In der heutigen digitalen Welt schreitet auch die Digitalisierung des Gesundheitswesens unaufhaltsam voran. Eine bedeutende Neuerung in diesem Bereich betrifft die elektronische Patientenakte (kurz ePA). Ab dem 15. Januar 2025 wird die ePA für alle gesetzlich Versicherten in Deutschland automatisch eingeführt. Als Datenschutzbeauftragte möchte ich Ihnen einen umfassenden Überblick über dieses wichtige Thema geben und einige datenschutzrechtliche Bedenken thematisieren.
Wichtige Erkenntnisse zur elektronischen Patientenakte im Überblick:

Was ist die ePA und was erwartet uns?
Die elektronische Patientenakte ist eine digitale Sammlung von Gesundheitsdaten eines Patienten. Sie soll Informationen wie Befunde, Diagnosen, Therapiemaßnahmen, Impfungen und Medikationen zentral speichern und für Ärzte, Apotheker und den Patienten selbst zugänglich machen. Ab 2025 wird die ePA für alle gesetzlich Versicherten automatisch eingerichtet, sofern sie nicht aktiv widersprechen (Opt-out-Prinzip). Dies stellt eine grundlegende Änderung gegenüber dem bisherigen Opt-in-Modell dar, bei dem die Versicherten die ePA aktiv beantragen mussten.
Gesetzliche Grundlagen zur ePA
Die Einführung der ePA basiert u.a. auf dem Patientendaten-Schutz-Gesetz (PDSG) von 2020 und dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG). Das PDSG regelte die Einführung der elektronischen Patientenakte ab 2021 auf freiwilliger Basis und definierte die Rechte der Patienten bezüglich der Datenkontrolle in der ePA. Ziel der ePA-Einführung ist es, die Digitalisierung im Gesundheitswesen voranzutreiben und die Patientenversorgung zu verbessern.
Vorteile der elektronischen Patientenakte
Mit der ePA können Sie Ihre Gesundheitsdaten zentral verwalten und mit Ihren Ärzten teilen. Das kann Ihre medizinische Versorgung verbessern, weil Ärzte ein vollständigeres Bild Ihrer Krankengeschichte haben. Sie können auch aktiver in Ihre Behandlung einbezogen werden und selbstständiger mit Ihren Gesundheitsdaten umgehen. Die potenziellen Vorteile der ePA sind somit unter anderem:
Nachteile und Risiken der elektronischen Patientenakte
Die elektronische Patientenakte wirft erhebliche Bedenken hinsichtlich des Datenschutzes und der IT-Sicherheit auf. Ein zentraler Kritikpunkt ist die zentrale Speicherung sensibler Gesundheitsdaten, die ein attraktives Ziel für Cyber-Angriffe darstellt. Die Konzentration personenbezogener medizinischer Daten an einem Ort erhöht das Risiko von Datenlecks und unberechtigten Zugriffen erheblich. Sicherheitsforscher haben bereits gravierende Schwachstellen in der ePA identifiziert, die potenziell den Zugriff auf Millionen von Patientenakten ermöglichen könnten.

Ein weiteres Problem der ePA betrifft Versicherte, die kein Smartphone oder keine eigene ePA-App nutzen können. Obwohl die Krankenkassen verpflichtet sind, Ombudsstellen zur Unterstützung der Versicherten bei Fragen zur ePA einzurichten, bleiben die Möglichkeiten für diese Personengruppe stark eingeschränkt. Bei den Ombudsstellen können zwar Protokolle über die Nutzung und Zugriffe auf die ePA angefordert und Widersprüche gegen die ePA oder einzelne Funktionen eingelegt werden. Es ist dort jedoch nicht möglich, Einsicht in die Inhalte der ePA zu nehmen, Zugriffsrechte auf einzelne Dateien feingranular einzustellen oder einem bestimmten Leistungserbringer gezielt den Zugriff auf einen Anwendungsfall zu verweigern. Für Versicherte ohne eigenes Frontend bedeutet dies, dass sie weiterhin keine eigenständige Möglichkeit haben, ihre ePA vollständig zu verwalten oder Einsicht in ihre Gesundheitsdaten zu nehmen.
Aus datenschutzrechtlicher Sicht ist auch die geplante automatische Einrichtung der ePA ab 2025 nach dem Opt-out-Prinzip sehr kritisch zu sehen. Patienten, die nicht aktiv widersprechen, könnten ungewollt an einem System teilnehmen, dessen Risiken sie möglicherweise nicht vollständig überblicken.
Wir halten also fest, dass trotz der potenziellen Vorteile auch einige Bedenken und Risiken bestehen:
Diese möglichen Risiken unterstreichen die Notwendigkeit, die Sicherheitsmaßnahmen und Datenschutzrichtlinien der ePA kontinuierlich zu überprüfen und zu verbessern, um das Vertrauen der Patienten zu gewährleisten und ihre sensiblen Gesundheitsdaten bestmöglich zu schützen.
Kritische Betrachtung der Sicherheitsaspekte durch den
Chaos Computer Club
Da es sich um sensible Gesundheitsdaten handelt, ist die Sicherheit der ePA ein zentrales Thema. Experten wie der Chaos Computer Club haben auf Schwachstellen der elektronischen Patientenakte hingewiesen. Besonders kritisch wird gesehen, dass der Zugriff auf die ePA ohne PIN-Eingabe möglich sein soll. Dies könnte es Unbefugten erleichtern, an sensible Gesundheitsdaten zu gelangen. Auch der Verkauf von Zugriffsgeräten auf Kleinanzeigenplattformen wie eBay wird als ein Sicherheitsrisiko betrachtet.
Die Gematik GmbH (verantwortlich für die technische Umsetzung der ePA) betont zwar, dass theoretisch mögliche Angriffe praktisch unwahrscheinlich seien. Datenschützer widersprechen dieser Einschätzung jedoch vehement. Denn die Durchführung des Angriffs zeigt, dass dies nicht nur eine theoretische Überlegung ist, sondern eine reale Sicherheitslücke, die aktiv ausgenutzt werden kann.
Es ist wichtig zu betonen, dass diese Sicherheitsbedenken ernst genommen werden müssen. Schließlich handelt es sich bei den personenbezogenen Daten, die in einer ePA gespeichert und übertragen werden, um höchst sensible und damit besonders schützenswerte Gesundheitsdaten gemäß Art. 9 DSGVO. Patienten sollten sich intensiv mit dieser Thematik beschäftigen und ihre persönlichen Risiken für die Entscheidung für oder gegen die ePA abwägen. Gerade für Menschen mit schweren und chronischen Erkrankungen können die Vorteile der ePA trotz Sicherheitslücken und Datenschutzbedenken überwiegen. Dies ist eine höchst individuelle Abwägung, die nicht leichtfertig getroffen werden sollte und die nur die betroffene Person selbst treffen kann.

Rechte und Möglichkeiten für gesetzlich versicherte Patienten
Diese Risiken wecken vermutlich auch bei Ihnen Sorgen um die Sicherheit Ihrer Daten. Als Patientin oder Patient haben Sie im Kontext der elektronischen Patientenakte aber auch einige Rechte und Möglichkeiten, die Ihnen eine selbstbestimmte Nutzung und Kontrolle über Ihre Gesundheitsdaten ermöglichen:
Datenhoheit und Kontrolle
Sie entscheiden, welche medizinischen Daten in Ihrer ePA gespeichert werden und können diese jederzeit selbst hinzufügen oder löschen. Dazu gehören zum Beispiel Arztbriefe, Befunde, Medikationspläne oder auch digitale Versionen von Impfausweisen und Mutterpässen.
Sie können festlegen, wer auf Ihre ePA zugreifen darf. In der ePA-App können Sie für jedes Dokument individuell festlegen, welche Ärzte oder Einrichtungen darauf zugreifen dürfen. Sie können diese Zugriffsrechte jederzeit ändern oder widerrufen.
Jeder Zugriff auf Ihre ePA wird protokolliert. So können Sie nachvollziehen, wer wann auf welche Daten zugegriffen oder neue Dokumente hinzugefügt hat.
Freiwilligkeit und Widerspruchsrecht
Die Verwendung der ePA ist freiwillig. Ab dem 15. Januar 2025 wird sie zwar automatisch eingerichtet (Opt-out-Prinzip), Sie können der Einrichtung aber vorab oder auch nachträglich widersprechen. In diesem Fall wird Ihre ePA gelöscht.
Ihre Entscheidung, die ePA nicht zu nutzen, darf keine negativen Auswirkungen auf Ihre Gesundheitsversorgung haben.
Ihre Rechte gegenüber Ärzten und Krankenkassen
Sie haben das Recht, dass Ihre behandelnden Ärzte relevante medizinische Dokumente in die ePA einstellen, wenn Sie dies wünschen. Gleichzeitig können Sie sie bitten, ältere Dokumente nachträglich hinzuzufügen.
Ihre Krankenkasse ist verpflichtet, Ihnen die Nutzung der ePA kostenlos zu ermöglichen.
Selbst verwalten
- Mit der ePA-App können Sie Ihre Gesundheitsdaten jederzeit einsehen und verwalten - ob über Ihr Smartphone, Ihr Tablet oder Ihren PC.
- Wenn Sie nicht in der Lage sind, Ihre ePA selbst zu verwalten, können Sie einen Vertreter benennen, der dies für Sie übernimmt.
Widerspruch gegen die elektronische Patientenakte
Wie bereits erwähnt, wird in wenigen Tagen ab dem 15.01.2025 für alle gesetzlich Versicherten automatisch die elektronische Patientenakte (ePA) eingerichtet, sofern sie dem nicht aktiv widersprechen. Als Versicherte haben Sie umfassende Möglichkeiten, Ihre Rechte wahrzunehmen und zu widersprechen. Dies gilt sowohl vor Einrichtung der ePA als auch für bereits bestehende Patientenakten.
Wenn Sie der Einrichtung Ihrer ePA widersprechen, wird keine Akte angelegt. Wurde die ePA bereits eingerichtet, können Sie ihre vollständige Löschung beantragen. Darüber hinaus können Sie gezielt einzelne Widersprüche einlegen. So können Sie beispielsweise bestimmten medizinischen Einrichtungen oder Leistungserbringern den Zugriff auf Ihre ePA verweigern, die Speicherung von Medikations- oder Abrechnungsdaten untersagen oder der Nutzung Ihrer Gesundheitsdaten zu Forschungszwecken widersprechen.

Der Widerspruch kann auf verschiedenen Wegen erfolgen: über die ePA-App Ihrer Krankenkasse, schriftlich bei Ihrer Krankenkasse oder über die Ombudsstellen, die von den Krankenkassen eingerichtet wurden, um Versicherte bei Anliegen zur ePA zu unterstützen. Diese Ombudsstellen sind insbesondere für Versicherte ohne Zugang zur ePA-App eine wichtige Anlaufstelle.
Wichtig zu wissen ist, dass ein Widerspruch jederzeit möglich ist und an keine Fristen gebunden ist. Sollten Sie sich später doch für die Nutzung der ePA entscheiden, kann diese wieder eingerichtet werden - allerdings ohne Zugriff auf bereits gespeicherte Daten oder Einstellungen.
Weitere Informationen zu Ihren Rechten und Widerspruchsmöglichkeiten finden Sie auch auf den Seiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Fazit
Die elektronische Patientenakte bietet zweifellos Potenzial für eine verbesserte Gesundheitsversorgung. Sie kann die Koordination zwischen Ärzten erleichtern und Patienten mehr Kontrolle über ihre Gesundheitsdaten geben. Gleichzeitig dürfen die Risiken und Herausforderungen nicht unterschätzt werden. Datenschutzexperten sehen es als kritisch an, dass sensible Gesundheitsdaten möglicherweise nicht ausreichend geschützt sind. Die automatische Einführung der ePA ohne explizite Einwilligung der Versicherten ist aus datenschutzrechtlicher Sicht ebenfalls bedenklich.
Letztlich liegt die Entscheidung bei jedem Einzelnen. Wer die Vorteile der ePA nutzen möchte, sollte dies machen können. Klar ist, dass die Sicherheitsstandards verbessert und die Schwachstellen in den Prozessen geschlossen werden müssen. Gleichzeitig muss die Entscheidung für oder gegen die ePA gleichermaßen respektiert werden.
Wenn Sie Fragen zum Datenschutz in Bezug auf die elektronische Patientenakte haben, können Sie sich gerne über unser Kontaktformular an uns wenden.
Jenny Weigandt
