Definition und rechtlicher Rahmen der Elektronischen Patientenakte (ePA)
Die elektronische Patientenakte (ePA) ist eine digitale Akte, die medizinische Daten von Patientinnen und Patienten strukturiert, elektronisch speichert und für autorisierte Stellen im deutschen Gesundheitswesen verfügbar macht. Die rechtlichen Grundlagen der ePA sind im Sozialgesetzbuch Fünftes Buch (§§ 341 ff. SGB V) sowie in begleitenden Verordnungen und Datenschutzgesetzen geregelt.
Ziel und Inhalt der elektronischen Patientenakte
Die elektronische Patientenakte soll die Behandlungssicherheit und Effizienz im Gesundheitssystem erhöhen, indem sie medizinische Informationen zentral, schnell und sicher verfügbar macht. Zu den potenziellen Inhalten der ePA zählen:
- Diagnosen
- Befunde
- Therapiemaßnahmen
- Medikation
- Impfstatus
- Arztbriefe
- Notfalldaten
Die Nutzung der ePA ist für Versicherte freiwillig, wird ihnen jedoch von den gesetzlichen Krankenversicherungen (§ 342 SGB V) als Angebot unterbreitet.
Rechtliche Grundlagen und Verpflichtungen
Gesetzliche Einführung und Entwicklung
Die Einführung der ePA wurde durch das Digitale-Versorgung-Gesetz (DVG) vom 9. Dezember 2019 maßgeblich beschleunigt und konkretisiert. Zum 1. Januar 2021 sind gesetzliche Krankenversicherungen verpflichtet, ihren Versicherten eine ePA zur Verfügung zu stellen. Das Patientendaten-Schutz-Gesetz (PDSG) von 2020 regelt Datenschutz, Zugriffsrechte und Interoperabilität der gespeicherten Gesundheitsdaten.
Beteiligte Akteure und deren Pflichten
Krankenkassen
Krankenkassen sind verpflichtet, ihren Versicherten die ePA anzubieten und über Nutzungsmöglichkeiten, Inhalte sowie Datenschutzbestimmungen aufzuklären. Sie müssen außerdem sicherstellen, dass die technische Anbindung an die Telematikinfrastruktur gegeben ist (§ 341 SGB V).
Leistungserbringer
Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte sowie Krankenhäuser sind berechtigt und in bestimmten Fällen verpflichtet, Daten auf Wunsch der Versicherten in die ePA einzutragen bzw. daraus auszulesen. Sie müssen die technischen und organisatorischen Voraussetzungen schaffen, um die ePA zu nutzen (§ 342a SGB V).
Versicherte (Patientinnen und Patienten)
Versicherte entscheiden eigenverantwortlich über das Anlegen, Befüllen, Löschen und Freigeben ihrer ePA. Sie können den Zugang für einzelne oder mehrere Leistungserbringer gezielt steuern (§ 355 SGB V).
Datenschutz und Datensicherheit
Datenschutzrechtliche Grundlagen
Die ePA unterliegt strengen Datenschutzrichtlinien, insbesondere der Datenschutz-Grundverordnung (DSGVO) sowie spezifischen Bestimmungen des deutschen Sozialdatenschutzes. Die Datenverarbeitung erfolgt nur auf rechtmäßiger Grundlage, mit ausdrücklicher Einwilligung der Versicherten (§ 342 Abs. 2 SGB V).
Einwilligung und Widerruf
Die Nutzung der ePA bedarf der aktiven Zustimmung der Patientinnen und Patienten. Diese haben jederzeit das Recht, die Einwilligung zu widerrufen oder die Akte löschen zu lassen. Zudem können sie den Kreis der zugriffsberechtigten Leistungserbringer selbstständig steuern.
Technische Sicherheitsstandards
Die ePA und ihre Anwendungen müssen den Anforderungen der gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) entsprechen. Hierzu zählen verschlüsselte Datenübertragung, Zugriffsschutz durch Identitätsprüfung und Protokollierung aller Zugriffe (§ 355 Abs. 2 SGB V). Bei Verlust oder Missbrauch persönlicher Daten greifen Datenschutzaufsichtsbehörden und zivilrechtliche Haftungsregeln.
Zugriffsrechte und Datenhoheit
Zugriffssteuerung
Patientinnen und Patienten behalten jederzeit die volle Kontrolle über ihre persönliche Akte. Über digitale Zugriffsverwaltung können sie definieren, welche Gesundheitsdienstleister welche Teile der ePA wie lange einsehen dürfen (§ 355 SGB V).
Einsichts- und Löschungsrechte
Versicherte haben das Recht,
- einzelne Einträge zu löschen,
- die gesamte ePA zu entfernen
- oder den Zugang für bestimmte Gesundheitsdienstleister temporär oder dauerhaft zu entziehen.
Haftungsfragen
Sowohl Versicherte als auch Gesundheitsdienstleister sind beim Umgang mit der ePA rechtlich abgesichert, sofern sie die gesetzlichen Vorgaben befolgen. Fehlerhafte Eintragungen, missbräuchliche Nutzung oder unberechtigte Zugriffe können Unterlassungs-, Schadensersatz- oder Datenschutzstrafen nach sich ziehen.
Interoperabilität, Weiterentwicklung und Ausblick
Die ePA soll künftig nicht nur nationale, sondern auch europäische Standards für Interoperabilität und Datensicherheit erfüllen. Weiterentwicklungen betreffen die Möglichkeit zur Integration weiterer digitaler Gesundheitsanwendungen, elektronische Rezepte sowie Schnittstellen zu digitalen Impfausweisen und Forschungsvorhaben, deren Zugriff gesondert zu regeln ist.
Übersicht der maßgeblichen Rechtsquellen
- Sozialgesetzbuch Fünftes Buch (SGB V), insbesondere §§ 341-355
- Datenschutz-Grundverordnung (DSGVO)
- Digitale-Versorgung-Gesetz (DVG)
- Patientendaten-Schutz-Gesetz (PDSG)
- Regelungen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
- Vorgaben der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik)
Zusammenfassung:
Die elektronische Patientenakte ist ein zentrales Element der Digitalisierung im deutschen Gesundheitswesen mit umfangreichen gesetzlichen Vorgaben zum Zweck, zur freiwilligen Nutzung, zum Datenschutz sowie zur technischen und organisatorischen Sicherheit. Sie verpflichtet verschiedene Akteure und gewährleistet zugleich das Selbstbestimmungsrecht der Patientinnen und Patienten im Umgang mit eigenen Gesundheitsdaten.
Häufig gestellte Fragen
Wer ist rechtlich zur Führung und Verwaltung der elektronischen Patientenakte (ePA) berechtigt?
Die Verwaltung und Führung der elektronischen Patientenakte (ePA) obliegt rechtlich in Deutschland den gesetzlichen Krankenkassen sowie den privat Krankenversicherten durch deren Versicherungsunternehmen. Nach § 341 SGB V sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherten die Möglichkeit zur Nutzung einer ePA bereitzustellen. Die Krankenkassen dürfen die ePA jedoch nicht eigenständig mit Inhalten füllen oder verändern; dies bleibt ausschließlich den Versicherten sowie den nach § 355 SGB V berechtigten Leistungserbringern wie Ärzten, Zahnärzten, Psychotherapeuten und Apothekern vorbehalten. Versicherte haben hierbei sowohl das Recht, die Verwaltung der ePA in Teilen selbst zu übernehmen, als auch die Zugriffsrechte für Leistungserbringer individuell zu steuern. Die Hoheit über die Inhalte und deren Weitergabe liegt somit stets beim Versicherten. Zugriff auf die ePA seitens Dritter ist ohne ausdrückliche Einwilligung nicht zulässig, was durch technisch-organisatorische Maßnahmen und Verpflichtungen zur Verschwiegenheit entsprechend rechtlich abgesichert ist.
Welche datenschutzrechtlichen Anforderungen gelten für die elektronische Patientenakte?
Die elektronische Patientenakte unterliegt in Deutschland strengsten datenschutzrechtlichen Vorgaben, die sich primär aus der Datenschutz-Grundverordnung (DSGVO) und ergänzend aus dem Bundesdatenschutzgesetz (BDSG) sowie spezialgesetzlichen Vorschriften des SGB V ergeben. Gesundheitsdaten gelten als besonders schützenswerte personenbezogene Daten gemäß Art. 9 DSGVO und dürfen nur unter engen Voraussetzungen verarbeitet werden. Die Nutzung und Verarbeitung der ePA-Daten setzt eine explizite, informierte Einwilligung der betroffenen Person voraus, wobei der Umfang und Zweck der Datenverarbeitung klar definiert und transparent gemacht werden müssen. Versicherte haben nach Art. 15 DSGVO jederzeit das Recht auf Auskunft, Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung ihrer Daten. Die Zugriffsprotokollierung ist obligatorisch; jede Einsichtnahme und Bearbeitung muss dokumentiert und den Versicherten auf Anfrage offengelegt werden. Zudem dürfen personenbezogene Daten innerhalb der ePA grundsätzlich nicht ohne ausdrückliche Zustimmung außerhalb der Europäischen Union verarbeitet werden.
Welche rechtlichen Verpflichtungen bestehen hinsichtlich der Aufbewahrung und Löschung von Daten in der ePA?
Für die Aufbewahrung und Löschung der Daten in der ePA bestehen spezielle gesetzliche Regelungen. Gemäß § 341 Abs. 3 SGB V dürfen die dort gespeicherten Daten grundsätzlich solange gespeichert werden, wie der Patient dies wünscht. Die Versicherten haben das jederzeitige Recht, einzelne Dokumente oder die gesamte Akte zu löschen, was als wesentlicher Bestandteil des informationellen Selbstbestimmungsrechts anerkannt ist. Nach Beendigung des Versicherungsverhältnisses oder auf ausdrücklichen Wunsch des Versicherten sind die Daten umgehend und vollständig zu löschen, mit Ausnahme eventuell bestehender gesetzlicher Aufbewahrungspflichten (z.B. nach § 257 HGB oder § 147 AO für bestimmte Abrechnungsdokumente). Eine automatische Löschung der Daten erfolgt nicht, sondern liegt stets im Verantwortungsbereich der Versicherten in Kooperation mit der jeweiligen Krankenkasse. Die technischen und organisatorischen Maßnahmen müssen dies zuverlässig gewährleisten. Eventuelle Löschbegehren sind zeitnah und nachweisbar umzusetzen und zu dokumentieren.
Unter welchen Voraussetzungen dürfen Leistungserbringer auf die ePA zugreifen?
Leistungserbringer wie Ärzte, Zahnärzte, Psychotherapeuten oder Apotheker dürfen ausschließlich mit ausdrücklicher, dokumentierter Einwilligung des Versicherten auf die ePA zugreifen (§ 355 Abs. 2 SGB V). Es ist rechtlich erforderlich, dass für jeden Zugang ein individueller, zweckgebundener Zugriff gewährt wird, typischerweise zeitlich und inhaltlich begrenzt. Der Versicherte kann die Zugriffsrechte differenziert vergeben (z.B. nur für bestimmte Dokumente oder während eines definierten Zeitraums). Automatisierte oder dauerhafte Zugänge sind ohne erneute Einwilligung unzulässig. Jeder Zugriff auf die ePA wird protokolliert und muss auf Anfrage dem Versicherten transparent offengelegt werden. Ausnahmen bestehen nur in seltenen, gesetzlich besonders geregelten Notfällen (z.B. ausdrückliche Regelungen im Falle einer akuten Gefahr für Leib und Leben), und auch hier gelten strenge Dokumentations- und Nachweispflichten.
Welche Haftungsregelungen gelten für fehlerhafte oder unvollständige Eintragungen in der ePA?
Fehlerhafte oder unvollständige Eintragungen in der ePA unterliegen grundsätzlich den allgemeinen haftungsrechtlichen Regelungen, insbesondere jenen des Bürgerlichen Gesetzbuches (BGB) und der berufsrechtlichen Vorschriften der jeweiligen Leistungserbringer. Wer Informationen einpflegt – etwa Ärzte – ist für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte verantwortlich. Kommt es durch fehlerhafte oder unvollständige Angaben zu gesundheitlichen Schäden, haftet der jeweilige Leistungserbringer unter Umständen sowohl zivilrechtlich (Schadensersatz, ggf. Schmerzensgeld) als auch berufsrechtlich. Die gesetzlichen Krankenkassen haften nur für die ordnungsgemäße technische Bereitstellung und Sicherung des Systems, nicht jedoch für die Inhalte. Patienten müssen aktiv in die Überprüfung einbezogen werden und haben Anspruch auf Korrektur fehlerhafter Angaben. Bestehen Zweifel an der Authentizität oder Richtigkeit eines Eintrags, können Datensatzberichtigungen verlangt werden.
Wie ist die Rechtslage bei einem Wechsel der Krankenkasse bezüglich der ePA?
Beim Wechsel der Krankenkasse hat der Versicherte nach § 341 Abs. 6 SGB V das Recht, alle in der bisherigen ePA gespeicherten Daten auf die neue Krankenkasse zu übertragen. Die bisherige Krankenkasse ist verpflichtet, auf Wunsch des Versicherten die vollständige Akte entweder elektronisch zu übertragen oder deren Löschung zu veranlassen. Die Übertragung hat datenschutzkonform und sicher zu erfolgen. Ein automatischer Datenaustausch ohne explizite Zustimmung des Versicherten ist unzulässig. Die neue Krankenkasse muss dem Versicherten ermöglichen, die übermittelten Daten in die neue ePA zu integrieren, darf dies aber nicht eigenständig vornehmen. Ein irreversibler Datenverlust durch den Wechsel ist rechtlich nach Möglichkeit zu vermeiden.
Welche besonderen rechtlichen Vorkehrungen gelten im Falle des Todes des Versicherten?
Im Todesfall eines Versicherten gelten besondere Regelungen für die ePA. Die Zugriffs- und Löschrechte gehen grundsätzlich nicht automatisch auf Erben oder Angehörige über, da es sich um hochsensible personenbezogene Gesundheitsdaten handelt. Zugriffe durch Dritte sind nur möglich, wenn eine ausdrückliche, zu Lebzeiten ausgestellte Vollmacht oder eine entsprechende richterliche Anordnung vorliegt. Gesetzliche Vertreter oder bestellte Nachlassverwalter können unter Umständen ein Zugriffsrecht geltend machen, wenn dies zur Klärung erbrechtlicher oder versicherungsrechtlicher Fragestellungen notwendig ist. Die Krankenkassen beziehungsweise Versicherungsunternehmen sind verpflichtet, die ePA nach Bekanntwerden des Todesfalls und gegebenenfalls nach abschließender Klärung aller rechtlichen Sachverhalte vollständig zu löschen, sofern keine anderweitigen gesetzlichen Aufbewahrungspflichten bestehen.
