Patientendaten-Sicherheit: Praxisleitfaden für ePA und Anbieter

Patientendaten-Sicherheit: Praxisleitfaden für ePA und Anbieter

Patientendaten-Sicherheit 2025: Der umfassende Leitfaden für Patienten und Praxen

Inhaltsverzeichnis

Einleitung und Kurzüberblick

Die Digitalisierung des Gesundheitswesens schreitet unaufhaltsam voran. Anwendungen wie die elektronische Patientenakte (ePA) und das E-Rezept sind dabei, den Alltag in Arztpraxen, Krankenhäusern und Apotheken grundlegend zu verändern. Im Zentrum dieser Entwicklung steht ein entscheidendes Thema: die Patientendaten-Sicherheit. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und ihr Schutz hat oberste Priorität. Dieser Leitfaden richtet sich an Patientinnen und Patienten, Leistungserbringer sowie IT-Verantwortliche im Gesundheitssektor. Er beleuchtet die technischen, rechtlichen und praktischen Aspekte der Patientendaten-Sicherheit und zeigt auf, wie ein sicherer und souveräner Umgang mit digitalen Gesundheitsdaten im Jahr 2025 und darüber hinaus gelingt.

Relevanz: Was ändert sich für Patientinnen und Patienten und Leistungserbringer?

Die digitale Transformation bringt für alle Beteiligten erhebliche Veränderungen mit sich. Die Gewährleistung der Patientendaten-Sicherheit ist dabei die Grundlage für das notwendige Vertrauen in die neuen Systeme.

Für Patientinnen und Patienten

Sie erhalten eine nie dagewesene Kontrolle über ihre eigenen Gesundheitsdaten. Mit der ePA können sie selbst entscheiden, welche Ärztin oder welcher Apotheker auf welche Dokumente zugreifen darf – und für wie lange. Diese neue Datenhoheit erfordert jedoch auch ein grundlegendes Verständnis der Sicherheitsmechanismen. Ein sicheres System schützt vor unbefugtem Zugriff und Missbrauch und gibt Patienten die Gewissheit, dass ihre sensiblen Informationen geschützt sind.

Für Leistungserbringer

Arztpraxen, Krankenhäuser und Apotheken stehen vor der Herausforderung, ihre internen Prozesse und IT-Systeme an die neuen digitalen Workflows anzupassen. Sie sind rechtlich und ethisch verpflichtet, die Patientendaten-Sicherheit zu gewährleisten. Das betrifft nicht nur die Anbindung an die zentrale Telematikinfrastruktur, sondern auch die Sicherheit der eigenen lokalen Systeme, die Schulung der Mitarbeitenden und die Etablierung klarer Prozesse für den Umgang mit digitalen Daten.

Rechtlicher Rahmen: DSGVO Art. 9, PDSG und Meldepflichten

Ein solides rechtliches Fundament ist für die Patientendaten-Sicherheit unerlässlich. In Deutschland und der EU regeln mehrere Gesetze den Umgang mit Gesundheitsdaten.

DSGVO und Gesundheitsdaten

Die Datenschutz-Grundverordnung (DSGVO) stuft Gesundheitsdaten in Artikel 9 als „besondere Kategorien personenbezogener Daten“ ein. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine explizite Einwilligung der betroffenen Person oder eine andere gesetzliche Grundlage vor. Die DSGVO stellt hohe Anforderungen an Transparenz, Zweckbindung und Datensicherheit.

Patientendaten-Schutz-Gesetz (PDSG)

Das PDSG konkretisiert die Vorgaben der DSGVO für das deutsche Gesundheitswesen. Es regelt unter anderem die Einführung und Nutzung der ePA und des E-Rezepts. Ein Kernpunkt des Gesetzes ist die Stärkung der Patientenrechte und die Festlegung strenger Sicherheitsstandards für alle Komponenten der Telematikinfrastruktur.

Meldepflichten bei Datenschutzverletzungen

Sowohl die DSGVO als auch das PDSG sehen strenge Meldepflichten vor. Bei einer Verletzung des Schutzes personenbezogener Daten (Data Breach) müssen Verantwortliche diese in der Regel innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde melden. Betroffene Personen müssen ebenfalls informiert werden, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Rollen und Verantwortlichkeiten: Anbieter, Betroffene, Betreiber der Telematikinfrastruktur

Die Patientendaten-Sicherheit ist eine geteilte Verantwortung. Jeder Akteur im System hat eine klar definierte Rolle.

  • Anbieter von Gesundheitsanwendungen: Softwarehersteller (z. B. von Praxisverwaltungssystemen oder ePA-Apps) sind verantwortlich für die sichere Entwicklung und den Betrieb ihrer Produkte. Sie müssen die von der gematik vorgegebenen Sicherheitsstandards erfüllen und zertifizieren lassen.
  • Betroffene (Patientinnen und Patienten): Als „Herren der Daten“ sind sie für die Verwaltung ihrer Einwilligungen und Zugriffsrechte verantwortlich. Ihre Aufgabe ist es auch, ihre Zugangsdaten (z. B. PIN für die Gesundheitskarte) sicher zu verwahren.
  • Betreiber der Telematikinfrastruktur (gematik): Die gematik GmbH ist für die Festlegung der technischen und sicherheitstechnischen Standards der zentralen Infrastruktur verantwortlich. Sie zertifiziert die Komponenten und Dienste, die an die Telematikinfrastruktur (TI) angebunden werden, und stellt deren sicheren Betrieb sicher.

Technische Grundpfeiler: Ende-zu-Ende Verschlüsselung, Authentifizierung und Zugriffskontrollen

Moderne Patientendaten-Sicherheit basiert auf mehreren fundamentalen technologischen Säulen, die das Vertrauen in digitale Gesundheitssysteme erst ermöglichen.

Ende-zu-Ende Verschlüsselung (E2EE)

Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass Daten ausschließlich von Sender und berechtigtem Empfänger gelesen werden können. Die Daten werden direkt auf dem Gerät des Senders (z. B. dem PC in der Arztpraxis) ver- und erst auf dem Gerät des Empfängers (z. B. dem Smartphone des Patienten) wieder entschlüsselt. Selbst der Betreiber der zentralen Server kann die Inhalte nicht einsehen. Dieses Prinzip ist ein Kernmerkmal der ePA.

Authentifizierung und Zugriffskontrollen

Um sicherzustellen, dass nur berechtigte Personen auf Daten zugreifen, sind starke Authentifizierungsmechanismen erforderlich.

  • Zwei-Faktor-Authentifizierung (2FA): Der Zugriff erfordert die Kombination von zwei unterschiedlichen Faktoren, typischerweise Wissen (PIN/Passwort) und Besitz (Gesundheitskarte, Smartphone).
  • Heilberufsausweis (HBA) und Praxisausweis (SMC-B): Leistungserbringer identifizieren sich im System mit diesen speziellen Chipkarten, die eine sichere digitale Identität gewährleisten.
  • Granulare Zugriffskontrolle: Patienten können sehr feingliedrig festlegen, wer welche Daten sehen darf. Beispielsweise kann der Zugriff auf einen bestimmten Arztbrief für eine bestimmte Praxis für die Dauer von 14 Tagen gewährt werden, während andere Dokumente für diese Praxis gesperrt bleiben.

Audit Logging und Nachweisführung: Was protokolliert werden muss

Um Transparenz und Nachvollziehbarkeit zu gewährleisten, muss jeder Zugriff auf Patientendaten protokolliert werden. Diese Protokolle, auch Audit Logs genannt, sind ein zentrales Element der Patientendaten-Sicherheit. Patientinnen und Patienten können in ihrer ePA-App jederzeit einsehen, wer wann auf welche ihrer Dokumente zugegriffen hat oder dies versucht hat. Protokolliert werden müssen mindestens:

  • Wer: Die Identität der zugreifenden Person oder des Systems (z. B. Arzt über HBA).
  • Wann: Datum und Uhrzeit des Zugriffs.
  • Was: Auf welches Dokument oder welchen Datensatz wurde zugegriffen.
  • Welche Aktion: Wurden die Daten gelesen, hinzugefügt oder geändert?

Interoperabilität: Schnittstellen, Zertifizierung und Drittanbieterhaftung

Das Gesundheitssystem besteht aus einer Vielzahl unterschiedlicher IT-Systeme. Damit diese sicher miteinander kommunizieren können, ist Interoperabilität entscheidend. Dies wird durch standardisierte Schnittstellen wie FHIR (Fast Healthcare Interoperability Resources) erreicht. Die gematik stellt sicher, dass alle an die TI angebundenen Systeme diese Standards einhalten und eine strenge Zertifizierung durchlaufen. Anbieter von Drittanwendungen, die auf Daten aus der ePA zugreifen wollen, unterliegen ebenfalls diesen strengen Regeln und haften für die Sicherheit ihrer Anwendungen.

Einwilligungsmanagement praktisch: Formulierungen, Granularität und Widerrufsfluss

Die aktive und informierte Einwilligung des Patienten ist das Herzstück der Datenhoheit.

Formulierungen und Granularität

Einwilligungsabfragen müssen klar, verständlich und präzise formuliert sein. Statt einer pauschalen Freigabe („Ich willige in die Verarbeitung meiner Daten ein“) sind granulare Abfragen der Standard. Ein Patient muss genau wissen, wofür er seine Zustimmung gibt. Beispiel: „Dr. Muster bittet um Zugriff auf Ihren Laborbericht vom 15.01.2025. Der Zugriff ist für 30 Tage gültig. Möchten Sie zustimmen?“

Der Widerrufsfluss

Eine einmal erteilte Einwilligung muss jederzeit einfach und ohne Nachteile widerrufen werden können. In der ePA-App muss es eine übersichtliche Verwaltung aller erteilten Berechtigungen geben. Mit einem Klick muss ein Zugriff sofort beendet werden können. Dieser Widerruf wird technisch umgehend im System umgesetzt.

UI-Beispiele: Consent-Dialoge, Granulare Zugriffssteuerung

Um die Konzepte greifbarer zu machen, hier Beschreibungen von typischen Benutzeroberflächen (User Interfaces), die eine hohe Patientendaten-Sicherheit unterstützen:

  • Consent-Dialog (Einwilligungs-Dialog): Wenn eine Praxis auf Daten zugreift, erhält der Patient eine Push-Nachricht auf sein Smartphone. Beim Öffnen der App erscheint ein Fenster, das klar und deutlich anzeigt: Name der Praxis, Name des anfragenden Arztes, Art des Dokuments (z. B. „Arztbrief Kardiologie“), und der beantragte Gültigkeitszeitraum. Darunter befinden sich zwei große, eindeutige Schaltflächen: „Zugriff gewähren“ und „Ablehnen“.
  • Granulare Zugriffssteuerung: Innerhalb der App gibt es einen Bereich namens „Meine Berechtigungen“. Dort sieht der Nutzer eine Liste aller Praxen und Ärzte, denen er Zugriff erteilt hat. Jeder Eintrag ist ausklappbar und zeigt detailliert an, welche Dokumentkategorien (z. B. Befunde, Arztbriefe, Medikationsplan) freigegeben sind und bis wann. Neben jedem Eintrag befindet sich ein Schalter oder eine Schaltfläche, um die Berechtigung sofort zu widerrufen.

Praxisworkflows: ePA und eRezept aus Sicht von Patientin und Leistungserbringer

Workflow der elektronischen Patientenakte (ePA)

  1. Patient: Der Patient entscheidet, welche Dokumente er in seiner ePA speichern möchte.
  2. Leistungserbringer: In der Praxis steckt der Arzt seinen HBA und der Patient seine elektronische Gesundheitskarte (eGK) ins Lesegerät.
  3. Patient: Der Patient gibt am Terminal seine PIN ein, um den Zugriff für die aktuelle Behandlungssitzung freizuschalten. Alternativ kann er den Zugriff auch über seine ePA-App auf dem Smartphone gewähren.
  4. Leistungserbringer: Der Arzt kann nun die freigegebenen Dokumente einsehen und neue Dokumente (z. B. einen Arztbrief) hochladen.
  5. System: Jeder Zugriff wird manipulationssicher protokolliert.

Workflow des E-Rezepts

  1. Leistungserbringer: Der Arzt erstellt das Rezept im Praxisverwaltungssystem und signiert es digital mit seinem HBA. Das E-Rezept wird zentral und sicher auf einem Server der Telematikinfrastruktur gespeichert.
  2. Patient: Der Patient erhält einen Rezept-Code, entweder als Ausdruck oder direkt in seine E-Rezept-App.
  3. Patient in der Apotheke: Der Patient zeigt den Code (QR-Code) in der Apotheke vor oder löst das Rezept digital über die App ein.
  4. Apotheke: Die Apotheke scannt den Code, ruft das Rezept sicher vom Server ab und gibt das Medikament aus. Das Rezept wird als „eingelöst“ markiert.

Breach Management: Meldefristen, Sofortmaßnahmen und Dokumentationsvorlage

Trotz aller Vorkehrungen kann es zu einer Datenschutzverletzung kommen. In diesem Fall ist ein schnelles und strukturiertes Vorgehen entscheidend.

  • Sofortmaßnahmen: Die Sicherheitslücke muss umgehend geschlossen werden, um weiteren Schaden zu verhindern (z. B. System vom Netz nehmen, Zugriffsrechte entziehen).
  • Analyse und Bewertung: Das Ausmaß des Vorfalls und das Risiko für die betroffenen Personen müssen bewertet werden.
  • Meldung: Die zuständige Datenschutzaufsichtsbehörde muss innerhalb von 72 Stunden nach Bekanntwerden informiert werden. Die Meldung sollte Art der Verletzung, Anzahl der Betroffenen, mögliche Folgen und ergriffene Maßnahmen enthalten.
  • Benachrichtigung der Betroffenen: Besteht ein hohes Risiko für die Betroffenen, müssen diese unverzüglich informiert werden.
  • Dokumentation: Der gesamte Vorfall, von der Entdeckung über die Analyse bis zu den ergriffenen Maßnahmen, muss lückenlos dokumentiert werden.

Checkliste für Leistungserbringer: Technische und organisatorische Mindestanforderungen

Praxen und Kliniken können mit dieser Checkliste ihre Patientendaten-Sicherheit überprüfen:

Technische Anforderungen

  • Ist ein aktueller Virenscanner auf allen Systemen installiert?
  • Ist die Firewall aktiv und korrekt konfiguriert?
  • Werden regelmäßig Sicherheitsupdates für Betriebssysteme und Software eingespielt?
  • Werden starke, einzigartige Passwörter verwendet und regelmäßig geändert?
  • Ist der Zugriff auf das Praxisnetzwerk durch eine Zwei-Faktor-Authentifizierung geschützt?
  • Werden regelmäßig verschlüsselte Backups der wichtigen Daten erstellt?
  • Ist der physische Zugang zu Servern und wichtigen Geräten beschränkt?

Organisatorische Anforderungen

  • Gibt es einen benannten Datenschutzbeauftragten?
  • Werden alle Mitarbeitenden regelmäßig zum Thema Datenschutz und Datensicherheit geschult?
  • Gibt es klare Richtlinien für den Umgang mit mobilen Geräten und Datenträgern?
  • Ist das Berechtigungskonzept nach dem Minimalprinzip aufgebaut (jeder sieht nur, was er für seine Arbeit braucht)?
  • Existiert ein dokumentierter Prozess für den Fall einer Datenschutzverletzung (Breach Management)?

Barrierefreiheit und verständliche Kommunikation

Patientendaten-Sicherheit muss für alle Menschen zugänglich und verständlich sein. Das bedeutet, dass digitale Gesundheitsanwendungen barrierefrei gestaltet sein müssen (z. B. nach den WCAG-Richtlinien). Informationen zum Datenschutz und zur Sicherheit sollten in einfacher und klarer Sprache formuliert werden. Bei Bedarf sollten sie auch in mehreren Sprachen oder in alternativen Formaten (z. B. für Menschen mit Sehbehinderung) zur Verfügung stehen.

Glossar

  • ePA (elektronische Patientenakte): Ein digitaler, persönlicher und lebenslanger Speicher für Gesundheitsdaten, auf den nur der Patient und von ihm berechtigte Personen zugreifen können.
  • Telematikinfrastruktur (TI): Das zentrale, sichere Netzwerk des deutschen Gesundheitswesens, das alle Akteure (Praxen, Krankenhäuser, Apotheken, Krankenkassen) miteinander verbindet.
  • Datenspende: Die freiwillige und pseudonymisierte Bereitstellung von Gesundheitsdaten aus der ePA für Forschungszwecke. Dies erfordert eine separate, explizite Einwilligung.
  • Portabilität: Das Recht von Patientinnen und Patienten, ihre Daten (z. B. beim Wechsel der Krankenkasse) in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Anbieter zu übertragen.

Häufige Fragen von Patientinnen und Patienten

Wer kann meine Daten in der ePA sehen?

Grundsätzlich nur Sie selbst. Sie entscheiden aktiv, welcher Praxis oder welchem Krankenhaus Sie für welchen Zeitraum Zugriff auf welche Dokumente gewähren. Ohne Ihre explizite Freigabe (z. B. per PIN oder App) kann niemand Ihre Daten einsehen.

Was passiert, wenn ich mein Smartphone mit der ePA-App verliere?

Allein der Besitz des Smartphones reicht nicht aus, um auf Ihre Daten zuzugreifen. Der Zugriff auf die App ist zusätzlich durch eine PIN, einen Fingerabdruck oder eine Gesichtserkennung geschützt. Zudem können Sie den Zugang über Ihre Krankenkasse sperren lassen.

Bin ich verpflichtet, die ePA zu nutzen?

Die Nutzung der ePA ist freiwillig. Sie entscheiden selbst, ob und in welchem Umfang Sie die digitalen Angebote nutzen möchten.

Quellen und weiterführende Links

Für detaillierte und offizielle Informationen zur Patientendaten-Sicherheit und den rechtlichen Rahmenbedingungen empfehlen wir die folgenden Webseiten:

Hinweis zu Munas Consulting

Dieser Artikel dient der allgemeinen Information und Aufklärung zum Thema Patientendaten-Sicherheit. Er wurde mit größter Sorgfalt von den Experten von Munas Consulting erstellt, um ein komplexes Thema verständlich darzustellen. Der Inhalt stellt keine Rechtsberatung dar und kann eine individuelle Beratung durch qualifizierte Fachleute nicht ersetzen.