Elektronische Patientenakte verstehen: Datenschutz und Rechte

Elektronische Patientenakte verstehen: Datenschutz und Rechte

Die Elektronische Patientenakte (ePA): Ihr umfassender Leitfaden 2025

Die Digitalisierung im Gesundheitswesen schreitet voran und im Zentrum steht die elektronische Patientenakte (ePA). Sie ist ein zentrales Instrument, um medizinische Informationen sicher zu bündeln und den Informationsaustausch zwischen Patientinnen, Patienten und Leistungserbringern zu optimieren. Dieser Leitfaden bietet Versicherten eine schrittweise Anleitung zur Einrichtung und Verwaltung ihrer ePA und gibt Leistungserbringern einen Einblick in die technischen und rechtlichen Rahmenbedingungen.

Inhaltsverzeichnis

Was ist die elektronische Patientenakte?

Die elektronische Patientenakte, kurz ePA, ist ein persönlicher und lebenslanger digitaler Speicherort für Ihre Gesundheitsdaten. Sie wird Ihnen von Ihrer gesetzlichen Krankenkasse zur Verfügung gestellt. Der zentrale Gedanke ist die Patientensouveränität: Sie allein entscheiden, welche Daten in Ihrer ePA gespeichert werden und wer darauf zugreifen darf. Ärztinnen, Ärzte, Krankenhäuser, Therapeutinnen, Therapeuten und Apotheken können mit Ihrer Zustimmung wichtige Informationen wie Befunde, Medikationspläne oder Arztbriefe direkt in Ihrer ePA ablegen oder einsehen. Dies verbessert die Behandlungsqualität, vermeidet Doppeluntersuchungen und kann im Notfall lebensrettende Informationen schnell verfügbar machen.

Welche Daten werden in der ePA gespeichert?

In Ihrer elektronischen Patientenakte können vielfältige medizinische Dokumente und Informationen sicher abgelegt werden. Sie entscheiden, welche Dokumente hochgeladen werden dürfen. Typische Inhalte umfassen:

  • Ärztliche Befunde: Ergebnisse von Laboruntersuchungen oder bildgebenden Verfahren.
  • Diagnosen: Von Ärztinnen und Ärzten gestellte Diagnosen.
  • Therapiemaßnahmen und Behandlungsberichte: Informationen über durchgeführte Behandlungen.
  • Elektronische Arztbriefe: Berichte zwischen behandelnden Ärztinnen und Ärzten.
  • Elektronischer Medikationsplan: Eine aktuelle Übersicht Ihrer verordneten Medikamente.
  • Notfalldatensatz: Wichtige Informationen für den Notfall (z. B. Allergien, Vorerkrankungen).
  • Elektronischer Impfausweis: Eine digitale Übersicht Ihrer Impfungen.
  • Elektronischer Mutterpass, Untersuchungsheft für Kinder und Zahnbonusheft.

Rechtsgrundlagen und besonderer Schutz nach Art. 9 DSGVO

Gesundheitsdaten gehören zu den „besonderen Kategorien personenbezogener Daten“ gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO). Sie unterliegen daher einem besonders hohen Schutzniveau. Die Verarbeitung dieser Daten ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Rechtsgrundlage oder eine Einwilligung der betroffenen Person vor. Für die elektronische Patientenakte sind die rechtlichen Rahmenbedingungen in Deutschland primär im Fünften Buch Sozialgesetzbuch (SGB V) festgelegt. Diese Gesetze stellen sicher, dass die Datenverarbeitung in der ePA streng zweckgebunden ist und die höchsten Sicherheitsstandards erfüllt werden.

Datenverantwortlichkeiten: Wer ist Verantwortlicher, wer Auftragsverarbeiter?

Im Kontext der ePA sind die datenschutzrechtlichen Rollen klar verteilt, um die Patientensouveränität zu gewährleisten:

  • Versicherte: Sie sind der „Herr der Daten“. Als datenschutzrechtlich Verantwortlicher für den Inhalt Ihrer ePA entscheiden Sie, welche Daten gespeichert und wem der Zugriff gewährt wird.
  • Krankenkassen: Sie stellen die technische Infrastruktur der ePA zur Verfügung und agieren als Auftragsverarbeiter. Sie dürfen die Inhalte Ihrer Akte nicht einsehen.
  • Leistungserbringer (z. B. Arztpraxen): Sie sind für die Richtigkeit der Daten verantwortlich, die sie in Ihre ePA einstellen. Sie agieren dabei ebenfalls als Verantwortliche für den jeweiligen Datenverarbeitungsvorgang.

Patientenrechte: Einsicht, Berichtigung, Löschung, Einschränkung und Widerspruch

Als Nutzerin oder Nutzer der elektronischen Patientenakte haben Sie umfassende Rechte, die sich aus der DSGVO ergeben. Sie können diese direkt über die ePA-App Ihrer Krankenkasse ausüben:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können jederzeit alle in Ihrer ePA gespeicherten Daten und die dazugehörigen Protokolle einsehen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sollten Sie fehlerhafte Daten feststellen, können Sie deren Berichtigung verlangen. Wenden Sie sich hierfür an den Leistungserbringer, der die Daten eingestellt hat.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können einzelne Dokumente oder die gesamte elektronische Patientenakte jederzeit löschen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können den Zugriff auf bestimmte Daten für alle oder ausgewählte Leistungserbringer einschränken.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Speicherung bestimmter Daten widersprechen und erteilte Zugriffsberechtigungen jederzeit widerrufen.

Schritt-für-Schritt: ePA einrichten und erste Schritte für Versicherte

Die Einrichtung Ihrer persönlichen ePA ist unkompliziert. Folgen Sie diesen Schritten:

  1. Antrag bei der Krankenkasse: Kontaktieren Sie Ihre Krankenkasse und beantragen Sie den Zugang zur elektronischen Patientenakte. Dies geschieht oft direkt online oder über die Service-App der Kasse.
  2. ePA-App herunterladen: Laden Sie die offizielle ePA-App Ihrer Krankenkasse aus dem App Store (iOS) oder Google Play Store (Android) herunter.
  3. Sichere Identifizierung: Um sicherzustellen, dass nur Sie Zugriff auf Ihre sensiblen Daten haben, ist eine sichere Identifizierung notwendig. Dies kann über das Post-Ident-Verfahren, Video-Ident-Verfahren oder persönlich in einer Geschäftsstelle Ihrer Krankenkasse erfolgen. Sie benötigen dafür Ihren Personalausweis und Ihre Gesundheitskarte mit PIN.
  4. Erste Anmeldung und Einrichtung: Melden Sie sich mit Ihren Zugangsdaten in der App an. Sie werden durch die Ersteinrichtung geführt, bei der Sie grundlegende Einstellungen vornehmen können.
  5. Zugriffsrechte verwalten: Beginnen Sie damit, zu entscheiden, welche Ärzte oder Einrichtungen auf Ihre Akte zugreifen dürfen. Sie können dies pauschal oder für jedes Dokument einzeln festlegen.

Zugriffssteuerung: Zugriffsrechte vergeben, Widerruf und Protokollierung

Die Stärke der ePA liegt in der granularen Steuerung der Zugriffsrechte. Sie haben die volle Kontrolle:

  • Feingranulare Berechtigungen: Sie können den Zugriff pro Dokument, pro Leistungserbringer oder für bestimmte Zeiträume (z. B. für die Dauer eines Quartals) erteilen.
  • Jederzeitiger Widerruf: Eine einmal erteilte Berechtigung können Sie jederzeit mit sofortiger Wirkung über Ihre ePA-App widerrufen.
  • Lückenlose Protokollierung: Jeder Zugriff auf Ihre elektronische Patientenakte wird lückenlos protokolliert. Sie können in der App jederzeit einsehen, wer wann auf welches Dokument zugegriffen hat. Dies schafft maximale Transparenz und Sicherheit.

Vertretung und Vorsorgevollmacht: Zugriffsdelegation sicher regeln

Sie können einer Vertrauensperson den Zugriff auf Ihre ePA gewähren. Dies ist besonders wichtig für die Versorgung von Kindern, pflegebedürftigen Angehörigen oder im Rahmen einer Vorsorgevollmacht.

Einrichtung einer Vertretung

Die Einrichtung erfolgt direkt in der ePA-App. Die als Vertreter benannte Person benötigt ebenfalls eine eigene elektronische Gesundheitskarte und einen ePA-Zugang. Sie können den Umfang der Berechtigungen für Ihre Vertretung individuell festlegen – vom reinen Leserecht bis zur vollen Berechtigung, Dokumente hochzuladen und Zugriffe für Ärzte freizugeben. Im Fall einer rechtlichen Vorsorgevollmacht sollten Sie die entsprechenden Dokumente bei Ihrer Krankenkasse hinterlegen.

Praxisanleitung für Leistungserbringer: Interoperabilität, APIs und Authentifizierung

Für Leistungserbringer ist die elektronische Patientenakte über die Telematikinfrastruktur (TI) erreichbar. Der Zugriff erfolgt über das Praxisverwaltungssystem (PVS) oder Krankenhausinformationssystem (KIS).

  • Anbindung und Authentifizierung: Der Anschluss an die TI ist Voraussetzung. Für den Zugriff auf die ePA authentifizieren sich Ärztinnen, Ärzte und anderes Fachpersonal mit ihrem elektronischen Heilberufsausweis (eHBA). Die Praxis oder Klinik identifiziert sich über die Institutionskarte (SMC-B).
  • Interoperabilität und APIs: Der Datenaustausch basiert auf international anerkannten Standards wie HL7 FHIR (Fast Healthcare Interoperability Resources, auf Englisch), um sicherzustellen, dass Daten systemübergreifend korrekt interpretiert werden. Die gematik definiert die entsprechenden Schnittstellen (APIs, Application Programming Interfaces, auf Englisch), über die die Primärsysteme kommunizieren.

Sicherheitsmaßnahmen praxisnah erklärt: TLS, Auditlogs, Hosting und Backup

Die Sicherheit Ihrer Gesundheitsdaten hat höchste Priorität. Die ePA ist durch ein mehrstufiges Sicherheitskonzept geschützt:

  • Verschlüsselung: Alle Daten werden sowohl bei der Übertragung (Transportverschlüsselung via TLS 1.2 oder höher) als auch bei der Speicherung (Ende-zu-Ende-Verschlüsselung) geschützt. Nur Sie und die von Ihnen berechtigten Personen können die Daten im Klartext lesen.
  • Audit-Logs: Unveränderbare Protokolldateien (Audit-Logs) zeichnen jeden Zugriff auf und helfen, unberechtigte Zugriffsversuche nachzuvollziehen.
  • Sicheres Hosting und Backups: Die ePA-Aktensysteme werden in hochsicheren, zertifizierten Rechenzentren in der Europäischen Union betrieben. Regelmäßige Backups stellen die Datenverfügbarkeit sicher.

Datenweitergabe an Dritte: Verträge, AVV und Nachweispflichten

Für Leistungserbringer ist der korrekte Umgang mit den Daten aus der ePA entscheidend. Eine Weitergabe von Daten an Dritte (z. B. externe Labore oder Abrechnungsdienstleister) ist nur mit einer Rechtsgrundlage oder der Einwilligung des Patienten zulässig. Werden IT-Dienstleister für das Praxisverwaltungssystem eingesetzt, muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Dieser regelt die Pflichten des Dienstleisters und stellt sicher, dass die Datenschutzvorgaben eingehalten werden.

Barrierefreiheit: Nutzung für Menschen mit Beeinträchtigungen und BFSG-Konformität

Die ePA-Apps müssen die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG) erfüllen. Dies bedeutet, dass die Anwendungen so gestaltet sein müssen, dass sie auch von Menschen mit Beeinträchtigungen (z. B. Seh- oder motorischen Einschränkungen) bedient werden können. Dazu gehören:

  • Unterstützung von Screenreadern
  • Ausreichende Kontraste und skalierbare Schriftgrößen
  • Tastaturbedienbarkeit
  • Verständliche und einfache Sprache

Kurzcheckliste für Versicherte: Wichtige Schritte und Prüfungen

  • [ ] Habe ich die offizielle ePA-App meiner Krankenkasse installiert?
  • [ ] Ist mein Identifizierungsverfahren abgeschlossen und habe ich eine PIN für meine Gesundheitskarte?
  • [ ] Habe ich die Zugriffsrechte für meine behandelnden Ärztinnen und Ärzte geprüft und nach meinen Wünschen eingestellt?
  • [ ] Habe ich die Protokolldaten eingesehen, um zu verstehen, wer auf meine Akte zugegriffen hat?
  • [ ] Habe ich eine Vertretung für den Notfall eingerichtet oder meine Vorsorgevollmacht hinterlegt?

FAQ: Antworten auf häufige Fragen

Ist die Nutzung der ePA freiwillig?

Ja, die Nutzung ist grundsätzlich freiwillig. Ab 2025 ist geplant, dass für alle gesetzlich Versicherten automatisch eine elektronische Patientenakte eingerichtet wird, sofern sie nicht aktiv widersprechen (Opt-out-Verfahren). Sie behalten jedoch weiterhin die volle Kontrolle darüber, ob und welche Daten in Ihrer ePA gespeichert werden und wer darauf zugreifen darf.

Kann ich meine Einwilligung jederzeit widerrufen?

Ja. Sie können erteilte Zugriffsrechte jederzeit und ohne Angabe von Gründen über die ePA-App widerrufen. Der Widerruf gilt ab sofort für die Zukunft.

Wie richte ich eine Vertretung für mein Kind ein?

Die Einrichtung einer Vertretung für minderjährige Kinder erfolgt ebenfalls über Ihre ePA-App. Sie müssen sich als gesetzlicher Vertreter ausweisen. Anschließend können Sie die ePA Ihres Kindes verwalten, bis dieses die entsprechende Altersgrenze erreicht und die Verwaltung selbst übernimmt.

Technischer Anhang für IT-Teams: Schnittstellenstandards, Protokolle und Prüfpunkte

  • Schnittstellenstandards: Die ePA-Infrastruktur basiert maßgeblich auf dem Standard HL7 FHIR (Release 4). Die genauen Profile und Spezifikationen werden von der gematik veröffentlicht und sind für die Softwareentwicklung verbindlich.
  • Kommunikationsprotokolle: Die Kommunikation zwischen den Primärsystemen der Leistungserbringer und dem ePA-Aktensystem erfolgt ausschließlich über gesicherte Verbindungen mittels HTTPS mit TLS 1.2 oder höher.
  • Authentifizierung in der TI: Der Zugriff wird durch Komponenten der Telematikinfrastruktur abgesichert. Dazu gehören der eHBA für die Authentifizierung des Heilberuflers, die SMC-B für die Identifikation der Institution und der Konnektor als sicheres Gateway in die TI. Die Kommunikation zwischen den Diensten erfolgt über sichere Fachdienste wie KIM (Kommunikation im Medizinwesen).
  • Prüfpunkte für Softwarehersteller: Hersteller von PVS oder KIS müssen eine Zulassung der gematik für ihr ePA-Modul durchlaufen. Wichtige Prüfpunkte sind die korrekte Implementierung der FHIR-Profile, die sichere Anbindung an die TI und die Einhaltung aller Datenschutz- und Sicherheitsvorgaben.

Offizielle Ressourcen und weiterführende Links

Für vertiefende und stets aktuelle Informationen zur elektronischen Patientenakte empfehlen wir die folgenden offiziellen Quellen:

  • gematik GmbH: Die gematik ist für die Entwicklung und den Betrieb der Telematikinfrastruktur verantwortlich. Auf ihrer Webseite finden Sie technische Spezifikationen und Hintergrundinformationen. Zur Webseite der gematik
  • gesund.bund.de: Das Gesundheitsportal des Bundesministeriums für Gesundheit bietet verständliche Informationen für Bürgerinnen und Bürger rund um die ePA. Informationen zur ePA-Verwaltung