Start der elektronischen Patientenakte

Am 29.04.2025 ist das bundesweite Rollout der elektronischen Patientenakte (ePA) erfolgt. Das Gesundheitsministerium (BMG) erklärt, dass Sicherheitsbedenken ausgeräumt seien. Doch Stimmen aus Fachkreisen äußern weiterhin datenschutzrechtliche Zweifel.

Vom Pilotprojekt zur flächendeckenden Einführung

Seit Jahren wird die elektronischen Patientenakte (ePA) als zentrales Instrument einer modernen, vernetzten Gesundheitsversorgung diskutiert. Sie soll es ermöglichen, Gesundheitsdaten wie Befunde, Verordnungen oder ärztliche Berichte digital zu speichern und Gesundheitsdienstleistern übergreifend bereitzustellen. Ein entscheidender Wendepunkt war die Verabschiedung zweier Digitalgesetze Ende 2023, mit denen unter anderem die automatische Anlage einer ePA für alle gesetzlich Versicherten beschlossen wurde – vorbehaltlich eines individuellen Widerspruchs.

Tatsächlich mussten die Krankenkassen bereits ab Mitte Januar 2025 elektronische Akten für ihre Versicherten anlegen. Der bundesweite Einsatz der ePA wurde jedoch vorerst ausgebremst aufgrund von Sicherheitsbedenken. Insofern sollten zunächst in mehreren Modellregionen Praxen, Apotheken und Kliniken unter realen Bedingungen erste Erfahrungen sammeln. Erst nach Auswertung dieser Tests war eine landesweite Einführung vorgesehen.

Sicherheitsbedenken

Spätestens seit dem Jahresende 2024 waren erhebliche Zweifel an der Sicherheit der neuen Infrastruktur laut geworden. Fachleute demonstrierten beim 38. Chaos Communication Congress beispielsweise, wie einfach auf hinterlegte Gesundheitsdaten zugegriffen werden kann. Auch das Fraunhofer Institut attestierte in einem Gutachten strukturelle Schwachstellen, die vor dem flächendeckenden Einsatz zu beheben seien.

Selbst politische Stimmen forderten mehr Zurückhaltung. Die Vorsitzende des Digitalausschusses des Bundestags, Tabea Rößner, warnte davor, dass Gesundheitsdaten nicht ausreichend vor unbefugtem Zugriff geschützt seien. Die Empfehlung eines Widerspruchs gegen die ePA deutete sie angesichts der ungeklärten Risiken zumindest an. Die Bundesärztekammer äußerte sich ähnlich reserviert: Präsident Klaus Reinhardt riet vom Einsatz der ePA in ihrer bisherigen Form ab.

Hochlaufphase seit Ende April

Ungeachtet dieser Kritik hatte das BMG laut eines von netzpolitik.org veröffentlichten Briefs nun angekündigt, die ePA ab Ende April bundesweit bereitzustellen. Gesundheitsdienstleister können seit diesem Zeitpunkt auf freiwilliger Basis mit dem System arbeiten. Es handelt sich um eine erweiterte Testphase und keine verpflichtende Umstellung. Ziel ist es, in einem breiten Praxistest Erfahrungen zu sammeln und den technischen Alltagseinsatz zu erproben. Verpflichtend wird die Nutzung erst ab dem 01.10.2025. Aktuell bestünde für Praxen, Apotheken, Krankenhäuser und sonstige Gesundheitsdienstleister keine Sanktionsrisiken bei Nichtverwendung.

Ist die ePA jetzt sicher genug?

Obwohl das Ministerium betont, die von verschiedenen Expertinnen und Experten identifizierten Schwächen seien beseitigt worden, bleiben viele Fachpersonen skeptisch. Bianca Kastl, Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V., soll kürzlich erneut erklärt haben, dass die bislang kommunizierten Updates keineswegs ausreichen. Es handle sich eher um punktuelle Eingriffe zur Schadensbegrenzung als um eine substanzielle Überarbeitung der zugrunde liegenden Sicherheitsarchitektur. Ihrer Einschätzung nach fehlt es weiterhin an Transparenz und einem robusten Sicherheitskonzept.

Was Gesundheitsdienstleister jetzt beachten müssen

Für Ärzte, medizinisches Fachpersonal, Apotheken und Krankenhäuser begann mit dem Hochlauf der ePA eine Übergangsphase. Auch wenn die Nutzung noch freiwillig ist, empfiehlt es sich, bereits jetzt die nötigen Vorbereitungen zu treffen. Technisch bedeutet das insbesondere die Prüfung der Kompatibilität vorhandener Systeme mit den Schnittstellen zur ePA, die Einrichtung von Zugriffsrechten und die Schulung des Personals im sicheren Umgang mit digitalen Gesundheitsdaten.

Auch empfiehlt es sich, Patienten über die Funktionsweise der ePA, die Datenverarbeitungsvorgänge und die Möglichkeiten des Widerspruchs aufzuklären. Eine verständliche und vollständige Patienteninformation sorgt für Vertrauen und Akzeptanz. Gleichzeitig sollten interne Prozesse zur Dokumentation, Protokollierung und Datensicherheit aktualisiert werden.

Fazit

Die Einführung der elektronischen Patientenakte ist zweifellos ein technologischer Fortschritt mit großem Potenzial für mehr Effizienz und bessere Koordination im Gesundheitswesen. Doch die flächendeckende Verarbeitung von Gesundheitsdaten erfordert eine robuste Sicherheitsstruktur. Es liegt nun an der der gematik die offene Vertrauenslücke zu schließen. 

Wichtige Punkte im Überblick:

• Bundesweiter ePA-Rollout seit 29. April 2025 in Form einer Hochlaufphase
• Verpflichtende Nutzung durch Leistungserbringer ab Oktober 2025
• Experten warnen weiter vor datenschutzrechtlichen Schwachstellen 
• Gesundheitsdienstleister sollten sich vorbereiten, u. a. durch technische Systemanpassungen, Datenschutzschulungen und transparente Patienteninformationen

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.