Elektronische Patientenakte und DSGVO: Verständlicher Leitfaden

Elektronische Patientenakte und DSGVO: Verständlicher Leitfaden

Inhaltsverzeichnis

Schnellmaßnahmen: 3 sofort umsetzbare Schritte für Betroffene

Die Einführung der elektronischen Patientenakte (ePA) als Opt-out-Lösung wirft für viele Versicherte Fragen zum Datenschutz auf. Wenn Sie Bedenken haben und sofort handeln möchten, bevor Sie sich tiefergehend informieren, können Sie diese drei Schritte umsetzen, um die Kontrolle über Ihre Gesundheitsdaten zu behalten.

  • Schritt 1: Widerspruch (Opt-out) bei Ihrer Krankenkasse einlegen. Der einfachste Weg, die automatische Erstellung Ihrer ePA zu verhindern, ist der direkte Widerspruch. Kontaktieren Sie Ihre Krankenkasse schriftlich per Post, über deren Online-Portal oder telefonisch und erklären Sie formlos, dass Sie der Einrichtung einer elektronischen Patientenakte für Ihre Person widersprechen. Eine Begründung ist nicht erforderlich.
  • Schritt 2: Informationsmaterial aktiv anfordern und prüfen. Jede Krankenkasse ist verpflichtet, ihre Versicherten umfassend über die elektronische Patientenakte und DSGVO-relevante Aspekte zu informieren. Fordern Sie dieses Material explizit an, um die spezifischen Prozesse und Fristen Ihrer Kasse kennenzulernen.
  • Schritt 3: Bestehende Zugriffe kontrollieren (falls bereits genutzt). Falls Sie die ePA bereits in einer früheren Form genutzt haben, öffnen Sie die ePA-App Ihrer Krankenkasse. Überprüfen Sie im Protokoll, welche Ärzte oder Institutionen wann auf welche Dokumente zugegriffen haben. Entziehen Sie Berechtigungen, die nicht mehr aktuell oder gewünscht sind.

Was ist die elektronische Patientenakte? Kurzüberblick in einfachen Worten

Die elektronische Patientenakte, kurz ePA, ist eine digitale Sammelstelle für Ihre persönlichen Gesundheitsdaten. Stellen Sie sie sich wie eine zentrale, gesicherte digitale Akte vor, auf die Sie, Ihre Ärzte, Therapeuten, Krankenhäuser und Apotheken zugreifen können – aber nur, wenn Sie es erlauben. Ziel ist es, die medizinische Versorgung zu verbessern, indem wichtige Informationen wie Befunde, Diagnosen, Medikationspläne und Arztbriefe schnell und unkompliziert zwischen den Behandelnden ausgetauscht werden können. Dies soll Doppeluntersuchungen vermeiden und die Arzneimittelsicherheit erhöhen.

Ab 2025 wird die ePA für alle gesetzlich Versicherten automatisch eingerichtet, es sei denn, sie widersprechen aktiv. Dieses Prinzip nennt sich „Opt-out“. Das bedeutet: Wenn Sie nichts tun, wird eine ePA für Sie angelegt. Die Hoheit über die Daten liegt jedoch bei Ihnen. Sie entscheiden, welche Dokumente eingestellt werden und welcher Arzt sie einsehen darf.

Welche Gesundheitsdaten werden erfasst und warum?

In der ePA können verschiedenste medizinische Informationen gespeichert werden, um ein möglichst vollständiges Bild Ihrer Gesundheitshistorie zu schaffen. Der Umfang der Daten hängt davon ab, was Sie und Ihre Ärzte freigeben. Typischerweise können folgende Daten erfasst werden:

  • Befunde: Ergebnisse von Labor Untersuchungen oder bildgebenden Verfahren (z.B. Röntgen, MRT).
  • Diagnosen: Von Ärzten festgestellte Krankheiten und Gesundheitszustände.
  • Therapiemaßnahmen: Informationen über durchgeführte Behandlungen.
  • Arztbriefe: Zusammenfassungen von Behandlungen zur Information anderer Ärzte.
  • Medikationsplan: Eine aktuelle Übersicht aller verordneten Medikamente.
  • Notfalldaten: Wichtige Informationen für den Notfall (z.B. Allergien, Blutgruppe).
  • Impfpass, Mutterpass, Zahnbonusheft: Digitale Versionen dieser wichtigen Dokumente.

Der Hauptgrund für diese zentrale Erfassung ist die Verbesserung der Behandlungsqualität und Patientensicherheit. Ein neuer Arzt kann sich mit Ihrer Erlaubnis schnell einen Überblick verschaffen, Wechselwirkungen von Medikamenten können leichter erkannt und unnötige Untersuchungen vermieden werden.

Rechte nach DSGVO und SGB V: Einfache Erklärungen zu Auskunft, Berichtigung und Löschung

Ihre Gesundheitsdaten sind besonders sensibel. Deshalb genießen sie durch die Datenschutz-Grundverordnung (DSGVO), auf Englisch General Data Protection Regulation (GDPR), und das Fünfte Buch Sozialgesetzbuch (SGB V) einen hohen Schutz. Im Kontext der elektronischen Patientenakte und DSGVO haben Sie konkrete Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie haben jederzeit das Recht zu erfahren, welche Daten über Sie in der ePA gespeichert sind, wer darauf zugegriffen hat und zu welchem Zweck. Diese Informationen können Sie direkt in Ihrer ePA-App einsehen oder bei Ihrer Krankenkasse anfordern.
  • Recht auf Berichtigung (Art. 16 DSGVO): Stellen Sie fest, dass Daten in Ihrer ePA falsch oder unvollständig sind (z.B. eine veraltete Diagnose), können Sie die Berichtigung verlangen. Wenden Sie sich hierfür an den Arzt oder die Einrichtung, die den fehlerhaften Eintrag vorgenommen hat.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können einzelne Dokumente oder die gesamte ePA löschen lassen. Sie haben die volle Kontrolle und können Inhalte, die Sie nicht mehr gespeichert haben möchten, selbst entfernen oder die Löschung veranlassen.
  • Recht auf Widerspruch (Opt-out): Wie bereits erwähnt, ist Ihr wichtigstes Recht das Recht, der Anlage und Nutzung der ePA vollständig zu widersprechen. Dieses Recht ist in § 342 SGB V verankert.

Dokumente verbergen und vollständiges Opt-out: Schritt-für-Schritt

Sie haben zwei Hauptebenen der Kontrolle: Sie können den Zugriff auf einzelne Dokumente steuern oder der ePA komplett widersprechen (Opt-out). Hier sind die konkreten Wege dafür.

Feingranulare Steuerung: Dokumente verbergen

Wenn Sie die ePA grundsätzlich nutzen, aber bestimmte Dokumente (z.B. eine psychotherapeutische Diagnose) vor bestimmten Ärzten verbergen möchten, können Sie dies in der ePA-App tun. Die Benutzeroberfläche jeder Krankenkasse ist leicht unterschiedlich, aber das Prinzip ist gleich:

  1. Öffnen Sie Ihre ePA-App und loggen Sie sich ein.
  2. Navigieren Sie zum Bereich „Dokumente“ oder „Meine Akte“.
  3. Wählen Sie das entsprechende Dokument aus.
  4. Suchen Sie nach einer Option wie „Zugriffsrechte verwalten“, „Freigaben bearbeiten“ oder „Vertraulichkeitsstufe ändern“.
  5. Stellen Sie das Dokument auf „vertraulich“ oder entziehen Sie allen oder bestimmten Ärzten die Leseberechtigung.

Vollständiger Widerspruch (Opt-out)

Wenn Sie gar keine ePA für sich wünschen, müssen Sie aktiv widersprechen. Dies ist über mehrere Kanäle möglich:

  • Über die Krankenkasse (empfohlener Weg):
    • Schriftlich: Senden Sie einen formlosen Brief an Ihre Krankenkasse. Ein Satz wie „Hiermit widerspreche ich der Einrichtung und Führung einer elektronischen Patientenakte gemäß § 342 Abs. 1 SGB V für meine Person.“ ist ausreichend. Nennen Sie Ihren Namen, Ihre Adresse und Ihre Versichertennummer.
    • Online-Portal: Viele Krankenkassen bieten in ihren Online-Geschäftsstellen ein Formular oder eine Funktion für den Widerspruch an.
    • Telefonisch: Rufen Sie die Service-Hotline Ihrer Kasse an. Lassen Sie sich den Widerspruch zur Sicherheit schriftlich bestätigen.
  • Über Ombuds- und Beschwerdestellen: Sollten Sie bei Ihrer Krankenkasse auf Probleme stoßen, können Sie sich an die unabhängige Patientenberatung Deutschland (UPD) oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden.

Sicherheitsüberblick: Umgesetzte Maßnahmen und aktueller Status

Die Sicherheit der ePA hat höchste Priorität. Die technische Infrastruktur, die sogenannte Telematikinfrastruktur (TI), unterliegt strengen gesetzlichen Vorgaben und wird kontinuierlich überwacht. Zu den wichtigsten Sicherheitsmaßnahmen gehören:

  • Ende-zu-Ende-Verschlüsselung: Ihre Daten werden auf dem Weg vom Arzt zum ePA-Speicher und von dort auf Ihr Smartphone verschlüsselt. Nur Sie mit Ihrem Schlüssel (Ihrer Gesundheitskarte und PIN oder Ihrem Smartphone) können die Daten im Klartext lesen.
  • Starke Authentifizierung: Der Zugriff erfordert immer zwei Faktoren, z.B. Ihre Gesundheitskarte und eine PIN oder Ihr Smartphone und ein Passwort/biometrisches Merkmal.
  • Dezentrale Speicherung: Ihre Daten liegen nicht bei der Krankenkasse, sondern in hochsicheren, getrennten Rechenzentren, die strengen Zertifizierungen unterliegen.

Kritische Berichte, wie die des Chaos Computer Clubs (CCC), sind ein wichtiger Teil des Sicherheitsprozesses. Sie decken potenzielle Schwachstellen auf, die von den verantwortlichen Stellen wie der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) analysiert und durch Updates behoben werden. Sicherheit ist kein Zustand, sondern ein fortlaufender Prozess der Verbesserung.

Barrierefreie Zugangswege und Alternativen für Menschen ohne Endgerät

Nicht jeder besitzt ein Smartphone oder ist digital affin. Der Gesetzgeber hat daher barrierefreie Alternativen zur Verwaltung der ePA vorgesehen:

  • Widerspruch per Post: Der Widerspruch gegen die ePA kann einfach und formlos per Brief an die Krankenkasse erfolgen. Es ist kein digitales Endgerät notwendig.
  • Auskunft und Verwaltung in der Arztpraxis: Sie können Ihren Arzt bitten, Ihnen am Praxis-PC den Inhalt Ihrer ePA zu zeigen. Gemeinsam können Sie Dokumente einsehen, Berechtigungen verwalten oder einen Ausdruck der Daten anfordern.
  • Unterstützung durch die Krankenkasse: Sie können bei Ihrer Krankenkasse einen vollständigen Ausdruck Ihrer ePA-Daten anfordern. Zudem bieten die Geschäftsstellen vor Ort Unterstützung bei der Verwaltung oder dem Widerspruch.

Forschung und Pseudonymisierung: Wer verwaltet Zugriff und Datenflüsse?

Daten aus der ePA können für die medizinische Forschung von großem Wert sein, um Krankheiten besser zu verstehen und neue Therapien zu entwickeln. Für diese Zwecke werden die Daten jedoch nicht im Klartext weitergegeben. Stattdessen durchlaufen sie einen Prozess der Pseudonymisierung.

Was bedeutet Pseudonymisierung? Ihr Name und andere direkte Identifikationsmerkmale werden durch einen Code (ein Pseudonym) ersetzt. Forscher erhalten nur die pseudonymisierten Daten. Eine direkte Rückverfolgung zu Ihrer Person ist für sie nicht möglich. Eine zentrale Vertrauensstelle verwaltet die Schlüssel, um in streng regulierten Ausnahmefällen eine Re-Identifizierung zu ermöglichen, falls dies rechtlich zwingend erforderlich ist.

Sie haben auch hier ein gesondertes Widerspruchsrecht. Sie können der Nutzung Ihrer Daten für Forschungszwecke widersprechen, aber die ePA trotzdem für Ihre persönliche Versorgung nutzen. Dieser Widerspruch wird ebenfalls bei Ihrer Krankenkasse oder über die ePA-App erklärt.

Für Leistungserbringer: Praxistaugliche Checkliste zur DSGVO-konformen Nutzung der ePA

Für Arztpraxen, Krankenhäuser und andere Leistungserbringer bringt die ePA neue Pflichten im Umgang mit der elektronischen Patientenakte und DSGVO. Diese Checkliste hilft bei der Umsetzung:

  • Patientenaufklärung: Stellen Sie sicher, dass Sie Patientinnen und Patienten verständlich über die Funktionsweise der ePA, ihre Rechte und die Datenverarbeitung aufklären können. Halten Sie Informationsmaterial bereit.
  • Einholung von Zugriffsberechtigungen: Holen Sie die Berechtigung für den Zugriff auf die ePA aktiv vom Patienten ein und dokumentieren Sie diesen Vorgang. Der Zugriff darf nur so lange und so umfassend erfolgen, wie es für die aktuelle Behandlung notwendig ist.
  • Schulung des Personals: Alle Mitarbeiter, die mit der ePA arbeiten, müssen im Datenschutz und in der korrekten Handhabung der Software geschult sein. Dies betrifft insbesondere den Umgang mit Zugriffsberechtigungen und Vertraulichkeitsstufen.
  • Technisch-organisatorische Maßnahmen (TOMs) anpassen: Überprüfen Sie Ihr Datenschutzkonzept. Stellen Sie sicher, dass der Zugriff auf die Praxis-IT und die Konnektoren zur Telematikinfrastruktur ausreichend geschützt ist (z.B. durch sichere Passwörter, aktuelle Virenscanner, Zugriffskontrollen).
  • Protokolldaten beachten: Machen Sie sich mit der Protokollierungsfunktion vertraut. Jeder Zugriff auf eine ePA wird protokolliert und ist für den Patienten sichtbar.

Konkrete Kommunikationsfragen: E-Mail, SMS und Vertretungsregelungen

Der Umgang mit sensiblen ePA-Daten erfordert klare Kommunikationsregeln.

  • E-Mail und SMS: Der Versand von Gesundheitsdaten aus der ePA per unverschlüsselter E-Mail oder SMS ist ein Verstoß gegen die DSGVO und strikt zu vermeiden. Die Kommunikation über den Inhalt der ePA sollte ausschließlich über die gesicherten Kanäle der Telematikinfrastruktur oder im persönlichen Gespräch erfolgen.
  • Vertretungsregelungen: Angehörige oder gesetzliche Betreuer können für Patienten handeln, wenn eine entsprechende Vollmacht (z.B. Vorsorgevollmacht) vorliegt. Leistungserbringer müssen die Legitimation des Vertreters sorgfältig prüfen, bevor sie ihm Zugriff auf die ePA gewähren oder Auskünfte erteilen.

Zeitleiste 2025: Erwartete Entwicklungen und was Versicherte erwarten können

Das Jahr 2025 ist ein entscheidender Meilenstein für die Digitalisierung im Gesundheitswesen. Versicherte können mit folgenden Entwicklungen rund um die ePA rechnen:

  • Flächendeckender Opt-out-Rollout: Anfang 2025 wird für alle gesetzlich Versicherten, die nicht aktiv widersprochen haben, automatisch eine ePA eingerichtet. Krankenkassen werden ihre Informationskampagnen hierzu intensivieren.
  • Erweiterte Funktionen: Es wird erwartet, dass die ePA um zusätzliche Funktionen erweitert wird. Dazu könnten die vollständige Integration des E-Rezepts, die Anbindung von zertifizierten Gesundheits-Apps (DiGAs) oder verbesserte Medikationspläne gehören.
  • Modellprojekte zur Forschungsnutzung: Es ist wahrscheinlich, dass erste Modellprojekte zur Nutzung der pseudonymisierten ePA-Daten für die Forschung starten, um den Prozess und den Nutzen in der Praxis zu evaluieren.

Häufige Fragen getrennt: Für Patientinnen und Patienten / Für Leistungserbringer

Für Patientinnen und Patienten

Muss ich die ePA nutzen?
Nein, die Nutzung ist freiwillig. Wenn Sie nichts tun, wird ab 2025 eine Akte für Sie angelegt (Opt-out). Sie können dem aber jederzeit widersprechen.
Was passiert, wenn ich einfach nichts tue?
Ihre Krankenkasse wird eine ePA für Sie erstellen. Ihre Ärzte können dann mit Ihrer Zustimmung im Behandlungsfall Dokumente einstellen und einsehen.
Wer genau sieht meine Daten?
Nur Sie und die Personen oder Einrichtungen (Ärzte, Krankenhäuser, Apotheken), denen Sie explizit eine Zugriffsberechtigung erteilen. Jeder Zugriff wird protokolliert.
Kann ich meine Meinung später ändern?
Ja. Sie können einem einmal erteilten Opt-out später widersprechen und eine ePA anlegen lassen (Opt-in). Genauso können Sie eine bestehende ePA jederzeit kündigen oder den Zugriff darauf komplett sperren.

Für Leistungserbringer

Wie erhalte ich als Arzt Zugriff auf die ePA eines Patienten?
Der Patient muss Ihnen den Zugriff aktiv freigeben. Dies geschieht in der Regel in der Praxis, indem der Patient seine Gesundheitskarte in das Kartenterminal steckt und die PIN eingibt oder die Freigabe über seine App erteilt.
Was ist bei einem Praxiswechsel zu tun?
Die Daten in der ePA sind an den Patienten gebunden, nicht an die Praxis. Der neue Arzt kann nach Freigabe durch den Patienten nahtlos auf die vorhandenen Daten zugreifen.
Hafte ich für falsche Einträge anderer Ärzte in der ePA?
Nein. Jeder Leistungserbringer haftet nur für die von ihm selbst eingestellten Dokumente und Daten. Sie müssen jedoch die Informationen aus der ePA im Rahmen Ihrer ärztlichen Sorgfaltspflicht kritisch würdigen.

Anhang: Wichtige Rechtsstellen und weiterführende offizielle Links

Für vertiefende Informationen und bei datenschutzrechtlichen Fragen können Sie sich an folgende offizielle Stellen wenden. Diese Institutionen bieten verlässliche und unabhängige Informationen zum Thema elektronische Patientenakte und DSGVO.

  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Die zentrale Aufsichtsbehörde für den Datenschutz in Deutschland. Hier finden Sie offizielle Stellungnahmen und Ratgeber zum Schutz Ihrer Daten. Zur Webseite des BfDI
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): Die nationale Cyber-Sicherheitsbehörde, die für die Festlegung und Überprüfung der technischen Sicherheitsstandards der Telematikinfrastruktur und der ePA zuständig ist. Zur Webseite des BSI

Weiterführende Beiträge