News 22 - 2025

Nach jahrzehntelanger Diskussion ist die elektronische Patientenakte endlich da. In dieser Einführung erfahren Sie, wie Sie Ihre ePA einrichten, nutzen und den Zugriff gezielt steuern – damit Sie Ihre Gesundheitsdaten sicher und selbstbestimmt verwalten können.

Wie bekomme ich eine ePA?
Die gesetzlichen Krankenkassen sind dazu verpflichtet, für alle Versicherten eine ePA anzulegen. Sie haben das bereits bis Mitte Februar 2025 getan, falls kein Widerspruch des Versicherten vorlag. Private Krankenversicherer müssen keine ePA anbieten, die meisten wollen das aber bis Ende 2025 tun. Bevor sie eine Akte anlegen, müssen sie ihre Versicherten ebenfalls darüber informieren und auf die Möglichkeit zum Widerspruch hinweisen.

Wie kann ich auf meine eigene ePA zugreifen?
Dazu brauchen Sie die ePA-App Ihrer Krankenkasse. Die Apps stehen jeweils für iOS und für Android zur Verfügung. Eine Übersicht über alle Apps hat die Gematik veröffentlicht.

Im nächsten Schritt registrieren Sie sich in der App und geben dabei unter anderem Ihre Versichertennummer an. Danach müssen Sie sich aus Sicherheitsgründen authentifizieren. Das geht in der Regel mit dem elektronischen Personalausweis und der dazugehörigen PIN oder mit der elektronischen Gesundheitskarte und deren PIN. Dazu lesen Sie den Chip des Ausweises beziehungsweise der Karte via NFC aus. Viele Kassen bieten auch eine Authentifizierung in einer Postfiliale (Postident) an oder stellen in ihren eigenen Filialen einen Aktivierungscode aus, wenn Sie dort Ihren Personalausweis vorzeigen.

Wenn Sie authentifiziert sind, können Sie in der Regel festlegen, wie Sie sich fortan einloggen möchten. Am bequemsten ist das Login per Gesichtserkennung, Sie können für mehr Sicherheit aber auch einstellen, dass für jedes Login erneut der E-Perso oder die Gesundheitskarte ausgelesen werden muss.

Kann ich die ePA auch am PC nutzen?
Laut Gematik soll ab Mitte 2025 ein Desktopclient für die ePA zur Verfügung stehen.

Wer kann außer mir auf meine ePA zugreifen?
Wenn Sie gesetzlich versichert sind, dürfen alle Ärzte, bei denen Sie in Behandlung sind, auf Ihre ePA zugreifen. Sie erteilen automatisch für 90 Tage die Berechtigung zum Zugriff, wenn Ihre Gesundheitskarte in der Praxis in das Lesegerät gesteckt wird. Das gilt auch dann, wenn Sie die ePA-App nicht nutzen und noch nie in Ihre ePA hineingeschaut haben. Sie können die Dauer des Zugriffs in der App aber beliebig begrenzen oder den Zugriff ganz verbieten. Privatversicherte erteilen Berechtigungen ausschließlich in ihrer ePA-App.

Apotheken können drei Tage lang auf Ihre ePA zugreifen, wenn Sie dort ein E-Rezept mit Ihrer Gesundheitskarte einlösen.

Krankenkassen betreiben zwar die ePA für ihre Versicherten, können aber aufgrund technischer Maßnahmen nicht auf die Inhalte zugreifen, wie die staatliche Digitalisierungsagentur Gematik auf ihrer Website erklärt. Kassen können lediglich Informationen hochladen.

Welche Informationen landen in meiner ePA?
Sie können selbst Dokumente hochladen, zum Beispiel eingescannte Arztbriefe oder Röntgenbilder. Diese werden aus Sicherheitsgründen automatisch ins nachträglich nicht veränderbare PDF/A-Format umgewandelt. Die maximale Dateigröße liegt bei 25 MByte.

Sie als Nutzer haben einen Anspruch darauf, dass Ärzte und Psychotherapeuten Daten aus aktuellen Behandlungen in die ePA einstellen, zum Beispiel Befundberichte, Laborbefunde, Röntgenbilder et cetera. Bei besonders sensiblen Informationen wie sexuell übertragbaren Krankheiten, psychischen Erkrankungen oder Schwangerschaftsabbrüchen müssen Ärzte nachfragen, ob diese in der ePA gespeichert werden sollen.

Technisch betrachtet können Ärzte außer PDFs auch andere Dateien hinterlegen, etwa den elektronischen Arztbrief. Zahnärzte können zudem Informationen in einem digitalen Zahnbonusheft hinterlegen. Die Krankenkassen müssen Abrechnungsinformationen in die ePA hochladen. Die Daten aus für Sie ausgestellten und eingelösten E-Rezepten werden automatisch in die Akte eingestellt und in Form der Medikationsliste (eML) dargestellt.

Kann ich Ärzten den Zugriff auf meine ePA verbieten?
Ja, sie können in der App einzelne Ärzte vom Zugriff auf Ihre gesamte ePA ausschließen oder den Zugriff wieder entziehen. Dazu suchen Sie die Praxis in der App und wählen "blockieren". Die Praxis erhält dann keinen Zugriff auf die Akte, selbst wenn Ihre Gesundheitskarte in deren Lesegerät gesteckt wird. Alternativ können Sie den Zugriff auf eine beliebige Zahl von Tagen beschränken.

Kann ich einzelne Dokumente verstecken?
Ja, Sie können jedes Dokument sowie Dokumentenkategorien verbergen. Verborgene Dokumente kann dann niemand außer Ihnen sehen. Für Praxen ist nicht erkennbar, ob Daten verborgen sind. Alternativ können Sie Dokumente löschen. Außerdem können Sie dem Einstellen der Abrechnungsdaten und der elektronischen Medikationsliste, die automatisch für alle sichtbar sind, in der App widersprechen.

Gibt es das feingranulare Berechtigungsmanagement in der ePA noch?
Nein, die Möglichkeit, nur einzelnen Ärzten den Zugriff nur auf bestimmte Dokumente zu ermöglichen, gibt es nicht mehr und sie ist auch für die Zukunft nicht geplant. Wenn Sie nicht möchten, dass bestimmte Ärzte bestimmte Daten sehen können, müssen Sie ihnen den Zugriff auf die komplette Akte verweigern oder die Dokumente für alle verbergen.

Kann ich sehen, wer auf meine ePA zugegriffen hat?
Ja, es wird mit Zeitstempel protokolliert, welche Institution auf welches Dokument zugegriffen hat. Sie können diese Protokolle in Ihrer ePA-App einsehen.

Worum ging es nochmal genau bei den Sicherheitslücken, die der Chaos Computer Club (CCC) aufgezeigt hat?
CCC-Mitglieder hatten im Dezember auf eine ganze Reihe von Sicherheitsproblemen hingewiesen. Unter anderem beschafften sie sich Gesundheitskarten und Heilberufsausweise Dritter und sie hätten sogar ohne Besitz der Gesundheitskarten auf die ePAs Dritter zugreifen können. Dies und weitere Informationen haben wir für Sie zusammengefasst. Die Gematik besserte im Anschluss nach, doch Ende April umging der CCC auch einen neuen Schutzmechanismus: Er fand heraus, dass sich bestimmte Daten, die für den Zugriff auf eine ePA nötig sind, über ein Verfahren für die "elektronische Ersatzbescheinigung" (eEB) automatisiert abfragen ließen. Die Gematik reagierte darauf mit der Aussetzung des eEB-Verfahrens. Für den Zugriff auf eine ePA muss man auch die Gesundheitskartennummer und die Versichertennummer des Nutzers kennen. Diese Daten stehen auf der Karte. Zudem muss ein Angreifer Zugang zur Telematik-Infrastruktur haben, wofür unter anderem spezielle Hardware sowie Praxis- und Heilberufsausweise nötig sind.

Ich traue der ePA wegen der vom CCC aufgezeigten Sicherheitsprobleme nicht – kann ich jetzt noch widersprechen?
Ja, Sie können jederzeit widersprechen. Wenn Ihre Krankenkasse bereits eine ePA für Sie angelegt hat, muss sie diese dann samt aller Inhalte löschen. Hinzu kommen Widerspruchsmöglichkeiten gegen bestimmte Funktionen und Vorgänge. Zum Beispiel können Sie während des Arztbesuchs mündlich dem Einstellen von Dokumenten durch diese Praxis widersprechen. Gegenüber der Krankenkasse können Sie unter anderem das automatisierte Einstellen von E-Rezept-Daten untersagen. Einen Überblick über Widerspruchsmöglichkeiten und die zuständigen Ansprechpartner hat die Gematik veröffentlicht.

Wo werden die ePA-Daten gespeichert?
Es gibt aktuell zwei zugelassene Anbieter von ePA-Systemen: IBM sowie ein Konsortium aus dem österreichischen IT-Dienstleister RISE und dem deutschen Unternehmen Bitmarck. Sie speichern die ePA-Daten laut Bundesgesundheitsministerium auf Servern, die in Deutschland stehen.

Kann ich die ePA einer Person aus meinem Umfeld verwalten?
Ja. Die Vertreter können Sie mit den ePA-Apps einrichten. Dazu muss die zu vertretende Person über die App verfügen und dort Ihre Krankenversichertennummer, Ihren Namen und Ihre E-Mail-Adresse angeben. Sie erhalten anschließend von der Krankenkasse eine Information per E-Mail und können die Vertretung in Ihrer App übernehmen. Alternativ können Sie die Vertretung in einer Filiale Ihrer Krankenkasse einrichten lassen.

Erhalten auch Kinder eine ePA?
Ja, auch gesetzlich versicherte Kinder erhalten automatisch eine ePA. Verantwortlich für die Akte sind dann die Eltern beziehungsweise Sorgeberechtigten. Ab einem Alter von 15 Jahren bestimmen Kinder selbst über ihre ePA.

Was hat es mit der Ausleitung von Forschungsdaten auf sich?
Laut den Plänen des Bundesgesundheitsministeriums sollen möglicherweise noch in diesem Jahr strukturierte Daten aus den elektronischen Patientenakten aller gesetzlich Versicherten in pseudonymisierter Form für Forschungszwecke weiterverwertet werden. Sie sollen an das beim Bundesinstitut für Arzneimittel und Medizinprodukte angesiedelte Forschungsdatenzentrum Gesundheit übermittelt werden. Die Daten sollen perspektivisch in einem gemeinsamen Europäischen Gesundheitsdatenraum (European Health Data Space) für Forscher zur Verfügung stehen. Abhängig vom Forschungszweck können auch Unternehmen gegen eine Gebühr auf die Daten zugreifen.

Nutzer müssen darauf vertrauen, dass die Daten vernünftig pseudonymisiert werden. Außerdem besteht immer das Risiko, dass die Daten trotzdem Rückschlüsse auf konkrete Personen erlauben. ePA-Nutzer können der Weitergabe ihrer pseudonymisierten Daten an das Forschungsdatenzentrum Gesundheit bei ihrer Krankenkasse widersprechen.

Bei Fragen könnt ihr euch gerne bei mir oder eurem Kursleiter melden.

Lieben Gruß

Walter Berthold

Herausgeber:
Walter Berthold - Computertraining für Senioren
Hohes Feld 3, 21438 Brackel
E-Mail: aW5mb0BiZXJ0aG9sZC1icmFja2VsLmRl@invalid
www.computertraining-kurse.de