Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 49. Kalenderwoche geht zu Ende. Wir haben 14 neue Texte mit insgesamt 95.047 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser:innen,
das Wort des Jahres ist „KI-Ära“. Das Thema Künstliche Intelligenz „ist aus dem Elfenbeinturm der wissenschaftlichen Forschung herausgetreten und hat die Mitte der Gesellschaft erreicht“, begründet die Gesellschaft für deutsche Sprache ihre Wahl.
Die Bundesdruckerei hockt derweil in ihrer ganz eigenen Abgeschiedenheit. Sie setzt den Datenatlas um, der „souveräne Datenkatalog für die Bundesverwaltung“. Mitarbeitende verschiedener Ministerien und Behörden sollen hier nachschlagen können, wo welche Daten liegen.
Eigentlich eine gute Sache. Doch das Projekt ist offenbar Lichtjahre von der technischen Gegenwart, geschweige denn von irgendeiner „KI-Ära“ entfernt. Zu diesem Schluss kommt zumindest der Wissenschaftler David Zellhöfer in einem Gutachten, über das meine Kollegin Esther diese Woche berichtet hat. Demnach biete der Datenatlas weniger Funktionen als Datenbanken aus dem Jahr 1986, so das markige Urteil. Damals war das Wort des Jahres übrigens „Tschernobyl“. So lange ist das her.
Auf Platz 2 kam vor knapp vierzig Jahren das Wort „Havarie“, was so viel wie Fehler oder Schaden bedeutet. Den will die Bundesdruckerei nun offenbar noch vergrößern. Als wir sie mit den Ergebnissen des Gutachtens konfrontieren, schrieb die bundeseigene GmbH zurück, gegebenenfalls rechtliche Schritte gegen Zellhöfer einzuleiten.
Zellhöfer nahm sein Gutachten daraufhin offline, um sich rechtlich abzusichern. „Ich war unmittelbar eingeschüchtert“, sagte er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“
Inzwischen ist das Gutachten wieder abrufbar. Und Zellhöfer kann mit mehr Humor auf die Sache schauen. Positiv gesehen könne der Datenatlas auch „als Projekt eines Retro-Computing-Enthusiasten“ durchgehen, sagt er.
Ein bisschen mehr Humor wünsche ich auch der Bundesdruckerei. Dann trägt sich die Atlas-Last gleich leichter.
Habt ein schönes Wochenende!
Daniel
Breakpoint: Wir alle sollten mehr übereinander wissen
Auf Social Media wird Reichweite massenhaft mit intimen Details erzeugt. Während wir Fremden beim Oversharing zusehen, verlieren wir den Blick für die Menschen, die wirklich zählen. Wir wissen nicht zu viel übereinander, findet unsere Kolumnistin: Wir wissen das Falsche über die falschen Personen. Von Carla Siepmann – Artikel lesen
Eigentlich soll die Empfängerprüfung Fehlüberweisungen verhindern. Doch die praktische Umsetzung zeigt: In vielen Fällen legen Banken den vollständigen Namen der Kund*innen offen. Betroffen sind Millionen. Von Timur Vorkul – Artikel lesen
Für gemeinwohlorientierten Journalismus: So unterstützt ihr uns mit Spenden aus und von Unternehmen
Ihr macht zu Weihnachten eine Spenden-Aktion in eurer Firma oder im Verein? Du hast Geburtstag oder hast einen anderen Grund zu feiern und möchtest lieber Spenden als Geschenke? Dann erstelle eine eigene Spendensammelaktion und unterstütze so unsere Arbeit. Von netzpolitik.org – Artikel lesen
Werbeanzeigen: EuGH nimmt Plattformen bei Datenschutzverstößen in die Pflicht
Gegen ihren Willen veröffentlichte jemand im Namen einer Frau eine Online-Anzeige für sexuelle Dienstleistungen, inklusive Fotos und Telefonnummer. Nun sagt der EuGH: Der Marktplatz, wo das passiert ist, trägt eine Mitverantwortung. Die Entscheidung könnte weitreichende Folgen für die Haftung von Plattformen haben. Von Timur Vorkul – Artikel lesen
Transparenzregister mit Lücken: KI-Nutzung der öffentlichen Verwaltung bleibt undurchsichtig
Seit gut einem Jahr gibt es das nationale KI-Transparenzregister. Der IT-Planungsrat will es nun auf alle Verwaltungsebenen ausweiten. Dennoch bleibt weiterhin unklar, in welchem Umfang die öffentliche Verwaltung sogenannte Künstliche Intelligenz einsetzt – und mit welchem Risiko. Von Esther Menhard – Artikel lesen
Digitaler Omnibus: So unterschiedlich wollen EU-Staaten die Digitalregulierung verändern
Mit Blick auf das Reformpaket der EU-Kommission zeigen sich die Mitgliedstaaten gespalten. Einige setzen wie die Kommission auf Deregulierung und wollen so die europäische Digitalwirtschaft ankurbeln. Andere wiederum würden lieber die Umsetzung der bestehenden Regeln verbessern. Von Anna Ströbele Romero – Artikel lesen
Interview mit der Bundesdatenschutzbeauftragten: „Die aktuelle Debatte geht in die falsche Richtung“
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält. Von Ingo Dachwitz, Daniel Leisegang – Artikel lesen
Jugendschutz-Streit: Pornhub jetzt offen für Ausweiskontrollen in der EU
Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie. Von Sebastian Meineck – Artikel lesen
Pressefreiheit: Polizei behindert Presse bei Protesten in Gießen
Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen kam es mehrfach zu Vorfällen, bei denen die Pressefreiheit eingeschränkt wurde. Betroffen waren Reporter:innen der taz und von freien Radiosendern. Von Markus Reuter – Artikel lesen
Digital Fights: Digital Knights: Wir kämpfen gegen die Überwachung mit Palantir
Die Software von Palantir soll auf Knopfdruck den Wildwuchs von Polizei-Datenbanken durchforsten. Damit die Polizei schon heute weiß, was du morgen tun wirst. Doch der Einsatz von Palantir-Software verletzt Grund- und Freiheitsrechte. Und er lässt die Rede von der anzustrebenden digitalen Souveränität endgültig unglaubwürdig werden. Von netzpolitik.org – Artikel lesen
Neues Polizeigesetz: Berlin wirft die Freiheit weg
Heute wurde in Berlin eine Novelle des Polizeigesetzes verabschiedet. Sie erlaubt so ziemlich alles, was an digitaler Überwachung möglich ist: Verhaltensscanner, Gesichtersuche, Palantir-artige Datenanalysen, Staatstrojaner. Ein Kommentar. Von Martin Schwarzbeck – Artikel lesen
Datenatlas der Bundesdruckerei: Verwaltungsmodernisierung von vorvorgestern
Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei „rechtliche Schritte“ gegen ihn. Von Esther Menhard – Artikel lesen
Geheimdienstreform: Der MAD hat ein neues Gesetz bekommen
Der Militärische Abschirmdienst darf künftig deutlich mehr, hat der Bundestag mit einem neuen Geheimdienstgesetz beschlossen. Doch die Reform des kleinsten deutschen Geheimdienstes ist erst der Auftakt für weitere Änderungen am Geheimdienstrecht. Von Anna Biselli – Artikel lesen
DSA: EU-Kommission verhängt 120-Millionen-Euro-Strafe gegen X
Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen. Von Anna Ströbele Romero – Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.
Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.
Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.
„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“
netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?
Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.
In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.
netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?
Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.
Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.
netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?
Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.
Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.
„Es gibt im Omnibus auch Aspekte, die ich begrüße“
Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.
Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.
netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?
Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.
netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.
Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.
netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?
Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.
Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.
Wo eine Reform ansetzen sollte
netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.
Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.
netzpolitik.org: Was fehlt Ihnen?
Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?
Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.
Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.
netzpolitik.org: Sondern?
Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.
netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?
Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.
Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.
Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.
netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.
Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.
Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.
„Eine Verpflichtung wäre eine großer Schritt“
netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?
Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.
Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.
Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.
„Hundertprozentige Sicherheit gibt es nicht“
netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?
Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.
Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.
Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.
netzpolitik.org: Das war ja mal anders.
Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.
netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?
Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.
Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.
„Für eine patientenztentrierte ePA ist es noch nicht zu spät“
netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?
Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.
Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.
Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.
Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.
„Das würde meine Behörde und mich sehr schmerzen“
netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.
Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.
Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.
netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.
Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.
Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?
netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.
Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.
Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.
Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.
netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?
Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.
Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 44. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 111.433 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
All diese Buzzwords lassen mich etwas ratlos zurück. Ein solcher Event-Zirkus soll wohl vor allem Entschlossenheit und Tatkraft demonstrieren. Schaut her, wir krempeln die Ärmel hoch und packens an! Die Tagesschau ist auch vor Ort.
Dieses Mal wirkte das Schauspiel noch bizarrer als sonst. Denn alle Welt warnt derzeit vor einer wachsenden KI-Blase. Ökonom:innen ziehen Vergleiche zum Dotcom-Crash vor 25 Jahren. Es läuft wohl auf „eine reale, schmerzhafte Disruption“ für uns alle hinaus, schreibt der „Atlantic“. Doomsday is coming, wenn auch anders als gedacht.
Die Regierung verliert dazu kein Wort. Stattdessen will sie die Umsetzung der europäischen KI-Regulierung hinauszögern, wie meine Kollegin Anna Ströbele Romero schreibt. Sie gibt damit dem Druck der Industrieverbände nach. Alles für die angebliche Wettbewerbsfähigkeit – und zulasten der Verbraucher:innen.
Wenig überraschend interessiert Schwarz-Rot auch die ökologische Frage nur am Rande. Dabei ist der Ressourcenhunger von KI immens. Mancherorts wird bereits das Trinkwasser knapp, weil es KI-Rechenzentren kühlt. Tech-Konzerne reaktivieren stillgelegte Atomkraftwerke, selbst fossile Energieträger sind wieder stark gefragt.
Einer Mehrheit der Bevölkerung bereitet diese Rolle rückwärts offenbar große Sorgen, wie Julian Bothe von AlgorithmWatch für uns in einem Gastbeitrag darlegt. Die NGO hat dafür eine repräsentative Umfrage in mehreren europäischen Ländern durchführen lassen. Demnach wünscht sich eine Mehrheit auch strengere Regulierung beim Bau neuer Rechenzentren.
Statt zu bizarren KI-Events einzuladen wäre die Bundesregierung gut beraten, solchen Bedenken Gehör zu schenken.
Habt ein schönes Wochenende
Daniel
Breakpoint: Lasst ihr ChatGPT auch eure Liebesbriefe schreiben?
Während generative KI immer mehr in unseren Alltag einsickert, drohen wir den Kern dessen zu verlieren, was uns sein lässt. Große Sprachmodelle zu nutzen, mag praktisch sein, doch sollten wir darüber nicht vergessen, dass wir Menschen sind. Von Carla Siepmann – Artikel lesen
Cybercrime-Konvention: Menschenrechtsverletzungen über Grenzen hinweg
Die UN-Cybercrime-Konvention wurde am Wochenende symbolisch unterzeichnet. Deutschland hat seine Unterschrift nicht unter den Vertrag gesetzt, die Vereinigten Staaten ebenfalls nicht. Internationale Menschenrechts- und Digitalrechte-Organisationen lehnen das Abkommen weiterhin ab und fordern die Staaten auf, es nicht zu ratifizieren. Von Constanze – Artikel lesen
Zehn Jahre Landesverrat: Netzpolitischer Abend zum Thema Pressefreiheit
Zehn Jahre nach den Ermittlungen wegen Landesverrats veranstaltet netzpolitik.org zusammen mit der Digitalen Gesellschaft einen Netzpolitischen Abend. Am 4. November werfen drei Vorträge einen kritischen Blick auf die globale Lage der Pressefreiheit. Dabeisein geht in Berlin oder im Stream. Von Paula Clamor, Ingo Dachwitz – Artikel lesen
Neues MAD-Gesetz: Ein Militärgeheimdienst wird aufgerüstet
Die schwarz-rote Regierung will die Geheimdienstgesetze grundlegend erneuern. Los geht es mit einer neuen Rechtsgrundlage für den Militärischen Abschirmdienst. Der Entwurf auf dem Verteidigungsministerium würde dem bislang kleinsten Geheimdienst des Bundes deutlich mehr erlauben. Von Anna Biselli – Artikel lesen
Sächsisches Polizeigesetz: Polizeiwunschliste auf Mehrheitssuche
Die sächsische Regierung möchte das Polizeigesetz deutlich verschärfen und der Polizei KI-Videoüberwachung, biometrische Internetsuche und staatliches Hacken erlauben. Kritik daran kommt aus Zivilgesellschaft und Opposition. Doch gerade letztere braucht die Regierung, um ihren autoritären Entwurf zum Gesetz zu machen. Von Leonhard Pitz – Artikel lesen
Gegen Regulierung: Big Tech steckt so viel Geld in EU-Lobbyarbeit wie noch nie
EU-Digitalgesetze wie der Digital Services Act sollen Big Tech in Schach halten. Das macht Meta, Microsoft & Co. das Leben schwer. Mit einer mächtigen Lobby arbeiten sie dagegen. Das zeigt eine gemeinsame Analyse von LobbyControl und Corporate Europe Observatory. Von Esther Menhard – Artikel lesen
In Echtzeit: US-Abschiebebehörde ICE baut Überwachungsarsenal weiter aus
Die US-amerikanische Auswanderungsbehörde ICE kauft immer mehr Überwachungssoftware. Jetzt arbeitet ICE mit einem Unternehmen zusammen, mit dessen Software das Militär soziale Medien in Echtzeit observiert. Von Paula Clamor – Artikel lesen
Zivilgesellschaft: Kritik an Debatte um „Missbrauch von Sozialleistungen“
Um „organisierten Leistungsmissbrauch“ im Sozialbereich zu verhindern, will Arbeitsministerin Bärbel Bas den Datenaustausch zwischen Polizei, Ordnungsämtern und Jobcenter fördern und das Strafrecht verschärfen. Sozialverbände und Organisationen von Betroffenen warnen vor verheerenden Folgen. Von Timur Vorkul – Artikel lesen
Digital Fairness Act: Große Wünsche für mehr Verbraucherschutz im Netz
Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz. Von Tomas Rudl – Artikel lesen
Etappensieg: Dänemark nimmt Abstand von verpflichtender Chatkontrolle
Die dänische Ratspräsidentschaft schlägt vor, die Chatkontrolle freiwillig zu erlauben, statt sie verpflichtend zu machen. Die EU-Staaten haben diesen Vorschlag bereits einmal abgelehnt, ob sie jetzt zustimmen, ist offen. Viele Akteure lehnen eine freiwillige Chatkontrolle ab – auch die EU-Kommission. Von Andre Meister – Artikel lesen
Sorge vor US-Sanktionen: Internationaler Strafgerichtshof kickt Microsoft aus seiner Verwaltung
Der Internationale Gerichtshof will sich von Microsoft unabhängig machen und schwenkt auf openDesk um, die Open-Source-Bürosoftware des Zentrums für Digitale Souveränität. Die Bundesregierung könnte sich daran ein Beispiel nehmen. Denn während openDesk bei europäischen Nachbarn gefragt ist, fremdelt die Bundesverwaltung noch immer damit. Von Esther Menhard – Artikel lesen
AI Act: Wird sich die KI-Regulierung verzögern?
Eigentlich sollen zentrale Teile der europäischen KI-Verordnung im August 2026 in Kraft treten. Weil aber bestimmte Standards noch fehlen, fordern Unternehmen, die Frist nach hinten zu verschieben. Organisationen wie European Digital Rights (EDRi) sehen darin einen großen Fehler, doch die Aufschiebung scheint immer wahrscheinlicher. Von Anna Ströbele Romero – Artikel lesen
Neue irische Datenschutzbeauftragte: Menschenrechtsorganisation reicht Beschwerde bei EU-Kommission ein
Der Streit um die Berufung der ehemaligen Meta-Angestellten Niamh Sweeney zur irischen Datenschutzbeauftragten erreicht Brüssel. Doch auch nach einer formalen Beschwerde des Irish Council for Civil Liberties will die EU-Kommission offenbar nicht in das Verfahren eingreifen. Von Paula Clamor – Artikel lesen
Rasterfahndung: Daten von 153 Millionen Fluggästen landen 2024 beim BKA
Das Bundeskriminalamt hat vergangenes Jahr fast 548 Millionen Fluggastdaten erhalten und gerastert. Das geht aus einer Antwort der Bundesregierung hervor. Mittlerweile landen 90 Prozent aller Passagiere in Deutschland in Datenbanken bei der Polizei. Von Timur Vorkul – Artikel lesen
Transparenzbericht 3. Quartal 2025: Unsere Einnahmen und Ausgaben und verschiedene Hüte
Im dritten Quartal trugen wir quietschrote Bauhelme und besichtigten eine Ruine. Und wir zogen Delegationshüte fürs Pokern auf. Nun hoffen wir, dass wir im nächsten Transparenzbericht „Hut ab!“ rufen können. Dafür braucht es eure Unterstützung. Von netzpolitik.org – Artikel lesen
Umfrage zu Rechenzentren: Die Mehrheit folgt dem Hype nicht
Die Bundesregierung will Deutschland zur „KI-Nation“ machen, die EU verfolgt eine „AI-First“-Mentalität. Eine Umfrage in mehreren europäischen Ländern zeigt nun, dass die Mehrheit der Befragten diesen Hype nicht mitträgt. Ihr bereitet vor allem der wachsende Strom- und Wasserverbrauch Sorge. Und sie wünscht sich eine strengere Regulierung. Von Gastbeitrag, Julian Bothe – Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte sei sicher, versichert die Bundesregierung. Doch ihre Antworten auf eine Kleine Anfrage lassen die Zweifel an diesem Versprechen wachsen. Versicherte sollen der ePA offenbar blind vertrauen – selbst wenn ihre Gesundheitsdaten bei US-Behörden landen könnten.
Sicherheit ist das A und O bei sensiblen Gesundheitsdaten. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Vladislav K.
Die meisten von uns besitzen einen Haustürschlüssel. Und die meisten von uns wissen, wer sonst noch Zugang zu unserer Wohnung hat. Bei den Gesundheitsdaten, die in der elektronischen Patientenakte hinterlegt sind, ist das offenkundig nicht so klar. Das zeigen die Antworten der Bundesregierung auf eine Kleine Anfrage der Bundestagsfraktion „Die Linke“.
Die Abgeordneten haben die Regierung unter anderem gefragt, welche Vorkehrungen verhindern sollen, dass etwa die US-Regierung an sensible Gesundheitsdaten von deutschen Versicherten gelangt. Die Antworten der Bundesregierung sind mitunter missverständlich, in Teilen unvollständig und fehlerhaft.
Nachfragen bei dem zuständigen Gesundheitsministerium, verschiedenen Krankenkassen und der Gematik haben nur wenig Licht ins Dunkel gebracht. Offenkundig sollen die Versicherten weitgehend bedingungslos darauf vertrauen, dass ihre sensiblen Daten in der ePA sicher sind.
Krankenkassen verweigern Auskunft
Anlass der Kleinen Anfrage war eine Aussage des Chefjustiziars von Microsoft Frankreich im Juni dieses Jahres. Er hatte in einer öffentlichen Anhörung vor dem französischen Senat nicht ausschließen können, dass der Tech-Konzern Microsoft auf Anordnung US-amerikanischer Behörden auch Daten europäischer Bürger:innen weitergeben müsse.
Hintergrund ist unter anderem der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Voraussetzungen zur Offenlegung von Daten gegenüber US-Behörden – auch wenn sich diese Daten außerhalb der Vereinigten Staaten befinden.
Die Abgeordneten der Linksfraktion fragten die Bundesregierung, ob sie ein ähnliches Szenario bei den in der ePA hinterlegten Gesundheitsdaten ausschließen könne. Die Regierung erwidert, dass sie nichts über die Verträge zwischen den Betreibern der ePA und den Krankenkassen wisse. Sie kenne daher die Regelungen nicht, mit denen die Daten der Versicherten geschützt würden. Betreiber von ePA-Infrastrukturen sind spezialisierte IT-Dienstleister wie IBM Deutschland und das österreichische Unternehmen RISE.
Wir haben uns bei den drei größten gesetzlichen Krankenkassen in Deutschland erkundigt, welche vertraglichen Vereinbarungen sie mit ihren externen Anbietern getroffen haben. Weder die Techniker Krankenkasse noch die Barmer oder die DAK wollten unsere Frage beantworten. Sie verweisen auf die Gematik, die als Nationale Agentur für Digitale Medizin für die Spezifikationen zur technischen Ausgestaltung der ePA zuständig sei. Der Barmer-Sprecher bittet zudem um Verständnis, dass er sich „aus Wettbewerbsgründen“ nicht weiter zu den Vertragsbedingungen äußern könne.
Es ist also unklar, ob es entsprechende Regelungen zum Schutz der Versichertendaten gibt, von denen die Bundesregierung spricht.
Der Schlüssel liegt bei den Betreibern
Desweiteren verweist die Bundesregierung auf „umfangreiche technische und organisatorische Sicherheitsmaßnahmen“, die zum Schutz der Gesundheitsdaten umgesetzt worden seien. So dürften die in der ePA hinterlegten Daten nur verschlüsselt bei den Betreibern gespeichert werden. Ohne „den Schlüssel der Versicherten“ könnten Unbefugte die Daten nicht lesen, betont die Regierung.
Diese Antwort ist mindestens missverständlich formuliert. Tatsächlich verfügt die ePA derzeit über keine patientenindividuelle Verschlüsselung, bei der jede:r Versicherte die eigene Patientenakte mit einem persönlichen Schlüssel absichert. Ältere Versionen der ePA sahen noch eine Ende-zu-Ende-Verschlüsselung der in der Patientenakte hinterlegten Daten vor; die aktuelle „ePA für alle“ bietet dieses Mehr an Sicherheit allerdings nicht mehr.
Außerdem sind die Schlüssel nicht, wie noch bei früheren ePA-Versionen, auf der elektronischen Gesundheitskarte der Versicherten hinterlegt, sondern sie liegen auf den Servern des ePA-Betreibers. Sogenannte Hardware Security Modules in einer „vertrauenswürdigen Ausführungsumgebung“ würden gewährleisten, dass die Betreiber keinen direkten Zugriff auf diese Schlüssel haben, schreibt das Gesundheitsministerium auf Nachfrage von netzpolitik.org.
„Diese speziell abgesicherten Komponenten sind dafür ausgelegt, kryptografische Schlüssel sicher zu verwalten und sensible Daten vor unbefugtem Zugriff zu schützen“, sagt eine Gematik-Sprecherin auf Anfrage. Ein direkter Zugriff auf die Schlüssel, auch durch die Betreiber der ePA, sei technisch ausgeschlossen. Die Schlüssel werden etwa dann zur Entschlüsselung der Gesundheitsdaten verwendet, wenn die Versicherten ihre elektronische Gesundheitskarte beim Besuch einer Praxis oder einer Apotheke in ein Lesegerät schieben.
Offene Eingangstüren
Zwei Aspekte lassen das Gesundheitsministerium und die Gematik bei ihren Ausführungen jedoch unter den Tisch fallen.
Zum einen ist den Sicherheitsfachleuten des Chaos Computer Clubs Bianca Kastl und Martin Tschirsich in den vergangenen Monaten wiederholtgelungen, die Zugriffskontrolle der ePA zu überwinden.
Bei den von ihnen beschriebenen Angriffsszenarien hilft Verschlüsselung nicht mehr viel. „Es ist vollkommen egal, dass das irgendwie verschlüsselt gespeichert wird, wenn an der Eingangstür ein paar Wissensfaktoren reichen, um jede ePA in Zugriff zu bekommen“, sagt Bianca Kastl, die auch Kolumnistin bei netzpolitik.org ist.
Die von ihr und Tschirsich aufgezeigten Sicherheitslücken bestehen teilweise noch immer fort. Eine „endgültige technische Lösung“ will das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst im kommenden Jahr implementieren.
Trügerische Sicherheit
Zum anderen behauptet die Bundesregierung, dass die bestehenden Sicherheitsvorkehrungen einen „technischen Betreiberausschluss“ gewährleisten, „sodass selbst ein fremdbestimmter Betreiber keinen Zugriff auf die Daten der ePA erlangen würde“.
Hauptbetreiber von elektronischen Patientenakten ist die IBM Deutschland GmbH. Unter anderem die Techniker Krankenkasse, die Barmer Ersatzkasse und die AOK haben das Unternehmen damit beauftragt, die ePA und die dazugehörigen Aktensysteme gemäß der von der Gematik gemachten Spezifikationen umzusetzen. Mehr als zwei Drittel aller digitalen Patientenakten laufen auf IBM-Systemen, aus Sicherheitsgründen seien die Daten „über zahlreiche, geographisch voneinander getrennte Rechenzentrums-Standorte in der IBM Cloud in Deutschland verteilt“, so das Unternehmen.
Dieses Sicherheitsversprechen ist jedoch trügerisch. Denn die IBM Deutschland GmbH ist eine Tochter der US-amerikanischen IBM Corp. – und damit potenziell ein „fremdbestimmter Betreiber“. Gemäß CLOUD Act können US-Behörden IBM dazu zwingen, die Daten von deutschen Versicherten an sie auszuleiten.
Gefahr erkannt, Gefahr gebannt?
Welche Risiken der CLOUD Act birgt, hat etwa das baden-württembergische Innenministerium erkannt. Im Juli räumte es in einer Stellungnahme ein, dass US-Behörden theoretisch auf Daten zugreifen könnten, die in der Verwaltungscloud Delos gespeichert sind. Delos Cloud ist ein Tochterunternehmen von SAP und fußt auf Microsoft Azure und Microsoft 365. Dem Ministerium zufolge könnten US-Behörden den Tech-Konzern anweisen, „einen Datenabfluss in seine Software zu integrieren, ohne dass der Kunde darüber in Kenntnis gesetzt wird.“
Dennoch plant die Bundesregierung nach eigenem Bekunden nicht, die technologische Abhängigkeit von nicht-europäischen ePA-Betreibern zu prüfen – obwohl sie die digitale Patientenakte explizit als eine kritische Infrastruktur einstuft.
Anne Mieke-Bremer, Sprecherin für Digitale Infrastruktur der Fraktion Die Linke im Bundestag, kritisiert diese Weigerung der Regierung. „Statt klare Prüfpflichten festzuschreiben, versteckt sie sich hinter lückenhaften Vorgaben“, so Mieke-Bremer. „Und sie gibt sich damit zufrieden, dass die Verträge zwischen Betreibern und Kassen eine Blackbox bleiben.“
Die ePA wirke „zunehmend wie ein mangelhaftes und fahrlässiges Prestigeprojekt“, das voller Lücken und Risiken ist, sagt Stella Merendino, Sprecherin der Linken für Digitalisierung im Gesundheitswesen. „Was mit unseren sensibelsten Gesundheitsdaten passiert, bleibt dabei im Dunkeln.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte soll das Herzstück der Gesundheitsdigitalisierung sein – ein zentraler Speicher für Diagnosen, Rezepte und Befunde, leicht zugänglich für Versicherte. Ab dem 1. Oktober müssen alle Praxen, Apotheken und Krankenhäuser die digitale Akte nutzen. Doch der ePA-Start stockt gewaltig.
Die elektronische Patientenakte gilt als Herzstück der digitalen Gesundheitsversorgung. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Olivier Collet
Die elektronische Patientenakte (ePA) erreicht einen neuen Meilenstein: Ab dem 1. Oktober sind alle Praxen, Krankenhäuser und Apotheken gesetzlich dazu verpflichtet, die ePA zu nutzen und dort Diagnosen, Behandlungen und Medikationen zu hinterlegen. Wer das nicht tut, muss schon bald mit Sanktionen wie Honorarkürzungen rechnen.
Während der Einführungsphase seit Jahresbeginn war die Nutzung der ePA für alle Leistungserbringer noch freiwillig. Seit Januar haben die Krankenkassen für alle gesetzlich Versicherten, die nicht widersprachen, eine digitale Akte angelegt. Zeitgleich startete in Hamburg, Franken und Teilen Nordrhein-Westfalens die Pilotphase, um die Anwendung zu testen. Ab Ende April wurde die ePA dann schrittweise bundesweit ausgerollt.
Trotz des mehrmonatigen Vorlaufs ist die digitale Patientenakte noch längst nicht im Alltag der medizinischen Versorgung angekommen. Unklar ist nicht nur, wie gut die ePA gegen Cyberangriffe geschützt ist, sondern auch die technische Umsetzung in vielen Praxen und Kliniken stockt. Zudem nutzt bislang nur ein Bruchteil der Versicherten die ePA aktiv, obwohl sie als patientenzentrierte Akte konzipiert ist.
Alles sicher?
Das Bundesgesundheitsministerium (BMG) hält dennoch am Fahrplan fest. Mit Blick auf die Sicherheit verweist das Ministerium auf Anfrage von netzpolitik.org auf das Maßnahmenpaket, das bereits zum Rollout im Mai umgesetzt worden sei. So seien unter anderem Sicherheitslücken geschlossen sowie „Monitoring und Anomalie-Erkennung“ ausgeweitet worden. Gezielte Angriffe auf einzelne Akten seien zwar nie ausgeschlossen, so das Ministerium weiter. „Ein solcher Angriff ist jedoch mehrschichtig und hat eine Vielzahl an Hürden.“ Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das „verbleibende Restrisiko“ auf Nachfrage „nach wie vor als technisch beherrschbar ein“.
Die Sicherheitsforscherin Bianca Kastl zeigt sich hier allerdings deutlich skeptischer. Ihr reichen die bisherigen Maßnahmen nicht aus, um Vertrauen in die Sicherheit der ePA zu haben. Gegenüber netzpolitik.org kritisiert Kastl „intransparente Anpassungen im Hintergrund, keine Aufklärung über Restrisiken, nicht einmal ausreichende Kommunikation innerhalb der Gematik, speziell im Kontext der elektronischen Ersatzbescheinigung“. Diese Ersatzbescheinigung ist dann relevant, wenn Patient:innen ihre elektronische Gesundheitskarte nicht dabei haben oder diese nicht eingelesen werden kann.
Kastl, die bei netzpolitik.org regelmäßig eine Kolumne schreibt, verweist bei den Anpassungen auf ein Angriffsszenario, das sie gemeinsam mit Martin Tschirsich im Dezember vergangenen Jahres demonstriert hatte – nur zwei Wochen vor der Pilotphase. Zum bundesweiten Rollout der ePA wenige Monate darauf hatte der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) zwar versichert, dass die Patientenakte sicher sei. Doch prompt gelang es Kastl und Tschirsich erneut, den erweiterten Schutz der ePA auszuhebeln.
Kastl fordert, dass es „eine unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über gesamten Lebenszyklus der ePA“ geben müsse.
Stockender Start in den Praxen
Darüber hinaus kämpfen viele Arztpraxen mit erheblichen technischen Problemen bei der ePA-Implementierung. Die Bundesvorsitzende des Hausärztinnen- und Hausärzteverbandes, Nicola Buhlinger-Göpfarth, sieht hier vor allem die Anbieter der Praxisverwaltungssysteme (PVS) in der Verantwortung. „Während manche von ihnen ihre Hausaufgaben gemacht haben, funktioniert bei anderen wenig bis nichts“, sagt Buhlinger-Göpfarth gegenüber netzpolitik.org. Ihr Verband vertritt die Interessen von bundesweit mehr als 32.000 Mitgliedern, die in der hausärztlichen Versorgung tätig sind.
Derzeit fehlen in einem Fünftel der Praxen bundesweit die erforderlichen Softwaremodule, sagt auch Sibylle Steiner. Sie gehört dem Vorstand der Kassenärztlichen Bundesvereinigung (KBV) an. Von einigen Anbietern für Praxisverwaltungssysteme wisse man, dass das ePA-Modul im vierten Quartal nachgeliefert werden solle, so Steiner, „von anderen Herstellern haben wir gar keine Rückmeldung“.
In einer Online-Umfrage der KBV gaben drei Viertel der Praxen, welche die digitale Patientenakte bereits nutzen, an, im August technische Probleme gehabt zu haben. Oft sei der Zugriff auf die ePA nicht möglich gewesen oder es konnten keine Dokumente hochgeladen werden. Auf der Vertreterversammlung der KBV Mitte September kritisierte Sibylle Steiner die „vollkommen inakzeptable Performance“ der TI-Betriebsstabilität.
Das BSI widerspricht dieser Darstellung und verweist auf die Zahlen der Gematik. Demnach habe die ePA im August einen Verfügbarkeitswert von 99,95 Prozent erreicht und damit eine Rate „im angestrebten Bereich“ erzielt. Das BSI verlangt für kritische Infrastrukturen Werte zwischen 99 bis 99,9 Prozent. Und auf Anfrage von netzpolitik.org schreibt die Gematik, dass eine ePA-Störung in der Regel nicht alle Versicherten und Einrichtungen gleichermaßen treffe. Vielmehr seien meist einzelne Komponenten gestört, die im Zusammenspiel mit der ePA wirken.
Krankenhäuser noch weiter abgeschlagen
Noch verfahrener ist die Lage offenbar in den Krankenhäusern. Die Deutsche Krankenhausgesellschaft (DKG) geht auf Anfrage von netzpolitik.org davon aus, dass „ein Großteil der Krankenhäuser zum 1. Oktober technisch noch nicht in der Lage sein wird, die ePA vollumfänglich zu nutzen“.
Nur gut ein Fünftel aller Kliniken hat laut einer Umfrage von Mitte August die ePA-Inbetriebnahme abgeschlossen oder plant dies bis zum Jahresende zu tun. Die Mehrheit von ihnen erwartet frühestens im ersten Quartal 2026 einen flächendeckenden Einsatz.
Als Gründe nennt die DKG die „hohe Komplexität der Inbetriebnahme“ sowie unausgereifte ePA-Module der IT-Hersteller. Krankenhausinformationssysteme (KIS) seien komplexer als etwa Systeme, die in kleineren Praxen eingesetzt werden, die Bereitstellung der Dokumente sei arbeitsaufwändig.
KIS führen unterschiedliche Funktionalitäten zusammen. Mit ihnen lassen sich Patient:innendaten verwalten, medizinische und pflegerische Prozesse dokumentieren und steuern sowie die Zusammenarbeit zwischen verschiedenen Fachabteilungen koordinieren.
Welche Sanktionen drohen?
Es ist unklar, wann Praxen und Krankenhäuser genau mit Sanktionen rechnen müssen, wenn sie nicht rechtzeitig über das ePA-Modul verfügen.
Grundsätzlich müssen Praxen ab dem vierten Quartal schrittweise Sanktionen befürchten, Krankenhäuser ab dem 1. März 2026. Dazu zählen Kürzungen beim gesetzlichen Krankenkassen-Honorar von einem Prozent und Einschnitte bei der TI-Pauschale. Allerdings können die zuständigen Kassenärztlichen Vereinigungen (KV) bei der Reduzierung der TI-Pauschale eine dreimonatige Übergangsphase gewähren.
Die TI-Pauschale ist ein monatlicher Zuschuss, mit dem die Kosten für Anschluss, Ausstattung und Betrieb der Telematikinfrastruktur (TI) gedeckt werden sollen. Die Höhe der Pauschale richtet sich nach der Praxisgröße.
Ab kommendem Jahr droht dann sogar ein kompletter Abrechnungsausschluss, wenn Arztpraxen und andere Leistungserbringer eine Praxissoftware ohne zertifiziertes ePA-Modul nutzen. Sie könnten dann keine Abrechnungen mit den gesetzlichen Krankenkassen mehr einreichen oder bewilligt bekommen.
Sibylle Steiner vom KBV findet es „vollkommen inakzeptabel“, wenn die Praxen etwa für die Versäumnisse der Hersteller büßen. Die Kassenärztliche Vereinigung Nordrhein teilte uns auf Anfrage mit sie prüfe, Kürzungen auszusetzen, wenn „technische Probleme der Praxisverwaltungssysteme einen Einsatz des ePa-Moduls verhindern“. Die Details dazu würden derzeit noch erarbeitet. Die KV Nordrhein vertritt die Interessen von rund 24.000 niedergelassenen Vertragsärzten und -psychotherapeuten im Landesteil Nordrhein von Nordrhein-Westfalen.
Verwaiste Akten
Während viele Praxen noch darauf warten, die ePA einsetzen zu können, nutzt die überwiegende Mehrheit der Versicherten ihre Akte nicht aktiv.
Rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten haben inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch um auf die Patientenakte und die darin enthaltenen Dokumente zugreifen zu können, benötigen sie eine App, die in der Regel von den Krankenkassen bereitgestellt wird. Eine solche Applikation verwenden aktiv derzeit aber gerade einmal drei Prozent der Versicherten.
Dabei soll die ePA laut Sozialgesetzbuch „eine versichertengeführte elektronische Akte“ sein. Sie ist also so konzipiert, dass die Versicherten sie aktiv verwalten. Dass man derzeit meilenweit von diesem Ziel entfernt ist, weiß auch das Bundesgesundheitsministerium.
Ein Ministeriumssprecher äußert auf Anfrage von netzpolitik.org die Hoffnung, dass mit der Nutzungspflicht und Weiterentwicklung der ePA auch die Zahl aktiver Nutzer:innen zunehme. So soll etwa im Jahr 2027 die Funktion „Push-Benachrichtigung für Versicherte“ umgesetzt werden. „Aber auch ohne eine aktive Nutzung der App wird die ePA zu einer verbesserten Gesundheitsversorgung beitragen“, so der Sprecher.
ePA ohne Patient:innenkontrolle
Lucas Auer, Referent für Digitalisierung im Gesundheitswesen beim Verbraucherzentrale Bundesverband, kritisiert, dass die ePA den Versicherten bislang nur wenig Mehrwert biete und auch deshalb das Interesse an ihr gering sei.
„Dafür braucht es jenseits der reinen Befüllung mit Daten seitens der Leistungserbringer Funktionen wie einen digitalen Impfpass, Zahnbonusheft oder Mutterpass“, sagt Auer. „Solche verbraucherorientierten Funktionen sollten im Zentrum des Weiterentwicklungsprozesses stehen, doch derzeit gibt es noch nicht mal einen verbindlichen Zeitplan dafür.“
Nicola Buhlinger-Göpfarth vom Hausärztinnen- und Hausärzteverband macht auch die Krankenkassen für das Desinteresse der Versicherten verantwortlich. „Die allermeisten Patientinnen und Patienten sind bis heute überhaupt nicht über die ePA informiert worden“, so Buhlinger-Göpfarth. Das sei eigentlich Aufgabe der Kassen, die hätten „aber weitestgehend die Hände in den Schoß gelegt“.
Auf die Folgen dieser Versäumnisse weist Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, hin. „Viele Menschen wissen überhaupt noch nicht, dass es da jetzt eine ePA im Hintergrund gibt, aus der sich viele sensible Informationen lesen lassen.“ Standardmäßig sind in der Patientenakte alle medizinischen Informationen für behandelnde Einrichtungen sichtbar.
Wer den Zugriff auf die eigenen Gesundheitsdaten einschränken möchte, hat es schwer: „Sensible Diagnosen gehen nicht nur aus eingestellten Dokumenten hervor, sondern auch aus der Medikationsliste und den Abrechnungsdaten, die beide automatisiert in die ePA fließen“, sagt Hofmann. Versicherte müssten daher immer auf mehrere Teilbereiche achten, wenn sie einzelne Diagnosen verbergen möchten.
Zurück auf Los?
Eine feingranulare Zugriffssteuerung sah die frühere ePA-Version 2.0 noch vor. Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, schränkte die Optionen beim Berechtigungsmanagement jedoch deutlich ein.
Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen ausgesetzt sind. Sie sollten ins Zentrum der Weiterentwicklung der ePA gestellt werden, fordert Manuel Hofmann. „Diskriminierung darf nicht weiterhin als verschmerzbare Nebenwirkung für eine vermeintlich ‚kleine Gruppe‘ in Kauf genommen werden.“
Bianca Kastl, die auch Vorsitzende vom Innovationsverbund Öffentliche Gesundheit e. V. ist, geht noch einen Schritt weiter. „Die Digitalisierung des Gesundheitswesens ist sehr stark getrieben von der Selbstverwaltung und Interessen von Krankenkassen und Industrie, weniger von den Interessen der Patient:innen“, sagt Kastl. Eine ePA, die die Souveränität der Versicherten stärkt, „müsste in einem Rahmen entstehen, der nicht von diesen Stakeholdern geprägt wird“.
Das klingt so, als müsste man zurück auf Los und ganz von vorne beginnen, um den selbst gesetzten Anspruch einer „versichertengeführten elektronischen Akte“ gerecht zu werden. Andernfalls bliebe die ePA vor allem eines: ein nicht eingelöstes Versprechen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die „ePA für alle“ wird nun für Praxen und Co. verpflichtend, trotz fortbestehender Sicherheitsbedenken und anhaltender technischer Probleme. Die Misere ist hausgemacht und geht zulasten der Versicherten. Ein Kommentar.
Einst galt das Versprechen, die ePA werde eine patientengeführte Akte sein. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Maran Bashir
Als „größtes Digitalisierungsprojekt“ der bundesdeutschen Geschichte hatte Karl Lauterbach (SPD) sein Herzensprojekt beworben. Die elektronische Patientenakte (ePA) werde den Versicherten viele Vorteile bringen, versprach der ehemalige Bundesgesundheitsminister.
Inzwischen ist klar: Die ePA ist ein weiterer großer Fehlstart in der deutschen Digitalisierungsgeschichte. Es krankt bei der Sicherheit, die technische Implementierung in den Praxen und Krankenhäusern verläuft schleppend und nur ein Bruchteil der Versicherten nutzt die Patientenakte aktiv.
Die Misere kommt wenig überraschend – und sie ist hausgemacht. Von Anfang an stand bei der ePA Schnelligkeit statt Gründlichkeit im Mittelpunkt. Die Sicherheit geriet zur Nebensache, Datenschutz und Datensicherheit sollten beim Heben des „Datenschatzes“ nicht im Wege stehen. Das Nachsehen haben die Versicherten: Sie verlieren zunehmend die Kontrolle über ihre eigenen Gesundheitsdaten.
Politische Verantwortung? Fehlanzeige.
Das überstürzte Tempo gab der ehemalige Bundesgesundheitsminister Lauterbach vor. Offenkundig wollte er die ePA um jeden Preis in seiner Amtszeit einführen.
Obwohl Gesundheitsdaten zu den besonders sensiblen Daten zählen, wurden begründete Sicherheitsbedenken offenbar mehrfach nicht ernst genug genommen. Bereits vor der Pilotphase zeigten Sicherheitsforschende des Chaos Computer Clubs, dass die ePA löchrig war wie ein Schweizer Käse. Lauterbach versprach daraufhin einen bundesweiten Start „ohne Restrisiko“. Doch pünktlich zum Rollout im Mai wiederholte sich das Spiel.
Statt Verantwortung für dieses Desaster zu übernehmen, tauchte der Minister ab. Und die Gematik, die für die technische Umsetzung der ePA zuständig ist, verharmlost die Risiken bis heute: Die Angriffsszenarien seien theoretischer Natur und hundertprozentige Sicherheit gebe es ohnehin nicht. Mit dieser Strategie kann es kein Vertrauen geben.
Vielerorts herrscht Chaos
Der immense Zeitdruck stellt auch die Praxen vor hohe Hürden. Wie schon bei der Einführung des E-Rezepts häuften sich in den vergangenen Monaten die Stör- und Ausfälle. Selbst die amtierende Bundesgesundheitsministerin Nina Warken (CDU) räumt ein, dass es mehr Stabilität brauche, „keine Frage“.
Weil unter anderem Software-Updates fehlen, kann ein Fünftel der Arztpraxen noch nicht mit der ePA arbeiten. Bei den Krankenhäusern ist es noch dramatischer: Nur ein Fünftel von ihnen wird die ePA wohl bis zum Jahresende einsetzen können. Sie fordern mehr Zeit für die anstehende „Herkulesaufgabe“.
Ein längerer Vorlauf und eine bessere Kommunikation der Verantwortlichen untereinander hätten dieses Chaos verhindern können. Nina Warken lässt sich indes nicht beirren, sie setzt den Kurs ihres Amtsvorgängers fort.
Widerspruchsmöglichkeiten wurden ausgehebelt
Und die Versicherten? 70 Millionen Menschen haben nun eine ePA. Doch gerade einmal drei Prozent von ihnen nutzen sie aktiv. Für die übergroße Mehrheit ist sie kein Thema. Damit ist die ePA meilenweit davon entfernt, eine versichertengeführte Akte zu sein.
Zumal die Kontrollmöglichkeiten der Versicherten zunehmend eingeschränkt wurden – ungeachtet der massiven Kritik von Patient:innenverbänden, Verbraucher- und Datenschützer:innen. Sämtliche Informationen, die in der ePA hinterlegt sind, können alle Behandelnden nun standardmäßig einsehen: von der Psychotherapeutin und dem Physiotherapeuten, vom Hausarzt über die Zahnärztin bis zum Kleinstadtapotheker.
Wer den Zugriff für bestimmte Behandelnde einschränken möchte, braucht sehr viel Geduld und darf keine Einstellung übersehen. Denn auch die Medikationsliste und die Abrechnungsdaten fließen automatisiert in die ePA und geben Sensibles preis.
Für die Wirtschaft, nicht für die Patient:innen
Damit zeigt sich immer deutlicher, wozu die ePA künftig vor allem dienen soll: als Datensilo für die Pharma-Forschung und -Industrie.
In der EU laufen derweil die Vorbereitungen für den Europäischen Gesundheitsdatenraum (EHDS). Hier sollen in den kommenden Jahren die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen gesammelt und grenzüberschreitend ausgetauscht werden. Auch die Daten aus der ePA sollen dort hinein fließen.
Den Bürger:innen verspricht die EU-Kommission strengen Datenschutz, Datensicherheit und Kontrolle über die eigenen Gesundheitsdaten. Die zugrundeliegende Verordnung sieht jedoch etliche Ausnahmen bei deren Widerspruchsmöglichkeiten vor. Kritiker:innen warnen schon jetzt, dass der EHDS vor allem ein Datenraum für die Wirtschaft sein werde, nicht aber für die Patient:innen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Nach dem Attentat auf den rechtsradikalen Influencer Charlie Kirk gerät in den Medien einiges durcheinander und aus dem Blick. Wir haben mit der Autorin Berit Glanz über Online-Kultur und Offline-Gewalt, kryptische Memes und Nihilismus gesprochen.
Ein FBI-Agent untersucht den Tatort auf dem Campus der Utah Valley University. – Alle Rechte vorbehalten IMAGO / UPI Photo
Am vergangenen Mittwoch wurde der rechtsradikale Influencer Charlie Kirk erschossen. Obwohl er sich immer wieder klar antisemitisch, rassistisch und LGBTQI+-feindlich geäußert hatte, erklärten ihn einige etablierte Medien posthum zum Kämpfer der Redefreiheit. „Kirk hat Politik auf genau die richtige Weise praktiziert“, schrieb etwa Ezra Klein in der New York Times. „Er tauchte an Universitäten auf und sprach mit jedem, der mit ihm reden wollte.“
In Deutschland kam es zu ähnlichen Trauerbekundungen. Manuel Ostermann, stellvertretender Vorsitzender der Deutschen Polizeigewerkschaft, lobte Kirks „Einsatz für Meinungsfreiheit, Demokratie und Menschlichkeit“. Und die CDU-Bundestagsabgeordnete Caroline Bosbach beschrieb Kirk auf Instagram als „Kämpfer für westliche Werte“, mit ihm sterbe „eine der einflussreichsten jungen konservativen Stimmen weltweit“. Den Post hat die Politikerin nach vielfacher Kritik inzwischen gelöscht.
Bereits unmittelbar nach der Tat hatte US-Präsident Donald Trump die „radikale Linke“ für den Tod seines Unterstützers Kirk verantwortlich gemacht und landesweit Trauerbeflaggung angeordnet. Elon Musk schrieb auf X: „The Left is the party of murder.“ Etliche weitere Stimmen sahen in dem Anschlag einen Aufruf „der Linken“ zum Bürgerkrieg.
Seit Donnerstagabend sitzt der 22-jährige Tatverdächtige Tyler R. in Untersuchungshaft. Er stammt aus dem Bundesstaat Utah und gehört offenbar einer Familie von Trump-Anhänger:innen an. Ehemalige Mitschüler:innen beschreiben ihn als zurückhaltend und online sehr aktiv.
Wir haben mit Berit Glanz über den Fall und seine mediale Deutung gesprochen. Sie ist Schriftstellerin und Essayistin, lebt in Island und veröffentlicht regelmäßig den Newsletter Phoneurie, in dem es um die „allgegenwärtige Verzahnung von virtuellem und realem Raum“ geht.
Berit Glanz - Alle Rechte vorbehalten Cat Gundry-Beck
Medien und Missverständnisse
netzpolitik.org: Nach dem Attentat auf Charlie Kirk veröffentlichten mehrere etablierte Medien Nachrufe, die den rechtsradikalen Influencer als eine Art Märtyrer der Redefreiheit darstellen. Wie kommt es dazu?
Berit Glanz: Ich glaube, dass Kirk eine Projektionsfläche ist. Es geht überhaupt nicht darum, was er gesagt hat, wer er als Person ist und was seine Geschichte im Internet ist. Sondern es geht einfach nur darum, wie man diesen Mord für eigene politische Ziele stilisieren kann.
Etwas Ähnliches passierte nach der mutmaßlichen Tat von Luigi Mangione, …
netzpolitik.org: … der im vergangenen Dezember Brian Thompson erschossen haben soll, den damaligen CEO von UnitedHealthcare.
Berit Glanz: Auch dieser Mord wurde umgehend dazu verwendet, um eine bestimmte politische Agenda zu pushen. Und zwar von vielen Seiten.
Das Gleiche ist jetzt bei Kirk passiert. Rechte nutzen das Attentat, um eine Machtposition im Diskurs zu gewinnen. Sie behaupten dann etwa, dass ihre Positionen so gefährlich seien, dass sie dafür ermordet würden. Im aktuellen Fall und bei Luigi Mangione sehen wir also einen sehr unehrlichen Diskurs, in dem die Gewalttat so genutzt wird, dass sie dem jeweiligen Milieu den maximalen politischen Nutzen bringt.
netzpolitik.org: Erkennen Sie auch Parallelen, wenn Sie die Debatte in den sozialen Medien verfolgen?
Berit Glanz: Im Internet wird die Debatte teilweise besser geführt. Dort gibt es eine größere Kompetenz bei der Einordnung von Personen und es werden sehr viel mehr Originalquellen verlinkt. So können alle gut nachverfolgen, wie bestimmte Behauptungen zustandekommen.
Ich habe außerdem den Eindruck, dass es auf Reddit und Blue Sky, teilweise sogar auf Twitter eine größere Kenntnis darüber gibt, wer die Person Charlie Kirk gewesen ist. Besonders auffällig war das auf TikTok. Dort wurden sehr viel Clips von Charlie Kirk geteilt, also O-Töne von ihm als rechten Influencer. Wer sich die Aufnahmen anschaut, erkennt schnell, dass vor wenigen Tagen kein friedlicher Debattierer ermordet wurde. Sondern dass Kirk eine massiv toxische Person war, die eine überaus gefährliche Rolle im öffentlichen Diskurs gespielt hat.
netzpolitik.org: Kirk war auch eine öffentliche Person. Man kennt seine Aussagen. Das unterscheidet ihn auch von Luigi Mangione, oder?
Berit Glanz: Ja, und zugleich kannten viele Leute seine Aussagen offenkundig nicht. Das finde ich so faszinierend: Da ist ein Mensch gestorben, der vielen Leuten, die sich aktiv im Internet aufhalten, klar ein Begriff ist. Andere wiederum hörten seinen Namen das erste Mal und mussten ihre 15-jährigen Kinder fragen, wer das ist.
Dabei hat Charlie Kirk eine wichtige Rolle dabei gespielt, dass Donald Trump die US-Präsidentschaftswahl gewonnen hat. Und dennoch ist er einer bestimmten Generation, die sich nicht auf diesen Plattformen aufhält, schlichtweg unbekannt.
Es gibt also offenkundig eine große Informationslücke über Influencer, die einen Diskurs bestimmen, die radikalisieren und die eine aufpeitschende Wirkung haben.
Memes als Botschaften
netzpolitik.org: Im Laufe der vergangenen Tage taten sich dann weitere Informationslücken auf. Nämlich als bekannt wurde, dass auf den Patronen, die der Attentäter verwendete, kryptisch anmutende Sätze eingestanzt waren. Haben diese Botschaften Sie überrascht?
Berit Glanz: Beschrifteten Patronen zählen fast schon zum Standard bei solchen Gewalttaten. Die Patronen, mit denen der CEO Thompson getötet wurde, trugen die Worte „deny“, „defend“ und „depose“, wahrscheinlich ein Verweis auf die Geschäftspraktiken von US-Versicherungen. Dieses Mal waren es die Sätze wie „Hey fascist! Catch!“, „Oh bella ciao bella ciao bella ciao ciao ciao“ und „If you read this, you are gay lmao“.
Es bereitet den Tätern wohl eine Freude, wenn alle versuchen, in diese Botschaften etwas hinein zu interpretieren. Dieser hermeneutische Akt wird dann selbst zu einem essenziellen Teil ihrer Gewalttaten.
Bei Kirks Ermordung waren die Sprüche bekannt, bevor der Name des Verdächtigen kursierte. Prompt wurden die Botschaften als angeblich transideologisch identifiziert und der Täter einem bestimmten Milieu zugeordnet. Auch das war Teil der politischen Instrumentalisierung. Sind solche Vermutungen erst einmal in den Timelines und in der Welt, kriegt man sie nur noch sehr schwer wieder eingefangen.
netzpolitik.org: Warum nutzen Attentäter eine so große Bühne und greifen dann auf derart kryptische Botschaften zurück, die fast unweigerlich für Missverständnisse sorgen?
Berit Glanz: Es wäre naheliegend und würde die Dinge auch sehr vereinfachen, wenn es ein klassisches Bekenntnisschreiben gäbe, das eine klare Ideologie ausformuliert. Aber das Internet funktioniert so halt nicht.
Der Mord an Kirk entstammt einer Trollkultur. Und da geht es immer auch darum, sich über die Ratlosigkeit anderer lustig zu machen. Es gibt einen Wissensvorsprung, bestimmte Eingeweihte können die Botschaften leicht dechiffrieren und daraus entsteht dann ein eigener Trollhumor. Bei allen anderen herrscht massive Verwirrung oder sie verirren sich in vorschnelle, aber falsche Annahmen.
netzpolitik.org: Ist die tödliche Gewalt dann ebenfalls Teil der Trollerei?
Berit Glanz: Wir sprechen seit mehr als zehn Jahren – also mindestens seit Gamergate – darüber, dass Minderheiten im Internet Trollkultur als Gewalt erleben. Dafür sind die Betroffenen eine Dekade lang belächelt worden. Das sei Hysterie oder sie seien zu empfindlich, war meist die Antwort.
Und dann bricht sich diese Gewalt ihren Weg in die Realität. Und es zeigt sich: Das ist eine reale Gewalt – im Internet und in der analogen Welt. Das jetzt Menschen sterben, zeigt jenen Menschen, die diese Gewalt lange ignoriert oder als irrelevant abgetan haben, dass diese da ist und mitunter tödliche Auswirkungen hat. Und diese Entwicklung wird sich mit dem Zusammengehen von Online und Offline, das wir seit einigen Jahren beobachten können, weiter verschärfen.
Schon jetzt gibt es keine klare Grenze mehr zwischen Online und Offline. Und die Gewalt, die es im Internet bereits seit Jahren gegeben hat, bahnt sich vermehrt ihren Weg in die Offline-Welt.
Und dass Memes in gewaltvollen Konflikten eine zentrale Rolle spielen, sehen wir nicht nur bei solchen Attentaten. Sondern das gibt es auch als Strategie im russischen Angriffskrieg auf die Ukraine. Das ist ebenfalls ein Memewar – ein Krieg der Memes –, in dem beide Seiten Formen der Internetkommunikation einsetzen und damit versuchen, die öffentliche Meinung zu beeinflussen.
netzpolitik.org: Wie erklären Sie sich, dass das in den etablierten Medien noch immer so eine geringe Rolle spielt? Ist das ein Generationenproblem?
Berit Glanz: Es ist natürlich naheliegend, darin ein Altersproblem zu sehen. Das ist es aber nicht unbedingt. Was es vor allem braucht, ist eine Anerkennung von Gewalt und spezifischen Kommunikationsstrukturen im Internet. Und die sind nicht auf den Computer beschränkt oder auf ein paar merkwürdige Leute, die ihre Handys viel nutzen. Sondern das ist etwas, was in unser aller Welt hineinfließt und diese verändert.
Und das Bewusstsein dafür, dass es da etwas gibt, was man eventuell nicht versteht, muss jetzt entstehen. Vor allem Menschen in institutionellen Machtpositionen sollten zur Kenntnis nehmen, dass sie dieses Wissen erwerben müssen.
netzpolitik.org: In der öffentlichen Debatte sprechen wir viel über Social-Media- oder Gaming-Sucht und über Alterskontrollen und Handyverbote. Diskutieren wir also an entscheidenden Themen vorbei?
Berit Glanz: Ja, und zwar auf zwei Ebenen. Der Diskurs ist zum einen oftmals sehr alarmistisch. Und zum anderen ignoriert er, warum wir eigentlich im Internet sind.
Die meisten Menschen verbringen sehr viel Zeit im Netz und das hat Gründe. Weil es halt Spaß macht, weil wir da in sozialen Austausch gehen, weil wir dort einer besonderen Form von Humor begegnen. Das wird alles komplett ausgeblendet.
Und gleichzeitig gibt es die dunkle Seite von Radikalisierung durch Internetkultur, besonders bei Memes mit ihren mehrdeutigen Anspielungen. Diese Entwicklung wird in öffentlichen Debatten häufig nicht angeschaut. Stattdessen geht es sehr viel um Regulierung und ob man Teenagern das Handy verbieten soll. Ich glaube nicht, dass dieser Ansatz etwas bringt.
Rechtsradikaler Nihilismus
netzpolitik.org: Es scheint sich abzuzeichnen, dass der mutmaßliche Attentäter von Charlie Kirk der rechtsradikalen Szene entstammt. Ein Motiv für den Mord könnte demnach in den Groyper Wars liegen. Was hat es damit auf sich?
Berit Glanz: Die Rechte im Internet ist fragmentiert. Es gibt unterschiedliche Fraktionen, die sich seit Jahren bekriegen. Zu den Streitfragen zählen etwa der Umgang mit Israel, mit Antisemitismus oder bestimmte Vorstellungen von ideologischer Reinheit.
Zwei Fraktionen in der US-amerikanischen Rechten sind hier besonders einflussreich. Die eine scharrt sich um den rechten Influencer Nick Fuentes, die andere um Charlie Kirk. Daher haben viele, die sich gut im Internet auskennen, nach dem Attentat auch umgehend eine Verbindung zu diesem Konflikt gezogen. [Anm. d. Red.: Sogenannten Groypern sind Kirk oder Trump nicht rechtsextrem genug.]
Das größere gesellschaftliche Problem sind aber die Gemeinschaften junger Männer im Internet, die sich antisozial gebärden. Das können Fan-Communitys sein, teilweise sind das auch Gaming-Subkulturen. Dieses Problem bekommt man nicht in den Griff, wenn man jetzt nur auf die Groyper Wars blickt. Stattdessen müssen wir untersuchen, in welche Radikalisierungskanäle junge Männer gelangen. Dazu gehören Incel-Culture und Andrew Tate, aber auch bestimmte Formen von Sport- und Körperkult, die etwa auf TikTok oft ein Einstieg sind in rechtes und maskulinistisches Denken.
Diese Foren müssen wir uns gründlich anschauen. Und wir müssen darüber nachdenken, wie wir als Gesellschaft damit umgehen. Das ist für mich die eigentliche Antwort, die wir auf den Mord an Charlie Kirk geben sollten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In Brüssel wird derzeit ausgehandelt, wie die europäische digitale Brieftasche künftig funktioniert. Entsprechende Vorlagen der EU-Kommission hat die Zivilgesellschaft wiederholt scharf kritisiert. 15 Organisationen fordern die Kommission nun dazu auf, die rechtlichen Vorgaben einzuhalten und den Verbraucher:innenschutz zu stärken.
Ein Schlupfloch unterhöhlt das Vertrauen in die Gesamtstatik. – Gemeinfrei-ähnlich freigegeben durch unsplash.com James Fitzgerald
Bei der Umsetzung von Projekten steckt der Teufel meist im Detail. Diese Erfahrung muss derzeit auch die europäische digitale Brieftasche machen.
Aktuell werden in Brüssel die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet) verhandelt. Mit solchen EUDI-Wallets sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können, zudem lassen sich darin Identitätsdaten und amtliche Dokumente speichern und verwalten. Sensibler geht es also kaum.
Ein Bündnis aus 15 zivilgesellschaftlichen Organisationen warnt nun in einem offenen Brief vor den jüngsten Plänen der EU-Kommission. Diese würden es Unternehmen ermöglichen, mehr Daten aus den Wallets der Bürger:innen abzufragen, als es laut Gesetz erlaubt ist. Das Bündnis fordert die Kommission dazu auf, diese „Schlupflöcher“ zu schließen.
Zu den Organisationen, die den offenen Brief unterzeichnet haben, gehören unter anderem European Digital Rights (EDRi), die Electronic Frontier Foundation, Homo Digitalis, Digitalcourage und die Österreichische Bundesarbeitskammer.
Bevor die Wallet wie geplant im Herbst 2026 starten kann, muss die EU-Kommission noch eine Reihe sogenannter Durchführungsrechtsakte erlassen. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.
Eine ähnliche Kritik entzündet sich auch an der zweiten Charge der Rechtsakte. Anfang Dezember vergangenen Jahres bemängelte epicenter.works unter anderem den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen. Aus Sicht der Bürgerrechtsorganisation droht die Kommission damit „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen.
Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll gewährleisten, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen.
Die Zertifikate sollen dies technisch sicherstellen: Vereinfacht formuliert dienen sie als eine Art Datenausweis, mit dem sich die relying parties gegenüber den Wallets der Nutzer:innen legitimieren und zudem die Abfragekategorien beschränken. Eine Anmeldung über die EUDI-Wallet bei einem sozialen Netzwerk soll dann beispielsweise ausschließen, dass dabei Gesundheitsdaten abgefragt werden.
Nutzende sollten die alleinige Kontrolle haben
An die Kritik aus dem vergangenen Dezember knüpfen die 15 Organisationen an, die den offenen Brief unterzeichnet haben.
Sie kritisieren, dass der von der Kommission vorgelegte Entwurf eine verbindliche Regelung verhindere, weil er es den EU-Ländern überlässt, Registrierungszertifikate zur Pflicht zu machen. Das gehe zulasten der Verbraucher:innen. Denn die Nutzenden müssten dann im Einzelfall entscheiden, ob sie mit einer bestimmten vertrauenswürdigen Partei interagieren oder nicht. Damit würden sie jedoch „anfällig für illegale und möglicherweise betrügerische Anfragen nach ihren Daten“, so der offene Brief.
Darüber hinaus untergrabe die Kommission mit ihrem Entwurf den Europäischen Binnenmarkt sowie das mit der eIDAS-Verordnung angestrebte Vertrauensniveau, das in allen EU-Staaten gleich sein soll.
Die Organisationen fordern die Kommission dazu auf, einen neuen Entwurf für den Durchführungsrechtsakt vorzulegen, der alle vertrauenswürdigen Parteien ausnahmslos dazu verpflichtet, Registrierungszertifikate auszustellen. „Wir sind überzeugt, dass die Aufrechterhaltung des Vertrauens in das eIDAS-Ökosystem enorm wichtig ist“, so die Organisationen.“Nur die Nutzenden sollten die alleinige Kontrolle über ihre Daten haben sowie über die Art und Weise, wie sie die EUDI-Wallet verwenden.“
Der offene Brief im Wortlaut
Dear Executive Vice-President Henna Virkkunen, Director-General Roberto Viola, Acting Director Christiane Kirketerp de Viron,
The undersigned consumer protection and human rights organizations want to thank the Commission for the important work on the eIDAS implementing acts. We welcome the recent adoption for the first batch of implementing acts regarding the provisions in Article 5a of the eIDAS regulation and acknowledge the positive changes to the text which significantly improved the privacy and human rights safeguards of the European Digital Identity Wallet.
The aim of the present letter, however, is to draw your attention to risks we identified in the recently proposed second batch of implementing acts. These concern in particular Article 5b of eIDAS. We are of the opinion that upholding trust in the eIDAS ecosystem is of utmost importance and that only the users are in sole control over their data and the way they use the European Digital Identity Wallet. The eIDAS regulation obliges relying parties to register their intended use of the Wallet and prohibits them from asking information going beyond that registration. (See Article 5b paragraph 1 and 3 of Regulation (EU) 2024/1183.) Protecting users from such illegal requests for information (‘over-asking’) requires providing them with the information if a particular request adheres to the registration of that relying party. This is done via relying party registration certificates.
While these certificates are an essential precondition for the enforcement of the eIDAS regulation, the informed user’s choice and trust into the system, the draft implementing act proposes that Member States can choose not to issue such certificates at all. All European Digital Identity Wallets would be unable to protect their users from over-asking, if the Member State where the relying party is registered has not issued these certificates.
This leaves users vulnerable to illegal and potentially fraudulent requests for their information and puts undue burden on them. In the absence of such certificates a cautions user would have to choose not to interact with relying parties from such EU countries. Thereby, the Commission’s draft would undermine the single market and prevent the harmonized trust level eIDAS aims to achieve.
Furthermore, eIDAS requires Member States to issue a public machine-readable interface to obtain all registered relying parties with the complete information they have provided. The draft implementing acts lack a harmonized specification to access such interfaces, rendering them meaningless for any public watchdog wishing to gain transparency about the eIDAS ecosystem.
To conclude, for the upcoming comitology meeting,3 the undersigned organizations ask you to propose a text that mandates the issuance of relying party registration certificates for all relying parties and to issue a harmonized specification to access the relying party registry of each Member State.
Sincerely,
epicenter.works – for digital rights (Austria)
European Digital Rights (Europe)
Chamber for Workers and Employees (Austria)
D3 – Defesa dos Direitos Digitais (Portugal)
Homo Digitalis (Greece)
IT-Political Association of Denmark (Denmark)
Digital Courage (Germany)
Stichting Vrijschrift (the Netherlands)
Digitale Gesellschaft Switzerland (Switzerland)
Citizen D (Slovenia)
SHARE Foundation (Serbia)
EFN – Electronic Frontier Norway (Norway)
EFF – Electronic Frontier Foundation (International)
ApTI – Asociația pentru Tehnologie și Internet (Romania)
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Unmittelbar vor der Pilotphase der elektronischen Patientenakte richten sich knapp 30 zivilgesellschaftliche Organisationen in einem offenen Brief an den Gesundheitsminister. Sie fordern, alle berechtigten Sicherheitsbedenken „glaubhaft und nachprüfbar“ auszuräumen und machen Lauterbach ein Gesprächsangebot.
Fünf Schritte braucht es aus Sicht der Unterzeichner des offenen Briefs. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Diana Polekhina / netzpolitik.org
Der Bundesgesundheitsminister wirbt derzeit verstärkt um Vertrauen: Die „elektronische Patientenakte für alle“ (ePA) sei sicher, versichert Karl Lauterbach (SPD) kurz vor Start der Pilotphase der ePA am 15. Januar. Das digitale Großprojekt werde „nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte“.
Ende Dezember hatten zwei Sicherheitsforschende auf dem Chaos Communication Congress gleich mehrere Sicherheitslücken der ePA vorgestellt. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.
Knapp drei Wochen später ist Karl Lauterbach davon überzeugt, dass alle für die Pilotphase relevanten Baustellen geschlossen sind. Bis zum bundesweiten Rollout gebe es nur noch technische „Kleinigkeiten“ zu lösen, so der Minister vor wenigen Tagen bei einem Pressetermin.
Forderung nach Sicherheitsgarantien
Diese Zusage reicht knapp 30 Organisationen und Verbänden offenkundig nicht aus. In einem offenen Brief formulieren sie fünf notwendige Maßnahmen, die gewährleisten, dass „die ePA langfristig zu einem Erfolg werden kann“. Zu den Unterzeichnern gehören unter anderem der Chaos Computer Club, der Deutsche Paritätische Wohlfahrtsverband, der Verbraucherzentrale Bundesverband, der Innovationsverbund Öffentliche Gesundheit (InÖG), der Deutsche Rheuma-Liga Bundesverband und die Deutsche Aidshilfe.
Sie fordern, dass vor einem bundesweiten Start der ePA „alle berechtigten Bedenken … glaubhaft und nachprüfbar ausgeräumt werden“. Dafür müssten Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft „substanziell“ einbezogen werden. Erst nach „einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen“ dürfe der bundesweite ePA-Start erfolgen, so die Unterzeichner.
Über die Testphase hinaus sollten Expert*innen aus Wissenschaft und Zivilgesellschaft unabhängige Sicherheitsprüfungen durchführen. Da Sicherheitslücken selbst dann nicht ausgeschlossen seien, müssten Risiken immer transparent kommuniziert werden. Außerdem brauche es einen offenen Prozess der Weiterentwicklung. Dieser Prozess sollte auch die Kritik vieler Organisationen aufgreifen, die die Verantwortlichen bislang nicht berücksichtigt haben.
Offener Brief als Gesprächsangebot
„Wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden“, sagt Bianca Kastl. Sie ist Vorsitzende des InÖG und Kolumnistin bei netzpolitik.org. „Unsichere und nicht an den individuellen Bedarf nach Vertraulichkeit angepasste Lösungen schließen gerade diejenigen Menschen aus, die am meisten von der Digitalisierung des Gesundheitswesens profitieren könnten“.
Seit langem kritisieren zivilgesellschaftliche Organisationen etwa die vollständige Medikationsübersicht in der ePA. „Aus dieser Liste gehen sensible Infos hervor, die Patient*innen berechtigterweise nicht mit allen Ärzt*innen teilen möchten, weil sie Diskriminierung zu fürchten haben“, sagt Manuel Hofmann, Fachreferent für Digitalisierung bei der Deutschen Aidshilfe. „Man denke an HIV-Medikamente oder Psychopharmaka.“
Ihren Brief verstünden die Organisationen als ein Gesprächsangebot, um die Weiterentwicklung der ePA konstruktiv mitzugestalten, sagt Hofmann. „Wenn wir langfristig gute Lösungen etablieren wollen, müssen verschiedene Perspektiven und Interessen in Einklang gebracht werden. Dafür müssen Gesprächsangebote aber auch angenommen werden“, so Hofmann.
Offener Brief im Wortlaut
Sehr geehrter Herr Bundesminister Lauterbach,
wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.
Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.
Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.
Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.
Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:
Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.
In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.
Mit freundlichen Grüßen
Mitzeichnende Organisationen in alphabetischer Reihenfolge
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die elektronische Patientenakte kommt – und die Verunsicherung ist groß. Wie kann ich der Einrichtung einer ePA widersprechen? Und erfahre ich dadurch Nachteile? Wir beantworten die wichtigsten Fragen zum Widerspruch.
Widersprechen geht leichter als man denkt. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathew Schwartz
Am 15. Januar 2025 legen die gesetzlichen Krankenversicherungen für all ihre Versicherten automatisch eine elektronische Patientenakte (ePA) an. Wer das nicht möchte, muss aktiv widersprechen. In der digitalen Akte sollen langfristig die Gesundheitsinformationen aller rund 74 Millionen gesetzlich Versicherten jeweils zusammenfließen.
Aus Sicht vieler Datenschützer:innen und Bürgerrechtler:innen orientiert sich die ePA weder am Gemeinwohl noch an den Interessen der Patient:innen. Und auf dem 38. Chaos Communication Congress haben Sicherheitsforschende kürzlich aufgezeigt, dass die ePA noch eklatante Sicherheitsmängel aufweist.
Die Verunsicherung ist groß: Wie sicher ist die ePA? Was passiert, wenn ich ihr widerspreche? Erfahre ich dann Nachteile bei der medizinischen Behandlung? Und kann ich mich später noch umentscheiden?
Ob eine Person eine ePA haben möchte oder nicht, ist eine Entscheidung, die viele Faktoren beinhalten kann. Für alle, die sich für eine Ablehnung entschieden haben, beantworten wir im Folgenden die wichtigsten Fragen zum Widerspruch.
Wie kann ich widersprechen?
Wer sich für einen Widerspruch entscheidet, legt diesen am besten vor dem Start der Pilotphase am 15. Januar 2025 ein. So können Versicherte ausschließen, dass es bereits während der Testphase zu einem Sicherheitsvorfall mit den eigenen Daten kommt. Ihren Widerspruch müssen Versicherte nicht begründen.
Der Widerspruch muss gegenüber der eigenen Krankenkasse erfolgen:
vor Ort in der Filiale der Versicherung,
über die Ombudsstelle oder -personen der Krankenkasse,
per Post oder
auf digitalem Wege, etwa über die Krankenkassen-Apps oder mittels eines Widerspruchsformulars auf der Webseite der Krankenkasse.
Die Krankenkassen sind dazu verpflichtet, den Widerspruch auf einfachem Weg zu ermöglichen. Grundsätzlich sollte der Widerspruch auch telefonisch möglich sein. Tatsächlich unterscheiden sich die konkreten Formalien abhängig von der jeweiligen Versicherung.
Wie muss der Widerspruch aussehen?
In der Regel sollte es ausreichen, wenn Versicherte ihren vollständigen Namen, ihre Versichertennummer und eine klare Formulierung des Widerspruchs angeben.
Für einen schriftlichen Widerspruch genügt ein formloser Text. Der Patientenrechte und Datenschutz e.V. hat im Auftrag des „Opt-Out Bündnisses“ einen Widerspruchsgenerator erstellt. Damit können Versicherte einen personalisierten Widerspruch erstellen. Wer den Widerspruch per Briefpost oder gar Fax einlegen möchte, findet auf der gleichen Website auch entsprechende Textvorlagen.
Wer das 15. Lebensjahr noch nicht vollendet hat, benötigt für den Widerspruch die Unterschrift einer erziehungsberechtigten Person.
Bis wann kann ich der ePA widersprechen?
Es gibt keine Frist, bis wann Versicherte der ePA widersprechen müssen. Ein Widerspruch ist jederzeit möglich – sowohl vor als auch nach dem bundesweiten Start der ePA für alle.
Ein Widerspruch ist auch dann noch möglich, wenn die ePA bereits angelegt ist. Zudem können Versicherte jederzeit einen Widerspruch wieder aufheben.
Welche Folgen hat ein Widerspruch, wenn ich schon eine ePA für alle habe?
Eine bereits angelegte Akte wird nach Eingang des Widerspruchs gelöscht. Allerdings können Versicherte jederzeit eine neue ePA anlegen, die dann wieder befüllt wird.
Habe ich durch den Widerspruch einen Nachteil?
Wer sich gegen die ePA für alle entscheidet, darf laut Gesetz dadurch grundsätzlich keine Nachteile in der Qualität der medizinischen Versorgung erfahren.
Die Krankenversicherungen weisen zwar darauf hin, dass Informationen über frühere Behandlungen, Diagnosen oder mögliche Allergien ohne eine persönliche ePA nicht so schnell verfügbar sein könnten. Gerade zu Anfang ist die ePA aber nur begrenzt einsatzfähig, daher sind dies nicht die gravierenden Nachteile der ePA für alle.
Kann ich mich später umentscheiden?
Wer sich jetzt gegen die ePA für alle entscheidet, kann sie auch später noch jederzeit beantragen.
Bei der Anlage ist eine elektronische Patientenakte zunächst immer leer. Eine neue ePA müssen Versicherte, Ärzt:innen und Krankenversicherungen nach und nach befüllen.
Wird eine ePA später erneut eingerichtet, werden medizinische Dokumente aus der Vergangenheit nicht automatisch übertragen.
Können Kinder und Jugendliche der ePA-Einrichtung auch widersprechen?
Auch Kinder und Jugendliche erhalten automatisch die ePA für alle, unabhängig von ihrem Alter. Sind die Kinder jünger als 15 Jahre, widersprechen die Eltern bei der Krankenkasse, dass sie eine elektronische Patientenakte erhalten. Ist die versicherte Person zwischen 15 und 17 Jahre alt, kann sie nach Rücksprache mit ihren Eltern selbst darüber entscheiden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In wenigen Tagen beginnt die Pilotphase für die elektronische Patientenakte. Gesundheitsminister Lauterbach versichert, dass bis zu ihrem bundesweiten Start sämtliche Sicherheitsprobleme gelöst sind. Mit Gewissheit überprüfen lässt sich das nicht. Derweil wächst die Kritik aus der Ärzt:innenschaft.
Gesundheitsminister Karl Lauterbach (SPD) und Florian Fuhrmann, Geschäftsführer der gematik, auf Praxisbesuch in Köln. – Alle Rechte vorbehalten IMAGO / Political-Moments
Karl Lauterbach (SPD) ist offenbar schon in Feierlaune: „In der nächsten Woche beginnt Pilotphase. Fristgerecht, sicher. Nach 20 Jahren…“ verkündete der Bundesgesundheitsminister gestern nach einem Pressetermin in Köln. Lauterbach hatte in einer Arztpraxis die elektronische Patientenakte (ePA) präsentiert. „Die Daten der Bürger sind sicher“, so der Minister vor Ort. Gäbe es „auch nur ein Restrisiko für einen großen Hackerangriff“, würde die ePA „nicht ans Netz gehen“.
Der Gesundheitsminister bezog sich damit auf die Enthüllungen von zwei Sicherheitsforschenden auf dem 38. Chaos Communication Congress. Bianca Kastl und Martin Tschirsich hatten dort gleich mehrere Sicherheitslücken der „elektronischen Patientenakte für alle“ (ePA) präsentiert. Sie betreffen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.
Der Lackmustest für die ePA startet bereits in wenigen Tagen, wenn am 15. Januar die Pilotphase in Hamburg, Franken und Nordrhein-Westfalen beginnt. Mehr als 250 Arzt- und Zahnarztpraxen sowie Apotheken und Krankenhäuser setzen die ePA dann in ihrem Berufsalltag ein. Ab dann wird sich zeigen, ob es den Verantwortlichen tatsächlich gelungen ist, die ePA innerhalb weniger Wochen abzusichern.
Fest steht schon jetzt, dass es in der Vergangenheit ähnliche Versprechen gab, die sich als übereilt erwiesen. Und sicher überprüfen lassen sich die Versprechen des Bundesgesundheitsministers nicht. Denn eine unabhängige und belastbare Risikobewertung der ePA fehlt weiterhin. Auch deshalb haben Ärzt:innenverbände und die Opposition bislang nur wenig Vertrauen in die ePA. Manche fordern gar, dass Lauterbach „die Reißleine zieht“.
Gematik sieht erst jetzt Handlungsbedarf
Seit den Enthüllungen des CCC bemühen sich die politischen Verantwortlichen um Schadensbegrenzung – rhetorisch wie technisch. Das führt mitunter zu widersprüchlichen Aussagen. Einerseits werten sie die Sicherheitslücken als „theoretisches Problem“ und als „potenzielle Schwachstelle“. Andererseits beteuern sie, „mit Hochdruck“ an technischen Lösungen zu arbeiten, um diese Lücken zu schließen.
So bezeichnet die gematik die Angriffsszenarien des CCC als „nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen“. Die gematik definiert als „nationale Agentur für digitale Medizin“ unter anderem die technischen Standards für die ePA. Im November sagte gematik-Geschäftsführer Florian Hartge, dass die gematik den Start der ePA für alle – im Vergleich zur ersten ePA, des Kommunikationsdienstes KIM und des E-Rezepts – am besten vorbereitet habe.
Nach den Enthüllungen im Dezember hat die gematik nun nachbessern müssen. Dank eines Maßnahmenpakets, das die Agentur gemeinsam mit dem Bundesgesundheitsministerium (BMG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt habe, könne die ePA für alle nun „sicher von Praxen, Krankenhäusern, Apotheken und natürlich von Patient:innen genutzt werden“, so ein gematik-Sprecher gegenüber netzpolitik.org.
Dass die vom CCC aufgezeigten Sicherheitsprobleme der gematik vertraut sein sollten, verneint die Agentur auf Anfrage nicht. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte bereits im Oktober 2022 auf eine sehr ähnliche Sicherheitslücke hingewiesen wie die zuletzt demonstrierte. Diese technische Schwachstelle habe bis zum Dezember 2024 jedoch „keinen akuten Handlungsbedarf“ erfordert, so die gematik. Erst der Vortrag des CCC habe „eine neue Risikobetrachtung notwendig gemacht“.
Verzögerte Reaktion auf Sicherheitslücke
Hinzu kommt, dass die von Kastl und Tschirsich genutzte Sicherheitslücke auch einen anderen Fachdienst der gematik betrifft: das E-Rezept. Konkret geht es dabei um eine Schwachstelle im Versichertenstammdaten-Management (VSDM), das Apotheken für den Zugriff auf das E-Rezept nutzen, wie ein Sprecher der Bundesdatenschutzbeauftragten (BfDI) auf Anfrage von netzpolitik.org mitteilt. Mit ihr können Angreifende falsche Nachweise vom VSDM-Server beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt.
Nach eigenen Angaben informierten Kastl und Tschirsich die Agentur schon im vergangenen August über ihre Erkenntnisse. Doch erst vier Monate später reagierte die gematik mit einem Update. „Die Risiken, die wir auf dem Kongress in Hamburg demonstrierten, waren seit August bekannt. Aber erst mit dem praktischen Nachweis wird hektisch gehandelt“, so das Resümee von Martin Tschirsich in einem Interview mit der taz.
Der Sicherheitsforscher unterstreicht in dem Gespräch erneut, dass es für die ePA eine unabhängige und belastbare Risikobewertung brauche. Die gleiche Forderung haben Kastl und Tschirsich in ihrem Vortrag erhoben. Bislang aber haben weder das BMG, noch die gematik oder das BSI diese aufgegriffen.
Auch dem BSI sei das auf dem Chaos Communication Congress „vorgestellte Gesamtszenario“ nicht bekannt gewesen, so ein Sprecher auf Anfrage von netzpolitik.org. Das nun erstellte Maßnahmenpaket gegen die „potenzielle Schwachstelle“ begegne „sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen angemessen“.
Doch auch dem BSI sollte die Lücke nach den Warnungen des damaligen Bundesdatenschutzbeauftragten Ulrich Kelber ebenfalls vertraut gewesen sein. Dennoch versicherte das BSI im Juni vergangenen Jahres, die sicherheitstechnischen Anforderungen der ePA für alle gewissenhaft geprüft zu haben. „Diese Architektur garantiert ein angemessenes Sicherheitsniveau“, so das BSI damals.
Auch BSI-Präsidentin Claudia Plattner lobte die ePA im vergangenen Juni als „so sicher wie nur irgend möglich“. „Unsere Leute sind da mit der Zahnbürste drübergegangen“, so die Behörden-Chefin.
BMG: Nur noch „technische Kleinigkeiten“ lösen
Vor diesem Hintergrund ist es erstaunlich, wie zuversichtlich sich der Bundesgesundheitsminister derzeit gibt. Alle Baustellen, die für die Pilotphase relevant seien, habe man geschlossen, so Lauterbach. Während des Probelaufs könnten nur die für diesen registrierten Ärzt:innen auf die Daten ihrer Patient:innen zugreifen. Ein Missbrauch sei in dieser Zeit daher „völlig ausgeschlossen“.
Bis zum bundesweiten Rollout müsse man nur noch einige technische „Kleinigkeiten“ lösen, betont der Minister, im Zweifel brauche man „noch ein paar mehr Wochen“. Danach werde das BSI sicher „grünes Licht“ geben, so Lauterbach. Inzwischen ist auch der April als Startmonat für den Rollout im Gespräch.
Und der Minister denkt auch schon einen großen Schritt weiter. Patient:innen könnten ihre Gesundheitsdaten später dann auch in Verbindung mit sogenannter Künstlicher Intelligenz nutzen. „Das ist eine Art der Medizin, die man sich bisher noch gar nicht vorstellen kann“, so Lauterbach.
Ärzt:innen kritisieren Blindflug
Die Zuversicht des Gesundheitsministers teilen längst nicht alle. Vielmehr mehren sich in der Ärzt:innenschaft die Stimmen derer, die sich gegen die baldige Einführung der ePA aussprechen.
Der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, sagte gegenüber dem Ärzteblatt, er könne seinen Patient:innen die ePA derzeit nicht empfehlen. Die möglichen Einfallstore seien zu groß, so Reinhardt.
Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) sowie dessen Fachsektion Verband Psychologischer Psychotherapeut*innen (VPP) prüfen derzeit, welche Empfehlungen sie ihren Verbandsmitgliedern in Zusammenhang mit ePA-Widerspruchsrechten unterbreiten, die „ethisch sinnvoll und rechtlich vertretbar“ sind. Die Verbände fordern „gesetzlich Versicherte transparent über bestehende Datenschutzrisiken aufzuklären und schließen sich den Forderungen von Sicherheitsexpert*innen nach einer ‚unabhängigen und belastbaren Bewertung von Sicherheitsrisiken‘ an.“
Noch deutlicher äußert sich der Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), Michael Hubmann. Er sei frustriert darüber, „wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden“. „Was wir hier erleben, ist nichts anderes als ein Blindflug“, so Hubmann. „Wenn der Chaos Computer Club ohne große Hürden auf alle ePAs zugreifen kann, ist es nur eine Frage der Zeit, bis andere das auch schaffen.“ Lauterbach müsse die Reißleine ziehen und ein sicheres System an den Start bringen.
Der Gesundheitsminister glaubt indes, dass sich diese Vorbehalte schon bald auflösen werden. „Ich bin ganz sicher“, sagte er auf dem gestrigen Pressetermin in Köln, „dass die Ärzteschaft, die Kinderärzte und die Ärztekammer die ePA empfehlen werden in dem Moment, wo wir in den Pilotregionen gezeigt haben, dass sie in der Praxis funktioniert und einwandfrei sicher ist.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Am 20. Januar kehrt Donald Trump ins Weiße Haus zurück. Am gleichen Tag will Mark Zuckerberg in den USA die Inhaltemoderation bei Facebook, Meta und Instagram stark zurückfahren. Die Kehrtwende ist vor allem eine Unterwerfungsgeste gegenüber dem neuen US-Präsidenten. Sie wird den Kulturkampf weiter anheizen und gefährdet die Demokratie. Auch in Europa. Eine Analyse.
Mark Zuckerberg unterwirft sich Donald Trump. – Alle Rechte vorbehalten meta.com
Mark Zuckerberg will in den USA die Inhaltemoderation bei Facebook, Instagram und Threads dramatisch umbauen. Faktenchecks durch unabhängige Dritte gehören bald der Vergangenheit an, viele sich gegen Hassrede richtende Regeln schafft das Unternehmen ab. Die gestern verkündete Entscheidung ist eine radikale Kehrtwende – und zwar in dreierlei Hinsicht.
Zuallererst ist sie eine Unterwerfungsgeste gegenüber Trump, den Republikanern und den rechtsradikalen Bewegungen in den Vereinigten Staaten. Fast genau vier Jahre zuvor hatte Meta Trumps Konten in seinen sozialen Netzwerken noch vorübergehend gesperrt. Grund war die Erstürmung des US-Parlaments durch einen MAGA-Mob, angestachelt durch den damaligen US-Präsidenten, der in wenigen Tagen seine zweite Amtszeit antritt. Trumps erneuten Wahlsieg nennt Zuckerberg in seiner gestern veröffentlichten Begründung einen „kulturellen Wendepunkt“.
Auf einer gestrigen Pressekonferenz räumte Trump denn auch unumwunden ein, die neuen Regeln seien „vermutlich“ auf seine Drohgesten gegenüber Zuckerberg zurückzuführen. Kein Zufall dürfte wohl auch sein, dass Meta die Ankündigung zunächst exklusiv über eine Frühstückssendung des rechtslastigen US-Senders Fox News verbreitet hat. Außer einem Besuch in Mar-a-Lago dürfte es kaum bessere Möglichkeiten als einen Auftritt bei „Fox & Friends“ geben, um direkt auf Trump einzuwirken.
Die Rhetorik des Kulturkampfs
Zweitens folgt Zuckerberg damit Elon Musks Vorbild. Der Multi-Milliardär entließ, nachdem er im Oktober 2022 Twitter übernommen hatte, einen Großteil der Moderator:innen und setzte stattdessen auf sogenannte community notes, freiwillige korrigierende Anmerkungen der Nutzer:innen unter einzelnen Postings. Diese Form der Selbstkontrolle hat das Problem allerdings noch vergrößert: X ist heute ein Hort der Hetze und des Hasses. Facebook, Instagram und Threads droht nun das gleiche Schicksal.
In gewisser Hinsicht kehrt Meta damit tatsächlich zu seinen Wurzeln zurück, aber wohl anders, als es Zuckerberg in seiner Ankündigung meinte. Denn vom Himmel gefallen sind all die Regeln nicht: So hatte etwa ein UN-Bericht im Jahr 2018 festgestellt, die damals laxe Moderationspraxis von Facebook habe entscheidend zum Völkermord in Myanmar beigetragen. „Ich glaube wirklich, dass dies ein Vorläufer für Genozid ist“, warnt nun ein früherer Meta-Mitarbeiter anlässlich des jüngsten Kurswechsels.
Drittens greift Zuckerberg in seiner Begründung von Metas Kehrtwende zur Rhetorik des Kulturkampfes. Damit stößt der Meta-Chef in das gleiche Horn wie all jene, denen er nun den Freifahrtschein erteilt.
Die strengen Moderationsregeln hätten die freie Rede beschnitten, so der Meta-Chef in einem bemerkenswerten Video auf Instagram (Transkript). Mit den neuen Richtlinien würden nun mehr politische Inhalte in die Feeds der Nutzenden zurückkehren, auch zu den Themen, die in den vergangenen Jahren den Kulturkampf in den USA anheizten. Insbesondere Beschränkungen zu Themen wie Migration und Gender werde Meta abschaffen, Themen, „die einfach nicht zum Mainstream-Diskurs passen“, so Zuckerberg.
Project 2025: Gegen die Zensur von Big Tech
Die neuen Regeln will Meta am Tag der Amtseinführung Donald Trumps in Kraft setzen. Es ist nicht das einzige Geschenk. Meta spendete außerdem eine US-Million Dollar für Trumps Vereidigungszeremonie in Washington, D.C. Vor wenigen Tagen berief Zuckerberg den Republikaner und Trump-Anhänger Joel Kaplan zum neuen Leiter der globalen Politikabteilung von Meta. Und Dana White wurde in den Verwaltungsrat von Meta aufgenommen. Er ist ein langjähriger Freund Trumps und Chef einer großen US-Kampfsport Profiliga.
Der Tech-Konzern sucht also gezielt die Nähe der neuen US-Administration. Die Sorge vor Trump, der Facebook im Wahlkampf unter anderem als „Feind des Volkes“ bezeichnete, ist offensichtlich groß – und begründet. Denn der neue US-Präsident wird in den kommenden zwei Jahren wohl durchregieren können. In beiden Kammern des Kongresses verfügen die Republikaner über die Mehrheit. Und Trump geht dieses Mal gut vorbereitet ins Weiße Haus: Bereits vor der Wahl haben Hunderte Konservative unter dem Namen „Projekt 2025“ dessen zweite Amtszeit programmatisch ausgearbeitet.
Zu den Autor:innen des knapp 1000 Seiten starken Manifests zählt auch Brendan Carr, den Trump im November zum neuen Chef der US-amerikanischen Telekom-Aufsicht FCC (Federal Communication Commission) kürte. Carr fordert in seinem Kapitel, die Trump-Administration müsse die Versuche von Big Tech eindämmen, „verschiedene politische Standpunkte vom digitalen Marktplatz zu vertreiben“. Unternehmen dürften Inhalte nicht nach Belieben zensieren.
Dank Metas Entscheidung ist die neue Administration, noch bevor sie im Amt ist, diesem Ziel bereits ein gutes Stück nähergekommen. Gleichzeitig wird sie den Kulturkampf in den USA weiter anfachen, die demokratischen Kräfte zusätzlich schwächen und den gesellschaftlichen Zusammenhalt noch mehr aushöhlen.
Trump, Musk und Zuckerberg gegen den DSA
Metas Kehrtwende betrifft bislang nur die Vereinigten Staaten. In der Europäischen Union regelt der Digital Services Act (DSA) den Umgang der sozialen Plattformen mit Desinformation und illegalen Inhalten. Kommen die Plattformen den Vorgaben nicht nach, müssen sie mit hohen Strafen rechnen.
Allerdings nimmt der Druck auf den DSA schon seit längerem zu. Besonders Zuckerbergs Spiritus rector, Elon Musk, ist das Regelwerk ein Dorn im Auge. Die Kommission wirft Musks Plattform X vor, europäische Regeln zu missachten; inzwischen laufen mehrere Verfahren wegen Verstößen gegen den DSA. Musk schießt scharf gegen die Kommission und bezichtigt sie, Zensur durchsetzen zu wollen.
Hier schließt Zuckerberg in seinem Video auf, indem er der EU ebenfalls vorwirft, mit ihren Gesetzen Zensur zu institutionalisieren. Außerdem kündigt der Meta-Chef an, sich gemeinsam mit der neuen US-Administration Regierungen entgegenzustellen, die vermeintliche Zensur ausweiten wollen. Explizit verweist Zuckerberg dabei auf die EU.
Trump könnte schon bald den Druck auf die EU erhöhen, die europäischen Vorgaben zu lockern. Tatsächlich hatte sein designierter Stellvertreter, der ultra-konservative J.D. Vance, schon im November die Durchsetzung des DSA mit der US-Unterstützung der NATO verknüpft. Und einem noch unbestätigten Bericht der französischen Zeitung Le Monde zufolge soll die EU-Kommission laufende Untersuchungen gegen DSA-Verstöße durch US-amerikanische Digital-Unternehmen bis auf Weiteres auf Eis gelegt haben. Sollte das tatsächlich stimmen, wäre dies eine fatale Entwicklung.
Anstatt kampflos einzuknicken, muss die EU dem Druck aus den USA entschieden standhalten – noch bevor Trump seine vierjährige Amtszeit antritt. Andernfalls gefährdet die Entscheidung Zuckerbergs auch die Demokratie diesseits des Atlantiks.
Die Ankündigung von Mark Zuckerberg vom 7.1.2025 auf Instagram in Wortlaut:
Hey everyone. I want to talk about something important today because it’s time to get back to our roots around free expression on Facebook and Instagram. I started building social media to give people a voice. I gave a speech at Georgetown five years ago about the importance of protecting free expression, and I still believe this today, but a lot has happened over the last several years.
There’s been widespread debate about potential harms from online content. Governments and legacy media have pushed to censor more and more. A lot of this is clearly political, but there’s also a lot of legitimately bad stuff out there. Drugs, terrorism, child exploitation. These are things that we take very seriously, and I want to make sure that we handle responsibly. So we built a lot of complex systems to moderate content, but the problem with complex systems is they make mistakes even if they accidentally censor just 1 percent of posts, that’s millions of people.
And we’ve reached a point where it’s just too many mistakes and too much censorship. The recent elections also feel like a cultural tipping point towards, once again, prioritizing speech. So, we’re going to get back to our roots and focus on reducing mistakes, simplifying our policies, and restoring free expression on our platforms. More specifically, here’s what we’re going to do.
First, we’re going to get rid of fact-checkers and replace them with community notes similar to X starting in the US. After Trump first got elected in 2016, the legacy media wrote nonstop about how misinformation was a threat to democracy. We tried in good faith to address those concerns without becoming the arbiters of truth, but the fact-checkers have just been too politically biased and have destroyed more trust than they’ve created, especially in the US. So, over the next couple of months, we’re going to phase in a more comprehensive community notes system.
Second, we’re going to simplify our content policies and get rid of a bunch of restrictions on topics like immigration and gender that are just out of touch with mainstream discourse. What started as a movement to be more inclusive has increasingly been used to shut down opinions and shut out people with different ideas, and it’s gone too far. So, I want to make sure that people can share their beliefs and experiences on our platforms.
Third, we’re changing how we enforce our policies to reduce the mistakes that account for the vast majority of censorship on our platforms. We used to have filters that scanned for any policy violation. Now, we’re going to focus those filters on tackling illegal and high-severity violations, and for lower-severity violations, we’re going to rely on someone reporting an issue before we take action. The problem is that the filters make mistakes, and they take down a lot of content that they shouldn’t. So, by dialing them back, we’re going to dramatically reduce the amount of censorship on our platforms. We’re also going to tune our content filters to require much higher confidence before taking down content. The reality is that this is a trade-off. It means we’re going to catch less bad stuff, but we’ll also reduce the number of innocent people’s posts and accounts that we accidentally take down.
Fourth, we’re bringing back civic content. For a while, the community asked to see less politics because it was making people stressed. So we stopped recommending these posts. But it feels like we’re in a new era now. And we’re starting to get feedback that people want to see this content again. So we’re going to start phasing this back into Facebook, Instagram, and Threads while working to keep the communities friendly and positive. Fifth, we’re going to move our trust and safety and content moderation teams out of California, and our US-based content review is going to be based in Texas. As we work to promote free expression, I think that will help us build trust to do this work in places where there is less concern about the bias of our teams.
Finally, we’re going to work with President Trump to push back on governments around the world. They’re going after American companies and pushing to censor more. The US has the strongest constitutional protections for free expression in the world. Europe has an ever-increasing number of laws, institutionalizing censorship, and making it difficult to build anything innovative there. Latin American countries have secret courts that can order companies to quietly take things down. China has censored our apps from even working in the country. The only way that we can push back on this global trend is with the support of the US government, and that’s why it’s been so difficult over the past four years when even the US government has pushed for censorship.
By going after us and other American companies, it has emboldened other governments to go even further. But now we have the opportunity to restore free expression, and I’m excited to take it. It’ll take time to get this right, and these are complex systems. They’re never going to be perfect. There’s also a lot of illegal stuff that we still need to work very hard to remove. But the bottom line is that after years of having our content moderation work focused primarily on removing content, it is time to focus on reducing mistakes, simplifying our systems, and getting back to our roots about giving people voice. I’m looking forward to this next chapter. Stay good out there, and more to come soon.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
