Patientendaten-Sicherheit: ePA, E-Rezept und DSGVO klar erklärt

Patientendaten-Sicherheit: ePA, E-Rezept und DSGVO klar erklärt

Patientendaten-Sicherheit 2025: Der praxisnahe Leitfaden für ePA, E-Rezept und DSGVO

Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Mit der elektronischen Patientenakte (ePA) und dem E-Rezept werden sensible Gesundheitsinformationen zunehmend digital verarbeitet. Dies bringt enorme Vorteile, stellt aber auch höchste Anforderungen an die Patientendaten-Sicherheit. Dieser Leitfaden erklärt verständlich, wie Ihre Daten geschützt werden, welche Rechte Sie als Patient haben und welche Pflichten für Ärzte und Kliniken bestehen.

Inhaltsverzeichnis

Kurzüberblick: Was versteht man unter Patientendaten?

Patientendaten, auch Gesundheitsdaten genannt, sind alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Sie gehören zu den sensibelsten Daten überhaupt, da sie sehr persönliche Einblicke gewähren. Der Schutz dieser Daten ist daher von zentraler Bedeutung für eine vertrauensvolle Arzt-Patienten-Beziehung und eine funktionierende Gesundheitsversorgung. Eine hohe Patientendaten-Sicherheit ist die Grundlage für die Akzeptanz digitaler Gesundheitsanwendungen.

Zu den Patientendaten gehören unter anderem:

  • Diagnosen und Befunde
  • Informationen zu Behandlungen und Operationen
  • Verschriebene Medikamente (E-Rezept)
  • Laborwerte und Röntgenbilder
  • Anamnesebögen und Arztbriefe
  • Genetische und biometrische Daten

Rechtsrahmen kurz gefasst: DSGVO, Art. 9 und nationale Pflichten

Die rechtliche Grundlage für den Schutz von Patientendaten ist die Datenschutz-Grundverordnung (DSGVO) der EU. Gesundheitsdaten werden in Artikel 9 DSGVO als „besondere Kategorien personenbezogener Daten“ klassifiziert und genießen dadurch einen besonders hohen Schutz. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine explizite Rechtsgrundlage vor.

Für das Gesundheitswesen sind vor allem zwei Rechtsgrundlagen relevant:

  1. Einwilligung: Der Patient willigt ausdrücklich in die Verarbeitung seiner Daten für einen bestimmten Zweck ein (z. B. bei der Nutzung der ePA).
  2. Gesetzliche Pflicht: Die Verarbeitung ist für die Gesundheitsvorsorge, die medizinische Diagnostik oder die Behandlung erforderlich (z. B. die Dokumentation in der Patientenakte durch den Arzt).

Zusätzlich zur DSGVO regeln nationale Gesetze wie das Fünfte Buch Sozialgesetzbuch (SGB V) oder das Patientendaten-Schutz-Gesetz (PDSG) spezifische Aspekte der Patientendaten-Sicherheit in Deutschland, insbesondere im Kontext der Telematikinfrastruktur.

Nicht-technische Erklärung technischer Schutzmaßnahmen

Um die Patientendaten-Sicherheit zu gewährleisten, kommen komplexe Technologien zum Einsatz. Hier sind die drei wichtigsten Säulen einfach erklärt:

Verschlüsselung

Stellen Sie sich vor, Ihre Daten werden in einem Brief verschickt. Ohne Verschlüsselung wäre dieser Brief eine offene Postkarte, die jeder lesen kann. Verschlüsselung verwandelt Ihre Daten in einen unlesbaren Code. Nur wer den passenden Schlüssel besitzt (z. B. Ihr Arzt mit seinem Heilberufsausweis), kann die Daten wieder lesbar machen. In der Telematikinfrastruktur findet eine Ende-zu-Ende-Verschlüsselung statt, was bedeutet, dass die Daten auf dem gesamten Transportweg geschützt sind.

Authentifizierung

Authentifizierung stellt sicher, dass nur berechtigte Personen auf Daten zugreifen können. Das ist vergleichbar mit dem Vorzeigen eines Ausweises. Im digitalen Gesundheitswesen geschieht dies durch verschiedene Methoden:

  • Heilberufsausweis (HBA): Der „digitale Ausweis“ für Ärzte und Apotheker.
  • Gesundheitskarte (eGK) mit PIN: Ihr persönlicher Schlüssel zur ePA.
  • Zwei-Faktor-Authentifizierung (2FA): Eine zusätzliche Sicherheitsstufe, bei der neben dem Passwort ein zweiter Code (z. B. per App) abgefragt wird.

Protokollierung

Jeder Zugriff auf Ihre Gesundheitsdaten wird lückenlos protokolliert. Sie können in Ihrer ePA-App jederzeit nachvollziehen, welcher Arzt wann auf welche Dokumente zugegriffen hat. Diese Transparenz schafft Kontrolle und wirkt abschreckend auf unbefugte Zugriffsversuche. Die Protokollierung ist ein wesentliches Element der Patientendaten-Sicherheit.

Zeitleiste: Wichtige Meilensteine und ihre Folgen bis 2025

Die Digitalisierung des Gesundheitswesens hat in den letzten Jahren an Fahrt aufgenommen. Ein kurzer Rückblick auf die entscheidenden Entwicklungen, die den Stand von 2025 geprägt haben:

  • 2021: Die elektronische Patientenakte (ePA) wird für alle gesetzlich Versicherten freiwillig eingeführt. Die ersten Schritte in Richtung einer vernetzten Gesundheitsversorgung sind getan.
  • 2022: Das E-Rezept wird schrittweise ausgerollt. Patienten können Rezepte digital erhalten und in Apotheken einlösen, was Prozesse vereinfacht und die Medikationssicherheit erhöht.
  • 2024: Die ePA wird zum Standard („Opt-out“). Wer sie nicht aktiv ablehnt, erhält automatisch eine Akte. Das E-Rezept wird zum verpflichtenden Standard für die Verordnung von verschreibungspflichtigen Arzneimitteln.
  • 2025 und darüber hinaus: Der Fokus der Strategien liegt auf der Erweiterung der ePA um weitere Funktionen und der sicheren Integration von digitalen Gesundheitsanwendungen (DiGAs). Die Interoperabilität, also der nahtlose Austausch von Daten zwischen verschiedenen Systemen, wird zur zentralen Herausforderung für eine verbesserte Patientendaten-Sicherheit.

Schritt-für-Schritt für Patientinnen und Patienten

ePA aktivieren und Zugriffsrechte setzen

  1. App der Krankenkasse herunterladen: Suchen Sie im App Store nach der offiziellen ePA-App Ihrer Krankenkasse.
  2. Identität bestätigen: Die Identifizierung erfolgt meist über das Post-Ident-Verfahren, Video-Ident oder persönlich in einer Geschäftsstelle. Sie benötigen dafür Ihren Personalausweis.
  3. Gesundheitskarte (eGK) und PIN: Sie erhalten von Ihrer Krankenkasse eine neue eGK mit NFC-Funktion und eine zugehörige PIN.
  4. Erste Anmeldung: Melden Sie sich mit Ihrer eGK und der PIN in der App an. Nun ist Ihre ePA aktiviert.
  5. Zugriffsrechte verwalten: Der wichtigste Schritt! In der App können Sie detailliert festlegen, welche Praxis oder welches Krankenhaus auf welche Dokumente zugreifen darf. Sie können Berechtigungen für einzelne Dokumente oder ganze Kategorien erteilen und zeitlich befristen. Sie behalten die volle Kontrolle.

E-Rezept nutzen

  1. Verschreibung durch den Arzt: Ihr Arzt stellt das E-Rezept digital aus. Es wird sicher in der Telematikinfrastruktur gespeichert.
  2. Einlösen per App: Öffnen Sie die offizielle E-Rezept-App der gematik oder die App Ihrer Krankenkasse. Dort erscheint ein QR-Code für Ihr Rezept. Zeigen Sie diesen in der Apotheke vor.
  3. Einlösen per Gesundheitskarte: Alternativ können Sie in der Apotheke einfach Ihre Gesundheitskarte in das Lesegerät stecken. Die Apotheke ruft das Rezept damit direkt ab.

Anforderungen an Leistungserbringer

Für Arztpraxen, Krankenhäuser und andere Leistungserbringer ist die Gewährleistung der Patientendaten-Sicherheit eine zentrale Pflicht. Dies erfordert klar definierte technische und organisatorische Maßnahmen (TOMs).

Dokumentation, Nachweise und interne Prozesse

  • Datenschutzkonzept: Jede Praxis muss ein schriftliches Konzept vorweisen, das beschreibt, wie Patientendaten geschützt werden.
  • Verzeichnis von Verarbeitungstätigkeiten: Es muss dokumentiert werden, welche Daten zu welchem Zweck verarbeitet werden.
  • Mitarbeiterschulungen: Das gesamte Personal muss regelmäßig zum Thema Datenschutz und zur Patientendaten-Sicherheit geschult und zur Verschwiegenheit verpflichtet werden.
  • Zugriffskontrolle: Es muss sichergestellt sein, dass nur berechtigte Mitarbeiter auf Patientendaten zugreifen können (z. B. durch persönliche Logins).
  • Sicherheitsupdates: Die Praxis-IT (Software und Hardware) muss stets auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu schließen.

Externe Dienstleister und Abrechnungsprozesse

Oft lagern Praxen Aufgaben wie die IT-Wartung oder die Abrechnung an externe Firmen aus. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Dieser Vertrag regelt die Pflichten des Dienstleisters und stellt sicher, dass dieser die gleichen hohen Standards an die Patientendaten-Sicherheit anlegt wie die Praxis selbst. Vor Beauftragung sollte die Praxis die Zuverlässigkeit und die Schutzmaßnahmen des Dienstleisters sorgfältig prüfen.

Szenarien und Entscheidungshilfen

Im Praxisalltag gibt es typische Situationen, die datenschutzrechtlich relevant sind:

Szenario Entscheidungshilfe
Einwilligung Für die Nutzung der ePA oder die Weitergabe von Daten an Dritte (z. B. für eine Privatabrechnung) ist immer eine aktive und informierte Einwilligung des Patienten erforderlich. Diese muss dokumentiert werden.
Notfallzugang Im lebensbedrohlichen Notfall dürfen Ärzte auch ohne explizite Einwilligung auf notfallrelevante Daten in der ePA zugreifen. Dieser Zugriff wird streng protokolliert und ist nur mit dem HBA möglich.
Widerruf Ein Patient kann eine erteilte Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Der Widerruf gilt für die Zukunft. Bereits erfolgte Datenverarbeitungen bleiben rechtmäßig.

Praxis-Checklisten: Patientenseite und Anbieterseite

Checkliste für Patientinnen und Patienten

  • Habe ich die ePA-App meiner Krankenkasse installiert und mich sicher identifiziert?
  • Habe ich eine PIN für meine Gesundheitskarte erhalten und diese sicher aufbewahrt?
  • Habe ich die Zugriffsrechte in meiner ePA-App überprüft und nur den Ärzten Zugriff gewährt, denen ich vertraue?
  • Überprüfe ich regelmäßig das Zugriffsprotokoll in meiner ePA?
  • Weiß ich, wie ich ein E-Rezept per App oder Gesundheitskarte einlösen kann?

Checkliste für Leistungserbringer

  • Ist unser Anschluss an die Telematikinfrastruktur aktuell und sicher konfiguriert?
  • Besitzen alle berechtigten Mitarbeiter personalisierte Zugänge zu unseren Systemen?
  • Führen wir regelmäßige Datenschutzschulungen für unser Team durch?
  • Existiert ein aktuelles Verzeichnis von Verarbeitungstätigkeiten?
  • Haben wir mit allen externen Dienstleistern (IT, Labor, Abrechnung) gültige Auftragsverarbeitungsverträge (AVV) abgeschlossen?
  • Gibt es einen klaren Prozess für den Fall einer Datenpanne?

Vorfallmanagement leicht verständlich

Trotz aller Vorsichtsmaßnahmen kann es zu einer Datenpanne kommen (z. B. Verlust eines Laptops, Hackerangriff). In einem solchen Fall gibt es klare gesetzliche Vorgaben.

Meldung, interne Abläufe und Informationspflichten

  1. Intern bewerten: Zuerst muss der Vorfall intern analysiert werden. Was ist passiert? Welche Daten sind betroffen? Besteht ein Risiko für die betroffenen Personen?
  2. Meldung an die Aufsichtsbehörde: Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen, muss die Datenpanne innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden.
  3. Information der Betroffenen: Besteht ein hohes Risiko (z. B. wenn sensible Diagnosen offengelegt wurden), müssen auch die betroffenen Patientinnen und Patienten unverzüglich informiert werden.

Ein gut vorbereiteter Notfallplan hilft, im Ernstfall schnell und korrekt zu handeln und den Schaden zu begrenzen. Dies ist ein entscheidender Teil einer umfassenden Strategie zur Patientendaten-Sicherheit.

FAQ: Kurzantworten zu häufigen Fragen

Wer kann meine Daten in der ePA sehen?
Nur Sie selbst und die Ärzte, Praxen oder Krankenhäuser, denen Sie aktiv eine Zugriffsberechtigung erteilt haben. Sie behalten jederzeit die volle Kontrolle.

Was passiert, wenn ich meine Gesundheitskarte verliere?
Melden Sie den Verlust sofort Ihrer Krankenkasse, um die Karte sperren zu lassen. Ohne Ihre PIN kann niemand auf Ihre ePA-Daten zugreifen.

Ist das E-Rezept sicher?
Ja, das E-Rezept wird mehrfach verschlüsselt und fälschungssicher über die geschützte Telematikinfrastruktur übertragen. Es ist sicherer als das Papierrezept.

Glossar: Wichtige Begriffe verständlich erklärt

  • DSGVO: Die Datenschutz-Grundverordnung ist ein EU-Gesetz, das den Schutz personenbezogener Daten einheitlich regelt.
  • ePA (elektronische Patientenakte): Ein persönlicher, digitaler Speicherort für Ihre Gesundheitsdaten, auf den Sie und Ihre Ärzte zugreifen können.
  • E-Rezept: Die digitale Form des rosa Papierrezepts. Es wird vom Arzt elektronisch erstellt und kann in der Apotheke per App oder Gesundheitskarte eingelöst werden.
  • gematik: Die nationale Agentur für digitale Medizin, die für den Aufbau und Betrieb der Telematikinfrastruktur in Deutschland verantwortlich ist.
  • Telematikinfrastruktur (TI): Das sichere digitale Netzwerk des deutschen Gesundheitswesens, das alle Akteure (Ärzte, Apotheken, Krankenhäuser, Krankenkassen) miteinander verbindet.

Für detaillierte und offizielle Informationen zur Patientendaten-Sicherheit und den digitalen Gesundheitsanwendungen können Sie die folgenden Webseiten besuchen: