Datenspeicherung bei der elektronischen Patientenakte | BundestagDatenspeicherung bei der elektronischen Patientenakte | Bundestag

[Anne-Mette]

Gesundheit/Antwort

Aspekte der Datenspeicherung bei der elektronischen Patientenakte (ePA) erläutert die Bundesregierung in ihrer Antwort (21/2238) auf eine Kleine Anfrage der Fraktion Die Linke (21/1912). Danach werden die Daten der ePA immer verschlüsselt auf Servern in Deutschland gespeichert und können ohne den Schlüssel des Versicherten nicht durch Unbefugte gelesen werden.

Zur Frage, welche Daten von Gesetzes wegen in die ePA eingestellt werden, sofern die Patienten nicht widersprochen haben, schreibt die Bundesregierung, dass von Gesetzes wegen zu unterscheiden sei „zwischen Daten, die in die ePA gespeichert werden müssen, und Daten, die darüberhinausgehend in der ePA gespeichert werden können“. Zum Katalog der pflichtmäßig zu befüllenden Daten gehörten insbesondere diejenigen, die Leistungserbringer im Rahmen der aktuellen Behandlung des Versicherten erheben und die von Gesetzes wegen als sogenannte Anwendungsfälle in der ePA verarbeitet werden, zum Beispiel Medikationsdaten. Ferner sind unter anderem auch Daten zu Laborbefunden, Befundberichte aus bildgebender Diagnostik, aus invasiven oder chirurgischen sowie aus nicht-invasiven oder konservativen Maßnahmen und elektronische Arztbriefe verpflichtend in der ePA zu speichern.

Wie die Bundesregierung ferner ausführt, ist gesetzlich vorgesehen, dass bestimmte Daten auf Verlangen der Versicherten in die ePA eingestellt werden können. Hierzu zählten die elektronische Arbeitsunfähigkeitsbescheinigung (eAU), Daten im Rahmen eines Disease-Management-Programms (DMP), Daten aus der Pflege und der pflegerischen Versorgung sowie Hinweise zur Organspende oder zur Patientenverfügung.

[Jaddy]

können ohne den Schlüssel des Versicherten nicht durch Unbefugte gelesen werden

Hm ja, nein Der Satz ist nur richtig, wenn entscheidende Nebenbedingungen weggelassen werden.

1. Die wichtigste: Wenn eine VP (Versicherte Person) ihre Karte einmal irgendwo einsteckt - Praxis, Apotheke, Krankenhaus, Physio, Psychotherapeuty, ... - dann hat diese Praxis 90 Tage lang Vollzugriff. Ja, auch Apotheken.
2. die notwendige Praxis-ID (die Karte, die im Praxis "Konnektor" steckt) konnte recht einfach beschafft werden. Es gibt zig Ausgabestellen. Einige davon prüfen nicht, ob die Zieladresse (wo die Karte hingeschickt werden soll) mit der echten Institution überinstimmt...
3. Dito für die persönliche Karte für MFA, Artzy, Apotheken-Person, usw.

Damit sind schon mal alle EPAs einer Praxis, Klinik oder Apotheke zugänglich...

Aber auch:

4. Praxis-Karten können tw von aussen abgefragt werden, weil einige Webportale fehlerhaft sind
5. Die Schlüssel der Gesundheitskarten können von den Versichertenkarte ausgelesen werden
6. Schlimmer noch: die Schlüssel der Versicherten können einfach hochgezählt werden (sog. brute force Angriff)

Heisst: Mit einem Aufwand von ca einem Monat sind alle EPAs zugänglich.
Schön auch: Verlorene Karten können nicht gesperrt werden.

Dazu kommen diverse Mängel bei der in den Praxen installierten IT, die oft von aussen angreifbar sind.
Nach aussen offene Konnektoren, d.h. ich bin vom Sofa aus schwupps bei denen im Netz.
Praxiskonnektoren mit Karten! werden bei Kleinanzeigen vertickt.
Usw.

Alles wunderbar präsentiert in diversen CCC-Talks. Zum Beispiel: https://media.ccc.de/v/38c3-konnte-bish ... zt-fr-alle
Weitere hier: https://media.ccc.de/search?q=elektroni ... &sort=desc

Fazit: Die EPA ist offen wie ein Scheunentor und die Daten der Versicherten a) komplett unsicher und b) zugänglich für alle. Auch jene, denen wir nicht alle unsere Infos zugänglich machen wollen, zum Beispiel dass unsere Apotheke die Diagnosen und Berichte unseres Psyhcotherapeutys lesen kann.

[Jaddy]

Netzpolitik.org erklärt noch einen anderen Aspekt der Antwort der BuReg.

tl;dr Aufgrund des US-CLOUD-Act von 2018 darf die US-Regierung sich jederzeit Zugriff auf alle Daten amerikanischer Firmen verschaffen. Egal wo die Server stehen. Also zB auch AWS, Amazons Miet-Datencenter überall, Microsofts "Cloud"-Dienste oder, wie im Artikel erwähnt, IBM. Die drei größten Kassen wollten sich nicht äussern, wo ihre Daten liegen. Das sei Aufgabe der Gematik.

Kurz: Die deutschen ePA Medizindaten stehen höchstwahrscheinlich einem uns nicht unbedingt wohlgesonnenen Regime komplett zur Verfügung.

https://netzpolitik.org/2025/elektronis ... wirkungen/

[Lavendellöwin]

Die drei größten Kassen wollten sich nicht äussern, wo ihre Daten liegen. Das sei Aufgabe der Gematik.

Mhm..

nichts ganz genaues weiss man nicht, ich hab da was aus dem IBM Newsroom und noch ein paar andere Quellen..

IBM (Deutschland) sag das hier...

"Um die hohen Sicherheits- und Datenschutzanforderungen im Gesundheitswesen zu erfüllen, liegen die Daten für die ePA und andere Dienste hochverfügbar über zahlreiche, geographisch voneinander getrennte Rechenzentrums-Standorte in der IBM Cloud in Deutschland verteilt. Die IBM Cloud Satellite Technologie verbindet diese verschiedenen Speicherorte mit drei hochsicheren Rechenzentren, in denen dann die Daten verarbeitet werden. Diese Rechenzentren hat IBM eigens in Frankfurt am Main, Nürnberg und München für die Bereitstellung der ePA und der anderen digitalen Gesundheitsservices aufgebaut."

https://de.newsroom.ibm.com/IBM-bringt- ... uf-den-Weg

https://de.newsroom.ibm.com/2025-04-30- ... ich-online

also wäre es möglich gewesen, eine "halbe" Antwort zu geben...gar nichts ist nur schlecht recherchiert..

Habt es fein, Marie

[Jaddy]

"Um die hohen Sicherheits- und Datenschutzanforderungen im Gesundheitswesen zu erfüllen, liegen die Daten für die ePA und andere Dienste hochverfügbar über zahlreiche, geographisch voneinander getrennte Rechenzentrums-Standorte in der IBM Cloud in Deutschland verteilt. ...Diese Rechenzentren hat IBM eigens in Frankfurt am Main, Nürnberg und München für die Bereitstellung der ePA und der anderen digitalen Gesundheitsservices aufgebaut."

Das "wo" bezog sich vor allem auf die Server-betreibenden Firmen. IBM Deutschland gehört der IBM USA, so dass sie mittelbar dem US-CLOUD-Act unterliegen.

Das ist ja gerade der Knackpunkt. Laut diesem US-Gesetz ist es egal, wo die Server von US-Firmen geografisch stehen. Hat die Firma ihren Sitz in den USA, ist sie verpflichtet, Zugriff zu ermöglichen.

[Lavendellöwin]

Das "wo" bezog sich vor allem auf die Server-betreibenden Firmen. IBM Deutschland gehört der IBM USA, so dass sie mittelbar dem US-CLOUD-Act unterliegen.

Hey...

sicher, aber das wie und wo ist doch öffentlich einsehbar und schon lange klar...

dann versteh ist nicht warum

Die drei größten Kassen wollten sich nicht äussern, wo ihre Daten liegen.

macht doch dann keinen Sinn, zumindest nicht für mich...das WO steht fest, egal bezogen auf Firmenstruktur oder Lokation.
Auch das es dann dem Cloud Act unterliegt...ich suche immer noch die Neuigkeit an der Info und auch daran das die ePA Mist ist...

[conny]

Die wichtigste: Wenn eine VP (Versicherte Person) ihre Karte einmal irgendwo einsteckt - Praxis, Apotheke, Krankenhaus, Physio, Psychotherapeuty, ... - dann hat diese Praxis 90 Tage lang Vollzugriff. Ja, auch Apotheken.

Nach meiner Kenntnis kann eine Apotheke aufgrund der Einlösung eines eRezeptes die ePA nicht einsehen.
Ebensowenig eine Physiopraxis, es sei denn, man erteilt seine Zustimmung. Grds. bestimmt jeder Patient selbst, wer was in der ePA einsehen darf.

[Lavendellöwin]

Nach meiner Kenntnis kann eine Apotheke aufgrund der Einlösung eines eRezeptes die ePA nicht einsehen.

Könnten leider doch und mittelfristig mehr...schau hier...allerdings sind es insgesamt "nur" 3 Tage

https://www.abda.de/fileadmin/user_uplo ... es-FAQ.pdf

[conny]

aus dem Link:
"Welche dieser Informationen die Apotheke in der ePA der jeweiligen Patient*innen genau sehen
kann und wie vollständig diese Informationen sind, ist insbesondere davon abhängig, ob Pati-
ent*innen ggf. einzelnen Anwendungen in der ePA widersprochen haben und ob sie einzelnen In-
stitutionen (Apotheken, Arztpraxen, Krankenhäusern und weiteren) keinen Zugriff zu ihrer ePA ge-
währt haben."

[Lavendellöwin]

"Welche dieser Informationen die Apotheke in der ePA der jeweiligen Patient*innen genau sehen
kann und wie vollständig diese Informationen sind, ist insbesondere davon abhängig, ob Pati-
ent*innen ggf. einzelnen Anwendungen in der ePA widersprochen haben und ob sie einzelnen In-
stitutionen (Apotheken, Arztpraxen, Krankenhäusern und weiteren) keinen Zugriff zu ihrer ePA ge-
währt haben."

Exakt..

und wieder einmal wird man dazu gezwungen zu widersprechen und nicht, was der positivere
Fall wäre zu zustimmen, findest du nicht? Aber Zustimmungsdinge erfordern mehr Transparenz,
mehr Kommunikation und auch Engagement-das ist aber meist gar nicht gewünscht...

ich persönlich finde das schade und erklärt manchen negativen Grundcharakter in Deutschland.

Schönes Wochenende Marie

[Marlene]

Und genau wegen dieser ganzen Sch... habe ich zusammen mit meiner Frau, als das Ganze ruchbar wurde, sofort Widerspruch eingelegt.

V.G. Marlene

[Val44721]

Kann nur jedem empfehlen da widersprochen zu haben, gerade wenn die Diagnose trans drin steht.

Sonst landet das einmal alles im Internet und jeder kann einfach eine Liste aller trans Personen erstellen.

[Marlene]

Guten Morgen,

Kann nur jedem empfehlen da widersprochen zu haben, gerade wenn die Diagnose trans drin steht.

Sonst landet das einmal alles im Internet und jeder kann einfach eine Liste aller trans Personen erstellen.

Und nicht nur das, denn auch psychische Diagnosen, wie auch immer geartet, können dort ganz schnell zum Bumerang werden, sei es bei der Arbeit, oder auch privat, zumal viele Diagnosen nicht einmal wirklich fundiert sind. Ärzte sind oft schnell mit solchen Diagnosen und was einmal drinsteht, steht drin und dann mach mal was um das wieder streichen zu lassen.

Viele psychische Aspekte bei einer "Diagnose" sind überhaupt nicht wissenschaftlich fundiert, wie auch... aber wie schnell steht dann das "G" für "gesicherte Diagnose" drin und das war´s dann.

VG.