Die elektronische Patientenakte in Zeiten des Rechtsrucks

Harte Zeiten erfordern gehärtete digitale Systeme

Spätestens im März oder April soll die elektronische Patient*innenakte für alle bundesweit aktiviert sein. Ihre Einführung fällt in eine Zeit, die von überhöhten Sicherheitsdiskursen, einer Stigmatisierung psychisch Kranker und Behauptungen politischer Handlungsunfähigkeit gegenüber Gewalttaten geprägt ist. Die zahlreichen Sicherheitslücken der ePA sorgen in diesem politischen Klima für beängstigende Aussichten.

Nach dem Anschlag auf Besucher*innen des Magdeburger Weihnachtmarkts am 20. Dezember 2024 überboten sich Akteur*innen aus allen Teilen des parteipolitischen Spektrums mit autoritären Forderungen. Noch bevor die Motive und Lebensumstände des mutmaßlichen Attentäters vollständig geklärt waren, brachte CDU-Generalsekretär Carsten Linnemann bei einem Deutschlandfunk-Interview die Idee eines Registers für „psychisch kranke Gewalttäter“ in den vorgezogenen Wahlkampf ein.

Dieser Vorstoß aus hohen Rängen einer möglichen Regierungspartei kommt so ziemlich einem Generalverdacht für psychisch Kranke gleich, und es bleibt zu hoffen, dass eine Umsetzung so einer Gefährderliste schon aus rechtlichen Gründen scheitert. Kurz nach einem tödlichen Messerangriff in Aschaffenburg am 22. Januar 2025 wurde die Forderung erneut aufgegriffen, diesmal vom CDU-nahen Psychologen Ahmad Mansour in einem Tagesschau-Beitrag.

Diese Entwicklungen zeigen, dass es sich bei Daten zur Krankheitsgeschichte von Bürger*innen um hochsensible Informationen handelt, deren Missbrauch unter einer autoritären Regierung großen Schaden anrichten kann.

Dieses Frühjahr soll die elektronische Patient*innenakte für alle (im nachfolgenden ePA genannt) trotz erheblicher Sicherheitslücken bundesweit eingeführt werden. Aktuell wird sie in einigen Modellregionen bereits eingesetzt. Dort werden dann unter anderem Ärzt*innenbriefe, Befunde, Diagnosen, Laborergebnisse und Rezepte zentral gespeichert. Das Ganze ist opt-out, das heißt, wer nicht widerspricht, bekommt die ePA ungefragt aktiviert. Angenommen, ein weiterer rechtsautoritärer Ruck in der Bundesregierung und / oder eine zeitnahe Umsetzung von Linnemanns Forderungen bliebe aus (lol): Selbst dann ergibt sich aus oben genannten Umständen ein Bedrohungsszenario für die Unversehrtheit psychisch Kranker.

Ein System mit vielen Sicherheitslücken

Stellen wir uns einen engagierten Bürger mit Kenntnissen zum digitalen Gesundheitssystem vor, der sich von Linnemanns Vorschlag einer Gefährderliste für psychisch Kranke inspiriert fühlt. Er könnte auf die Idee kommen, schon mal Wohnadressen und andere Daten von Patient*innen aus der näheren Umgebung zu sammeln, so für das eigene Sicherheitsgefühl. Wie der Vortrag von Martin Tschirsich und Bianca Kastl auf dem 38. CCC gezeigt hat, hätte so ein Angreifer vielfältige Möglichkeiten, sein Ziel zu erreichen und auf Patient*innenakten zuzugreifen.

Beispielsweise könnte er sich über die Beschaffung von Praxiskarten als Arzt ausgeben und so sämtliche Patient*innenakten einer bestimmten Praxis einsehen und bearbeiten. Oder er könnte sich ein gebrauchtes Praxisterminal über Kleinanzeigen besorgen und so dank einer Sicherheitslücke in der Übermittlung von Ausweisnummern im Versichertenstammdatendienst auf beliebige ePAs aus der Ferne zugreifen. Wenn ein Angreifer eine bestimmte Person im Visier hat, dann ist ein Zugriff unter Umständen noch einfacher: Viele Krankenkassen versenden elektronische Gesundheitskarten, die als Schlüssel zur ePA dienen, ohne Identitätsüberprüfung. Und da in der geplanten ePA-Version eine PIN-Eingabe wegfällt, fällt ein Missbrauch umso leichter.

Diese und mehr Sicherheitslücken sind teils seit Jahren bekannt und wurden im Vortrag von Tschirsich und Kastl ausführlich beschrieben. Es ist offensichtlich, dass es keine entschlossene Regierung braucht, um eine Gefährderliste für psychisch Kranke anzulegen – besorgte Bürger*innen könnten schon bald ganz bequem von zuhause aus Betroffene in der näheren Umgebung deanonymisieren. Die Angriffsszenarien, die die Sicherheitsforscher*innen aufgezeigt hatten, beschränkten sich zudem auf Angriffe von außen. Die Gefahren, die von Sicherheitsbeamt*innen, (ex-)Geheimdienstler*innen oder von medizinischem Personal mit autoritärem Weltbild bei ePA-Zugriffen ausgehen, sind noch gar nicht absehbar. Auch für Menschen, die in einer Beziehung Gewalt erfahren, stellt die ePA ein Risiko dar – kontrollierende Partnerpersonen könnten sich Zugang zu sensiblen Gesundheitsdaten verschaffen.

Psychisch Kranke sollten widersprechen

Sowohl das Bundesgesundheitsministerium wie auch die gematik GmbH, welche die ePA für alle entwickelt, kommunizieren, dass die bekannten Sicherheitslücken vor dem bundesweiten Rollout geschlossen werden sollen. Ob das bei so umfangreichen Schwachstellen erfolgreich ist, bleibt fraglich. Zudem hat die Vergangenheit gezeigt, dass die gematik GmbH ohne öffentlichen Druck wenig Interesse an der Entwicklung guter Software zu haben scheint.

Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) empfiehlt in einer Pressemitteilung „[…] gesetzlich Versicherten mit psychischen Erkrankungen aufgrund der aktuellen Sicherheitslücken, der Anlage einer elektronischen Patientenakte (ePA) zu widersprechen“. Weiterhin unterzeichnet der Verband einen offenen Brief, der die Schließung dieser Sicherheitslücken fordert.

Wer der Anlage einer ePA für sich widersprechen will, kann das weiterhin tun. Auch bereits angelegte ePAs müssen nach einem Widerspruch gelöscht werden. Ein Widerspruch ist jederzeit über die zuständige Krankenkasse möglich, ein entsprechender Überblick dazu findet sich hier.

Es gibt kein Recht auf absolute Sicherheit

In der zunehmend autoritärer werdenden deutschen Öffentlichkeit werden psychisch Kranke immer häufiger als Sicherheitsrisiko ins Spiel gebracht, oft verschränkt mit rassifizierenden Zuschreibungen. Sicherheitssoziolog*innen wie Sven Opitz beobachten schon seit der Ära des War On Terror, wie Sicherheitsdiskurse genutzt werden können, um die Rechte bestimmter Bürger*innen zu verletzen und autoritäre Regierungsstile durchzusetzen (1). Um scheinbaren Ausnahmezuständen gerecht zu werden, eskalieren Sonderbefugnisse von Sicherheitsbehörden demnach stetig im Namen der Prävention weiterer Verbrechen. Mitunter wird sogar die Zivilbevölkerung angerufen, sich an den Sicherheitsmaßnahmen proaktiv zu beteiligen.

Wir sollten daher kritisch sein, wenn im politischen Diskurs nach Anschlägen und Gewalttaten die Rufe nach effizienterem Profiling potenzieller Täter*innen oder gar erweiterter Gefährder*innenlisten laut werden. Wenn sich etwa ein Landesvorsitzender von Bund Deutscher Kriminalbeamter (BDK) gleich eine Aufhebung der ärztlichen Schweigepflicht und direkten Zugriff auf Gesundheitsdaten für Sicherheitsbehörden wünscht, müssen alle gesellschaftlichen Alarmglocken läuten. Diese Eigendynamik, in der sich Parteifunktionär*innen, Journalist*innen und andere öffentlichkeitswirksame Akteur*innen mit immer radikaleren Forderungen überbieten, gehört durchbrochen. Es kann bzw. darf keinen absoluten Schutz der Bevölkerung geben, wenn dieser Schutz mit der Aufgabe von Datenschutzprinzipien und Freiheitsrechten einhergeht.

Ein weiterer datenschutzkritischer Aspekt in der ePA für alle ist der Umstand, dass die Gesundheitsdaten für „medizinische“ – einschließlich profitorientierte – Forschung nutzbar gemacht werden sollen. Hier stellt sich unter anderem die Frage, wie bzw. ob die Daten dann effizient anonymisiert werden können. Dass in Großkonzernen allerhand Protofaschist*innen sitzen, dürfte jeder*m bekannt sein, der*die Trumps Amtseinführung oder die Finanzstrukturen rechtsextremer Parteien verfolgt hat.

Bürokratieabbau, Transparenz und ein selbstbestimmter Umgang mit den eigenen Gesundheitsdaten zählen zu den vielen Gründen, die eigentlich für die grundsätzliche Idee einer elektronischen Patient*innenakte für alle sprechen. Doch wenn so ein System eingeführt wird, muss es gehärtet sein gegen missbräuchliche Zugriffe von innen wie von außen. Da das zum jetzigen Zeitpunkt nicht der Fall ist, bleibt marginalisierten Personen nichts anderes übrig, als der ePA zu widersprechen.

Update: Autoritäre Zugriffe auf Gesundheitsdaten sind offenbar ein Traum vieler Polizist*innen und CDU-Funktionär*innen. Der Parteivorsitzende Friedrich Merz hingegen scheint Foucault gelesen zu haben und setzt dementsprechend voll auf neoliberale Härte: Wenn es nach ihm geht, sollen Menschen, die ihre Daten vollständig auf der digitalen Gesundheitskarte speichern, zehn Prozent weniger Beiträge blechen als die, die es aus Datenschutzbedenken nicht tun (Quelle). Diese Idee vom Datenschutz als Privileg für Reiche zeigt perfekt, dass wir gerade einen Klassenkampf von oben erleben.

Fußnoten:

(1) Opitz, Sven (2008): Zwischen Sicherheitsdispositiven und Securitization: Zur Analytik illiberaler
Gouvernementalität. In: Patricia Purtschert, Katrin Meyer und Yves Winter (Hg.): Gouvernementalität und Sicherheit. Zeitdiagnostische Beiträge im Anschluss an Foucault. 1. Aufl. Bielefeld: transcript Verlag, S. 201–228.

Ähnliche Beiträge