Fragen und Antworten Elektronische Patientenakte (ePA) gestartet: Wie sie funktioniert und wer die Daten sehen kann

Seit Ende 2015 wird an der elektronischen Patientenakte (ePA) für die gesetzlich Versicherten gearbeitet. Seit Anfang 2021 konnte sie freiwillig über Angebote einzelner Krankenkassen schon genutzt werden. Ziel ist es, dass bis 2026 bis zu 80 Prozent der Krankenversicherten bundesweit eine ePA haben.

Mit der Bereitstellung der E-Akte zum 15. Januar 2025 waren bereits Praxen, Kliniken und Apotheken in den drei Modellregionen Hamburg, Franken sowie Nordrhein-Westfalen in einen Testlauf gegangen. Der bundesweite Start sollte erst Mitte Februar erfolgen, wurde dann aber auf April verschoben. 

Seit 29. April kann die ePA nun deutschlandweit genutzt werden. Um sie "sicher und nachhaltig in der Fläche zu etablieren", soll die Einführung Karl Lauterbach zufolge aber "schrittweise" erfolgen. Das heißt: Erst ab 1. Oktober sind Praxen und andere Einrichtungen verpflichtet, die E-Akte zu nutzen.

Bisher musste man sich noch selbst kümmern, dass die ePA freigeschaltet wird. Mit der nun umgesetzten Opt-out-Lösung wird sie automatisch von der Krankenkasse angelegt, wenn nicht aktiv widersprochen wurde.

Alles, was für die ePA nötig ist, gibt es bei der Krankenkasse. Bildrechte: mago images / Jochen Tack

Um die App oder andere Software zu nutzen, muss man sich bei seiner Krankenkasse dafür registrieren. Für den vollen Funktionsumfang braucht es die elektronische Gesundheitskarte mit NFC-Chip und eine PIN von der Kasse.

Alternativ ist die Authentifizierung per Personalausweis in einer Zweigstelle, bei Kundenberatungen der Krankenkassen und auch per Postident-Verfahren möglich.

Welches Verfahren eine Krankenversicherung nutzt, kann unterschiedlich sein, weshalb Fragen dazu am besten ihr gestellt werden. Definitiv braucht es eine Krankenversicherungsnummer, je nach Verfahren eine E-Mail-Adresse oder auch Zugang zum Online-Bereich.

Ausgelegt ist die persönliche ePA-Nutzung für Smartphone oder Tablet. Gesetzliche Krankenkassen bieten kostenfreie Apps an. Hier eine Übersicht der App-Angebote bei der Gematik, der dafür verantwortlichen "nationalen Agentur für digitale Medizin". Eine "unabhängige" App gibt es noch nicht.

Bei einem Krankenkassenwechsel wird die ePA zu der neuen Krankenkasse mitgenommen und kann in deren App übertragen werden.

Auch private Krankenversicherungen haben mit der ePA-Einführung begonnen. Informationen darüber sollten privat Versicherte bei ihren jeweiligen Krankenkassen bekommen können.

Röntgenbilder, vorläufig noch nicht, dafür aber Medikations- und Therapiepläne, Blut- und Laborwerte, OP- und Arztberichte, Diagnosen, Befunde, elektronische Rezepte und vieles mehr, das auch bei späteren Behandlungen noch wichtig werden kann.

Digitale Röntgenbilder können in der Praxis von Nutzen sein. Bildrechte: picture alliance/dpa | Matthias Balk

Bisher waren die meisten der Informationen verteilt in Arztpraxen und Kliniken, sollen nun aber in die ePA eingespeist werden.

Wie gut die Nutzer das dann alles verwalten werden können, ist abhängig auch von der jeweils dafür genutzten Software.

Es lassen sich jedoch noch nicht alle Daten, Formate und Dokumente speichern und abrufen. Und wenn sie noch nicht digitalisiert sind, heißt das: Selbst scannen und hochladen. Es gibt allerdings auch einen Anspruch für gesetzlich Versicherte, dass Krankenkassen das teilweise übernehmen für bis zu 20 Dokumente innerhalb von zwei Jahren.

Im Notfalldatensatz, der auch auf der e-Gesundheitskarte gespeichert werden kann, sollen Rettungskräfte bei Freigabe schnell Informationen zu Allergien, Unverträglichkeiten und chronischen Krankheiten finden, etwa die Blutgruppe, Kontakte zu Ärztinnen und Ärzten und Vertrauenspersonen, Hinweise auf eine Patientenverfügung oder Vorsorgevollmacht.

Arztpraxen, Krankenhäuser, Apotheker, Pflege- und andere Erbringer von Gesundheitsleistungen im Kontext von Behandlungen für zunächst 90 Tage, in allen anderen Fällen aber nur für drei Tage, was etwa für Apotheken gilt. Die Krankenkassen selbst haben keinen Zugriff auf die ePA-Inhalte.

Der Zugriff kann vom ePA-Inhaber allerdings auch ausgedehnt werden, für eine gewisse Zeit oder auch dauerhaft und für bestimmte Adressaten. Beim Eintragen besonders sensibler Dinge sollen die Inhaber auf die Möglichkeit zum Widerspruch dagegen hingewiesen werden.

Inhaber können sämtliche Dateien löschen, aber nicht einzelne und auch nicht alle persönlichen Daten. Da die ePA als lebenslange Akte gedacht ist, gibt es auch keine automatischen Löschungen nach bestimmten Fristen.

Anbieter von Gesundheitsleistungen sollen besser vernetzt werden und unbürokratischer an Informationen über ihre Patienten kommen. Das soll unnötige Untersuchungen, ungewollte Medikamenten-Wechselwirkungen, Verzögerungen der Behandlung und unnötige Wege vermeiden helfen.

Behandelnde sollen so bei den Patienten sehen können, was bisher geschehen ist, Arztwechsel oder das Einholen einer zweiten ärztlichen Meinung sollen einfacher werden und die Behandlungen so besser.

Haben Versicherte bei ihrer Krankenkasse der Anlage einer ePA für sich widersprochen, legt diese keine an. Für alle anderen sollte jetzt automatisch eine da sein (Opt-out-Verfahren), ohne Nutzungszwang für die Inhaber.

Das Widerspruchsverfahren, so hatte es Lauterbach im Frühjahr 2023, versprochen, werde auf jeden Fall "sehr unbürokratisch" sein. Zuvor musste noch ausdrücklich zustimmen (Opt-in-Verfahren) und auch selbst aktiv werden, wer eine elektronische Patientenakte haben wollte. Sie kann nach einem Widerspruch aber auch später noch neu angelegt werden.

Die ePA ist für Smartphones und Tablets ausgelegt. Trotzdem kann sie auch ohne solche Geräte genutzt werden, auf dem Desktop-PC oder dem Laptop, zum Teil aber mit weniger Funktionen. Am ehesten funktionieren Smartphone-Apps, auch dem Tablet, eine überarbeitete Desktop-Version soll es ab Juli 2025 wieder geben.

Ärztinnen und Ärzte können beim Verwalten der ePA helfen. Bildrechte: picture alliance / Westend61 | Joseffson

Wer gar keinen Computer hat, kann die ePA laut Gesundheitsministerium nicht selbst aktiv nutzen. Demnach sollen aber per Praxisverwaltungssystem in der ePA die Daten und Dateien eingespeist werden können.

Alternativ kann auch eine dritte Person, ein Familienmitglied etwa, damit beauftragt und autorisiert werden, die Patientenakte etwa über eine Smartphone-App zu verwalten.

Die ePA ist als lebenslange Akte gedacht ist, weshalb es laut Gematik keine Einschränkungen beim Speicherplatz geben soll.

Aktuell können noch nicht alle Datei-Formate genutzt werden, weitere Ergänzungen sollen aber kommen, für Röntgenbilder, CT- und MRT-Daten etwa. Aktuell funktionierende Formate sind PDF, XML und TXT, die Bild-Formate JPG, TIFF und PNG sollen demnächst noch dazu kommen.

Die jeweiligen Apps der Krankenkasse gibt es auch in den App-Stores, nutzbar für handelsübliche mobile Endgeräte, wobei deren Betriebssysteme mit der App-Software natürlich kompatibel sein müssen.

Die ePA-Daten sollen zentral auf Servern in Deutschland verschlüsselt gespeichert werden. Laut Gematik sind die Server hoch gesichert und unterliegen europäischem Datenschutz. Jeder Datenverarbeitungsschritt erfolge in geschützten Rechenzentren in einem nochmals abgesicherten Bereich, der "Vertrauenswürdigen Ausführungsumgebung" (VAU).

Auch Zugriffe soll es nur in einem geschlossenen Netzwerk geben, in der "Telematikinfrastruktur" unter Aufsicht der Gematik GmbH. Die Daten sollen verschlüsselt sein. Niemand, außer den Versicherten und denjenigen, denen sie Zugriff gewähren, soll sie sehen können, auch die Krankenkasse nicht.

Die ePA-Server sollen ganz besonders sicher sein. Bildrechte: picture alliance / dpa Themendienst | Florian Schuh

Anbieter und Software müssen eine Zertifizierung durch die Gematik durchlaufen und bei sicherheitsrelevanten Updates diese wiederholen.

Sämtliche Aktivitäten in der ePA werden protokolliert und können von den Inhabern drei Jahre lang eingesehen werden, um Zugriffe nachzuverfolgen.

Ob Hacker etwa über manipulierte Smartphones nicht doch in die Telematik-Infrastruktur eindringen können und dann auch wie tief, wird sich in der Praxis zeigen müssen.

Verantwortlich ist der Anbieter einer elektronischen Patientenakte, in der Regel also die Krankenkasse. Sind noch weitere Unternehmen eingebunden, so handeln sie im Auftrag. Ansprechpartner für Fragen zum ePA-Datenschutz sind damit also die Datenschutzbeauftragten der Krankenversicherungen.

Für die Forschung sollen Versicherte ihre Daten pseudonymisiert, verschlüsselt und freiwillig freigegeben. Auch hierfür gibt es jedoch – ähnlich wie bei der ePA generell – eine Opt-Out-Lösung.

MDR AKTUELL (ksc)