Elektronische Patientenakte verstehen: Datenschutz und Praxis

Elektronische Patientenakte verstehen: Datenschutz und Praxis

Inhaltsverzeichnis

Kurzüberblick: Was ist die elektronische Patientenakte (ePA)?

Die elektronische Patientenakte (ePA) ist ein zentraler, digitaler und sicherer Speicherort für Ihre persönlichen Gesundheitsdaten. Sie soll die Zettelwirtschaft im Gesundheitswesen beenden und die medizinische Versorgung verbessern. Anstatt Befunde, Arztbriefe und Rezepte in verschiedenen Praxen und Ordnern zu sammeln, bündelt die ePA alle relevanten Informationen an einem Ort. Gesetzlich Versicherte erhalten die ePA von ihrer Krankenkasse. Sie als Patientin oder Patient haben die volle Kontrolle darüber, welche Daten gespeichert und welche Ärztinnen, Therapeuten oder Apotheken darauf zugreifen dürfen. Die elektronische Patientenakte ist ein lebenslanger, persönlicher Begleiter für Ihre Gesundheit.

Welche Datentypen enthält die ePA?

Die ePA ist so konzipiert, dass sie eine Vielzahl medizinischer und administrativer Daten speichern kann, um ein möglichst vollständiges Bild Ihrer Gesundheitshistorie zu zeichnen. Sie entscheiden, was gespeichert wird.

Mögliche Inhalte der elektronischen Patientenakte:

  • Medizinische Dokumente: Arztbriefe, Befunde (z. B. Laborwerte, Röntgenbilder), Diagnosen und Behandlungsberichte.
  • Medikationsplan: Eine Übersicht aller verordneten und eingenommenen Medikamente, um Wechselwirkungen zu vermeiden.
  • Impfpass: Eine digitale Version Ihres Impfausweises mit allen erfolgten Impfungen.
  • Mutterpass und Kinder-Untersuchungsheft: Digitale Pendants zu den bekannten gelben und weißen Heften.
  • Zahnbonusheft: Nachweise für regelmäßige zahnärztliche Vorsorgeuntersuchungen.
  • Notfalldatensatz: Wichtige Informationen für den Notfall, wie Allergien, Unverträglichkeiten oder chronische Erkrankungen, die für Ersthelfer sofort sichtbar sein können.
  • Persönliche Erklärungen: Zum Beispiel eine Patientenverfügung oder eine Vorsorgevollmacht.

Rechtliche Grundlage in einfacher Sprache (inkl. Art.9 DSGVO)

Die elektronische Patientenakte bewegt sich in einem streng regulierten rechtlichen Rahmen, um den Schutz Ihrer sensiblen Gesundheitsdaten zu gewährleisten. Die wichtigsten Gesetze sind das Fünfte Buch Sozialgesetzbuch (SGB V) und das Patientendaten-Schutz-Gesetz (PDSG).

Im Kern steht die Datenschutz-Grundverordnung (DSGVO), insbesondere Artikel 9. Dieser Artikel verbietet grundsätzlich die Verarbeitung von „besonderen Kategorien personenbezogener Daten“, wozu Gesundheitsdaten explizit gehören. Eine Verarbeitung ist nur unter strengen Voraussetzungen erlaubt. Bei der ePA wird diese Erlaubnis durch Ihre ausdrückliche Einwilligung erteilt. Das bedeutet: Ohne Ihr aktives „Ja“ darf niemand Daten in Ihrer ePA verarbeiten oder einsehen. Sie sind die Herrin oder der Herr Ihrer Daten.

Das PDSG konkretisiert diese Vorgaben für das deutsche Gesundheitswesen und legt fest, wie die technischen und organisatorischen Sicherheitsmaßnahmen auszusehen haben. Es regelt die Verantwortlichkeiten und stellt sicher, dass nur berechtigte Personen nach Ihrer Freigabe auf die Daten zugreifen können.

Einwilligung und Zugangskontrolle: Wer sieht was?

Das Herzstück der elektronischen Patientenakte ist die patientengesteuerte Zugangskontrolle. Sie behalten jederzeit die Hoheit über Ihre Daten. Das Prinzip ist einfach: Nichts geschieht ohne Ihre Zustimmung.

So funktioniert die Steuerung:

  • Generelle Freigabe: Sie können einer Arztpraxis oder einem Krankenhaus einen generellen Zugriff auf Ihre ePA für einen bestimmten Zeitraum gewähren (z. B. für die Dauer einer Behandlung).
  • Dokumentenbasierte Freigabe: Sie können den Zugriff auch feingranularer steuern und nur einzelne Dokumente oder Kategorien (z. B. nur Laborbefunde, aber keine psychologischen Gutachten) für bestimmte Leistungserbringer freigeben.
  • Zeitliche Begrenzung: Jeder Zugriff ist zeitlich befristet. Sie können eine Freigabe für einen Tag, eine Woche oder bis zu 18 Monate erteilen.
  • Protokollierung: Jeder einzelne Zugriff auf Ihre ePA wird lückenlos protokolliert. Sie können jederzeit in Ihrer ePA-App nachsehen, wer wann auf welche Daten zugegriffen hat.

Dieses System stellt sicher, dass nur die Personen Ihre Gesundheitsdaten sehen, denen Sie es ausdrücklich erlaubt haben. Ein unbemerkter Zugriff ist technisch und rechtlich ausgeschlossen.

Schritt für Schritt: ePA für Patientinnen und Patienten

Die Einrichtung und Nutzung Ihrer elektronischen Patientenakte ist unkompliziert. Folgen Sie einfach diesen Schritten:

1. Einrichtung

Kontaktieren Sie Ihre gesetzliche Krankenkasse und beantragen Sie den Zugang zur ePA. Sie erhalten daraufhin die Zugangsdaten für eine spezielle ePA-App. Laden Sie diese App auf Ihr Smartphone herunter. Zur sicheren Identifizierung benötigen Sie Ihre elektronische Gesundheitskarte (eGK) mit PIN sowie ein NFC-fähiges Smartphone.

2. Zugang erteilen

Wenn Sie bei einer Ärztin oder in einem Krankenhaus sind, können Sie den Zugriff vor Ort freigeben. Der Leistungserbringer stellt eine Anfrage an Ihre ePA. Sie erhalten eine Benachrichtigung in Ihrer App und können die Anfrage bestätigen. Dabei legen Sie fest, welche Dokumente und für wie lange der Zugriff gewährt wird. Alternativ kann der Zugriff auch durch Stecken Ihrer eGK am Kartenterminal und Eingabe der PIN erfolgen.

3. Widerruf

Sie können eine erteilte Berechtigung jederzeit und ohne Angabe von Gründen über Ihre ePA-App wieder entziehen. Der Zugriff wird dann sofort beendet. Auch bereits erteilte, aber noch nicht genutzte Berechtigungen können widerrufen werden.

One-Page: Patienten-Kurzcheckliste

Nutzen Sie diese Checkliste als schnelle Orientierung für Ihre elektronische Patientenakte. Sie können sie ausdrucken oder als PDF speichern.

Schritt Aufgabe Erledigt?
1. Aktivierung ePA bei der Krankenkasse beantragen.
Zugangsdaten und PIN für die eGK erhalten.
ePA-App der Krankenkasse auf dem Smartphone installieren.
Erste Anmeldung und Identifizierung mit eGK und PIN durchführen.
2. Erstbefüllung Ärztinnen und Ärzte bitten, wichtige Altdokumente hochzuladen.
Selbst wichtige Dokumente (z. B. Allergiepass) hochladen.
3. Nutzung Beim Arztbesuch aktiv auf die ePA hinweisen.
Zugriffsanfragen in der App prüfen und freigeben.
Regelmäßig die Zugriffsprotokolle in der App kontrollieren.
4. Pflege Daten aktuell halten (z. B. neuen Medikationsplan hochladen lassen).
Berechtigungen überprüfen und abgelaufene Zugriffe kontrollieren.

Für Leistungserbringer: Upload- und Dokumentationsworkflow

Für Arztpraxen, Krankenhäuser und andere Leistungserbringer ist die Anbindung an die elektronische Patientenakte ein wichtiger Schritt der Digitalisierung. Der Workflow zur Befüllung und Nutzung muss klar definiert sein, um Effizienz und Rechtssicherheit zu gewährleisten.

Typischer Workflow:

  1. Patienteninformation: Klären Sie Patientinnen und Patienten aktiv über die Möglichkeit auf, Dokumente in ihre ePA einzustellen.
  2. Zugriffsanfrage: Fordern Sie den Zugriff über Ihr Praxisverwaltungssystem (PVS) oder Krankenhausinformationssystem (KIS) an. Der Patient oder die Patientin muss diesen Zugriff freigeben (via App oder eGK am Terminal).
  3. Dokumentenauswahl: Wählen Sie die relevanten, neu erstellten Dokumente aus (z. B. Arztbrief, Laborbefund). Achten Sie darauf, nur medizinisch notwendige und qualitätsgesicherte Informationen zu verwenden.
  4. Strukturierter Upload: Laden Sie die Dokumente im korrekten Format und mit den notwendigen Metadaten (z. B. Fachrichtung, Datum) in die ePA hoch. Dies stellt sicher, dass die Informationen später leicht auffindbar sind.
  5. Dokumentation im PVS/KIS: Vermerken Sie im eigenen System, welche Dokumente wann in die ePA des Patienten oder der Patientin eingestellt wurden. Dies ist für die Nachweispflicht entscheidend.

Provider-Checkliste zur Einhaltung der Nachweispflichten bis 01.10.2025

Der Stichtag 01.10.2025 ist für viele Nachweispflichten im Zusammenhang mit der Digitalisierung und der elektronischen Patientenakte von Bedeutung. Leistungserbringer müssen sicherstellen, dass sie technisch und organisatorisch vorbereitet sind.

Technische und Organisatorische Maßnahmen bis zum Stichtag:

  • TI-Anbindung: Sicherstellung eines stabilen und sicheren Anschlusses an die Telematikinfrastruktur (TI), inklusive eines aktuellen Konnektors.
  • Software-Update: Ihr PVS oder KIS muss über ein zertifiziertes ePA-Modul der aktuellen Version verfügen. Planen Sie Updates rechtzeitig mit Ihrem Softwareanbieter.
  • eHBA und SMC-B: Alle beteiligten Ärztinnen, Ärzte und das Personal müssen über gültige elektronische Heilberufsausweise (eHBA) und Institutionskarten (SMC-B) verfügen.
  • Schulung des Personals: Führen Sie verbindliche Schulungen für das gesamte Team zum Umgang mit der ePA durch. Themen: Zugriffsanfragen, Upload-Prozess, Datenschutz und Patientenrechte.
  • Interne Prozessdefinition: Erstellen Sie eine schriftliche Arbeitsanweisung (SOP), die den Workflow für die ePA-Nutzung klar regelt. Wer ist verantwortlich? Wie wird die Patienteneinwilligung dokumentiert?
  • Datenschutzkonzept anpassen: Überarbeiten Sie Ihr Datenschutzkonzept und das Verzeichnis von Verarbeitungstätigkeiten (VVT). Die ePA ist eine neue Form der Datenverarbeitung, die berücksichtigt werden muss.
  • Verträge mit Dienstleistern: Prüfen Sie Verträge mit IT-Dienstleistern (z. B. PVS-Anbieter) auf die Einhaltung der TI-Sicherheitsvorgaben und der DSGVO (Auftragsverarbeitungsvertrag).

Technische Anforderungen und Interoperabilitätsstandards

Damit die elektronische Patientenakte systemübergreifend funktioniert, müssen alle Komponenten dieselbe Sprache sprechen. Dies wird durch verbindliche technische Standards und Profile gewährleistet, die von der gematik GmbH festgelegt werden.

Zentrale Standards sind:

  • HL7 (Health Level Seven): Eine Familie internationaler Standards für den Austausch von Daten im Gesundheitswesen.
  • FHIR (Fast Healthcare Interoperability Resources, auf Englisch): Ein moderner, auf Webtechnologien basierender Standard innerhalb der HL7-Familie, der für die ePA eine zentrale Rolle spielt.
  • IHE (Integrating the Healthcare Enterprise, auf Englisch): Initiative zur Standardisierung des Datenaustauschs. IHE-Profile definieren, wie Standards in konkreten Anwendungsfällen (z. B. dem Upload eines Arztbriefes) zu verwenden sind.

Für Leistungserbringer bedeutet das: Ihre Software muss diese Standards unterstützen und von der gematik zugelassen sein. Die Einhaltung der Interoperabilität ist keine Option, sondern eine zwingende Voraussetzung für die Teilnahme.

Zusammenarbeit mit externen Dienstleistern: Vertragsinhalte und Nachweise

Selten betreiben Praxen oder Kliniken ihre IT-Systeme vollständig autark. Die Zusammenarbeit mit externen Dienstleistern (z. B. PVS-Hersteller, IT-Systemhäuser) ist die Regel. Im Kontext der elektronischen Patientenakte ist hier besondere Sorgfalt geboten.

Wichtige Vertragsinhalte und Nachweise:

  • Auftragsverarbeitungsvertrag (AVV): Ein nach Art. 28 DSGVO konformer AVV ist zwingend erforderlich. Er regelt die Rechte und Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag.
  • Technische und Organisatorische Maßnahmen (TOMs): Der Dienstleister muss seine TOMs nachweisen (z. B. durch Zertifizierungen wie ISO 27001). Diese müssen dem hohen Schutzbedarf von Gesundheitsdaten gerecht werden.
  • gematik-Zulassung: Stellen Sie sicher, dass die vom Dienstleister bereitgestellte Software oder Komponente (z. B. das ePA-Modul) eine gültige Zulassung der gematik besitzt.
  • Support und Wartung: Der Vertrag sollte klare Regelungen zu Reaktionszeiten bei Störungen und zur zeitnahen Einspielung von Sicherheitsupdates enthalten.

Sensible Fallgruppen: Kinder, psychische Befunde und besonders schützenswerte Daten

Der Schutz sensibler Daten ist bei bestimmten Fallgruppen besonders wichtig. Die elektronische Patientenakte bietet hierfür spezielle Mechanismen.

  • Kinder und Jugendliche: Bis zum 16. Lebensjahr verwalten die gesetzlichen Vertreter die ePA. Ab 16 Jahren können Jugendliche selbst über ihre ePA entscheiden und eigenständig Berechtigungen vergeben.
  • Psychische Befunde und andere sensible Daten: Als Patientin oder Patient können Sie Dokumente als „vertraulich“ klassifizieren. Dadurch können Sie den Zugriff noch feingranularer steuern und beispielsweise nur Ihrer Psychiaterin, nicht aber dem Orthopäden, den Einblick in entsprechende Gutachten gewähren.
  • Vertretungssituationen: Für Personen, die ihre Angelegenheiten nicht selbst regeln können, können gesetzliche Betreuer oder Bevollmächtigte nach entsprechender Legitimation die Verwaltung der ePA übernehmen.

Datensicherheit: Verschlüsselung, Backup und Zugriffskontrolle

Die Datensicherheit der elektronischen Patientenakte hat höchste Priorität und basiert auf mehreren Säulen innerhalb der Telematikinfrastruktur (TI).

  • Ende-zu-Ende-Verschlüsselung: Alle Daten werden auf dem Weg vom Arzt zum ePA-Speicher und von dort auf Ihr Smartphone mehrfach verschlüsselt. Nur Sie als Patientin oder Patient besitzen den finalen Schlüssel. Nicht einmal die Krankenkasse oder der Aktensystembetreiber kann die Inhalte im Klartext lesen.
  • Sichere Speicherung: Die Daten werden in speziell gesicherten Rechenzentren in der EU gespeichert, die den höchsten Sicherheitsstandards entsprechen.
  • Starke Authentifizierung: Der Zugriff erfordert immer eine Zwei-Faktor-Authentifizierung (z. B. eGK und PIN oder Smartphone und Passwort/Biometrie). Dies schützt vor unberechtigtem Zugriff.
  • Kein zentraler Speicher: Die Daten liegen dezentral bei verschiedenen Anbietern, was das Risiko eines massiven Datenlecks reduziert.

Durchsetzung und Aufsicht: Welche Behörden prüfen, welche Schritte folgen?

Die Einhaltung der strengen Regeln für die elektronische Patientenakte wird von mehreren Stellen überwacht.

  • gematik GmbH: Sie ist für die Festlegung der technischen und sicherheitsrelevanten Standards verantwortlich und erteilt die Zulassungen für alle Komponenten und Dienste der TI.
  • Datenschutzaufsichtsbehörden: Die Landesdatenschutzbeauftragten überwachen die Einhaltung der DSGVO in Praxen und Krankenhäusern. Bei Verstößen können sie Prüfungen durchführen und empfindliche Bußgelder verhängen.
  • Kassenärztliche Vereinigungen (KVen): Sie prüfen die Einhaltung der vertragsärztlichen Pflichten, wozu auch die korrekte Nutzung der TI-Anwendungen gehört.

Bei Verstößen reichen die Konsequenzen von aufsichtsrechtlichen Anordnungen über Bußgelder bis hin zu Honorarkürzungen.

Häufig gestellte Fragen (FAQ) mit kurzen Antworten

Ist die Nutzung der elektronischen Patientenakte Pflicht?
Nein, die Nutzung ist für Patientinnen und Patienten freiwillig. Ab 2025 wird eine ePA für alle gesetzlich Versicherten angelegt, die der Nutzung nicht aktiv widersprechen (Opt-out-Verfahren).

Was kostet mich die ePA?
Die Einrichtung und Nutzung der ePA ist für gesetzlich Versicherte kostenlos.

Was passiert, wenn ich mein Smartphone verliere?
Ihre Daten sind nicht auf dem Smartphone gespeichert, sondern im sicheren ePA-Rechenzentrum. Sie können nach Sperrung des alten Geräts mit einem neuen Gerät wieder auf Ihre Akte zugreifen.

Kann ich meine ePA kündigen?
Ja, Sie können Ihre ePA jederzeit bei Ihrer Krankenkasse kündigen. Alle darin gespeicherten Daten werden dann unwiderruflich gelöscht.

Wer hilft mir bei technischen Problemen?
Ihr erster Ansprechpartner bei technischen Fragen zur ePA-App ist Ihre Krankenkasse.

Anhang A: Unterstützte Dateiformate und Schnittstellen

Für eine reibungslose Interoperabilität sind die Dateiformate standardisiert. Leistungserbringer müssen Dokumente in diesen Formaten bereitstellen.

  • Textdokumente: Primär PDF/A (ISO 19005) für die Langzeitarchivierung von Dokumenten wie Arztbriefen.
  • Strukturierte Daten: CDA (Clinical Document Architecture, auf Englisch) und zunehmend FHIR-Ressourcen für strukturierte Dokumente wie den Medikationsplan oder Notfalldatensatz.
  • Bilddaten: DICOM (Digital Imaging and Communications in Medicine, auf Englisch) für medizinische Bilder (z. B. Röntgen, MRT).

Die Anbindung der Praxis- oder Kliniksoftware erfolgt über definierte Schnittstellen des Konnektors zur Telematikinfrastruktur.

Anhang B: Mustertexte für Einwilligung und Dokumentation

Diese Texte dienen als unverbindliche Formulierungshilfe und müssen an die jeweilige Praxissituation angepasst werden.

Muster für Aushang im Wartezimmer:

„Sehr geehrte Patientin, sehr geehrter Patient, unsere Praxis unterstützt die elektronische Patientenakte (ePA). Gerne laden wir nach Ihrer Zustimmung Ihre aktuellen Befunde und Dokumente in Ihre ePA hoch. Sprechen Sie uns für die Freigabe einfach an. Sie behalten jederzeit die volle Kontrolle.“

Muster für Dokumentation im PVS/KIS:

„[Datum/Uhrzeit]: Patient/in [Name] hat mündlich über die ePA-App dem Zugriff auf die ePA für [Dauer] und dem Upload des Dokuments [Dokumentenname] zugestimmt. Upload erfolgt durch [Mitarbeiterkürzel]. Zugriffsprotokoll der ePA gilt als Nachweis.“

Quellen und offizielle Links

Für weiterführende und offizielle Informationen zur elektronischen Patientenakte empfehlen wir die folgenden Webseiten:

  • Bundesgesundheitsministerium: Informationen zur Verwaltung der ePA finden Sie auf gesund.bund.de.
  • gematik GmbH: Die gematik ist für die Telematikinfrastruktur zuständig und bietet detaillierte technische Informationen, zum Beispiel zu den TI-Modellregionen.