(Aktualisiert am 6.1.2025)

Mit der elektronischen Patientenakte soll die medizinische Versorgung verbessert werden, behandelnde Ärzte sollen Zugriff auf alle Befunde, erfolgte Impfungen und verordnete Medikamente erhalten.

Soweit so gut.

Aber verbessert sich die medizinische Versorgung dadurch wirklich für die Patienten? Und bringt sie genug Vorteile, dass sie sich wirklich lohnt?

In Einzelfällen, beispielsweise in Notfällen oder bei älteren Menschen kann die elektronische Patientenakte durchaus helfen, möglicherweise sogar lebensrettend sein.

Aber in den meisten Fällen wird es vor allem ein großes Datensilo werden. Die bereits existierende, freiwillige Patientenakte zeigt, dass es zunächst eine unübersichtliche Dokumentensammlung ist.

Per Gesetz wird die Patientenakte ab dem 15.1.2025 für alle gesetzlich Versicherten eingeführt, sofern diese nicht explizit widersprechen. Private Versicherte können sie freiwillig nutzen.

Die elektronische Patientenakte wird für alle angelegt, die nicht bei ihrer Krankenkasse widersprochen haben (Opt-Out).

Leider gibt es viele Argumente gegen die „ePA für alle“, u.a. die Veränderungen gegenüber der bisherigen, freiwilligen ePA:

• die Freigabe erfolgt durch das Stecken der elektronischen Gesundheitskarte (ohne PIN wie bei der bisherigen ePA)
• Alle Diensteerbringer (Ärzte, Apotheken, etc) erhalten Zugriff auf die gesamte Akte, einschließlich besonders sensibler Informationen
• Es gibt keine Möglichkeit, Dokumente für ausgewählte Diensteerbringer freizugeben (wie bei der bisherigen ePA), Versicherte können nur für einzelne Diensteerbringer den Zugriff generell sperren
• das Sicherheitsniveau wurde abgesenkt

Eine digitale Patientenakte bietet natürlich viele Vorteile, jedoch scheint der Gesetzgeber das informationelle Selbstbestimmungsrecht

Ich bestimme über meine Daten!

nicht angemessen bedacht zu haben.

Jede*r sollte selbst überlegen, ob die ePA für alle gewünscht ist oder ein Widerspruch angebracht (Per Brief, Online-Formular oder telefonisch).

Wer erhält Zugriff auf die elektronische Patientenakte?

Bisher wählen die Patienten die Befunde aus, die sie an Ärzte übergeben. In der Regel haben die Hausärzte den Überblick über alle (maßgeblichen) Unterlagen und Fachärzte sonst nur die aus der eigenen Behandlung.

Apotheken, Pflegedienste und andere Leistungserbringer haben bislang keinen Zugang zu ärztlichen Unterlagen. Krankenkassen ebenso wenig, lediglich für die Beantragung und Abrechnung von Leistungen.

Das wird mit der „ePA für alle“ aber anders:

Auf die gesamte elektronische Patientenakte erhalten behandelnde Ärzte, medizinische Fachkräfte, Apotheker*innen und Leistungserbringer Zugriff.

Quasi alle, mit denen Versicherte in Kontakt sind.

Das heißt, ich teile meine Gesundheitsdaten plötzlich mit einer größeren Gruppe von Menschen als bisher.

Dabei sind darin durchaus sensible Gesundheitsdaten verzeichnet, die nicht alle kennen müssen, z.B. Zahnärzte, Pflegedienste oder Apotheker? Beispielsweise über

• psychische Leiden,
• Abhängigkeitserkrankungen (Alkohol, Drogen),
• besonders sensible Befunde (HIV, Krebs, Demenz, …)
• Geschlechtskrankheiten,
• genetische Analysen,
• erfolgte Schwangerschaftsabbrüche oder
• häufige Konsultationen / Verdacht auf Hypochondrie?

Die Erforderlichkeit des uneingeschränkten Lesezugriffs auf die Patientendaten durch alle Berechtigten ist aus datenschutzrechtlicher Sicht nicht nachvollziehbar, vom Gesetzgeber wurde dieses allerdings so festgelegt.

Ein Mißbrauch scheint damit leichter möglich als bislang.

Erkrankungen sind nicht nur in den Befunden ersichtlich, sondern auch aus den Abrechnungen der Krankenkasse und verschriebenen Medikamenten ableitbar.

Um nur ein weiteres Problem zu benennen:

Was fängt ein Arzt mit diesen Informationen an, kann er*sie überhaupt noch unbelastet eine eigene Diagnose erstellen? Wird er eher die Patientenakte konsultieren als den Patienten in Augenschein nehmen?

Schließt sich ein behandelnder Arzt möglicherweise den nicht immer zutreffenden Einschätzungen anderer Mediziner einfach an? Diagnosen seltener Krankheiten kommen häufig erst nach längerer Zeit zustande, mit vielen Konsultationen.

Welche Daten enthält die ePA?

Die Ärzte sind gesetzlich verpflichtet, alle

• Befundberichte,
• Befunddaten aus bildgebener Diagnostik (MRT, Röntgen etc),
• Laborbefunde,
• eArztbriefe sowie
• E-Rezepte

in die ePA einzustellen, später kommen weitere Dokumente dazu, z.B. der elektronische Medikationsplan und Impfpass.

Die Krankenkassen stellen die Abrechnung von Leistungen ein.

Versicherte können Dokumente hochladen und sie können Dokumente in der ePA löschen oder ggf. als vertraulich kennzeichnen (es ist nicht eindeutig beschrieben, ob bestimmte Daten nicht gelöscht/versteckt werden können, z.B. ob der Medikationsplan oder Verordnungen/Rezepte löschbar sind). Für einzelne Berechtigte können Zugriffssperren in Form einer Negativliste eingerichtet werden. Versicherte haben aber eben nicht die Möglichkeit je Dokument festzulegen, wer darauf zugreifen können soll.

Wer sich für die ePA entscheidet, sollte regelmäßig nachschauen, welche Informationen sich darin befinden und sensible Dokumente aus der ePA löschen und dafür lokal sichern.

Wie sicher ist die elektronische Patientenakte?

Die Freigabe erfolgt allein durch das „Stecken der Gesundheitskarte“ in der Praxis, Apotheke etc., der Zugriff ist dann für bestimmte Zeiträume erteilt, z.B. 90 Tage bei Ärzten. Es gibt keinen zusätzlichen Schutz wie eine PIN.

Versicherte können über eine App die ePA verwalten. Sie können dann einzelne Dokumente in der ePA löschen oder ggf. auf „vertraulich“ stellen (diese Funktion gibt es in der bisherigen ePA). Abrechnungsdaten für andere generell auzublenden soll durch die Krankenkasse einstellbar sein.

Die Aussage des Bundesgesundheitsministeriums „Vorteil Nr. 5
Wer Ihre ePA lesen darf, können Sie selbst bestimmen.“ ist irreführend, da keine Kontrolle auf Dokumentenebene gegeben ist, alle Diensteerbringer Zugriff auf die gesamten Unterlagen in der ePA haben. Versicherte können nur mühsam einzelnen Diensteerbringern den Zugriff auf die gesamte ePA untersagen – zunächst haben alle, bei dem die Gesundheitskarte eingesteckt wird Zugriff. Und falls ich meiner Apotheke den Zugriff untersage, kann ich dann dort noch E-Rezepte einlösen? Und meiner Zahnärztin oder Fachärzten werde ich den Zugriff auf die gesamte ePA erlauben müssen, damit sie ihre Befunde dort einstellen können.

Mit der „ePA für alle“ wird eine große Datenbank geschaffen, in der alle Patientenakten gespeichert werden. Zur Vernetzung wird die Telematik-Infrastruktur genutzt, die auch für das E-Rezept genutzt wird.

Die Gefahr einer Offenlegung ist durchaus realistisch, in den USA gab es bereits mehrere Leaks von Gesundheits-Datenbanken.

Auf dem Chaos Comuter Congress 2024 wurde gezeigt, wie die ePA gehackt werden kann.

Wer darf mit meinen Daten forschen – die Forschungsdatenfreigabe

Die Daten werden zudem an forschende Einrichtungen übergeben, ohne dass dabei eine Anonymisierung, sondern lediglich eine Pseudonymisierung vorgenommen wird. Damit ist in vielen Fällen eine Reidentifizierung von Patienten anhand ihrer Befunde auch durch die forschenden Einrichtungen möglich.

Ein Austausch der Daten ist im europäischen Gesundheitsdatenraum vorgesehen. Auch eine kommerzielle Nutzung ist möglich, bspw. für die Pharmaindustrie. Karl Lauterbach schwärmte von verbesserten Heilmethoden durch Auswertung des Datenschatzes durch Google, Meta und OpenAI und KI soll auch hier hilfreich sein.

Auch wenn die Forschung auf Gesundheitsdaten wichtig ist, der Schutz von Patientendaten wiegt ebenso viel. Und es wäre mehr möglich gewesen: Mittlerweile ist selbst eine Anonymisierung von Gesundheitsdaten umsetzbar, so dass die Daten für die Forschung trotzdem nutzbar sind.

Der Forschungsdatenfreigabe kann separat bei seiner Krankenkasse widersprochen werden, sofern die elektronische Patientenakte überhaupt genutzt wird.

Wie schätzen die Verbraucher- und Datenschützer die Lage ein?

Der Bundesdatenschutzbeauftragte plädierte für eine freiwillige, Opt-In-basierte Lösung.

Letztlich schränkt die Patientenakte aus seiner Sicht das Selbstbestimmungsrecht der Versicherten ein.

Selbst hochsensible Daten können ohne nachzuweisende Einwilligung der Patienten in die ePA geladen werden.

Außerdem wird das derzeit in der ePA umgesetzte granulare Rechtemanagement zurückgebaut, was er als ernsthaftes Datenschutzproblem einschätzte. Eine Freigabe der Dokumente sollten Versicherte für jeden Zugriffsberechtigten gezielt vornehmen und entziehen können.

Die angedachte Lösung „Jede*r sieht alles“ schätzt er für  Gesundheitsdaten als problematisch ein.

Außerdem wurde das Sicherheitsniveau per Gesetz abgesenkt – es muss „kein Einvernehmen“ mit Bundesdatenschutzbeauftragten und BSI mehr hergestellt werden.

Die Verbraucherschützer kritisieren, dass Menschen ohne geeignetes Endgerät keinen eigenständigen Zugriff und Einblick in ihre eigene ePA haben können.

Und merken an, dass sowohl in Sachen Verfügbarkeit als auch bei der Sicherheit der Telematik-Infrastruktur große Herausforderungen bevorstehen.

Kritik gibt es auch seitens der Ärzte:

Die aktuell geplante zentral gespeicherte elektronische Patientenakte („ePA für alle“) ab 2025 bedeutet beispielsweise de facto die Abschaffung der ärztlichen Schweigepflicht.

Dr. Silke Lüder, stellvertretende Vorsitzende der Freien Ärzteschaft,
https://freie-aerzteschaft.de/kongress-freier-aerzte-2024/

Der Widerspuch – das Opt-Out

Seit August senden die Krankenkassen einen Infobrief an ihre Versicherten und erläutern dort auch die Möglichkeit des Widerspruchs gegen die Anlage einer ePA und wie dieser ausgesprochen werden kann. Dieser sollte sowohl per Brief, Online-Formular, Krankenkassen-App als auch telefonisch möglich sein.

Alternativ gibt es „freie“ Online-Widerspruchsformulare im Internet, hier sollte mensch aber darauf achten, dass seine*ihre Kontaktdaten und Versichertennummer vom Anbieter weder für eigene Zwecke genutzt noch ungeschützt per E-Mail an die Krankenkasse weitergeleitet werden. Aus Datenschutzsicht ist ein Widerspruch direkt bei der Krankenkasse der bessere Weg.

Die Informationen der Krankenkassen betonen die Vorteile der ePA und sind zu Risiken eher ungenau – der Bundesverband der Verbraucherzentralen fand in den Schreiben wiederholt unvollständige, missverständliche und irreführende Aussagen.

Bis Ende November hatten bei AOK und DAK bislang 1% der Versicherten der Einrichtung der ePA widersprochen.

Bei einer bereits eingerichteten ePA kann dann ab Mitte Januar die Löschung auch direkt in der ePA-App beauftragt werden.

Die ePA-App – was ist das eigentlich?

Die ePA-App ist für die Versicherten das Tool, mit dem sie ihre elektronische Patentientenakte einsehen und im Rahmen der beschränkten Möglichkeiten verwalten können, sie wird nur für bestimmte Endgeräte verfügbar sein, typischerweise Smartphones und Tablets (Android und iOS).

Aus den Informationen der Krankenkassen ist ersichtlich, dass es keine „ePA-App für alle“ geben wird, sondern jede Krankenkasse die ePA integriert in ihrer eigenen App bereitstellt. Dies ist aus Datenschutzsicht eine ungünstige Lösung – die Trennung der Krankenkassen-Daten von denen der ePA  verschwimmt damit. Denn die Krankenkassen sollen auf Befunde und andere sensible medizinischen Daten keinen Zugriff haben.

Aus IT-Sicherheits-Sicht sollte es eine „gute“ und sichere App für alle Versicherte geben, die sämtliche Funktionen der ePA vernünftig unterstützt. Gut wäre zudem, wenn diese ePA-App als Open Source Software entwickelt werden würde. Man wird ja noch träumen dürfen…

Die Gematik, der Betreiber der Telematik-Infrastruktur, nimmt eine Zertifizierung der Krankenkassen-ePA-Apps vor. Letztlich wird wohl jede ePA-App irgendwie anders aussehen und funktionieren. 🙁

Fazit

Digitalisierung im Gesundheitswesen tut Not. Die elektronische Patientenakte war dafür ein guter Ansatz, zudem die bisherige ePA funktionell besser ist als die „ePA für alle“.

Die in der Umsetzung befindliche Lösung „ePA für alle“ hat aus datenschutzrechtlicher Sicht deutliche Defizite, viele Versicherte werden die Vorteile nicht überzeugen und in den Widerspruch gehen, d.h. das „Opt-out“ nutzen.

Leider hat der Gesetzgeber es bei der „ePA für alle“ versäumt, das informationelle Selbstbestimmungsrecht der Versicherten angemessen zu bedenken.

Insbesondere sollten die Zugriffsrechte granularer als angedacht umgesetzt werden. Nur dann kann die „ePA für alle“ einen echten Mehrwert für alle bieten!

HINWEIS: Die derzeit verfügbaren offiziellen Informationen zur ePA für alle sind leider weder umfassend noch vollständig und teilweise widersprüchlich. Insofern stellt dieser Beitrag einen vorläufigen Stand dar und wird regelmäßig angepasst.

Weitere Informationen

• netzpolitik.org – Entscheidungshilfe zur elektronischen Patientenakte: Soll ich’s wirklich machen oder lass ich’s lieber sein?
• Verbraucherzentrale – Elektronische Patientenakte (ePA): Digitale Patientenakte für alle kommt
• Bundesdatenschutzbeauftragte – Die elektronische Patientenakte
• TechCrunch – UnitedHealth says Change Healthcare hack affects over 100 million, the largest-ever US healthcare data breach
• heise online – Lauterbach zu Gesundheitsdaten: Google, Meta, und OpenAI melden Interesse an
• netzpolitik.org – Elektronische Patientenakte: „Das widerspricht der informationellen Selbstbestimmung“
• Blogbeitrag – Die elektronische Patientenakte zu hacken ist nicht schwer

Offizielle Informationen zur ePA für alle

• Kassenärztliche Bundesvereinigung – Informationen zur Elektronischen Patientenakte – ePA
• Gematik – Informationen zur ePA für alle
• Bundesgesundheitsministerium – Die ePA für alle – jede Menge Vorteile

Im Intranet der TU Berlin

• Community zur ePA (zugriffsgeschützt)