Elektronische Gesundheitsdatenverwaltung 2025: Der umfassende Leitfaden für Patienten und Leistungserbringer
Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Ein zentraler Baustein ist die Elektronische Gesundheitsdatenverwaltung, die den Umgang mit sensiblen medizinischen Informationen revolutioniert. Dieser Leitfaden bietet Versicherten und medizinischen Leistungserbringern einen detaillierten Überblick über die rechtlichen, technischen und praktischen Aspekte, die ab 2025 von Bedeutung sind.
Inhaltsverzeichnis
- Kurzüberblick: Was sich zum 1. Oktober 2025 änderte
- Schnellcheck für Versicherte: Was Sie jetzt wissen und tun können
- Was sind elektronische Gesundheitsdaten und wer verarbeitet sie?
- Rechtsgrundlagen und besondere Kategorien nach Art. 9 DSGVO
- Einwilligung, Einsicht und Widerruf: Praktischer Ablauf für Patienten
- Technische Standards und Interoperabilität: FHIR, TI, und Schnittstellen
- Speicherung, Löschung und Aufbewahrungsfristen: Empfehlungen
- Rollen und Verantwortlichkeiten: Leistungserbringer, Betreiber und Auftragsverarbeiter
- Sicherheitsmaßnahmen: Ende-zu-Ende-Verschlüsselung, Zugriffskontrollen und Protokollierung
- Datenweitergabe an Dritte und Abrechnungsprozesse: Grenzen und Pflichten
- Was zu tun ist bei Zugriffsstreit oder verweigertem Zugang
- Praxis-Checkliste für Leistungserbringer: Implementierung in 10 Schritten
- FAQ mit konkreten Anleitungen
- Umsetzungsressourcen für IT-Verantwortliche
- Zusammenfassung und empfohlene nächste Schritte
Kurzüberblick: Was sich zum 1. Oktober 2025 änderte
Mit dem Stichtag 1. Oktober 2025 wurde ein entscheidender Wandel in der Elektronische Gesundheitsdatenverwaltung vollzogen. Für alle gesetzlich Versicherten, die nicht aktiv widersprochen haben, wurde eine elektronische Patientenakte (ePA) automatisch eingerichtet. Dieser “Opt-out”-Ansatz bedeutet, dass die Teilnahme der Regelfall ist. Ziel ist es, die medizinische Versorgung durch eine lückenlose und schnell verfügbare Dokumentation zu verbessern und die Digitalisierung im Gesundheitswesen flächendeckend zu verankern. Versicherte behalten jedoch jederzeit die volle Kontrolle darüber, welche Daten gespeichert und wer darauf zugreifen darf.
Schnellcheck für Versicherte: Was Sie jetzt wissen und tun können
Als Patientin oder Patient haben Sie die Hoheit über Ihre Daten. Nutzen Sie diese Checkliste, um sich einen schnellen Überblick zu verschaffen:
- Zugang einrichten: Laden Sie die ePA-App Ihrer Krankenkasse herunter und identifizieren Sie sich, um vollen Zugriff zu erhalten.
- Berechtigungen prüfen: Machen Sie sich mit den Einstellungen vertraut. Sie können pro Dokument oder für ganze Kategorien festlegen, welche Ärztin oder welche Apotheke Lesezugriff erhält.
- Widerspruchsrecht (Opt-out) verstehen: Wenn Sie grundsätzlich keine ePA wünschen, können Sie bei Ihrer Krankenkasse Widerspruch einlegen. Ihre Daten werden dann nicht in einer Akte gespeichert.
- Protokolle einsehen: Kontrollieren Sie regelmäßig in Ihrer App, wer wann auf Ihre Daten zugegriffen hat. Jede Aktion wird protokolliert.
Was sind elektronische Gesundheitsdaten und wer verarbeitet sie?
Unter elektronischen Gesundheitsdaten versteht man alle medizinischen Informationen, die in digitaler Form vorliegen. Dies umfasst eine breite Palette von Daten:
- Diagnosen und Befunde
- Therapiemaßnahmen und Behandlungsberichte
- Laborwerte und Röntgenbilder
- Medikationspläne und Impfdaten
- Arztbriefe und Entlassungsberichte
Die Verarbeitung dieser Daten erfolgt durch verschiedene Akteure im Gesundheitswesen, die alle Teil der Elektronische Gesundheitsdatenverwaltung sind:
- Leistungserbringer: Ärztinnen und Ärzte, Zahnärzte, Krankenhäuser, Apotheken und Therapeuten.
- Krankenkassen: Für die Verwaltung der ePA und Abrechnungszwecke.
- Technische Dienstleister: Betreiber der Telematikinfrastruktur (TI) und Anbieter von Praxisverwaltungssoftware (PVS).
Rechtsgrundlagen und besondere Kategorien nach Art. 9 DSGVO
Die rechtliche Basis für die Elektronische Gesundheitsdatenverwaltung bildet die Datenschutz-Grundverordnung (DSGVO). Gesundheitsdaten gelten laut Artikel 9 DSGVO als „besondere Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der folgenden Bedingungen ist erfüllt:
- Ausdrückliche Einwilligung: Die Patientin oder der Patient hat der Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich zugestimmt. Dies ist das Kernprinzip der ePA.
- Gesetzliche Grundlage: Die Verarbeitung ist für die Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik oder die Versorgung und Behandlung im Gesundheits- oder Sozialbereich erforderlich (z. B. auf Basis des SGB V).
- Schutz lebenswichtiger Interessen: Die betroffene Person ist physisch oder rechtlich außerstande, ihre Einwilligung zu geben (z. B. im Notfall).
Für Leistungserbringer und Versicherte bedeutet dies, dass jeder Zugriff und jede Speicherung von Gesundheitsdaten eine klare rechtliche Legitimation benötigt. Die Einwilligung des Patienten ist dabei das wichtigste Steuerungsinstrument.
Einwilligung, Einsicht und Widerruf: Praktischer Ablauf für Patienten
Ihre Rechte sind das Fundament einer vertrauenswürdigen Elektronische Gesundheitsdatenverwaltung. Der Prozess ist darauf ausgelegt, Ihnen maximale Kontrolle zu geben:
- Einwilligung erteilen: Wenn eine Ärztin auf Ihre ePA zugreifen möchte, benötigt sie Ihre Zustimmung. In der Regel geschieht dies direkt in der Praxis, indem Sie Ihre Gesundheitskarte (eGK) in das Kartenterminal stecken und die PIN eingeben. Alternativ können Sie Berechtigungen auch vorab über die ePA-App erteilen.
- Granulare Steuerung: Sie müssen keinen Pauschalzugriff gewähren. Sie können den Zugriff auf bestimmte Dokumente (z. B. nur der letzte Laborbefund) oder auf einen bestimmten Zeitraum beschränken.
- Einsicht nehmen: Über die ePA-App Ihrer Krankenkasse können Sie jederzeit alle in Ihrer Akte gespeicherten Dokumente einsehen und herunterladen.
- Widerruf: Eine erteilte Einwilligung kann jederzeit und ohne Angabe von Gründen widerrufen werden. Dies können Sie ebenfalls direkt in der App tun. Ein widerrufener Zugriff sperrt die jeweilige Praxis sofort für zukünftige Lese- und Schreibvorgänge.
Technische Standards und Interoperabilität: FHIR, TI, und Schnittstellen
Damit die Elektronische Gesundheitsdatenverwaltung systemübergreifend funktioniert, sind einheitliche technische Standards unerlässlich. Dieser Abschnitt richtet sich vor allem an technisches Personal.
Telematikinfrastruktur (TI)
Die Telematikinfrastruktur (TI) ist das zentrale, sichere Netzwerk des deutschen Gesundheitswesens. Sie verbindet alle Akteure (Praxen, Krankenhäuser, Apotheken) miteinander und stellt sicher, dass der Datenaustausch verschlüsselt und geschützt erfolgt. Der Anschluss an die TI ist für Leistungserbringer verpflichtend.
FHIR-Profile
Damit die Daten nicht nur sicher übertragen, sondern auch von unterschiedlichen Softwaresystemen verstanden werden, kommt der Standard FHIR (Fast Healthcare Interoperability Resources, auf Englisch) zum Einsatz. FHIR definiert eine einheitliche Struktur für Gesundheitsdaten. Die gematik gibt spezifische FHIR-Profile für Deutschland vor (z. B. Basisprofile, ISiK), die sicherstellen, dass ein Arztbrief aus System A korrekt in System B angezeigt wird. Dies nennt man semantische Interoperabilität.
Schnittstellen (APIs)
Der Zugriff auf die Daten der ePA oder anderer TI-Anwendungen erfolgt über definierte Schnittstellen (APIs, Application Programming Interfaces). Diese APIs regeln, wie Praxisverwaltungssysteme oder Krankenhausinformationssysteme Anfragen an die zentralen Systeme stellen dürfen und welche Daten sie zurückerhalten. Dies gewährleistet einen kontrollierten und standardisierten Datenfluss.
Speicherung, Löschung und Aufbewahrungsfristen: Empfehlungen
Die Daten in Ihrer ePA gehören Ihnen. Sie entscheiden, was wie lange gespeichert wird. Es gibt jedoch gesetzliche Aufbewahrungsfristen, die Leistungserbringer in ihren eigenen Systemen beachten müssen (z. B. 10 Jahre für Arztbriefe). Diese Pflichten bleiben von der ePA unberührt.
- In der ePA: Sie können Dokumente jederzeit selbst löschen. Gelöschte Daten sind endgültig entfernt.
- In Praxissystemen: Leistungserbringer müssen ihre gesetzlichen Aufbewahrungspflichten einhalten. Ein Löschverlangen für Daten in einem Praxissystem kann daher unter Umständen abgelehnt werden, wenn die Frist noch nicht abgelaufen ist.
Rollen und Verantwortlichkeiten: Leistungserbringer, Betreiber und Auftragsverarbeiter
Im Ökosystem der Elektronische Gesundheitsdatenverwaltung gibt es klare Rollenverteilungen:
| Rolle | Beispiel | Verantwortlichkeit |
|---|---|---|
| Datenverantwortlicher | Arztpraxis, Krankenhaus | Rechtmäßigkeit der Datenverarbeitung (Einholung der Einwilligung), Richtigkeit der Daten. |
| Auftragsverarbeiter | Anbieter der Praxissoftware | Technische und organisatorische Maßnahmen zur Datensicherheit gemäß den Weisungen des Verantwortlichen. |
| Betreiber der Akte | Gesetzliche Krankenkasse | Bereitstellung der ePA-Infrastruktur und der App für den Versicherten. |
Sicherheitsmaßnahmen: Ende-zu-Ende-Verschlüsselung, Zugriffskontrollen und Protokollierung
Der Schutz sensibler Gesundheitsdaten hat höchste Priorität. Eine sichere Elektronische Gesundheitsdatenverwaltung basiert auf mehreren Säulen:
- Ende-zu-Ende-Verschlüsselung: Daten werden direkt auf dem Gerät des Senders verschlüsselt und erst beim berechtigten Empfänger wieder entschlüsselt. Niemand dazwischen, auch nicht der Betreiber des Speichersystems, kann die Daten im Klartext lesen.
- Starke Authentifizierung: Der Zugriff erfordert mehrere Faktoren, z. B. die Gesundheitskarte (Besitz), eine PIN (Wissen) und den Heilberufsausweis (HBA) aufseiten des Leistungserbringers.
- Zugriffskontrollen: Ein fein-granulares Berechtigungssystem stellt sicher, dass nur befugte Personen auf die für sie relevanten Daten zugreifen können.
- Lückenlose Protokollierung: Jeder einzelne Zugriff (sowohl erfolgreich als auch versucht) wird unveränderbar protokolliert und ist für den Versicherten jederzeit einsehbar.
Datenweitergabe an Dritte und Abrechnungsprozesse: Grenzen und Pflichten
Die Weitergabe von Gesundheitsdaten an Dritte ist streng reglementiert. Eine Weitergabe über die ePA an andere behandelnde Ärzte erfordert immer Ihre explizite Einwilligung. Für Abrechnungszwecke werden Daten an die Kassenärztlichen Vereinigungen und Krankenkassen übermittelt. Dieser Prozess läuft getrennt von der ePA und basiert auf einer gesetzlichen Grundlage (SGB V). Eine Weitergabe an private Unternehmen wie Versicherungen oder Arbeitgeber ist ohne Ihre ausdrückliche, separate Einwilligung unzulässig.
Was zu tun ist bei Zugriffsstreit oder verweigertem Zugang durch Leistungserbringer
Sollte es zu Unstimmigkeiten kommen, etwa weil Sie einen unberechtigten Zugriff in Ihrem Protokoll vermuten oder Ihnen der Zugang zu Ihren eigenen Daten verwehrt wird, gehen Sie schrittweise vor:
- Direktes Gespräch: Suchen Sie zunächst das Gespräch mit dem betreffenden Leistungserbringer und bitten um Klärung.
- Krankenkasse kontaktieren: Ihre Krankenkasse ist Ihr erster Ansprechpartner für alle Fragen rund um die ePA und kann vermitteln.
- Datenschutzbeauftragten einschalten: Jede Praxis und jedes Krankenhaus hat einen Datenschutzbeauftragten. Dieser kann den Vorfall intern prüfen.
- Beschwerde bei der Aufsichtsbehörde: Als letzte Instanz können Sie sich an die zuständige Landesdatenschutzbehörde wenden.
Praxis-Checkliste für Leistungserbringer: Implementierung in 10 Schritten
Für eine erfolgreiche Integration der Elektronische Gesundheitsdatenverwaltung in Ihrer Praxis empfehlen wir folgende Schritte:
- TI-Anbindung prüfen: Stellen Sie sicher, dass alle Komponenten (Konnektor, Kartenterminals) auf dem neuesten Stand sind.
- PVS-Update: Installieren Sie das ePA-Modul Ihres Softwareanbieters und machen Sie sich mit den Funktionen vertraut.
- Personal schulen: Führen Sie regelmäßige Schulungen zu den Prozessen (Einwilligung, Dokumentenupload) und zum Datenschutz durch.
- Patienteninformation bereitstellen: Legen Sie Informationsmaterialien im Wartezimmer aus und weisen Sie aktiv auf die Möglichkeiten der ePA hin.
- Arbeitsabläufe anpassen: Definieren Sie, wann und wie Patienten nach ihrer Einwilligung gefragt werden und wer für das Hochladen von Dokumenten zuständig ist.
- Heilberufsausweise (HBA) verwalten: Sorgen Sie dafür, dass alle behandelnden Personen über einen gültigen HBA verfügen.
- Datenschutzkonzept aktualisieren: Passen Sie Ihre Datenschutz-Folgenabschätzung und Ihr Verzeichnis von Verarbeitungstätigkeiten an.
- Zugriffsrechte intern regeln: Legen Sie fest, welche Mitarbeitenden welche Zugriffsrechte im PVS haben.
- Notfallkonzept erarbeiten: Planen Sie, wie bei einem Ausfall der TI oder des PVS die Versorgung sichergestellt wird.
- Feedback einholen: Sprechen Sie mit Ihrem Team und den Patienten über die Erfahrungen mit der ePA und optimieren Sie die Prozesse kontinuierlich.
FAQ mit konkreten Anleitungen
Wie kann ich der Nutzung der ePA widersprechen (Opt-out)?
Um der automatischen Einrichtung einer ePA zu widersprechen, müssen Sie sich direkt an Ihre Krankenkasse wenden. Die meisten Kassen bieten hierfür ein Online-Formular auf ihrer Webseite oder einen schriftlichen Vordruck an. Der Widerspruch muss vor dem Stichtag oder jederzeit danach erfolgen. Eine bereits erstellte Akte wird nach einem Widerspruch gelöscht.
Wie verwalte ich, wer meine Daten sehen darf?
Die Zugriffsverwaltung ist die Kernfunktion Ihrer ePA-App. Öffnen Sie die App, wählen Sie den Bereich “Berechtigungen” oder “Zugriffsverwaltung”. Dort sehen Sie eine Liste aller Praxen und Krankenhäuser, die Zugriff angefragt haben oder bereits besitzen. Sie können für jeden Leistungserbringer einzeln festlegen, ob er Zugriff erhält und auf welche Dokumentenkategorien (z.B. nur Befunde, aber keine Arztbriefe).
Wo kann ich mich bei Datenschutzbedenken beschweren?
Ihre erste Anlaufstelle ist der Datenschutzbeauftragte des Leistungserbringers oder Ihrer Krankenkasse. Informationen hierzu finden Sie in deren Datenschutzerklärungen. Führt dies zu keinem Ergebnis, können Sie sich an die für Ihr Bundesland zuständige Datenschutzaufsichtsbehörde wenden. Eine Liste finden Sie auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Umsetzungsressourcen für IT-Verantwortliche
Für die technische Implementierung und Wartung der Systeme zur Elektronische Gesundheitsdatenverwaltung sind die Vorgaben der gematik maßgeblich. IT-Verantwortliche finden dort alle notwendigen Spezifikationen und Hilfsmittel.
- FHIR-Profile: Detaillierte Spezifikationen der deutschen Basisprofile und anwendungsspezifischer Profile (z.B. für den Medikationsplan oder den Notfalldatensatz) sind auf dem Simplifier-Portal der gematik öffentlich zugänglich.
- Testwerkzeuge: Die gematik stellt eine Referenzumgebung und Testsuiten zur Verfügung, mit denen Softwarehersteller die Konformität ihrer Produkte überprüfen können.
- Informationsportale: Das Fachportal der gematik bietet umfassende technische Dokumentationen. Allgemeine Informationen für Bürger stellt das Nationale Gesundheitsportal bereit.
- Berufsverbände: Verbände wie der BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.) oder die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) bieten ebenfalls wertvolle Fachinformationen und Handlungsempfehlungen.
Zusammenfassung und empfohlene nächste Schritte
Die Elektronische Gesundheitsdatenverwaltung ist mit der Einführung der ePA für alle im Jahr 2025 zu einem integralen Bestandteil der Gesundheitsversorgung geworden. Sie bietet enorme Potenziale zur Verbesserung von Behandlungsqualität und Patientensicherheit, stellt aber auch hohe Anforderungen an Datenschutz und Datensicherheit.
Für Patientinnen und Patienten:
Werden Sie aktiv. Richten Sie Ihren Zugang zur ePA ein, machen Sie sich mit den Funktionen vertraut und treffen Sie bewusste Entscheidungen über die Freigabe Ihrer Daten. Sie sind der Souverän Ihrer Gesundheitsinformationen.
Für Leistungserbringer und Anbieter:
Sehen Sie die Digitalisierung als Chance. Investieren Sie in die Schulung Ihres Personals und die Optimierung Ihrer Prozesse. Eine transparente und sichere Elektronische Gesundheitsdatenverwaltung stärkt das Vertrauen Ihrer Patienten und verbessert die Versorgungsqualität nachhaltig.