Nils Bergert
Elisa Härder
Ines Heck
Manuel Hemm
Selina Hohe
Peter Huhn
Domenic Ipta
Kathrin Klein
Dr. Alexander Lang
Julian Pfeil
Magdalena Püschel
Thomas Rotzal
Susanna Schäfer
Valeria Schmidt
Christian Stadler
Alexander Stegmann
Jörg Steinbock
Bad Kissingen 
Bamberg 
Gerbrunn 
Gotha 
Kürnach 
München 
Randersacker 
Rottendorf 
Würzburg Die ePA und der Datenschutz
Die elektronische Patientenakte (ePA) verknüpft den Patienten digital mit Ärzten, Krankenhäusern und Apotheken. Sie ermöglicht es diesen und anderen Gesundheitsdienstleistern, die Krankengeschichte des Patienten anhand der zentralisierten Informationen besser zu verstehen und fundierte Entscheidungen über die geeignete Behandlung zu treffen.
Das neue Digital-Gesetz (DigiG) sieht vor, dass ab Anfang 2025 alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) erhalten – und das auch ohne deren ausdrückliche Zustimmung. Ärzte, Krankenhäuser und andere Leistungserbringer sind dann verpflichtet, bestimmte Daten, die während einer Behandlung erhoben werden, in der ePA zu hinterlegen. Dazu gehören unter anderem Befunde, Arztbriefe, Entlassungsberichte nach Krankenhausaufenthalten sowie Informationen zur digitalen Überwachung und Steuerung von Medikamentenverschreibungen. Auch Abrechnungsdaten der Krankenkassen werden automatisch in die ePA übertragen. Versicherte haben zudem die Möglichkeit, ihre ePA selbst mit weiteren Dokumenten, Arztbriefen und Befunden zu ergänzen.
Behandelnde Ärzte erhalten standardmäßig Zugriff auf alle Inhalte der ePA ihrer gesetzlich versicherten Patienten, ohne dass eine gesonderte Einwilligung erforderlich ist. Sobald die elektronische Gesundheitskarte beim Arztbesuch als Nachweis der Behandlung eingelesen wird, steht die ePA den behandelnden Ärzten für 90 Tage zur Verfügung.
„Neu ist jedoch, dass die in der ePA gespeicherten Daten ab Mitte 2025 ohne Einwilligung der Versicherten an das sogenannte Forschungsdatenzentrum übertragen werden können. Von dort aus können sie pseudonymisiert für die Forschung abgerufen werden“.
Versicherte haben das Recht, der Erstellung ihrer elektronischen Patientenakte zu widersprechen. Sie können zudem unter bestimmten Bedingungen auch später die Aufnahme von Informationen in eine bereits angelegte ePA verhindern. Darüber hinaus haben sie die Möglichkeit, den Zugriff der behandelnden Ärzte auf ihre Daten zu begrenzen und der wissenschaftlichen Nutzung ihrer Informationen zu widersprechen. Allerdings sind diese Optionen in ihrem Umfang und in der Handhabung sehr differenziert und komplex.
Datenschutzrechtliche Bedenken bei der ePA
Trotz einiger Vorteile, die die ePA mit sich bringt, insbesondere im Hinblick auf das Beschleunigen der Behandlungsprozesse, bestehen erhebliche datenschutzrechtliche Bedenken. Im Folgenden eine beispielhafte Auflistung:
- Zentralisierte Datenspeicherung: Die zentrale Ablage sensibler Gesundheitsdaten birgt ein höheres Risiko für Datenmissbrauch und Hackerangriffe.
- Umfassender Datenzugriff: Obwohl Patienten theoretisch die Kontrolle über ihre Daten behalten, bleibt unklar, wie sicher diese vor unbefugtem Zugriff geschützt sind. Einmal abgegriffene Gesundheitsdaten können nur schwer in einer schnellen digitalen und vernetzten Welt restlos gelöscht werden.
- Opt-out statt Opt-in: Mit der Einführung des Opt-out-Modells ab 2025 müssen Patienten aktiv widersprechen, wenn sie keine elektronische Patientenakte wünschen. Dies könnte dazu führen, dass einige ungewollt in das System aufgenommen werden.
- Datennutzung für Forschungszwecke: Ab 2025 sollen Versicherte ihre Daten für Forschungszwecke bereitstellen können. Dies wirft jedoch Fragen zur Anonymisierung und möglichen Missbrauchsmöglichkeiten auf.
- Technische Sicherheit: Die Sicherheit der Telematikinfrastruktur ist entscheidend. Betreiber sind verpflichtet, Störungen und Sicherheitslücken umgehend zu melden, andernfalls drohen hohe Bußgelder.
Kritik an der ePA
Der Chaos Computer Clubs (CCC) hatte bereits in der Vergangenheit Bedenken hinsichtlich der Sicherheit der elektronischen Patientenakte (ePA) geäußert. Im Rahmen des 38. Chaos Communication Congress in Hamburg, präsentierten IT-Experten nun eine Analyse, die erneut Sicherheitslücken in der ePA aufdeckte.
Dabei wurde unter anderem festgestellt, dass der Zugriff auf fremde Gesundheitsdaten möglich war. Grund hierfür war, dass die Beschaffung eines Heilberufs- und Praxisausweise als zu einfach ausgestaltet war. Die Ursache liegt laut den Rednern des Kongresses in Mängeln bei den Ausgabeprozessen, den Beantragungsportalen sowie im praktischen Umgang mit den Karten im Alltag. Darüber hinaus zeigten die Forscher, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für die ePA beliebiger Versicherter zu erstellen und das ohne die Notwendigkeit, die Gesundheitskarten vorzuzeigen oder einzulesen.
Überdies bestätigte auch das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) in einem fast 90-seitigen Gutachten, dass mehrere Schwachstellen identifiziert wurden. Hierbei wurden vier mit dem Schweregrad „hoch“ und sechs mit dem Schweregrad „mittel“ eingestuft.
Selbst die Ärzteschaft sorgt sich um den Schutz der Gesundheitsdaten ihrer Patienten. Aus einem Bericht im Ärzteblatt lässt sich wörtlich entnehmen:
„Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen“, sagte BVKJ-Präsident Michael Hubmann.
Fazit
Die Einführung der elektronischen Patientenakte (ePA) stellt einen wichtigen Schritt in der Digitalisierung des deutschen Gesundheitswesens dar. Sie verspricht zwar große Vorteile für die Patientenversorgung, doch bleiben datenschutzrechtliche Bedenken bestehen. Dabei muss stets berücksichtigt werden, dass Gesundheitsdaten besonders sensible personenbezogene Informationen sind, die einen besonderen Schutz erfordern.
Es ist von großer Bedeutung, dass bei der Umsetzung der ePA höchste Sicherheitsstandards eingehalten werden und die Rechte der Patienten gewahrt bleiben.
Aus datenschutzrechtlicher Sicht erfreulich hat nicht zuletzt der BGH grundlegend entschieden (BGH, Urteil vom 18.11.2024 – VI ZR 10/24):
„Auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO könne ein immaterieller Schaden im Sinne der Norm sein. Das ergebe sich aus der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH. Weder müssten die Daten zum Nachteil des Betroffenen missbräuchlich verwendet worden sein noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen.“
Laut BGH genügt insoweit der bloße Kontrollverlust, um einen Anspruch auf Schadensersatz bzw. die Feststellung zukünftiger Schäden rechtfertigen zu können. Wie sich dies auf die ePA auswirken wird, bleibt abzuwarten.
Sollten Sie von einem Datenleck betroffen sein, können Sie sich direkt und unkompliziert über unsere digitale Mandatsannahme – abrufbar https://dima.steinbock-partner.de/datenschutzvorfall – vertrauensvoll an uns wenden.
Alternativ können Sie uns jedoch auch direkt kontaktieren, um einen persönlichen oder auch einen Telefon-Termin zu vereinbaren oder um uns sonstige Fragen zu stellen. Als Full Service-Kanzlei deckt die Beratung von Steinbock & Partner nicht nur die gesamte Bandbreite des IT-Rechts sowie Datenschutzrechts ab, sondern auch die Vertretung von Mandanten in Gerichtsverfahren.
Wir freuen uns auf Ihre Kontaktaufnahme – telefonisch unter der 0931-22222 oder per E-Mail an info@steinbock-partner.de.
