Kommentar: So gefährdet ein fahrlässiger Umgang mit Daten Ihre Patientenrechte
Stellen Sie sich vor, Sie könnten ein Bankkonto einfach per Brief kündigen – mit Namen und Adresse der Kontoinhaberin und einer erfundenen Unterschrift. Das Konto ist unkontrolliert gelöscht. Unvorstellbar? Genau das ist einem Whistleblower zufolge bei einem Widerspruchsverfahren zur elektronischen Patientenakte (ePA) bei einer Krankenkasse passiert.
Kaum ist das größte Digitalprojekt im Gesundheitswesen am 29. April bundesweit gestartet, weist der Chaos Computer Club (CCC) auf eine erste technische Sicherheitslücke hin. Das Bundesgesundheitsministerium gab an, die Mängel behoben zu haben. Der CCC hält dagegen und warnt davor, dass auch der neue Schutz umgangen wurde. Nun sorgt aber noch ein weiterer Fall für Aufsehen.
Ein einfacher Brief mit einer erfundenen Unterschrift – mehr brauchte es nicht, um die elektronische Patientenakte eines Versicherten löschen zu lassen. Der Hinweis kam von einem Whistleblower, der als Dienstleister für Krankenkassen arbeitet. Sein Name ist der Redaktion bekannt, doch aus Angst vor beruflichen Konsequenzen möchte er anonym bleiben.
Erschreckender Umgang durch die Kassen
Die Krankenkasse habe weder seine Identität geprüft, noch soll ein Abgleich mit der Versicherten stattgefunden haben. Die Kasse behauptet hingegen, dass die Löschung ohne die Mithilfe der Versicherten nicht möglich gewesen sei. Trotz allem fragt man sich, warum hier nicht auf in anderen Branchen längst etablierte Schutzmaßnahmen zugegriffen wird.
Beispiele sind eine Zwei-Faktor-Authentifizierung oder biometrische Verfahren. Selbst ein Anruf bei der Versicherten wäre möglich, um herauszufinden, ob es wirklich sie ist, die ihre ePA löschen lassen möchte.
Eine Löschung einer ePA, ohne dass die Besitzerin oder der Besitzer davon weiß, kann gravierende Folgen haben. Die E-Akte soll künftig Befunde, Medikationspläne, Diagnosen und Arztberichte bündeln. Wird sie gelöscht, gehen all diese wichtigen Informationen unwiederbringlich verloren. Niemand sollte erwarten, dass Versicherte künftig alle Dokumente vorsorglich ausdrucken und abheften. Denn das wäre keine echte Digitalisierung.
Laut Whistleblower und Experten liegt das Problem hier darin, dass es keinerlei konkrete Vorgaben zur sicheren Authentifizierung für die Krankenkassen gibt.
Die ePA wird dringend gebraucht, für eine bessere Versorgung, eine bessere Forschung und für weniger Bürokratie im Gesundheitswesen. Aber sie braucht sichere Verfahren und klare Zuständigkeiten. Andernfalls wird sie zur digitalen Stolperfalle – und nicht zum Fortschrittsträger.
Mehr: Schwachstelle Opt-out – Sicherheitsforscher löscht elektronische Patientenakte unbefugt
Erstpublikation: 06.05.2025, 15:50 Uhr.
