Bereits seit dem 15. Januar 2025 läuft die Pilotphase für die elektronische Patientenakte (ePA), die in diesem Jahr für alle gesetzlich Versicherten [1] in Deutschland eingeführt werden wird [2]. Mit diesem Schritt sollen Gesundheitsdaten sicher und effizient digital erfasst und zwischen Patienten sowie Leistungserbringern ausgetauscht werden. Die ePA verspricht eine bessere Vernetzung im Gesundheitssystem und eine vereinfachte Kommunikation im Rahmen der medizinischen Versorgung. Die Einführung der ePA in Deutschland wirft für Ärzte und andere Leistungserbringer im medizinischen Gesundheitssektor verschiedene rechtliche Fragen auf. In diesem Beitrag klären wir die wesentlichen rechtlichen Fragestellungen zur Einführung der ePA.
1. Was ist die ePA?
Die ePA ist ein zentrales Element der Digitalisierung des Gesundheitswesens in Deutschland und wird von den gesetzlichen Krankenkassen bereitgestellt. Sie dient der Speicherung und Verwaltung medizinischer Dokumente wie Befunde, Arztberichte oder Impfungen und ermöglicht berechtigten Gesundheitsdienstleistern den Zugriff auf diese Daten.
Die Idee der ePA hat ihren Ursprung im Lipobay-Skandal im Jahr 2001. Damals musste ein cholesterinsenkendes Medikament wegen tödlicher Wechselwirkungen vom Markt genommen werden. Hauptursächlich war eine mangelnde Dokumentation verordneter Medikamente bei den jeweiligen Patienten und daraus resultierende Unwissenheit der Behandler. Aus dieser Tragödie entstand erstmals die Idee eines elektronischen Medikamentenpasses. 24 Jahre später hat sich daraus die „ePA für alle“ entwickelt [3].
Die Datenhoheit liegt bei den Versicherten, die über Speicherung und Freigaben eigenständig entscheiden können. Aus diesem Grund müsste die „elektronische Patientenakte“ besser „elektronische Versichertenakte“ heißen, denn sie ersetzt nicht die ärztliche Behandlungsdokumentation in einer Patientenakte. Die ePA ist freiwillig für Versicherte und über Apps auf dem Smartphone, einen Online-Zugang am PC oder die Ombudsstelle bei der jeweiligen Krankenkasse zugänglich. Sie ist in die Telematikinfrastruktur eingebunden und unterliegt strengen Datenschutzanforderungen [4].
2. Was sind die Vorteile der ePA?
Die ePA bietet sowohl für Versicherte als auch Leistungserbringer zahlreiche Vorteile:
Automatische Bereitstellung:
Die ePA wird für alle gesetzlich Versicherten automatisch angelegt, wodurch die bisher notwendige aktive Beantragung entfällt. Alle wichtigen Gesundheitsdaten wie die Krankengeschichte, Arztbriefe oder die Medikationsliste fließen zukünftig automatisch in die ePA, ohne dass ein weiteres Zutun seitens der Versicherten erforderlich ist. Dies fördert die Verbreitung und Nutzung der ePA. Durch die automatische Anlage und die Möglichkeit des Zugriffs im Behandlungskontext entfällt die Notwendigkeit, jeden Zugriff einzeln zu genehmigen, was den administrativen Aufwand erheblich reduziert.
Nutzbarmachung von Gesundheitsdaten:
Wichtige medizinische Informationen werden gebündelt und klar dargestellt, sodass sie einfacher zugänglich sind. Ärzte und andere Leistungserbringer können die Krankengeschichte aus der ePA einsehen. Das spart Zeit bei der Anamnese sowie während der Behandlung und sorgt für mehr Übersicht. Außerdem lassen sich so unnötige Doppeluntersuchungen vermeiden. Patienten können ihre Befunde anschließend in Ruhe anschauen und gezielte Fragen beim nächsten Arztbesuch stellen. Auch dadurch kann der Zeitaufwand verringert werden.
Individuellere und präzisere Versorgung:
Der direkte Zugriff auf Gesundheitsdaten ermöglicht eine präzisere und auf die individuellen Bedürfnisse der Patienten abgestimmte Behandlung. Koexistenz von Erkrankungen und Vorerkrankungen können leichter berücksichtigt werden. Dank einer Verknüpfung mit dem E-Rezept wird die ePA auch eine automatisiert erstellte digitale Medikamentenübersicht enthalten, wodurch die Verschreibung von Medikamenten übersichtlicher wird und unerwünschte Wechselwirkungen verhindert werden können.
Bemühungen um effektiven Datenschutz:
Viel mediale Beachtung erfuhr eine Analyse des Chaos Computer Clubs, mit der IT-Experten auf mögliche Sicherheitslücken hinwiesen. Infolgedessen betonte Bundesgesundheitsminister Karl Lauterbach, dass die ePA erst dann bundesweit eingeführt werde, wenn Hackerangriffe technisch ausgeschlossen seien [5]. Zum offiziellen Start wird die ePA daher höchste Sicherheitsanforderungen erfüllen müssen. Nach wie vor ist aber wichtig zu wissen, dass es sich bei der ePA um ein cloudbasiertes Speichermedium handelt.
3. Was genau muss ich als Leistungserbringer einrichten?
Zunächst wird die ePA in über 200 Praxen, Krankenhäusern und Apotheken in Franken, Hamburg und Nordrhein-Westfalen getestet. Sollte sich die Pilotphase als erfolgreich erweisen, wird die ePA bundesweit eingeführt [6]. Über den definitiven Termin für einen flächendeckenden Start äußerte sich der Bundesgesundheitsminister Karl Lauterbach zuletzt eher vage und sprach von einem Starttermin zwischen Februar und April 2025 [7]. Wann die endgültige bundesweite Einführung erfolgt, bleibt also abzuwarten. Spätestens ab dann müssen jedoch alle Praxen die notwendige Technik für die Arbeit mit der ePA bereithalten.
Leistungserbringer müssen dann bestimmte technische und organisatorische Voraussetzungen erfüllen, um die ePA nutzen und in ihren Arbeitsalltag integrieren zu können. Selbstverständlich müssen die Leistungserbringer zunächst eine Anbindung an die Telematikinfrastruktur vorweisen. Dafür sind die bekannten Komponenten und Dienste erforderlich, wie ein Konnektor und der Praxisausweis. Darüber hinaus muss ein aktuelles Praxisverwaltungssystem mit einem ePA-Modul in der Version 3.0 bereitgehalten werden. Dieses ePA-Modul ist ein zusätzliches Software-Tool, das in der Praxissoftware integriert wird. Es ermöglicht den Zugriff auf die ePA, das Einsehen und Einfügen von Dokumenten sowie die Verwaltung von Berechtigungen [8].
4. Benötigte ich als Leistungserbringer die Einwilligung des Patienten, um in die ePA schauen zu können?
Versicherte haben die Möglichkeit, der Einrichtung und Bereitstellung einer ePA durch ihre Krankenkasse grundsätzlich zu widersprechen. Dies ist schon vor der initialen Einrichtung möglich. Die Krankenkassen sind gesetzlich dazu angehalten, ihre Versicherten im Voraus umfassend über die ePA zu informieren. Die Versicherten können dann innerhalb von sechs Wochen widersprechen, wenn sie keine Akte möchten. Ein solcher Widerspruch kann jedoch auch später jederzeit eingelegt werden. Dann sind die Krankenkassen verpflichtet, die ePA inklusive aller Daten zu löschen [9].
Dadurch bleibt die Datenhoheit bei den Patienten: Sie können den Zugriff einzelner Leistungserbringer einschränken, Inhalte aus der ePA löschen oder bestimmte Dokumente sperren. Jeder Zugriff wird protokolliert und ist für die Versicherten einsehbar, wodurch Transparenz über die Nutzung gewährleistet wird.
Sofern ein solcher aktiver Widerspruch seitens des Versicherten nicht vorliegt, dürfen Leistungserbringer im Behandlungskontext auf die ePA zugreifen. Der Behandlungskontext wird durch das Einlesen der elektronischen Gesundheitskarte nachgewiesen. Dadurch erhält die Praxis für einen Zeitraum von 90 Tagen automatisch Zugriff auf die ePA-Inhalte [10].
Für das Einstellen von Gesundheitsdaten in die ePA gilt, dass der Behandler den Patienten darauf hinweisen muss, welche Gesundheitsdaten er im Rahmen seiner Befüllungspflicht beabsichtigt, in die ePA einzustellen. Das kann praktischerweise durch einen Praxisaushang an geeigneter Stelle geschehen. Hat der Patient der Einrichtung einer ePA nicht grundsätzlich widersprochen, wünscht aber dennoch nicht die Befüllung mit einem bestimmten Befund durch seinen Behandler, muss der Behandler dies dokumentieren. Das kann insbesondere im Fall von hochsensiblen Daten (z. B. zu psychischen Erkrankungen) bedeutsam werden. Hier darf der Patient im Behandlungskontext der Befüllung der ePA widersprechen und der Behandler muss den Widerspruch dokumentieren. Auf die Widerspruchsmöglichkeit muss der Patient hingewiesen werden. Bei genetischen Untersuchungen ist es notwendig, dass der Patient in die Befüllung der ePA im Behandlungskontext explizit einwilligt.
5. Was drohen für Konsequenzen, wenn man die Technik nicht vorhält?
Leistungserbringer, die die für eine ePA erforderlichen Komponenten und Dienste nicht bereitstellen, müssen mit Vergütungsabschlägen rechnen. Gemäß § 341 Abs. 6 S. 2 SGB V wird die Vergütung vertragsärztlicher Leistung pauschal um 1 % gekürzt, sollte die Praxis keinen Zugriff auf die ePA ermöglichen. Die Rechtmäßigkeit solcher Vergütungsabschläge wurde bereits von der Rechtsprechung bestätigt [11].
6. Wird durch die Befüllungspflicht die straf- und berufsrechtlich abgesicherte ärztliche Schweigepflicht verletzt?
Nein, die ärztliche Verschwiegenheitspflicht wird durch die Verpflichtung zur Befüllung der ePA nicht beeinträchtigt. Das SGB V legt in den §§ 347 ff. Befüllungspflichten fest, die von Vertragsärzten eingehalten werden müssen. Diese Anforderungen sind auch unter Berücksichtigung von Artikel 9 der Datenschutz-Grundverordnung (DSGVO) – der besonderen Schutzvorschriften für Gesundheitsdaten festlegt – rechtlich zulässig. Artikel 9 Absatz 2h DSGVO erlaubt es nationalen Gesetzgebern, Datenverarbeitungen im Gesundheitswesen auch ohne die Einwilligung des Patienten zu regeln, sofern diese Maßnahmen als „erforderlich“ für die Verwaltung im Gesundheitsbereich erachtet werden [12].
7. Besteht eine Nutzungspflicht für Ärzte?
Während die Nutzung der ePA für Versicherte freiwillig ist, schaut das für die Leistungserbringer anders aus. Die genannten §§ 347 ff. SGB V statuieren eine Verpflichtung zur Befüllung der ePA, die im Behandlungskontext umzusetzen ist. Leistungserbringer dürfen das zeitnahe Eintragen von Informationen in die ePA somit nicht ablehnen.
Bislang sind Leistungserbringer nicht verpflichtet, die ePA routinemäßig einzusehen. Die Grundlage der ärztlichen Behandlung bleibt das persönliche, anamnestische Gespräch. Eine generelle „Pflicht zur anlasslosen Einsichtnahme“ in die ePA besteht daher nicht. Dennoch können bestimmte Umstände auftreten, die eine Einsichtnahme notwendig machen. Weist ein Patient beispielsweise bei ständig auftretenden Kopfschmerzen auf ein kürzlich durchgeführtes CT hin, muss der Leistungserbringer gemäß seiner ärztlichen Sorgfaltspflicht handeln und Einsicht in die ePA nehmen [13].
Es ist jedoch zu erwarten, dass die Einsicht in die ePA in Zukunft in den Facharztstandard eingehen wird. Erwartungsgemäß wird den Leistungserbringern ein Maß an digitaler Kompetenz zugeschrieben werden, weshalb sie bei sorgfaltspflichtgemäßer Behandlung die ePA aktiv nutzen und schon damit rechnen, dass die ePA im Zweifel mehr Auskunft über den Gesundheitszustand des Patienten gibt, als er im Anamnesegespräch selbst verrät.
8. Ausblick
Der Geschäftsführer der gematik GmbH, Dr. Florian Hartge, zieht ein insgesamt positives Zwischenfazit zur laufenden Pilotphase. Aktuell wird noch technisches Feedback gesammelt, insbesondere in Zusammenarbeit mit den Herstellern der Krankenhaus-, Praxis- und Apothekensysteme, um das System schrittweise zu optimieren. Genau das sei jedoch auch der Zweck der Pilotphase: Gemeinsam Verbesserungen umsetzen, damit das System letztlich für alle zuverlässig und praxisgerecht funktionieren kann [14]. Sofern Sicherheitsstandards und Nutzerfreundlichkeit konsequent weiterentwickelt werden, kann die ePA langfristig ein Schlüssel für ein moderneres, patientenzentriertes Gesundheitssystem werden.
Ihr Netzwerk Experte
Robert Gleitz
[1] Das aus Gründen der Übersichtlichkeit gewählte generische Maskulinum bezieht sich im Folgenden selbstverständlich auf sämtliche Geschlechteridentitäten.
[2] Bundesministerium für Gesundheit, Die ePA für alle, Stand: 14.01.2025, abrufbar unter: https://www.bundesgesundheitsministerium.de/themen/digitalisierung/elektronische-patientenakte/epa-fuer-alle.html.
[3] Bochers, Detlef, Elektronische Gesundheitskarte: Es begann vor 10 Jahren in: heise.online.de, 04.08.2011, abrufbar unter: https://www.heise.de/news/Elektronische-Gesundheitskarte-Es-begann-vor-zehn-Jahren-1318512.html.
[4] KBV, Anwendung der TI – Fragen und Antworten zur elektronischen Patientenakte (ePA), Stand: 16.01.2025, abrufbar unter: https://www.kbv.de/html/69298.php.
[5] Start der elektronischen Patientenakte, wenn „alle Hackerangriffe technischen unmöglich“ sind, in aerzteblatt.de, 06.01.2025, abrufbar unter: https://www.aerzteblatt.de/nachrichten/156740/Start-der-elektronischen-Patientenakte- wenn-alle-Hackerangriffe-technisch-unmoeglich-sind.
[6] KBV, Start der ePA zunächst nur in ausgewählten Testpraxen – Gematik reagiert auf Sicherheitslücken, 14.01.2025, abrufbar unter: https://www.kbv.de/html/1150_73446.php.
[7] Heuchel, Umstrittenes Projekt: Lauterbach stellt elektronische Patientenakte vor, in WDR, am 09.01.2025, abrufbar unter: https://www1.wdr.de/nachrichten/rheinland/lauterbach-stellt- elektronische-patientenakte-vor-100.html.
[8] KBV, Die elektronische Patientenakte ab 2025 – Basisinformationen zu Aufgaben, Pflichten und Zugriffsrechten, S. 7, Januar 2025, abrufbar unter: https://www.kbv.de/media/sp/PraxisInfoSpezial_ePA.pdf.
[9] KBV, Elektronische Patientenakte, 03.09.2024, abrufbar unter: https://www.kbv.de/html/epa.php.
[10] KBV, Fragen zu Informations- und Dokumentationspflicht, 16.01.2025, abrufbar unter: https://www.kbv.de/html/69298.php.
[11] SG München 26.01.2023 – S 38 KA 72/22; Becker/Kingreen/Kircher, 9. Aufl. 2024, SGB V § 363 Rn. 18.
[12] KBV, Anwendung der TI. Fragen und Antworten zur ePA. Rechtliche Fragen zur ePA, 16.01.2025, abrufbar unter: https://www.kbv.de/html/69298.php.
[13] KBV, Anwendung der TI. Fragen und Antworten zur ePA. Fragen zu Zugriff und Einsichtnahme, 16.01.2025, abrufbar unter: https://www.kbv.de/html/69298.php.
[14] Die erste Woche der Pilotierung: gematik-Geschäftsführer Dr. Florian Hartge zur ePA-Pilotierung, abrufbar unter: https://www.gematik.de/epafueralle/news (zuletzt am 28.01.2025).
