssen. Stattdessen wiederholt Deutschland die Fehler anderer Länder – mit dem Unterschied, dass die Bevölkerung diesmal gar nicht erst gefragt wird, sondern automatisch einbezogen wird.

Wirtschaftliche Interessen: Der Elefant im Raum

Die ePA ist Teil eines größeren digitalen Gesundheitsökosystems, an dem erhebliche kommerzielle Interessen bestehen. Softwarehersteller, Cloud-Anbieter, Versicherungen, Pharmaunternehmen – sie alle versprechen sich neue Geschäftsmodelle durch den Zugriff auf Gesundheitsdaten.

Die geplanten Regelungen zum Forschungszugriff öffnen Tür und Tor für die kommerzielle Verwertung pseudonymisierter Patientendaten. Pseudonymisierung klingt gut, ist aber keine echte Anonymisierung. In Kombination mit anderen Datensätzen lassen sich Personen oft eindeutig identifizieren – eine Gefahr, die von der Bundesregierung systematisch heruntergespielt wird.

Was bleibt: Ein schlechter Kompromiss

Die ePA in ihrer aktuellen Form ist kein Fortschritt für Patientenrechte oder Datenschutz. Sie ist ein Kompromiss, der primär politischen und wirtschaftlichen Interessen dient. Die grundlegende Entscheidung für eine cloudbasierte, zentralisierte Speicherung statt einer dezentralen, kartenbasierten Lösung zeigt: Datenschutz war bestenfalls ein nachrangiges Designkriterium.

Die Verschlüsselung der Daten ist Kosmetik. Entscheidend ist nicht, ob Daten auf dem Transportweg verschlüsselt sind, sondern wer im System Zugriff auf die entschlüsselten Daten hat. Und das sind: Krankenkassen, Systemadministratoren, Cloud-Dienstleister, Softwarehersteller – und potenziell auch Hacker, Geheimdienste und Strafverfolger.

Die versprochene Patientensouveränität ist eine Illusion. Die fehlende feingranulare Zugriffskontrolle, der mangelnde Beschlagnahmeschutz, die unklaren Regelungen zum Forschungszugriff – all das zeigt: Der Patient ist nicht Herr seiner Daten, sondern bestenfalls Bittsteller in einem System, das andere kontrollieren.

Handlungsempfehlungen für Versicherte

Wer seine Gesundheitsdaten schützen will, sollte folgende Schritte erwägen:

  1. Widerspruch prüfen: Informieren Sie sich bei Ihrer Krankenkasse über die genauen Modalitäten und Fristen für einen Widerspruch gegen die ePA.

  2. Sensible Daten fernhalten: Besprechen Sie mit Ihren Ärzten, welche Informationen besser nicht digital gespeichert werden sollten. Insbesondere psychotherapeutische Behandlungen sollten kritisch hinterfragt werden.

  3. Zugriffsrechte regelmäßig prüfen: Falls Sie die ePA nutzen, kontrollieren Sie regelmäßig, wer Zugriff auf Ihre Daten hat und schränken Sie diese soweit möglich ein.

  4. Dokumentation: Dokumentieren Sie alle Widersprüche und Kommunikation mit Ihrer Krankenkasse schriftlich.

  5. Politischer Druck: Machen Sie Ihren Bundestagsabgeordneten klar, dass die ePA in der aktuellen Form inakzeptabel ist.

Fazit: Eine vertane Chance

Deutschland hätte die Chance gehabt, mit einer kartenbasierten, dezentralen Lösung einen echten Goldstandard im Gesundheitsdatenschutz zu setzen. Stattdessen folgt man einem Modell, das internationale Negativbeispiele ignoriert, grundlegende Datenschutzprinzipien missachtet und die Versicherten zu Objekten eines Systems macht, das sie nicht kontrollieren können.

Die Frage ist nicht mehr, ob die ePA-Infrastruktur kompromittiert wird. Die Frage ist nur, wann – und wie viele Millionen Datensätze dann in falsche Hände geraten. Sensible Gesundheitsdaten gehören nicht in die Cloud. Sie gehören in die Hand der Patienten selbst.

Wer heute der ePA widerspricht, handelt nicht irrational oder fortschrittsfeindlich. Er schützt seine intimsten Daten vor einem System, das strukturell unsicher ist und dessen Versprechen sich als hohl erweisen werden. Die Digitalisierung des Gesundheitswesens ist wichtig und richtig – aber nicht um jeden Preis und nicht auf Kosten fundamentaler Bürgerrechte.

Quellen:

Datenschutz  ePA  Gesundheitswesen  Digitalisierung  Patientendaten  Cloud-Sicherheit  Opt-Out 

Siehe auch