Elektronische Kommunikation mit Patienten sicher und DSGVO‑konform

Elektronische Kommunikation mit Patienten sicher und DSGVO‑konform

Elektronische Kommunikation mit Patienten: Der offizielle Leitfaden 2025

Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Die elektronische Kommunikation mit Patienten ist dabei ein zentraler Baustein, um Behandlungen effizienter, transparenter und sicherer zu gestalten. Dieser Leitfaden richtet sich an Versicherte und Leistungserbringer in Deutschland und bietet praxisnahe Anleitungen sowie rechtliche Klarstellungen für den Umgang mit digitalen Gesundheitsdaten ab dem Jahr 2025. Ziel ist es, Vertrauen zu schaffen und die Nutzung moderner Kommunikationswege im Einklang mit höchsten Datenschutzstandards zu fördern.

Inhaltsverzeichnis

Kurzüberblick: Warum sichere elektronische Kommunikation wichtig ist

Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Eine unsachgemäße Übermittlung kann gravierende Folgen für die Privatsphäre von Patienten haben. Gleichzeitig bietet eine gut organisierte elektronische Kommunikation mit Patienten enorme Vorteile: Behandlungsabläufe werden beschleunigt, Mehrfachuntersuchungen vermieden und die aktive Beteiligung der Patienten an ihrer eigenen Gesundheitsversorgung wird gestärkt. Die gesetzlich verankerte Telematikinfrastruktur (TI) schafft hierfür den notwendigen sicheren Rahmen, in dem alle Akteure – von der Arztpraxis über das Krankenhaus bis zur Apotheke – geschützt Daten austauschen können.

Rechte und Pflichten: Kurzer Rechtsrahmen für Patienten und Leistungserbringer

Die rechtliche Grundlage für den Umgang mit Gesundheitsdaten ist vielschichtig. Die wichtigsten Regelungen finden sich in der Datenschutz-Grundverordnung (DSGVO), dem Fünften Buch Sozialgesetzbuch (SGB V) sowie spezifischen Gesetzen wie dem Patientendaten-Schutz-Gesetz (PDSG). Daraus ergeben sich klare Rechte und Pflichten:

Für Patienten:

  • Recht auf informationelle Selbstbestimmung: Sie entscheiden, welche Daten in Ihrer elektronischen Patientenakte (ePA) gespeichert und wer darauf zugreifen darf.
  • Recht auf Transparenz: Sie können jederzeit einsehen, wer auf Ihre Daten zugegriffen hat.
  • Recht auf Berichtigung und Löschung: Fehlerhafte Einträge müssen vom Ersteller korrigiert werden; Sie können Dokumente aus Ihrer ePA löschen.

Für Leistungserbringer:

  • Pflicht zur Datensicherheit: Es müssen technische und organisatorische Maßnahmen getroffen werden, um die Daten vor unbefugtem Zugriff zu schützen.
  • Pflicht zur Einholung einer Einwilligung: Der Zugriff auf Daten in der ePA darf nur mit expliziter und protokollierter Zustimmung des Patienten erfolgen.
  • Dokumentationspflicht: Alle Zugriffe und relevanten Kommunikationsvorgänge müssen nachvollziehbar dokumentiert werden.

Einwilligung in der Praxis: Granulare Zustimmung, Widerruf und Nachweispflicht

Die Einwilligung ist das Herzstück der selbstbestimmten Datennutzung. Im Kontext der ePA ist diese besonders detailliert gestaltet. Man spricht von einer granularen Einwilligungssteuerung. Das bedeutet, Patienten können für jeden Leistungserbringer und sogar für jedes einzelne Dokument festlegen, wer es einsehen darf und für wie lange.

Praktische Umsetzung der Einwilligung:

  • Detaillierte Freigabe: Sie können beispielsweise festlegen, dass Ihr Zahnarzt nur zahnmedizinische Befunde sieht, während Ihr Hausarzt Zugriff auf alle relevanten Dokumente erhält.
  • Zeitliche Begrenzung: Zugriffsrechte können für einen Tag, eine Woche oder einen längeren Zeitraum erteilt werden. Nach Ablauf der Frist erlischt der Zugriff automatisch.
  • Widerruf: Eine einmal erteilte Einwilligung kann jederzeit und ohne Angabe von Gründen über die ePA-App widerrufen werden. Der Widerruf wirkt sofort.

Leistungserbringer sind verpflichtet, die Einwilligung des Patienten vor dem Zugriff aktiv einzuholen und diesen Vorgang zu dokumentieren. Dies geschieht in der Regel durch das Stecken der elektronischen Gesundheitskarte (eGK) im Praxis-Terminal und die Bestätigung durch den Patienten.

ePA praktisch: Aktivieren, Zugänge verwalten und Sichtbarkeit prüfen (Schritt‑für‑Schritt)

Die elektronische Patientenakte ist Ihr persönlicher, digitaler Datenspeicher für Gesundheitsdokumente. Die Verwaltung erfolgt vollständig über eine App Ihrer Krankenkasse.

Schritt 1: Aktivierung der ePA

  1. Laden Sie die offizielle ePA-App Ihrer gesetzlichen Krankenkasse aus dem App Store (iOS) oder Google Play Store (Android) herunter.
  2. Registrieren Sie sich in der App. Hierfür benötigen Sie Ihre elektronische Gesundheitskarte (eGK) mit NFC-Funktion und die dazugehörige PIN. Sollten Sie keine PIN haben, fordern Sie diese bei Ihrer Krankenkasse an.
  3. Folgen Sie den Anweisungen zur Identitätsprüfung. Dies kann über das Post-Ident-Verfahren, Video-Ident oder in einer Geschäftsstelle Ihrer Krankenkasse erfolgen.
  4. Nach erfolgreicher Identifizierung ist Ihre ePA einsatzbereit.

Schritt 2: Zugänge verwalten

In Ihrer ePA-App finden Sie den Bereich „Berechtigungen“ oder „Zugriffsverwaltung“. Hier können Sie:

  • Zugriffe erteilen: Suchen Sie nach der Praxis, dem Krankenhaus oder der Apotheke und legen Sie den Umfang und die Dauer des Zugriffs fest.
  • Zugriffe entziehen: Bestehende Berechtigungen können hier mit sofortiger Wirkung beendet werden.
  • Dokumente klassifizieren: Sie können einzelne Dokumente als „vertraulich“ markieren, sodass sie einer feineren Zugriffskontrolle unterliegen.

Schritt 3: Sichtbarkeit prüfen (Protokolle einsehen)

Unter dem Menüpunkt „Protokolle“ oder „Aktivitäten“ listet die App lückenlos jeden einzelnen Zugriff auf Ihre ePA auf. Sie sehen genau, welcher Arzt oder welche Apotheke wann auf welches Dokument zugegriffen hat. Dies schafft maximale Transparenz.

Kommunikationskanäle: E‑Mail, SMS, WhatsApp und sichere Portale – Risiken und erlaubte Anwendungen

Nicht jeder digitale Kanal ist für die elektronische Kommunikation mit Patienten geeignet. Die Wahl des richtigen Mediums ist entscheidend für den Datenschutz.

Unsichere und nicht empfohlene Kanäle:

  • Standard-E-Mail: Unverschlüsselte E-Mails sind wie eine Postkarte. Jeder, der die Daten auf dem Übertragungsweg abfängt, kann sie mitlesen. Für den Versand von Befunden oder Diagnosen ist dies unzulässig.
  • SMS und WhatsApp: Diese Dienste bieten zwar oft eine Ende-zu-Ende-Verschlüsselung, erfüllen aber nicht die strengen Anforderungen des deutschen Gesundheitswesens, insbesondere hinsichtlich der Datenspeicherung und der Vertragsbeziehungen (Stichwort: Auftragsverarbeitung).

Sichere und erlaubte Anwendungen:

  • Die elektronische Patientenakte (ePA): Der primäre und sicherste Kanal für den Austausch medizinischer Dokumente.
  • TI-Messenger: Ein speziell für das Gesundheitswesen entwickelter Messenger-Dienst, der über die Telematikinfrastruktur läuft und höchste Sicherheitsstandards erfüllt. Er ermöglicht die direkte und sichere Kommunikation zwischen Praxen und Patienten.
  • Sichere Patientenportale: Viele Kliniken und Praxen bieten eigene Online-Portale an, die über eine gesicherte Verbindung (HTTPS) und eine Zwei-Faktor-Authentifizierung verfügen. Diese können für Terminvereinbarungen oder das Ausfüllen von Anamnesebögen genutzt werden.

Zugriffskontrolle und Auditlogs: Wer sieht was und wie wird es protokolliert

Ein zentrales Sicherheitsmerkmal der Telematikinfrastruktur ist das lückenlose Protokoll aller Datenzugriffe. Dieses sogenannte Auditlog ist für Patienten jederzeit über ihre ePA-App einsehbar und dient als Nachweisinstrument. Es schafft Vertrauen, da jede Interaktion mit den sensiblen Daten transparent gemacht wird.

Was wird protokolliert?

  • Wer: Die Identität des zugreifenden Leistungserbringers (z. B. Dr. Max Mustermann, Praxis-ID).
  • Wann: Datum und genaue Uhrzeit des Zugriffs.
  • Worauf: Das spezifische Dokument oder der Datenbereich, auf das/den zugegriffen wurde.
  • Art des Zugriffs: Ob die Daten nur gelesen, neu hochgeladen oder gelöscht wurden.

Diese Protokolle sind manipulationssicher gespeichert und dienen im Streitfall als Beweismittel. Sie stellen sicher, dass die elektronische Kommunikation mit Patienten nicht nur effizient, sondern vor allem nachvollziehbar und kontrollierbar ist.

Szenarien aus dem Alltag: Arzttermin, Befundübermittlung, Apotheke, Krankenhaus

Wie sieht die digitale Kommunikation im Behandlungsalltag ab 2025 konkret aus?

  • Arzttermin: Sie vereinbaren einen Termin über das sichere Portal Ihrer Arztpraxis. Vor dem Termin geben Sie über Ihre ePA-App dem Arzt Zugriff auf relevante Vorbefunde. Im Wartezimmer müssen Sie keine Papierbögen mehr ausfüllen.
  • Befundübermittlung: Nach einer Blutabnahme stellt das Labor den Befund direkt in Ihre ePA ein. Ihr Arzt kann ihn einsehen und Sie erhalten eine Benachrichtigung auf Ihrem Smartphone. Ein postalischer Versand ist nicht mehr nötig.
  • Apotheke: Ihr Arzt stellt ein E-Rezept aus, das in Ihrer ePA oder auf Ihrer Gesundheitskarte gespeichert wird. In der Apotheke zeigen Sie den QR-Code in der App oder stecken Ihre Karte, und der Apotheker kann das Rezept digital abrufen.
  • Krankenhaus: Bei einer geplanten Aufnahme geben Sie dem Krankenhaus vorab Zugriff auf Ihre ePA. Die Ärzte dort sehen sofort Ihre Medikationspläne, Allergien und bisherigen Diagnosen, was die Aufnahme beschleunigt und die Behandlungssicherheit erhöht.

Privatversicherte: Unterschiede, Verfügbarkeit und besondere Hinweise

Auch privat Versicherte haben Anspruch auf eine elektronische Patientenakte. Die Umsetzung und der Funktionsumfang können sich jedoch von den Angeboten der gesetzlichen Krankenkassen (GKV) unterscheiden. Private Krankenversicherungen (PKV) stellen eigene ePA-Apps zur Verfügung.

Wichtige Hinweise für Privatversicherte:

  • Kontaktieren Sie Ihre Versicherung: Erkundigen Sie sich direkt bei Ihrer PKV nach dem genauen Vorgehen zur Aktivierung und Nutzung der ePA.
  • Prüfen Sie die Anbindung: Stellen Sie sicher, dass die ePA Ihrer PKV vollständig an die zentrale Telematikinfrastruktur angebunden ist, um einen reibungslosen Datenaustausch mit allen Leistungserbringern zu gewährleisten.
  • Funktionsumfang: Der Umfang der angebotenen Dienste wie E-Rezept oder digitaler Medikationsplan kann variieren.

Technische Mindestanforderungen: Formate, Schnittstellen und Speicherorte

Für eine reibungslose Interoperabilität im Gesundheitswesen müssen alle Systeme dieselbe „Sprache“ sprechen. Die gematik gibt hierfür klare Standards vor.

  • Formate: Medizinische Daten werden in standardisierten Formaten wie HL7 (Health Level Seven), FHIR (Fast Healthcare Interoperability Resources, auf Englisch) oder DICOM (für Bilddaten) ausgetauscht.
  • Schnittstellen: Der Zugang zur Telematikinfrastruktur erfolgt über streng gesicherte Schnittstellen (APIs), die von der gematik definiert und kontrolliert werden.
  • Speicherorte: Die Daten der ePA liegen nicht zentral an einem Ort, sondern in hochsicheren, dezentralen Rechenzentren in Deutschland. Der Patient allein hat über seine App den Schlüssel zu seinen Daten.

Eskalationswege und Durchsetzung: Wenn Leistungserbringer nicht mitwirken

Was tun, wenn eine Arztpraxis sich weigert, Befunde in die ePA einzustellen oder die digitale Kommunikation verweigert?

  1. Das Gespräch suchen: Sprechen Sie die Praxis direkt und freundlich darauf an. Manchmal liegen die Gründe in technischen Unsicherheiten oder fehlender Information.
  2. Krankenkasse informieren: Ihre Krankenkasse hat ein Interesse daran, dass die digitalen Angebote genutzt werden und kann vermittelnd tätig werden.
  3. Beschwerde bei der Aufsichtsbehörde: In letzter Instanz können Sie sich an die für das Bundesland zuständige Datenschutzaufsichtsbehörde wenden, wenn Sie einen Verstoß gegen Ihre Patientenrechte vermuten.

Häufige Fragen mit konkreten Antworten

Kann ich die Nutzung der ePA oder die Übernahme bestimmter Daten ablehnen?

Ja. Die Nutzung der ePA ist freiwillig. Sie können auch entscheiden, dass nur bestimmte Dokumente hochgeladen werden sollen. Sie haben die volle Kontrolle (Opt-out-Möglichkeit).

Wie kann ich fehlerhafte Informationen in meiner ePA korrigieren lassen?

Sie selbst können keine medizinischen Einträge ändern. Kontaktieren Sie den Leistungserbringer, der das Dokument erstellt hat, und bitten Sie um eine Korrektur. Dieser ist verpflichtet, den korrigierten Befund erneut hochzuladen.

Wo kann ich mich bei Datenschutzbedenken beschweren?

Erste Anlaufstelle ist der Datenschutzbeauftragte des betreffenden Leistungserbringers (Praxis, Krankenhaus). Darüber hinaus können Sie sich an die Landesdatenschutzbehörde Ihres Bundeslandes wenden.

Muster‑Checkliste für Patienten und Leistungserbringer

Checkliste für Patienten

  • [ ] ePA-App meiner Krankenkasse installiert und aktiviert?
  • [ ] PIN für meine elektronische Gesundheitskarte (eGK) vorhanden?
  • [ ] Zugriffsrechte für meine behandelnden Ärzte und Apotheken geprüft und eingerichtet?
  • [ ] Protokolle der Datenzugriffe regelmäßig kontrolliert?
  • [ ] Unsichere Kanäle wie unverschlüsselte E-Mail für sensible Daten vermieden?

Checkliste für Leistungserbringer

  • [ ] Anschluss an die Telematikinfrastruktur (TI) funktionsfähig?
  • [ ] Praxisverwaltungssystem (PVS) für ePA und E-Rezept auf dem neuesten Stand?
  • [ ] Prozess zur Einholung und Dokumentation der Patienteneinwilligung etabliert?
  • [ ] Personal im Umgang mit der ePA und sicheren Kommunikationswegen geschult?
  • [ ] Patienten über die Möglichkeiten der sicheren elektronischen Kommunikation informiert?

Quellen und weiterführende offizielle Links

Für weiterführende und vertiefende Informationen empfehlen wir die folgenden offiziellen Stellen:

  • Bundesgesundheitsministerium: Detaillierte Informationen zur Verwaltung der ePA finden Sie unter: Wie verwalte ich meine ePA?
  • gematik GmbH: Die nationale Agentur für digitale Medizin stellt Informationen zur Telematikinfrastruktur und Modellregionen bereit: TI Modellregionen (gematik)
  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Fachverband für Datenschutzfragen: GDD
  • Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD): Informationen und Unterstützung durch Fachexperten: BvD