ePA-Start: Datenschützerin warnt vor blinder Sicherheit

Die elektronische Patientenakte ist da – doch die Euphorie hält nicht lange. Nur Tage nach dem Start der Regierungskampagne „ePA? Na sicher!” meldet sich die Bundesdatenschutzbeauftragte zu Wort: „Hundertprozentige Sicherheit gibt es nicht.” Zwischen politischem Druck und Praxisalltag entbrennt eine neue Debatte über Haftung, Datenschutz und Vertrauen.

Seit Montag wirbt das Bundesgesundheitsministerium mit einer Informationskampagne für die ePA. Ministerin Nina Warken (CDU) preist sie als „Herzstück der digitalisierten Gesundheitsversorgung”. Das Versprechen: weniger Doppeluntersuchungen, besserer Überblick über Befunde, Schutz vor gefährlichen Wechselwirkungen.

Der Zeitpunkt ist kein Zufall. Seit 1. Oktober müssen Ärzte, Apotheken und Krankenhäuser die ePA aktiv befüllen – mit Arztbriefen, Befunden, Medikationsplänen. Die Gematik meldet für die letzte Novemberwoche allein 19 Millionen Aufrufe von Medikationslisten.

Praxis-IT und ePA-Systeme sind attraktive Ziele für Cyberkriminelle – und viele Arztpraxen sowie Kliniken sind nicht ausreichend vorbereitet. Ein kostenloses E-Book erklärt praxisnahe Schutzmaßnahmen, zeigt, welche technischen und organisatorischen Schritte Sie sofort umsetzen können, und wie sich Datenschutz- und Haftungsrisiken nachhaltig reduzieren lassen – oft ohne teure Anschaffungen. Ideal für Praxisinhaber, IT-Verantwortliche und Datenschutzbeauftragte. Jetzt kostenlosen Cyber-Security-Guide für Gesundheitsorganisationen herunterladen

Doch die hohen Nutzungszahlen täuschen über massive Bedenken hinweg.

„Keine hundertprozentige Sicherheit”

Am Mittwoch platzt die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider in die Kampagne. Im Interview mit netzpolitik.org warnt sie vor falschen Sicherheitsversprechen: „Wir können nie eine hundertprozentige Sicherheit im technischen System haben.”

Akute Datenschutzverletzungen sieht Specht-Riemenschneider zwar nicht. Doch die Rhetorik der „absoluten Sicherheit” sei gefährlich. Besonders kritisch: Versicherte ohne eigene Endgeräte können nicht im Detail steuern, welcher Arzt welche Dokumente sieht.

Die Folge: Eine Zweiklassengesellschaft beim Datenschutz. Wer sich nicht aktiv mit der App seiner Krankenkasse auseinandersetzt, verliert die Kontrolle über seine sensibelsten Daten.

Wer haftet für falsche Diagnosen?

Noch brisanter ist die ungeklärte Haftungsfrage. Das Szenario: Ein Arzt trifft eine Behandlungsentscheidung auf Basis fehlerhafter ePA-Daten, die ein Kollege oder die Krankenkasse hochgeladen hat. Wer trägt die Verantwortung?

Die Kassenärztliche Bundesvereinigung (KBV) stellt klar: Die Befunderhebungspflicht bleibt beim behandelnden Arzt. Das bedeutet konkret: Ärzte dürfen sich nicht blind auf ePA-Inhalte verlassen, sondern müssen Diagnosen im Zweifel neu überprüfen.

Das Paradox: Die versprochene Entbürokratisierung wird zur Zusatzbelastung. Statt Zeit zu sparen, müssen Mediziner doppelt prüfen – aus rechtlicher Absicherung.

Das im November verabschiedete Pflegeentbürokratisierungsgesetz schafft keine Klarheit. Eine explizite Haftungsfreistellung für Ärzte bei der Nutzung von Fremddaten fehlt weiterhin.

Forschungsdatenzentrum bereits am Netz

Während die Praxen noch mit Grundfragen kämpfen, arbeitet das Forschungsdatenzentrum Gesundheit (FDZ) bereits seit Oktober. Hier fließen pseudonymisierte Daten gesetzlich Versicherter zusammen – für Pharmaindustrie und Universitätskliniken.

Die Pharmaindustrie jubelt über den „Meilenstein für den Forschungsstandort”. Datenschützer bleiben skeptisch. Der ehemalige schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert hatte bereits verfassungsrechtliche Bedenken angemeldet.

Erste Anträge auf Datennutzung werden bearbeitet. Ein Stresstest für die versprochene Anonymisierung beginnt.

Zwischen Tempo und Grundrechte

Die Situation ist paradox: Technisch steht die ePA, das Forschungsdatenzentrum läuft. Doch juristisch und politisch herrscht Unsicherheit.

Der Konflikt:
– Das Gesundheitsministerium drückt auf Tempo und Akzeptanz
– Die Datenschutzbeauftragte mahnt Grundrechte an
– Ärzte stehen zwischen Nutzungspflicht und Haftungsrisiko
– Patienten verlieren ohne aktives Handeln die Kontrolle

Die Kampagne „ePA? Na sicher!” wirkt wie der verzweifelte Versuch, Deutungshoheit zurückzugewinnen. Berichte über Sicherheitslücken und die komplizierte Widerspruchslösung haben das Vertrauen bereits strapaziert.

Was 2026 bringt

Ab Januar drohen Praxen, die die ePA-Infrastruktur verweigern, spürbare Honorarkürzungen. Gleichzeitig rückt die Harmonisierung mit dem Europäischen Gesundheitsdatenraum (EHDS) näher – neue Standards, neue Fragen zur grenzüberschreitenden Datensicherheit.

Für Patienten bedeutet das: Die ePA wird befüllt, ob sie wollen oder nicht. Wer die Kontrolle behalten will, muss sich aktiv mit der App auseinandersetzen – oder den steinigen Weg des analogen Widerspruchs wählen. Blindes Vertrauen jedenfalls, so viel ist klar, wäre der falsche Weg.

PS: Wenn Patientendaten in ePA und Forschungsdatenzentren fließen, steigt das Risiko für gezielte Angriffe und Compliance-Verstöße. Dieser Gratis-Report fasst aktuelle Bedrohungen und relevante gesetzliche Anforderungen zusammen und liefert eine praxisnahe 4-Schritte-Checkliste, mit der Praxen Phishing‑ und Zugriffsrisiken schnell reduzieren können. Perfekt für Praxisteams und Verantwortliche, die IT-Sicherheit und Datenschutz effizient verbinden wollen. Gratis-Report & Checkliste: Cyber-Sicherheit für Praxen herunterladen