Elektronische Patientenakte und DSGVO: Ihr umfassender Leitfaden zu Datenschutz, Rechten und Sicherheit
Die Digitalisierung im Gesundheitswesen schreitet voran, und im Zentrum steht die elektronische Patientenakte (ePA). Sie verspricht eine verbesserte medizinische Versorgung durch zentral verfügbare Gesundheitsdaten. Doch was bedeutet das für den Schutz Ihrer sensiblen Informationen? Dieser Leitfaden beleuchtet die enge Verknüpfung zwischen der Elektronische Patientenakte und DSGVO, erklärt Ihre Rechte als versicherte Person und bietet praxisnahe Anleitungen zum Umgang mit Ihren Daten.
Inhaltsverzeichnis
- Kurzüberblick für Eilige
- Was ist die elektronische Patientenakte (ePA)?
- Welche Daten speichert die ePA?
- Besondere Schutzbedürftigkeit: Gesundheitsdaten nach Art. 9 DSGVO
- Zugriffsmodelle: Wer sieht was?
- Widerspruch, Widerruf und Löschung: Ihre Rechte
- Drei praxisnahe Widerspruchswege mit konkreten Einreichkanälen
- ePA-App: Schritt-für-Schritt-Anleitungen
- Sicherheitsübersicht: Maßnahmentimeline und Risiken
- Drittanbieter und Auftragsverarbeitung (AVV)
- Privatversicherte und die ePA
- Nicht digitale Optionen für den Zugang
- Praxisleitfaden für Arztpraxen und DSB
- Einseitiges Merkblatt zum Ausdrucken für Patienten
- FAQ: Häufige Fragen
- Offizielle Quellen und weiterführende Links
Kurzüberblick für Eilige
Die elektronische Patientenakte wird für alle gesetzlich Versicherten automatisch eingerichtet (Opt-out-Verfahren), sofern kein Widerspruch eingelegt wird. Ihre Gesundheitsdaten sind gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) besonders geschützt. Sie als Versicherter haben die Datenhoheit: Sie entscheiden, welche Daten gespeichert werden und wer darauf zugreifen darf. Ein Widerspruch gegen die ePA ist jederzeit möglich und kann über Ihre Krankenkasse, die ePA-App oder durch eine Beschwerde bei der zuständigen Aufsichtsbehörde erfolgen. Die Sicherheit der ePA wird durch strenge gesetzliche Vorgaben und technische Maßnahmen gewährleistet, die kontinuierlich weiterentwickelt werden.
Was ist die elektronische Patientenakte (ePA)?
Die elektronische Patientenakte ist ein digitaler Speicherort für Ihre persönlichen Gesundheitsdaten. Sie wird von Ihrer gesetzlichen Krankenkasse zur Verfügung gestellt und soll den Informationsaustausch zwischen Ärzten, Krankenhäusern, Apotheken und Ihnen als Patient vereinfachen. Das Ziel ist es, Doppeluntersuchungen zu vermeiden, die Arzneimitteltherapiesicherheit zu erhöhen und im Notfall schnellen Zugriff auf relevante Informationen wie Allergien oder Vorerkrankungen zu ermöglichen. Die rechtliche Grundlage für die ePA findet sich primär im Fünften Buch Sozialgesetzbuch (SGB V).
Welche Daten speichert die ePA?
Die ePA kann eine Vielzahl von medizinischen Dokumenten und Informationen enthalten. Sie als Versicherter entscheiden, was gespeichert wird. Zu den typischen Datenkategorien gehören:
- Behandlungsdaten: Arztbriefe, Befunde, Diagnosen, Laborwerte und Operationsberichte.
- Medikationsdaten: Elektronischer Medikationsplan, Informationen zu verordneten und eingenommenen Medikamenten.
- Notfalldaten: Informationen über Allergien, Unverträglichkeiten, chronische Erkrankungen und Kontaktpersonen für den Notfall.
- Vorsorgedokumente: Impfausweis, Mutterpass, Zahnbonusheft und Kinderuntersuchungsheft.
- Eigene Dokumente: Sie können auch eigene Dokumente hochladen, beispielsweise ein Schmerztagebuch oder eine Patientenverfügung.
Besondere Schutzbedürftigkeit: Gesundheitsdaten nach Art. 9 DSGVO erklärt
Das Zusammenspiel von Elektronische Patientenakte und DSGVO ist von zentraler Bedeutung, da es sich bei Gesundheitsinformationen um besonders sensible Daten handelt. Artikel 9 DSGVO definiert Gesundheitsdaten als “besondere Kategorien personenbezogener Daten”. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine explizite Rechtsgrundlage oder eine ausdrückliche Einwilligung vor.
Für die ePA wurde mit dem Patientendaten-Schutz-Gesetz (PDSG) und Anpassungen im SGB V eine solche Rechtsgrundlage geschaffen. Dennoch bleiben die strengen Prinzipien der DSGVO bestehen:
- Zweckbindung: Die Daten dürfen nur für die Gesundheitsversorgung und die von Ihnen freigegebenen Zwecke verwendet werden.
- Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Behandlungszweck erforderlich sind.
- Speicherbegrenzung: Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Sie haben zudem jederzeit das Recht, die Löschung zu veranlassen.
- Integrität und Vertraulichkeit: Die Daten müssen durch geeignete technische und organisatorische Maßnahmen (TOM) vor unbefugtem Zugriff, Verlust oder Zerstörung geschützt werden.
Zugriffsmodelle: Wer sieht was? Rollen, Berechtigungen und Protokollierung
Die Hoheit über die Daten liegt bei Ihnen. Sie steuern über die ePA-App oder alternative Zugangsmöglichkeiten, wer welche Dokumente wie lange einsehen darf. Das System basiert auf einem differenzierten Berechtigungskonzept:
- Sie als Versicherter: Sie haben jederzeit vollen Lese- und Schreibzugriff auf alle Ihre Daten.
- Leistungserbringer (Ärzte, Krankenhäuser, Apotheken): Erhalten nur dann Zugriff, wenn Sie diesen explizit freigeben. Sie können den Zugriff auf einzelne Dokumente oder Kategorien beschränken und zeitlich befristen.
- Protokollierung: Jeder einzelne Zugriff auf Ihre ePA wird lückenlos protokolliert. Sie können in Ihrer App jederzeit nachvollziehen, wer wann auf welche Daten zugegriffen hat. Dies schafft Transparenz und dient der Kontrolle.
Widerspruch, Widerruf und Löschung: Ihre Rechte
Die ePA wird nach dem Opt-out-Prinzip eingeführt. Das bedeutet, sie wird für Sie angelegt, es sei denn, Sie widersprechen aktiv. Ihre Rechte sind durch die DSGVO und das SGB V klar definiert:
- Widerspruchsrecht (Art. 21 DSGVO / § 342 Abs. 5 SGB V): Sie können der Einrichtung und Nutzung einer ePA für Ihre Person jederzeit widersprechen, ohne Gründe angeben zu müssen.
- Widerrufsrecht (Art. 7 DSGVO): Bereits erteilte Zugriffsberechtigungen für Ärzte oder andere Leistungserbringer können Sie jederzeit mit sofortiger Wirkung widerrufen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können jederzeit die vollständige und unwiderrufliche Löschung Ihrer ePA und aller darin enthaltenen Daten verlangen.
Diese Rechte können Sie jederzeit und unkompliziert ausüben. Es entstehen Ihnen dadurch keine Nachteile bei Ihrer medizinischen Versorgung.
Drei praxisnahe Widerspruchswege mit konkreten Einreichkanälen
Wenn Sie keine elektronische Patientenakte wünschen, haben Sie mehrere Möglichkeiten, Widerspruch einzulegen.
- Widerspruch bei Ihrer Krankenkasse:
- Weg: Der direkteste Weg. Sie können Ihren Widerspruch formlos schriftlich per Post oder über das Online-Portal Ihrer Krankenkasse einreichen.
- Rechtsgrundlage: § 342 Abs. 5 SGB V.
- Tipp: Versenden Sie den Widerspruch per Einschreiben, um einen Nachweis zu haben, und bitten Sie um eine schriftliche Bestätigung.
- Beschwerde bei der zuständigen Aufsichtsbehörde:
- Weg: Sollte Ihr Widerspruch bei der Krankenkasse ignoriert werden oder fühlen Sie sich in Ihren Rechten verletzt, können Sie sich an die für Ihre Krankenkasse zuständige Datenschutzaufsichtsbehörde wenden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist für bundesunmittelbare Krankenkassen zuständig.
- Rechtsgrundlage: Art. 77 DSGVO (Recht auf Beschwerde bei einer Aufsichtsbehörde).
- Einreichkanal: Über das Beschwerde Formular auf der Webseite der jeweiligen Behörde, z. B. beim BfDI.
- Widerspruch über die ePA-App:
- Weg: Sobald die ePA für Sie angelegt ist, können Sie diese direkt in der App Ihrer Krankenkasse verwalten und dort auch die Löschung der Akte veranlassen, was einem dauerhaften Widerspruch gleichkommt.
- Rechtsgrundlage: Technische Umsetzung der Betroffenenrechte gemäß Art. 12 ff. DSGVO.
- Einreichkanal: Direkt in den Einstellungen der jeweiligen ePA-App Ihrer Krankenkasse.
ePA-App: Schritt-für-Schritt-Anleitungen
Die ePA-App ist Ihr zentrales Werkzeug zur Verwaltung Ihrer Daten. Die genauen Menüpunkte können je nach Krankenkasse variieren, die grundlegenden Funktionen sind jedoch identisch.
Beispielpfad zur Berechtigungsvergabe:
- App öffnen und anmelden.
- Menüpunkt “Berechtigungen” oder “Zugriffsverwaltung” wählen.
- “Berechtigung erteilen” auswählen.
- Arztpraxis oder Krankenhaus suchen und auswählen.
- Dokumentenkategorien (z. B. “Befunde”) auswählen, die freigegeben werden sollen.
- Gültigkeitsdauer für den Zugriff festlegen (z. B. “7 Tage”).
- Freigabe bestätigen.
Druckvorlage: Beispielpfad zur Löschung der Akte:
- Pfad: App öffnen > Einstellungen (oft Zahnrad-Symbol) > Aktenverwaltung / Mein Konto > ePA kündigen / Akte löschen > Bestätigen.
Sicherheitsübersicht: Maßnahmen Time Line und Risiken
Die Sicherheit der ePA hat höchste Priorität und wird durch ein mehrstufiges Konzept gewährleistet. Alle Daten werden ausschließlich verschlüsselt gespeichert und übertragen.
Zeitachse geplanter Sicherheitsmaßnahmen (ab 2026):
| Zeitraum | Maßnahme |
|---|---|
| Ab 2026 | Flächendeckender Rollout der ePA (Opt-out) mit etablierten Standards wie Zwei-Faktor-Authentifizierung (2FA) und Ende-zu-Ende-Verschlüsselung. |
| Ab 2027 | Geplante Implementierung erster post-quantenkryptographischer Verfahren zum Schutz vor zukünftigen Angriffen durch Quantencomputer. |
| Laufend | Verpflichtende, regelmäßige Sicherheitsaudits und Penetrationstests aller beteiligten Komponenten durch zertifizierte Stellen und das BSI – Bundesamt fuer Sicherheit in der Informationstechnik. |
Verbleibende Risiken: Trotz hoher technischer Standards liegt ein Teil der Verantwortung beim Nutzer. Risiken bestehen durch Phishing-Angriffe (Diebstahl von Zugangsdaten) oder die Nutzung unsicherer Endgeräte (Smartphones mit veraltetem Betriebssystem). Ein sorgsamer Umgang mit den eigenen Zugangsdaten ist daher unerlässlich.
Drittanbieter und Auftragsverarbeitung (AVV)
Ihre Krankenkasse ist der datenschutzrechtlich Verantwortliche für Ihre ePA. Sie betreibt die IT-Infrastruktur jedoch nicht immer selbst, sondern beauftragt spezialisierte IT-Dienstleister. Diese agieren als Auftragsverarbeiter. Die Beziehung zwischen Krankenkasse und Dienstleister wird durch einen strengen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO geregelt. Dieser Vertrag stellt sicher, dass der Dienstleister die Daten nur auf Weisung der Krankenkasse und unter Einhaltung derselben hohen Datenschutz- und Sicherheitsstandards verarbeitet.
Privatversicherte und die ePA
Auch privat Versicherte können eine elektronische Patientenakte nutzen. Die privaten Krankenversicherungen (PKV) bieten eigene, zur Telematikinfrastruktur kompatible ePA-Lösungen an. Die technischen und datenschutzrechtlichen Grundlagen sind weitgehend identisch mit denen der gesetzlichen Krankenversicherung. Versicherte sollten sich direkt bei ihrer PKV über die genauen Konditionen und die verfügbare App informieren.
Nicht digitale Optionen: Hilfe für Menschen ohne Smartphone oder mit Zugangsbarrieren
Nicht jeder besitzt ein Smartphone oder ist digital affin. Für diese Personen gibt es barrierefreie Alternativen:
- Verwaltung über Geschäftsstellen: Versicherte können ihre ePA in den Geschäftsstellen ihrer Krankenkasse verwalten, Berechtigungen erteilen oder einen Widerspruch einlegen.
- Bevollmächtigung: Es ist möglich, eine Vertrauensperson zu bevollmächtigen, die ePA im eigenen Namen zu verwalten.
- Ausdrucke in der Arztpraxis: Sie können Ihren Arzt bitten, Ihnen wichtige Dokumente aus der ePA auszudrucken.
Praxisleitfaden für Arztpraxen und DSB: Kurzcheckliste zur Umsetzung und Dokumentation
Für Leistungserbringer und Datenschutzbeauftragte (DSB) ist die korrekte Handhabung der ePA entscheidend.
- ✅ Patienten informieren: Klären Sie Patienten aktiv über die ePA und ihre Rechte auf (Informationspflicht nach Art. 13/14 DSGVO).
- ✅ Zugriff einholen: Fordern Sie den Zugriff auf die ePA nur an, wenn er für die Behandlung notwendig ist und der Patient seine Zustimmung erteilt hat.
- ✅ Dokumentation: Stellen Sie sicher, dass Ihr Praxisverwaltungssystem (PVS) die Zugriffe korrekt protokolliert.
- ✅ Verfahrensverzeichnis (VVT): Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und beschreiben Sie die Verarbeitung von Daten im Kontext der ePA.
- ✅ Mitarbeiterschulung: Schulen Sie Ihr Personal im datenschutzkonformen Umgang mit der ePA.
Einseitiges Merkblatt zum Ausdrucken: Kurzfassung für Patientinnen und Patienten
- Was ist die ePA? Ihre persönliche, digitale Gesundheitsakte, bereitgestellt von Ihrer Krankenkasse.
- Ist sie Pflicht? Nein. Sie wird automatisch angelegt, Sie können aber jederzeit widersprechen (Opt-out).
- Wer bestimmt über die Daten? Nur Sie. Sie entscheiden, was gespeichert wird und wer es sehen darf.
- Welche Rechte habe ich? Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch.
- Wie kann ich widersprechen? Schriftlich bei Ihrer Krankenkasse, über die ePA-App oder bei der Datenschutz-Aufsichtsbehörde.
- Sind meine Daten sicher? Ja, durch mehrfache Verschlüsselung und strenge Sicherheitskontrollen. Jeder Zugriff wird protokolliert.
FAQ: Häufige Fragen mit klaren Antworten
Was passiert, wenn ich meine Krankenkasse wechsle?
Ihre ePA kann zur neuen Krankenkasse “umziehen”. Sie können Ihre Daten mitnehmen, sodass die Kontinuität Ihrer Gesundheitshistorie gewahrt bleibt.
Können Krankenkassenmitarbeiter meine medizinischen Daten einsehen?
Nein. Mitarbeiter Ihrer Krankenkasse haben keinen Zugriff auf die medizinischen Inhalte Ihrer ePA. Die Daten sind für sie verschlüsselt und unlesbar.
Wer haftet bei einem Datenleck?
Datenschutzrechtlich verantwortlich ist Ihre Krankenkasse. Bei einem schuldhaften Verstoß haftet sie für entstandene materielle oder immaterielle Schäden gemäß Artikel 82 DSGVO.
Offizielle Quellen und weiterführende Links
Für vertiefende Informationen und rechtliche Details empfehlen wir die folgenden offiziellen Stellen:
- Bundesministerium für Gesundheit (BMG)
- gematik GmbH – Nationale Agentur für Digitale Medizin
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
- Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD)