Die elektronische Patientenakte (ePA) ist eine elektronische Gesundheitsakte, in der die individuelle Anamnese, Behandlungsdaten, Arztbriefe, Medikamente, Allergien und weitere Gesundheitsdaten der Krankenversicherten sektor- und fallübergreifend deutschlandweit einheitlich gespeichert werden können. Sie wurde seit 2003 im Rahmen der E-Health-Strategie vom Bundesgesundheitsministerium (BMG) erarbeitet und ist seit 1. Januar 2021 für alle Versicherten in der gesetzlichen Krankenversicherung verfügbar. Für die Patienten selbst ist die ePA auf der Grundlage des Patientendatenschutzgesetzes (PDSG) vom 14. Oktober 2020 freiwillig.

Seit dem 15. Januar 2025 wird für jeden gesetzlich Krankenversicherten zeitnah automatisch von seiner Krankenkasse eine ePA Version 3.0 eingerichtet sofern die jeweilige Person dem nicht bei seiner Krankenkasse widerspricht, wobei der Widerspruch auch später jederzeit möglich ist und sodann eine bestehende ePA von der jeweiligen Krankenkasse unverzüglich zu löschen ist.

Geschichte und gesetzlicher Hintergrund

Mit dem GKV-Modernisierungsgesetz vom 14. November 2003 erfolgte unter der damaligen 20sten Bundesregierung der gesetzliche Beschluss zur Einführung einer elektronischen Patientenakte (ePA) in Deutschland. In den Folgejahren wurde dann lange um eine konkrete Ausgestaltung solch einer umfangreichen digitalen Plattform gerungen.

2021 bis 2024

18 Jahre nach dem Beschluss zur Einführung einer ePA in Deutschland ist am 1. Januar 2021 die elektronische Patientenakte für alle Versicherten in Krankenkassen als „Version 1.0“ gestartet. Das bedeutete, gesetzlich Krankenversicherte hatten ab da an ihren Krankenkassen gegenüber einen Anspruch auf eine ePA und ein Recht darauf, dass ihre Ärzte ihre persönliche Akte befüllen. Für die Patienten selbst war sie freiwillig, eine Nutzung erfolgte nur nach Zustimmung der Patienten mittels Opt-in. Grundlage hierfür war das im Juli 2020 vom Bundestag verabschiedete Patientendatenschutzgesetz (PDSG). Am 1. Januar 2022 wurde mit der ePA Version 2.0 die nächste Stufe freigeschaltet.

Am 14. Dezember 2023 verabschiedete der Bundestag unter der nun 25sten Bundesregierung das Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (Digital-Gesetz – DigiG), so dass im März 2024 dadurch weitgehende Änderungen zur elektronischen Patientenakte wirksam wurden. Dabei wurde aber gerade die darin enthaltene Rückstufung einzelner Sicherheitsanforderungen u. a. vom damaligen BfDI als kritisch eingeschätzt.

Ab 2025

Version 3.0

Jeder gesetzlich Krankenversicherte soll gemäß dem Digital-Gesetz zum 15. Januar 2025 eine ePA mit dem Produktnamen "ePA für alle" bzw. der Bezeichnung "ePA ab Version 3.0" erhalten, sofern er dem nicht bei seiner Krankenkasse widerspricht (Opt-out-Verfahren).

Akzeptanz

Laut einer Umfrage der Deutschen-Presse-Agentur Ende September 2024 wollten nur wenige der Versicherten von der Widerspruchsmöglichkeit Gebrauch machen. Eine um rund 2 Monate spätere Befragung des AOK-Bundesverbands von Ende November 2024 zeigte allerdings, dass zu dem Zeitpunkt doch etwa jeder fünfte, d. h. 21,3 Prozent, der Befragten von der Opt-out Möglichkeit Gebrauch machen wolle durch Widerspruch gegen das Anlegen der persönlichen Patientenakte.

ePA-3.0-Pilotphase

In den Modellregionen Franken, Hamburg und Umland sowie in Teilen Nordrhein-Westfalens startete am 15. Januar 2025 in rund 300 Arzt- und Zahnarztpraxen, Apotheken und Krankenhäusern die Pilotphase für die ePA 3.0, welche vier Wochen dauern soll. Zu diesem Zeitpunkt werden nach Aussage der Gematik auch bereits für alle gesetzlich Versicherten in ganz Deutschland die Patientenakten bei den Krankenkassen angelegt, sofern kein jeweiliger Widerspruch dazu vorliegt. Verlaufen die Tests reibungslos, sollten der bundesweite Rollout und die Nutzung der Patientenakten durch Ärzte erfolgen. Als Starttermin hierfür war nach Informationen des Bundesministeriums für Gesundheit der 15. Februar 2025 angestrebt.

Laut Presseinformation von Mitte Februar 2025 verzögert sich der bundesweite Rollout der ePA 3.0 auf frühestens April 2025 Demnach gehe aus internen Papieren des Bundesministeriums für Gesundheit (BMG) hervor, dass die ePA aktuell zu instabil funktioniert und dass die Sicherheit der ePA noch verbessert werden muss. Zusätzliche bisher für 2025 angekündigte ePA-Funktionen, wie z. B. zur Dokumentation des Medikamentenplans, werden zudem ins Jahr 2026 verschoben.

Versionen in Planung

Im Februar 2025 kündigte das Bundesministerium für Gesundheit an, dass folgende kommende Versionen geplant sind:

  • Version 3.0.5 (Umsetzung Juli 2025) Diese Version dient vorrangig dazu, das System zu stabilisieren und zu optimieren. Darüber hinaus umfasst sie auch den TI-Messenger für die Kommunikation zwischen Leistungserbringenden und Patienten.
  • Version 3.1.2 (Umsetzung März 2026) Die Version enthält unter anderem die vollständige Umsetzung des digital gestützten Medikationsprozesses (dgMP) und damit auch den elektronischen Medikationsplan (eMP).

Dabei hält sich die Gematik ausdrücklich vor, ihre Roadmap beziehungsweise ihre weitere Projektplanung von kommenden Funktionsergänzungen jederzeit inhaltlich und terminlich abzuändern. Bislang ist eine Speicherung zum Beispiel auch von Röntgenbildern und Tomogrammen nicht vorgesehen.

Telematikinfrastruktur und Gematik

Die elektronische Patientenakte basiert auf der Telematikinfrastruktur (TI). Die Gematik trägt die Gesamtverantwortung für die Telematikinfrastruktur, die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen (vgl. § 306 SGB V). Mit der Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen in der TI soll die Gematik gewährleisten, dass diese zentrale Infrastruktur sicher, leistungsfähig und nutzerfreundlich ist. Dabei finanzierte allein der GKV-Spitzenverband nach eigenen Angaben die Gematik in den Jahren zwischen 2008 und 2022 durch Zahlungen in Höhe von insgesamt 774,6 Millionen Euro. Laut der Gematik trägt zudem die PKV 7 Prozent der Finanzierung, gemessen an den GKV-Zahlen würde die Summe damit bei ca. 58 Millionen Euro liegen und die Gesamtsumme für 2008 bis 2022 läge bei rund 833 Millionen Euro.

Die Gematik betreibt ein Telematikinfrastruktur Dashboard (TI Dashboard), welches die Entwicklung sämtlicher Elemente der TI anzeigt. Am 7. Februar 2025 waren 69.895.552 ePA angelegt. Damit hat zu diesem Zeitpunkt jeder gesetzlich Versicherte, der bis dahin nicht widersprochen hat, eine elektronische Patientenakte. Ende November 2023 waren es lediglich 867.456 ePAs.

Funktionalität

Die ePA wird von Ärzten im Behandlungskontext automatisch genutzt und eingebunden. Zusätzlich ist durch Integration der E-Rezepte eine Medikationsliste implementiert.

Ursprünglich ab Sommer 2025 geplant aber lt. der ePA-3.0-Pilotphase nun erst ab März des Jahres 2026 wird ein digitaler Medikationsprozess (dgMP) eingebunden und diese Daten werden dann, so weit in den Einstellungen der jeweiligen ePA freigegeben, auch für Forschungszwecke übermittelt. Laborbefunde sollten ab Anfang 2026 dazukommen, wobei sich auch das zeitlich weiter in die Zukunft verschiebt.

In die ePA für alle lassen sich unstrukturierte Daten wie PDF/A-Dokumente und strukturierte Daten in Form von medizinischen Informationsobjekten (FHIR) hochladen. Medizinische Informationsobjekte (MIO) sind kleine digitale Informationsbausteine, die universell einsetzbar und kombinierbar sind. Beispiele hier sind der Impfpass, das Zahnärztliche Bonusheft, der Mutterpass und das Kinder-Untersuchungsheft.

Zugriff

Berechtigungsmangement / Zugriffssteuerung

Die „ePA für alle“ bzw. die ePA ab Version 3.0 funktioniert auch ohne aktives Zutun der Versicherten. Ärzte können die ePA auch dann einsehen und aktualisieren, wenn der*die jeweilige Patientin selbst nicht die zugehörige ePA-App installiert hat. Standardmäßig sind Dokumente in der ePA ab Version 3.0 für alle Ärzte sichtbar.

Das lässt sich jedoch durch ein Berechtigungssystem einschränken:

Für jedes Dokument kann separat die Sichtbarkeit für alle Leistungserbringer deaktiviert werden. Darüber hinaus lässt sich eine Liste der Leistungserbringer pflegen. Hiermit kann der Zugriff einzelner Ärzte komplett verhindert werden. Zusätzlich kann so der Zugriff von Leistungserbringern befristet oder ein unbefristeter Zugriff ermöglicht werden. Es ist aktuell nicht möglich, ausgewählte Leistungserbringer nur für ausgewählte Dokumente zu berechtigen.

Patientinnen und Patienten

Versicherte können über eine von ihrer Krankenkasse zur Verfügung gestellten Smartphone-App (Android oder iOS) auf ihre ePA zugreifen oder über eine dafür eingerichtete Ombudsstelle der eigenen Krankenkasse. Ab Mitte 2025 soll auch der Zugriff über Desktop-Computer (Web-Zugriff) möglich sein. Mit Stand Februar 2025 stellen 94 der gesetzlichen Krankenkassen ihren Mitgliedern entsprechende Anwendungen zur Verfügung, wobei (noch) nicht alle die Version ePA-3.0 unterstützen.

Leistungserbringer

Allein die Versicherten selbst können den Zugriff auf ihre Patientenakten ermöglichen. Dies erfolgt durch das Einlesen der elektronischen Gesundheitskarte, wodurch die ePA für Ärzte für einen Zeitraum von 90 Tagen freigegeben wird. Es ist eine Institutionsberechtigung vorgesehen, d. h. berechtigt werden nicht nur Ärzte, sondern auch deren berufsmäßige Gehilfen.

Apotheken haben nach Abholen der Medikamente 3 Tage Zugriff auf die ePA. Sie können in der ePA schreibend auf die Medikationsliste und die elektronische Impfdokumentation zugreifen, auf andere Dokumente haben Apotheker lediglich lesenden Zugriff.

Patientinnen und Patienten können den Zugriff über eine ePA-App auch frühzeitig beenden oder verlängern.

Der Zugriff auf einzelne Dokumente kann über ein Berechtigungssystem weiter eingeschränkt werden. Hierzu kann pro Dokument die Sichtbarkeit des Dokuments für alle berechtigten Gesundheitspartner (Leistungserbringer) deaktiviert werden.

Die ePA zeichnet Vorgänge in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen und Vorgängen, die unmittelbar im Zusammenhang mit den medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.

Krankenkassen

Krankenkassen dürfen auf die ePA zugreifen, um spezielle Services wie die Erinnerung an Vorsorgeuntersuchungen anzubieten. Dafür müssen sie aber von den Versicherten explizit berechtigt worden sein.

Strafverfolger und Geheimdienste

Ärzte unterliegen als Berufsgeheimnisträgern der Schweigepflicht. Gemäß § 97 der Strafprozessordnung (StPO) gilt ein Beschlagnahmeverbot für ärztliche Aufzeichnungen über Patienten, falls sich zu beschlagnahmende Gegenstände "im Gewahrsam der zur Verweigerung des Zeugnisses Berechtigten" befinden. Da nicht Ärzte, sondern Patienten die elektronische Gesundheitskarte (eGK) besitzen, wurde das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) geändert: Die Daten besitzen an sich zeugnisverweigerungsberechtigte Ärzte. Sie unterliegen dem Beschlagnahmeschutz. Mit der eGK besitzen auch Patienten derartige Daten. Die Änderung des § 97 StPO sollte das Arzt-Patienten-Verhältnis schützen: Patienten müssen sicher sein können, dass eGK-Daten nur der Optimierung ihrer Behandlung dienen. Was für die eGK im Gesetz steht, gilt nicht für die ePA. Diese taucht in § 97 StPO nicht auf. Der Schutz der ePA vor dem Zugriff von Strafverfolgungsbehörden ist im Gesetz nicht vorgesehen.

Befüllung

Die ePA wird Anfang 2025 für alle Patientinnen und Patienten eingerichtet, die nicht widersprochen haben. Sie steht dann leer zur Verfügung. Die Befüllung durch die Arztpraxen erfolgt aber erst, wenn die ePA sich in den Modellregionen in der Pilotphase Anfang 2025 in der Praxis bewährt hat.

Sie erfolgt mit Daten, die bei der aktuellen Behandlung erhoben werden und elektronisch vorliegen.

Die folgenden Daten müssen dann eingestellt werden:

  • Befundberichte aus invasiven oder chirurgischen sowie aus nichtinvasiven oder konservativen diagnostischen und therapeutischen Maßnahmen
  • Befunddaten aus bildgebender Diagnostik
  • Laborbefunde
  • E-Arztbriefe

Die folgenden Daten können dann eingestellt werden:

  • Daten aus strukturierten Behandlungsprogrammen (DMP)
  • eAU-Bescheinigungen (Patienten-Kopie)
  • Daten zu Erklärungen zur Organ- und Gewebespende
  • Vorsorgevollmachten und Patientenverfügungen
  • elektronische Abschrift der vom Arzt oder Psychotherapeuten geführten Behandlungsdokumentation

Forschung / ePA-Daten für Forschungszwecke

Mit Einführung der ePA Version 3.0 besteht für jeden ePA-Besitzer die Standardvoreinstellung, dass die ePA-Daten der jeweiligen Person pseudonymisiert für Forschungszwecke an das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) am Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ausgeleitet werden und dort dann weiterverarbeitet werden können. Diese Einstellung ist laut Angaben der Gematik vom jeweiligen ePA-Besitzer in der entsprechenden EPA-APP deaktivierbar.

Ab der ePA Version 3.0 sollen aggregierte Daten ab Mitte des Jahres 2025, perspektivisch auch weltweit, wissenschaftlichen Instituten und Unternehmen für Forschungszwecke pseudonymisiert zur Verfügung gestellt werden können. Auch mit Unternehmen aus dem KI-Umfeld führte das Gesundheitsministerium dazu bereits im Herbst 2024 erste Gespräche, um Trainingsdaten zur datengestützten Bekämpfung von Krankheiten wie Krebs generieren zu können.

Sicherheit

Die Gematik betont, dass die in der ePA enthaltenen hochsensiblen Daten durch ein besonderes Sicherheitskonzept geschützt sind. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat das Sicherheitskonzept im September 2024 überprüft und schreibt als „Gesamtergebnis der Sicherheitsbetrachtung laut der Fraunhofer-Experten: Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern...“. Der dieser Sicherheitsbetrachtung zugrundeliegende Abschlussbericht des SIT benennt insgesamt 21 Schwachstellen, von denen 4 als „hoch“ eingestuft werden.

Der CCC schätzt die Sicherheit rund um die ePA-Daten mit Stand 27. Dezember 2024 weiterhin davon abweichend ein. Bei seinem Kongress „38C3“ wurde das nochmals ausführlich in einem dortigen Vortrag begründet. Als direkte Reaktion darauf hat die Gematik am gleichen Tag mitgeteilt, dass sie bereits technische Lösungen zum Unterbinden der vom CCC aufgezeigten Angriffsszenarien konzipiert habe und dass sie diese bis zum Ende der ePA 3.0-Pilotphase, die am 15. Januar 2025 beginnen wird, umsetzen werde.

Bei der Sicherheitsarchitektur der ePA liegen die Schlüssel zur Verschlüsselung der Daten nicht beim Patienten. Und damit technisch zugreifbar für Personen oder Institutionen mit Kontrolle über den Betreiber der Infrastruktur oder bei Softwareschwachstellen.

Kritik

Kritiker befürchten, dass in der ePA eine Vielzahl persönlicher Gesundheitsdaten gesammelt werden, die potenziell missbraucht werden könnten. Die zentrale Speicherung der Daten birgt grundsätzlich auch das Risiko von Datenlecks und unberechtigtem Zugriff.

Laut der Gematik hat der „Patient die volle Kontrolle über die Freigabe der Informationen in ihrer ePA“. Diese Aussage ist jedoch potenziell irreführend, da diese Kontrolle nicht kryptografisch sichergestellt ist, sondern nur von der Sicherheit der Implementierung und der aktuellen Gesetzeslage abhängt.

Neben Datenschutzbedenken und Sicherheitsbedenken, wie u.a vom ehemaligen BfDI Ulrich Kelber im Jahr 2024 vorgebracht, bestehen mit Stand Dezember 2024 bzw. Januar 2025 weiterhin sehr große Unklarheiten, welche Eigenschaften die deutsche ePA in der Version 3.0 beinhaltet.

  • Dabei betreffen die Unklarheiten auch weiterhin insbesondere Fragen der Haftung und des Datenschutzes, Fragen rund um die Unabhängigkeit der Ärzte und umfassende Einsicht in die Daten, Stichwort „Aushöhlung der ärztlichen Verschwiegenheitspflicht“,
  • sowie ein jetzt hinzukommendes beschränktes Berechtigungsmanagement, so dass voraussichtlich z. B. selbst Mitarbeiter der Apotheken inklusive Versandapotheken umfassenden Zugriff auf die Inhalte der ePA 3.0 haben werden.

Zu den von Kritikern bemängelten inhaltlichen und Bedienbarkeits-Aspekten zählen u. a., dass in der ePA 3.0 zum Start Anfang 2025 keine Volltextsuche möglich ist, d. h. alle PDF-Dokumente müssten für eine Suche jeweils manuell gesichtet werden. Auch liegen die hinterlegten Daten zum Großteil als PDF-Dateien und nicht als auswertbare strukturierte Daten vor und es gibt dort keinerlei Dateien aus bildgebenden Verfahren. Die Hersteller von Patientenverwaltungssystemen (PVS) kritisieren zudem den im November 2024 erreichten Qualitätsstand der Software.

Die seitens des BMG vollmundig angekündigten Forschungsvorteile durch die ePA-Daten werden laut Expertenmeinungen nicht realisierbar sein. Zudem stehen zahlreiche statistische Gesundheitsdaten für Aspekte der deutschen Krankenversorgungsplanung bereits heute an anderen Stellen zur Verfügung, u. a.

  • seitens den Krankenkassen sowie den Wissenschaftlichen Instituten der Krankenkassen,
  • seitens dem InEK, den Kassenärztliche Vereinigungen (KVen) und den Deutschen Medizinische Registern sowie
  • seitens dem Statistischen Bundesamt (Destatis) bzw. dessen gbe-Internetseite zur Gesundheitsberichterstattung des Bundes und des seit längerem bestehenden Forschungsdatenzentrums der Statistischen Ämter der Länder.

Die Freie Ärzteschaft kritisiert darüber hinaus Anfang Dezember 2024 bekannt gewordene Pläne des Bundesgesundheitsministeriums, internationalen Konzernen wie u. a. den Big Tech-Konzernen die Nutzung der Krankheitsdaten für kommerzielle Zwecke zu ermöglichen.

Siehe auch

  • Forschungsdatenzentrum

Literatur

  • Andreas Meißner: Die elektronische Patientenakte – vom Ende der Schweigepflicht: für Risiken und Nebenwirkungen übernimmt niemand die Verantwortung. Westend, Neu-Isenburg 2024, ISBN 978-3-86489-472-5. 
  • Peter Schaar: Diagnose: Digital-Desaster: ist das Gesundheitswesen noch zu retten? Hirzel, Stuttgart 2023, ISBN 978-3-7776-3316-9, S. 136 ff. 

Weblinks

  • Bundesgesundheitsministerium: Überblicksseite zur elektronischen Patientenakte (ePA)
  • ePA 3.0 ab Januar 2025: Fragen und Antworten zur neuen ePA seitens Heise online
  • Die elektronische Patientenakte (ePA) vom BfDI
  • Vorteile und Nachteile der Elektronischen Patient*innenakte (ePA) seitens der Deutschen Aidshilfe
  • Bundesgesundheitsministerium: ePA-Vorteile
  • Sicherheitsanalyse EPA für alle (PDF; 1,4 MB)
  • Kassenärztliche Bundesvereinigung zur ePA
  • Verbraucherzentrale NRW/Bundesverband: ausführliche Informationen zur kommenden ePA
  • Information der Gematik Ende 2024 mit Streams zur Funktionsweise der ePA in Arztpraxen
  • Forschungsdatenzentrum Gesundheit (FDZ Gesundheit)

Anmerkungen

Einzelnachweise


Elektronische Patientenakte laut Rechtsgutachten DSGVOkonform

Digitalisierte Gesundheit Elektronische Patientenakte

Pläne von Minister Lauterbach Wenn Patientenakten digital sind

Infos zur Digitalen Patientenakte ab 2025 Rheinland Nachrichten WDR

Was bringt die elektronische Patientenakte? MedCareer.eu