Hoffnung als Strategie: Kommentar zur unsicheren elektronischen Patientenakte (ePA)

1. Einleitung

Jeder (gesetzlich) Krankenversicherte in Deutschland erhält ab 2025 eine elektronische Patientenakte (ePA), sofern er dem nicht widerspricht. Die elektronische Patientenakte soll das möglichst lückenlose Gesundheitsprofil jedes Menschen in Deutschland werden – von der Wiege bis zur Bahre sollen Gesundheitsdaten in einer zentralen Serverstruktur gespeichert werden. Nichts anderes bedeutet der Wechsel von der einwilligungsbasierten (Opt-in) zur widerspruchsbasierten (Opt-out) ePA.

Unpassenden polarisierenden Aussagen wie »Datenschutz ist etwas für Gesunde« (Schaar, 2023) des ehemaligen Gesundheitsministers Jens Spahn ist entgegenzuhalten, dass es politische Aufgabe und ethische Verpflichtung ist, beides zu ermöglichen – Datenschutz und Gesundheit. Denn: »Gerade weil der kranke Mensch sich nicht auch noch um den Schutz seiner Daten kümmern kann, sind datenschutzrechtliche Regeln hier unverzichtbar, und weil es um höchst persönliche Daten geht, müssen diese Regeln streng sein.« (Schaar, 2023). Ohnehin ist der Begriff »krank« im Gesundheitswesen relativ – es werden nicht nur »kranke« Menschen behandelt. Oder anders ausgedrückt: Eine Schwangerschaft ist keine Krankheit, auch wenn sie von Ärzten behandelt wird und Gesundheitsdaten erzeugt (vgl. Gematik-Spezifikationen z.B. A_19303-20 – Legal Policy). Fest steht jedoch, dass Gesundheitsdaten zu den sensibelsten und intimsten Informationen gehören, die über eine Person erhoben werden können. Bundesgesundheitsminister Lauterbach (und viele andere) stehen im Wort, denn sie haben versprochen, dass die ePA für alle in einer zentralen IT-Infrastruktur »sicherheitstechnisch besonders sicher« (Steiner, 2024) sein wird. Daran werden sie sich messen lassen müssen.

Im Kuketz-Blog haben wir bereits im Herbst 2024 im Kommentar: Die elektronische Patientenakte (ePA) – Datenschutz und medizinische Versorgung im Spannungsfeld u.a. kritisiert, dass die Gematik GmbH, die für die technische Infrastruktur der ePA zuständig ist, per Gesetz nicht mehr der verpflichtenden Vorabkontrolle durch BfDI und BSI unterliegt. Inzwischen haben Sicherheitsforscher des Chaos Computer Clubs »Große Sicherheitsmängel in elektronischer Patientenakte 3.0 aufgedeckt« (Koch, 2024). Die fehlende Vorabkontrolle durch BfDI und BSI hat nun unter anderem zur Folge, dass ein Streit um die Deutungshoheit über die vom CCC aufgedeckten Sicherheitsmängel entbrannt ist.

Die ehemalige Vorsitzende des Deutschen Ethikrates und inzwischen Mitglied des Digitalbeirats für Datenschutz und Datensicherheit der Gematik, Frau Buyx, äußerte sich anlässlich der jüngst bekannt gewordenen Sicherheitslücken in der elektronischen Patientenakte in ZEIT ONLINE mit drängendem Unterton: »Es wäre schön, wenn wir endlich loslegen!« und Frau Buyx meint damit, dass man angesichts der Vorteile der ePA »[…] das Risiko von Datenlecks eingehen sollte.« (Von Lindern & Schweitzer, 2025). Andere Vertreter der Ärzteschaft raten dagegen zum Widerspruch.

In diesem Kommentar stellen wir die Frage, ob wirklich alles technisch und politisch Mögliche getan wurde, um die ePA sicher zu machen. Denn Sicherheitslücken sind eine Konstante der Digitalisierung – man wird sich immer wieder damit auseinandersetzen müssen. Es bedarf jedoch eines entsprechenden Risikobewusstseins, um die Ursachen zu erkennen und politisch kohärente Entscheidungen zu treffen.

2. Hoffnung als Strategie

Herr Lauterbach hat angekündigt »Die Sicherheit der ePA für alle hat für uns oberste Priorität. Das gilt für alle Sicherheitsprobleme, die wir bisher […] analysieren konnten, gilt zum Beispiel auch für die Sicherheitsbedenken, die der Chaos Computer Club vorgetragen hat.« (Koch, 2025). Auffällig in der Formulierung ist die Bedingung »[…] die wir bisher […] analysieren konnten […]« (Koch, 2025). Die »[…] Sicherheit der ePA […]« (Koch, 2025) und die Dringlichkeit »[…] oberste Priorität […]« (Koch, 2025) hängen demnach von der Analyse der »Sicherheitsprobleme« (Koch, 2025) durch die Gematik ab. D.h. um den Zustand der Sicherheit herzustellen, müssen Probleme erkannt werden – um dann deren Auswirkungen durch Gegenmaßnahmen zu reduzieren. Sicherheitsprobleme sind jedoch Ereignisse und dürfen nicht mit den Ursachen gleichgesetzt werden – zur Suche nach den Ursachen siehe den nächsten Punkt. Abstrakt formuliert stehen dem Zustand der Sicherheit Bedrohungen – Handlungen, Ereignisse usw., die eintreten können oder bereits eingetreten sind – gegenüber. Anders ausgedrückt: Nur wer Bedrohungen erkennt, kann Sicherheit herstellen. Ob Bedrohungen ernst genommen werden oder nicht, lässt sich zum Teil auch an den Gegenmaßnahmen erkennen. Generell ist ein entsprechendes Situationsbewusstsein notwendig, um Bedrohungen richtig einschätzen und letztlich Sicherheit herstellen zu können.

Ein Hinweis auf ein falsches Situationsbewusstsein bezüglich der ePA findet sich in der Pressemitteilung der Gematik zu den Sicherheitsmängeln: »Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.« (Gematik GmbH, 2025). Eine gesetzliche Strafandrohung kann als Gegenmaßnahme verstanden werden, wobei die bloße Existenz einer Maßnahme nicht mit ihrer Wirksamkeit verwechselt werden darf.

Marcus Faber (FDP) brachte das eigentlich notwendige Situationsbewusstsein auf den Punkt: »Russland greift uns längst digital an« (Roth, 2024). Es gehört also eine gehörige Portion institutioneller Naivität dazu, dass sich ausländische Nachrichtendienste von einer deutschen Strafandrohung abschrecken lassen würden. Bei der Feststellung der institutionellen Naivität handelt es sich nicht um eine Interpretation aufgrund eines einzelnen Satzes in einer Pressemitteilung, sondern quasi um das offizielle »Nicht-Bedrohungsbewusstsein« der Gematik: »In Bezug auf das ePA-System wurde in Abstimmung mit der gematik festgestellt, dass Angriffe durch staatliche Organisationen nicht relevant sind.« (Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und Gematik GmbH, 2024, Hervorhebung durch den Autor). Dieser Satz stammt aus dem Abschlussbericht der Konzept-Sicherheitsanalyse des Fraunhofer-Instituts (SIT) zur »ePA für alle«, obwohl im gleichen Atemzug die Bedrohung durch staatliche Organisationen als hoch eingestuft wird. Auch die Angriffsmöglichkeiten staatlicher Organisationen werden hinsichtlich technischer Expertise und finanzieller Möglichkeiten als hoch eingeschätzt. So ist es daher wohl kein Zufall, dass Anfragen, ob das »[…] BSI auch Geheimnisträgerinnen mit sensiblen Gesundheitsdaten die Nutzung der ePA empfehlen würde […]« (Wolfangel, 2025), unbeantwortet blieben. Ihre Verwunderung über das Schweigen des BSI äußerte Anke Domscheit-Berg (Die Linke) gegenüber ZEIT ONLINE: »[…] schließlich ist die Bedrohungslage durch ausländische Akteure extrem hoch und bestimmte Gesundheitsdaten können für Erpressungen genutzt werden.« (Wolfangel, 2025).

Fassen wir zusammen: Im Gegensatz zur hohen bis sehr hohen Gefährdungslage Deutschlands u.a. durch den Krieg in der Ukraine stellen ausländische staatliche Organisationen – sprich Geheimdienste – für die Gematik keine relevante Bedrohung dar. Und dies entgegen einer gleichlautenden Bedrohungseinschätzung im Abschlussbericht des Fraunhofer-Instituts (SIT) zur »ePA für alle«. Ob diese institutionelle Vogel-Strauß-Politik aus Naivität, Fahrlässigkeit oder zeitbedingtem Fatalismus resultiert, ist im Ergebnis gleichgültig. Eine Bedrohung einfach zur Nicht-Bedrohung zu erklären, kommt einer Arbeitsverweigerung in der Nationalen Sicherheitsstrategie sehr nahe – die Kriterien Resilienz, Wehrhaftigkeit, Nachhaltigkeit sind entweder nicht bekannt oder werden nicht für relevant gehalten.

Vielmehr scheint Hoffnung die Strategie der Gematik zu sein. Mit dieser Haltung steht die Institution übrigens nicht alleine da – was die Sache allerdings nicht besser macht. Denn auf die Frage, ob angesichts der Sicherheitslücken und der Bedrohung durch Geheimdienste genug für die Sicherheit der ePA getan wurde, kann Frau Buyx in der ZEIT ONLINE nur antworten: »Das hoffe ich! Denn so ein böswilliges Leck wäre in der Tat ein Super-GAU«. (Von Lindern & Schweitzer, 2025) Angesichts der zahlreichen Angriffe auf das digitale Gesundheitswesen scheint dieser »Super-GAU« (Von Lindern & Schweitzer, 2025) kaum ein »Was wäre wenn« zu sein:

• »Australien vermutet russische Hacker hinter Angriff auf Medibank« (Spiegel, 2022)
•  »Russische Bedrohungsakteure, nehmen Gesundheitssektor ins Visier« (Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten, 2024)
• »Cyber-Angriff auf Wertachkliniken: Spur führt nach Russland« (Keitel, 2024)
• »Der britische Gesundheitsdienst National Health Service (NHS) bittet nach einer Cyberattacke auf mehrere Krankenhäuser um zeitnahe Blutspenden. Der Angriff, für den eine russische Hackergruppe verdächtigt wird, führe dazu, dass die Blutgruppe von Patientinnen und Patienten nicht so schnell wie gewohnt getestet werden könne, heißt es in einer Mitteilung« (Spiegel, 2024)
• […]

3. Ursachenforschung oder das »Aber warum?«

Ein Risiko ist ein unerwünschtes zukünftiges Ereignis, das sich aus der Wahrscheinlichkeit und dem Schaden ergibt. Ereignisse haben eine oder mehrere Ursachen und Wirkungen, die man sich auch als »zeitliche« Abfolge vorstellen kann: Eine Ursache führt zu einem Ereignis, das wiederum eine Wirkung hat. Der schwierigste Teil der Ursachenforschung besteht darin, die so genannte »root cause« oder Grundursache zu identifizieren. Interessanterweise sind Kinder – mit ihrer hartnäckigen Verkettung von »Aber warum?« – ungeschlagene Meister der Ursachenforschung.

Häufig wird in der Berichterstattung der Eindruck erweckt, die Ursache sei eine »[…] Sicherheitslücke in der digitalen Patientenakte« (Schiffer, 2025) oder die sei »E-Patientenakte gehackt […]« (Gerlof, 2025) worden. Gleiches gilt für die Aussagen von Herrn Lauterbach über »Sicherheitsprobleme« (Koch, 2025) oder die Meinung von Frau Buyx in der ZEIT ONLINE, Ursache sei eine »[…] technische Lücke […]«. (Von Lindern & Schweitzer, 2025) – all dies sind Ereignisse und keinesfalls die Ursache.

Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen.

Quelle: Gematik GmbH (2025). Stellungnahme zum CCC-Vortrag zur ePA für alle. gematik.de

Entgegen der Auffassung der Gematik befinden wir uns auch nicht in der Analyse eines potenziellen Risikos mit der Einschätzung »[…] in der Realität aber nicht sehr wahrscheinlich […]« (Gematik, 2025), sondern in der Analyse eines aktuellen, bereits manifesten Ereignisses, mit dessen Auswirkungen wir uns derzeit hauptsächlich beschäftigen – es handelt sich nicht mehr um eine bloße Möglichkeit.

Für Gematik, Lauterbach, Buyx & Co. scheinen die schlimmsten Auswirkungen negative Presseberichte über die ePA zu sein, weshalb diesen mit PR-Maßnahmen begegnet wird – zumindest in diesem Teilbereich scheint das Risikomanagement zu funktionieren, schließlich droht ein gesellschaftlicher Vertrauensverlust in ein digitales Prestigeprojekt. Der »Super-GAU« (Von Lindern & Schweitzer, 2025) bzw. die Auswirkungen oder die Schwere der Schäden, die man getrost als »Worst-Case-Szenario« bezeichnen könnte, sind nur aus zwei Gründen ausgeblieben: Weil die Sicherheitsforscher Kastl und Tschirsich verantwortungsvoll gehandelt haben (Responsible Disclosure) und weil das ePA-System noch nicht die Datensätze von mehr als 70 Millionen Menschen enthielt.

Liest man den Abschlussbericht des Fraunhofer-Instituts (SIT) zur »ePA für alle«, so findet man auf Seite 31 sechs Sicherheitsziele der Gematik, die unerwünschte Ereignisse definieren. Die Sicherheitsforscher Kastl und Tschirsich haben – übrigens ohne »Hackerbataillone«, über die z.B. der russische Militärgeheimdienst GRU verfügt – nachgewiesen, dass:

• Dritte unbefugt auf die Daten der ePA zugreifen können. Siehe »Konnte bisher noch nie gehackt werden«: Die elektronische Patientenakte kommt – jetzt für alle! (Kastl und Tschirsich, 2025),
• Leistungserbringer auf ePA’s zugreifen können, zu denen sie nicht berechtigt sind, denn Sicherheitsforscher »[…] haben […] auf verschiedensten Wegen […] Praxisidentitäten besorgt. Sei es über den Zugang von außen über das Thema der Konfiguration-IT oder Gebrauchtmarkt oder IT-Support […] (Tschirsich, 2025),
• Ein Versicherter (oder sein Vertreter) unbefugt auf ePA-Inhalte eines anderen Versicherten zugreifen konnte, mittels »[…] Bestellen von Gesundheitskarten auf anderen Namen […]« (Tschirsich, 2025)

Das bedeutet, dass die Gematik mindestens die Hälfte ihrer selbst gesteckten Sicherheitsziele nicht erreicht hat. Fasst man diese Ereignisse zusammen, so ergibt sich ein sogenanntes Hauptereignis: Ein unberechtigter »[…] Vollzugriff auf alle ePAs«. (Kastl und Tschirsich, 2025) – wohlgemerkt ein Ereignis und nicht die Ursache.

Zur Verdeutlichung: Vollzugriff eines Leistungserbringers (Arzt; Ärztin etc.) bedeutet: Lesen und Schreiben – in diesem Fall unberechtigtes Lesen und Schreiben (siehe Gematik-Spezifikationen z.B. A_19303-20 – Legal Policy Nutzergruppe »Med«; Zugriffsrecht »CRUD«). Zur Verdeutlichung der Auswirkungen: Die Integrität der im ePA enthaltenen Informationen ist durch die Möglichkeit des unberechtigten Lesens und Schreibens nicht sicher gewährleistet. Ärztinnen und Ärzte müssen sich aber bedingungslos auf die Informationen im ePA verlassen können. Diese Erkenntnis wiederum führt die Argumentation gegen einen Widerspruch zur ePA ad absurdum: »[…] Der Intensiv- und Notfallmediziner Uwe Janssens warnt vor Bedenken gegen die neue elektronische Patientenakte. Ein unüberlegter Widerspruch könnte im Notfall zum Gesundheitsrisiko werden. […]« (Pohl, 2025). Ähnliches gilt für die Abwägung von Frau Buyx, die den (unbestrittenen) Nutzen der medizinischen Versorgung in den Vordergrund stellt: »Aber es gibt eine Abwägung, etwa mit dem Anspruch darauf, im Gesundheitswesen möglichst gut versorgt zu werden und auch am medizinischen Fortschritt teilzuhaben. Und die ePA bringt da einfach große Vorteile.« (Von Lindern & Schweitzer, 2025).

Betrachtet man die Angriffsziele »böswilliger« Akteure auf Seite 31 des Abschlussberichts des Fraunhofer-Instituts (SIT) zur »ePA für alle«, wird dies noch deutlicher: Von den fünf Angriffszielen hätte ein Angreifer mindestens drei erreicht. Unbefugtes Auslesen der ePA, unbefugte Manipulation und Kenntnisnahme von Behandlungen und Erkrankungen.

Stellt man die hartnäckige und (im besten Sinne) kindliche Frage »Aber warum?«, warum also ein Vollzugriff auf alle ePAs möglich war, so liegt die Erkenntnis nahe, dass das […] System inzwischen so komplex geworden ist, dass es kaum noch jemand vollständig durchdringt (Kastl und Tschirsich, 2025). Kurz: Je komplexer ein System ist, desto weniger resilient ist es.

Fragt man unbeirrt weiter »Aber warum?«, muss man zwangsläufig zu dem Schluss kommen: Die Komplexität ist politisch gewollt. Das System soll so komplex sein, weil es unterschiedlichen institutionellen Interessen (Bundesgesundheitsministerium, Krankenkassen, Forschung, medizinische Versorgung etc.) dienen soll – während der ehemalige BfDI Kelber feststellt, dass »[…] die Sicherheit und der Schutz der Patientendaten einfach an vielen Stellen überflüssigerweise vernachlässigt […]« wurde (Bergt, 2025). Der politischen Beruhigungs-PR von Herrn Lauterbach, dass »Die Sicherheit der ePA für alle hat für uns oberste Priorität.« (Koch, 2025), stehen politisch gewollte Fakten in der Systemarchitektur gegenüber. Herr Kelber bringt es auf den Punkt, denn ein Zugriff auf die ePA »[…] außerhalb des Behandlungszusammenhangs eines Arztes, […] schon von der Systemarchitektur her gar nicht möglich sein und ist daher ein Designfehler« (Koch, 2024).

Die Verantwortung für den »root cause« liegt also nicht bei der gescholtenen Gematik, sondern beim Bundesgesundheitsminister. Und das bedeutet: Die Ursache kann nicht von der Gematik behoben werden. Die Kritik des Präsidenten des Berufsverbandes der Kinder- und Jugendärzt*innen Michael Hubmann ist daher folgerichtig politisch: »Richtig wäre es, jetzt die Reißleine zu ziehen und ein sicheres System an den Start zu bringen.« (BVKJ, 2025).

4. Ethische Voraussetzung für den Opt-in noch erfüllt?

Die Umstellung auf eine widerspruchsbasierte ePA wurde von der ehemaligen Vorsitzenden des Deutschen Ethikrates, Frau Buyx, ausdrücklich begrüßt: »[…] Aus einer öffentlichen Debatte des Deutschen Ethikrats zum Thema aber große Sympathie für den Opt-out auch mit Blick auf die Forschung übermitteln unter zwei Bedingungen: Das eine ist die Datensicherheit, also dass es keine unzulässigen Eingriffe oder Zugriffe geben darf auf diese Daten […].« (Buyx, 2023).

Sie selbst hat im Gesundheitsausschuss des Bundestages die Bedingung »[…] Datensicherheit […]« aufgestellt. Damit hat Frau Buyx die Daten- und IT-Sicherheit zu einer ethischen Voraussetzung für die rechtliche Konstruktion des Opt-out gemacht. Dieser hehre ethische Anspruch scheint nun gegenstandslos geworden zu sein: »[…] und ich finde das jetzige sogenannte Opt-out-Modell richtig. […]« (Von Lindern & Schweitzer, 2025).

Vielmehr scheint sich hinter der Opt-out-Regelung das paternalistische Prinzip des ehemaligen Gesundheitsministers Spahn (CDU) zur Erhebung von Gesundheitsdaten zu verbergen: »[…] so verpflichtend wie möglich mit so wenig Ausweichmöglichkeiten wie möglich […]« (Bundesministerium für Gesundheit, 2019). Mit anderen Worten: Nicht der Mensch steht im Mittelpunkt, sondern die Daten über seine Gesundheit.

5. Der Besser-als-Nichts-Grundsatz

Man darf sich nichts mehr vormachen. Die Argumentation von Lauterbach, Buyx & Co. basiert auf dem Besser-als-Nichts-Prinzip. Es geht nicht um das politisch und technisch Bestmögliche, sondern um irgendein Gesundheitsdatensystem. Und dies entgegen der Tatsache, dass eine sichere ePA möglich ist, wie auch Herr Kelber meint: »Heutzutage ist es möglich, hochsichere Systeme zu bauen, die trotzdem gut bedienbar sind« (Bergt, 2025).

Um diesen Widerspruch zu verstehen, muss man sich vergegenwärtigen, dass »Datenlecks« die Funktionsfähigkeit einer Datenverarbeitung nicht gefährden – solange die Integrität und Verfügbarkeit der Daten im Großen und Ganzen gewährleistet bleibt (wovon fälschlicherweise ausgegangen wird). Die Folgen sind zwar z.B. unangenehme Presseberichte oder eine Rüge durch eine Datenschutzaufsichtsbehörde, denen man aber mit entsprechender Öffentlichkeitsarbeit begegnen kann. Tatsache ist aber, dass auch bei einem »Datenleck« die Daten für eine weitere Verarbeitung, z.B. für die Forschung, zur Verfügung stehen – was ohne ein Gesundheitsdatensystem eben nicht der Fall ist. Es ist also besser, irgendein System zu haben, als gar kein System zu haben, oder wie Frau Buyx in der ZEIT ONLINE sagte: »Es wäre schön, wenn wir endlich loslegen!« (Von Lindern & Schweitzer, 2025).

Dass sich die ePA-Enthusiasten derzeit im PR-Krisenmodus befinden, erkennt man z.B. daran, dass Frau Buyx fälschlicherweise abwiegelt: »Wobei man etwas beruhigend sagen darf: Bisher hatten Fälle in anderen Ländern, wo große Mengen an Gesundheitsdaten gestohlen wurden, keine schrecklichen Folgen.« (Von Lindern & Schweitzer, 2025). Im Gegensatz zu dieser Behauptung liefert eine einfache Internetrecherche ganz andere Ergebnisse: »Psychotherapeuten gehackt: Finnische Patienten und Praxen werden erpresst« (Holland, 2020) oder »Hacker erpressen Katalonien mit gestohlenen Patientenakten« (Ärzteblatt, 2023).

Auch die Umstände, unter denen Kastl und Tschirsich operieren müssen, werden von Frau Buyx relativiert: »Der Chaos Computer Club (CCC) hat dem Projekt sehr öffentlichkeitswirksam einen echten Dienst erwiesen, weil er auf verschiedene wichtige Mängel hingewiesen hat. […] Es ist ja sehr üblich, dass Firmen extra Hacker beauftragen, die aktiv nach solchen Lücken suchen, damit sie behoben werden, bevor eine Software oder Ähnliches auf den Markt kommt. […]«. Der Vergleich mit einem klassischen Penetrationstest ist falsch. Penetrationstester, die von Unternehmen beauftragt werden, agieren als deren Dienstleister. Über den Aktivitäten von Kastl und Tschirsich schwebt stets das Damoklesschwert des sog. Hackerparagraphen. (§ 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten). Es wäre nicht das erste Mal, dass sich eine Institution unter Berufung auf den § 202c StGB zur Wehr setzt. D.h. Kastl und Tschirsich technische Möglichkeiten »[…] aktiv nach solchen Lücken suchen […].« (Von Lindern & Schweitzer, 2025) sind damit rechtlich immer begrenzt.

Verharmlosend sind auch Vergleiche mit analogen Sachverhalten, um die Risikoabwägung in ein günstiges Licht zu rücken, so der Chef der Technikerkrankenkasse Baas: »Jeder kann in eine Arztpraxis einbrechen, da muss ich auch kein besonderer Hacker für sein. Jeder kann jemanden bestechen, einen Arzt oder Krankenkassenmitarbeiter. Ich kann ein Fax im Faxgerät irgendwo abfangen, was irgendwo liegt. Wir müssen uns angewöhnen, dass wir auch in der digitalen Welt eine Nutzen-Risiko-Abwägung machen« (Koch, 2024). Dem ist entgegenzuhalten, dass die Auswirkungen in der analogen Welt in der Regel lokal begrenzt sind. Mit anderen Worten: Der Einbruch in eine Arztpraxis gefährdet nicht die Sicherheit aller Arztpraxen in Deutschland.

Völlig unnötig und inhaltlich wertlos sind Feststellungen wie die von Frau Buyx: »Ein perfektes System wird es niemals geben, […]« (Von Lindern & Schweitzer, 2025), Herrn Baas »[…] wird nie hundertprozentig sicher sein. […]« (Koch, 2024) und Herrn Janssens »Kein System ist hundertprozentig sicher – das ist klar.« (Pohl, 2025). Um eine kurze Antwort auf diese Binsenweisheit zu geben: Es gibt viele Prozentzahlen, die zwischen null und hundert liegen.

Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen.

Quelle: Schwachstellen in der ePA: BVKJ fordert Datensicherheit für Kinder und Jugendliche (2025). BJKV.de

Man kann nur zutiesft frustriert zurückbleiben, wie der Präsidenten des Berufsverbandes der Kinder- und Jugendärzt*innen Michael Hubmann. Dieser Frust rührt daher, dass weder Patientensouveränität, ärztliche Schweigepflicht, Datensicherheit, ethische Erwägungen, Datenschutz und schon gar nicht die von Kastl und Tschirsich aufgedeckten IT-Sicherheitslücken für Lauterbach, Buyx & Co. wirklich eine Rolle spielen. Wir erinnern uns: Es gilt das Besser-als-Nichts-Prinzip. Um das zu verstehen, genügt es, die von Frau Buyx vorgetragene paternalistische Idee einer Risikoabwägung zu lesen, bei der das Ergebnis der Abwägung von vornherein feststeht: »Ich bin immer für eine risikosensible Kommunikation. Man kann es den Menschen schon zutrauen, dass sie die Risiken kennen und trotzdem den Nutzen höher schätzen. Es ist eine Kunst, das so zu formulieren, dass es nicht zu einseitig als abschreckende Warnung verstanden wird.« (Von Lindern & Schweitzer, 2025).

6. Fazit

Was bleibt, ist der bittere Eindruck, dass Risiken individualisiert werden sollen. Denn der Vergleich mit privatwirtschaftlichen digitalen Allerweltsdiensten, wie von Herrn Janssens: »Wir bewegen uns ohnehin im Alltag überall auf digitalem Glatteis: Kreditkarten, Online-Banking, soziale Medien […]« (Pohl, 2025) oder Frau Buyx: »Kein digitales System ist völlig sicher. Das gilt im Übrigen auch für E-Mail-Konten und Onlinebanking.« (Koch, 2024)  sind völlig unangemessen, ja verharmlosend. Zumal die lebensrettende Bedeutung der Gesundheitsdaten in der ePA immer wieder betont wird, wie z.B. in diesem ZEIT ONLINE Artikel: Hört auf, vom gläsernen Patienten zu reden. (Herschel, 2024). Es ist geradezu widersprüchlich, dass »lebensrettende« Gesundheitsdaten – das lückenlose Gesundheitsprofil eines Menschen – in den Händen eines »bad actors« plötzlich an Kritikalität verlieren sollen. Nicht umsonst unterscheidet auch die DSGVO zwischen »normaler« Datenverarbeitung und der Verarbeitung sensibler Gesundheitsdaten.

Es ist zutiefst unfair, immer wieder öffentlichkeitswirksam an den Gemeinsinn der Menschen zu appellieren und sie dann mit den Risiken und möglichen Folgen allein zu lassen. Denn insbesondere die Gefahr staatlich motivierter Hackerangriffe auf das deutsche digitale Gesundheitswesen ist kein normales Lebensrisiko. Es scheint fast so, als hätten einige deutsche Institutionen und medial präsente Persönlichkeiten aus der folgenden Lektion nicht die richtigen Schlüsse gezogen: Der Chef des Bundesnachrichtendienstes wurde bei seinem Besuch in Kiew vom russischen Angriff auf die Ukraine überrascht. Haben Sie noch Fragen zum deutschen Situationsbewusstsein?

Ich würde mir tatsächlich wünschen, dass die Polizei direkten Zugriff auf Gesundheitsdaten bekommen kann.

Quelle: Köksalan & Sprengart (2024). Ermittler fordern weniger Datenschutz im Kampf gegen Attentate. Westdeutscher Rundfunk Köln.

Es ist daher bezeichnend, dass Lauterbach, Janssens, Buyx & Co. die Begehrlichkeiten der Strafverfolgungsbehörden nach Gesundheitsdaten stillschweigend hinnehmen, während die berechtigten Sicherheitsbedenken engagierter Menschen eine Flut von Krisen-PR-Interviews erzeugen. Der Eindruck, dass Gesundheitsdaten zur Verfügungsmasse institutioneller Interessengruppen werden, kann nur als fataler Irrweg für das von den Medien so hoch gehaltene Vertrauen bezeichnet werden.

Der Digitalisierung des deutschen Gesundheitswesens wäre mit weniger Verharmlosung und Relativierung besser gedient – und mit mehr Konsequenz durch eine unabhängige Sicherheitsüberprüfung. Denn das Risikomanagement lehrt: Manche Ereignisse kann man kontrollieren, andere nicht – ein staatlich motivierter Hackerangriff gehört eindeutig zu Letzteren. Eigentlich wäre es naheliegend, sich für das einzusetzen, was man kontrollieren kann: Bestmögliche Sicherheit für die ePA.  Es ist auch ein Zeichen deutscher Gremien- und Institutionenmentalität, die ePA für alle für sicher und die Bedrohung durch Geheimdienste für irrelevant zu erklären. Das sollten wir inzwischen gelernt haben: Hoffnung ist eben keine Strategie.