13. Dezember 2025
Aktueller Stand der unsicheren elektronischen Patientenakte (ePA) und des EHDS
Prof. Ulrich Kelber warnt vor Deutschlands Abstieg beim Datenschutz. Er übt scharfe Kritik an Sicherheit und Umsetzung der elektronischen Patientenakte.
Als unsicher und intransparent bezeichnet der ehemalige Bundesdatenschutz-beauftragte, Prof. Ulrich Kelber, die Digitalisierung des deutschen Gesundheitswesens und insbesondere die elektronische Patientenakte (ePA). In einem Vortrag bei einer Veranstaltung der Freien Ärzteschaft warf er der Politik vor, Vertrauen durch oberflächliche Werbung zu verspielen und grundlegende Sicherheitsstandards zu ignorieren.
Reklame statt Aufklärung und hohe Widerspruchsquote
Kelber kritisierte die Kommunikationsstrategie des Bundesgesundheitsministeriums zur ePA scharf. Anstatt Bürgerinnen und Bürger umfassend über Risiken und notwendige Abwägungen aufzuklären, setze das Ministerium auf eine „reine Reklamekampagne“, die das Projekt lediglich als „super“ und „toll“ anpreise. Wer nur versuche „zu überreden, anstatt zu überzeugen“, so Kelber, der werde auf Dauer nicht vorwärtskommen.
Diese Vorgehensweise führe zu einem Vertrauensverlust, der sich bereits in den Zahlen zeige: Die Widerspruchsquoten gegen die ePA seien mit fünf bis zehn Prozent für ein Opt-out-System ungewöhnlich hoch. Außerdem sei die Gruppe der überzeugten Gegner, die aktiv widersprechen, fast genauso groß oder sogar größer als die Gruppe der überzeugten Befürworter, die sie aktiv nutzen. Die offiziellen Zahlen zur Nutzung schwanken stark zwischen drei und zwölf Prozent. Dies untergrabe laut Kelber auch die Repräsentativität der Daten, die für die Forschung so wichtig sein sollen. Zudem sei die Qualität der Daten, etwa der Abrechnungsdaten, oft unzureichend.
Technische Mängel und instabiler Betrieb
Auch technisch sei das System alles andere als ausgereift. Kelber rechnete vor, dass die offiziell angegebene Betriebsstabilität von 96 Prozent „eine Stunde Ausfall pro Tag“ bedeute. Diese Ausfälle fänden höchstwahrscheinlich nicht nachts, sondern unter Last während der Praxiszeiten statt. Er kritisierte die Haltung der Gematik, die sich zwar unzufrieden zeige, aber auf die Zuständigkeit privater Dienstleister verweise. Das sei „mindestens eine Lücke in dem System“. Bei einem staatlich gelenkten Projekt müsse es wirksame Sanktionsmöglichkeiten gegen unzuverlässige Anbieter geben.
Zusätzlich werde der sichere Zugang für Versicherte systematisch erschwert, nicht nur aufgrund der schwierigen Ersteinrichtung. Die Politik habe dazu ihren Beitrag geleistet. Unter anderem, weil sie es den Krankenkassen durchgehen lasse, die PIN für die elektronische Gesundheitskarte (eGK) nicht zu versenden. „In Wirklichkeit“ lasse sie das Kelber zufolge „auch durchgehen, weil sie auf Dauer das ja gar nicht mehr so haben will“. Gleichzeitig wurde der kostenlose PIN-Rücksetzbrief für den elektronischen Personalausweis aus Kostengründen abgeschafft, was auch diese sichere Alternative unattraktiv mache. Stattdessen würden Nutzer zu unsichereren Methoden wie der biometrischen Anmeldung gedrängt.
Überhasteter Rollout ohne echte Testphasen
Kelber prangerte zudem den grundlegenden Entwicklungsprozess der Digitalisierungsprojekte an. Er forderte, IT-Systeme im Gesundheitswesen endlich so zu entwickeln, wie es professioneller Standard sei. „Pilotieren, evaluieren, eventuell wieder zurückgehen und nur wenn der Evaluierungsprozess gelaufen ist, dann skalieren, also ausrollen.“ Stattdessen gebe es überhastete Einführungen, die als Tests deklariert werden, aber keine sind. Als Beispiel nannte er die Testphase der ePA in den Modellregionen. Direkt danach sollten sie alle nutzen. Ein solches Vorgehen lasse keine Zeit, „die Ergebnisse zu prüfen“ oder Fehler zu korrigieren. Angesichts von 25 Jahren Versäumnis, so Kelber, komme es auf ein weiteres halbes Jahr für eine qualitativ hochwertige Einführung nicht an.
Sicherheitslücken und „Flickenteppich“-Mentalität
Den Kern seiner Kritik bildeten die massiven Sicherheitsbedenken. Die ePA sei in ihrem jetzigen Zustand nicht sicher. Anstatt Sicherheitslücken grundlegend zu schließen, würden sie oft nur notdürftig „gestopft“. Kelber bemängelte, dass die Sicherheitsarchitektur nicht transparent gemacht werde und Angriffe, die mit den „Ressourcen eines Staates“ durchgeführt werden, bei der Prüfung von vornherei…. Das sei ein Unding bei einer Datenbank mit den Gesundheitsdaten von rund 70 Millionen Menschen.
Besonders alarmierend sei, dass die Schlüssel zur Verschlüsselung der Gesundheitsdaten bei den Betreibern liegen. Kelber nannte hier explizit die Anbieter: IBM, die dem US-Recht unterliegt und Daten an US-Sicherheitsbehörden herausgeben muss, sowie die österreichische Firma RISE, „die in Österreich vom öffentlichen Dienst wegen ihrer Beziehung zu Wirecard und den russischen Geheimdiensten keine Aufträge mehr bekommt“. Nach wie vor sei nicht geklärt, „ob das wirklich vollständig gestoppt ist“. Dass solche Anbieter Zugriff auf die Schlüssel haben, sei „überhaupt nicht state of the art“.
Hier geht’s zum Video des Vortrags bei den „Freien Ärzten“
https://tfd358bd6.emailsys1a.net/c/81/8832131/882/0/3949303/9263/378761/1fd45b4ab8.html
Und hier zum Artikel der Journalistin Marie-Claire Koch, die darin auf heise.de den Vortrag zusammengefasst hat: