Einerseits bekommen die Krankenkassen gar keine Befunde. Sie können lediglich anhand der Rechnungen (das sollte sich durch die ePA auch nicht ändern), also offensichtlichen Behandlungen, auf eine gewisse Indikation schließen. Die Indikation prüft aber die KV und nicht die Kasse.
Andererseits, ja, EIN Mitarbeiter irgendeines Unternehmens, einer Institution kann Geheimnisverrat begehen und ggf. Schaden anrichten. Genauso kann auch der sprichwörtliche Laptop (siehe Fundstücke der Ente) geklaut werden. Natürlich.
Dazu (auch für das Strafrisiko) müsste an dem Geheimnis und seiner Auftraggeber ein gewisses sehr starkes Interesse bestehen.
Das mag vielleicht bei Staatslenkern der Fall sein, aber so wichtig bin ich vermutlich nicht, daß explizit meine Rechnungen irgendwo hin weitergegeben würden.
Problematisch ist hier allerdings der „kleine Dienstweg“: Wenn beispielsweise aufgrund strafrechtlich relevanter Ermittlungen in meinem Umfeld ein Ermittler, der an entscheidender Stelle einen Angehörigen hat, diesen privat anspricht, ihm Informationen zu „besorgen“, kann das fatal sein.
Es würde sich eben jedoch für Datenbankangriffe per remote immer lohnen, weil da die Deckung gut, der Erfolg ohne große Anstrengung zu erreichen und der Misserfolg recht unschädlich ist. Oft geht es dabei gar nicht um die pekuniäre Auswertung erlangter Daten selbst, sondern um Erpressung bzw. um öffentliche Korrumpierung des Halters der Datenbank.
Das ist aber unabhängig von der ePA auch in allen Datenbanken, die online erreichbar sind, das Problem, weshalb ich dort generell gegen die Aufbewahrung meiner Daten bin.
Abgesehen von meinen immer wieder erwähnten Beispielressourcen zu Datenbank-Einbrüchen renommiertester Datenhalter, List of data breaches und Have I been pawned? kommt da heute auch ein ganz aktueller Fall aus unserem Forum dazu: Toyota Bank - Datenverlust.