Datenspeicherung in der ePA? Überblick und Antworten

Die elektronische Patientenakte (ePA) soll gesetzlich Versicherten einen einfachen und sicheren Zugriff auf ihre Gesundheitsdaten ermöglichen und dabei die digitale Souveränität und Datenhoheit der Versicherten sicherstellen. Mögliche datenschutzrechtliche Bedenken der der Bürgerinnen und Bürger griff eine Kleine Anfrage im Bundestag auf, die jüngst durch die Bundesregierung beantwortet wurde und Einblicke in die datenschutzrechtliche Organisation der ePA gibt.

Gegenwärtige Rahmenbedingungen

Seit dem 01.10.2025 sind alle Praxen, Krankenhäuser und Apotheken (fortan: „Leistungserbringer“) gemäß § 347 SGB V verpflichtet, die ePA zu nutzen – damit ist sie aus dem Alltag des Gesundheitswesens nicht mehr wegzudenken. Für gesetzlich Versicherte bedeutet dies: Ohne aktiven Widerspruch wird qua Verpflichtung der jeweiligen Krankenkasse eine ePA bereitgestellt und durch Leistungserbringer entsprechend befüllt. Die innerhalb der ePA gespeicherten Gesundheitsdaten sind dabei höchst sensibel, weshalb eine gewisse Skepsis aller Beteiligten gegenüber einer umfassenden elektronischen Verarbeitung nicht verwundert. Anlässlich einer Kleinen Anfrage der Linksfraktion beantwortet die Bundesregierung nunmehr einige zentrale Fragen in Bezug auf die Datenhaltung der ePA.

Die rechtlichen Anforderungen sind gesetzlich geregelt, das Nutzungserlebnis „meiner ePA“ ist Sache der Krankenkassen

Die Bereitstellungspflicht der Krankenkassen ist in § 342 SGB V umfassend geregelt und gilt folglich für alle Krankenkassen gleichermaßen. Die Bereitstellung der ePA an die Versicherten erfolgt nach Maßgabe der Vorschrift nicht durch das Bundesministerium für Gesundheit (BMG), sondern vielmehr durch die jeweilige Krankenkasse. Jede Kasse stellt also eine eigene Anwendung bereit, deren technische Basis („Backend“) kassenübergreifend dieselben Zulassungskriterien erfüllt, deren individuelle Nutzererfahrung (User Story) im sog. Frontend jedoch jede Kasse frei gestalten kann. Derzeit bieten beispielsweise IBM und EY ein gemeinsames Frontend an, das insgesamt bei elf Kassen zum Einsatz kommt, unter anderem bei der AOK als „AOK Mein Leben“ [EY AOK-Patientenakte 2023 | EY - Deutschland]. Jede Kasse hat zudem die Verantwortung, einen geeigneten technischen Betreiber der Infrastruktur, das sog. Backend, auszuwählen; bisher existieren lediglich zwei solche Betreiber. Abseits der Optik und der Convenience-Funktionen (z. B. starke Kontraste, intuitive Navigation) im Frontend liegt auch die Umsetzung der Datenverarbeitung bei den Kassen und ihren Betreibern. Für die Daten in der ePA stellt sich in diesem Zusammenhang schon durch die Unternehmensstruktur der beiden technischen Betreiber die Herausforderung, den europäischen Datenschutz durchzusetzen. Denn als multinationaler Konzern steht einer der beiden Infrastrukturbetreiber der ePA unter dem potenziellen Einfluss seiner US-amerikanischen Muttergesellschaft. Diese wiederum ist einem potenziellen Einfluss US-amerikanischer Behörden ausgesetzt. Dieser Umstand steht damit exemplarisch dafür, welche Fragestellungen sich in Bezug auf einen effektiven Datenschutz im Zeitalter einer globalisierten Welt ergeben, damit dieser funktionieren kann.

Die Klarstellung dieser Fragen zur Datensicherheit der ePA in der aktuellen weltpolitischen Lage ist Gegenstand der aktuellen Antwort (21/2238) der Bundesregierung auf die Kleine Anfrage der Fraktion Die Linken (21/1912).

Mit Blick auf den möglichen Zugriff auf Gesundheitsdaten innerhalb der EU durch drittstaatliche Behörden im Wege eines Auskunftsersuchens erklärt die Bundesregierung: Versichertendaten in Deutschland sind sicher. Ein Zugriff auf Versichertendaten ohne den individuellen Schlüssel des Versicherten ist nicht möglich. Die Versichertendaten sind sicher verschlüsselt auf Servern innerhalb der Bundesrepublik Deutschland gespeichert. Die zugrunde liegenden Anforderungen an die Verarbeitung von Sozialdaten stehen dabei nicht in der Dispositionsfreiheit der jeweiligen Krankenkasse, sondern werden durch die gematik GmbH, ein Unternehmen in vollständigem Besitz der Bundesrepublik Deutschland, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt. Darüber hinaus obliegt es den Kassen, die Sicherstellung gesetzlicher Vorgaben auch vertraglich mit den Betreibern zu vereinbaren und durchzusetzen sowie gemäß § 9b Abs. 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) den Einsatz kritischer Komponenten gegenüber dem Betreiber zu untersagen oder weiter gehenden Anordnungen zu unterwerfen. Der Konformitätsdruck für die Kassen ist enorm. Denn es drohen bei einem Verstoß sowohl gem. Art. 83 DSGVO Geldbußen in Höhe von bis zu 20 Mio. EUR oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes als auch weitere Sanktionen gemäß Art. 84 DSGVO und potenziell der Verlust der Zulassung einzelner ePA-Komponenten und in der Folge empfindliche Minderungen (z. B. Sanktionsregelungen bei Verstößen gegen Mitteilungspflichten nach § 270 Abs. 3 SGB V).

Welche Daten werden innerhalb der ePA gespeichert?

Aus der Anfrage geht ebenfalls hervor, dass es im Hinblick auf die Datenspeicherung innerhalb der ePA verschiedene Datenkategorien gibt. Dabei ist von Gesetzes wegen zwischen Daten, die innerhalb der ePA gespeichert werden müssen (vgl. § 342 SGB V), und solchen, die darüber hinaus freiwillig auf Initiative der Versicherten gespeichert werden können (vgl. § 341 SGB V), zu unterscheiden. Sämtliche Daten, die im Rahmen der Behandlung durch die Leistungserbringer erhoben werden, zählen zur ersten Kategorie. Davon umfasst sind unter anderem Medikationsdaten, Laborbefunde und -berichte und auch elektronische Arztbriefe. Zur zweiten Kategorie zählen insbesondere die elektronische Arbeitsunfähigkeitsbescheinigung, Daten aus der Pflege und Hinweise zu Organspende bzw. Patientenverfügungen. Dabei betont die Bundesregierung, dass es sich bei der ePA um eine lebenslang konzipierte Akte handle.

Zugriffe können gesteuert und nachvollzogen werden – in begrenztem Umfang

Ihre Datensouveränität üben Versicherte nach § 353 Abs. 2 SGB V dergestalt aus, dass sie Zugriffsrechte erteilen und entziehen und einzelne Dokumente verbergen können. Laut Antwort der Bundesregierung können Nutzer dafür Zugriffsrechte institutionsbezogen erteilen und entsprechend entziehen; dies gelte jedoch nur für die gesamte ePA und nur für die Gesamtheit der enthaltenen Dokumente. Die Möglichkeit, einzelne Dokumente verschiedenen Leistungsträgern zugänglich zu machen und anderen zur gleichen Zeit nicht, bestehe ebenso wenig wie diejenige, den Zugriff einzelner Leistungserbringer auf einen gewissen Zeitraum zu beschränken. Eine Beschränkung des Zugriffs auf einen gewissen Zeitraum gegenüber allen Leistungserbringern hingegen sei möglich. Die fehlende Möglichkeit der individuellen Bereitstellung ausgewählter Dokumente stehe im Einklang mit der Tatsache, dass Leistungserbringer für eine zielgerichtete Behandlung auf ein umfassendes Bild der gesundheitlichen Umstände der Versicherten angewiesen seien. Eine Möglichkeit der individuellen Bereitstellung für einzelne Institutionen bestehe hingegen für den digital gestützten Medikationsplan. Auch die jeweilige Zugriffsdauer lasse sich durch die Versicherten individuell anpassen, standardmäßig betrage sie nach § 342 Abs. 2 Nr. 1 SGB V 90 Tage für Leistungserbringende und drei Tage für Apotheken, sofern zuvor ein Einlesen der elektronischen Gesundheitskarte (eGK) erfolgt sei. Darüber hinaus sei stets ein nachgewiesener Behandlungs- bzw. Versorgungskontext erforderlich – fehle dieser, sei ein Zugriff durch Leistungserbringer nicht möglich.

Zugriffe auf die eigene ePA und die darin enthaltenen Dokumente können Versicherte über Protokolldaten zum Zugriff an sich und zu evtl. Änderungen nachvollziehen. Eine personengenaue Protokollierung, die umfassende Informationen über die Zugriffe spezifischer Personen der jeweiligen Institutionen erlauben soll, ist nach § 309 Abs. 4 SGB V ab dem 01.01.2030 verpflichtend – bis zu diesem Zeitpunkt bleibt es bei der gegenwärtigen Regelung.

Spezielle Regelungen für besonders sensible Diagnosen

Hinsichtlich besonders sensibler Diagnosen, beispielsweise sexuell übertragbarer Infektionen, psychischer Erkrankungen oder Schwangerschaftsabbrüchen, besteht in vielen Fällen ein gesteigertes Interesse der Versicherten an einer limitierten Verarbeitung und Weitergabe. In diesem Zusammenhang verweist die Bundesregierung auf die Vorschriften der §§ 347 Abs. 1 Satz 4 bzw. 348 Abs. 1 Satz 2 SGB V, nach denen die Leistungserbringer verpflichtet sind, Versicherte vor der Übermittlung und Speicherung von Daten, die im Zusammenhang mit derartigen Diagnosen stehen, gesondert auf das Recht zum Widerspruch gegen die Übermittlung und Speicherung in der ePA hinzuweisen. Sofern Daten mit entsprechendem Bezug hingegen bereits in der ePA gespeichert sind, ist ein aktiver Eingriff der Versicherten erforderlich – diese können die entsprechenden Dokumente verbergen und damit dem Zugriff durch Leistungserbringer entziehen.

Fazit

Die ePA steht vor der Herausforderung einer Harmonisierung von privatwirtschaftlichem Markt und stark regulierten Umsetzungsvorgaben. Wie auch in anderen Bereichen der Gesundheitsversorgung (z. B. der Arzneimittel- oder der Medizinprodukteherstellung) sind Wettbewerb und konkurrierende Konditionen für technische Lösungen, die optische Darstellung und das Nutzererlebnis mit den erforderlichen strikten Mindestvorgaben an die Sicherheit des Produkts in Einklang zu bringen. Damit befindet sich die ePA in einem Spagat – die Interessen der Versicherten zu wahren, Datensouveränität zu schaffen und eine transparente Steuerung der Zugriffe durch Leistungserbringer zu gewährleisten und zugleich den Kassen den jeweils wirtschaftlichsten und für ihre Versicherten sinnvollsten Anwendungsfall zu ermöglichen. Das Grundinteresse der Versicherten an einem intuitiven Nutzungserlebnis auf dem aktuellen Stand der Technik bei gleichzeitig effektivem und umfassendem Datenschutz soll dabei nicht gegen das Grundinteresse der Leistungserbringer, möglichst umfassende Informationen auf einheitlichem Wege zu erhalten, oder das der Kassen an der wirtschaftlichsten Umsetzungsweise abgewogen werden.