Nur wenige Tage vor dem Start der elektronischen Patientenakte (ePA) für alle haben Experten verschiedene Angriffsszenarien auf das System vorgestellt. Auf dem 38. Chaos Communication Congress (38C3) in Hamburg demonstrierten Bianca Kastl und Martin Tschirsich, dass es mit relativ geringem Aufwand theoretisch möglich ist, Zugang zu allen freigeschalteten Patientenakten zu erlangen. Wer sich für weitere Details interessiert: Hier kann man sich die Folien ihrer Präsentation anschauen.
Kurzer Ausschnitt des Vortrages
Nach Einschätzung der beiden Sicherheitsforscher ist es unwahrscheinlich, dass die aufgezeigten Sicherheitslücken vor dem Beginn der Pilotphase am 15. Januar 2025 vollständig behoben werden.
Etwa 70 Millionen Versicherte der gesetzlichen Krankenkassen sollen künftig eine ePA erhalten. Wer dies nicht möchte, muss aktiv widersprechen (Opt-out-Lösung). Laut § 341 Abs. 1 SGB V ist die Nutzung der ePA völlig freiwillig. Das bedeutet, du musst der elektronischen Patientenakte nicht zustimmen und kannst aktiv Widerspruch einlegen, um deine Daten zu schützen.
Da viele Bürger nicht wissen, wie der Widerspruch funktioniert und nicht ausreichend über die Folgen der Ausbeutung von Gesundheitsdaten informiert sind, legen viele keinen Widerspruch gegen die ePA ein, obwohl sie ihr eigentlich nicht zustimmen würden. Für die herrschende Politik könnten opt-out-Modelle, die gezielt Hürden in Bezug auf Wissen und Handlungsmöglichkeiten schaffen, dadurch attraktiver werden, während sie den fehlenden Widerspruch als “großen Zuspruch” interpretieren.
👆So eine hochpeinliche Sicherheitslücke wie jetzt bei der elektronischen Patientenakte gab es auch damals im Zusammenhang mit der Einführung des besonderen elektronischen Anwaltspostfachs (die Rechtsanwälte und Gerichte für die wechselseitige Kommunikation und Zustellung von Dokumenten nutzen).
Das beA war mit gigantischem (offensichtlich viel zu hohem) Kostenaufwand über Jahre hinweg vorbereitet worden, und dann, genau in der Startphase des beA, kam auf Grund der Recherchen des CCC Darmstadt raus, dass dieses beA-System mit Sicherheitslücken so groß wie Scheunentore versehen war, siehe:
https://www.youtube.com/watch?v=I_tyTYAVYDo&t=286s
Vorlage: Widerspruch gegen die Speicherung und Nutzung meiner Gesundheitsdaten in der Elektronischen Patientenakte
[Ihr Vor- und Nachname]
[Ihre Adresse]
[PLZ Ort]
[Versichertennummer]
[Name Ihrer Krankenkasse]
[Adresse der Krankenkasse]
[PLZ Ort]
Betreff: Widerspruch gegen die Speicherung und Nutzung meiner Gesundheitsdaten in der elektronischen Patientenakte (ePA)
Datum: [Datum des Schreibens]
Sehr geehrte Damen und Herren,
hiermit widerspreche ich gemäß meinem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) und unter Bezug auf § 305 SGB V ausdrücklich der Speicherung, Nutzung oder Weitergabe meiner Gesundheitsdaten in der elektronischen Patientenakte (ePA).
Ich untersage jegliche Erfassung, Speicherung oder Weitergabe meiner Gesundheitsdaten ohne meine ausdrückliche schriftliche Zustimmung.
Bitte bestätigen Sie mir schriftlich den Eingang und die Bearbeitung meines Widerspruchs innerhalb der gesetzlichen Frist.
Mit freundlichen Grüßen,
[Unterschrift]
[Vor- und Nachname]