Elektronische Patientenakte verstehen: Rechte, Sicherheit und Praxis

Elektronische Patientenakte verstehen: Rechte, Sicherheit und Praxis

Die Elektronische Patientenakte (ePA): Ein umfassender Leitfaden für 2025

Die Digitalisierung im deutschen Gesundheitswesen schreitet voran. Ein zentrales Element dieser Entwicklung ist die elektronische Patientenakte (ePA). Sie soll die medizinische Versorgung verbessern, indem sie allen an der Behandlung beteiligten Akteuren relevante Gesundheitsinformationen sicher und schnell zur Verfügung stellt. Dieser Leitfaden bietet Patientinnen und Patienten sowie Leistungserbringern eine umfassende, neutrale und praxisnahe Übersicht über die Funktionsweise, die rechtlichen Rahmenbedingungen und die praktische Nutzung der elektronischen Patientenakte ab dem Jahr 2025.

Inhaltsverzeichnis

Einleitung: Zweck und Zielgruppe

Die elektronische Patientenakte ist ein persönlicher, digitaler Speicherort für Ihre Gesundheitsdaten. Als Versicherte oder Versicherter haben Sie die alleinige Hoheit über Ihre ePA. Sie entscheiden, welche medizinischen Informationen gespeichert und welchem Arzt, Krankenhaus oder welcher Apotheke Sie diese zugänglich machen. Das primäre Ziel der ePA ist die Verbesserung der Behandlungsqualität durch eine lückenlose und schnelle Verfügbarkeit von Informationen, die Vermeidung von Doppeluntersuchungen und die Erhöhung der Arzneimitteltherapiesicherheit. Dieser Artikel richtet sich sowohl an Patientinnen und Patienten, die ihre ePA aktiv nutzen möchten, als auch an Leistungserbringer (ärztliches Personal, Apotheken, Krankenhäuser), die in ihrer täglichen Arbeit mit der ePA interagieren.

Was umfasst die elektronische Patientenakte? (Datenarten und Struktur)

Die elektronische Patientenakte ist so konzipiert, dass sie eine Vielzahl von medizinischen Dokumenten und Daten strukturiert aufnehmen kann. Die Hoheit über das Befüllen und Löschen von Inhalten liegt grundsätzlich bei Ihnen als Patientin oder Patient. Leistungserbringer können nur mit Ihrer expliziten Zustimmung Dokumente einstellen.

Typische Inhalte der ePA sind:

  • Arztbriefe und Entlassbriefe: Dokumente von Fachärzten und Krankenhäusern.
  • Befunde: Ergebnisse von Laboruntersuchungen oder bildgebenden Verfahren.
  • Diagnosen: Von Ärzten dokumentierte Krankheitsbilder.
  • Elektronischer Medikationsplan (eMP): Eine Übersicht über alle verordneten und eingenommenen Medikamente.
  • Notfalldatensatz: Wichtige Informationen für den Notfall, wie Allergien oder chronische Erkrankungen.
  • Elektronischer Impfausweis: Eine digitale Dokumentation aller erhaltenen Impfungen.
  • Mutterpass, Zahnbonusheft und U-Heft für Kinder: Digitale Versionen der bekannten Vorsorgehefte.
  • Eigene Dokumente: Patientinnen und Patienten können auch eigene Gesundheitsdokumente hochladen.

Rechtsrahmen in Kürze: DSGVO, Art. 9 und nationale Regelungen

Die Verarbeitung von Gesundheitsdaten unterliegt strengsten gesetzlichen Anforderungen. Die zentrale europäische Vorschrift ist die Datenschutz-Grundverordnung (DSGVO), insbesondere Artikel 9 DSGVO, der die Verarbeitung “besonderer Kategorien personenbezogener Daten”, zu denen Gesundheitsdaten zählen, regelt. Die Verarbeitung ist nur bei Vorliegen einer ausdrücklichen Einwilligung oder einer gesetzlichen Grundlage zulässig.

In Deutschland wird die DSGVO durch nationale Gesetze ergänzt und konkretisiert. Für die elektronische Patientenakte sind vor allem das Fünfte Buch Sozialgesetzbuch (SGB V) und das Patientendaten-Schutz-Gesetz (PDSG) relevant. Diese Gesetze definieren die technischen und organisatorischen Anforderungen an die ePA und die Telematikinfrastruktur (TI) und stellen sicher, dass die Datenhoheit jederzeit bei den Versicherten liegt.

Zugriffsrechte und Zustimmung: Wer sieht was und wann?

Das Kernprinzip der elektronischen Patientenakte ist die Patientensouveränität. Sie steuern jederzeit, wer auf Ihre Daten zugreifen darf. Das Berechtigungsmanagement ist granular gestaltet:

  • Wer darf zugreifen? Sie können einzelnen Ärzten, Zahnärzten, Psychotherapeuten, Krankenhäusern oder Apotheken den Zugriff erlauben.
  • Worauf darf zugegriffen werden? Sie können den Zugriff auf alle Dokumente erlauben oder nur für bestimmte Dokumente oder Dokumentenkategorien (z.B. nur Laborbefunde) freigeben.
  • Wie lange darf zugegriffen werden? Die Zugriffsberechtigung kann für einen Tag, eine Woche, einen bestimmten Zeitraum oder bis auf Widerruf erteilt werden.

Jede Freigabe kann von Ihnen jederzeit und ohne Angabe von Gründen über Ihre ePA-App widerrufen werden. Jeder einzelne Zugriff auf Ihre ePA wird lückenlos protokolliert. Sie können in Ihrer App jederzeit nachvollziehen, wer wann auf welches Dokument zugegriffen hat.

Praktische Anleitung für Patientinnen und Patienten: Zugang einrichten, Berechtigungen vergeben und widerrufen

Die Nutzung Ihrer elektronischen Patientenakte ist freiwillig. Wenn Sie sich dafür entscheiden, sind die folgenden Schritte notwendig:

  1. Antrag bei der Krankenkasse: Kontaktieren Sie Ihre gesetzliche Krankenkasse. Diese ist Ihr erster Ansprechpartner für die ePA und stellt Ihnen die notwendigen Informationen und Zugangsdaten zur Verfügung.
  2. ePA-App herunterladen: Jede Krankenkasse bietet eine eigene, geprüfte App für die Verwaltung der elektronischen Patientenakte an. Laden Sie diese aus dem offiziellen App-Store für Ihr Smartphone herunter.
  3. Identifikation und Freischaltung: Zur sicheren Anmeldung benötigen Sie Ihre elektronische Gesundheitskarte (eGK) mit Near-Field Communication (NFC auf Englisch)-Funktion und eine dazugehörige PIN. Alternativ bieten viele Kassen auch andere sichere Identifikationsverfahren (z.B. Post-Ident oder Online-Ausweisfunktion) an.
  4. Berechtigungen vergeben: Wenn Sie in einer Arztpraxis sind, können Sie dem Arzt oder der Ärztin den Zugriff auf Ihre ePA gewähren. Dies geschieht in der Regel durch das Stecken Ihrer eGK in das Kartenterminal und die Bestätigung in Ihrer ePA-App oder durch einen von der Praxis generierten QR-Code. Sie legen dabei direkt den Umfang und die Dauer des Zugriffs fest.
  5. Zugriffe verwalten und widerrufen: In Ihrer App haben Sie eine vollständige Übersicht über alle erteilten Berechtigungen. Hier können Sie bestehende Zugriffsrechte mit wenigen Klicks anpassen oder vollständig widerrufen.

Eine detaillierte Anleitung finden Sie auch auf der Informationsseite der Bundesregierung: gesund.bund.de.

Technische Schnittstellen und Interoperabilität: FHIR, HL7, API-Standards und Datenformate

Damit Daten zwischen den unterschiedlichen Systemen von Arztpraxen, Krankenhäusern und Ihrer ePA-App sicher und verständlich ausgetauscht werden können, sind einheitliche technische Standards unerlässlich. Die elektronische Patientenakte basiert auf modernen internationalen Standards.

  • HL7 und FHIR: HL7 (Health Level Seven auf Englisch) ist eine Gruppe internationaler Standards für den Austausch von Daten im Gesundheitswesen. FHIR (Fast Healthcare Interoperability Resources auf Englisch), ausgesprochen wie “fire”, ist ein moderner Standard von HL7, der auf weitverbreiteten Web-Technologien wie RESTful APIs und Datenformaten wie JSON und XML basiert. FHIR ermöglicht eine flexible und effiziente Kommunikation zwischen den Systemen.
  • API-Standards und Scopes: Der Zugriff auf die ePA erfolgt über gesicherte Programmierschnittstellen (APIs, Application Programming Interfaces auf Englisch). Sogenannte “Scopes” definieren dabei, welche Art von Daten eine Anwendung (z.B. das Praxisverwaltungssystem eines Arztes) anfragen darf. Dies ist vergleichbar mit den Berechtigungen, die eine Smartphone-App anfragt (z.B. Zugriff auf Kamera oder Kontakte). Dies stellt technisch sicher, dass eine Anwendung nur die Daten sehen kann, für die eine explizite Freigabe durch den Patienten vorliegt.

Datenschutz und Datensicherheit: Verschlüsselung, Protokollierung und Retention-Policy

Der Schutz Ihrer sensiblen Gesundheitsdaten hat höchste Priorität. Die elektronische Patientenakte ist durch mehrstufige Sicherheitsmechanismen geschützt, die in der Telematikinfrastruktur (TI), dem sicheren Netzwerk des deutschen Gesundheitswesens, verankert sind.

  • Verschlüsselung: Alle Daten werden sowohl bei der Übertragung als auch bei der Speicherung stark verschlüsselt. Der entscheidende Punkt ist die Ende-zu-Ende-Verschlüsselung: Nur Sie als Patientin oder Patient und die von Ihnen berechtigten Personen können die Daten entschlüsseln und lesen. Weder die Krankenkasse noch der Anbieter des Aktensystems haben Zugriff auf die medizinischen Inhalte.
  • Protokollierung: Jeder einzelne Zugriff auf Ihre ePA wird unveränderbar protokolliert. Sie können in Ihrer App jederzeit einsehen, welche Person oder Institution wann auf welche Daten zugegriffen hat. Dies schafft maximale Transparenz und ermöglicht die Nachverfolgung unberechtigter Zugriffe.
  • Retention-Policy (Aufbewahrungsfristen): Für medizinische Daten gelten gesetzliche Aufbewahrungsfristen. Sie als Inhaber der ePA haben jedoch die Möglichkeit, Dokumente auch vor Ablauf dieser Fristen zu löschen. Die Daten werden dann unwiderruflich entfernt.

Externe Dienstleister und Abrechnungspartner: Auftragsverarbeitung und Kontrollpflichten

Leistungserbringer wie Arztpraxen und Krankenhäuser setzen häufig externe IT-Dienstleister für die Wartung ihrer Systeme ein. Wenn diese Dienstleister potenziell Zugriff auf personenbezogene Daten haben könnten, muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Der Leistungserbringer bleibt dabei stets der datenschutzrechtlich Verantwortliche und muss sicherstellen, dass der Dienstleister die gleichen hohen Sicherheitsstandards einhält. Dies gilt auch für die Anbindung an die Telematikinfrastruktur und die Nutzung der elektronischen Patientenakte.

Sonderfälle: Notfallzugang, grenzüberschreitende Versorgung und Minderjährige

Notfallzugang

Für lebensbedrohliche Notfälle gibt es den Notfalldatensatz (NFD). Diesen können Sie auf Ihrer elektronischen Gesundheitskarte speichern lassen. Rettungsdienste und Notaufnahmen können im Ernstfall auch ohne Ihr aktives Zutun auf diese Daten zugreifen, um schnell lebensrettende Informationen (z.B. über schwere Allergien oder Medikamentenunverträglichkeiten) zu erhalten. Der Zugriff auf die gesamte ePA im Notfall ist nur mit Ihrer expliziten Freigabe oder durch einen berechtigten Vertreter möglich.

Grenzüberschreitende Versorgung

Über das europäische Projekt “MyHealth@EU” wird daran gearbeitet, einen sicheren Austausch von Gesundheitsdaten zwischen den EU-Mitgliedstaaten zu ermöglichen. In Zukunft soll es möglich sein, mit Ihrer Zustimmung einem Arzt im EU-Ausland Zugriff auf relevante Teile Ihrer ePA zu gewähren.

Minderjährige

Für Kinder und Jugendliche unter 16 Jahren wird die elektronische Patientenakte von den gesetzlichen Vertretern (in der Regel den Eltern) verwaltet. Diese richten die ePA ein und verwalten die Zugriffsrechte. Ab einem bestimmten Alter, wenn die Einsichtsfähigkeit angenommen wird, sollen Jugendliche zunehmend in die Entscheidungen einbezogen werden.

Beschwerdewege und Durchsetzung: Aufsichtsbehörden, Mustertexte und Eskalationspfade

Sollten Sie den Verdacht haben, dass unberechtigt auf Ihre elektronische Patientenakte zugegriffen wurde oder Ihre Daten anderweitig missbraucht wurden, haben Sie klare Rechte und Wege zur Beschwerde:

  1. Prüfung des Protokolls: Überprüfen Sie zunächst das Zugriffsprotokoll in Ihrer ePA-App. Dort sehen Sie genau, wer wann zugegriffen hat.
  2. Kontakt zum Verantwortlichen: Wenden Sie sich an den Datenschutzbeauftragten der betreffenden Arztpraxis oder des Krankenhauses und fordern Sie eine schriftliche Stellungnahme.
  3. Beschwerde bei der Aufsichtsbehörde: Wenn der Sachverhalt nicht geklärt werden kann, haben Sie das Recht, sich an die für Ihr Bundesland zuständige Datenschutzaufsichtsbehörde zu wenden. Diese geht der Beschwerde nach und kann bei Verstößen empfindliche Bußgelder verhängen.

Prüfliste für Leistungserbringer: Dokumente, Nachweise und Nachweispflichten

Für Leistungserbringer ist die Integration der elektronischen Patientenakte in die Praxisabläufe mit organisatorischen und technischen Pflichten verbunden. Diese Checkliste hilft bei der Umsetzung:

  • Technischer Anschluss: Ist die Praxis an die Telematikinfrastruktur angebunden und ist der Konnektor auf dem neuesten Stand?
  • Software-Update: Unterstützt das Praxisverwaltungssystem (PVS) die aktuellen ePA-Spezifikationen?
  • Mitarbeiterschulung: Sind alle Mitarbeiter im Umgang mit der ePA und den Prozessen zur Rechtevergabe und zum Dokumentenupload geschult?
  • Datenschutzdokumentation: Wurde das Verzeichnis von Verarbeitungstätigkeiten aktualisiert? Liegt eine Datenschutz-Folgenabschätzung vor?
  • Patienteninformation: Werden Patientinnen und Patienten transparent über die Nutzung der ePA in der Praxis informiert (z.B. durch Aushänge oder Flyer)?
  • Prozessdefinition: Gibt es klare interne Anweisungen, wann und welche Dokumente in die elektronische Patientenakte hochgeladen werden sollen?

Konkrete Beispiele: Praxisfälle mit Handlungsanweisungen

Fall 1: Patientin wechselt den Facharzt

Situation: Eine Patientin möchte, dass ihr neuer Kardiologe alle relevanten Befunde des bisherigen Hausarztes und eines früheren Krankenhausaufenthalts einsehen kann.
Handlungsanweisung für die Patientin:1. In der Praxis des neuen Kardiologen steckt sie ihre eGK in das Kartenterminal.2. In ihrer ePA-App gibt sie dem Kardiologen die Berechtigung, alle Dokumente der Kategorien “Arztbriefe” und “Befunde” für die nächsten 90 Tage zu lesen.3. Der Kardiologe kann nun direkt auf die relevanten Informationen zugreifen, ohne dass diese per Post oder Fax übermittelt werden müssen.

Fall 2: Hausarzt möchte einen neuen Befund einstellen

Situation: Ein Hausarzt hat die Ergebnisse einer Langzeit-Blutdruckmessung und möchte den Befundbericht in die ePA des Patienten hochladen.
Handlungsanweisung für die Arztpraxis:1. Der Patient erteilt der Praxis die Berechtigung, Dokumente in seine ePA einzustellen.2. Der Arzt erstellt den Befundbericht in seinem Praxisverwaltungssystem.3. Über eine definierte Funktion im System wird das Dokument sicher signiert und in die elektronische Patientenakte des Patienten übertragen.4. Der Patient erhält eine Benachrichtigung über das neue Dokument in seiner App.

Glossar zentraler Begriffe

  • ePA: Abkürzung für elektronische Patientenakte.
  • gematik: Die nationale Agentur für digitale Medizin, die für die Entwicklung und den Betrieb der Telematikinfrastruktur verantwortlich ist.
  • TI: Telematikinfrastruktur. Das sichere, geschlossene Netzwerk für alle Akteure im deutschen Gesundheitswesen.
  • eGK: elektronische Gesundheitskarte. Die Chipkarte der gesetzlichen Krankenversicherungen, die als Schlüssel zur TI und ePA dient.
  • FHIR: Fast Healthcare Interoperability Resources. Ein moderner, internationaler Standard für den Austausch von Gesundheitsdaten.
  • DSGVO: Datenschutz-Grundverordnung. Die europäische Verordnung, die den Schutz personenbezogener Daten regelt.

Weiterführende offizielle Quellen und Hilfsmittel

Für vertiefende und stets aktuelle Informationen empfehlen wir die folgenden offiziellen Webseiten:

  • gematik GmbH: Die gematik bietet detaillierte technische und organisatorische Informationen zur Telematikinfrastruktur und zur ePA.
  • Bundesgesundheitsministerium: Auf gesund.bund.de finden Patientinnen und Patienten verständliche Anleitungen und Erklärungen zur ePA.
  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Die GDD bietet Informationen und Hilfestellungen rund um das Thema Datenschutz.
  • Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD): Der BvD vertritt die Interessen der Datenschutzbeauftragten und ist eine Anlaufstelle für fachliche Fragen.

Anmerkung zur fachlichen Einordnung (Hinweise von MUNAS Consulting)

Dieser Artikel dient der allgemeinen Information über die elektronische Patientenakte und wurde nach bestem Wissen und Gewissen erstellt. Er stellt keine Rechtsberatung dar und kann eine solche nicht ersetzen. Die technischen und rechtlichen Rahmenbedingungen können sich weiterentwickeln. Für verbindliche Auskünfte und bei rechtlichen Fragen, insbesondere im Bereich Datenschutz, wird empfohlen, qualifizierten Rechtsrat oder die Beratung durch einen zertifizierten Datenschutzbeauftragten in Anspruch zu nehmen. MUNAS Consulting unterstützt Organisationen im Gesundheitswesen bei der sicheren und konformen Implementierung digitaler Prozesse.