gematik Brain

Dieses Projekt ist eine private, nicht-offizielle Zusammenstellung. Die Inhalte wurden mit Hilfe von KI auf Basis öffentlich zugänglicher Quellen (fachportal.gematik.de, gematik.de) erstellt. Keine Verbindung zur gematik GmbH. Fehler möglich. Beiträge willkommen.

PoPP - Proof of Patient Presence

6 Min. Lesezeit 15 VerknüpfungenWachsendDieser Artikel ist solide, aber noch in Entwicklung

PoPP - Proof of Patient Presence

Der PoPP-Dienst (Proof of Patient Presence) ist ein TI-Dienst, der kryptografisch nachweist, dass ein Versicherter bei einem Leistungserbringer physisch anwesend ist oder online aktiv eingewilligt hat, bevor auf seine Patientendaten zugegriffen werden darf.

Erklärt für Einsteiger

Stell dir vor, jemand könnte mit einer gefälschten Praxiskarte auf die Patientenakten vieler Menschen zugreifen, ohne dass die Patienten dabei sind. Genau diese Lücke hat der Chaos Computer Club Ende 2024 in der ePA gefunden. PoPP löst dieses Problem: Bevor ein Arzt auf deine Akte zugreifen kann, muss dein Körper sozusagen “anwesend” sein. Das funktioniert, indem deine eGK in der Praxis ausgelesen wird und ein sicherer, zeitgebundener Nachweis erzeugt wird. Ohne diesen Nachweis kein Zugriff.

Überblick

Der PoPP-Dienst wurde als direkte Reaktion auf die CCC-Sicherheitsforschung entwickelt. Ende 2024 zeigten Sicherheitsforscher, dass durch den Einsatz gefälschter SMC-B-Karten ein Massenzugriff auf ePA-Daten theoretisch möglich gewesen wäre. Die gematik und das BSI bestätigten, dass kein tatsächlicher Missbrauch stattgefunden hatte, leiteten aber Sofortmaßnahmen ein.

Die dauerhafte Lösung ist der PoPP-Dienst. Am 3. März 2026 veröffentlichte die gematik die PoPP-Dienst-Spezifikation V1.0.0. Den Implementierungsauftrag für Stufe 1 erhielt RISE (Rostocker Initiative Software Engineering).

PoPP ersetzt prospektiv das bisherige VSDM-Verfahren (VSDM++) für den Präsenznachweis. Es ist keine bloße Erweiterung, sondern ein eigenständiger Dienst mit eigenem kryptografischen Protokoll.

Interesse compliance

Ab Mitte 2026 ist PoPP Stufe 1 produktiv. PVS-, KIS- und AVS-Hersteller müssen die PoPP-Schnittstelle implementieren, um weiterhin den ePA-Zugriff für ihre Einrichtungen zu ermöglichen. Während der Einführungsphase läuft VSDM++ parallel. Ein konkreter Abschalttermin für das alte Verfahren ist noch nicht festgesetzt.

Praxis-Tipp: Was PoPP für Ihren Praxisablauf bedeutet

Ab Mitte 2026 ändert sich der Ablauf beim ePA-Zugriff. PoPP ersetzt schrittweise das bisherige VSDM++-Verfahren.

In Ihrer Praxis bedeutet das konkret:

  • Der Patient steckt seine eGK wie gewohnt ins Kartenterminal
  • Ihr PVS holt automatisch im Hintergrund ein PoPP-Token
  • Erst danach öffnet sich der ePA-Zugriff im PVS
  • Für Sie und Ihre MFA ändert sich der sichtbare Ablauf kaum

Handlungsbedarf jetzt: Fragen Sie Ihren PVS-Anbieter, ob das Update für PoPP-Stufe 1 bereits im Lieferplan steht. Ohne PVS-Update ist ab Einführung kein ePA-Zugriff mehr möglich. Planen Sie das Update außerhalb der Sprechstunde ein.

Frist-Warnung: PoPP-Implementierungspflicht für PVS, KIS und AVS ab Mitte 2026

Rechtsgrundlage: § 291b SGB V (Fassung ab 1. April 2026 gemäß DigiG); gematik-Zulassungsordnung für ePA-kompatible Primärsysteme; gemSpec_PoPP_Service V1.0.0 (veröffentlicht 3. März 2026). Frist: Ab Mitte 2026 ist PoPP Stufe 1 produktiv. Primärsysteme (PVS, KIS, AVS), die auf die ePA zugreifen wollen, müssen die PoPP-Schnittstelle implementiert haben. Das bisherige VSDM++-Verfahren läuft während der Einführungsphase parallel weiter. Ein konkreter Abschalttermin für VSDM++ ist noch nicht festgesetzt. Handlungsbedarf: PVS-, KIS- und AVS-Hersteller müssen die PoPP-API-Spezifikation implementieren und ihre Systeme zertifizieren lassen. Leistungserbringer müssen bei ihrem Softwareanbieter schriftlich anfragen, ob das PoPP-Stufe-1-Update im Lieferplan steht und bis wann es ausgeliefert wird. Bei Nichtbeachtung: Nach Abschaltung des VSDM++-Verfahrens verlieren Primärsysteme ohne PoPP-Zertifizierung den Zugriff auf die ePA. Für Leistungserbringer bedeutet dies: keine ePA-Befüllung und kein ePA-Datenabruf für Patienten.

Ausbaustufen

Stufe 1 (produktiv: Mitte 2026):

  • eGK-basierter Präsenznachweis in Praxis und Krankenhaus
  • Hausbesuch-Szenario: eGK-Auslesen mit mobilen Geräten
  • Nachweis: Die eGK des Versicherten wird am Kartenterminal ausgelesen, ein zeitgebundenes Präsenztoken wird erzeugt

Stufe 2 (geplant: Q4/2026):

  • Online-Check-in vor dem Arztbesuch
  • Authentisierung über Gesundheits-ID
  • Telemedizin-Szenarien
  • Kontaktlose eGK-Nutzung ohne PIN (in Verbindung mit CardLink)

Technische Details

Kryptografisches Grundprinzip

Interesse technik

Spezifikation: gemSpec_PoPP_Service V1.0.0. Token-Format: JWT (JSON Web Token), signiert durch den PoPP-Dienst. Schnittstelle: REST/FHIR-basiert. Das PoPP-Token enthält: Kartenidentität (Zertifikat-Referenz), Zeitstempel, Gültigkeitsdauer. Für die Integration in PVS, KIS und AVS ist die PoPP-API-Dokumentation auf dem gematik Fachportal verfügbar.

PoPP erzeugt ein zeitgebundenes, einmalig verwendbares Präsenztoken (Proof-of-Presence-Token, PoPP-Token). Der Ablauf in Stufe 1:

  1. Der Versicherte steckt seine eGK am Kartenterminal in der Praxis
  2. Der Konnektor oder das TI-Gateway leitet eine Anfrage an den PoPP-Dienst weiter
  3. Der PoPP-Dienst validiert die Kartenzertifikate gegen die TI-PKI
  4. Der PoPP-Dienst erzeugt ein signiertes, zeitgebundenes Token
  5. Das Token wird dem Primärsystem übergeben
  6. Das Primärsystem verwendet das Token für den ePA-Zugriff

Das Token ist an den Versicherten (Kartenidentität) und den Zeitpunkt gebunden. Eine SMC-B allein reicht nicht mehr, um auf die ePA zuzugreifen.

Sicherheitsgewinn gegenüber VSDM++

Das bisherige VSDM++-Verfahren prüfte lediglich, ob eine gültige SMC-B vorhanden ist. Es prüfte nicht, ob der betroffene Versicherte auch tatsächlich anwesend ist. PoPP bindet den Zugriff zusätzlich an die physische eGK des Versicherten, die zum Ausstellungszeitpunkt des Tokens ausgelesen werden muss.

Protokoll und Integration

  • Schnittstelle: REST/FHIR-basiert
  • Token-Format: JSON Web Token (JWT), signiert durch den PoPP-Dienst
  • Integration: Primärsysteme (PVS, KIS, AVS) müssen die PoPP-Schnittstelle implementieren
  • Rückwärtskompatibilität: Während der Einführungsphase läuft VSDM++ parallel weiter

Klinik-Integration: PoPP im Krankenhaus-Workflow

Im Krankenhaus bedeutet PoPP: Vor jedem ePA-Zugriff muss das KIS ein gültiges PoPP-Token vorlegen. Das Token wird erzeugt, indem die eGK des Patienten am Kartenterminal ausgelesen wird. Erst danach darf das KIS Dokumente aus der ePA abrufen oder einstellen.

Kartenterminal-Planung: PoPP Stufe 1 (ab Mitte 2026) erfordert die physische eGK am Kartenterminal. Im Krankenhaus bedeutet das: An jedem Punkt, an dem ePA-Zugriffe stattfinden (Aufnahme, Station, Entlassung), muss ein Kartenterminal mit TI-Anbindung vorhanden sein. Bei Notaufnahmen mit hohem Patientenaufkommen (über 80 Aufnahmen/Tag) sind mehrere Terminals einzuplanen. KIS-Update-Pflicht: Das KIS muss die PoPP-API implementieren und bei jedem ePA-Zugriff das PoPP-Token anfordern. Ohne KIS-Update ist ab PoPP-Einführung kein ePA-Zugriff mehr möglich. Fragen Sie Ihren KIS-Hersteller jetzt, ob das Update für PoPP Stufe 1 im Lieferplan steht und wann es verfügbar ist. Redundanz beachten: Der PoPP-Dienst ist ein zentraler TI-Dienst. Wenn die TI-Verbindung ausfällt, ist kein PoPP-Token abrufbar und damit kein ePA-Zugriff möglich. Planen Sie einen dokumentierten Notfallprozess für den Ausfall der TI-Verbindung ein, der den klinischen Betrieb sicherstellt.

Dev Quickstart: PoPP-Token anfordern und verwenden

OpenAPI-Spec: gematik/api-popp | Sample-Code: gematik/popp-sample-code

# PoPP-Token vom PoPP-Dienst anfordern
# (Konnektor/TI-Gateway übermittelt eGK-Zertifikat und signierte Challenge)
curl -X POST "https://<popp-dienst-host>/popp/v1/token" \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer <smcb-access-token>" \
  -d '{
    "egkCertificate": "<Base64-kodiertes eGK-Zertifikat>",
    "cardHandle":     "<Konnektor-CardHandle>",
    "timestamp":      "2026-03-20T10:00:00Z"
  }'
 
# Antwort: PoPP-Token (JWT, signiert ES256)
# { "poppToken": "eyJ0eXAiOiJKV1QiLCJhbGciOiJFUzI1NiIsImtpZCI6Ii4uLiJ9..." }
 
# JWK-Endpoint des PoPP-Dienstes (öffentliche Schlüssel zur Token-Verifikation)
curl -s "https://<popp-dienst-host>/popp/v1/.well-known/jwks.json"
 
# PoPP-Token beim ePA-Zugriff übergeben (als Header im VAU-Kanal)
# X-PoPP-Token: eyJ0eXAiOiJKV1QiLCJhbGciOiJFUzI1NiIsImtpZCI6Ii4uLiJ9...

JWT-Payload enthält:

  • sub: Pseudonymisierte Versicherten-ID (aus eGK-Zertifikat abgeleitet)
  • iat / exp: Ausstellung und Ablauf (Token-Gültigkeit: wenige Minuten)
  • iss: PoPP-Dienst-Identifier

Mock-Token für Tests: gematik/popp-token-generator Spec: gemSpec_PoPP_Service V1.0.0

Verknüpfungen

  • eGK: Träger des kryptografischen Nachweises in Stufe 1
  • VSDM: Bisheriges Verfahren, das PoPP prospektiv ablöst
  • Telematikinfrastruktur: Infrastruktur, in die PoPP integriert ist
  • ePA: Schutzziel von PoPP
  • Gesundheits-ID: Authentisierungsmittel für Online-Szenarien in Stufe 2
  • SMC-B: Institutionskarte; alleinige SMC-B reicht nach PoPP nicht mehr für ePA-Zugriff
  • CardLink: Ergänzendes Verfahren für kontaktlose eGK-Nutzung
  • PKI: Vertrauensinfrastruktur für die Zertifikatsprüfung
  • BSI: Beteiligt an Sicherheitsanforderungen für PoPP

Quellen

Graphansicht

Alle