Die elektronische Patientenakte - Sicherheit, Abhängigkeiten und Umsetzung des Europäischen Gesundheitsdatenraums

Wie wird durch die Bundesregierung sichergestellt, dass die Lieferketten für sicherheitsrelevante Komponenten der Telematikinfrastruktur wie Konnektoren und Lesegeräte zur Authentifizierung und Identifikation von Zugriffsberechtigten auf die elektronische Patientenakte gegen Manipulationen, Ausfälle oder unautorisierte Zugriffe gesichert sind?

Aus welchen Staaten sind derzeit Unternehmen in die Herstellung, Lieferung oder Wartung dieser Komponenten eingebunden?

Welche Vorkehrungen trifft die Bundesregierung mit Blick auf zukünftige geopolitische Spannungen oder unterbrochene Handelsbeziehungen, um die Versorgungssicherheit und Integrität dieser Komponenten dauerhaft zu gewährleisten?

Welche kryptografischen Maßnahmen zum Schutz der Telematikinfrastruktur, insbesondere der ePA, gegen Angriffe mithilfe von Quantencomputern sind derzeit implementiert, welche sind geplant, und existiert eine umfassende Strategie der Bundesregierung zur Einführung von Post-Quanten-Kryptografie in besonders sicherheitsrelevanten Bereichen der öffentlichen IT-Infrastruktur?

Wie sieht nach Kenntnis der Bundesregierung die von der gematik GmbH vorgenommene Neubewertung der vom Chaos Computer Club (CCC) dargestellten Schwachstelle (www.bundesgesundheitsministerium.de/presse/pressemitteilungen/epa-sicherheitsluecke-geschlossen-pm-30-04-25.html) bei der Erstellung von Berechtigungstokens durch simulierte elektronische Gesundheitskarten aus, und inwiefern wurde eine unabhängige sicherheitstechnische Überprüfung vorgenommen?

Sind sämtliche Einrichtungen und beteiligte Unternehmen vom Entwurf des NIS-2-Umsetzungsgesetzes (NIS = Netzwerk- und Informationssicherheit; Bundestagsdrucksache 21/1501) sowie vom KRITIS-Dachgesetz (KRITIS = Kritische Infrastruktur) laut Kabinettbeschluss (www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2025/09/kritis-dg-kabinett.html) als besonders wichtige Einrichtungen bzw. als Betreiber kritischer Anlagen erfasst, die in die Telematikinfrastruktur und die ePA eingebunden sind, und wenn nein, welche Einrichtungen oder Dienstleistungen sind davon ausgenommen oder könnten davon über Öffnungsklauseln ausgenommen werden?

Hat das Bundesministerium für Gesundheit zur sicherheitspolitischen Bewertung der Vergabe und technischen Umsetzung der ePA die sicherheitsrelevante Expertise der zuständigen Bundesinstitutionen eingeholt, insbesondere des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundesnachrichtendienstes (BND), des Militärischen Abschirmdienstes (MAD), des Bundesamts für Verfassungsschutz (BfV), des Bundeskriminalamts (BKA), der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), des Cyber-Abwehrzentrums sowie des Bundesministeriums des Innern (BMI), und wenn ja, wann und in welcher Form wurden diese Stellen jeweils einbezogen und mit welchen Ergebnissen?

Sind für Angehörige sicherheitsrelevanter Berufsgruppen und Geheimnisträgerinnen und Geheimnisträger besondere Schutzmaßnahmen geplant im Rahmen der ePA, um die erhöhte Schutzbedürftigkeit ihrer Gesundheitsdaten zu berücksichtigen?

Aus welchen Gründen plant die Bundeswehr, eine eigenständige ePA zu entwickeln bzw. einzusetzen, statt die bestehende zivile ePA-Infrastruktur zu nutzen, und welche sicherheitstechnischen, organisatorischen oder rechtlichen Erwägungen stehen einer gemeinsamen Nutzung entgegen?

Wird derzeit geprüft, eine technisch abgeschottete Spezialanwendung auf Basis der zivilen ePA in Auftrag zu geben?

Soll die ePA der Bundeswehr vollständig getrennt von der zivilen Telematikinfrastruktur betrieben werden?

Welche Bundesbehörden, sicherheitsrelevante Stellen und welche Unternehmen sind in die Konzeption und sicherheitstechnische Prüfung der ePA für die Bundeswehr eingebunden?

Welche besonderen sicherheitstechnischen Anforderungen gelten für die ePA der Bundeswehr im Vergleich zur zivilen ePA, und inwiefern unterscheiden sich Architektur, Zugriffskontrolle, Datenhaltung und Verschlüsselungstechnologien im militärischen Kontext?

Wird es eine Widerspruchsmöglichkeit geben?

Wurde bei der Entwicklung und Programmierung der ePA ein Threat-Modell zur systematischen Bedrohungsanalyse eingesetzt, wenn ja, welches Modell wurde verwendet und aus welchen Gründen, und wenn nein, aus welchen Erwägungen wurde darauf verzichtet?

Wurde im Rahmen der Entwicklung der ePA ein Architecture Decision Record geführt, um zentrale Architekturentscheidungen nachvollziehbar zu dokumentieren, und wenn ja, ist dieser öffentlich einsehbar bzw. wird eine Offenlegung gegenüber dem Parlament geprüft?

Welchen Zeitplan verfolgt die Bundesregierung bezüglich der Umsetzung der Verordnung über den Europäischen Gesundheitsdatenraum (EHDS-Verordnung)?

Welcher Anpassungsbedarf ergibt sich aus Sicht der Bundesregierung bezogen auf die ePA und ihre rechtlichen Grundlagen aus der EHDS-Verordnung (soweit dies noch Gegenstand von Prüfungen ist, auf welche Aspekte beziehen sich diese Prüfungen, und bis wann plant die Bundesregierung, sie abzuschließen)?

Hat die Bundesregierung Kenntnis von aus Sicht der Fragestellenden möglichen Überlegungen, den EHDS mit der EU-Digital Identity Wallet nach der eIDAS-Verordnung (eIDAS: Electronic Identification, Authentification and Trust Services) zu verknüpfen, und hat sich die Bundesregierung eine Auffassung dazu gebildet, wie sie eine mögliche Verknüpfung bewerten würde?

Welche Ausnahmen vom Opt-Out zur Sekundärnutzung im Rahmen des EHDS sind der Bundesregierung bekannt, wie bewertet sie deren Reichweite, und wie definiert sie diese Ausnahmen?

Welche Verträge über welche Dienstleistungen und in welchem finanziellen Umfang wurden zu welchen Daten zwischen der „Gematik“ und der „Arvato Systems“ geschlossen?

Welche Maßnahmen der Qualitätssicherung ergreift die „Gematik“ in Bezug auf die von der „Arvato Systems“ übernommenen Leistungen?

Welche Störungen der Telematikinfrastruktur gab es seit ihrer Einführung, welche Gründe hatten die Störungen, und wurden sie so behoben, dass sie in dieser Form nicht wieder auftreten können?

Wurden weitere Unternehmen von der „Gematik“ mit Leistungen zur Telematikinfrastruktur beauftragt, und wenn ja, welche Unternehmen, welche Verträge und welches Auftragsvolumen liegen jeweils vor?