Inhaltsverzeichnis
- Die Elektronische Patientenakte (ePA): Eine Einführung
- DSGVO im Gesundheitssektor: Besondere Schutzbedürftigkeit von Gesundheitsdaten
- Patientenrechte in der digitalen Akte: Transparenz und Kontrolle
- Verantwortlichkeiten von Ärzten und Kliniken: Umsetzung der DSGVO
- Technische und organisatorische Maßnahmen für den Datenschutz
- Häufige Fragen und Herausforderungen bei der ePA-Nutzung
- Zukunft der ePA und Datenschutz: Ein Ausblick
Die Elektronische Patientenakte (ePA): Eine Einführung
Die Digitalisierung des Gesundheitswesens schreitet unaufhaltsam voran. Ein zentraler Baustein dieser Entwicklung ist die Elektronische Patientenakte (ePA). Sie soll die Zettelwirtschaft beenden und medizinische Informationen wie Befunde, Diagnosen, Medikationspläne und Arztbriefe zentral und sicher bündeln. Für Patienten bedeutet dies mehr Transparenz und eine bessere Koordination ihrer Behandlungen. Für Ärzte und Kliniken verspricht die ePA effizientere Prozesse und eine fundiertere Entscheidungsgrundlage. Doch mit der Zentralisierung sensibler Daten rückt eine entscheidende Frage in den Mittelpunkt: Wie lassen sich die Chancen der Digitalisierung nutzen, ohne den Datenschutz zu vernachlässigen? Genau hier treffen die Elektronische Patientenakte und DSGVO aufeinander und schaffen ein komplexes Spannungsfeld zwischen medizinischem Fortschritt und dem Schutz der Privatsphäre.
Die ePA wird den gesetzlich Versicherten von ihrer Krankenkasse zur Verfügung gestellt. Die Nutzung ist freiwillig, und der Patient allein entscheidet, welche Daten gespeichert und welcher Arzt darauf zugreifen darf. Diese Hoheit über die eigenen Daten ist ein Kernprinzip, das die ePA von Anfang an begleitet. Doch die technische und organisatorische Umsetzung muss den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO, auf Englisch: General Data Protection Regulation oder GDPR) genügen, um das Vertrauen von Patienten und Leistungserbringern zu gewinnen und zu erhalten.
DSGVO im Gesundheitssektor: Besondere Schutzbedürftigkeit von Gesundheitsdaten
Das Herzstück der DSGVO im medizinischen Kontext ist der Schutz besonderer Kategorien personenbezogener Daten. Gemäß Artikel 9 DSGVO gehören Gesundheitsdaten zu diesen besonders schutzwürdigen Informationen. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine explizite Ausnahme vor. Die wichtigste Ausnahme im Zusammenhang mit der ePA ist die ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO).
Was bedeutet das konkret? Ein Patient muss aktiv und unmissverständlich zustimmen, dass seine Gesundheitsdaten in der ePA gespeichert und von bestimmten Ärzten eingesehen werden dürfen. Eine pauschale Zustimmung genügt nicht. Die Einwilligung muss freiwillig, informiert und für den spezifischen Zweck erfolgen. Patienten müssen zudem die Möglichkeit haben, ihre Einwilligung jederzeit und ohne Angabe von Gründen zu widerrufen. Diese hohen Anforderungen stellen sicher, dass die Kontrolle über die sensibelsten Daten stets beim Einzelnen verbleibt. Die korrekte Handhabung der Themen Elektronische Patientenakte und DSGVO ist daher für alle Beteiligten von höchster Priorität.
Patientenrechte in der digitalen Akte: Transparenz und Kontrolle
Die DSGVO stattet Patienten mit weitreichenden Rechten aus, die auch und gerade im Kontext der elektronischen Patientenakte von großer Bedeutung sind. Sie gewährleisten Transparenz und geben den Betroffenen die Kontrolle über ihre Daten zurück.
- Auskunftsrecht (Art. 15 DSGVO): Patienten haben das Recht zu erfahren, welche Daten über sie in der ePA gespeichert sind, wer darauf zugegriffen hat und zu welchem Zweck die Verarbeitung erfolgt. Die ePA-Systeme müssen detaillierte Protokollierungsfunktionen bereitstellen, um diese Auskunftspflicht zu erfüllen.
- Recht auf Berichtigung (Art. 16 DSGVO): Stellt ein Patient fest, dass in seiner Akte fehlerhafte Daten enthalten sind, kann er deren unverzügliche Berichtigung verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Auch bekannt als „Recht auf Vergessenwerden“, ermöglicht es Patienten, die Löschung ihrer Daten zu verlangen, beispielsweise nach einem Widerruf der Einwilligung. Gesetzliche Aufbewahrungspflichten können diesem Recht jedoch entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Patienten verlangen, dass ihre Daten zwar gespeichert, aber nicht weiter verarbeitet werden dürfen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Patienten können verlangen, ihre in der ePA gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, um sie beispielsweise einem anderen Dienst zur Verfügung zu stellen.
Die technische Ausgestaltung der ePA muss die unkomplizierte Ausübung dieser Rechte ermöglichen. Patienten verwalten ihre Akte in der Regel über eine App ihrer Krankenkasse, über die sie Berechtigungen erteilen und entziehen sowie Protokolle einsehen können.
Verantwortlichkeiten von Ärzten und Kliniken: Umsetzung der DSGVO
Für Gesundheitsdienstleister bringt die Einführung der ePA neue Verantwortlichkeiten mit sich. Sie agieren als Verantwortliche im Sinne der DSGVO, sobald sie Daten in die ePA einstellen oder daraus abrufen. Dies bedeutet, dass sie für die Rechtmäßigkeit dieser Datenverarbeitungsvorgänge Sorge tragen müssen.
Wichtige Pflichten im Überblick:
- Einholung der Einwilligung: Ärzte müssen sicherstellen, dass eine wirksame Zugriffsberechtigung des Patienten vorliegt, bevor sie auf die ePA zugreifen. Der Prozess muss dokumentiert werden.
- Datenschutz-Folgenabschätzung (DSFA): Bei der Einführung neuer Verarbeitungstätigkeiten mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen – was bei der ePA der Fall ist – kann eine DSFA gemäß Art. 35 DSGVO erforderlich sein.
- Benennung eines Datenschutzbeauftragten (DSB): Arztpraxen und Kliniken, die in großem Umfang Gesundheitsdaten verarbeiten, sind zur Benennung eines DSB verpflichtet. Dieser berät und überwacht die Einhaltung der Datenschutzvorschriften.
- Meldepflicht bei Datenpannen: Im Falle einer Datenschutzverletzung, beispielsweise eines unbefugten Zugriffs, besteht eine gesetzliche Meldepflicht gegenüber der zuständigen Aufsichtsbehörde und gegebenenfalls den betroffenen Patienten (Art. 33 und 34 DSGVO).
Die Auseinandersetzung mit dem Thema Elektronische Patientenakte und DSGVO ist für medizinisches Personal keine Kür, sondern eine rechtliche und ethische Pflicht.
Technische und organisatorische Maßnahmen für den Datenschutz
Um den Schutz der Gesundheitsdaten in der ePA zu gewährleisten, fordert die DSGVO in Artikel 32 geeignete technische und organisatorische Maßnahmen (TOMs). Diese sollen ein dem Risiko angemessenes Schutzniveau sicherstellen.
Technische Maßnahmen (Beispiele):
- Starke Verschlüsselung: Alle Daten in der ePA müssen sowohl während der Übertragung (in transit) als auch bei der Speicherung (at rest) nach dem Stand der Technik verschlüsselt werden. Nur der Patient besitzt den Schlüssel, um die Daten vollständig zu entschlüsseln.
- Zugriffskontrolle: Der Zugriff auf die ePA ist streng reglementiert. Er erfordert die elektronische Gesundheitskarte (eGK), eine PIN und den Heilberufsausweis (HBA) aufseiten des Arztes.
- Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden, um den direkten Bezug zu einer Person zu erschweren.
- Protokollierung: Jeder einzelne Zugriff auf die ePA wird lückenlos protokolliert, sodass Patienten jederzeit nachvollziehen können, wer wann welche Daten eingesehen hat.
Organisatorische Maßnahmen (Beispiele):
- Datenschutzschulungen: Das gesamte Personal mit Zugriff auf Patientendaten muss regelmäßig im Umgang mit der ePA und den relevanten Datenschutzbestimmungen geschult werden.
- Richtlinien und Weisungen: Klare interne Richtlinien müssen festlegen, wer unter welchen Umständen auf die ePA zugreifen darf.
- Incident-Response-Plan: Für den Fall einer Datenpanne muss ein Notfallplan existieren, der die Schritte von der Erkennung bis zur Meldung klar definiert.
Häufige Fragen und Herausforderungen bei der ePA-Nutzung
Die praktische Umsetzung der Symbiose aus Elektronischer Patientenakte und DSGVO wirft viele Fragen auf und birgt einige Fallstricke.
Wer haftet bei einer Datenpanne in der ePA?
Die Verantwortung ist mehrstufig. Primär haftet der Verantwortliche, der die Panne verursacht hat (z. B. eine Arztpraxis durch unsachgemäßen Umgang mit Zugangsdaten). Aber auch die Betreiber der zentralen Infrastruktur (gematik und IT-Dienstleister) tragen eine Mitverantwortung für die Sicherheit ihrer Systeme.
Was geschieht, wenn ein Patient seine Einwilligung widerruft?
Ab dem Zeitpunkt des Widerrufs darf kein Arzt mehr auf die Daten zugreifen. Die bereits in der ePA gespeicherten Dokumente bleiben jedoch zunächst erhalten, da sie oft gesetzlichen Aufbewahrungsfristen unterliegen. Der Patient kann jedoch die Löschung einzelner Dokumente oder der gesamten Akte veranlassen, sofern keine rechtlichen Pflichten dem entgegenstehen.
Wie wird die Korrektheit der Daten sichergestellt?
Die inhaltliche Verantwortung für ein in die ePA eingestelltes Dokument liegt stets beim erstellenden Arzt oder Krankenhaus. Patienten haben ein Recht auf Berichtigung, falls sie Fehler entdecken. Die technische Integrität der Daten wird durch kryptografische Verfahren wie digitale Signaturen gewährleistet.
Zukunft der ePA und Datenschutz: Ein Ausblick
Die ePA ist ein dynamisches Projekt. Zukünftige Ausbaustufen werden weitere Funktionen wie die Integration von Daten aus Gesundheits-Apps, digitale Impfpässe und Forschungsmöglichkeiten umfassen. Diese Weiterentwicklungen müssen von Beginn an datenschutzfreundlich gestaltet werden („Privacy by Design“ und „Privacy by Default“).
Für die Datenschutzstrategien ab dem Jahr 2026 bedeutet dies, dass Gesundheitsdienstleister und IT-Anbieter sich proaktiv auf kommende Herausforderungen vorbereiten müssen. Dazu gehören:
- Anpassung an neue Technologien: Der Einsatz von Künstlicher Intelligenz (KI) zur Analyse von ePA-Daten für diagnostische oder Forschungszwecke wird neue, komplexe Einwilligungs- und Anonymisierungskonzepte erfordern.
- Stärkung der Cyber-Sicherheit: Mit zunehmender Vernetzung und Datenmenge steigen die Cyber-Risiken. Ab 2026 werden kontinuierliche Penetrationstests und fortgeschrittene Bedrohungserkennung zum Standardrepertoire gehören müssen.
- Interoperabilität und Datenschutz: Die europäische Harmonisierung von Gesundheitsdatenräumen (z. B. im Rahmen des European Health Data Space, EHDS) wird eine grenzüberschreitende Abstimmung von Datenschutzstandards erfordern.
Die Komplexität des Zusammenspiels von Elektronischer Patientenakte und DSGVO wird weiter zunehmen. Eine vorausschauende und professionelle Beratung ist daher unerlässlich. Als Experten für Datenschutz und Informationssicherheit begleitet MUNAS Consulting Organisationen im Gesundheitswesen dabei, die rechtlichen Anforderungen nicht nur zu erfüllen, sondern Datenschutz als Qualitätsmerkmal und Vertrauensfaktor zu etablieren. Informieren Sie sich auf unserer Webseite über unsere Beratungsleistungen oder kontaktieren Sie uns für eine individuelle Analyse Ihrer Datenschutzprozesse.
Weitere offizielle Informationen zur ePA stellt auch das Bundesministerium für Gesundheit zur Verfügung.
Ergänzende Artikel zum Thema
- Elektronische Patientenakte und DSGVO: Ein umfassender Leitfaden für die Praxis
- ePA und DSGVO: Datenschutz in der Elektronischen Patientenakte
- ePA und DSGVO: Datenschutz in der Elektronischen Patientenakte II
- Datenschutz in Gesundheitseinrichtungen: Praxis für Kliniken
- Elektronische Kommunikation mit Patienten sicher und DSGVO‑konform