„Zunächst einmal bin ich froh, dass die Defizite im System bereits jetzt entdeckt wurden. Zu einem Zeitpunkt, da noch keine Patientendaten gespeichert werden“, so Spahn. Patientendaten seien nicht in Gefahr gewesen. Daher habe man jetzt Zeit zu reagieren und das System zu verbessern.

Dafür werde er sich demnächst mit den Verantwortlichen des Chaos Computer Clubs zusammensetzen und sie bitten, die elektronische Patientenakte dieses Jahr weiter auf die Probe zu stellen. Der CCC hatte die Sicherheitslücke aufgedeckt. Auch die Gematik werde die Expertise des CCC nutzen, um die Telematik-Infrastruktur weiterzuentwickeln. Spahn bedauerte, dass die Unsicherheit, die durch solche Lücken entstehe, „auch immer das Misstrauen in die elektronische Patientenakte“ befeuerten. Wie lange die Ausgabe der SMBC-B-Card durch die Gematik ausgesetzt bleibt, ließ Spahn offen.

Der Minister beteuerte, dass der für 1. Januar 2021 geplante Start der ePA nicht verschoben werden soll: „Wir engagieren uns mit aller Kraft dafür, pünktlich zu starten. Der Datenschutzstandard der ePA muss perfekt sein, aber nicht jede einzelne Anwendung, die darin läuft.“ Im ersten Schritt werde noch so mancher Arztbrief als PDF gespeichert werden. Im Laufe des Betriebs werde das System dann immer besser. „Entscheidend ist, dass die Datensicherheit ab Tag eins gewährleistet ist“, so Spahn. Sein Eindruck sei, dass die großen Kassen mit Hochdruck an ihren elektronischen Patientenakten arbeiteten.

Das für den Start der ePA notwenige zweite Datenschutzgesetz will der Gesundheitsminister in Kürze vorlegen. Eigentlich sollte der Entwurf bereits im Herbst 2019 vorliegen. Das zweite Digitale-Versorgungsgesetz werde in den nächsten Wochen kommen, kündigte Spahn an. Darin sollen die Details der ePA geregelt werden. Es geht insbesondere um Datenschutz und unter welchen Bedingungen auf welche Teile der Patientenakte zugegriffen werden darf. Weil dies umstritten war, wurde dieser Teil aus dem ersten DVG ausgeklammert.

Kurz vor Weihnachten hatte der CCC Sicherheitslücken öffentlich gemacht. Den Aktivisten war es gelungen, eine Gesundheitskarte, einen HBA und eine SMC-B zu beschaffen, die ihnen nicht zustanden. Dazu mussten sie weder einen Computer hacken, noch eine Verschlüsselung knacken, sondern lediglich das Identifikationsverfahren austricksen. Den Praxisausweis ließen sie sich an ein Käsefachgeschäft in Lüneburg schicken. Gleichzeitig hat der CCC ein Datenleck bei Kartenanbieter Medisign aufgedeckt: Demnach sollen allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die in den zwei davorliegenden Wochen einen Antrag auf eine SMC-B-Karte gestellt haben, frei im Internet zugänglich gewesen sein. Mit diesen Daten könnten sich Unbefugte die Karten erschleichen.

Konkret eingreifen konnte die Gematik daraufhin bei den SMC-B. In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wies sie alle SMC-B-Anbieter an, die Ausgabe vorsorglich vollständig zu stoppen. Die Antragsverfahren wurden bei den beteiligten Anbietern bis auf Weiteres gesperrt. Im Januar will die Gematik über das weitere Vorgehen ein Gespräch mit allen Kartenherausgebern führen und gemeinsam mit diesen über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse entscheiden.