Spenden und Helfen

Die elektronische Patientenakte (ePA)

Meine Rechte bei Multipler Sklerose, Symbolbild, AMSEL e.V.

Ab Januar 2025 sollen alle gesetzlich Krankenversicherten eine elektronische Patientenakte (ePA) erhalten. Der Versicherte kann dem innerhalb von sechs Wochen nach Bekanntgabe und auch jederzeit danach widersprechen, wenn er keine e-PA bekommen bzw. seine Erlaubnis zurückziehen möchte. Am 15. Januar hat die Pilotphase in den Modellregionen trotz Sicherheitsbedenken begonnen.

Die Krankenkassen müssen ihre Versicherten vorab schriftlich informieren, dass sie eine ePA bekommen. Die Nutzung der ePA bleibt freiwillig. Versicherte müssen innerhalb von sechs Wochen nach Bekanntgabe durch ihre Krankenkasse der Nutzung widersprechen, wenn sie die Einrichtung der ePA nicht wünschen (sog. Opt-Out-Regelung). Der Widerspruch darf keine negativen Auswirkungen auf ihre Gesundheitsversorgung haben. Wenn Versicherte später ihre Entscheidung ändern möchten, ist dies jederzeit möglich.

Pilotphase in Modellregionen angelaufen

Am 15. Januar 2025 ist die Einführung mit einer vierwöchigen Testphase in vier ausgewählten Modellregionen gestartet. Verlaufen die Tests reibungslos, ist ein bundesweiter Start ab 15. Februar 2025 vorgesehen. Der Chaos Computer Club (CCC) wies kurz vor der Einführung der Testphase Ende Dezember auf gravierende Sicherheitslücken hin. Der DMSG-Bundesverband forderte im Januar 2025 gemeinsam mit zahlreichen anderen gemeinnützigen Organisationen in einem offenen Brief an Bundesgesundheitsminister Lauterbach, die gravierenden Mängel der ePA vor dem Start abzustellen. Privatversicherte haben ebenfalls die Möglichkeit, die ePA zu nutzen, wenn  ihre Versicherung dies anbietet.

Welche Vorteile bietet die elektronische Patientenakte (ePA)?

In die ePA können Versicherte dauerhaft digital alle wichtigen Gesundheitsdaten speichern (lassen) und zusammenführen. Behandelnde Ärzte, Krankenhäuser, Physiotherapeuten, Zahnärzte, Psychotherapeuten, Apotheken etc. können dort alle Gesundheitsdaten, Befundberichte, Röntgenunteruntersuchungen, Laborwerte, Medikamentenlisten, geplante Therapiemaßnahmen etc. einstellen, wenn der Versicherte dem zustimmt. Versicherte entscheiden selbst, welche Gesundheitsdaten digital gespeichert werden und wer darauf Zugriff erhält. Nur Versicherte selbst oder von ihnen zum Zugriff Berechtigte können die Inhalte der ePA lesen.

Der Vorteil: Versicherte haben durch die ePA eine lebenslange, gute Übersicht über ihre Gesundheitsdaten (per ePA-App einseh- und verwaltbar) und diese immer mit dabei. Es erleichtert auch den Austausch von medizinischen Dokumenten zwischen Arztpraxen, Kliniken, Apotheken etc., wenn Versicherte die entsprechende Zugriffserlaubnis erteilen. Anamnese, Diagnostik und Therapieentscheidungen können dadurch erleichtert und Doppeluntersuchungen vermieden werden. Auch Arztwechsel werden einfacher.

Um auf die ePA des Versicherten zugreifen zu können, benötigen die Leistungserbringer neben der Zustimmung des Versicherten die Legitimation über einen elektronischen
Heilberufsausweis. Die ePA ersetzt aber nicht die Behandlungsdokumentation im Praxisverwaltungssystem der Ärzte. Krankenkassen haben auf die Gesundheitsdaten
kein Zugriffsrecht.

Welche Gesundheitsdaten kommen in die ePA?

Es ist gesetzlich geregelt, welche Gesundheitsdaten von Ärzten in die ePA eingestellt werden müssen, vorbehaltlich der Zustimmung des Patienten. Bisher sind dies: 

  • Befundberichte aus invasiven oder chirurgischen sowie aus nichtinvasiven oder konservativen diagnostischen und therapeutischen Maßnahmen
  • Befunddaten aus bildgebender Diagnostik
  • Laborbefunde
  • eArztbriefe
  • Ergebnisse von genetischen Untersuchungen und Analysen können nur mit ausdrücklich schriftlicher Einwilligung des Versicherten gespeichert werden

Auf Wunsch des Patienten müssen folgende weitere Daten eingepflegt werden:

  • Daten aus strukturierten Behandlungsprogrammen (DMP)
  • eAU-Bescheinigungen (Patienten-Kopie)
  • Daten zu Erklärungen zur Organ- und Gewebespende
  • Vorsorgevollmachten und Patientenverfügungen
  • elektronische Abschrift der vom Arzt oder Psychotherapeuten geführten Behandlungsdokumentation

Der Gesetzgeber sieht bereits vor, dass in Zukunft weitere Gesundheitsdaten in die ePA eingestellt werden können (z.B. Impfpass, Medikationsplan etc.). Versicherte können
über eine spezielle ePA-App auch eigene Daten einpflegen, z.B. ältere medizinische Dokumente, die sie in Papierform noch zu Hause haben, Gesundheitsdaten aus Schmerztagebüchern, Daten von Gesundheits-Apps etc.

Was brauchen Versicherte für die Nutzung der ePA?

Damit Versicherte ihre Gesundheitsdaten auf der ePA selbst verwalten können, benötigen sie eine spezielle ePA-App ihrer Krankenkasse auf ihrem digitalen Endgerät (Smartphone, Tablet, Laptop etc.). Mit dieser können sie Dokumente hoch- oder runterladen, verbergen,
anzeigen oder löschen, Zugriffsberechtigungen erteilen oder widerrufen, die Zugriffsdauer von Leistungserbringern festlegen und ändern. Versicherte können über die App auch entscheiden, ob ihre Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken genutzt werden dürfen.

In der App wird ein Protokoll erstellt, aus dem genau hervorgeht, wer wann Zugriff auf die ePA genommen hat. So können unberechtigte Zugriffe nachvollzogen werden. Versicherte können mit der App auch die Nutzung der ePA grundsätzlich beenden und alle Daten eigenständig löschen.

Um die App nutzen zu können, ist der Download und die Installation der ePA-App erforderlich. Versicherte müssen dann ein Identifikations- und Anmeldeverfahren über
ihre Krankenkasse durchlaufen. In der Regel wird hierzu eine NFC-fähige Gesundheitskarte und eine dazugehörige PIN benötigt. Versicherte sollten sich hierzu an ihre Krankenkasse wenden, da es ggf. unterschiedliche Verfahren gibt. Außerdem sollten Versicherte sicherstellen, dass das Betriebssystem ihres Endgeräts aktuell ist, um die ePA-App nutzen zu können. Die ePA-App benötigt außerdem eine stabile technische Infrastruktur. Eine langsame Internetverbindung kann z.B. den Zugang zur ePA erschweren.

Nutzung der ePA auch ohne App möglich?

Einrichtung und Nutzung der ePA ist auch ohne ePA-App möglich. Versicherte können die gespeicherten Daten in diesem Falle jedoch nicht einsehen, hochladen oder verwalten. Auch eigene Dokumente können nicht hochgeladen werden. Wenn die Gesundheitskarte des Versicherten in der Arztpraxis eingelesen wird, erhalten Ärzte automatisch 90 Tage Zugriff auf die ePA. Widersprüche z.B. zu Zugriffsberechtigungen sind dann nur über die Ombudsstellen möglich. Versicherte sollten sich hier von ihrer Krankenkasse beraten lassen.

Wenn Versicherte nicht selbst in der Lage sind, die Gesundheitsdaten ihrer ePA über die ePA-App zu verwalten, können sie auch eine Person ihres Vertrauens als Vertretung einsetzten. Die Vertretungsperson kann Zugriffsrechte von Leistungserbringern erlauben oder entziehen, ist aber nicht berechtigt, die ePA grundsätzlich zu löschen oder das Vertretungsrecht an andere Personen weiterzugeben. Versicherte erhalten entsprechende Auskünfte bei ihrer Krankenkasse.

Wie sicher sind Ihre Daten in der ePA gespeichert?

Die gesetzlichen Anforderungen an die Datensicherheit sind sehr hoch. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat hierzu klare Sicherheitsvorgaben.
Der Zugriff erfolgt über die Telematikinfrastruktur und gilt als sicheres und in sich geschlossenes Netz. Alle ePA-Apps müssen außerdem ein Zulassungsverfahren der Nationalen Agentur für Digitale Medizin (Gematik) durchlaufen, welchen vom Bundesgesundheitsministerium die Verantwortung für die Patientenakte übertragen wurde. Die Daten liegen verschlüsselt auf Servern, die der europäischen Datenschutzverordnung unterliegen und von unabhängigen Gutachern geprüft werden. Nur Versicherte selbst oder von ihnen berechtigte Personen können die Inhalte der ePA lesen.

Dennoch handelt es sich um sensible Gesundheitsdaten, die durch Datenlecks und Cyberangriffe in falsche Hände geraten können. Versicherte sollten zur Datensicherheit
zusätzlich auf regelmäßige Sicherheitsupdates auf ihrem Handy bzw. ihren Endgeräten achten. Auch Arztpraxen sind hier in der Verantwortung, dass hohe Datensicherheitsstandards bei der eigenen EDV eingehalten werden.

Nach dem Bekanntwerden der Präsentation des Chaos Computer Clubs fordert der Chef der Bundesärztekammer, Klaus Reinhardt, rasche Nachbesserung. Er könne die ePA 3.0 nach aktuellem Stand nicht empfehlen. Reinhardt hält die möglichen Einfallstore dem Bericht zufolge für zu groß und ist sich mit Sicht auf jüngste Äußerungen des Bundesgesundheitsministers sicher, dass das auch im Bundesgesundheitsministerium angekommen sei.

Quelle: together 04.24

Redaktion: AMSEL e.V., 29.01.2025