1. Themen
  2. IT-Management
  3. Datenschutzrisiken der ePA – ein Appell an Krankenhäuser

Datenschutzrisiken der ePA – ein Appell an Krankenhäuser

Veröffentlicht 26.09.2025 10:20, Kim Wehrs

Die dringendsten Datenschutzrisiken bei der elektronischen Patientenakte (ePA) sind vor allem der unbefugte Zugriff auf sensible Gesundheitsdaten, Sicherheitslücken in der TI (Telematikinfrastruktur), mangelhafte Zugriffskontrollen sowie der Umgang mit pseudonymisierten bzw. personenbezogenen Daten. Krankenhäuser haben gegenüber Aufsichtsbehörden umfangreiche Nachweispflichten bezüglich der elektronischen Patientenakte. Die Bundesministerin für Gesundheit Nina Warken will Mut bei der ePA machen in ihrer Rede zum Haushaltsgesetz 2026 vor dem Deutschen Bundestag. Allerdings sind noch einige Hausaufgaben zu erledigen. 

„Es ist eine gute Nachricht, dass die Patientinnen und Patienten ab dem 1. Oktober einen Anspruch
darauf haben, ihre elektronische Patientenakte befüllen zu lassen. Ich möchte alle bitten, davon regen Gebrauch zu machen. Nutzen Sie die ePA!“ So ermunterte  Nina Warken, Bundesministerin für Gesundheit, in ihrer Rede zum Haushaltsgesetz 2026 vor dem Deutschen Bundestag am 23. September 2025 in Berlin, die Menschen in Deutschland. 

Allerdings sind noch einige Hausaufgaben zu erledigen. Die zentrale Speicherung in Cloud-Systemen macht die Daten zu einem attraktiven Ziel für Hacker. Schwachstellen wie gefälschte Heilberufs- und Praxisausweise ermöglichen unrechtmäßige Zugriffe. Außerdem besteht Unsicherheit durch die teils weitreichenden Zugriffsrechte auch für nicht-medizinisches Personal und die unklare Handhabung von Datenweitergaben an Dritte, beispielsweise für Forschungszwecke oder durch kommerzielle Anbieter.

Krankenhäuser müssen deshalb mehrere Maßnahmen ergreifen:

1     Einsatz modernster, zertifizierter Verschlüsselungstechnologien für Datenspeicherung und -übertragung.

2     Strenge und differenzierte Zugriffskontrollen mit Mehrfaktorauthentifizierung für alle Nutzer.

3     Regelmäßige Sicherheitsüberprüfungen und Schwachstellen-Scans der IT-Systeme.

4     Schulung des Personals im Umgang mit sensiblen Patienteninformationen sowie Erkennung von Angriffen.

5     Sicherstellung der Einhaltung gesetzlicher Vorschriften wie DSGVO, sowie transparente Dokumentation der Zugriffsrechte und Datenflüsse.

Verantwortlich sind dabei primär die Krankenhaus-IT-Leitung und der Datenschutzbeauftragte, die zusammen mit der Krankenhausleitung die Sicherheitsstrategie definieren und überwachen. Ebenso sind Ärzte und Mitarbeiter verpflichtet, Vertraulichkeit zu wahren und Sicherheitsrichtlinien einzuhalten. Externe Dienstleister, die IT-Systeme betreiben oder Daten verarbeiten, müssen vertraglich auf Datenschutz verpflichtet und regelmäßig auditiert werden.

Nur durch eine ganzheitliche Datenschutzstrategie und technische, organisatorische sowie personelle Maßnahmen kann das hohe Datenschutzniveau für die ePA gewährleistet werden, um Vertrauen bei Patienten und medizinischem Personal sicherzustellen und Missbrauch zu verhindern.

Nina Warken

Bundesministerin für Gesundheit Nina Warken (© Nina Warken/ Tobias Koch)
 

Prioritäre technische Maßnahmen für ePA-Sicherheit in Kliniken 

Die prioritären technischen Maßnahmen für ePA-Sicherheit in Kliniken umfassen vor allem die Implementierung und Sicherung folgender Punkte:

1     End-to-End-Verschlüsselung
Die medizinischen Daten in der ePA müssen bereits auf dem Endgerät des Versicherten bzw. durch den Konnektor verschlüsselt werden und über verschlüsselte Kanäle sicher übertragen werden. Dadurch wird sichergestellt, dass nur autorisierte Nutzer Zugriff auf die Daten haben und der Betreiber keinen unbefugten Zugriff erhält.

2     Vertrauenswürdige Ausführungsumgebung (VAU)
Der Einsatz einer VAU sichert, dass innerhalb der Klinik keine unautorisierte Datenmanipulation oder -extraktion stattfindet. Daten werden nur über authentifizierte und geschützte VAU-Kanäle zwischen Versichertem und Klinik transportiert, was ein hohes Sicherheitsniveau gewährleistet.

3     Zugangskontrollen und Mehrfaktorauthentifizierung
Strenge, richtlinienkonforme Zugriffskontrollen und Authentifizierungsverfahren sind notwendig, um den Zugriff auf die ePA ausschließlich befugtem medizinischem Personal und den Patienten selbst zu ermöglichen.

4     Regelmäßige Sicherheitsupdates und Systemtests
Krankenhäuser müssen sicherstellen, dass sämtliche IT-Komponenten, inklusive der eingesetzten Software und Telematikinfrastrukturkomponenten, stets aktuell gehalten und Schwachstellen durch regelmäßige Penetrationstests identifiziert und behoben werden.

5     Überwachung und Anomalieerkennung
Systeme zur Echtzeitüberwachung und Anomalieerkennung unterstützen dabei, verdächtige Zugriffe oder Angriffe frühzeitig zu erkennen und abzuwehren.

Diese Maßnahmen sind essenziell, um den Schutz der sensiblen Gesundheitsdaten im Klinikalltag sicherzustellen, Missbrauch zu verhindern und die Vorgaben der DSGVO und weiterer Datenschutzgesetze einzuhalten. Sie bilden zusammen mit organisatorischen Schulungen und strikten Datenschutzrichtlinien die Grundlage für eine sichere Nutzung der ePA in Krankenhäusern.
 

Nachweispflichten der Krankenhäuser gegenüber Aufsichtsbehörden 

Krankenhäuser haben gegenüber Aufsichtsbehörden umfangreiche Nachweispflichten bezüglich der elektronischen Patientenakte (ePA). Sie müssen dokumentieren, dass sie die gesetzlich vorgeschriebenen technischen und organisatorischen Schutzmaßnahmen zum Datenschutz und zur Datensicherheit umsetzen und dauerhaft einhalten. Dies umfasst insbesondere die sichere Speicherung und Übertragung der Patientendaten, Zugriffsbeschränkungen sowie die Einhaltung der DSGVO und des Patientendatenschutzgesetzes. Die Verantwortung dafür trägt primär die Krankenhausleitung, unterstützt durch den Datenschutzbeauftragten und die IT-Leitung. Sie müssen sicherstellen, dass alle Mitarbeiter geschult sind und dass die Datenschutzmaßnahmen regelmäßig kontrolliert und dokumentiert werden, um gegenüber Behörden Rechenschaft ablegen zu können. 

Bundesministerin für Gesundheit Nina Warken will Mut zur ePA machen: „Wir sollten sie jetzt schnell zu unserem pe rsönlichen Gesundheitshelfer werden lassen. Indem wir sie mit Informationen ausstatten, vermeiden wir unnötige Doppeluntersuchungen, die Zeit und Geld kosten. Und wenn Informationen, zum Beispiel über eingenommene Medikamente, schnell abrufbar sind, dient das unmittelbar der Patientensicherheit.“

Autor: Wolf-Dietrich Lorenz
Foto: Adobe Stock / sh99


Lesen Sie mehr zum Thema "IT-Management"

GAIA-X-kompatible Datenräume als strategischer Schlüssel für das Gesundheitswesen
IT-Management
GAIAX

GAIA-X-kompatible Datenräume als strategischer Schlüssel für das Gesundheitswesen

Data Act 2025: Was Krankenhaus-IT jetzt wissen muss
IT-Management
EU

Data Act 2025: Was Krankenhaus-IT jetzt wissen muss

Deutsches Gesundheitswesen: USA als ein Taktgeber
IT-Management
USA

Deutsches Gesundheitswesen: USA als ein Taktgeber

Forschungsdatennutzung im Gesundheitsdatenraum
IT-Management
European Health Data Space, EHDS

Forschungsdatennutzung im Gesundheitsdatenraum

Langfristige Stabilität im Krankenhausbetrieb sichern
IT-Management
Cloud

Langfristige Stabilität im Krankenhausbetrieb sichern

Ambitionen feinjustiert: Eine neue Ära im KI-Wettbewerb
IT-Management
LLMs

Ambitionen feinjustiert: Eine neue Ära im KI-Wettbewerb

Lesen Sie hier die neuesten Beiträge

Access-Zugänge im Krankenhaus effektiv schützen: Schlüsseltechnologien, KPI und KI-Potenziale
IT-Sicherheit & Kritis
Acess

Access-Zugänge im Krankenhaus effektiv schützen: Schlüsseltechnologien, KPI und KI-Potenziale

Meilenstein in der Hochpräzisionschirurgie: UKM erreicht 5000 roboter-assistierte Eingriffe
Klinik-News
Robot

Meilenstein in der Hochpräzisionschirurgie: UKM erreicht 5000 roboter-assistierte Eingriffe

Per Deep Learning zur präzisen Krebstherapie
Forschung
Tool

Per Deep Learning zur präzisen Krebstherapie

Diese Webseite verwendet Cookies.   Mehr Info.      oder