Elektronische Patientenakte verständlich erklärt und sicher nutzen

Elektronische Patientenakte verständlich erklärt und sicher nutzen

Inhaltsverzeichnis

Kurzüberblick: Was ändert sich 2025 bei der Elektronischen Patientenakte?

Die Elektronische Patientenakte (ePA) ist der zentrale und persönliche Speicherort für Ihre Gesundheitsdaten. Sie bündelt Befunde, Arztbriefe, Medikationspläne und weitere wichtige Dokumente digital an einem Ort. Ab 2025 wird die ePA für alle gesetzlich Versicherten in Deutschland nach dem sogenannten Opt-out-Prinzip eingeführt. Das bedeutet, Ihre Krankenkasse richtet automatisch eine ePA für Sie ein, es sei denn, Sie widersprechen aktiv.

Was bedeutet das für Versicherte?

Für Sie als versicherte Person bedeutet dies einen Paradigmenwechsel. Sie müssen nicht mehr aktiv eine Elektronische Patientenakte beantragen. Stattdessen erhalten Sie eine und können sofort von den Vorteilen profitieren, wie etwa einer besseren Koordination Ihrer Behandlungen. Gleichzeitig behalten Sie die volle Kontrolle: Sie entscheiden, welche Dokumente hochgeladen werden und welcher Arzt oder welche Klinik darauf zugreifen darf. Ein Widerspruch gegen die Anlage der ePA ist jederzeit möglich.

Was ändert sich für Leistungserbringer?

Für Arztpraxen, Krankenhäuser und Apotheken wird die Nutzung der ePA zur Pflicht. Sie sind ab 2025 verpflichtet, behandlungsrelevante Daten mit Zustimmung des Patienten in dessen ePA zu speichern. Dies erfordert eine Anbindung an die Telematikinfrastruktur (TI) und eine Anpassung der internen Prozesse, um die Datenqualität und den Datenschutz sicherzustellen.

Wichtige Begriffe und rechtliche Grundlagen zur ePA

Um die Funktionsweise und Sicherheit der Elektronischen Patientenakte zu verstehen, ist es wichtig, einige zentrale Begriffe und die rechtlichen Rahmenbedingungen zu kennen.

Wichtige Begriffe im Überblick

  • Elektronische Patientenakte (ePA): Ein lebenslanger, digitaler Speicher für Gesundheitsdaten, auf den nur der Versicherte und von ihm autorisierte Personen zugreifen können.
  • Telematikinfrastruktur (TI): Das sichere digitale Netzwerk des deutschen Gesundheitswesens, über das alle Akteure (Praxen, Kliniken, Apotheken) miteinander verbunden sind. Die ePA ist eine Anwendung innerhalb der TI.
  • gematik: Die Nationale Agentur für Digitale Medizin, die für die Festlegung der Standards, den Betrieb und die Weiterentwicklung der TI und ihrer Anwendungen wie der ePA verantwortlich ist.
  • Opt-out-Verfahren: Das ab 2025 geltende Prinzip, bei dem für alle Versicherten automatisch eine ePA angelegt wird, sofern sie nicht aktiv widersprechen.

Rechtliche Grundlagen

Die Verarbeitung von Gesundheitsdaten unterliegt strengsten gesetzlichen Regelungen, um den Schutz Ihrer Privatsphäre zu gewährleisten.

  • Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch): Die europäische Verordnung bildet die oberste rechtliche Grundlage für den Datenschutz. Gesundheitsdaten genießen hier unter Artikel 9 einen besonderen Schutzstatus.
  • Fünftes Buch Sozialgesetzbuch (SGB V): Hier sind die spezifischen Regelungen für die gesetzliche Krankenversicherung und damit auch für die Einführung und Nutzung der Elektronischen Patientenakte in Deutschland verankert. Es regelt die Rechte und Pflichten von Versicherten, Krankenkassen und Leistungserbringern.

Welche Daten sind besonders schutzwürdig? (Art. 9 DSGVO)

Gesundheitsdaten gehören laut Artikel 9 der DSGVO zur Kategorie der „besonderen Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine explizite Rechtsgrundlage oder die ausdrückliche Einwilligung der betroffenen Person vor. Bei der ePA ist die Einwilligung des Versicherten der Dreh- und Angelpunkt.

Was zählt zu Gesundheitsdaten in der ePA?

In Ihrer Elektronischen Patientenakte können verschiedenste Arten von Gesundheitsinformationen gespeichert werden. Dazu zählen unter anderem:

  • Befunde: Ergebnisse von Laboruntersuchungen oder bildgebenden Verfahren (z. B. Röntgen, MRT).
  • Diagnosen: Von Ärzten gestellte Krankheitsbilder.
  • Therapiemaßnahmen: Informationen über durchgeführte Behandlungen und Operationen.
  • Arztbriefe: Zusammenfassende Berichte über Behandlungsverläufe.
  • Medikationspläne: Eine Übersicht über alle verordneten Medikamente.
  • Impfpass und Notfalldaten: Wichtige Informationen für den Notfall oder zur Impfhistorie.

Der Schutz dieser Daten hat höchste Priorität, da sie sehr persönliche und sensible Informationen über eine Person enthalten.

Zugriffsrechte: Wer sieht welche Daten in der ePA?

Das Herzstück des Datenschutzes bei der Elektronischen Patientenakte ist das granulare Berechtigungssystem. Als Versicherter sind Sie der „Herr der Daten“ und entscheiden allein, wer welche Informationen einsehen darf.

Das Prinzip der feingranularen Steuerung

Sie können Zugriffsrechte sehr detailliert vergeben. Die Steuerung erfolgt in der Regel über eine spezielle ePA-App Ihrer Krankenkasse auf Ihrem Smartphone. Sie haben folgende Möglichkeiten:

  • Freigabe für einzelne Leistungserbringer: Sie können einer bestimmten Arztpraxis, einem Krankenhaus oder einer Apotheke den Zugriff erlauben.
  • Zeitliche Begrenzung: Jede Freigabe kann zeitlich befristet werden – von einem Tag bis zu einem unbegrenzten Zeitraum.
  • Dokumentenbasierte Freigabe: Sie können den Zugriff auf einzelne Dokumente oder Dokumentenkategorien beschränken. So können Sie beispielsweise Ihrem Zahnarzt nur die zahnmedizinisch relevanten Dokumente freigeben, während Ihr Hausarzt Zugriff auf alle Befunde erhält.

Alle erteilten Berechtigungen können von Ihnen jederzeit und mit sofortiger Wirkung wieder entzogen werden. Jeder Zugriff auf Ihre ePA wird lückenlos protokolliert und ist für Sie in Ihrer App einsehbar.

Schritt für Schritt: ePA für Versicherte einrichten und steuern

Mit der Einführung des Opt-out-Verfahrens ab 2025 wird die Einrichtung Ihrer Elektronischen Patientenakte stark vereinfacht. Hier ist eine Anleitung, wie Sie die Kontrolle übernehmen.

1. Information durch die Krankenkasse

Ihre gesetzliche Krankenkasse wird Sie rechtzeitig und umfassend über die Einrichtung Ihrer ePA informieren. Sie erhalten auch Informationen darüber, wie Sie der Einrichtung widersprechen können (Opt-out).

2. Installation der ePA-App

Laden Sie die offizielle ePA-App Ihrer Krankenkasse aus dem App Store (iOS) oder Google Play Store (Android) herunter. Diese App ist das zentrale Werkzeug zur Verwaltung Ihrer ePA.

3. Sichere Anmeldung und Identifizierung

Um auf Ihre hochsensiblen Gesundheitsdaten zugreifen zu können, ist eine sichere Identifizierung notwendig. Dies geschieht in der Regel durch eine Kombination aus:

  • Ihrer elektronischen Gesundheitskarte (eGK) mit NFC-Funktion.
  • Einer PIN, die Sie von Ihrer Krankenkasse erhalten.
  • Oftmals einer Zwei-Faktor-Authentifizierung über Ihr Smartphone.

4. Zugriffsberechtigungen verwalten

Nach der erfolgreichen Anmeldung können Sie in der App alle Einstellungen vornehmen:

  • Berechtigungen erteilen: Wenn Sie in einer Arztpraxis sind, kann diese eine Zugriffsberechtigung anfragen. Sie bestätigen diese Anfrage direkt in Ihrer App.
  • Berechtigungen prüfen und entziehen: In einer Übersicht sehen Sie alle aktiven Freigaben und können diese mit wenigen Klicks bearbeiten oder beenden.
  • Protokolle einsehen: Kontrollieren Sie jederzeit, wer wann auf welche Dokumente in Ihrer Elektronischen Patientenakte zugegriffen hat.

Datenbereitstellung aus Praxis und Klinik in die ePA

Für Leistungserbringer ist die Befüllung der Elektronischen Patientenakte ein zentraler Prozess, der sorgfältig gestaltet werden muss, um Datenqualität und -sicherheit zu gewährleisten.

Technische Voraussetzungen

Um Daten in die ePA eines Patienten einstellen zu können, benötigt eine Praxis oder Klinik:

  • Einen Anschluss an die Telematikinfrastruktur (TI).
  • Einen Konnektor, der die Verbindung zur TI herstellt.
  • Ein ePA-fähiges Praxisverwaltungssystem (PVS) oder Krankenhausinformationssystem (KIS).
  • Einen elektronischen Heilberufsausweis (eHBA) zur Authentifizierung des medizinischen Personals.

Prozess des Datenuploads

  1. Einwilligung des Patienten: Vor jedem Upload muss die Zustimmung des Patienten vorliegen. Dieser erteilt in der Regel vor Ort die Zugriffsberechtigung für die jeweilige Behandlung.
  2. Dokumentenauswahl: Der Arzt oder die Ärztin wählt im PVS oder KIS die relevanten Dokumente (z. B. einen Arztbrief) aus.
  3. Metadaten-Vergabe: Jedes Dokument muss mit Metadaten versehen werden (z. B. Fachgebiet, Dokumententyp), damit es in der ePA richtig klassifiziert und schnell gefunden werden kann.
  4. Signatur und Upload: Das Dokument wird mit dem eHBA qualifiziert elektronisch signiert und anschließend sicher in die Elektronische Patientenakte des Patienten hochgeladen.

Qualitätssicherung

Die Qualität der eingestellten Daten ist entscheidend für den medizinischen Nutzen der ePA. Leistungserbringer müssen sicherstellen, dass die hochgeladenen Dokumente vollständig, korrekt und in standardisierten Formaten (z. B. PDF/A) vorliegen.

Technische Schutzmaßnahmen erklärt: Verschlüsselung, Protokolle und Hosting

Die Sicherheit der Elektronischen Patientenakte basiert auf einem mehrstufigen Schutzkonzept, das von der gematik vorgegeben und streng kontrolliert wird.

Verschlüsselung nach höchsten Standards

Alle Daten in der ePA sind mehrfach verschlüsselt. Das wichtigste Prinzip ist die Ende-zu-Ende-Verschlüsselung. Die Daten werden bereits auf dem Gerät des Arztes verschlüsselt, bevor sie in die TI übertragen werden. Entschlüsselt werden können sie nur auf dem Endgerät des Versicherten (in der App) oder im System eines berechtigten Leistungserbringers. Der Betreiber des ePA-Aktensystems (die Krankenkasse bzw. ihr Dienstleister) hat selbst keinen Zugriff auf die Gesundheitsdaten in unverschlüsselter Form.

Lückenlose Protokollierung (Logs)

Jeder einzelne Zugriff – egal ob lesend oder schreibend – auf Ihre ePA wird fälschungssicher protokolliert. Dieses Protokoll (Log) können Sie jederzeit in Ihrer ePA-App einsehen. Es enthält Informationen darüber:

  • Wer (welche Praxis/Klinik) zugegriffen hat.
  • Wann der Zugriff erfolgte.
  • Auf welche Dokumente zugegriffen wurde.

Diese Transparenz ermöglicht es Ihnen, die Nutzung Ihrer Daten vollständig nachzuvollziehen und unberechtigte Zugriffe sofort zu erkennen.

Sicheres Hosting

Die ePA-Aktensysteme dürfen nur in hochsicheren, zertifizierten Rechenzentren betrieben werden, die sich innerhalb der Europäischen Union befinden. Die gematik stellt hohe Anforderungen an die technischen und organisatorischen Maßnahmen der Betreiber, die regelmäßig überprüft werden.

Externe Dienstleister und Abrechnung: Auftragsverarbeitung erklärt

Sowohl Krankenkassen als auch Arztpraxen nutzen oft externe IT-Dienstleister, beispielsweise für den Betrieb der Praxissoftware oder des ePA-Aktensystems. Im Sinne der DSGVO agieren diese Dienstleister als Auftragsverarbeiter.

Ein Auftragsverarbeitungsvertrag (AVV) regelt die Zusammenarbeit. Darin wird der Dienstleister verpflichtet, die Daten nur auf Weisung des Auftraggebers (der Praxis oder Krankenkasse) zu verarbeiten und die gleichen hohen Sicherheitsstandards einzuhalten. Der Auftraggeber bleibt dabei stets für den Schutz der Daten verantwortlich. Für die Elektronische Patientenakte bedeutet das: Auch wenn ein externer Dienstleister involviert ist, hat dieser keinen Zugriff auf die verschlüsselten Gesundheitsdaten und ist streng an die Datenschutzvorgaben gebunden.

Szenarien: Patientenfreigabe, Notfallzugriff und Widerspruch

Die Handhabung der Elektronischen Patientenakte passt sich verschiedenen Situationen an.

Standardfall: Geplante Patientenfreigabe

Sie besuchen Ihren Arzt. Die Praxis bittet um Zugriff auf Ihre ePA, um frühere Befunde einzusehen. Sie öffnen Ihre ePA-App auf dem Smartphone, erhalten die Anfrage und erteilen die Freigabe für einen bestimmten Zeitraum (z. B. für das aktuelle Quartal). Der Arzt kann nun die relevanten Dokumente einsehen und neue Befunde hochladen.

Sonderfall: Notfallzugriff

In einer lebensbedrohlichen Situation, in der Sie nicht ansprechbar sind, können Ärzte im Krankenhaus über einen speziellen Notfallmechanismus auf Ihre ePA zugreifen. Dieser Zugriff ist nur mit einem eHBA möglich und erfordert eine plausible Begründung. Jeder Notfallzugriff wird prominent in Ihrem Protokoll vermerkt. Sie können vorab festlegen, welche Daten (z. B. Allergien, Medikation) im Notfall sichtbar sein sollen.

Widerspruchssituation (Opt-out)

Wenn Sie grundsätzlich keine Elektronische Patientenakte wünschen, können Sie der automatischen Einrichtung bei Ihrer Krankenkasse widersprechen. Die Kassen stellen hierfür einfache Wege zur Verfügung, oft über ein Online-Formular oder per Post. Ein späterer Entschluss zur Nutzung der ePA ist jederzeit möglich.

Praxis-Checkliste für Leistungserbringer

  • TI-Anbindung prüfen: Ist der Konnektor auf dem neuesten Stand und die PVS-Software ePA-fähig?
  • eHBA vorhanden: Liegen für alle behandelnden Ärzte und Psychotherapeuten gültige Heilberufsausweise vor?
  • Personal schulen: Sind alle Mitarbeiter im Umgang mit der ePA, den Prozessen zur Rechtevergabe und den Datenschutzanforderungen geschult?
  • Prozesse definieren: Wer lädt wann welche Dokumente hoch? Wie wird die korrekte Vergabe von Metadaten sichergestellt?
  • Patienteninformation: Liegt Informationsmaterial für Patienten zur ePA bereit?
  • Löschfristen und Patientenrechte: Sind die Regelungen zu Löschfristen und die Rechte der Patienten (Auskunft, Korrektur) bekannt und im Praxisablauf verankert?

Kurzcheck für Versicherte: Kontrolle und Widerruf

  • ePA-App installieren: Haben Sie die App Ihrer Krankenkasse installiert und sich erfolgreich authentifiziert?
  • Zugriffsrechte überprüfen: Kontrollieren Sie regelmäßig in der App, welche Ärzte oder Kliniken aktuell Zugriff auf Ihre ePA haben.
  • Alte Berechtigungen entziehen: Entfernen Sie Freigaben, die nicht mehr benötigt werden (z. B. nach Abschluss einer Behandlung).
  • Protokolle sichten: Machen Sie von Ihrem Recht Gebrauch und schauen Sie sich die Zugriffsprotokolle an.
  • Datenhoheit nutzen: Entscheiden Sie aktiv, welche Dokumente Sie hochladen oder löschen lassen möchten.
  • Widerspruchsrecht kennen: Sie können jederzeit der Nutzung Ihrer Daten für Forschungszwecke widersprechen oder die gesamte ePA löschen lassen.

Häufige Fragen zur Elektronischen Patientenakte

Ist die Elektronische Patientenakte ab 2025 Pflicht?
Nein, die Nutzung ist freiwillig. Es gilt das Opt-out-Prinzip: Es wird eine ePA für Sie angelegt, außer Sie widersprechen aktiv. Sie können die ePA auch jederzeit wieder kündigen.
Was kostet mich die ePA?
Die Einrichtung und Nutzung der Elektronischen Patientenakte ist für gesetzlich Versicherte kostenlos.
Was passiert, wenn ich meine Krankenkasse wechsle?
Ihre ePA können Sie zur neuen Krankenkasse „mitnehmen“. Die Daten bleiben erhalten, und Sie nutzen dann die ePA-App der neuen Kasse.
Wer kann meine Daten ohne meine Zustimmung sehen?
Niemand. Ohne Ihre explizite Freigabe hat keine Person und keine Institution Zugriff auf Ihre Gesundheitsdaten. Die einzige Ausnahme ist der streng reglementierte und protokollierte Notfallzugriff.

Aktualisierungsprotokoll und weiterführende amtliche Quellen

Stand dieses Artikels: Januar 2025.

Die Regelungen und technischen Spezifikationen zur Elektronischen Patientenakte werden kontinuierlich weiterentwickelt. Für tagesaktuelle und vertiefende Informationen empfehlen wir die folgenden offiziellen Quellen:

  • gematik GmbH: Die Webseite der gematik bietet umfassende technische und organisatorische Details zur ePA und der Telematikinfrastruktur.
  • Bundesgesundheitsministerium: Das Portal gesund.bund.de stellt verständliche Informationen für Bürgerinnen und Bürger bereit.