Seit dem 1. Oktober 2025 ist die Nutzung der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten verpflichtend. Ziel der ePA ist es, medizinische Daten zentral, digital und interoperabel verfügbar zu machen, um die Qualität der Patientenversorgung zu erhöhen, Doppeluntersuchungen zu vermeiden und die Kommunikation zwischen Ärzten, Krankenhäusern, Apotheken und weiteren Leistungserbringern zu verbessern. Darüber hinaus eröffnet die ePA neue Möglichkeiten für eine datenbasierte Versorgung, Versorgungsforschung und Qualitätskontrolle, während gleichzeitig der Datenschutz und die Datensicherheit im Gesundheitswesen höchste Priorität genießen. Für Unternehmen im Gesundheitssektor sowie IT-Dienstleister ergeben sich umfassende organisatorische und technische Anpassungen, die frühzeitig geplant und umgesetzt werden müssen.
1. Wer und was ist betroffen?
Die ePA betrifft alle Leistungserbringer, die gesetzlich Versicherte betreuen oder behandeln, unabhängig davon, ob sie ambulant, stationär oder in speziellen Versorgungszentren tätig sind. Dazu zählen niedergelassene Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten, Krankenhäuser, Laboratorien, Apotheken sowie IT-Dienstleister, die Softwarelösungen für die ePA bereitstellen oder Daten im Auftrag verarbeiten. Betroffen sind sämtliche medizinischen Daten, die für die Behandlung relevant sind, einschließlich Arztbriefe, Befunde, Laborwerte, Medikationspläne, Impfungen sowie Informationen zu chronischen Erkrankungen. Die Patientinnen und Patienten selbst erhalten über die ePA umfassende Kontrolle über ihre Daten. Sie können den Zugriff auf einzelne Dokumente gezielt freigeben oder sperren, sind jederzeit über gespeicherte Daten informiert und können die Rechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung gemäß den Artikeln 15 bis 17 DSGVO ausüben. Dies integriert die Betroffenenrechte direkt in den medizinischen Alltag und stärkt die Selbstbestimmung der Versicherten über ihre eigenen Gesundheitsdaten.
2. Was ändert sich konkret?
Mit der verpflichtenden Nutzung der ePA ergeben sich mehrere zentrale Veränderungen:
- Zentrale Verfügbarkeit von Daten: Mit der verpflichtenden ePA werden medizinische Daten nicht länger isoliert in Praxis- oder Krankenhausinformationssystemen gespeichert, sondern standardisiert in der ePA abgelegt, sodass sie allen berechtigten Leistungserbringern zugänglich sind. Die ePA ermöglicht eine einheitliche Dokumentation der Patientenhistorie und reduziert Informationsverluste, die bisher durch unterschiedliche Systeme und Medien entstehen konnten.
- Patientenrechte: ersicherte haben die Möglichkeit, selbst zu entscheiden, welche Dokumente in ihrer ePA eingesehen werden dürfen und an welche Leistungserbringer diese weitergegeben werden. Sie können den Zugriff auf einzelne Dokumente gezielt sperren oder einzelne Informationen vollständig löschen, wodurch die Selbstbestimmung über die eigenen Gesundheitsdaten gestärkt wird. Diese Rechte entsprechen den Artikeln 15 bis 17 DSGVO, die Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung vorsehen, und müssen technisch zuverlässig umgesetzt und jederzeit durch die Leistungserbringer unterstützt werden.
- Technische Anforderungen: Die eingesetzten IT-Systeme müssen interoperabel sein, um einen reibungslosen Datenaustausch zwischen verschiedenen Leistungserbringern, Praxen und Krankenhäusern zu gewährleisten. Zusätzlich sind sie verpflichtet, die Sicherheitsanforderungen gemäß §§ 303, 314 SGB V umzusetzen, einschließlich technischer Maßnahmen wie Verschlüsselung, Zugangskontrollen und Manipulationsschutz. Ziel ist es, sowohl die Integrität als auch die Vertraulichkeit der Gesundheitsdaten sicherzustellen und unbefugte Zugriffe oder Datenverlust zu verhindern.
- Dokumentation und Nachweis: Leistungserbringer müssen sämtliche Zugriffe auf die ePA und die Weitergabe von Daten systematisch protokollieren. Diese Protokollierung dient nicht nur der Nachvollziehbarkeit und Transparenz gegenüber den Patientinnen und Patienten, sondern erfüllt auch regulatorische Anforderungen, die eine Prüfung durch Aufsichtsbehörden ermöglichen. Auf diese Weise kann jederzeit nachvollzogen werden, wer welche Daten wann eingesehen oder weitergegeben hat, was ein zentrales Element der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO darstellt.
3. Rechtlicher Rahmen und Datenschutzanforderungen
Die ePA unterliegt einer Kombination aus nationalen und europäischen Rechtsgrundlagen. Neben den spezifischen Vorschriften des SGB V (§§ 291a–f) greifen die allgemeinen Vorgaben der DSGVO. Leistungserbringer sind verpflichtet, die Patientinnen und Patienten transparent über die Verarbeitung ihrer Daten zu informieren, die Sicherheit der Daten gemäß Art. 32 DSGVO sicherzustellen und ein vollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO zu führen. Insbesondere bei sensiblen Gesundheitsdaten, die als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO gelten, ist eine sorgfältige Risikobewertung und gegebenenfalls die Durchführung einer Datenschutz-Folgenabschätzung erforderlich. IT-Dienstleister, die die ePA betreiben, agieren als Auftragsverarbeiter nach Art. 28 DSGVO und müssen entsprechende Verträge schließen. Die Sicherstellung der Rechte der Versicherten ist zentral: Sie müssen jederzeit Auskunft über gespeicherte Daten erhalten, Berichtigungen oder Löschungen anfordern und die Verarbeitung auf Wunsch einschränken können. Diese Rechte wirken unmittelbar in den Prozessen der ePA und müssen technisch und organisatorisch unterstützt werden.
4. Handlungsempfehlungen für Unternehmen und Leistungserbringer
Die Einführung der ePA stellt nicht nur eine technische, sondern auch eine organisatorische Herausforderung dar. Unternehmen sollten zunächst eine umfassende Bestandsaufnahme ihrer bestehenden Systeme und Datenflüsse durchführen, um Schnittstellen zur ePA zu identifizieren. Prozesse, interne Richtlinien und Schulungen müssen angepasst werden, sodass Mitarbeitende die Rechte der Versicherten korrekt umsetzen können und Anfragen effizient bearbeitet werden. Die IT-Systeme müssen verschlüsselt, interoperabel und so konfiguriert sein, dass Zugriffe protokolliert und kontrolliert werden können. Darüber hinaus ist es sinnvoll, ein internes Monitoring einzuführen, um die Einhaltung der gesetzlichen und datenschutzrechtlichen Anforderungen kontinuierlich zu überprüfen. Frühzeitige Umsetzung und Abstimmung mit dem Datenschutzbeauftragten verhindern operative Störungen und gewährleisten, dass die Umstellung rechtssicher und reibungslos erfolgt.
Fazit
Die verpflichtende ePA ist ein zentraler Schritt in der Digitalisierung des deutschen Gesundheitswesens. Sie verbessert die Datenverfügbarkeit und Versorgungskontinuität, stärkt die Rechte der Versicherten und erleichtert die Zusammenarbeit zwischen Leistungserbringern. Gleichzeitig erhöht sie die Anforderungen an Datenschutz, Informationssicherheit und organisatorische Prozesse erheblich. Unternehmen und Leistungserbringer sollten ihre Systeme, Prozesse und Verträge sorgfältig prüfen, die notwendigen technischen und organisatorischen Maßnahmen umsetzen und die Umsetzung eng mit ihrem Datenschutzbeauftragten abstimmen, um Compliance-Risiken zu minimieren und die Vorteile der ePA vollständig zu nutzen.
Kommen Sie bei Fragen dazu gerne auf uns zu – wir stehen Ihnen für weitergehende Informationen und Unterstützung zur Verfügung.
Folgende Beiträge könnten Sie auch interessieren: