Die elek­tro­ni­sche Pati­en­ten­ak­te (ePA) gilt als Mei­len­stein der Digi­ta­li­sie­rung im Gesund­heits­we­sen. Seit 2021 kön­nen gesetz­lich Ver­si­cher­te in Deutsch­land ihre medi­zi­ni­schen Daten zen­tral spei­chern und tei­len – von Labor­wer­ten bis zum Rönt­gen­bild. Doch wäh­rend die ePA Effi­zi­enz und Pati­en­ten­au­to­no­mie ver­spricht, blei­ben Fra­gen zum Daten­schutz. Ist der gesetz­li­che Rah­men der ePA wirk­lich aus­ge­reift? Oder offen­ba­ren sich hier Schwach­stel­len, die das Ver­trau­en in die digi­ta­le Gesund­heits­ver­sor­gung gefähr­den?

1. Der gesetz­li­che Rah­men: DSGVO, SGB V & Co.

Die ePA basiert auf dem Digi­ta­le-Ver­sor­gung-Gesetz (DVG) und ist im Fünf­ten Sozi­al­ge­setz­buch (SGB V) ver­an­kert. Zusätz­lich gel­ten die stren­gen Vor­ga­ben der EU-Daten­schutz­grund­ver­ord­nung (DSGVO). Theo­re­tisch ein soli­des Fun­da­ment:

Daten­ho­heit: Pati­en­ten ent­schei­den selbst, wer Zugriff erhält (Art. 9 DSGVO).

Pseud­ony­mi­sie­rung: Medi­zi­ni­sche Daten wer­den ver­schlüs­selt gespei­chert.

Löschungs­recht: Nut­zer und Nut­ze­rin­nen kön­nen die ePA jeder­zeit deak­ti­vie­ren.

Doch die Pra­xis zeigt: Geset­ze allein garan­tie­ren kei­nen umfas­sen­den Schutz.

2. Kri­tik­punk­te: Wo hakt es?

1. a) Zugriffs­kon­trol­le – zu lasch?

Zwar müs­sen Ärz­te und Ärz­tin­nen oder Apo­the­ker und Apo­the­ke­rin­nen sich via Heil­be­ru­fe­aus­weis authen­ti­fi­zie­ren, um auf die ePA zuzu­grei­fen. Doch:

Risi­ko des Insi­der-Miss­brauchs: Was pas­siert, wenn Unbe­fug­te an die Zugangs­da­ten gelan­gen?

Kein detail­lier­tes Log­ging (Pro­to­kol­lie­rung): Pati­en­ten sehen nur, dass jemand ihre Akte geöff­net hat – nicht, wel­che Daten ein­ge­se­hen wur­den.

1. b) Daten­mi­ni­mie­rung? Fehl­an­zei­ge!

Die DSGVO for­dert, nur not­wen­di­ge Daten zu erhe­ben (Art. 5 DSGVO). Doch die ePA erlaubt das Hoch­la­den sämt­li­cher Gesund­heits­da­ten – auch frei­wil­lig. Kri­ti­ker und Kri­ti­ke­rin­nen war­nen vor einer „Daten­hor­tung“, die Hacker anlockt oder Ver­si­che­run­gen zu Risi­ko­pro­fi­len ver­lei­tet.

1. c) Tech­ni­sche Umset­zung: Ein Sicher­heits­ri­si­ko?

Die ePA läuft über die Tele­ma­tik-Infra­struk­tur (TI), die bereits mehr­fach für Pan­nen kri­ti­siert wur­de:

- 2022 offen­bar­te der Cha­os Com­pu­ter Club Sicher­heits­lü­cken in der TI-Kon­nek­to­ren-Soft­ware.

- Die zen­tra­le Spei­che­rung bei aus­ge­wähl­ten Anbie­tern (wie gema­tik) wirft Fra­gen zur Cloud-Sicher­heit auf.

3. Stim­men aus der Pra­xis: Was sagen Exper­ten und Exper­tin­nen?

Prof. Katha­ri­na Zweig (Infor­ma­ti­ke­rin):

 „Die ePA setzt auf eine zen­tra­li­sier­te Archi­tek­tur – ein Ein­falls­tor für Cyber­an­grif­fe. Dezen­tra­le Lösun­gen wären siche­rer.“

Daten­schutz­be­auf­trag­te Ulrich Kel­ber:

 „Die Lösch­pflich­ten sind unklar. Wer garan­tiert, dass gelösch­te Daten nicht doch in Back­ups wei­ter exis­tie­ren?“

Eine Pati­en­ten und Pati­en­tin­nen-Befra­gung der Ber­tels­mann Stif­tung (2023) ergab:

Nur 12 % der Befrag­ten nut­zen die ePA – aus Angst vor Daten­lecks.

4. Blick ins Aus­land:

Ande­re Län­der zei­gen, wie es bes­ser geht:

Est­land: Dezen­tra­le Spei­che­rung mit Block­chain-Tech­no­lo­gie.

Däne­mark: Pati­en­ten ent­schei­den pro Doku­ment, wer es ein­se­hen darf.

Öster­reich: Opt-in-Lösung statt auto­ma­ti­scher ePA-Akti­vie­rung.

5. Fazit: Nach­bes­sern statt Schei­tern

Die ePA ist ein Schritt in die rich­ti­ge Rich­tung – doch daten­schutz­recht­lich noch nicht aus­ge­reift. Um Ver­trau­en zu schaf­fen, braucht es:

Gra­nu­la­re­re Zugriffs­rech­te (z. B. Frei­ga­be pro Doku­ment oder Arzt­pra­xis).

Stär­ke­re Dezen­tra­li­sie­rung der Daten­spei­che­rung.

Trans­pa­ren­te Auf­klä­rung über Risi­ken und Rech­te.

Der Gesetz­ge­ber muss nach­le­gen: Daten­schutz darf nicht nur auf dem Papier ste­hen, son­dern muss in der Tech­nik gedacht wer­den. Denn nur eine siche­re ePA wird zur ech­ten Empower­ment-Waf­fe für Pati­en­ten und Pati­en­tin­nen.