Status ePA für alle

• Der stufenweise, freiwillige bundesweite Rollout der ePA für alle ist am 29.04.2025 gestartet.^{1) 2)}
• Die verpflichtende Nutzung durch die Leistungserbringenden ist für den 1.10.2025 terminiert.

30.01.2024: Gesellschafterversammlung der gematik beschließt Spezifikationen der ePA für alle.³⁾ ⇒ interne Infos
14.08.2024: gematik veröffentlicht finale Spezifikation für ePA 3.1.⁴⁾
10.10.2024: Sicherheitsanalyse und -prüfung durch Frauenhofer⁵⁾
15.1.2025 bis Mitte Februar Anlage der ePAs für alle Versicherte, die nicht widersprochen haben, durch die Krankenkassen
15.01.2025 bis 28.04.2025 Pilotierung in zwei Modellregionen (Hamburg und Franken) und einer KV-Region in NRW („Kontrollierte Einführungsphase“)⁶⁾
10.09.2025 Sonder-GSV der gematik beschließt R 3.1.3 der ePA und zweischrittiges Vorgehen (1. Stufe: Erweiterung dgMP und Push-Benachrichtigungen, 2. Stufe: Volltextsuchen und Forschungsdatenausleitung)⁷⁾
12.09.2023 Veröffentlichung R 3.1.3

Krankenhäuser: https://e-health-com.de/details-news/dki-umfrage-patientenakte-kliniken-treiben-einfuehrung-der-epa-trotz-widriger-bedingungen-voran/

Die Nutzung der ePA lässt sich anhand einiger Kennzahlen im TI-Dashboard der gematik verfolgen.⁸⁾

• 68 Prozent der Ärztinnen und Ärzte stehen der ePA grundsätzlich offen gegenüber – 41 Prozent freuen sich sogar auf ihre Einführung.
• Als zentrale Vorteile nennen sie die Vermeidung von Doppeluntersuchungen (73 Prozent), schnellere Diagnosen durch Zugriff auf die Krankengeschichte (60 Prozent) sowie die Reduktion von Wechselwirkungen bei der Medikation (59 Prozent).
• Dennoch fühlen sich 77 Prozent der Befragten nicht ausreichend auf die ePA vorbereitet; und 86 Prozent gehen davon aus, dass die Einführung nicht reibungslos verlaufen wird. Seit Ende April läuft der bundesweite Rollout der elektronischen Akte. „Hier muss noch Vertrauen aufgebaut werden“, betonte Wintergerst, „die ePA muss für Ärztinnen und Ärzte leicht zu bedienen, barrierefrei und mit allen Systemen kompatibel sein“.
• Das zeigt eine Umfrage des Digitalverbands Bitkom in Zusammenarbeit mit dem Hartmannbund, dem Verband der Ärztinnen und Ärzte Deutschlands. Insgesamt wurden mehr als 600 Medizinerinnen und Mediziner nach ihrer Haltung zur Digitalisierung befragt.¹⁰⁾

https://www.mdr.de/nachrichten/deutschland/gesellschaft/elektronische-patientenakte-selbsttest-login-100.html

• Fachkonzept ePA
• Fachkonzept Digital gestützter Medikationsprozess¹²⁾

Das erste Release der ePA (R 3.0.0.) veröffentlicht die gematik 30.01.2024.

Das aktuellste Release dieses Strangs ist 3.0.5-2 vom 09.05.2025.

Der vollständige dgMP kommt mit dem Release 3.1.

Das aktuellste Release dieses Strangs ist das Release 3.1.2 vom 28.05.2025.

Zum 15.07.2025 veröffentlichte die gematik eine Vorabversion des Releases 3.1.2.-1, das die Volltextsuche (auch Medical Health Data (MHD) genannt) der Version 3.1.2 erweitert sowie die fachliche Spezifikation des eMP bereitstellt.

Zudem wurde am 01.08.2025 ein Release 3.1.3 vorab veröffentlicht, das die Spezifikationen des R 3.1.2 um den eMP erweitert. Die Umnummerierung hat rein formale Gründe: https://gemspec.gematik.de/prereleases/Draft_ePA_3_1_3/

• startet den Rollout in Q3/2025

• Verbesserungen der Vertreterfunktion
  • Vertreter ohne eigenes Aktenkonto
  • Vertreter AS-übergreifend
  • Vertreter ohne eigenes FdV
• Gesetzliche Themen und Funktionen
  • Desktop FdV
  • LEI-spezifisches Verbergen des dgMP
  • Anlegen der Datenkategorie §25b SGB V
  • Integration des TI-Messengers im ePA-Frontend des Versicherten
  • EU-Berechtigung (optional)

vorher: 3.1.2

• Gesetzliche Themen
  • Fortentwicklung dgMP
  • Datenausleitung zu Forschungszwecken
  • Weiterentwicklung des TI-Messengers auf Basis konkreter Anwendungsfälle für eine strukturierte Kommunikation
• Funktionen
  • Volltextsuche
  • Verbesserte Metadaten
  • Schnittstellenerweiterung (FHIR json – FHIR XML)
  • Anhänge (Append XDS Document Service)
  • ePA-Aktensystem für PoPP vorbereiten
  • Push Notifications

Ein Folgerelease 3.2 mit weiteren Prozessen (bspw. Labor und Entlassung Krankenhaus) ist in Planung

Artikel im DÄB zu Weiterentwicklungen

Während zur Teilnahme an der Pilotierung ein Primärsystem mit einer Konformitätsbewertung der Stufe 1 ausreichte, müssen Leistungserbringende spätestens zum 1.10.2025, also mit der Verpflichtung zur Nutzung und Befüllung der ePA, ein Primärsystem nutzen, das eine Konformitätsbewertung der Stufe 2 besitzt.¹⁴⁾

Die gematik veröffentlicht sowohl auf ihrer Wissensnetzseite ina als auch auf ihrer Zulassungsseite eine Übersicht aller Primärsysteme, die ein KOB erfolgreich durchlaufen haben.

Von Seiten des bvitg heißt es zudem (2.7.2025): Alle Anbieter von Praxisverwaltungssystemen (PVS), die im Bundesverband Gesundheits-IT – bvitg e. V. organisiert sind, haben inzwischen die notwendigen ePA-Module ausgeliefert oder realisieren dies zu Beginn des dritten Quartals 2025.¹⁵⁾

Stand 27.06.2025

• 58 PVS-Hersteller die Konformitätsbewertung „KOB Stufe 2“ durchlaufen und ein gültiges Zertifikat.
• Sie sind damit in der Lage die beiden ePA-Aktensysteme der Krankenkassen zu bedienen. ⇒ Marktabdeckung von mehr als 85 Prozent.
• Nach Aussagen der PVS-Hersteller, die uns vorliegen, erreicht der Rollout der neuen ePA mittlerweile eine ähnliche Marktabdeckung. Das heißt im Umkehrschluss: Bis zu 15 Prozent der Arztpraxen arbeiten mit PVS ohne zertifiziertes ePA-Modul. Bei rund 100.000 Praxen deutschlandweit stehen damit bis zu 15.000 Praxen derzeit ohne zertifiziertes PVS da.
• Die gematik erwartet jedoch mit dem Quartalsupdate weitere Systemhersteller mit KOB-2-Zertifizierung. Sie weist auch darauf hin, dass bei vielen Systemen die Aktivierung des ePA-Moduls durch die Ärzte und Ärztinnen notwendig sei.¹⁶⁾

RISE und IBM sind die beiden zugelassenen Aktensysteme für die ePA für alle.

14.01.2025 Erstes Betreiberzulassung für das Aktensystem (RISE/BITMARCK) ist (2 Tage vor dem Start der ePA für alle) erteilt.¹⁷⁾
15.01.2025 IBM erhält ebenfalls Betreiberzulassung für das ePA-Aktensystem
16.01.2025 gematik meldet die Zulassung sowohl von RISE als auch von IBM.¹⁸⁾

16.07.2025: RISE meldet Zulassung für Release 3.0.5 durch gematik: https://www.presseportal.de/pm/130294/6077599

• Informationsseiten des vdek auf dem Webportal „Gesund digital“, einfache Infos¹⁹⁾

• Umgang mit Akten von Kindern und Jugendlichen: https://www.aerzteblatt.de/nachrichten/157051/Kinder-und-Jugendaerzte-benennen-konkrete-Probleme-der-elektronischen-Patientenakte

Quelle: https://www.handelsblatt.com/politik/deutschland/krankenkassen-whistleblower-legt-unbefugt-widerspruch-gegen-epa-ein/100124912.html

• Allein mit einem Brief und einer willkürlichen Unterschrift – ohne technische Hilfsmittel, Insiderwissen oder gar einen Hack – ist es einem Whistleblower gelungen, unerlaubt einen Widerspruch für die ePA einer Versicherten einzureichen.
• Whistleblower ist namentlich bekannt und arbeitet bei einer Krankenkasse
• Durchführung mit Wissen und Einwilligung der betroffenen Versicherten
• Ende April hatte der Sicherheitsforscher für die Versicherte der Barmer einen Widerspruch gegen ihre ePA eingelegt. Der Widerspruch wurde durch das Ausfüllen eines Formulars auf der Website der Krankenkasse eingeleitet. Dafür musste er lediglich den Namen und die Anschrift der Versicherten kennen. „Eine Identitätsprüfung war nicht nötig“, berichtete der Sicherheitsforscher dem Handelsblatt.
• Der Forscher unterzeichnete das Formular der Kasse mit einer willkürlich gewählten Signatur und schickte es per Post an die angegebene Adresse. Zwei Tage später erhielt die Versicherte eine Bestätigung per E-Mail, dass ihr Widerspruch erfasst und ihre ePA „unwiderruflich gelöscht“ worden sei.
• entsprechende Dokumente liegen vor

(Bereits im Februar gab es einen ähnlichen Fall: Der Forscher unterzeichnete das Formular der Kasse mit einer willkürlich gewählten Signatur und schickte es per Post an die angegebene Adresse. Zwei Tage später erhielt die Versicherte eine Bestätigung per E-Mail, dass ihr Widerspruch erfasst und ihre ePA „unwiderruflich gelöscht“ worden sei.

• Wie bereits beim Angriff des CCC im Dezember 2024 erfolgt der Angriff und unberechtigte Zugriff auf ePAs über das Fälschen des zum Zugriff benötigten Behandlungskontextes in der Rolle einer Leistungserbringerorganisation.
• Zudem gab es keine Tatsächlichen ZUgriffe, das Szenario wurde nur beschrieben.
• Der Angriff fußt auf dem CCC-Angriff vom Dezember 2024 und hebelt die neu eigeführte Gegenmaßnahme über einen HCV (Hash Check Value) aus.
• Bei dieser Maßnahme wurde die Krankenversichertennummer (KVNR) verschlüsselt übertragen und bei der Berechnung des HCV weitere Daten, die nicht über eine „gestohlene“ eGK verfügbar sind (Wohnstrasse und Versicherungsbeginn), einbezogen.
• Der Angreifer nutzt jetzt die Abfrage einer elektronischen Ersatzbescheinigung (eEB) via KIM (bei der Kasse) und gelangt so an diese weiteren Daten.
• Ein potentieller analoger Angriff über VSDM brächte nichts, da dort die benötigten Daten nicht übertragen werden.
• Anschließend läuft der Angriff damit wie der bisherige, wobei durch die Summe der vorliegenden Daten plus eine benötigte Liste der Zuordnung von KVNRs zu ICCSNs (Nummer) der eGKs, HCV ausgehebelt wird.
• Ansonsten benötigt man nach wie vor natürlich die gesamten Voraussetzungen des Angriffs aus dem Hack vom Dezember 2024 (SMC-B, VPN-Vertrag, KIM-Vertrag, Zuordnung eGK-Nummer zur richtigen KVNR)

Laut gematik „geht nicht davon aus, dass Versichertendaten tatsächlich abgeflossen sind“²⁰⁾.

Als erste Gegenmaßnahme hat gematik veranlasst, dass die eEB bei den Kassen abgeschaltet wird. Da die eEB in einem niedrigen einstelligen Tausenderbereich täglich genutzt, ist das allerdings keine nachhaltige Gegenmaßnahme. Hier muss eine andere Lösung her.

Die BREg beantwortet die Frage nach konkreten Maßnahmen in BT-Drs 21/119, S. 48f.

• Pressemitteilung der gematik
• Pressemitteilung des BMG
• FAQ der gematik
• Folge des eHealth-Podcast zum Hack

• Vortrag des CCC (Beginn bei 16:42)
• Pressemitteilung des Chaos Computer Club e.V. (27.12.2024) zu den Sicherheitslücken
• Stellungnahme gematik
• Artikel netzpolitik.org
• Einordnung Mark Langguth
• Sehr guter Artikel mit einer systematischen Zusammenfassung der Angriffsszenarien: https://www.aerztezeitung.de/Wirtschaft/Erstaunlich-So-einfach-gelingen-Angriffe-auf-die-ePA-455518.html
• Specänderungen zur Mitigation: https://gemspec.gematik.de/prereleases/Draft_ePAfueralle_3_0_3-1/
• Kleine Anfrage der AfD zur Sicherheit der ePA: https://dserver.bundestag.de/btd/20/146/2014668.pdf; Antwort der BReg: https://dserver.bundestag.de/btd/20/149/2014939.pdf
• Kleine Anfrage der Linken zur Sicherheit der ePA: https://dserver.bundestag.de/btd/20/146/2014674.pdf; Antwort der BReg: https://dserver.bundestag.de/btd/20/149/2014953.pdf

Das BSI (und BMG) bestätigt inzwischen, dass die kurzfristigen Maßnahmen geeignet seien, um den Rollout zu starten, der CC bestreitet dies vehement.²¹⁾

Die eGK-Ausgabe erfordert als solche erfordert keine Identifizierung. Festgelegt ist aber gem. § 291 Abs. 6 S. 1 SGB V:

Die Krankenkasse hat bei der Ausstellung der elektronischen Gesundheitskarte die in der Richtlinie gemäß § 217f Absatz 4b vorgesehenen Maßnahmen und Vorgaben zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme umzusetzen.

Die Richtlinie muss alle 2 Jahre aktualisiert werden. Aktuellste Version ist vom 12.06.2023: https://www.gkv-spitzenverband.de/krankenversicherung/digitalisierung/sozialdatenschutz_1/schutz_der_sozialdaten.jsp. Die Richtlinie ist mit BfDI und BSI abgestimmt!

Wenn man die Vorgaben der Richtlinie als Krankenkasse beachten würde, müsste man bspw. wohl folgendes bei Kontaktaufnahme wegen eGK-Ausgabe vorsehen:

Für ein hohes Schutzniveau ist die Abfrage bzw. der Abgleich von Daten erforderlich, bei denen davon ausgegangen werden kann, dass sie nur dem Berechtigten bekannt sind.

Die Richtlinie ist aber arg verschwurbelt, was man wann genau wie machen müsste ,erschließt sich nicht sofort. Scheint den Krankenkassen offensichtlich auch so zu gehen, In jedem Falle aber, wäre es SEHR schwierig, wenn man die Maßnahmen alle beachten würde, sich eine eGK an eine andere als an die Adresse unter der der eGK-Inhaber gemeldet ist zusenden zu lassen.

Offensichtlich beachten die Kassen also bereits diese Richtlinie nicht.

Wollte man eine eGK nun wie einen HBA oder zumindest eine SMC-B-Ausgabe durchführen, müsste eine Identifikation her.

Man hätte also zwei Dinge, die man einfordern könnte:

1. Kassen sollten bitte die RL beachten
2. eGKs dürfen nicht ohne Ident ausgegeben werden

Zudem gilt ja auch § 336 Abs. 4 SGB V:

Der Zugriff eines Versicherten auf Daten in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 durch das geeignete technische Verfahren nach Absatz 1 mittels der elektronischen Gesundheitskarte oder seiner digitalen Identität nach § 291 Absatz 8 darf erst erfolgen, wenn

1. die elektronische Gesundheitskarte des Versicherten oder deren persönliche Identifikationsnummer (PIN) mit einem sicheren Verfahren persönlich an den Versicherten zugestellt wurde oder
2. eine Übergabe der elektronischen Gesundheitskarte oder deren PIN in einer Geschäftsstelle der Krankenkasse erfolgt ist, oder
3. eine nachträgliche, sichere Identifikation des Versicherten und seiner bereits ausgegebenen elektronischen Gesundheitskarte erfolgt ist; die nachträgliche sichere Identifikation kann mit einer digitalen Identität nach § 291 Absatz 8 Satz 1 mit einem der elektronischen Gesundheitskarte entsprechendem Vertrauensniveau erfolgen, oder
4. die elektronische Gesundheitskarte des Versicherten oder deren PIN mit einem sicheren Verfahren persönlich an den in einer Vorsorgevollmacht benannten Vertreter oder den in einer Bestellungsurkunde benannten Betreuer zugestellt wurde und diese Vorsorgevollmacht oder Bestellungsurkunde der Krankenkasse vorliegt.

Es handelt sich um Übergangslösungen bis zur vollständigen Beseitigung der Problematik über PoPP.

Für die Testphase wurde zunächst eine sog. AllowList eingeführt, die nur den zur Erprobung zugelassenen Leistungserbringerinstitutionen ermöglichte, einen Behandlungskontext zu eröffnen und somit Zugriff auf die ePA mittels eGK zu erhalten. Diese ist mittlerweile (seit 8.4.2025) abgeschaltet und die folgenden Maßnahmen greifen.

Anpassung des VSDM++-Prüfnachweises.

Die kryptographische Absicherung der Prüfziffer wird angepasst (Version 2 der Prüfziffer).

Es wird nun ein Hash Check Value (hcv) erzeugt, in dessen Berechnung neben der KVNR, auch der Versicherungsbeginn und die Straße der Versichertenadresse mit einfließen. Der hcv wird dann vom ePA-Aktensystem geprüft.

Ein Massenzugriff wird auf diese Weise wirksam verhindert. Liegt eine gültige Praxisinfrastruktur vor bzw. kann simuliert/beschafft werden und sind die KVNR, der Versicherungsbeginn und die Straße der Adresse sowie die ID (ICCSN) der eGK bekannt, ist der Zugriff auf einzelne Akten weiterhin theoretisch möglic

Aktuell zum Status: https://www.apotheken-umschau.de/gesundheitspolitik/elektronische-patientenakte-was-privatversicherte-jetzt-wissen-muessen-1350495.html

Fünf Privatversicherer planen, noch in 2025 mit der ePA zu starten: die Debeka, DKV, Axa, Bayerische Beamtenkrankenkasse und die Union Krankenversicherung. Die Generali, Arag und die Württembergische planen mit einem Starttermin 2026.²²⁾

• https://www.kbv.de/media/sp/PraxisInfoSpezial_ePA2025_PVS_Anforderungen.pdf

• ePA nicht barrierefrei: Sozialverband VdK Deutschland²³⁾
• ePA-Probleme bei Nutzung durch Kinder und Jugendliche: BVKJ²⁴⁾
• Patientenschützer problematisieren fehlende Möglichkeit einzelne Dokumente vor einem Leistungserbringer vergergen zu können: Deutsche Stiftung Patientenschutz²⁵⁾
• Kassen wünschen sich Zugriff auf die ePA-Daten²⁶⁾