Die elektronische Patientenakte (ePA) dient als digitaler Speicherort für persönliche Gesundheitsdaten wie Arztbriefe, Medikationslisten und Befunde. Damit ermöglicht die ePA einen schnellen Informationsaustausch zwischen Versicherten und Leistungserbringer. Allerdings handelt es sich bei diesen Informationen um besonders schützenswerte Daten, die unter den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) fallen.
Entwicklung hin zur ePA
Bereits 2003 wurde im Rahmen der Modernisierung der gesetzlichen Krankenversicherung die gesetzliche Voraussetzung zu Einführung einer elektronischen Gesundheitskarte gelegt. Zur Umsetzung gründete man 2005 die gematik als zentrale Betreibergesellschaft, bestehend aus dem Bundesministerium für Gesundheit und führenden Verbände des Gesundheitswesens wie der Bundesärztekammer. Die gematik soll die Telematikinfrastruktur liefern.
Die Einführung der ePA basiert auf den §§ 341 ff. Sozialgesetzbuch V (SGB V). Ab 2021 erhielten Versicherte im Rahmen eines Opt-in-Verfahrens die Möglichkeit, eine ePA bei ihrer Krankenkasse anzulegen und von Ärzten befüllen zu lassen. Mit dem Digital-Gesetz (DigiG) von 2023 erfolgte schließlich der Wechsel zum Opt-out-Prinzip: Seit dem 15. Januar 2025 sind Krankenkassen verpflichtet, allen gesetzlich Versicherten eine ePA anzulegen, es sei denn, diese legen einen Widerspruch ein.
Zusammenhang der ePA mit dem European Health Data Space
Langfristig ist das Ziel, dass die deutsche ePA Teil des Europäischen Gesundheitsdatenraums (EHDS) wird, um grenzüberschreitend die Primär- und Sekundärnutzung von Gesundheitsdaten zu ermöglichen. Die EHDS-Verordnung bildet dafür den erforderlichen Rahmen, um einheitliche Standards und eine funktionierende Infrastruktur zu gewährleisten.
Tipp: Lesen Sie dazu bei activeMind.legal Rechtsanwälte einen Überblick zum Europäischen Gesundheitsdatenraum.
Wer ist datenschutzrechtlich für die ePA verantwortlich?
Verantwortliche Stelle für die Verarbeitung der ePA-Daten sind die gesetzlichen Krankenversicherungen (§ 343 Abs. 1 Nr. 17 SGB V). Diese müssen daher alle Datenschutzanforderungen erfüllen. Gemäß der DSGVO sind technische und organisatorische Maßnahmen (TOM) zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten zwingend vorgeschrieben.
Gleichzeitig sind Leistungserbringer wie Ärzte, Krankenhäuser oder Apotheken verpflichtet, die Daten korrekt in das bundesweite Netzwerk innerhalb der Telematikinfrastruktur zu übermitteln. Dafür ist erforderlich, dass die technische Anbindung ihres Praxisverwaltungssystems (PVS), Krankenhausinformationssystems (KIS) oder Apothekenverwaltungssystems (AVS) an die Telematikinfrastruktur sichergestellt ist und korrekte Übermittlungsprozesse gewährleistet werden. Damit ist die datenschutzrechtliche Verantwortung der Leistungserbringer auf das Hochladen (die Übermittlung) von Daten aus dem PVS/KIS/AVS in die ePA und auf das Herunterladen (die Erhebung) von Daten aus der ePA in das PVS/KIS/AVS begrenzt.
Die Telematikinfrastruktur selbst und die Zulassung bzw. der Betrieb von ePA-Aktensystemen und Diensten werden zentral durch die gematik koordiniert.
Damit ist die Verantwortlichkeit verteilt. Krankenkassen tragen die Gesamtverantwortung nach dem SGB V und der DSGVO, Leistungserbringer müssen ihre Übermittlungs-, Zugriffs- und Informationspflichten erfüllen und die gematik sowie andere zugelassene Betreiber sind dazu verpflichtet, die Infrastruktur und technische Vorgaben zu sichern.
Wie erfolgt der Zugriff auf die ePA?
Die Freigabe von Daten erfolgt nutzergesteuert. Zu beachten ist hierbei, dass sofern keine individuellen Zugriffsbeschränkungen nach dem sog. Opt-out-Prinzip gesetzt sind, alle berechtigten Leistungserbringer (Ärzte, Apotheker, etc.) auf die Akte zugreifen können.
Es gibt zwei mögliche Zugangswege:
- Versichertenportal der Krankenkasse: Die Krankenkasse stellt den Versicherten ein Portal oder eine App zur Verfügung, über das die ePa verwaltet wird. Zur Nutzung der App ist eine Registrierung bei der Krankenkasse nötig. Dafür ist eine Identitätsprüfung vorgesehen, damit nur der berechtigte Versicherte Zugang darauf hat. Gängige Verfahren dafür sind PIN sowie zusätzliche die elektronische Gesundheitskarte mit NFC-Schnittschelle oder die Vorlage des Personalausweises in einer Niederlassung der Krankenkasse. Die Website der gematik gibt Auskunft über die jeweiligen App-Angebote der Krankenkassen.
- Patientenportal der Leistungserbringer: Leistungserbringer nutzen eigene Praxis- oder Klinik-Portale, die mit der ePA verbunden sind, um Dokumente einzustellen oder abzurufen.
Patienten können in der App oder über eine Weboberfläche gezielt regeln, wer welche Dokumente einsehen darf. Somit können Versicherte selbst bestimmen, welche Akteure (z. B. Ärzte, Apotheken oder Krankenhäuser) Zugriff erhalten. Es können einzelne Dokumente ausgeblendet oder den Zugriff ganzer Einrichtungen grundsätzlich untersagt werden.
Darüber hinaus besteht die Möglichkeit, Gesundheitsdaten in pseudonymisierter Form für Forschungszwecke an das Forschungsdatenzentrum zu übermitteln. Auch hiergegen kann aktiv in den Einstellungen der App oder bei der Krankenkasse selbst widersprochen werden.
Wie wird die Sicherheit in der ePA gewährleistet?
Der erhöhte Schutzbedarf der Gesundheitsdaten gilt nicht nur für den Zugriff auf diese, sondern ebenso für ihre Speicherung.
Die Daten werden ausschließlich verschlüsselt gespeichert und können nur von berechtigten Personen entschlüsselt werden. Der für die Entschlüsselung notwendige elektronische Schlüssel ist in zwei unabhängigen Teilen hinterlegt. Ein Anteil liegt bei der ePA-Anbieterseite, der andere wird von einem zentralen gematik-Schlüsseldienst aufbewahrt. Keine der beiden Stellen verfügt allein über den kompletten Schlüssel.
Noch ist unklar, ob die getroffenen Vorkehrungen insgesamt das für Gesundheitsdaten erforderliche Schutzniveau erreichen. Eine Analyse des Fraunhofer-Instituts für Sichere Informationstechnologie zeigte im Jahr 2024 noch 21 Schwachstellen in der ePA auf, von denen vier als hochkritisch eingestuft wurden. Diese Sicherheitsdefizite führten nicht nur zu einer wachsenden Skepsis bei den Versicherten, sondern verzögerten ebenso den bundesweiten Rollout der ePA.
Die in der ePA gespeicherten Daten werden in der Regel bei der Krankenkasse oder bei einem von dieser beauftragten, zertifizierten Auftragsverarbeiter gespeichert. Ärzte sind verpflichtet, Daten der aktuellen Behandlung in die ePA einzustellen und können auf Wusch auch elektronische Dokumente aus abgeschlossenen Behandlungen ergänzen. Dabei sind zur Abwehr von Schadsoftware beim Hochladen von Daten nur bestimmte Dateitypen (PDF/A-Dokumente und FHIR-Dateien) zugelassen.
Zusätzlich sollten alle Mitarbeiter in Gesundheitsberufen regelmäßig geschult, Notfall- und Wiederherstellungspläne für Sicherheitsvorfälle erstellt und Datenschutzbeauftragte in allen Einrichtungen bestellt werden.
Welche Rechte haben Betroffene in Bezug auf die ePA?
Betroffenenrechte
Patienten haben nach Art. 15 ff. DSGVO das Recht bei der verantwortlichen Stelle Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Gesundheitsdaten zu verlangen. Bei der ePA ist die Krankenkasse zwar Verantwortliche, aber die Leistungserbringer sind für die Übermittlung und Erhebung der Daten zuständig. Damit können die Leistungserbringer für die vorgenommenen Verarbeitungen selbst Verantwortliche sein. Daher können Betroffenenrechte gegenüber der jeweiligen Krankenkasse oder dem betreffenden Leistungserbringer geltend gemacht werden.
Tipp: Lesen Sie unseren Ratgeber zum Umgang mit Anfragen von Betroffenen und regeln Sie das Vorgehen in einer entsprechenden Richtlinie.
Hierneben bestehen weiterhin die Einsichtsrechte in die Patientenakte nach Maßgabe der zivilrechtlichen Ansprüche aus dem bürgerlichen Gesetzbuch.
Widerspruchsrecht
Die Nutzung der ePA erfolgt freiwillig. Allerdings sind seit dem 15. Januar 2025 die gesetzlichen Krankenkassen dazu verpflichtet, für jede versicherte Person eine ePA anzulegen. Behandelnde Ärzte müssen dann dort die Behandlungsdaten ablegen. Die in der ePA gespeicherten Informationen können von anderen Leistungserbringern eingesehen und in pseudonymisierter Form an das Forschungsdatenzentrum beim Bundesinstitut für Arzneimittel und Medizinprodukte übermittelt werden.
Wenn das unerwünscht ist, haben gesetzlich Versicherte die Möglichkeit, aktiv zu widersprechen. Der Widerspruch kann entweder in der für die ePA vorgesehenen App, im Versichertenprotal oder direkt bei der Krankenkasse eingelegt werden. Wird der gesamten Einrichtung der ePA widersprochen, legt die Krankenkasse keine Akte an. Wird nachträglich die Löschung beantragt, müssen die in der ePA gespeicherten Daten gelöscht werden. Alternativ können auch nur einzelne Funktionen gesperrt werden.
Beschwerdemöglichkeiten
Bei datenschutzrechtlichen Problemen oder Verstößen können Betroffene den Datenschutzbeauftragten der eigenen Krankenkasse kontaktieren. Hierauf sollten Krankenkassen angemessen reagieren.
Zudem können unabhängige Aufsichtsbehörden wie der jeweilige Landesbeauftragte für Datenschutz angerufen werden.
Fazit
Die ePA verspricht eine modernisierte und effizientere Gesundheitsversorgung. Sie vernetzt Leistungserbringer, reduziert Doppeluntersuchungen und ermöglicht in Notfällen schnell Zugang zu lebenswichtigen Informationen.
Gleichzeitig erfordert der Umgang mit besonders sensiblen Gesundheitsdaten hohe datenschutzrechtliche Sorgfalt. Nur wenn Krankenkassen, Leistungserbringer und Infrastrukturbetreiber ihren Verpflichtungen gewissenhaft nachkommen, können die vielversprechenden Vorteile der ePA tatsächlich realisiert werden.