ePA und DSGVO: Rechte, Risiken und Handlungsoptionen

ePA und DSGVO: Rechte, Risiken und Handlungsoptionen

Inhaltsverzeichnis

Kurzüberblick: Was die ePA enthält und wichtige Datenstände

Die elektronische Patientenakte (ePA) ist ein zentraler Baustein der Digitalisierung im deutschen Gesundheitswesen. Ab 2025 wird für alle gesetzlich Versicherten automatisch eine ePA eingerichtet, es sei denn, sie widersprechen aktiv (Opt-out-Verfahren). Dieser Leitfaden beleuchtet die Verbindung zwischen der elektronischen Patientenakte und DSGVO und gibt Ihnen praktische Hilfestellungen an die Hand.

Was wird in der ePA gespeichert?

Die ePA dient als digitaler Speicherort für Ihre Gesundheitsdaten. Dazu gehören unter anderem:

  • Befunde und Arztberichte
  • Diagnosen und durchgeführte Behandlungen
  • Medikationspläne und Impfpass
  • Röntgenbilder und Laborwerte
  • Zukünftig auch Daten aus digitalen Gesundheitsanwendungen (DiGAs)

Ziel ist es, eine lückenlose und sichere Dokumentation zu schaffen, auf die berechtigte Personen wie Ärztinnen, Ärzte und Apotheken zugreifen können, um die Behandlungsqualität zu verbessern.

Wichtige Datenstände ab 2025

Mit der Einführung der „ePA für alle“ ab 2025 gelten neue Regelungen. Versicherte erhalten automatisch eine Akte, können aber jederzeit der Anlage oder der Datenspeicherung widersprechen. Sie behalten die Kontrolle darüber, wer welche Dokumente einsehen darf.

Rechte der Versicherten kurz erklärt

Die Datenschutz-Grundverordnung (DSGVO) stärkt Ihre Rechte im Umgang mit persönlichen Daten. Dies gilt uneingeschränkt für die elektronische Patientenakte. Ihre wichtigsten Rechte sind:

  • Recht auf Information: Sie müssen transparent darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden.
  • Recht auf Zugriff: Sie können jederzeit einsehen, welche Daten in Ihrer ePA gespeichert sind und wer darauf zugegriffen hat.
  • Recht auf Sperrung (Einschränkung der Verarbeitung): Sie können den Zugriff auf einzelne Dokumente oder Ihre gesamte ePA für bestimmte Leistungserbringer sperren.
  • Recht auf Löschung: Sie können einzelne Dokumente oder die gesamte ePA unwiderruflich löschen lassen.
  • Recht auf Widerspruch: Sie können der Anlage einer ePA von vornherein widersprechen oder der Speicherung bestimmter Daten widersprechen.

Widerspruchsoptionen: Schritt für Schritt zum Widerspruch

Sie haben verschiedene Möglichkeiten, der Nutzung der ePA zu widersprechen. Das Vorgehen hängt davon ab, was Sie erreichen möchten.

Schritt 1: Vollständiger Widerspruch gegen die Anlage der ePA

Wenn Sie grundsätzlich keine elektronische Patientenakte wünschen, müssen Sie dies Ihrer Krankenkasse mitteilen. Ein formloses Schreiben genügt in der Regel. Wichtig ist, dass Sie dies tun, bevor die ePA für Sie angelegt wird, oder auch jederzeit danach, um die Löschung zu veranlassen.

Schritt 2: Widerspruch gegen die Speicherung einzelner Dokumente

Sie können entscheiden, dass bestimmte Befunde oder Informationen nicht in Ihrer ePA gespeichert werden sollen. Teilen Sie dies direkt der behandelnden Praxis oder dem Krankenhaus mit, bevor das Dokument hochgeladen wird.

Schritt 3: Zugriffsberechtigungen verwalten

Über die ePA-App auf Ihrem Smartphone oder alternative Zugangsmöglichkeiten können Sie sehr genau steuern, welche Praxis oder welches Krankenhaus auf welche Dokumente zugreifen darf. Sie können Berechtigungen jederzeit erteilen oder entziehen.

Widerspruchsvorlagen und Formulartexte zum Kopieren

Hier finden Sie Formulierungshilfen, die Sie für Ihren Widerspruch verwenden können. Passen Sie die Vorlagen mit Ihren persönlichen Daten an.

Vorlage: Vollständiger Widerspruch bei der Krankenkasse

[Ihr Name und Ihre Anschrift]
[Ihre Versichertennummer]
[Datum]

An die
[Name und Anschrift Ihrer Krankenkasse]

Betreff: Widerspruch gegen die Einrichtung und Führung einer elektronischen Patientenakte (ePA) gemäß § 342 SGB V

Sehr geehrte Damen und Herren,

hiermit widerspreche ich der Einrichtung und Führung einer elektronischen Patientenakte (ePA) für meine Person. Ich mache von meinem Widerspruchsrecht nach § 342 Abs. 1 S. 2 SGB V Gebrauch.

Ich fordere Sie auf, die Anlage einer ePA für mich zu unterlassen bzw. eine bereits angelegte ePA unverzüglich zu löschen. Bitte bestätigen Sie mir den Erhalt dieses Schreibens und die Umsetzung meines Widerspruchs schriftlich.

Mit freundlichen Grüßen,
[Ihre Unterschrift]

Technische Sicherheitsübersicht: Verschlüsselung und Authentifizierung

Der Schutz Ihrer Gesundheitsdaten hat höchste Priorität. Die elektronische Patientenakte und DSGVO fordern strenge technische und organisatorische Maßnahmen. Die Architektur der ePA wurde von der gematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt.

  • Ende-zu-Ende-Verschlüsselung: Ihre Daten werden auf dem Endgerät (z. B. in der Praxis) verschlüsselt und erst auf Ihrem Endgerät (z. B. Smartphone) wieder entschlüsselt. Weder die Krankenkasse noch der Betreiber des Speichers können die Inhalte lesen.
  • Starke Authentifizierung: Der Zugriff auf die ePA erfordert eine sichere Zwei-Faktor-Authentifizierung. Dies geschieht in der Regel über Ihre elektronische Gesundheitskarte (eGK) mit PIN und ein Smartphone oder über die neue GesundheitsID.
  • Regelmäßige Sicherheitsupdates: Alle beteiligten Systeme unterliegen einer ständigen Überwachung und werden regelmäßig aktualisiert, um Schutz vor neuen Bedrohungen zu gewährleisten.

Organisatorische Maßnahmen von Leistungserbringern und Krankenkassen

Neben der Technik sind klare Prozesse entscheidend. Arztpraxen, Krankenhäuser und Krankenkassen müssen sicherstellen, dass nur befugtes Personal auf die Systeme zugreift. Dies wird durch Zugriffskonzepte, Schulungen zum Datenschutz und die Nutzung sicherer Praxisverwaltungssysteme (PVS) gewährleistet. Jede Institution ist ein eigener Verantwortlicher im Sinne der DSGVO.

Zugangswege ohne Smartphone

Nicht jeder besitzt ein Smartphone. Deshalb gibt es alternative Wege, um Ihre Rechte wahrzunehmen:

  • Vertreterregelung: Sie können eine Vertrauensperson bestimmen, die in Ihrem Namen die ePA verwaltet.
  • Unterstützung durch die Krankenkasse: Ihre Krankenkasse ist verpflichtet, Ihnen alternative Zugangsmöglichkeiten anzubieten. Dies kann beispielsweise über Terminals in Geschäftsstellen oder durch schriftliche Anträge geschehen.
  • Ombudsstellen: Unabhängige Ombudsstellen helfen bei Problemen und vermitteln zwischen Versicherten und Krankenkassen.

Sonderfall: Besonders schützenswerte Daten nach Art. 9 DSGVO

Gesundheitsdaten gehören laut Artikel 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine explizite Rechtsgrundlage oder Ihre Einwilligung vor. Im Fall der ePA bildet das Sozialgesetzbuch (SGB V) zusammen mit dem Digital-Gesetz (DigiG) die Rechtsgrundlage. Der Schutzbedarf ist hier besonders hoch, was die strengen Sicherheitsmaßnahmen erklärt.

Abrechnung und externe Dienstleister: Datenflüsse einfach erklärt

Für die reine Abrechnung von Leistungen werden keine medizinischen Daten aus der ePA verwendet. Die Abrechnung erfolgt weiterhin über die Kassenärztlichen Vereinigungen. Die ePA dient ausschließlich der Behandlungsdokumentation. Die technischen Dienstleister, die den Speicherplatz für die ePA bereitstellen (Aktensystem-Anbieter), sind streng zertifiziert und haben durch die Verschlüsselung keinen Zugriff auf die Inhalte.

Barrierefreiheit und Mindestanforderungen

Die Anwendungen zur Verwaltung der ePA müssen barrierefrei gestaltet sein. Das bedeutet, sie müssen mit Hilfsmitteln wie Screenreadern kompatibel sein und Informationen auch in Leichter Sprache anbieten. Die gesetzlichen Anforderungen an die Barrierefreiheit sollen sicherstellen, dass alle Menschen, unabhängig von körperlichen Einschränkungen, ihre Rechte selbstständig ausüben können.

Praxisbeispiele: Szenarien für Patienten und Ärztinnen/Ärzte

Szenario für eine Patientin

Frau Meier hat eine seltene Erkrankung und wird von mehreren Fachärzten betreut. Sie nutzt ihre ePA, um allen behandelnden Ärzten den aktuellen Befund ihres Spezialisten zur Verfügung zu stellen. Den Zugriff auf psychotherapeutische Gutachten sperrt sie jedoch für alle außer ihrer Psychotherapeutin. So behält sie die Kontrolle und sorgt für eine koordinierte Behandlung.

Szenario für einen Arzt

Dr. Schmidt behandelt einen Notfallpatienten, der nicht ansprechbar ist. Mithilfe des Notfalldatensatzes auf der Gesundheitskarte und, falls freigegeben, dem Zugriff auf die ePA, kann er sich schnell einen Überblick über Vorerkrankungen, Allergien und die aktuelle Medikation verschaffen. Dies kann im Notfall lebensrettend sein.

Tabelle: Welche Stelle für welchen Widerspruch zuständig ist

Anliegen Zuständige Stelle Rechtsverweis (Beispiel)
Vollständiger Widerspruch gegen die Anlage der ePA Eigene gesetzliche Krankenkasse § 342 Abs. 1 S. 2 SGB V
Widerspruch gegen das Einstellen eines bestimmten Dokuments Die jeweilige Arztpraxis / das Krankenhaus (vor dem Upload) Art. 21 DSGVO
Löschung eines bestimmten Dokuments aus der ePA Selbstverwaltung über ePA-App oder alternative Zugänge Art. 17 DSGVO / § 346 SGB V
Beschwerde bei Datenschutzverstößen Der Bundesbeauftragte für den Datenschutz (BfDI) Art. 77 DSGVO

Druckbare Checkliste: Sofortmaßnahmen für Versicherte

  • [ ] Informieren: Lesen Sie die Informationen Ihrer Krankenkasse zur ePA sorgfältig durch.
  • [ ] Entscheiden: Möchten Sie eine ePA nutzen oder widersprechen Sie der Anlage?
  • [ ] Handeln: Falls Sie widersprechen möchten, senden Sie Ihren schriftlichen Widerspruch an Ihre Krankenkasse. Nutzen Sie dafür unsere Vorlage.
  • [ ] App einrichten: Wenn Sie die ePA nutzen möchten, laden Sie die App Ihrer Krankenkasse herunter und richten Sie den Zugang ein.
  • [ ] Berechtigungen prüfen: Machen Sie sich mit den Einstellungen für die Zugriffsberechtigungen vertraut.

Kurz-Glossar rechtlicher Begriffe

  • DigiG: Das Digital-Gesetz, das die rechtlichen Rahmenbedingungen für die Digitalisierung im Gesundheitswesen, einschließlich der ePA, schafft.
  • SGB V: Das Fünfte Buch Sozialgesetzbuch, welches die gesetzliche Krankenversicherung in Deutschland regelt.
  • BfDI: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Die zentrale Aufsichtsbehörde für den Datenschutz auf Bundesebene.
  • BSI: Das Bundesamt für Sicherheit in der Informationstechnik. Es ist die nationale Cybersicherheitsbehörde und legt Sicherheitsstandards für die ePA fest.
  • gematik: Die nationale Agentur für digitale Medizin. Sie ist verantwortlich für die Entwicklung, Prüfung und Zulassung der Telematikinfrastruktur, zu der die ePA gehört.

Weiterführende offizielle Quellen und Anlaufstellen

Für vertiefende und stets aktuelle Informationen empfehlen wir die offiziellen Webseiten der zuständigen Behörden und Ministerien:

Ergänzende Artikel zum Thema

Letzte Prüfung und Haftungsausschluss

Dieser Artikel wurde sorgfältig recherchiert und dient der allgemeinen Information zum Thema Elektronische Patientenakte und DSGVO. Er stellt jedoch keine Rechtsberatung dar und kann eine solche nicht ersetzen. Für verbindliche Auskünfte zu Ihrer persönlichen Situation wenden Sie sich bitte an Ihre Krankenkasse oder eine fachkundige anwaltliche Beratung. Die Verantwortung für die Inhalte liegt bei MUNAS Consulting. Stand: Dezember 2025.