Einen Tag nach dem Deutschlandstart der elektronischen Patientenakte (ePA 3.0) musste die Betreiberin der Infrastruktur, die gematik, bereits eingestehen, dass man eine weitere Sicherheitslücke, die der CCC gemeldet hatte, kurzfristig beseitigt habe. Jetzt wurde bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) genau vor diesem Szenario gewarnt hatte.
ePA 3.0, der (holprige) Start
Zum 29. April 2025 war der Stichtag, zu dem die Elektronische Patientenakte (ePA 3.0) aus dem Pilotbetrieb (seit 15. Januar 2025) in den Regelbetrieb wechselte. Alle gesetzlich Krankenversicherten, die nicht für ein Opt-out votiert hatten, besitzen eine solche von den Krankenkassen angelegte und verwaltete Elektronische Patientenakte (ePA 3.0).
Der flächendeckende Betrieb ist freiwillig für Leistungserbringer und startete mit Verzögerung (der Start war ursprünglich zum 15. Februar 2025 geplant, aber es gab massive Probleme in der Pilot-Phase, siehe Apothekenumschau: Insights zum ePA 3.0-Testlauf – es hakt weiterhin). Erst zum 1. Oktober 2025 wird die ePA-Unterstützung für Leistungserbringer verpflichtend.
Ab dem 1.1.2026 ist eine fehlende ePA-Unterstützung durch Leistungserbringer sanktionsbewehrt, d.h. es gibt Abzüge bei der Vergütung. Den Status der ePA 3.0 zum flächendeckenden Start hatte ich im Beitrag Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025 umrissen: Kaum Funktionen, viele Praxen können noch keine ePA 3.0 unterstützen.
Tipp: heise gibt in diesem Artikel einige Erläuterungen zur ePA samt Verwaltung der Daten per Krankenkassen-App durch die Versicherten. Die Redaktion hat sich die Mühe gemacht, die betreffenden Links zum App-Download für zahlreiche Krankenkassen zusammen zu tragen.
Rückblick: Der Disput um die Sicherheit
Seit die gesetzlichen Grundlagen für die Elektronische Patientenakte (ePA 3.0) mit Opt-out für die gesetzlich Krankenversicherten geschaffen wurden, kreiste ein Teil der Debatte um die Frage der Sicherheit der Daten. Nur zur Erinnerung: Wir haben ein System, bei dem Hunderttausende Stellen potentiell auf die Daten in den elektronischen Patientenakten zugreifen können – Zugang soll die Gesundheitskarte (eGK) der Versicherten und ggf. eine App der Krankenkassen regeln.
ePA und Cyberangriffe
Jeder Fehler schlägt sofort auf die Sicherheit durch. Problem ist beispielsweise auch, dass diese Daten für staatliche Akteure (staatliche Hacker und Geheimdienste) von Interesse sein können (siehe Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe). Auch das BSI kritisiert im betreffenden Artikel die Sicherheit der TI-Infrastruktur, viele Leistungserbringer haben die IT-Sicherheitsmaßnahmen nicht umgesetzt. Wir sind weit von einer sicheren Anbindung an die Telematik Infrastruktur (TI) entfernt.
Riesige Datenflüsse abseits der ePA
Zudem sollen die Daten aus der ePA in das Forschungsdatenzentrum Gesundheit weitergeleitet werden. Hieß es erst noch, dass die Daten pseudonymisiert zusammengeführt werden, hatte ich im Beitrag Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025 darauf hingewiesen, dass ab Mitte 2025 neben den Abrechnungsdaten weitere Daten der gesetzlich Versicherten automatisch an das Forschungsdatenzentrum Gesundheit übermittelt werden sollen. Dort sollen über den Spitzenverband der gesetzlichen Krankenkassen unter anderem die von den Pflege- und Krankenkassen "übermittelten Daten […] in versichertenbezogene Datensätze zusammen" geführt werden.
Die Daten der Versicherten wandern zusätzlich in Zukunft in den European Health Data Space (EHDS), da Patienten europaweit behandelt und die Ärzte auf deren Daten zugreifen können sollen. Beim EHDS gibt es kein Widerspruchsrecht der Patienten, nur in den einzelnen EU-Mitgliedsstaaten kann ein Opt-in oder Opt-out bei der Erfassung der Gesundheitsdaten zugestanden werden.
Sprich: Die ePA-Daten entwickeln nach der Erfassung ein Eigenleben und ursprüngliche Zusicherungen "alles ist sicher, der Patient hat die Kontrolle" haben sich nach meinem Gefühl in Luft aufgelöst. Erste Begehrlichkeiten sind ja zu erkennen – selbst Prof. Karl Lauterbach schwärmte vom riesigen Datenschatz, an dem US-Unternehmen wie Meta und Alphabeth Interesse zeigten (Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz").
Das "die ePA ist sicher"-Muster der Protagonisten
Noch Gesundheitsminister Prof. Karl Lauterbach verkündete immer, dass die ePA 3.0 nicht an den Start gehe, wenn nicht alle Sicherheitslücken geschlossen wären. Vor dem Start zum 29. April 2025 hieß es dann "die Elektronische Patientenakte ist sicher, die Schwachstellen wurden beseitigt". Fachleute bezweifelten dies immer wieder – was aber von den Verantwortlichen abgetan wurde. Hier ein kurzer Abriss, was mir zu diesem Thema spontan einfällt.
- Die gematik hatte bei der Fraunhofer SIT ein Sicherheitsgutachten zum Konzept der elektronischen Patientenakte (ePA) beauftragt. Die SIT benötigte künstliche Intelligenz zur Unterstützung, um die Spezifikation überhaupt durchdringen zu können. Deren Aussage war "Sicherheit kann hergestellt werden, es gibt aber Schwachstellen" (siehe auch Sicherheitsgutachten zur elektronischen Patientenakte (ePA)). Die gematik machte daraus ein "die ePA 3.0 ist sicher".
- Im Herbst 2024 wiesen Sicherheitsexperten über den Chaos Computer Club (CCC) die gematik auf potentielle Schwachstellen im Hinblick auf unbefugte Zugriffe auf die ePA 3.0 hin. Das wurde von der gematik als "theoretisch" abgetan. Zum Jahresende 2024 machten die Sicherheitsexperten die Erkenntnisse öffentlich (siehe Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten). Die gematik besserte dann kurz vor dem Start des Pilotbetriebs hektisch nach (die Pilotpraxen wurden explizit freigeschaltet, um Missbrauch auszuschließen).
- Zum 29. April 2025 startete dann die ePA 3.0 flächendeckend. Zum 30. April 2025 vermeldete die gematik, dass man eine neue, über den Chaos Computer Club (CCC) gemeldete Schwachstelle kurzfristig geschlossen hatte. Ich hatte den Sachverhalt im Beitrag ePA 3.0: Neue Sicherheitslücke entdeckt und geschlossen aufgegriffen. Konkret wurde die Sicherheitslücke durch Deaktivierung einer Funktion "wegdefiniert".
Es zeigt sich ein wiederkehrendes Muster: Sicherheitsforscher weisen auf Probleme hin, die gematik als Bereitsteller der Infrastruktur negiert ein Problem oder reagiert bei konkretem Nachweis einer Schwachstelle. Sicherheitsfachleute bezeichnen das Konstrukt der ePA 3.0 in Bezug auf die Sicherheit der Daten als "Flickwerk". Aufgezeigte Schwachstellen wurden durch "Winkelzüge" wie Abschaltung von Funktionen ausgebügelt.
Das BSI hat auf die letzte Schwachstelle hingewiesen
Kommen wir zum letzten Fall, den ich im Beitrag ePA 3.0: Neue Sicherheitslücke entdeckt und geschlossen aufgegriffen hatte. Sicherheitsforscher, die sich für das Thema ePA-Sicherheit interessieren, hatten eine Missbrauchsmöglichkeit zum Zugriff auf ePA-Daten nachgewiesen. Die gematik definierte es als "Risiko, welches nur einige wenige Versicherte bestimmter Krankenkassen betraf" (was zutreffen kann, oder auch nicht).
Spannend ist aber die Rolle des Bundesamt für Sicherheit in der Informationstechnik (BSI) in der ganzen Angelegenheit. Das BSI hat bezahlte Fachleute für Sicherheitseinschätzungen und war auch mit der ePA 3.0 befasst. Die Erklärung des BSI zur elektronischen Patientenakte (gültig zum Zeitpunkt der Erstellung dieses Blog-Beitrags) habe ich am Ende des Artikel angehängt.
Die Redaktion von heise hatte bezüglich der zuletzt geschlossenen Sicherheitslücke mit dem BSI Kontakt und direkt nachgefragt. Gemäß dem heise-Artikel ePA-Sicherheit: BSI hat vor Risiko gewarnt war dem BSI das Problem bekannt. heise zitiert eine BSI-Sprecherin mit: "Das BSI hatte auf ein bestehendes Restrisiko für gezielte Angriffe auf die ePA durch ein solches potentielles Szenario [über die elektronische Ersatzbescheinigung] hingewiesen und seine Stakeholder darüber vor dem bundesweiten ePA-Rollout informiert." Das ist eine klare Aussage – das Risiko war den Verantwortlichen bekannt.
Etwas irritierend fand ich die von heise zitierte Aussage des BSI, die von "hohen technischen Hürden" ausgehen und die Notwendigkeit, Hardware aus dem Gesundheitssystem sowie einem gültigen Identitätsnachweis zu beschaffen, was eine Hürde sei, die zudem Aufdeckungsrisiko mit sich bringe.
Die Spezialisten des CCC hatten sich die technische Ausrüstung auf dem Gebrauchtmarkt besorgt – entsprechende Identitätsnachweise konnten die White-Hat-Hacker im Umfeld des CCC ebenfalls beschaffen. Die benötigten Informationen für einen potentiellen Angriff über die Daten der elektronischen Ersatzbescheinigung ließen sich über die API der Krankenkassen abrufen.
Liest man den heise-Beitrag, wird klar, dass das BSI die Verantwortlichkeit bei der gematik und der übergeordneten Instanz, dem Bundesgesundheitsministerium, sieht. Entlarvend ist die von heise zitierte BSI-Aussage: "Die Frage, ob die für das Angriffsszenario notwendigen zusätzlichen Patienteninformationen strukturell angemessen geschützt sind, entzieht sich dem Aufgabenbereich des BSI". Im Klartext: Das BSI hat nichts zu sagen, und kann auch "nichts freigeben", sondern bewertet nur. Die Entscheidungen fallen bei der gematik. Und dort deutet sich das in obigen Abschnitten skizzierte Muster an.
An dieser Stelle: Es wäre der elektronischen Patientenakte ein Erfolg zu wünschen – die Idee dahinter ist ja nicht schlecht. Weil die Dinge aber mal so sind, wie sie sind, ist mit dem Ansatz "Einfach mal machen und schauen, was da bei herauskommt" meiner Einschätzung nach kurzfristig kein Blumentopf zu gewinnen. Aus den USA lese ich fast täglich über Datenschutzvorfälle im Bereich Gesundheitsdaten, die Millionen Versicherte umfassen. Ich hoffe nicht, dass uns in den kommenden Jahren ähnliche Fälle blühen. Aber das ist einer der Gründe, warum ich der ePA 3.0 im Rahmen der Opt-out-Möglichkeiten widersprochen habe.
Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe
EU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx "falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten
Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz"
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten
Ärzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025
Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News
KBV Ärztepräsident Gassen: "Elektronische Patientenakte verzögert sich"
Apothekenumschau: Insights zum ePA 3.0-Testlauf – es hakt weiterhin
Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025
ePA 3.0: Neue Sicherheitslücke entdeckt und geschlossen
Information des BSI zur ePA 3.0
Die elektronische Patientenakte – Meilenstein für die Digitalisierung der Gesundheitsversorgung
Ab dem 29. April 2025 steht die elektronische Patientenakte (ePA) nach einer Erprobungsphase in Modellregionen bundesweit für rund 73 Millionen gesetzlich Versicherten zur Verfügung. Die Krankenkassen richten die ePA automatisch für ihre Versicherten ein. Die Versicherten haben jederzeit die Möglichkeit, der elektronischen Patientenakte zu widersprechen.
Die ePA bringt zahlreiche Vorteile für die Gesundheitsversorgung mit sich. Sie verbessert den Austausch und die Nutzung von Gesundheitsdaten zwischen behandelnden Ärztinnen und Ärzten sowie anderen leistungserbringenden Institutionen im Gesundheitswesen, um die Versorgung der Patientinnen und Patienten effizienter und gezielter zu gestalten.
Wichtige Unterlagen wie Arztbriefe, Laborbefunde oder Medikationspläne werden sicher gespeichert und sind jederzeit verfügbar. Dabei bleibt der Datenschutz oberstes Gebot: Nur berechtigte Personen und Einrichtungen erhalten Zugriff und die Versicherten behalten stets die Kontrolle darüber, wer ihre Daten einsehen darf.
Mit der ePA wird ein großer Schritt hin zu einer modernen, vernetzten und patientenzentrierten Gesundheitsversorgung unternommen.
Nutzung der elektronischen Patientenakte
Die ePA ermöglicht es Versicherten jederzeit Einsicht in ihre Gesundheitsdaten zu nehmen, die sicher in der Akte abgelegt sind. Jede Krankenkasse stellt dafür eine App bereit, über die Versicherte ihre Daten einsehen und verwalten können. Über die App behalten Versicherte zudem die volle Kontrolle: Sie können nachvollziehen, wer Zugriff auf ihre Daten hat, Zugriffsrechte ändern oder einzelnen Institutionen den Zugriff verweigern. Zusätzlich können sie bei Bedarf eine Stellvertreterin oder einen Stellvertreter – etwa ein Familienmitglied, eine vertraute Person oder eine rechtliche Vertretung – für die Verwaltung der ePA ermächtigen.
Mit der ePA wird die Verwaltung der eigenen Gesundheitsdaten einfach, transparent und flexibel.
Datensicherheit der elektronischen Patientenakte
Die Sicherheit der Daten in der elektronischen Patientenakte ist durch eine umfassende Sicherheitsarchitektur gewährleistet. Die sensiblen Gesundheitsdaten werden verschlüsselt in zertifizierten Rechenzentren in Deutschland gespeichert. In den leistungserbringenden Institutionen sorgen BSI-zertifizierte Konnektoren, Kartenterminals und Smartcards für einen sicheren Zugang zur Telematikinfrastruktur.
Versicherte melden sich über die ePA App mit ihrer elektronischen Gesundheitskarte (eGK) oder ihrem Personalausweis und der jeweils dazugehörigen PIN an. Diese Kombination gewährleistet, dass nur autorisierte Personen Zugriff über die App auf die Akte erhalten.
Der Datenaustausch mit den Servern der ePA erfolgt über verschlüsselte Kanäle. Dadurch wird sichergestellt, dass die Gesundheitsdaten während der Übertragung geschützt sind.
Mit diesem Sicherheitskonzept erfüllt die ePA die höchsten Sicherheitsanforderungen nach aktuellem Stand der Technik und bietet gleichzeitig eine moderne und verlässliche Grundlage für die digitale Gesundheitsversorgung.
MVP: 2013 – 2016
Jedes Wort bei ePA sollte derzeit auf der Goldwaage liegen. Das von GB als "gematik .. negiert ein Problem" bezeichnete Vorgehen bewerte ich als bewusst unvollständig und somit auch als Falschaussage.
1. Die Sicherheitslücke ist nicht geschlossen, Prozess & Service lediglich abgeschaltet
2. Von *-Lauterbach sah ich in der Presse:
– wird erst ausgerollt "wenn sicher gegen Hackerangriffe (Heise, 8.1.2025)
– der massenhafte" Abfluss von Patientendaten muss verhindert werden
– "Nur berechtige Personen (..) erhalten Zugriff"
In Summe entlarvt dies mehrmals Falschaussagen: Nichts ist absolut sicher, Breaches werden politisch white-washed wenn es nicht zu Viele sind.
Das Gesetz zur Beschleunigung und Digitalisierung der EPA – ein Mittel um Funktionalitätsreduktion, Aufwandsunterschätzung und fehlende granulare Datenfreigabe zu legitimieren.
Und Lauterbach – lest doch mal seine Doktorarbeit [PDF hab ich als Scan noch hier] – er hat allenfalls auf hintersten Plätzen die Kompetenz bei Logik oder IT eine Frage – geschweige valide Aussage – über Risiken zu treffen.
@Tom – falls Du kennst: Höre Stumpf, "Blut, Gehirn, Massaker" dazu … *seufz*
Die Aussage(n) der Gematik ist eine Sauerei insbesondere im Hinblick auf den zustäzlichen Hinweis des BSI!
Allerdings ist die Sicherheitslücke per Definition durch den 'Workaround' geschlossen und die Bezeichnung '*-Lauterbach' halte ich für nicht angemessen.
"Sicher gegen Hackerangriffe" ist natürlich Blödsinn – die beiden anderen Aussagen aber erst einmal in Ordnung!
Ich sehe hier fachliches Versagen und eine Falschaussage, die aber wohl mehr fehlendem Fachwissen und einer Verkürzung geschuldet ist – daher ist das auch eher kein 'Whitewashing'.
Was das mit Ls Doktorarbeit zu zun haben soll, weiß ich nicht und IT-Kompetenzen erwarte ich, wie gesagt auch nicht unbedingt!
PS Wer oder was ist 'Tom'
Es fängt ja schon mit "Nur berechtigte Personen erhalten Zugriff" an – wer bestimmt, wer "berechtigt" ist? Und den "unberechtigten" wird es auch nicht allzu schwer gemacht.
Nur Datensammlungen, die gar nicht erst vorhanden sind, können nicht abfließen.
Berechtigt ist jeder der dafür bereit ist zu zahlen ;-P den Datenschatz heben muss sich ja lohnen!
Es gibt da draussen aber noch tatsächlich Leute die glauben der Patient sei der Nutznieser… Nein, der ist die Ware!
Das richtet sich nach Gesetzen und dabei insbesondere dem Grundgesetz…
Mich würde mal interessieren, wie viele der Verantwortlichen/Zuständigen/Befürworter (BSI, Gematik, Politik, …) gesetzlich versichert sind und nicht widersprochen haben.
Nimm das in dein Comedy-/Satire-/Kabarettprogramm auf :)
Rausfinden wird man das wahrscheinlich nicht können; falls es doch gehen sollte, dann möglicherweise über eine Anfrage der Opposition an die Regierung.
Hierbei würde ich am Ehesten bei 'Die Linke' mit so etwas rechnen. Bei 'Die Grünen' eher nicht und bei AfD auch nicht – außer es geht wieder ums "Dagegensein".
Ich bin nach wie vor davon überzeugt, dass Digitalisierung einfach nicht überall, wenn Menschen damit umgehen sollen, in Gesellschaften die nicht für immer diskriminierungsfrei bleiben, machbar und sinnvoll ist.
Bisher bringen Dinge wie die epa viele, viele, technische und logistische Risiken mit sich, deren Einschätzung auf Nutzerseite schon mal tieferes Verständnis in die Funktion der nötige Geräte (Smartphone) benötigt. Was nützt einem jede Zugangsbeschränkung, wenn das genutzte Medium eh mitliest?
Digitalzwang. Für Menschen mit wenig Geld wird es keine sicheren Smartphones geben. Für Menschen mit wenig technischem Interesse oder Wissen wird es keine Sicherheit geben.
Insgesamt scheint mir der Aufwand immer größer und anspruchsvoller zu werden. Die Risiken, in der Breite, immer größer zu werden.
Unbedarftes, naives Nutzen mag relativ einfach sein. Das aber eröffnet Interessenträger jede Tür und Pforte und das remote, schnell und tief.
Siehe auch Beitrag von Mike Kuketz vom 02.05.2025 auf seinem Blog:
https://www.kuketz-blog.de/gematik-erklaert-die-epa-sicherheitsluecke-fuer-erledigt-aber-das-eigentliche-problem-ist-systemisch/
Gematik erklärt die ePA-Sicherheitslücke für erledigt – aber das eigentliche Problem ist systemisch
Sein Fazit (Zitat):
"Die gematik bemüht sich, eine Sicherheitslücke herunterzuspielen, indem sie technisches Versagen in vorsichtige Formulierungen kleidet und Verantwortung diffus verteilt. Die zentrale Erkenntnis des CCC wird nicht ernsthaft aufgearbeitet, sondern mit rhetorischer Schadensbegrenzung übertüncht."
"Doch der eigentliche Skandal ist: Es brauchte nicht einen Geheimdienst, um auf Gesundheitsdaten zugreifen zu können – es reichten zwei engagierte Sicherheitsforscher, ein einfaches Skript und öffentlich dokumentierte Schwächen im System. Dass eine derart sensible Infrastruktur auf derart leicht aushebelbaren Schutzmechanismen basiert, ist nicht nur ein technisches Versagen – es ist ein sicherheitspolitisches Risiko für Staat und Gesellschaft."
"Solange die gematik nicht bereit ist, echte Fehlerkultur, vollständige Transparenz und externe Kontrolle zuzulassen, bleibt das Vertrauen in die digitale Gesundheitsinfrastruktur fragil. Und das ist gefährlich – für die Gesellschaft, nicht nur für "einzelne Versicherte".
Ergänzend:
Siehe Beitrag vom RND vom 03.05.2025:
https://www.rnd.de/wirtschaft/sicherheitsluecken-in-patientenakte-ein-fall-aus-daenemark-zeigt-was-schieflaufen-kann-VO7BQ5VJDBHMLJCRWVVLERG2LA.html
Sicherheitslücken in Patientenakte: Ein Fall aus Dänemark zeigt, was schieflaufen kann
Zitat:
"Besonders pikant: Unter den erbeuteten Daten sind offenbar nicht nur Kontaktdaten wie Telefonnummern und E-Mail-Adressen und die sogenannte CPR-Nummer – ein Code, der in Dänemark zur Identifizierung dient, etwa bei Behördengängen. Nein, die Daten umfassen bei etwa 14.000 Menschen offenbar auch die Krankenakten. Darin enthalten: Informationen zur Krankengeschichte, zu Überweisungen ins Krankenhaus oder zu den Medikamenten, die die Patienten erhalten haben. Bekannt wurde der Fall im Januar – erst drei Wochen nach dem eigentlichen Hack wurden die Betroffenen informiert."