Reparieren statt Wegwerfen

Linux Special:

ePA - Elektronische Patientenakte
Wie mit einem PC sicher nutzen und verwalten?

Ältere PCs solltet ihr keinesfalls entsorgen, nur weil der PC nicht Windows-11-tauglich ist. Ganz im Gegenteil: Gerade wegen der zweifelhaften Daten-Abfischerei von Windows (Stichworte: copilot, recall,...) solltet ihr eure vorhandenen PCs weiternutzen. Besonders gut geeignet sind sie für die ePA , die Elektronische Patientenakte! ... aber auch: eID/eGovernment, Bankgeschäfte & sicheres Bezahlen, usw. ...).
Windows 11 kann euch diese Sicherheit nicht bieten.

Bildschirmaufnahme epaclient.de Infos zur neuen Desktop-App für die elektronische Gesundheitsakte — Erst seit Ende August 2025: Datenschutzkonforme ePA-Nutzung mit dem neuen ePA-Desktop-Client

Seit Ende August 2025 möglich: Die datenschutz-konforme und sichere Nutzung der ePA direkt am PC (Desktops & Laptops)

Ansicht Desktop-APP ePA elektronische Gesundheitsakte — ePA-Client: Ansicht Startseite am PC Desktops & Laptops

Mit der neuen PC-Option ist die ePA jetzt tatsächlich SICHER nutzbar! Die ePA-Nutzer haben damit die 100%-Kontrolle über ihre eigenen Daten.

Bei anderen Varianten ist diese Datensicherheit und Datenhoheit nicht gewährleistet (also: per Smartphones mit GooglePlay oder Apple AppStore, oder gar mit Desktop-Apps für Windows).

KURZ ZUSAMMENGEFASST:

Was wird zur sicheren ePA-Nutzung benötigt?

Ansicht ePA Client Beispiel IKK Infos zur Nutzung — Infos in der Client-App, was zur Nutzung benötigt wird.

ePA Client: Software für Desktop-PCs & Laptops (NICHT für Smartphones!)
Kartenlesegerät: mind. Sicherheitsklasse 2 (oder höher)
PIN: erhält ihr von eurer Krankenkasse (i.F. abgekürzt: "KK")
Aktiviertes Aktenkonto bei der KK (s.u. Fehlercodes)
eGK (= elektronische Gesundheitskarte)

Downloads & Installation

Details s.u. | hier tl;dr Kurzfassung:

epaclient.de Download Linux-Client
- danach AppImage ausführbar machen:
  Rechtsklick auf AppImage-Datei > Eigenschaften > Zugriffsrechte: bei "Ausführen" Häkchen setzen.
  Danach kann der epaclient mit Doppelklick auf die AppImage-Datei gestartet werden.
Kartenlesegeräte:
1. Terminal-Eingabe: sudo apt install libpcsclite1 pcscd
  Damit funktionieren schon die Cherry-Kartenleser ST-2000 ST-2100.
2. Für ReinerSCT-Geräte zusätzlich: Geräte-Treiber downloaden und installieren

Getestet mit: Linux Mint 22.2, Ubuntu 24.04, Debian 13

DETAILS:

[1] ePA-Client

Jede KK benötigt einen eigenen Client. Der ePA-Client ist auch nur an einem Desktop-PC oder Laptop nutzbar (nicht für Smartphones & Tablets nutzbar).

Ansicht Webseite epaclient.de Auswahl Krankenkasse gelb markiert — Krankenkasse im Dropdown-Menü auswählen.

Ansicht Webseite epaclient.de Auswahl Betriebssystem — Danach werden die 3 Betriebssysteme angezeigt. Beim Klick auf den Button startet der Download, und...

Ansicht Webseite epaclient.de — erst dann wird auch der Download-Link für die Prüfsummendatei angezeigt.

--- Download ---

Ein vertrauenswürdiger und datenschutz-sicherer Download ist uns bisher nur von der offiziellen Seite epaclient.de bekannt.

Bei Downloads > KK auswählen, danach > Betriebssystem auswählen
optional: Checksumme prüfen

Ansicht Desktop mit 2 Dateien im Download-Ordner — 2 Dateien downgeloadet: (1) ePA-Client als AppImage-Datei, (2) Textdatei mit sha256-Hash

Ansicht Desktop mit geöffnetem Texteditor — Checksummen-Datei sha256 mit einem Texteditor öffnen

Ansicht Desktop mit zusätzlich geöffnetem GtkHash-Fenster — Prüfsoftware GtkHash öffnen

Ansicht Desktop AppImage gelb markiert zu Dateifeld — AppImage ins 1. Textfeld "Datei:" ziehen

Ansicht Desktop sha256-Hast markiert mit gelben Pfeilen ins 2. Textfeld und Hash-Button — 64-stellingen Hashcode markieren, und per copy/paste ins 2. Textfeld kopieren. Danach mit Klick auf den Button 'Hash' Prüfung starten.

Ansicht Desktop mit 2 grünen Punkten beim Prüfergebnis — Prüfung abgeschlossen: Die 2 sha256-Werte sind identisch und mit 2 grünen Punkten markiert. Die downgeloadete AppImage-Datei entspricht den Hersteller-Vorgaben und wurde somit nicht nachträglich noch manipuliert.

(Siehe auch unten Bilder-Anleitung)

Was bedeutet: Checksumme?
Das ist eine Prüfsumme zur Verifizierung von Software, um Manipulationen von Dritten ausschließen zu können. Seriöse Software-Ersteller veröffentlichen eine (engl.) "checksum", die eine Software nach dem Downlaod haben muss. Stimmt die Prüfsumme nicht, wurde die Software manipuliert. Nur bei 1 Zeichen mehr oder weniger, stimmt sie nicht mehr überein.

⇒ Deitailliertere Infos zum Prüfsummen-Check (auch mit der Windows Power Shell).

Details Prüfsummencheck des epaclient in Linux. Beispiel in einem Mint Cinnamon mit Software-Tool GtkHash:

Bild-1: Ansicht Download-Ordner mit den 2 Dateien.

Bild-2: Mit Klick auf die sha256-Datei wird der Editor geöffnet und der Inhalt der Datei wird angezeigt. Darin steht also nur an erster Stelle die erwartende Prüfsumme mit 64 Zeichen in Hexadezimalform, also nur mit den Ziffern 0-9 und den Buchstaben a-f. Hinter der Prüfsumme wird noch der Name der Datei angegeben, worauf sich diese Prüfsumme bezieht. Mehr steht nicht in solch einer Prüfsummendatei!

Bild-3: Das Software-Tool GtKHash öffnen.

Bild-4: Aus dem Download-Ordner zieht ihr die AppImage-Datei in die erste Zeile (rechts neben "Datei:"). (Alternativ: Oder ihr klickt rechts neben der Zeile das Ordnersymbol an und sucht die AppImage dann über das Dateiverwaltungsystem.)

Bild-5: Prüfsumme per copy/paste in 2. Zeile kopieren (bei: "Prüfung:"). Anschließend auf den Button Hash klicken. Die Prüfsummen der downgeloadeten AppImage-Datei wird berechnet.

Bild-6: Ergebnis Prüfsummen-Check BESTANDEN! ;-)
Die 2 grünen Punkte zeigen an, dass die sha256-Werte identisch sind. Die Software wurde nicht manipuliert und ist unverändert.

Der epaclient bietet bisher die höchstmögliche Sicherheit.
Der Download des epaclient ist für die Betriebssysteme Windows und Apple zwar noch sicher, ABER was Windows & Apple dann auf den Nutzer-PCs damit anstellt, kann vom ePA-Client selbst wenig bis gar nicht beeinflusst werden.

Das große ABER:
In der Datenschutzcommunity bestehen keine Zweifel, dass personenbezogene Daten zur Softwarenutzung direkt an Windows und Apple gesendet werden. Wann und wie oft wird der Client genutzt? Welche Personen nutzen welche Clients? Welche Krankenkasse hat diese Person? usw. ...

Offiziell können Inhalte und Gesundheitsdaten direkt in und aus der ePA von Windows & Apple nicht genutzt werden.
Aber ACHTUNG: Beim Download von Dateien aus der ePA auf den eigenen Computer, werden diese unverschlüsselt abgespeichert. Jeder, der Zugriff auf diesen Computer hat (erlaubt oder nicht erlaubt), kann diese Dateien auch sehen, nutzen, kopieren, weiterverteilen, usw. ...
Um eine wirksame Verschlüsselung auf dem eigenen PC müssen sich die Nutzer selbst kümmern.

Windows 11: potenziell UNSICHER!
Die Besonderheit an Windows 11: Mit den neuen KI-Funktionen kann Microsoft alles abfischen, was ihr auf eurem Rechner so macht. Speziell damit kann jede eigene Verschlüsselung auf der Festplatte sehr effektiv umgangen und unwirksam gemacht werden.

Beispiel RECALL:
Diese Funktion macht Screeshots (= Fotos, was auf dem Monitor angezeigt wird) und speichert diese unverschlüsselt auf der Festplatte. Damit kann alles dokumentiert werden, was auf eurem Monitor zu sehen ist, z.B. Login-Daten (mit Benutzernamen und Passwort) für jedes eurer Benutzerkonten ---> also auch zu eurer ePA mit all den Daten, die ihr über den Monitor in eurer ePA so anschaut.

Alles, was ihr in der ePA anschaut, könnte auch Windows sehen und speichern.
Mehr noch: Alles, was unverschlüsselt auf der Festplatte gespeichert ist, könnten Trojaner Malware & Co. auch überall abgreifen und an jeden Server dieser Welt weiter versenden. Ein Hoch auf diese tolle neue Windows11-Welt ;-)

Wollt ihr, dass Windows-11 so etwas mit euren Gesundheitsdaten aus der ePA machen könnte???
=> Mögliche Lösungen für dieses Problem hier nachlesen.

--- Installation ---

Bei einer AppImage-Datei ist KEINE Installation notwendig! Alle zur Ausführung notwendigen Funktionen sind in dieser 1 Datei gesammelt. Es wird nichts weiter benötigt oder sonst irgendwo auf dem System gespeichert - ein großer Vorteil gegenüber Windows-Software generell.

Ansicht AppImage Mausklick rechts Menü — Mausklick rechts: Im Menü "Eigenschaften" anklicken.

Ansicht Eigenschaften Zugriffsrechts — Im Reiter "Zugriffsrechte" Häkchen setzen bei "Ausführen: "

Eine AppImage-Datei muss nur ausführbar gemacht werden. Beispiel bei Linux Mint Cinnamon:

Rechtsklick auf die AppImage-Datei > Eigenschaften anklicken
Fenster Eigenschaften > Reiter Zurgriffsrechte: Häkchen setzen bei "Ausführen: ..."

Damit ist die ePA-AppImage 'ausführbar' und kann auch mit einem Doppelklick bequem gestartet werden.

[2] Karten-Lesegeräte

Die PC-Nutzung der ePA mit Chipkarten-Lesegeräten gewährleistet, dass sich nur Inhaber einer eGK bei ihrer persönlichen ePA einloggen können.
Ohne eGK kein Zugang!

Ansicht 2 Chipkarten-Lesegeräte — Beispiele Kartenleser:
- Reiner SCT cyberJack RFID Standard (SK3)
- Cherry Smart Terminal ST-2100 (SK2)

Beim ePA-Login ist eine Identifizierung notwendig.
FUNKTIONSWEISE:
Der Kartenleser wird per USB mit dem PC verbunden und die eGK in den Kartenleser gesteckt.
Der ePA-Client liest die Basisdaten der eGK aus (KK, Zugangsnummer, Name). Erst dann wird das weitere Login-Prozedere frei gegeben, mit anschließender Aufforderung zur Eingabe der persönlichen PIN.

Die PIN sollte auch nur über die Tasten des Kartenlesers eingegeben werden, und nicht über die PC-Tastatur.
Dieses Sicherheitsmerkmal bieten auch nur Kartenleser der Sicherheitsklasse 2.

--- Installation ---

Zuerst müssen per Terminal librarys nachinstalliert werden:

sudo apt install libpcsclite1 pcscd

Damit werden die Cherry-Kartenlesegeräte erkannt und sind nutzbar (getestet mit ST-2000 und ST-2100).

Für die ReinerSCT-Geräte müsst ihr zusätzlich noch die ⇒ Geräte-Treiber installieren.

Abschließende Zusammenfassung:

Diese 3er-Kombi zur Nutzung der ePA mit (1) eGK + PIN über einen (2) Chip-Kartenleser und dem (3) epaclient.de ist aktuell die Methode, bei der die Nutzer die Datensicherheit und Datenhoheit zu 100 % selbst in der Hand hätten.

Wer aber die ePA übers Smartphone oder am Desktop mit Windows/Apple nutzen möchte, gibt seine Datenhoheit an Windows, Apple und Google größtenteils ab. Damit hättet ihr auch keine wirksame Kontrollmögllichkeit über eure persönlichen Daten, und welche von euch selbst an diese 3 weitergegeben werden.

Fehlercodes & Lösungen

Nachtrag Fehlercode 1.1.N.1

Unerwartete Überraschung: Trotz korrekter (Mehrfach-)Installation des epaclients sowie zweier Chipkarten-Lesegeräte (sogar getestet auf mehreren Linux-Distributionen) erschien bei 1 KK nach der PIN-Eingabe bei all den erw. Optionen immer der Fehlercode: 1.1.N.1.

Erst auf Anfrage direkt bei dieser KK stellte sich heraus, dass ein aktiviertes Aktenkonto mit aktiver E-Mail-Adresse benötigt wird. Diese kleine aber sehr wichtige Infos scheint man bei den vielen generellen Online-Informationen wohl vergessen zu haben ;-)

Fehlercodes Liste

Hier auszugsweise ein paar Fehlermeldungen, die wir so schon gesehen haben.

Laut Installationsanleitung für Linux (v. 11.06.25), Pkt. 4.2 Seite 8:

Kein oder inaktives Aktenkonto bei der Krankenkasse

Fehlerausgabe: "Der Zugriff für diese Operation kann nicht gewährt werden."
Wird ausgegeben, nachdem die PIN über die Tastenleser-Tastatur eingegeben wird. Der Client überprüft bei der KK die Daten, findet aber keine.

Lösung: Im Online-Account der KK Aktenkonto aktivieren, bzw. Kontakt direkt mit der KK aufnehmen.

siehe oben...

Die Ursache war:
Kein aktives Aktenkonto bei der KK, eigentlich wohl identisch zu 0.2.N.55

-----------------
Anmerkung:
Es fehlte die generelle Information der KK, dass zur Nutzung der ePA ein Online-Konto benötigt wird (mit E-Mail-Adresse).

Grund: Beim 1. Login in die ePA wird nochmals ein 6-stelliger "Registrierungscode" an diese E-Mail-Adresse versendet. Erst nach Eingabe dieses Codes in die ePA ist auch der Zugang möglich.

3.312.313.102"Es ist ein Fehler in Ihrer Patientenakte aufgetreten."

Textinfo genauso pauschal wie bei 1.1.N.1.

Der Fehler ist aufgetreten beim Versuch die Berechtigung einer Arztpraxis zu ändern. Beim Klick auf den Speichern-Button wird der Fehler (entweder mit diesem Fehlercode, oder ganz ohne Fehlercode) angezeigt. Zudem schließt sich ePA-Client jedes Mal und muss neu gestartet werden.

Beim 1. Versuch wurden die Änderungen scheinbar gespeichert. Beim nächsten Login wurden aber wieder die alten Einstellungen angezeigt, als diejenigen vor der Speicherung. Klickt man oben im Hamburger-Dropdown-Menü auf "Aktualisieren", erscheinen dann tatäschlich die neuen und gewollten Berechtigungs-Einstellungen.
Beim nächsten Login geht das Spielchen wieder von vorne los: Anzeige alte Einstellungen > Aktualisieren > Anzeige neue Einstellungen.

Das dürfte nun tatsächlich ein "Bug"/Programmierfehler sein. Es ist nicht klar, wodurch der Fehler entsteht und welche Einstellungen nun tatsächlich gespeichert sind. Es ist völlig unklar, ob die gewollten Einstellungen dann auch bei den Arztpraxen so umgesetzt werden, wie ePA-Nutzer es wünschen. Eine effektive Kontrollmöglichkeit gibt es nicht.

Insgesamt eher sehr verwirrend, weil Nutzer damit nicht zuverlässig wissen können, welche Berechtigungen bei den Arztpraxen tatsächlich wirksam sind.

Ein Hardware-Fehler (PC + Kartenleser) oder Linux-Installation schließen wir vorerst mal aus. Der Fehler wurde getestet mit Ubuntu 24.04. sowie Mint 22.2 - bei beiden Distros mit 2 Kartenleser (ReinerSCT*Standard) und Cherry*ST. Bei allen 4 Varianten gibt es derselben Fehler.

4.N.N.1: "Es ist ein Fehler beim Zugriff auf Ihre Gesundheitskarte aufgetreten. Möglicherweise ist Ihre Gesundheitskarte ungültig oder beschädigt. Bitte wenden Sie sich an Ihre Krankenkasse."

Diese Fehlermeldung wurde bei einem älteren Ubuntu angezeigt.

Diese eGK war in Ordnung. Es war nicht die aktuellsten LIbrarys für den Kartenleser installiert, wodurch die eGK nicht gelesen werden konnte.

Mögliche Lösung:
In diesem Fall wurde nach einem Upgrade auf Ubuntu 24.04 der Fehler nicht mehr angezeigt.

4.N.N.-3: "Der Zugriff auf Ihre Karte wurde abgebrochen."

Wurde bei einem Cherry ST-2100 ausgegeben, nach der Aufforderung die Karte in den Leser zu stecken.
Anscheinend hatte der epaclient über den Leser erkannt, dass eine eGK eingesteckt wurde, konnte die eGK aber nicht korrekt oder gar nicht lesen.

Lösung: Der epaclient musste geschlossen und neu geöffnet sowie die eGK aus dem Kartenleser gezogen werden.
Beim 2. Versuch, die Karte einzustecken, wurde sie korrekt erkannt.

Vermutlicher Fehler: Die Karte wurde davor nur schnell-schnell eingesteckt und fehlerhaft bzw. gar nicht gelesen.
Also eine Cherry-Eigenheit; gab es bei ReinerSCT-Geräten bisher noch nicht.

Zusatzinfos

Ihr wollt die ePA mit Windows 11 nutzen?

Windows 11 und eine datenschutz-sichere Nutzung der ePA schließen sich kategorisch gegenseitig aus. Dennoch gibt es Möglichkeiten, auf einem Win11-PC die ePA sicher nutzen zu können. Aber das ist nur mit speziellen Sicherheitsvorkehrungen möglich, die auch nur mit einem parallel installierten Linux möglich sind: entweder Dualboot (Windows 11 + Linux auf 1 Festplatte), oder 1 externe Festplatte mit einem persistenten Linux. Beides kann dann auf und mit dem Windows-11-Computer genutzt werden.

Zudem kann das Betriebssystem dann mit einer speziellen Verschlüsselung versehen werden, sodass niemand sonst die auf der Festplatte gespeicherten Gesundheits-Daten und persönlichen Infos lesen und nutzen kann. Desweiteren gibt es zusätzliche nützliche Optionen aus dem Linux-Sicherheitskonzept, die Windows 11 nicht bieten kann.

Warum wird die ePA bisher so wenig genutzt?

Dazu gibt es einen sehr interessanten Beitrag bei tagesschau.de(v. 20.07.2025) nachzulesen. Die für uns plausibelsten 2 Hauptgründe werden darin jedoch nicht erwähnt, nämlich die (1.) Usability & Accessability aus Sicht der Versicherten selbst, sowie die durchgängig gewährleistete o.e. Datesicherheit bzw. vielmehr (2.) das fehlende Vertrauen dazu generell.

Ansich Bildschirmaufnahme Tagesschau-Bericht Webseite

Ausgerechnet die 2 KK mit den am wenigsten praktikablen ePA-Lösungen kommen darin zu Wort: die AOK und die Techniker (TK).

Die Nutzung der ePA am Smartphone wird von den meisten abgelehnt, weil aufgrund des kleinen Displays zu unübersichtlich. Zudem vertrauen viele der Handy-Nutzung nicht wirklich. Alternativ bieten die AOK und TK zwar auch Desktop-Lösungen an, aber man höre und staune:
Für die PC-Nutzung ist eine Identifizierung NUR per Smartphone möglich! Doppelt gemoppelt! Die ePA kann am PC also nur mit einer zusätzlichen App auf dem Smartphone genutzt werden. Speziell die Insellösungen dieser 2 KK sind wenig praktikabel und datenschutztechnisch sogar äußerst bedenklich.

Wie wäre es, wenn sich die KK-Anbieter an den tatsächlichen Bedürnissen Ihrer Versicherten orientieren würden?
Eine Smartphone-App ist durchaus legitim, und auch die PC-Nutzung mit Windows. Aber viele Versicherte wollen weder das Eine noch das Andere. Deshalb warten viele ab: Es fehlt die vertrauenswürdigere Alternative zwischendrin.

Die Lösung per epaclient.de ist bzgl. Datensicherheit & Datenhoheit die akutell praktikabelste. Sie ist zwar auch noch nicht perfekt, aber mit Abstand zu anderen KK auf dem besseren und weniger holprigem Wege dahin.

Ihr wünscht Hilfe & Unterstützung?

In unserer Offenen Werkstatt helfen wir euch gerne bei der Einrichtung und euren Ersten Schritten.

Nur mal ausprobieren, wie die ePA funktioniert? Auch das geht. Wir haben Demogeräte (Kartenleser) und Software-Clients (KK-spezifisch) vor Ort. Damit könnt ihr euch praktisch vorzeigen lassen und gleich selbermachen, um selbst zu erfahren, wie dieses System funktioniert.

Wer Windows und den Smartphone-APPs auch nicht vertraut und diese nicht nutzen will oder kann, erhält alle notwendigen Infos, wie die ePA selbst auf Windows-11-PCs datenschutzsicher genutzt werden kann.