Elektronische Patientenakte (ePA): Begriff, Bedeutung und rechtlicher Rahmen
Die Elektronische Patientenakte (ePA) ist eine digitale Akte, in der gesundheitsbezogene Informationen einer Person zentral und strukturiert gespeichert werden. Ziel ist, medizinische Daten über Einrichtungen und Behandlungsanlässe hinweg verfügbar zu machen, um Versorgung, Sicherheit und Transparenz zu verbessern. Die ePA ist an die gesetzliche Krankenversicherung angebunden und in die nationale Telematikinfrastruktur eingebettet. Sie ergänzt, ersetzt jedoch nicht vollständig die Dokumentationspflichten in den Primärsystemen von Praxen und Kliniken.
Rechtsrahmen und Zuständigkeiten
Verantwortliche und Rollen
Rechtlich handelt es sich bei der ePA um eine Datenverarbeitung besonders sensibler Gesundheitsdaten. Verantwortlich für das Betreiben der konkreten ePA-Instanzen sind in der Regel die Krankenkassen, die den Versicherten die Akte bereitstellen. Sie bedienen sich zertifizierter Dienstleister und Anwendungen. Gesundheitsdienstleister (z. B. Praxen, Kliniken, Apotheken) erhalten im Rahmen der Behandlung definierte Zugriffsrechte. Die übergreifende Koordination von technischen Spezifikationen und Zulassungen erfolgt durch die jeweils zuständige nationale Stelle für die Telematikinfrastruktur.
Rolle der Krankenkassen und der Telematikinfrastruktur
Krankenkassen stellen die ePA bereit, ermöglichen den Zugang über Apps und alternative Zugangswege und verantworten die Einhaltung der datenschutz- und sicherheitsrechtlichen Vorgaben. Die Telematikinfrastruktur sorgt für sichere Vernetzung, Zertifikate, Identitäten und die Zulassung von Fachanwendungen. Zugriffe der Leistungserbringer erfolgen über deren Praxissysteme oder Fachanwendungen, die an die Infrastruktur angebunden sind.
Leistungserbringer und Dokumentationspflichten
Behandelnde Stellen erfüllen ihre berufs- und sozialrechtlichen Dokumentationspflichten primär im eigenen System. Sie dürfen relevante Informationen zusätzlich in der ePA ablegen, wenn die rechtlichen Voraussetzungen erfüllt sind und die betroffene Person dies nicht ausschließt. Die Verantwortung für Richtigkeit und Nachvollziehbarkeit der in die ePA eingestellten Einträge liegt bei der einstellenden Stelle.
Einwilligung, Wahlrechte und Aktivierung
Einrichtung und Aktivierungsmodelle
Die ePA ist grundsätzlich ein freiwillig nutzbares Angebot. Abhängig von der jeweiligen gesetzlichen Ausgestaltung kann die ePA standardmäßig bereitgestellt werden, wobei Versicherte ein Widerspruchsrecht behalten. Die tatsächliche Nutzung setzt eine Aktivierung und Authentifizierung der versicherten Person oder einer wirksam bevollmächtigten Vertretung voraus.
Zugriffserteilung und -beschränkung
Die versicherte Person steuert, welche Einrichtungen auf welche Dokumente zugreifen dürfen. Zugriffe lassen sich zeitlich befristen und auf einzelne Dokumente oder Dokumentengruppen beschränken, sofern die bereitgestellten Steuerungsfunktionen dies vorsehen. Ohne erteilte Zugriffsrechte besteht grundsätzlich kein Leserecht.
Widerruf und Feingranularität
Erteilte Zugriffsrechte können widerrufen werden. Je nach technischer Ausgestaltung sind feingranulare Einstellungen möglich (z. B. pro Dokument, Dokumentenart oder Einrichtung). Ein Widerruf wirkt für die Zukunft; bereits erfolgte, rechtmäßige Zugriffe bleiben dokumentiert.
Dateninhalte und Verarbeitung
Arten von Daten
Typische Inhalte sind Arztbriefe, Befunde, Diagnosen, Medikationspläne, Impf- und Vorsorgedaten, Notfalldatensätze, elektronische Verordnungen sowie Pflege- und Zahndokumentationen. Es handelt sich um besonders schützenswerte Informationen mit erhöhten Anforderungen an Zweckbindung und Sicherheit.
Speicherort und Infrastruktur
Die Speicherung erfolgt in zertifizierten Rechenzentren innerhalb des vorgesehenen Rechtsraums und unterliegt strengen technischen und organisatorischen Vorgaben. Der Datenaustausch geschieht über abgesicherte Schnittstellen der Telematikinfrastruktur.
Aufbewahrung und Löschung
Inhalte der ePA werden so lange vorgehalten, wie dies für den vorgesehenen Zweck der Akte erforderlich ist oder solange die versicherte Person sie nicht löscht. Löschungen können sich auf einzelne Dokumente oder gesamte Dokumentengruppen beziehen. Unabhängig davon gelten für Primärdokumentationen in Praxen und Kliniken eigenständige Aufbewahrungsfristen, die nicht durch eine Löschung in der ePA berührt werden.
Datenschutz und Informationssicherheit
Datenschutzrechtliche Grundlagen
Die Verarbeitung in der ePA stützt sich auf das europäische Datenschutzrecht und ergänzende nationale Bestimmungen des Gesundheits- und Sozialrechts. Zentrale Prinzipien sind Transparenz, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit. Für Gesundheitsdaten gelten gesteigerte Schutzanforderungen.
Sicherheitsmaßnahmen
Vorgeschrieben sind starke Authentifizierungs- und Autorisierungsverfahren, Ende-zu-Ende-gesicherte Übertragungen, kryptografische Schutzmaßnahmen, rollenbasierte Zugriffskontrollen und regelmäßig geprüfte technische Standards. Der Zugang für Versicherte erfolgt über sichere Identitätsnachweise. Leistungserbringer nutzen zugelassene Komponenten der Telematikinfrastruktur.
Protokollierung und Nachvollziehbarkeit
Alle Zugriffe und Änderungen werden protokolliert. Versicherte können diese Protokolle einsehen, um nachzuvollziehen, wer wann welche Daten gelesen oder eingestellt hat. Protokolle unterliegen eigenen Speicherfristen und dienen der Transparenz und Kontrolle.
Notfallzugriff
In medizinischen Notfällen kann ein abrufender Zugriff unter eng begrenzten Voraussetzungen zulässig sein, wenn eine vorherige Einwilligung nicht rechtzeitig eingeholt werden kann. Solche Zugriffe werden besonders gekennzeichnet und protokolliert und unterliegen strengen Bedingungen.
Rechte der betroffenen Personen
Einsicht, Kopie, Berichtigung, Einschränkung, Löschung, Übertragbarkeit
Betroffene haben das Recht auf Einsicht in die Inhalte ihrer ePA sowie auf Erhalt einer Kopie der Daten in einem gängigen elektronischen Format. Unrichtige Daten können berichtigt oder ergänzt werden, wobei die fachliche Verantwortung für medizinische Aussagen bei der einstellenden Stelle liegt. Es bestehen Rechte auf Einschränkung der Verarbeitung, Löschung von Inhalten innerhalb der ePA sowie auf Datenübertragbarkeit, soweit technisch möglich. Zudem kann die Führung der ePA insgesamt beendet werden.
Stellvertretung, Minderjährige und Vertretungsformen
Für Kinder und nicht oder eingeschränkt geschäftsfähige Personen können gesetzliche Vertretungen die Rechte in der ePA ausüben. Volljährige können wirksame Vollmachten erteilen, damit Bevollmächtigte Einsicht nehmen und Einstellungen verwalten. Die Ausgestaltung und Prüfung der Vertretungsbefugnisse folgt den einschlägigen zivil- und sozialrechtlichen Regeln.
Interoperabilität und Standardisierung
Formate und Schnittstellen
Die ePA nutzt standardisierte Datenformate und Schnittstellen, damit Dokumente einrichtungsübergreifend ausgetauscht und maschinenlesbar verarbeitet werden können. Ziel ist, Redundanzen zu vermeiden, semantische Eindeutigkeit zu erhöhen und die Weiterverwendung in Versorgungspfaden zu erleichtern.
Fachanwendungen und Vernetzung
Fachanwendungen wie elektronisches Rezept, elektronische Arbeitsunfähigkeitsbescheinigung oder digitaler Impfpass sind technisch und organisatorisch mit der ePA verknüpft. Der Austausch erfolgt über gesicherte Kommunikationsdienste im Gesundheitswesen.
Sekundärnutzung und Forschung
Pseudonymisierung und Freigaben
Eine Nutzung von ePA-Inhalten zu Forschungs-, Qualitäts- oder Planungszwecken setzt eine gesonderte rechtliche Grundlage voraus. Häufig ist eine Pseudonymisierung vorgesehen. Teilweise können zusätzliche Zustimmungserfordernisse oder Widerspruchsmöglichkeiten bestehen, abhängig von Zweck und Ausgestaltung.
Zweckbindung und Grenzen
Die Verwendung für andere als versorgungsbezogene Zwecke unterliegt strikten Zweckbindungen und Schutzvorgaben. Rückschlüsse auf identifizierbare Personen sind nur zulässig, wenn die rechtlichen Voraussetzungen erfüllt sind und entsprechende Sicherungen bestehen.
Haftung, Aufsicht und Sanktionen
Aufsicht
Die Einhaltung des Datenschutzes wird durch unabhängige Datenschutzaufsichtsbehörden überwacht. Technische Sicherheit unterliegt zusätzlichen Anforderungen und Prüfungen. Krankenkassen, Anbieter und Leistungserbringer müssen Compliance nachweisen.
Verantwortlichkeit und Folgen von Verstößen
Rechtswidrige Zugriffe oder unzulässige Verarbeitungen können zu aufsichtsrechtlichen Maßnahmen, Bußgeldern, berufsrechtlichen Konsequenzen und zivilrechtlicher Haftung führen. Innerhalb ihrer Rollen tragen Krankenkassen, Dienstleister und Leistungserbringer Verantwortung für Rechtmäßigkeit, Sicherheit und Dokumentation.
Grenzüberschreitende Aspekte
Europäische Entwicklungen
Mit dem geplanten europäischen Gesundheitsdatenraum wird eine grenzüberschreitende Verfügbarkeit bestimmter Gesundheitsdaten angestrebt. Nationale ePA-Systeme sollen kompatibler werden, um eine sichere Nutzung im Ausland zu ermöglichen.
Datenaustausch im Ausland
Ein grenzüberschreitender Zugriff erfordert technische Interoperabilität und geeignete Rechtsgrundlagen. Dabei gelten die Prinzipien der Datenminimierung, Sicherheit und Zweckbindung auch bei internationalem Austausch.
Entwicklung und Ausblick
Fortschreitende Einführung
Die ePA wird stufenweise erweitert. Dazu gehören verbesserte Steuerungsfunktionen, mehr strukturierte Inhalte und erweiterte Anbindungen von Versorgungspartnern. In Deutschland ist eine weitergehende standardmäßige Bereitstellung mit Widerspruchsrecht vorgesehen.
Technische und rechtliche Weiterentwicklung
Erwartet werden klarere Transparenzfunktionen, verbesserte Interoperabilität und zusätzliche Schutzmechanismen. Rechtliche Vorgaben werden fortlaufend an technologische Entwicklungen und europäische Harmonisierung angepasst.
Häufig gestellte Fragen zur Elektronischen Patientenakte (rechtlicher Kontext)
Wer ist rechtlich verantwortlich für die Führung der ePA?
Die Bereitstellung der ePA liegt bei den Krankenkassen, die als verantwortliche Stelle die Einhaltung der datenschutz- und sicherheitsrechtlichen Vorgaben sicherstellen. Behandelnde Einrichtungen sind für die von ihnen eingestellten Inhalte verantwortlich. Technische Dienstleister handeln im Rahmen vertraglicher Weisungen und Zulassungen.
Ist die Nutzung der ePA verpflichtend?
Die ePA ist als Angebot ausgestaltet. Sie kann standardmäßig bereitgestellt werden, wobei ein Widerspruchsrecht besteht. Die Nutzung erfordert eine Aktivierung durch die betroffene Person oder eine wirksam vertretungsberechtigte Person.
Welche Rechte bestehen in Bezug auf Einsicht und Korrektur von Daten?
Betroffene haben ein Recht auf Einsicht und Kopie der in der ePA gespeicherten Daten. Unrichtige Angaben können berichtigt oder ergänzt werden, wobei die fachliche Verantwortung für medizinische Inhalte bei der einstellenden Stelle verbleibt. Zusätzlich bestehen Rechte auf Einschränkung und Löschung innerhalb der ePA.
Wie wird der Zugriff auf meine ePA protokolliert?
Jeder Zugriff wird mit Zeit, zugreifender Stelle und Art des Zugriffs protokolliert. Diese Protokolle sind für Versicherte einsehbar und unterliegen eigenen Speicherfristen. Sie dienen der Transparenz und der Kontrolle rechtmäßiger Nutzung.
Unter welchen Bedingungen ist ein Notfallzugriff zulässig?
Ein Notfallzugriff kommt nur in akuten Situationen in Betracht, in denen eine vorherige Einwilligung nicht rechtzeitig eingeholt werden kann. Er ist eng begrenzt, wird technisch besonders gesichert und vollständig protokolliert.
Welche Regelungen gelten für Minderjährige und Vertretungen?
Für Minderjährige und Personen ohne eigene Entscheidungsfähigkeit handeln gesetzliche Vertretungen. Volljährige können wirksame Vollmachten erteilen. Die Prüfung und Abbildung von Vertretungsbefugnissen erfolgt nach den zivil- und sozialrechtlichen Vorgaben.
Wie verhält sich die ePA zur Schweigepflicht im Gesundheitswesen?
Die Schweigepflicht bleibt unberührt. Zugriffe auf ePA-Inhalte dürfen nur erfolgen, wenn eine rechtliche Grundlage besteht und eine Behandlungssituation oder eine wirksam erteilte Befugnis vorliegt. Unbefugte Offenbarungen sind unzulässig.
Welche Konsequenzen drohen bei unzulässigen Zugriffen?
Unzulässige Zugriffe können aufsichtsrechtliche Maßnahmen, Bußgelder, berufsrechtliche Konsequenzen und zivilrechtliche Ansprüche nach sich ziehen. Verantwortliche Stellen müssen Vorfälle prüfen und dokumentieren.
