Häufig gestellte Fragen (FAQ)

Disclaimer:
Im Folgenden wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Selbstverständlich sind immer alle Geschlechter gemeint.

elektronische Patientenakte (ePA)

Was ist die elektronische Patientenakte (ePA)?

Alle gesetzlichen Krankenkassen sind verpflichtet, ab dem 15.01.20251) für ihre Versicherten elektronische Patientenakten (ePA) anzulegen, sofern diese nicht widersprechen (Opt-out).

Grundsätzlich ist die ePA als lebenslange Akte konzipiert. Die darin gesammelten Informationen werden auf zentralen Servern in der Telematikinfrastruktur abgelegt (siehe „Wo ist die ePA gespeichert?“ ) . Dadurch können alle Zugriffsberechtigten diese Daten abrufen. Zusätzlich sollen die Daten an das Forschungsdatenzentrum-Gesundheit weitergegeben werden.

1) bis zu diesem Datum richtet die Krankenkasse eine ePA nur auf Verlangen der Versicherten ein (Opt-in).

Wann und wie soll die ePA eingeführt werden?

Im Gesetz ist der Termin, ab dem alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) erhalten sollen, verbindlich festgeschrieben: 15.01.2025 (siehe § 342 Abs. 1 des Sozialgesetzbuchs, Fünftes Buch, SGB V).

Die gesetzlichen Krankenkassen müssen ihre Versicherten spätestens sechs Wochen vor dem 15. Januar 2025 umfassend über die elektronische Patientenakte (ePA) informieren. Das konkrete Datum für den Beginn dieser Informationsfrist war somit der 4. Dezember 2024. Die Informationspflicht der Krankenkassen ist in § 343 SGB V detailliert geregelt. Demnach müssen die Krankenkassen ihren Versicherten „umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung […] stellen“. Diese Frist ist inzwischen abgelaufen – ohne dass die Krankenkassen-Mitglieder alle vorgeschriebenen Informationen erhalten hätten.

Nun wird die Einführung der ePA für alle Regionen Deutschlands, mit Ausnahme von Hamburg, Franken und NRW, auf unbestimmte Zeit verschoben. In den genannten Modellregionen soll die ePA am 15.01.25 starten. Die gesetzlich geforderte Information der Mitglieder hat auch in Hamburg, Franken und NRW noch nicht oder unvollständig stattgefunden.

Am Ende dieser „Pilotphase“ soll die ePA dann laut Aussage des Bundesgesundheitsministeriums flächendeckend ausgerollt werden. Dies allerdings erst, wenn die Hersteller der Praxisverwaltungssysteme die ePA sicher anbinden. Jedoch zeichnet sich schon jetzt ab, dass die ePA weiterhin sicherheitstechnische Probleme aufweisen wird.

Wer bekommt eine ePA?

Alle gesetzlich Versicherten, auch Kinder.
Für Neugeborene wird eine ePA angelegt, sobald eine Anmeldung zur Familienversicherung bei der gesetzlichen Krankenkasse eingegangen ist und die Eltern keinen Widerspruch gegen die ePA ausgesprochen haben. Derzeit ist uns nicht bekannt, ob aktiv über die Widerspruchsmöglichkeit vorab informiert wird.

Eine bereits vorhandene ePA kann weiterhin genutzt werden. Dabei wird deren Verschlüsselung auf das Niveau der neuen ePA abgeschwächt.

Private Krankenversicherungen können ihren Versicherten eine digitale Akte unter Nutzung der Telematikinfrastruktur anbieten.

Ich bin privat Krankenversichert. Muss auch ich widersprechen?

Uns ist von keiner PKV bekannt, dass sie eine Pflicht-ePA einführt. Bisher scheint es so, als ob die ePA in der PKV für die Versicherten freiwillig eingeführt wird, wenn überhaupt. Daher erübrigt sich für die PKV ein vorheriger opt-out, wie wir ihn für gesetzlich Versicherte anbieten.

Muss ich der Erstellung einer ePA auch bei meiner Krankenzusatzversicherung widersprechen?

Nein, das ist nicht notwendig.

Welche Daten sollen in der ePA gespeichert werden?

Medizinische Informationen über den Versicherten, insbesondere

  • Befunde, Diagnosen, durchgeführte und geplante Therapiemaßnahmen, Vorsorgeuntersuchungen, Behandlungsberichte usw.,
  • elektronischer Medikationsplan,
  • elektronische Notfalldaten / Patientenkurzakte,
  • elektronische Arztbriefe,
  • elektronisches Zahn-Bonusheft,
  • elektronisches Untersuchungsheft für Kinder,
  • elektronischer Mutterpass,
  • elektronische Impfdokumentation,
  • durch den Versicherten zur Verfügung gestellte Krankheitsdaten,
  • Daten aus einer eventuell vorhandenen elektronischen Gesundheitsakte (eGA),
  • Daten von den Krankenkassen über in Anspruch genommene Leistungen,
  • Daten aus Digitalen Gesundheitsanwendungen (DiGA),
  • Daten zur pflegerischen Versorgung aus Digitalen Pflegeanwendungen (DiPA),
  • Rezepte (Verordnungsdaten und Dispensierinformationen elektronischer Verordnungen),
  • Bescheinigungen über Arbeitsunfähigkeit,
  • sonstige von Behandelnden für den Versicherten bereitgestellte Daten.

Für hochsensible Daten (zu psychischen Erkrankungen, sexuell übertragbaren Krankheiten und Schwangerschaftsabbrüchen) gilt:

  • Patienten können im unmittelbaren Behandlungskontext widersprechen, dass diese Daten in die ePA eingestellt werden.
  • Ärzte und Psychotherapeuten müssen die Patienten auf das Recht zum Widerspruch hinweisen und sie müssen den Widerspruch nachprüfbar in ihrer Behandlungsdokumentation protokollieren.

Für Ergebnisse von genetischen Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes gilt:

Wer hat Zugriff auf die Daten, sofern der Patient nicht widerspricht?

Zugriffsberechtigte Personen laut § 352 SGB V sind, sofern sie in einem Behandlungsverhältnis mit dem Patienten stehen:

  1. Ärzte,
  2. deren Arztgehilfen inkl. Azubis,
  3. Zahnärzte,
  4. deren Zahnarztgehilfen inkl. Azubis,
  5. Apotheker,
  6. deren Apothekergehilfen inkl. Azubis,
  7. Psychotherapeuten,
  8. deren Gehilfen inkl. Azubis,
  9. Krankenpfleger und Kinderkrankenpfleger,
  10. Altenpfleger,
  11. Pflegefachfrauen und Pflegefachmänner,
  12. Kranken- und Altenpflegehelfer,
  13. Hebammen,
  14. Heilmittelerbringer (z.B. Physiotherapeuten, Logopäden, Ergotherapeuten, Ernährungsberater oder Podologen),
  15. deren Gehilfen inkl. Azubis,
  16. Ärzte im Öffentlichen Gesundheitsdienst,
  17. Mitarbeiter des Öffentlichen Gesundheitsdienstes,
  18. Fachärzte für Arbeitsmedizin und Betriebsärzte,
  19. Notfallsanitäter.

Die Dauer der Zugriffsberechtigung beginnt mit dem Einstecken der elektronischen Gesundheitskarte des Patienten und beträgt für Berechtigte nach Ziffer 1-4 und 7-15 jeweils 90 Tage, für alle anderen 3 Tage (siehe SGB V § 342 Abs. 2 lit. l).

Patienten können den Zugriff für einzelne Dokumente, medizinische Fachbereiche oder Behandelnde sperren, siehe Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?

Zusätzlich werden die Daten für Sekundärdatennutzung, z.B. für Forschung, Innovation und Statistik, an das Forschungsdatenzentrum-Gesundheit weitergegeben.

Wie werden Zugriffe auf die ePA protokolliert?

Es wird zwar protokolliert welche Institution welche Änderungen zu welchem Zeitpunkt in einer ePA gemacht hat. Welche Person konkret auf die ePA zugegriffen hat wird aber laut Bundesgesundheitsministerium erst ab 2030 erfasst. Bis dahin müsste der Versicherte dies in der jeweiligen behandelnden Institution erfragen. Ob diese Protokollierung gewissenhaft erfolgt, kann letztlich nur durch Nachfrage überprüft werden.

Wie können Versicherte auf ihre ePA selbst zugreifen?

Wenn Versicherte ohne die Hilfe zugriffsberechtigter Personen auf ihre ePA zugreifen wollen, benötigen sie eine App ihrer Krankenkasse. Es können Daten der ePA eingesehen und Inhalte selbst eingestellt und gelöscht werden. Zusätzlich können erweiterte Einstellungsmöglichkeiten vorgenommen werden, z.B. den Zugriff für einzelne Behandelnde oder für medizinische Fachrichtungen einschränken.

Wenn ein Versicherter seine ePA nicht persönlich verwalten kann oder will, kann er bis zu fünf Vertreter benennen.

Zugriffsverfahren

  1. per Smartphone:
    • per elektronischer Gesundheitskarte (eGK) + PIN + ePA-App,
    • für ePA- oder eRezept-App (oder sonstige Apps von Drittanbietern) ist die Authentisierung künftig auch ohne eGK und ohne PIN möglich, nach einer sicheren schriftlichen oder elektronischen Erklärung des Versicherten, dieses Verfahren nutzen zu wollen.
  2. per Computer zu Hause
    • künftig soll der Zugriff auf die ePA auch über eine Desktop-App möglich sein. (ab ePA Version 3.1, diese ist für 15.07.2025 angekündigt.) Hierfür ist ein Kartenlesegerät erforderlich.
  3. per GesundheitsID
Können Versicherte eine ePA ohne ePA-App nutzen?

Versicherte ohne ePA-App können nicht selbst direkt auf ihre ePA zugreifen. Die Krankenkassen richten aber Ombudsstellen ein. Diese können im Auftrag der Versicherten Widersprüche durchsetzen, Zugriffsbeschränkungen in deren ePA setzen sowie die Protokolldaten aus der ePA bereitstellen. Eine Ombudsstelle ist nicht in der Lage, auf die medizinischen Daten der ePA zuzugreifen.

Darüber hinaus können die Versicherten in Apotheken im Rahmen der assistierten Telemedizin Einsicht in die Daten der ePA nehmen und Dokumente löschen lassen.

Können einzelne Dokumente in der ePA für einzelne Behandelnde verborgen werden?

Ein feingranulares Berechtigungs-Management gibt es nicht mehr (dies war in der bis Januar 2024 gültigen ePA noch möglich). Wenn Sie beispielsweise einen Arztbrief sperren, können ALLE Leistungserbringer (Arztpraxen, Therapeuten, Krankenhäuser, …) nicht mehr darauf zugreifen. Andererseits können Sie einzelne Leitungserbringer sperren, die dann auf ihre gesamte ePA keinen Zugriff mehr haben.

ACHTUNG: Leistungserbringer können selbst bei gesperrten Dokumenten immer noch auf die Abrechungsdaten und den Medikationsplan in der ePA zugreifen. Aus diesen Daten können sie dann gegebenenfalls auch auf gesperrte Behandlungen rückschließen. Wenn ein Patient z.B. Psychopharmaka erhält, dürfte allein diese Information sehr viel aussagen.

Was ist die GesundheitsID?

Die GesundheitsID ist eine digitale Identität für das deutsche Gesundheitswesen. Sie kann alternativ zur elektronischen Gesundheitskarte (eGK) als Versicherungsnachweis und zur Authentisierung für den Zugriff auf die ePA und weitere Anwendungen (z.B. DiGAs, Patientenportale und Terminservices) genutzt werden.

Die GesundheitsID umfasst auch persönliche Daten wie Krankenversicherungsnummer (KVNR), Name und Geburtsdatum.

Auch Behandelnde und deren Institutionen sollen perspektivisch eine GesundheitsID als Identitätsnachweis nutzen können.

Unklar ist, wie die Benutzung der GesundheitsID vonstatten gehen soll. Unklar ist auch, wie sich die GesundheitsID zu der allgemeinen elektronischen Identität verhält, die von der EU parallel eingeführt wird.

Welche Alternativen zur ePA gibt es?

Eine Möglichkeit ist wie bisher eine selbstgeführte Patientenakte in der Hand des Patienten:

Ärzte, Krankenhäuser, Therapeuten und andere Behandelnde sind gemäß BGB § 630g verpflichtet, Ihnen eine Kopie Ihrer Behandlungsunterlagen digital oder auf Papier auszuhändigen, so dass Sie Ihre eigene Patientenakte führen können. Die erste Kopie ist laut Entscheidung des Europäischen Gerichtshofs vom 26. Oktober 2023 für den Patienten kostenlos. Die Sicherheit der Daten in Ihrer selbstgeführten Akte haben Sie selbst in der Hand.

Darüber hinaus gibt es Vorschläge für dezentrale, resiliente und datenschutzfreundliche Patientenakten, die die derzeitige ePA ersetzen könnten. IT-Sicherheitsexperte Thomas Maus stellt in einem Vortrag einen solchen Entwurf sehr umfassend vor: https://tube.tchncs.de/w/7eKWkzn1pS7EgNi5rS6Xh5

Hilft die ePA in Notfällen?

Ein Notarzt wird nicht nach einer Versichertenkarte suchen oder in die ePa gucken. Es geht darum, dass Atmung und Kreislauf stabilisiert werden, dabei hilft die ePA nicht. Einmal im Krankenhaus angekommen können bestimmte Informationen durchaus hilfreich sein. Aber auch hierfür ist eine ePA nicht zwingend. Papierne Notfallausweise gibt es z.B. bei „Digitalcourage“: europäischer Notfall-Ausweis

Widerspruch (Opt-out)

Was bedeutet Opt-out?

Opt-out kommt aus dem Englischen und bedeutet „nicht mitmachen“ bzw. bezogen auf die ePA „widersprechen“.

Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?

1) Bei Daten des Versicherten, deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektioen, psychischen Erkrankungen und Schwangerschaftsabbrüchen, müssen Behandelnde vor Übermittlung in die ePA auf das Widerspruchsrecht hinweisen. Für Gendaten ist eine ausdrückliche Einwilligung des Patienten (schriftlich oder elektronisch) notwendig

2) Ab ePA Version 3.1 – diese ist für 15.07.2025 angekündigt – kann gegen alle oder auch nur gegen einzelne Nutzungszwecke (vgl. SGB V § 303e ) widersprochen werden.

Welcher weiteren Verarbeitung von Krankheitsdaten können Versicherte widersprechen?

Unabhängig von der ePA dürfen die Krankenkassen künftig die Abrechnungsdaten ihrer Versicherten auswerten, um persönliche Gesundheitsrisiken zu erkennen und den Betroffenen mitzuteilen. Ursprünglich sind Gesundheitsempfehlungen ureigenste Aufgabe von Behandlern und nicht von Krankenkassen. Durch die Datenauswertung können sich Krankenkassen mit Empfehlungen in die Behandlung ihrer Versicherten einmischen und dabei ihre eigenen Ziele verfolgen, z.B. Kosten zu sparen.

Die Versicherten sind mindestens vier Wochen vor Beginn dieser Auswertung zu informieren und können auch schon vorher Widerspruch dagegen einlegen. Hierfür können Sie unseren Widerspruchsgenerator gegen Risikosuche benutzen. Sie haben weiterhin gesetzlichen Anspruch auf alle Leistungen – einschließlich Vorsorgeleistungen. Sie dürfen durch Ihren Widerspruch keine Nachteile haben.

Welche Widerspruchvariante empfehlen Sie?

Wir empfehlen sowohl das vollständige Opt-out aus der ePA ( Widerspruch gegen elektronische Patientenakte (ePA) ), als auch das Opt-out aus der Auswertung der Abrechnungsdaten durch die Krankenkassen für personalisierte Empfehlungen ( Widerspruch gegen Risikosuche ). Bitte prüfen Sie, ob Sie sich unserer Kritik anschließen oder ob für Sie eine Nutzung der ePA, ggf. mit Teilwidersprüchen, in Frage kommt.

Hinweis: Sobald der Europäische Gesundheitsdatenraum (EHDS) in nationale Gesetzgebung umgesetzt ist, werden voraussichtlich zusätzliche Widersprüche notwendig werden.

Widerspruchsgeneratoren

Was leisten die Widerspruchsgeneratoren?

Sie vereinfachen das Opt-out und erzeugen fertige Widerspruchsschreiben für die Krankenkasse.

Siehe Widerspruchsgeneratoren

Warum und wie prüfen die Widerspruchsgeneratoren die Versichertennummer?

Die Versichertennummer ist Teil von jedem Widerspruchsschreiben, damit die Krankenkasse die widersprechende Person eindeutig identifizieren kann.

Bei einer 10-stelligen Nummer können leicht Eingabefehler passieren. Um das zu erkennen, enthalten solche Nummern Prüfziffern . Die Berechnungsvorschrift dafür ist veröffentlicht (siehe Krankenversichertennummer ). Deshalb kann jede Person (mit dem nötigen Knowhow) erkennen, ob es sich bei einer Nummer um eine gültige Krankenversichertennummer handeln kann, oder nicht. Diese Prüfung macht jeder unserer Generatoren. Wenn Sie mit anonymen Daten testen wollen, können Sie die folgende Nummer dafür verwenden: D876543212 . Damit bekommen Sie keine Fehlermeldung.

Wenn eine Versichertennummer zurückgewiesen wird, gibt es dafür zwei mögliche Erklärungen:

  • Tippfehler,
  • die Nummer, die Sie eingeben, ist keine Versichertennummer, sondern zum Beispiel die Kundennummer einer privaten Krankenversicherung.

Private Krankenversicherungen geben (so weit wir wissen) keine verpflichtenden ePA aus. Ein Opt-Out ist für privat Versicherte derzeit nicht erforderlich.

Sicherheit und Datenschutz

Wo ist die ePA gespeichert?

Die Daten der ePA werden zentral für jede Krankenkasse in Aktensystemen in der sogenannten Telematikinfrastruktur gespeichert. Dabei handelt es sich um eine digitale Infrastruktur zur Datenübermittlung/-speicherung im Gesundheitswesen.

Aufgebaut und betrieben wird die Telematikinfrastruktur unter der Regie der gematik GmbH („Nationale Agentur für Digitale Medizin“). Diese befindet sich mehrheitlich im Besitz des Bundesgesundheitsministeriums, daneben sind Verbände der Ärzte, Zahnärzte, Apotheken- und Krankenhausbetreiber usw. beteiligt.

Welches Risiko ergibt sich aus der zentralen Datenspeicherung?

Krankheitsdaten zählen zu den intimsten und gleichzeitig für Hacker lukrativsten Daten. Für eine komplette Patientenakte werden auf dem Schwarzmarkt zwischen 60 € und 150 € gezahlt (siehe: https://www.fiff.de/publikationen/fiff-kommunikation/fk-2020/fk-2020-2/fk-2020-2-content/fk-2-20-p29.pdf ). Eine zentrale Datenspeicherung ist daher ein sehr attraktives Ziel für Hacker.

Der Chaos Computer Club hat die ePA (mal wieder) gehackt. Die Gematik spricht von „theoretischen“ Angriffsszenarien, obwohl die Angriffe real anwendbar sind. Hier der Vortrag. Dieser ist stellenweise etwas technisch, insgesamt aber gut allgemeinverständlich: https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle

In der Vergangenheit waren bereits mehrere zentralisierte europäische Gesundheitssysteme von umfangreichen Datenpannen betroffen, wie zum Beispiel:

Wie sicher ist die Verschlüsselung der ePA?

Die kryptographischen Schlüssel für die ePA werden in der Telematikinfrastruktur erzeugt und gespeichert. Der Versicherte hat keinen Einfluss darauf und kann diese Schlüssel selbst nicht ändern. Für die neue ePA gilt zusätzlich, dass der Zugriff auf die ePA-Daten auch ohne Mitwirkung des Versicherten zweckbezogen erlaubt ist, z.B. zur Ausleitung von Daten an das Forschungsdatenzentrum Gesundheit.

Außerdem können die Zugriffsrechte – ohne irgendein technisches Hindernis – jederzeit gesetzlich geändert werden. Dies ist seit 2003 in der Architektur so angelegt und ebenso lange äußern verschiedene Interessenten (u.a. die Polizei) den Wunsch, diese Zugriffsrechte zu erhalten.

Auch wird beim Wechsel von der ePA 2.6 (bisher) zur ePA 3.0 (ab 15. Januar 2025) die Verschlüsselung abgeschwächt: Bisher waren zwei individuelle Schlüssel je Versicherten für den Zugriff auf die ePA erforderlich. Diese wurden von zwei unterschiedlichen Schlüsselgenerierungsdiensten innerhalb der Telematikinfrastruktur zufällig erzeugt.

Künftig hat jede Krankenkasse zwei Masterkeys (für Zugriffsberechtigungen bzw. für Daten), aus denen zusammen mit einem „aktenspezifischen Merkmal“ (Krankenversichertennummer) der Berechtigungs- und der Datenschlüssel für jede einzelne ePA abgeleitet wird. Diese aktenspezifischen Schlüssel nutzen der Versicherte und sonstige Zugriffsberechtigte für den Zugriff auf die ePA.

Sind die Daten dauerhaft geschützt?

Verschlüsselungsalgorithmen veralten relativ schnell und sind dann nicht mehr sicher. Abgegriffene, verschlüsselte ePA-Daten können also gespeichert und zu einem späteren Zeitpunkt entschlüsselt werden, wenn der verwendete Algorithmus gebrochen ist (siehe auch https://en.wikipedia.org/wiki/Harvest_now,_decrypt_later ).

Welche Schäden können entstehen, wenn Hacker Krankheitsdaten stehlen?

Entwendete Daten können für Identitätsdiebstahl, Erpressung, Rufschädigung oder Diskriminierung bei der Vergabe von Krediten, Versicherungen, Arbeitsplätzen usw. missbraucht werden. Im Extremfall kann dies sogar zu Suiziden führen – wie nach dem Hack einer psychotherapeutischen Datenbank in Finnland: https://www.golem.de/news/urteil-im-vastaamo-hack-verraeterische-transaktionen-2404-183845.html (Seite 2 von 4)

Eine Krankengeschichte kann man nicht wie ein Bankkonto wechseln. Deswegen können geleakte Krankheitsdaten dem Betreffenden lebenslang Probleme bereiten. Bei Informationen über z.B. genetisch bedingte Erkrankungen oder Risikoprofile (familiäre Vorbelastungen) können auch Verwandte betroffen sein – über Generationen hinweg (z.B. Vater hatte einen Herzinfarkt, das bedeutet ein erhöhtes Risiko für die Nachkommen).

Wer ist für den Datenschutz der ePA verantwortlich?

Für den Datenschutz der ePA ist der Anbieter verantwortlich, also die jeweilige Krankenkasse. Wenn eine Krankenkasse einen IT-Dienstleister mit dem Betrieb der ePA beauftragt, bleibt sie trotzdem in der Verantwortung zum Datenschutz. Ansprechpartner für alle Fragen zum Datenschutz der ePA ist die Krankenkasse. Kontaktdaten finden Sie in der Datenschutzerklärung auf der Webseite Ihrer Krankenkasse.

Für die Verarbeitung der ePA-Daten in der Telematikinfrastruktur (siehe Wo ist die ePA gespeichert?) sind die gematik und ggf. die sogenannten Diensteanbieter verantwortlich. Die unscharfe Trennung der Verantwortlichkeiten wird von Datenschützern kritisiert, siehe https://ddrm.de/laesst-sich-verantwortung-bis-zur-unkenntlichkeit-aufsplitten/

Widerspricht Opt-out der informationellen Selbstbestimmung?

Mit dem historisch bedeutsamen Volkszählungsurteil vom 15. Dezember 1983 formulierte das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung, das sich aus der Menschenwürde des Art. 1 GG und dem Recht auf freie Entfaltung der Persönlichkeit nach Art. 2 Abs. 1 GG ableitet. Opt-out-Verfahren sind grundsätzlich problematisch, da zahlreiche Bevölkerungsgruppen nicht das Wissen, die Ressourcen oder die Kraft haben, Widerspruch einzulegen. Deren Recht auf informationelle Selbstbestimmung wird dadurch de facto ausgehebelt.

Wenn das Opt-out-Verfahren für die ePA eingeführt wird, steht zu erwarten, dass es auch in vielen anderen Lebensbereichen zum Standard wird: Da es sich bei Krankheitsdaten als Präzedenzfall um die persönlichsten Daten handelt, sind die Hürden für andere, weniger kritische Daten, eher niedriger. Aktuell (Juni 2024) ist eine Opt-out-Regelung für Organspenden in der Diskussion. Mittelfristig wird dies dazu führen, dass niemand mehr eine umfassende Übersicht hat, wann und wo Widersprüche möglich sind. Im Zweifel werden Einzelne versuchen, bestmöglich überall zu widersprechen, da es zeitlich und fachlich gar nicht möglich sein dürfte, sämtliche Themenbereiche mit ihren Auswirkungen vollständig erfassen zu können. Oder es wird der Einfachheit halber die Beschäftigung mit der komplexen Thematik vermieden und die Möglichkeit zum Widerspruch generell nicht wahrgenommen. Letztlich wird das Recht auf informationelle Selbstbestimmung mit der Opt-out-Regelung ausgehöhlt.

Sonstiges

Helfen die ePA-Daten bei der Gesundheitsforschung?

Gerd Antes ist ehemaliger Direktor des Deutschen Cochrane Zentrums, ein internationales Netzwerk, das die wissenschaftlichen Grundlagen für Entscheidungen im Gesundheitssystem verbessern will. Er meint dazu, dass es nicht hilft den Heuhaufen zu vergrößern, wenn man die Nadel sucht: https://www.fiff.de/publikationen/fiff-kommunikation/fk-2020/fk-2020-2/fk-2020-2-content/fk-2-20-p33.pdf

Jürgen Windeler, ehemaliger Leiter des Instituts für Qualität und Wirtschaftlichkeit im Gesundheitswesen (IQWiG), sieht das ähnlich: Elektronische Patientenakte kein Heilsbringer – auch KI ändert nichts Elektronische Patientenakte kein Heilsbringer

Was sind die Abrechnungsdaten der Krankenkassen (auch „Leistungsdaten“ oder „Versorgungsdaten“ genannt)?

Nach jedem Arzt-, Therapeuten-, Apotheken- usw. Besuch eines Versicherten erhalten die Krankenkassen Daten zur Abrechnung der erbrachten Behandlungen oder Leistungen (einschließlich Diagnosen, Rezepte und andere Verordnungen). Diese Daten wurden früher durch die regionalen Kassenärztlichen Vereinigungen anonymisiert, gehen aber seit Einführung der „Patientenquittung“ im Jahr 2012 personenbezogen an die Krankenkassen. Die Abrechnungsdaten werden zukünftig automatisiert in die ePA übertragen, so dass alle Behandelnden einen schnellen Gesamt-Überblick bekommen können. Dies bedeutet aber auch, dass z.B. die Apotheke sehen kann, wenn Sie in psychiatrischer Behandlung sind oder Ihre Zahnärztin erfährt, wann Sie zuletzt beim Frauenarzt waren. Dem Einstellen der Abrechnungsdaten in die ePA kann man widersprechen, siehe Welche Widerspruchsmöglichkeiten gegen die ePA gibt es?

Unabhängig von der ePA dürfen die Krankenkassen künftig die Abrechnungsdaten ihrer Versicherten auswerten, um persönliche Gesundheitsrisiken zu erkennen und den Betroffenen mitzuteilen, siehe Welcher weiteren Verarbeitung von Krankheitsdaten können Versicherte widersprechen?

(Falls Sie wissen wollen, was Ihre Krankenkasse über Sie gespeichert hat, können Sie eine Anfrage nach Art. 15 der EU Datenschutz-Grundverordnung (DSGVO) stellen. Hierfür können Sie einen Anfragegenerator benutzen.)

Was ist der Europäische Gesundheitsdatenraum (EHDS) und was hat er mit der ePA zu tun?

Der Europäische Gesundheitsdatenraum (EHDS) ist eine EU-Verordnung. Er soll alle ePA und alle sonstigen im Gesundheitswesen vorhandenen Daten(!) EU-weit nutzbar machen, sowohl für medizinische Behandlungen (Primäre Nuzung), als auch als Datenquelle für Forschung gemeinnütziger und kommerzieller Art (Sekundäre Nutzung).

Der EHDS-Text ist hier zu finden muss aber noch in nationales Recht überführt werden, d.h. es wird ein weiteres deutsches Gesetz geben. Es ist vorgesehen, dass jeder EU-Bürger automatisch eine ePA erhält, die Mitgliedsstaaten dürfen aber Ausnahmen erlauben. Der deutsche ePA-optout ist eine solche Ausnahme, von der wir hoffen, dass sie auch nach Umsetzung des EHDS erhalten bleibt.

Mit Einführung des EHDS können weitere Widersprüche erforderlich werden (z.B. gegen die Weitergabe Ihrer Behandlungsdaten aus Leistungserbringerinstitutionen (Krankenhäuser o.ä.) für Forschungszwecke – sofern diese dann laut Gesetz überhaupt möglich sind).

Wie sieht die Digitalisierung des Gesundheitswesens in anderen europäischen Ländern aus?

Die Gematik hat hierzu eine Übersicht erstellt: digitale Gesundheit in Europa

Was ist die Ombudsstelle?

Die Ombudsstellen der gesetzlichen Krankenkassen wurden eingerichtet, um die Versicherten in allen Fragen im Zusammenhang mit der ePA zu beraten und zu unterstützen, z.B. bei der Umsetzung von Widersprüchen, siehe „Können Versicherte eine ePA ohne ePA-App nutzen?

Wie sieht ein Arzt die Einführung der elektronischen Patientenakte?

Dr. Stefan Streit hat hierzu im Juni 2024 einen Vortrag gehalten:
https://media.ccc.de/v/gpn22-389-elektronische-patientenakte-epa-made-in-germany-digitalisierung-in-der-medizin-2024

In diesem Video zeigt Dr. Streit anschaulich, welche angeblichen „Erleichterungen“ die ePA für den Arzt bringt. Im Praxisalltag verschlingt die Führung der ePA viel Zeit, die von der Behandlungszeit abgezweigt werden muss und letztlich zu Lasten der Patientenbetreuung geht.

Verwendete Quellen

Fachkonzept elektronische Patientenakte für alle

Grobkonzept ePA für alle

Übergreifende Spezifikation Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur

37C3: Von der ePA zum EHDS: 7 Thesen zur aktuellen digitalen Gesundheitspolitik 

KBV PraxisInfoSpezial Die elektronische Patientenakte ab 2025 Fragen und Antworten

FIfF Kommunikation 2/20: Informationssicherheit und Datenschutz bleiben auf der Strecke bei der digitalen Transformation des Gesundheitswesens

Digital-Gesetz

Gesundheitsdatennutzungsgesetz