Gesetzliche Anpassungen für die ePA

Seit Oktober 2025 ist die ePA verpflichtend, im November folgten bereits erste Gesetzesänderungen. Welche Datenschutzpflichten Gesundheitsdienstleister jetzt beachten müssen – ein Überblick.

Rechtliche Basis: Pflicht zur Nutzung und Befüllung der ePA

Seit Anfang Oktober 2025 besteht für die Ärzteschaft sowie andere Leistungserbringer eine Pflicht, die elektronische Patientenakte (ePA) zu nutzen und sie nach den gesetzlichen Vorgaben zu befüllen. Zuvor startete das . Zu den relevanten Inhalten zählen Befunde, Arztbriefe und weitere relevante medizinische Dokumente, die im Zusammenhang mit der Behandlung entstehen. Insofern ist die ePA nun verbindlich in die Versorgungsprozesse zu integrieren.

Diese rechtlichen Vorgaben zielen auf eine bessere Vernetzung und Versorgungskontinuität ab. Sie bringen für Einrichtungen allerdings auch konkrete Pflichten bei Dokumentation, technischem Anschluss an die Telematikinfrastruktur (TI) und Prozessgestaltung mit sich. Wer die ePA nicht ordnungsgemäß nutzt, handelt nicht gesetzeskonform und riskiert perspektivisch regulatorische Sanktionen sowie Vertrauensverlust.

Mehr Selbstbestimmung über Abrechnungsdaten

Parallel zur Pflicht zur Befüllung hat der Bundestag jüngst zwei richtungsweisende Anpassungen beschlossen. Zum einen sollen , die von den Krankenkassen kommen und teilweise sensible diagnostische Hinweise enthalten können, künftig nur noch für die Versicherten selbst sichtbar sein. Leistungserbringende haben damit keinen automatischen Zugriff mehr auf diese Informationen. Damit reagiert der Gesetzgeber auf Datenschutz- und Vertrauensbedenken und stärkt die Datenhoheit der Versicherten.

Aktivierung erneut mit Video-Ident-Verfahren

Zum anderen ist erneut die Möglichkeit geschaffen worden, Versicherte per Video-Ident zu authentifizieren und ihnen so den Zugang zur ePA zu erleichtern. Die Gematik hat mit Blick auf die Telematikinfrastruktur das Verfahren „Nect Ident mit ePass“ als sicherheitstechnisch geeignet gelistet. Die politische Umsetzung eröffnet Krankenkassen und Betreibern von ePA-Apps daher wieder die Option, die Aktivierung per -Ident zu unterstützen. Allerdings ist der Einsatz von Video-Ident aus datenschutzrechtlicher Sicht kontrovers. Der Chaos Computer Club (CCC) hatte vor einigen Jahren Sicherheitsmängel aufgezeigt. Im Anschluss hatte die Gematik 2022 den Einsatz entsprechender Verfahren für Krankenkassen verboten. Die Gematik scheint diese Sicherheitsmängel nun nicht mehr zu erkennen.

Pflichten für Gesundheitsdienstleister

Die neuen gesetzlichen Änderungen sind noch nicht gültig, allerdings gelten bereits jetzt im Rahmen der ePA eine Vielzahl an datenschutzrechtlichen Pflichten für Krankenhäuser, und weitere Leistungserbringer.

Um den Zugang zu einer ePA zu erhalten, muss die Gesundheitseinrichtung die elektronische Gesundheitskarte des Patienten einlesen. Außerdem sind Praxis- und Klinikprozesse so zu gestalten, dass erforderliche Dokumente fristgerecht und in geeigneter Form in die ePA eingestellt werden können. Das betrifft interne Dokumentationsabläufe ebenso wie die technische Anbindung an Praxis-/Klinikinformationssysteme und die TI-Schnittstellen. 

Für den sicheren Umgang mit dieser Telematikinfrastruktur sind die Gesundheitsdienstleister verantwortlich. Kommt es zu einem Hackerangriff oder Datenverlust, der auf einen unvorsichtigen Umgang innerhalb des Praxisfeldes zurückzuführen ist, kann auch hier ein Haftungsanspruch entstehen. Um das zu vermeiden, müssen Gesundheitsdienstleister im Sinne von Art. 32 DSGVO geeignete Sicherheitsvorkehrungen treffen.

Zuletzt gilt, dass für die Datenverarbeitung in der ePA aktuell ein opt-out Mechanismus besteht. Das bedeutet, dass Fachpersonen verarbeiten dürfen, wenn kein vorliegt. Hat ein Patient allerdings einen solchen ausgeübt, dann muss die Gesundheitseinrichtung sicherstellen, dass die entsprechenden Informationen nicht in die ePA aufgenommen werden. 

Fazit

Die ePA bietet substanzielle Chancen für die Behandlungsqualität und Versorgungskoordination und die gesetzliche Pflicht zur Nutzung zielt genau darauf ab. Gleichzeitig stellen die jüngsten gesetzlichen Änderungen unmissverständlich klar, dass die Datensouveränität der Versicherten gestärkt werden muss. Ob das Video-Ident-Verfahren eine datenschutzsichere Option für die Identifikation ist, wird sich in der Praxis zeigen. Unabhängig davon sind Gesundheitsdienstleister aber jetzt schon verpflichtet, verschiedene gesetzliche Anforderungen umzusetzen und den Datenschutz zu gewährleisten.

Wichtige Punkte im Überblick:

• Pflicht zur Nutzung und Befüllung der ePA seit 1. Oktober 2025
• Abrechnungsdaten nur noch für Versicherte sichtbar.
• Video-Ident zur Aktivierung wieder möglich.
• Gesundheitsdienstleister müssen Sicherheits- und Dokumentationsprozesse umsetzen.
• Widersprüche sind zu beachten.

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.