Elektronische Patientenakte (Deutschland)

Am 1. Januar 2021 ist die elektronische Patientenakte für alle Versicherten in gesetzlichen Krankenkassen gestartet. Das bedeutet, gesetzlich Krankenversicherte haben ihren Kassen gegenüber einen Anspruch auf eine ePA und ein Recht darauf, dass ihre Ärzte ihre persönliche Akte befüllen. Für die Patienten selbst ist sie freiwillig. Grundlage hierfür ist das Patientendatenschutzgesetz. Mit Inkrafttreten des Gesetzes zur Beschleunigung der Digitalisierung im Gesundheitswesen (Digital-Gesetz – DigiG) im März 2024 wurden weitgehende Änderungen bei elektronischen Patientenakte geregelt.

Jeder gesetzlich Krankenversicherte soll gemäß dem Digital-Gesetz^[1] zum 15. Januar 2025 eine ePA mit dem Produktnamen "ePA für alle" bzw. der Bezeichnung "ePA ab Version 3.0" erhalten, sofern er dem nicht bei seiner Krankenkasse widerspricht (Opt-out-Verfahren).^[2] Laut einer Umfrage der Deutschen-Presse-Agentur Ende September 2024 machen nur wenige der Versicherten von der Widerspruchsmöglichkeit Gebrauch^[3]. Eine zeitlich etwas spätere Befragung des AOK-Bundesverbands von Ende November 2024 zeigt allerdings, dass zu dem Zeitpunkt etwa jeder fünfte Befragte, d. h. 21,3 Prozent, von der Opt-out Möglichkeit Gebrauch machen will durch Widerspruch gegen das Anlegen der persönlichen Patientenakte.^[4]

Die ePA 3.0-Pilotphase in Franken, Hamburg und in Teilen Nordrhein-Westfalens soll ab dem 15. Januar 2025 beginnen und zunächst vier Wochen dauern. Verlaufen die Tests reibungslos, soll der bundesweite Rollout erfolgen. Als Starttermin wird nach Informationen des Bundesministeriums für Gesundheit der 15. Februar 2025 angestrebt.^[5]

Die Elektronische Patientenakte basiert auf der Telematikinfrastruktur (TI). Die Gematik trägt die Gesamtverantwortung für die Telematikinfrastruktur, die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen (vgl. § 306 SGB V). Mit der Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen in der TI soll die Gematik gewährleisten, dass diese zentrale Infrastruktur sicher, leistungsfähig und nutzerfreundlich ist.^[6]

Die Gematik betreibt ein Telematikinfrastruktur Dashboard (TI Dashboard), welches die Entwicklung sämtlicher Elemente der TI anzeigt und die Anzahl der Objekte und somit auch die Anzahl der Elektronischen Patientenakten in Deutschland aufführt. In Deutschland gibt es ca. 1,8 Millionen Elektronische Patienakten (Stand 7. Dezember 2024).^[7]

Die ePA wird von Ärztinnen und Ärzten im Behandlungskontext automatisch genutzt und eingebunden. Zusätzlich ist durch Integration der eRezepte eine Medikationsliste implementiert.

Ab Sommer 2025 wird ein digitaler Medikationsprozess eingebunden und können die Daten zu Forschungszwecken freigegeben werden. Laborbefunde kommen ab Anfang 2026 dazu.^[8]

In die ePA für alle lassen sich unstrukturierte Daten wie PDF-A-Dokumente und strukturierte Daten in Form von medizinischen Informationsobjekten (FHIR) hochladen.^[9] Medizinische Informationsobjekte (MIO) sind kleine digitale Informationsbausteine, die universell einsetzbar und kombinierbar sind. Beispiele hier sind der Impfpass, das Zahnärztliche Bonusheft, den Mutterpass und das Kinder-Untersuchungsheft.^[10]

Der Zugriff auf die ePA wird durch das Einlesen der Elektronischen Gesundheitskarte ermöglicht und dann für Ärzte und Ärztinnen für einen Zeitraum von 90 Tagen freigegeben. Es ist eine Institutionsberechtigung vorgesehen, d. h. berechtigt werden nicht nur Ärzte und Ärztinnen, sondern auch deren berufsmäßige Gehilfen.

Apotheken haben nach Abholen der Medikamente 3 Tage Zugriff auf die ePA.^[11] Sie können in der ePA jedoch lediglich auf die Medikationsliste und die elektronische Impfdokumentation zugreifen.^[12]

Patientinnen und Patienten können den Zugriff über eine ePA-App auch frühzeitig beenden oder verlängern.^[13]

Krankenkassen dürfen auf die ePA zugreifen, um spezielle Service wie die Erinnerung an Vorsorgeuntersuchungen anzubieten. Dafür müssen sie aber von den Versicherten explizit berechtigt worden sein.^[14]

Der Zugriff auf einzelne Dokumente kann über ein detailliertes Berechtigungssystem weiter eingeschränkt werden. Hierzu können pro Dokument Vertraulichkeitsstufen (normal, vertraulich, streng vertraulich) zugeordnet werden. Auf streng vertrauliche Dokumente können nur die Patientinnen und Patienten und deren Vertretungen zugreifen. Für die Behandelnden können einfache (Vertraulichkeitsstufe „normal“) oder erweiterte (Vertraulichkeitsstufe „vertraulich“) Zugriffsrechte vergeben werden.^[15]

Die ePA zeichnet Vorgänge in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen und Vorgängen, die unmittelbar im Zusammenhang mit den medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.

Darüber hinaus sollen die Daten weltweit interessierten Instituten und Unternehmen auch für Forschungs- und kommerzielle Zwecke zur Verfügung gestellt werden. Insbesondere mit großen Konzernen aus dem KI-Umfeld führte das Gesundheitsministerium dazu bereits im Herbst 2024 erste Gespräche.^[16]

Die ePA wird Anfang 2025 für alle Patientinnen und Patienten eingerichtet, die nicht widersprochen haben. Sie steht dann leer zur Verfügung. Die Befüllung durch die Arztpraxen erfolgt aber erst, wenn die ePA sich in den Modellregionen in der Pilotphase Anfang 2025 in der Praxis bewährt hat.^[17]

Sie erfolgt mit Daten, die bei der aktuellen Behandlung erhoben werden und elektronisch vorliegen.

Die folgenden Daten müssen dann eingestellt werden:

• Befundberichte aus invasiven oder chirurgischen sowie aus nichtinvasiven oder konservativen diagnostischen und therapeutischen Maßnahmen
• Befunddaten aus bildgebender Diagnostik
• Laborbefunde
• eArztbriefe

Die folgenden Daten können dann eingestellt werden:

• Daten aus strukturierten Behandlungsprogrammen (DMP)
• eAU-Bescheinigungen (Patienten-Kopie)
• Daten zu Erklärungen zur Organ- und Gewebespende
• Vorsorgevollmachten und Patientenverfügungen
• Elektronische Abschrift der vom Arzt oder Psychotherapeuten geführten Behandlungsdokumentation

Mit Einführung der ePA Version 3.0 besteht dort für jeden ePA-Besitzer die Standardvoreinstellung, dass die ePA-Daten der jeweiligen Person für Forschungszwecke an das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) am Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ausgeleitet werden und dort dann weiterverarbeitet werden. Diese Einstellung ist laut Angaben der Gematik vom jeweiligen ePA-Besitzer in der entsprechenden EPA-APP deaktivierbar.

Die Gematik betont, dass die in der ePA enthaltenen hochsensiblen Daten durch ein besonderes Sicherheitskonzept geschützt sind. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat das Sicherheitskonzept im September 2024 überprüft und schreibt als „Gesamtergebnis der Sicherheitsbetrachtung laut der Fraunhofer-Experten: Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern...“.^[18] Der dieser Sicherheitsbetrachtung zugrundeliegende Abschlussbericht des SIT benennt insgesamt 21 Schwachstellen, von denen 4 als „hoch“ eingestuft werden.^[19]

Der CCC schätzt die Sicherheit rund um die ePA-Daten mit Stand 27. Dezember 2024 weiterhin davon abweichend ein. Bei seinem Kongress „38C3“ wurde das nochmals ausführlich in einem dortigen Vortrag begründet.^[20][21] Als direkte Reaktion darauf hat die Gematik am gleichen Tag mitgeteilt, dass sie bereits technische Lösungen zum Unterbinden der vom CCC aufgezeigten Angriffsszenarien konzipiert habe und dass sie diese bis zum Ende der ePA 3.0-Pilotphase, die am 15. Januar 2025 beginnen wird, umsetzen werde.^[22]

Kritiker befürchten, dass in der ePA eine Vielzahl persönlicher Gesundheitsdaten gesammelt werden, die potenziell missbraucht werden könnten. Die zentrale Speicherung der Daten birgt grundsätzlich auch das Risiko von Datenlecks und unberechtigtem Zugriff.

Neben Datenschutzbedenken, wie u.a vom ehemaligen BfDI Ulrich Kelber im Jahr 2024 vorgebracht, bemängeln Kritiker u. a., dass in der ePA zum Start Anfang 2025 keine Volltextsuche möglich ist. Auch liegen die hinterlegten Daten zum Großteil als PDF-Dateien und nicht als auswertbare strukturierte Daten vor und es gibt dort keinerlei Dateien aus bildgebenden Verfahren. Die Hersteller von Patientenverwaltungssystemen (PVS) kritisieren zudem den im November 2024 erreichten Qualitätsstand der Software.^[23]

Mit Stand Dezember 2024 bestehen weiterhin sehr große Unklarheiten, welche Eigenschaften die deutsche EPA in der derzeitigen Version 3.0 beinhaltet. Die Unklarheiten betreffen nicht nur den angekündigten aber unsicheren Starttermin Anfang 2025, sie betreffen auch insbesondere Fragen der Haftung und des Datenschutzes, Fragen rund um die Unabhängigkeit der Ärzte und umfassende Einsicht in die Daten, Stichwort „Aushöhlung der ärztlichen Verschwiegenheitspflicht“, sowie ein jetzt hinzukommendes beschränktes Berechtigungsmanagement, so dass voraussichtlich z. B. selbst Mitarbeiter der Apotheken inklusive Versandapotheken umfassenden Zugriff auf die Inhalte der ePA 3.0 haben werden.^[24]

Die Freie Ärzteschaft kritisiert darüber hinaus Anfang Dezember 2024 bekannt gewordene Pläne des Gesundheitsministeriums, internationalen Konzernen die Nutzung der Krankheitsdaten für kommerzielle Zwecke zu ermöglichen.^[25]

Die seitens des BMG vollmundig angekündigten Forschungsvorteile durch die ePA-Daten werden laut Expertenmeinungen nicht realisierbar sein.^[26] Zudem stehen zahlreiche statistische Gesundheitsdaten für Aspekte der deutschen Krankenversorgungsplanung bereits heute an anderen Stellen zur Verfügung, u. a. seitens dem Destatis^[27] und dem seit längerem bestehenden Forschungsdatenzentrum der Statistischen Ämter der Länder.^[28]

• Forschungsdatenzentrum

• ePA 3.0 ab Januar 2025: Fragen und Antworten zur neuen ePA seitens Heise online
• Bundesgesundheitsministerium - ePA-Vorteile
• Sicherheitsanalyse EPA für alle
• Kassenärztliche Bundesvereinigung zur ePA
• Verbraucherzentrale NRW/Bundesverband: Ausführliche Informationen zur kommenden ePA
• Das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit)
• Information der Gematik Ende 2024 mit Streams zur Funktionsweise der ePA in Arztpraxen

• Andreas Meißner: Die elektronische Patientenakte – vom Ende der Schweigepflicht: für Risiken und Nebenwirkungen übernimmt niemand die Verantwortung. Westend, Neu-Isenburg 2024, ISBN 978-3-86489-472-5. 
• Peter Schaar: Diagnose: Digital-Desaster: ist das Gesundheitswesen noch zu retten? Hirzel, Stuttgart 2023, ISBN 978-3-7776-3316-9, S. 136 ff. 

1. ↑ Bundesgesetzblatt - Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz — DigiG). Bundesgesetzblatt, 25. März 2024, abgerufen am 30. Dezember 2024. 
2. ↑ ePA für alle | gematik. Abgerufen am 13. Oktober 2024. 
3. ↑ Martin Schneider: E-Patientenakte: Kaum Widerstand bei Versicherten – So geht’s weiter! Abgerufen am 28. Oktober 2024 (deutsch). 
4. ↑ auf archive.org: AOK Umfrage zur elektronischen Patientenakte. Abgerufen am 30. Dezember 2024. 
5. ↑ Elektronische Patientenakte - ePA. 10. Oktober 2024, abgerufen am 13. Oktober 2024. 
6. ↑ Über uns | gematik. Abgerufen am 13. Oktober 2024. 
7. ↑ TI-Dashboard | gematik. Abgerufen am 4. November 2024. 
8. ↑ Elektronische Patientenakte: ePA für alle. Abgerufen am 22. Oktober 2024. 
9. ↑ ePA für alle | gematik. Abgerufen am 13. Oktober 2024. 
10. ↑ Medizinische Informationsobjekte (MIO). 29. Januar 2021, abgerufen am 1. November 2024. 
11. ↑ Apotheke Adhoc: Apotheken haben drei Tage Zugang zur ePA. Abgerufen am 25. Oktober 2024 (deutsch). 
12. ↑ Gematik - Leitfaden für Apotheken
13. ↑ Apotheke Adhoc: ePA: Sicher mit Schwachstellen. Abgerufen am 2. November 2024 (deutsch). 
14. ↑ Handelsblatt. Abgerufen am 22. Dezember 2024. 
15. ↑ Wie spezifisch kann ich Berechtigungen für die ePA vergeben? Abgerufen am 3. November 2024 (deutsch). 
16. ↑ heise online: Lauterbach zu Gesundheitsdaten: Google, Meta, und OpenAI melden Interesse an. 28. November 2024, abgerufen am 4. Dezember 2024. 
17. ↑ heise online: Elektronische Patientenakte: Bundesgesundheitsministerium stellt Pläne klar. 20. November 2024, abgerufen am 22. November 2024. 
18. ↑ Neues ePA-Sicherheitskonzept auf dem Prüfstand. Abgerufen am 15. Oktober 2024. 
19. ↑ Abschlussbericht Sicherheitsanalyse ePA fuer alle Frauenhofer SIT. Abgerufen am 1. Januar 2025. 
20. ↑ 38C3: Große Sicherheitsmängel in elektronischer Patientenakte 3.0 aufgedeckt. heise.de, 27. Dezember 2024, abgerufen am 28. Dezember 2024. 
21. ↑ CCC fordert Ende der ePA-Experimente am lebenden Bürger. ccc.de, 27. Dezember 2024, abgerufen am 28. Dezember 2024. 
22. ↑ Gematik Stellungnahme zum CCC-Vortrag zur ePA für alle. gematik.de, 27. Dezember 2024, abgerufen am 28. Dezember 2024. 
23. ↑ heise online: Entwickler zu E-Patientenakte: Ab Januar "dunkelgrüne Schrumpelbananensoftware". 8. November 2024, abgerufen am 8. November 2024. 
24. ↑ Elektronische Patientenakte 3.0: Versicherte wissen nicht, was auf sie zukommt. 1. Dezember 2024, abgerufen am 2. Oktober 2024. 
25. ↑ LabNews Media LLC: Freie Ärzteschaft: Lauterbach will ePA Patientendaten an Meta, Google und OpenAI weitergeben - LabNews. 2. Dezember 2024, abgerufen am 4. Dezember 2024. 
26. ↑ Interview zu Forschungsvorhaben: "Elektronische Patientenakte kein Heilsbringer". heise.de, 25. Dezember 2024, abgerufen am 27. Dezember 2024. 
27. ↑ Datenangebot zum Thema Gesundheit. Statistische Bundesamt, abgerufen am 27. Dezember 2024. 
28. ↑ Datenangebot zum Thema Gesundheit. Forschungsdatenzentren der Statistischen Ämter des Bundes und der Länder, abgerufen am 27. Dezember 2024.