Datenschutz bei gesundheitlicher Versorgung: Patientenleitfaden

Inhaltsverzeichnis

• Einführung: Warum Gesundheitsdaten besonderen Schutz brauchen
• Kurzüberblick zu rechtlichen Grundlagen
• Was ist die elektronische Patientenakte (ePA)?
• Rollen und Zugriffsrechte: Wer kann Gesundheitsdaten sehen und warum
• Einwilligung und Widerruf: Schritt-für-Schritt-Anleitung für die ePA
• Technische Schutzmaßnahmen einfach erklärt
• Externe Dienstleister und Auftragsverarbeitung
• Datenschutzvorfälle: Was im Ernstfall passiert
• Praxisnahe Checkliste zum Mitnehmen
• Glossar: Wichtige Begriffe verständlich erklärt
• Kurze FAQ: Häufige Fragen von Patientinnen und Patienten
• Weiterführende Links und offizielle Stellen
• Letzte Aktualisierung und Hinweise

Einführung: Warum Gesundheitsdaten besonderen Schutz brauchen

Gesundheitsdaten gehören zu den sensibelsten Informationen, die es über eine Person gibt. Sie umfassen Diagnosen, Behandlungsverläufe, genetische Informationen und vieles mehr. Ein sorgfältiger Datenschutz bei gesundheitlicher Versorgung ist daher nicht nur eine gesetzliche Pflicht, sondern auch die Grundlage für das Vertrauensverhältnis zwischen Ihnen und den Behandelnden. Fehler oder Missbrauch können weitreichende persönliche und soziale Konsequenzen haben. In einer zunehmend digitalisierten Gesundheitswelt, insbesondere mit der Einführung der elektronischen Patientenakte (ePA), ist es für Sie als Patientin oder Patient entscheidend, Ihre Rechte zu kennen und zu verstehen, wie Ihre Daten geschützt werden. Dieser Leitfaden bietet Ihnen einen klaren und verständlichen Überblick über die wichtigsten Aspekte.

Kurzüberblick zu rechtlichen Grundlagen

Der Schutz Ihrer Gesundheitsdaten ist in Deutschland und Europa durch mehrere Gesetze streng geregelt. Diese bilden das Fundament für den Datenschutz bei gesundheitlicher Versorgung.

• Datenschutz-Grundverordnung (DSGVO): Artikel 9 der DSGVO stuft Gesundheitsdaten als „besondere Kategorien personenbezogener Daten“ ein. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine explizite Einwilligung der betroffenen Person vor oder eine andere gesetzliche Ausnahme greift, wie zum Beispiel die medizinische Behandlung.
• Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt die DSGVO auf nationaler Ebene und enthält spezifische Regelungen für den Umgang mit Gesundheitsdaten, beispielsweise im Kontext von Forschung oder Arbeitsverhältnissen.
• Datenschutz-Telekommunikation-Telemedien-Gesetz (§ 5 DDG): Dieses Gesetz regelt den Datenschutz bei Telemedien, zu denen auch viele digitale Gesundheitsanwendungen (DiGA) oder Praxis-Webseiten gehören. Es stellt sicher, dass die ärztliche Schweigepflicht auch im digitalen Raum gewahrt bleibt. Das DDG ist aus dem früheren Telemediengesetz (TMG) hervorgegangen und hat keinen Bezug zum Arbeitnehmerdatenschutz.

Was ist die elektronische Patientenakte (ePA)?

Die elektronische Patientenakte (ePA) ist ein zentraler, digitaler Speicherort für Ihre persönlichen Gesundheitsdaten. Sie als Patientin oder Patient sind die Inhaberin bzw. der Inhaber Ihrer ePA und entscheiden, welche Informationen darin gespeichert und wer darauf zugreifen darf. Ziel ist es, die Behandlungsqualität durch eine lückenlose und schnelle Verfügbarkeit von Informationen zu verbessern.

Typische Datenarten und Datenfluss

In Ihrer ePA können verschiedenste medizinische Dokumente gespeichert werden. Sie allein bestimmen, was hineinkommt.

• Befunde: Labor Ergebnisse, Röntgenbilder, Arztbriefe.
• Diagnosen: Von Ärztinnen und Ärzten gestellte Diagnosen.
• Therapiepläne: Informationen über verordnete Medikamente oder Behandlungen.
• Weitere Dokumente: Impfausweis, Mutterpass, Organspendeausweis oder die persönliche Medikationsliste.

Der Datenfluss funktioniert vereinfacht so: Eine Ärztin oder ein Arzt erstellt ein Dokument (z. B. einen Arztbrief). Mit Ihrer expliziten Erlaubnis kann dieses Dokument in Ihre ePA hochgeladen werden. Wenn Sie eine andere Praxis oder ein Krankenhaus aufsuchen, können Sie den dortigen Behandelnden den Zugriff auf dieses Dokument erlauben. Alle Zugriffe werden protokolliert und sind für Sie einsehbar.

Rollen und Zugriffsrechte: Wer kann Gesundheitsdaten sehen und warum

Das Kernprinzip der ePA und des Datenschutzes im Gesundheitswesen ist Ihre Souveränität. Nur Sie entscheiden, wer auf Ihre Daten zugreifen darf. Die Zugriffsrechte sind streng geregelt und an die jeweilige Rolle im Gesundheitssystem gebunden.

• Patientinnen und Patienten: Sie haben die volle Kontrolle. Sie können alle Dokumente einsehen, eigene hinzufügen, Zugriffsrechte erteilen und entziehen sowie die Zugriffsprotokolle überprüfen.
• Ärztinnen, Ärzte und Psychotherapeuten: Erhalten nur nach Ihrer expliziten Freigabe Zugriff auf die von Ihnen freigegebenen Daten. Der Zugriff ist zweckgebunden für die aktuelle Behandlung.
• Zahnärztinnen und Zahnärzte: Gilt das gleiche Prinzip wie für Ärztinnen und Ärzte.
• Apotheken: Können nach Ihrer Freigabe beispielsweise auf den Medikationsplan zugreifen, um Wechselwirkungen zu prüfen.
• Krankenhäuser: Benötigen ebenfalls Ihre Einwilligung, um auf für die Behandlung relevante Daten zugreifen zu können.
• Krankenkassen: Haben keinen Zugriff auf Ihre medizinischen Daten in der ePA. Sie verwalten lediglich die Akte technisch und stellen Ihnen die zugehörige App zur Verfügung.

Einwilligung und Widerruf: Schritt-für-Schritt-Anleitung für die ePA

Die Verwaltung Ihrer Einwilligungen ist der Schlüssel zur Kontrolle über Ihre Daten. Der Prozess ist so gestaltet, dass Sie ihn einfach über die ePA-App Ihrer Krankenkasse steuern können.

Schritt 1: App installieren und Identität bestätigen

Laden Sie die offizielle ePA-App Ihrer Krankenkasse aus dem App-Store herunter. Um sicherzustellen, dass nur Sie Zugriff haben, müssen Sie Ihre Identität nachweisen. Dies geschieht in der Regel über Ihre elektronische Gesundheitskarte (eGK) mit PIN oder über ein Post-Ident-Verfahren.

Schritt 2: Zugriffsrechte erteilen

Wenn eine Arztpraxis auf Ihre ePA zugreifen möchte, wird eine Anfrage an Ihr Smartphone gesendet. Sie können dann sehr detailliert festlegen:

• Welche Praxis darf zugreifen?
• Für welchen Zeitraum gilt die Berechtigung (z. B. nur für den aktuellen Tag oder ein Quartal)?
• Auf welche Dokumente oder Kategorien darf zugegriffen werden (z. B. nur auf Labor Befunde, aber nicht auf Arztbriefe der Psychiatrie)?

Diese feingranulare Steuerung gibt Ihnen maximale Kontrolle.

Schritt 3: Zugriffsrechte anpassen oder widerrufen

Sie können jede erteilte Berechtigung jederzeit und ohne Angabe von Gründen über die App wieder entziehen. Die Änderungen sind sofort wirksam. Sie können auch bestehende Berechtigungen nachträglich anpassen, zum Beispiel die Dauer verkürzen oder den Zugriff auf bestimmte Dokumente sperren.

Technische Schutzmaßnahmen einfach erklärt

Der Datenschutz bei gesundheitlicher Versorgung stützt sich auf hochmoderne technische Sicherheitsmaßnahmen, um Ihre Daten vor unbefugtem Zugriff zu schützen. Hier sind die drei wichtigsten Säulen einfach erklärt:

• Verschlüsselung: Stellen Sie sich vor, Ihre Daten werden in einen unlesbaren Code umgewandelt. Nur wer den passenden Schlüssel besitzt, kann diesen Code wieder in lesbare Informationen zurück verwandeln. Ihre Gesundheitsdaten in der ePA sind mehrfach verschlüsselt: sowohl bei der Übertragung als auch bei der Speicherung.
• Schlüsselverwaltung: Die digitalen Schlüssel zu Ihren Daten liegen allein bei Ihnen. Weder die Krankenkasse noch die Betreiber der Server können Ihre medizinischen Inhalte entschlüsseln. Sie verwalten Ihre Schlüssel über Ihre eGK und Ihr Smartphone. Man spricht hier von einer Ende-zu-Ende-Verschlüsselung.
• Zertifikate: Jede teilnehmende Person oder Institution im Gesundheitswesen (z. B. eine Arztpraxis) muss sich eindeutig identifizieren. Dies geschieht über digitale Zertifikate, wie den Heilberufsausweis (HBA) für Ärzte oder die Institutionskarte (SMC-B) für Praxen. Diese Zertifikate funktionieren wie ein digitaler Personalausweis und stellen sicher, dass nur berechtigte Parteien am System teilnehmen.

Externe Dienstleister und Auftragsverarbeitung

Arztpraxen und Krankenhäuser nutzen oft externe IT-Dienstleister, zum Beispiel für die Wartung ihrer Computersysteme. Wenn diese Dienstleister theoretisch auf Patientendaten zugreifen könnten, muss ein sogenannter Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Dieser Vertrag verpflichtet den Dienstleister rechtlich, die Daten ebenso streng zu schützen wie die Praxis selbst. Für Sie als Patientin oder Patient ändert sich dadurch nichts an der Verantwortung: Ihre Ansprechpartnerin bleibt immer die behandelnde Praxis oder das Krankenhaus.

Datenschutzvorfälle: Was im Ernstfall passiert

Trotz aller Schutzmaßnahmen kann es zu einem Datenschutzvorfall kommen, etwa durch einen Hackerangriff oder menschliches Versagen. Das Gesetz schreibt für diesen Fall ein klares Vorgehen vor:

• Meldepflicht: Die verantwortliche Stelle (z. B. die Arztpraxis) muss den Vorfall innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde melden.
• Benachrichtigung der Betroffenen: Besteht durch den Vorfall ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten (z. B. bei Diebstahl von Diagnosedaten), muss die verantwortliche Stelle Sie unverzüglich darüber informieren.
• Ihre Rechte: Sie haben das Recht auf Auskunft über den Vorfall, auf Berichtigung falscher Daten und gegebenenfalls auf Schadensersatz. Sie können sich auch jederzeit an die zuständige Datenschutzbehörde wenden.

Praxisnahe Checkliste zum Mitnehmen

Nutzen Sie diese Checkliste, um Ihre Rechte aktiv wahrzunehmen und den Überblick über den Datenschutz bei Ihrer gesundheitlichen Versorgung zu behalten.

• [ ] ePA-App installiert? Installieren Sie die App Ihrer Krankenkasse und führen Sie die Identitätsprüfung durch.
• [ ] PIN für die eGK vorhanden? Fordern Sie bei Ihrer Krankenkasse eine PIN für Ihre Gesundheitskarte an, um alle Funktionen sicher nutzen zu können.
• [ ] Einwilligungen geprüft? Überprüfen Sie regelmäßig in der App, welche Praxen und Personen Zugriff auf Ihre ePA haben.
• [ ] Alte Berechtigungen widerrufen? Entziehen Sie Zugriffsrechte, die nicht mehr benötigt werden (z. B. nach Abschluss einer Behandlung).
• [ ] Zugriffsprotokolle eingesehen? Kontrollieren Sie stichprobenartig, wer wann auf Ihre Daten zugegriffen hat. Bei Unstimmigkeiten fragen Sie nach.
• [ ] Datenschutzerklärung gelesen? Informieren Sie sich in der Praxis über deren Umgang mit Ihren Daten. Jede Praxis muss eine Datenschutzerklärung bereithalten.
• [ ] Kopien wichtiger Dokumente? Bewahren Sie Kopien Ihrer wichtigsten medizinischen Unterlagen auch außerhalb der ePA sicher auf.

Glossar: Wichtige Begriffe verständlich erklärt

• TI (Telematikinfrastruktur): Das sichere digitale Netzwerk des deutschen Gesundheitswesens, das alle Akteure (Praxen, Krankenhäuser, Apotheken) miteinander verbindet.
• ePA (elektronische Patientenakte): Ihr persönlicher, lebenslanger und sicherer Speicher für Gesundheitsdaten, den Sie selbst verwalten.
• eGK (elektronische Gesundheitskarte): Ihre Versichertenkarte mit Chip, die als einer der Schlüssel für den Zugriff auf die ePA dient.
• Heilberufsausweis (HBA): Ein elektronischer Ausweis für Ärztinnen, Ärzte, Apothekerinnen, Apotheker und andere Heilberufler zur sicheren Identifikation in der TI.
• Pseudonymisierung: Ein Verfahren, bei dem personenbezogene Daten so verändert werden, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Dies erhöht den Datenschutz, zum Beispiel bei der Nutzung von Daten für die Forschung.

Kurze FAQ: Häufige Fragen von Patientinnen und Patienten

Kann meine Krankenkasse meine medizinischen Daten in der ePA einsehen?

Nein. Ihre Krankenkasse hat zu keinem Zeitpunkt Zugriff auf die medizinischen Inhalte Ihrer ePA. Sie stellt nur die technische Infrastruktur bereit und hilft Ihnen bei administrativen Fragen.

Was passiert mit meinen Daten, wenn ich den Arzt wechsle?

Ihre Daten in der ePA gehören Ihnen. Wenn Sie den Arzt wechseln, können Sie der neuen Praxis einfach den Zugriff auf Ihre Akte gewähren. Der alten Praxis können Sie die Berechtigung entziehen. Der Datenschutz bei gesundheitlicher Versorgung bleibt so auch bei einem Wechsel gewahrt.

Sind meine Daten in der ePA wirklich sicher?

Die ePA nutzt die Sicherheitsarchitektur der Telematikinfrastruktur, die nach höchsten Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Durch die konsequente Verschlüsselung und Ihre alleinige Schlüsselhoheit wird ein sehr hohes Sicherheitsniveau erreicht, das oft sicherer ist als die Aufbewahrung von Papierakten.

Weiterführende Links und offizielle Stellen

Für detailliertere Informationen zum Thema Datenschutz bei gesundheitlicher Versorgung können Sie die folgenden offiziellen Quellen nutzen:

• Informationen zur Telematikinfrastruktur vom Bundesgesundheitsministerium.
• Details zur elektronischen Patientenakte (ePA) vom Bundesgesundheitsministerium.
• Fachportal der gematik GmbH, der nationalen Agentur für digitale Medizin.
• Informationen zu Digitalen Gesundheitsanwendungen (DiGA) vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM).
• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

Weiterführende Beiträge

• Datenschutz in der elektronischen Patientenakte – Rechte und Sicherheit
• Elektronische Patientenakte und DSGVO: Verständlicher Leitfaden
• Elektronische Patientenakte: DSGVO sicher nutzen
• Patientendaten-Sicherheit: Praxisleitfaden für Gesundheitsanbieter
• Elektronische Patientenakte und Datenschutz: Recht, Technik, Praxis

Letzte Aktualisierung und Hinweise

Stand: Dezember 2025. Die Digitalisierung im Gesundheitswesen schreitet stetig voran. Zukünftige Gesetzesänderungen und Strategien ab dem Jahr 2025 werden den Patientenschutz weiter stärken und die Nutzungsmöglichkeiten digitaler Werkzeuge erweitern. Es ist ratsam, sich regelmäßig über Neuerungen zu informieren.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine professionelle Einschätzung Ihrer individuellen Situation ist eine fachkundige Beratung unerlässlich. MUNAS Consulting verfügt über Expertise im Bereich des Datenschutzes im Gesundheitswesen.