elektronische Patientenakte (ePA)
Was ist die elektronische Patientenakte (ePA)?
Alle gesetzlichen Krankenkassen sind verpflichtet, ab dem 15.01.20251) für ihre Versicherten elektronische Patientenakten (ePA) anzulegen, sofern diese nicht widersprechen (Opt-out).
Grundsätzlich ist die ePA als lebenslange Akte konzipiert. Die darin gesammelten Informationen werden auf zentralen Servern in der Telematikinfrastruktur abgelegt (siehe „Wo ist die ePA gespeichert?“ ) . Dadurch können alle Zugriffsberechtigten diese Daten abrufen. Zusätzlich sollen die Daten an das Forschungsdatenzentrum-Gesundheit weitergegeben werden.
1) bis zu diesem Datum richtet die Krankenkasse eine ePA nur auf Verlangen der Versicherten ein (Opt-in).
Wann und wie soll die ePA eingeführt werden?
Die bundesweite Einführung der Opt-out-ePA war für den 15. Januar 2025 angekündigt. Dieser gesetzlich vorgesehene Starttermin wird voraussichtlich nur in zwei Modellregionen (Hamburg und Franken) eingehalten werden. Mindestens 6 Wochen zuvor müssen die Krankenkassen ihre Versicherten über die ePA und die Widerspruchsmöglichkeiten informieren. Diese Information wird im Laufe des Jahres 2024 erfolgen.
Ohne Widerspruch wird die ePA eingerichtet, befüllt und genutzt. Die ePA kann grundsätzlich auch später noch gelöscht werden (siehe Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?)
Wer bekommt eine ePA?
Alle gesetzlich Versicherten, auch Kinder.
Für Neugeborene wird eine ePA angelegt, sobald eine Anmeldung zur Familienversicherung bei der gesetzlichen Krankenkasse eingegangen ist und die Eltern keinen Widerspruch gegen die ePA ausgesprochen haben. Derzeit ist uns nicht bekannt, ob aktiv über die Widerspruchsmöglichkeit vorab informiert wird.
Eine bereits vorhandene ePA kann weiterhin genutzt werden. Dabei wird deren Verschlüsselung auf das Niveau der neuen ePA abgeschwächt.
Private Krankenversicherungen können ihren Versicherten eine digitale Akte unter Nutzung der Telematikinfrastruktur anbieten.
Welche Daten sollen in der ePA gespeichert werden?
Medizinische Informationen über den Versicherten, insbesondere
- Befunde, Diagnosen, durchgeführte und geplante Therapiemaßnahmen, Vorsorgeuntersuchungen, Behandlungsberichte usw.,
- elektronischer Medikationsplan,
- elektronische Notfalldaten / Patientenkurzakte,
- elektronische Arztbriefe,
- elektronisches Zahn-Bonusheft,
- elektronisches Untersuchungsheft für Kinder,
- elektronischer Mutterpass,
- elektronische Impfdokumentation,
- durch den Versicherten zur Verfügung gestellte Gesundheitsdaten,
- Daten aus einer eventuell vorhandenen elektronischen Gesundheitsakte (eGA),
- Daten von den Krankenkassen über in Anspruch genommene Leistungen,
- Daten aus Digitalen Gesundheitsanwendungen (DiGA),
- Daten zur pflegerischen Versorgung aus Digitalen Pflegeanwendungen (DiPA),
- Rezepte (Verordnungsdaten und Dispensierinformationen elektronischer Verordnungen),
- Bescheinigungen über Arbeitsunfähigkeit,
- sonstige von Behandelnden für den Versicherten bereitgestellte Daten.
Für hochsensible Daten (zu psychischen Erkrankungen, sexuell übertragbaren Krankheiten und Schwangerschaftsabbrüchen) gilt:
- Patienten können im unmittelbaren Behandlungskontext widersprechen, dass diese Daten in die ePA eingestellt werden.
- Ärzte und Psychotherapeuten müssen die Patienten auf das Recht zum Widerspruch hinweisen und sie müssen den Widerspruch nachprüfbar in ihrer Behandlungsdokumentation protokollieren.
Für Ergebnisse von genetischen Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes gilt:
- Diese dürfen in der ePA nur dann gespeichert werden, wenn der Patient explizit eingewilligt hat.
- Die Einwilligung muss ausdrücklich und schriftlich oder in elektronischer Form vorliegen.
Quelle: https://www.kbv.de/media/sp/PraxisInfoSpezial_ePA2025_FAQ.pdf
Wer hat Zugriff auf die Daten, sofern der Patient nicht widerspricht?
Zugriffsberechtigte Personen laut § 352 SGB V sind, sofern sie in einem Behandlungsverhältnis mit dem Patienten stehen:
- Ärzte,
- deren Arztgehilfen inkl. Azubis,
- Zahnärzte,
- deren Zahnarztgehilfen inkl. Azubis,
- Apotheker,
- deren Apothekergehilfen inkl. Azubis,
- Psychotherapeuten,
- deren Gehilfen inkl. Azubis,
- Krankenpfleger und Kinderkrankenpfleger,
- Altenpfleger,
- Pflegefachfrauen und Pflegefachmänner,
- Kranken- und Altenpflegehelfer,
- Hebammen,
- Heilmittelerbringer (z.B. Physiotherapeuten, Logopäden, Ergotherapeuten, Ernährungsberater oder Podologen),
- deren Gehilfen inkl. Azubis,
- Ärzte im Öffentlichen Gesundheitsdienst,
- Mitarbeiter des Öffentlichen Gesundheitsdienstes,
- Fachärzte für Arbeitsmedizin und Betriebsärzte,
- Notfallsanitäter.
Die Dauer der Zugriffsberechtigung beginnt mit dem Einstecken der elektronischen Gesundheitskarte des Patienten und beträgt für Berechtigte nach Ziffer 1-4 und 7-15 jeweils 90 Tage, für alle anderen 3 Tage (siehe SGB V § 342 Abs. 2 lit. l).
Patienten können den Zugriff für einzelne Dokumente, medizinische Fachbereiche oder Behandelnde sperren, siehe Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?
Zusätzlich werden die Daten für Forschungsdatenzentrum-Gesundheit weitergegeben.
an dasWie können Versicherte auf ihre ePA selbst zugreifen?
Wenn Versicherte ohne die Hilfe zugriffsberechtigter Personen auf ihre ePA zugreifen wollen, benötigen sie eine App ihrer Krankenkasse. Es können Daten der ePA eingesehen und Inhalte selbst eingestellt und gelöscht werden. Zusätzlich können erweiterte Einstellungsmöglichkeiten vorgenommen werden, z.B. den Zugriff für einzelne Behandelnde oder für medizinische Fachrichtungen einschränken.
Wenn ein Versicherter seine ePA nicht persönlich verwalten kann oder will, kann er bis zu fünf Vertreter benennen.
Zugriffsverfahren
- per Smartphone:
- per elektronischer Gesundheitskarte (eGK) + PIN + ePA-App,
- für ePA- oder eRezept-App (oder sonstige Apps von Drittanbietern) ist die Authentisierung künftig auch ohne eGK und ohne PIN möglich, nach einer sicheren schriftlichen oder elektronischen Erklärung des Versicherten, dieses Verfahren nutzen zu wollen.
- per Computer zu Hause
- künftig soll der Zugriff auf die ePA auch über eine Desktop-App möglich sein. (ab ePA Version 3.1, diese ist für 15.07.2025 angekündigt.) Hierfür ist ein Kartenlesegerät erforderlich.
- per GesundheitsID
- kartenlos per digitaler Identität (siehe „Was ist die GesundheitsID“),
Können Versicherte eine ePA ohne ePA-App nutzen?
Versicherte ohne ePA-App können nicht selbst direkt auf ihre ePA zugreifen. Die Krankenkassen richten aber Ombudsstellen ein. Diese können im Auftrag der Versicherten Widersprüche durchsetzen, Zugriffsbeschränkungen in deren ePA setzen sowie die Protokolldaten aus der ePA bereitstellen. Eine Ombudsstelle ist nicht in der Lage, auf die medizinischen Daten der ePA zuzugreifen.
Darüber hinaus können die Versicherten in Apotheken im Rahmen der assistierten Telemedizin Einsicht in die Daten der ePA nehmen und Dokumente löschen lassen.
Was ist die GesundheitsID?
Die GesundheitsID ist eine digitale Identität für das deutsche Gesundheitswesen. Sie kann alternativ zur elektronischen Gesundheitskarte (eGK) als Versicherungsnachweis und zur Authentisierung für den Zugriff auf die ePA und weitere Anwendungen (z.B. DiGAs, Patientenportale und Terminservices) genutzt werden.
Die GesundheitsID umfasst auch persönliche Daten wie Krankenversicherungsnummer (KVNR), Name und Geburtsdatum.
Auch Behandelnde und deren Institutionen sollen perspektivisch eine GesundheitsID als Identitätsnachweis nutzen können.
Unklar ist, wie die Benutzung der GesundheitsID vonstatten gehen soll. Unklar ist auch, wie sich die GesundheitsID zu der allgemeinen elektronischen Identität verhält, die von der EU parallel eingeführt wird.
Welche Alternativen zur ePA gibt es?
Eine Möglichkeit ist wie bisher eine selbstgeführte Patientenakte in der Hand des Patienten:
Ärzte, Krankenhäuser, Therapeuten und andere Behandelnde sind gemäß BGB § 630g verpflichtet, Ihnen eine Kopie Ihrer Behandlungsunterlagen digital oder auf Papier auszuhändigen, so dass Sie Ihre eigene Patientenakte führen können. Die erste Kopie ist laut Entscheidung des Europäischen Gerichtshofs vom 26. Oktober 2023 für den Patienten kostenlos. Die Sicherheit der Daten in Ihrer selbstgeführten Akte haben Sie selbst in der Hand.
Darüber hinaus gibt es Vorschläge für dezentrale, resiliente und datenschutzfreundliche Patientenakten, die die derzeitige ePA ersetzen könnten. IT-Sicherheitsexperte Thomas Maus stellt in einem Vortrag einen solchen Entwurf sehr umfassend vor: https://tube.tchncs.de/w/7eKWkzn1pS7EgNi5rS6Xh5
Widerspruch (Opt-out)
Was bedeutet Opt-out?
Opt-out kommt aus dem Englischen und bedeutet „nicht mitmachen“ bzw. bezogen auf die ePA „widersprechen“.
Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?
Widerspruch gegen … | Wo kann man widersprechen? |
---|---|
Anlage der ePA | Krankenkasse |
bestehende ePA | ePA-App, Krankenkasse |
Zugriff einzelner Behandelnder auf die ePA | ePA-App, Ombudsstelle |
Einstellen von Daten und Dokumenten durch Behandelnde 1) | Behandelnde |
Teilnahme am digital gestützten Medikationsprozess | ePA-App, Ombudsstelle |
Einstellen von E-Rezept-Daten | ePA-App, Ombudsstelle |
Einstellen von Abrechnungsdaten durch die Krankenkassen | ePA-App, Krankenkasse |
Weitergabe aller ePA-Daten an das Forschungsdatenzentrum Gesundheit zur Sekundärnutzung (z.B. für Forschung, Innovation und Statistik).2) | ePA-App, Ombudsstelle |
1) Bei Daten des Versicherten, deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektioen, psychischen Erkrankungen und Schwangerschaftsabbrüchen, müssen Behandelnde vor Übermittlung in die ePA auf das Widerspruchsrecht hinweisen. Für Gendaten ist eine ausdrückliche Einwilligung des Patienten (schriftlich oder elektronisch) notwendig
2) Ab ePA Version 3.1 – diese ist für 15.07.2025 angekündigt – kann gegen alle oder auch nur gegen einzelne Nutzungszwecke (vgl. SGB V § 303e ) widersprochen werden.
Welcher weiteren Verarbeitung von Gesundheitsdaten können Versicherte widersprechen?
Unabhängig von der ePA dürfen die Krankenkassen künftig die Abrechnungsdaten ihrer Versicherten auswerten, um persönliche Gesundheitsrisiken zu erkennen und den Betroffenen mitzuteilen. Auf diese Weise können sich Krankenkassen mit Empfehlungen in die Behandlung ihrer Versicherten einmischen und dabei ihre eigenen Ziele verfolgen, z.B. Kosten zu sparen. Die Versicherten sind mindestens vier Wochen vor Beginn dieser Auswertung zu informieren und können auch schon vorher Widerspruch dagegen einlegen. Hierfür können Sie unseren Widerspruchsgenerator gegen Risikosuche benutzen.
Welche Widerspruchvariante empfehlen Sie?
Wir empfehlen sowohl das vollständige Opt-out aus der ePA ( Widerspruch gegen elektronische Patientenakte (ePA) ), als auch das Opt-out aus der Auswertung der Abrechnungsdaten durch die Krankenkassen für personalisierte Empfehlungen ( Widerspruch gegen Risikosuche ).
Hinweis: Sobald der Europäische Gesundheitsdatenraum (EHDS) beschlossen ist, werden voraussichtlich zusätzliche Widersprüche notwendig werden.
Widerspruchsgeneratoren
Was leisten die Widerspruchsgeneratoren?
Sie vereinfachen das Opt-out und erzeugen fertige Widerspruchsschreiben für die Krankenkasse.
Siehe Widerspruchsgeneratoren
Sicherheit und Datenschutz
Wo ist die ePA gespeichert?
Die Daten der ePA werden zentral für jede Krankenkasse in Aktensystemen in der sogenannten Telematikinfrastruktur gespeichert. Dabei handelt es sich um eine digitale Infrastruktur zur Datenübermittlung/-speicherung im Gesundheitswesen.
Aufgebaut und betrieben wird die Telematikinfrastruktur unter der Regie der gematik GmbH („Nationale Agentur für Digitale Medizin“). Diese befindet sich mehrheitlich im Besitz des Bundesgesundheitsministeriums, daneben sind Verbände der Ärzte, Zahnärzte, Apotheken- und Krankenhausbetreiber usw. beteiligt.
Welches Risiko ergibt sich aus der zentralen Datenspeicherung?
Gesundheitsdaten zählen zu den intimsten und gleichzeitig für Hacker lukrativsten Daten. Für eine komplette Patientenakte werden auf dem Schwarzmarkt zwischen 60 € und 150 € gezahlt (siehe: https://www.fiff.de/publikationen/fiff-kommunikation/fk-2020/fk-2020-2/fk-2020-2-content/fk-2-20-p29.pdf ). Eine zentrale Datenspeicherung ist daher ein sehr attraktives Ziel für Hacker. In der Vergangenheit waren bereits mehrere zentralisierte europäische Gesundheitssysteme von umfangreichen Datenpannen betroffen, wie zum Beispiel:
- https://www.heise.de/news/Estland-Fast-700-000-Kunden-von-Apothekendienstleister-abgeflossen-9677527.html
- https://www.heise.de/news/Estland-10-000-Menschen-von-Gendaten-Leak-betroffen-9577868.html
- https://patientenrechte-datenschutz.de/frankreich-33-mio-mitglieder-von-krankenkassen-von-hackerangriff-betroffen/
Wie sicher ist die Verschlüsselung der ePA?
Die kryptographischen Schlüssel für die ePA werden in der Telematikinfrastruktur erzeugt und gespeichert. Der Versicherte hat keinen Einfluss darauf und kann diese Schlüssel selbst nicht ändern. Für die neue ePA gilt zusätzlich, dass der Zugriff auf die ePA-Daten auch ohne Mitwirkung des Versicherten zweckbezogen erlaubt ist, z.B. zur Ausleitung von Daten an das Forschungsdatenzentrum Gesundheit.
Außerdem können die Zugriffsrechte – ohne irgendein technisches Hindernis – jederzeit gesetzlich geändert werden. Dies ist seit 2003 in der Architektur so angelegt und ebenso lange äußern verschiedene Interessenten (u.a. die Polizei) den Wunsch, diese Zugriffsrechte zu erhalten.
Auch wird beim Wechsel von der ePA 2.6 (bisher) zur ePA 3.0 (ab 15. Januar 2025) die Verschlüsselung abgeschwächt: Bisher waren zwei individuelle Schlüssel je Versicherten für den Zugriff auf die ePA erforderlich. Diese wurden von zwei unterschiedlichen Schlüsselgenerierungsdiensten innerhalb der Telematikinfrastruktur zufällig erzeugt.
Künftig hat jede Krankenkasse zwei Masterkeys (für Zugriffsberechtigungen bzw. für Daten), aus denen zusammen mit einem „aktenspezifischen Merkmal“ (Krankenversichertennummer) der Berechtigungs- und der Datenschlüssel für jede einzelne ePA abgeleitet wird. Diese aktenspezifischen Schlüssel nutzen der Versicherte und sonstige Zugriffsberechtigte für den Zugriff auf die ePA.
Sind die Daten dauerhaft geschützt?
Verschlüsselungsalgorithmen veralten relativ schnell und sind dann nicht mehr sicher. Abgegriffene, verschlüsselte ePA-Daten können also gespeichert und zu einem späteren Zeitpunkt entschlüsselt werden, wenn der verwendete Algorithmus gebrochen ist (siehe auch https://en.wikipedia.org/wiki/Harvest_now,_decrypt_later ).
Welche Schäden können entstehen, wenn Hacker Gesundheitsdaten stehlen?
Entwendete Daten können für Identitätsdiebstahl, Erpressung, Rufschädigung oder Diskriminierung bei der Vergabe von Krediten, Versicherungen, Arbeitsplätzen usw. missbraucht werden. Im Extremfall kann dies sogar zu Suiziden führen – wie nach dem Hack einer psychotherapeutischen Datenbank in Finnland: https://www.golem.de/news/urteil-im-vastaamo-hack-verraeterische-transaktionen-2404-183845.html (Seite 2 von 4)
Eine Krankengeschichte kann man nicht wie ein Bankkonto wechseln. Deswegen können geleakte Gesundheitsdaten dem Betreffenden lebenslang Probleme bereiten. Bei Informationen über z.B. genetisch bedingte Erkrankungen oder Risikoprofile (familiäre Vorbelastungen) können auch Verwandte betroffen sein – über Generationen hinweg (z.B. Vater hatte einen Herzinfarkt, das bedeutet ein erhöhtes Risiko für die Nachkommen).
Wer ist für den Datenschutz der ePA verantwortlich?
Für den Datenschutz der ePA ist der Anbieter verantwortlich, also die jeweilige Krankenkasse. Wenn eine Krankenkasse einen IT-Dienstleister mit dem Betrieb der ePA beauftragt, bleibt sie trotzdem in der Verantwortung zum Datenschutz. Ansprechpartner für alle Fragen zum Datenschutz der ePA ist die Krankenkasse. Kontaktdaten finden Sie in der Datenschutzerklärung auf der Webseite Ihrer Krankenkasse.
Für die Verarbeitung der ePA-Daten in der Telematikinfrastruktur (siehe Wo ist die ePA gespeichert?) sind die gematik und ggf. die sogenannten Diensteanbieter verantwortlich. Die unscharfe Trennung der Verantwortlichkeiten wird von Datenschützern kritisiert, siehe https://ddrm.de/laesst-sich-verantwortung-bis-zur-unkenntlichkeit-aufsplitten/
Widerspricht Opt-out der informationellen Selbstbestimmung?
Mit dem historisch bedeutsamen Volkszählungsurteil vom 15. Dezember 1983 formulierte das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung, das sich aus der Menschenwürde des Art. 1 GG und dem Recht auf freie Entfaltung der Persönlichkeit nach Art. 2 Abs. 1 GG ableitet. Opt-out-Verfahren sind grundsätzlich problematisch, da zahlreiche Bevölkerungsgruppen nicht das Wissen, die Ressourcen oder die Kraft haben, Widerspruch einzulegen. Deren Recht auf informationelle Selbstbestimmung wird dadurch de facto ausgehebelt.
Wenn das Opt-out-Verfahren für die ePA eingeführt wird, steht zu erwarten, dass es auch in vielen anderen Lebensbereichen zum Standard wird: Da es sich bei Gesundheitsdaten als Präzedenzfall um die persönlichsten Daten handelt, sind die Hürden für andere, weniger kritische Daten, eher niedriger. Aktuell (Juni 2024) ist eine Opt-out-Regelung für Organspenden in der Diskussion. Mittelfristig wird dies dazu führen, dass niemand mehr eine umfassende Übersicht hat, wann und wo Widersprüche möglich sind. Im Zweifel werden Einzelne versuchen, bestmöglich überall zu widersprechen, da es zeitlich und fachlich gar nicht möglich sein dürfte, sämtliche Themenbereiche mit ihren Auswirkungen vollständig erfassen zu können. Oder es wird der Einfachheit halber die Beschäftigung mit der komplexen Thematik vermieden und die Möglichkeit zum Widerspruch generell nicht wahrgenommen. Letztlich wird das Recht auf informationelle Selbstbestimmung mit der Opt-out-Regelung ausgehöhlt.
Sonstiges
Was sind die Abrechnungsdaten der Krankenkassen (auch „Leistungsdaten“ oder „Versorgungsdaten“ genannt)?
Nach jedem Arzt-, Therapeuten-, Apotheken- usw. Besuch eines Versicherten erhalten die Krankenkassen Daten zur Abrechnung der erbrachten Behandlungen oder Leistungen (einschließlich Diagnosen, Rezepte und andere Verordnungen). Diese Daten wurden früher durch die regionalen Kassenärztlichen Vereinigungen anonymisiert, gehen aber seit Einführung der „Patientenquittung“ im Jahr 2012 personenbezogen an die Krankenkassen. Die Abrechnungsdaten werden zukünftig automatisiert in die ePA übertragen, so dass alle Behandelnden einen schnellen Gesamt-Überblick bekommen können. Dies bedeutet aber auch, dass z.B. die Apotheke sehen kann, wenn Sie in psychiatrischer Behandlung sind oder Ihre Zahnärztin erfährt, wann Sie zuletzt beim Frauenarzt waren. Dem Einstellen der Abrechnungsdaten in die ePA kann man widersprechen, siehe Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?
Unabhängig von der ePA dürfen die Krankenkassen künftig die Abrechnungsdaten ihrer Versicherten auswerten, um persönliche Gesundheitsrisiken zu erkennen und den Betroffenen mitzuteilen, siehe Welcher weiteren Verarbeitung von Gesundheitsdaten können Versicherte widersprechen?
(Falls Sie wissen wollen, was Ihre Krankenkasse über Sie gespeichert hat, können Sie eine Anfrage nach Art. 15 der EU Datenschutz-Grundverordnung (DSGVO) stellen. Hierfür können Sie einen Anfragegenerator benutzen.)
Was ist die Ombudsstelle?
Die Ombudsstellen der gesetzlichen Krankenkassen wurden eingerichtet, um die Versicherten in allen Fragen im Zusammenhang mit der ePA zu beraten und zu unterstützen, z.B. bei der Umsetzung von Widersprüchen, siehe „Können Versicherte eine ePA ohne ePA-App nutzen?
Verwendete Quellen
Fachkonzept elektronische Patientenakte für alle
Übergreifende Spezifikation Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur
37C3: Von der ePA zum EHDS: 7 Thesen zur aktuellen digitalen Gesundheitspolitik
KBV PraxisInfoSpezial Die elektronische Patientenakte ab 2025 Fragen und Antworten