Der Soft-Start ist erfolgt
Eigentlich sollte die ePA im Februar bundesweit ans Netz gehen. Das Bundesgesundheitsministerium (BMG) hatte ursprünglich eine vierwöchige Pilotierung der ePA in den TI-Modellregionen vorgesehen – von Mitte Januar bis Mitte Februar. Doch der Zeitplan, der von vornherein umstritten war, ging nicht auf.
Holprige Testphase
Infolge des politischen Zeitdrucks war die Technik der beteiligten Komponenten und Dienste vor allem zu Beginn der Testphase zu fehleranfällig. Hinzu kamen die Arbeiten zum Schließen der Sicherheitslücke, die der Chaos Computer Club (CCC) im Dezember aufgedeckt hatte (siehe Teil 5 der ePA-Serie).
Richtig getestet werden kann deshalb erst seit Ende März. Seitdem steigt die Zahl der Zugriffe auf die ePA und die elektronische Medikationsliste (siehe Teil 6 der ePA-Serie) kontinuierlich an.
Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im April bestätigt, dass die Maßnahmen zur technischen Absicherung der ePA umgesetzt sind. Die zunächst aufgrund der CCC-Meldung eingeführte Nutzungsbegrenzung der ePA auf die TI-Modellregionen wurde deshalb von der gematik wieder aufgehoben. Zuvor war der Zugriff ausschließlich Einrichtungen möglich, die auf einer sogenannten Allow-Liste standen.
Hintergrund zur Aktion des Chaos Computer Clubs
Der Roll-out der ePA außerhalb der TI-Modellregionen wurde von einer neuen Meldung des Chaos Computer Club (CCC) begleitet. Die Sicherheitsforscher kritisieren, dass die von der gematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ergriffenen Maßnahmen zur Absicherung der ePA nicht ausreichend seien. Konkret geht es um den Behandlungskontext, mit dem die Versicherten durch das Stecken ihrer elektronischen Gesundheitskarte (eGK) den Zugriff auf ihre ePA erlauben. Diesen Zugriff hatte die gematik mit weiteren Merkmalen der Versicherten abgesichert, die teilweise nicht auf der eGK stehen.
Der CCC hat nun aber mitgeteilt, dass diese Merkmale über die elektronische Ersatzbescheinigung (eEB) rekonstruiert und der Behandlungskontext dergestalt gefälscht werden könnte. In Kombination mit der Versichertennummer, der eGK-Kartennummer (ICCSN) und einem illegalen Zugang zur TI (SMC-B inklusive PIN plus weitere TI-Zugangstechnik) wäre somit ein Zugriff auf einzelne Patientenakten möglich gewesen.
Die Schnittstelle für die eEB ist neu und optional und daher in vielen zahnärztlichen Praxisverwaltungssystemen noch nicht umgesetzt. Die gematik hat als Reaktion das eEB-Verfahren vorerst ausgesetzt, so dass diese Sicherheitslücke nicht ausgenutzt werden kann. Wann das Verfahren wieder aktiviert wird und welche technischen Maßnahmen hierfür vorab umgesetzt werden müssen, ist aktuell noch offen.
Die Umsetzung der vom BSI als ausreichend wirksam bestätigten Sicherheitsmaßnahmen hat das BMG zum Anlass genommen, die ePA zum 29. April bundesweit auszurollen – allerdings stufenweise. Bis Ende September können sich Praxen, Apotheken und Krankenhäuser noch mit der Akte freiwillig vertraut machen. Spätestens ab dem 1. Oktober 2025 muss sie dann verpflichtend genutzt werden.
Dieser freiwillige Einstieg ist mit Blick auf das Feedback der 14 Zahnarztpraxen, die in den TI-Modellregionen Hamburg und Franken testen, zwingend erforderlich. Denn die Erfahrungswerte wachsen bislang nur langsam und wirklich reibungslos funktioniert die ePA noch nicht in allen eingesetzten Praxisverwaltungssystemen (PVS).
Die KZBV hatte das BMG deshalb bereits Anfang April aufgefordert, vorerst auf eine bundesweite Verpflichtung zu verzichten und zunächst die Technik durch freiwillige Tests außerhalb der Testregionen in allen PVS zu härten. Genau das ist nun der neue Plan des BMG: Der Zeitraum bis Ende September ist gedacht, um die Nutzung der ePA kontinuierlich zu steigern und den Praxen Zeit zu geben, die ePA in ihren Versorgungsalltag zu integrieren.
Zeitplan der ePA-Einführung
15. Januar 2025: Start der Testphase in den TI-Modellregionen
29. April 2025: Freiwillige Nutzung auch außerhalb der TI-Modellregionen
1. Oktober 2025: Nutzungspflicht für alle Zahnarztpraxen
Mehr Zeit und keine Sanktionen in 2025
Dieser softe Start ist aus Sicht der KZBV der einzig richtige Weg. Und auch bei den Sanktionen scheint das BMG erkannt zu haben, dass diese für den Prozess nicht förderlich sind: Nach Aussage des Ministeriums müssen Zahnarztpraxen in Sachen ePA zumindest in diesem Jahr keine Sanktionen fürchten. Die gewonnene Zeit sollten alle Zahnarztpraxen nun nutzen, um sich intensiv mit der ePA zu befassen.
KZBV – Abteilung Telematik
Weiter geht es im achten und letzten Teil mit den häufigsten Fragen rund um die ePA.
Mehr Informationen zur ePA finden Sie hier: www.kzbv.de/epa-fuer-alle.
