© PantherMedia/olishchyshyna@gmail.com

Einführung der „elektronischen Patientenakte (ePA) für alle“ ab Januar 2025

Beitrag des LGL – Sachgebiet GP3: Bayerische Gesundheitsagentur, Gesundheitsversorgung; Koordinierungsstelle E-Health

Mit dem sukzessiven Rollout der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten ab dem 15. Januar 2025 wird ein zentraler Schritt in der Digitalisierung des deutschen Gesundheitswesens vollzogen. Die „ePA für alle“ ermöglicht es, Gesundheitsdaten digital zu speichern und bei Bedarf gezielt mit medizinischen Leistungserbringern zu teilen. Sie soll dabei eine effizientere und vernetzte Versorgung ermöglichen, bei der Patientinnen und Patienten eine aktivere Rolle in ihrer Gesundheitsversorgung einnehmen können. Die privaten Krankenversicherungen entwickeln eigene Angebote, welche Ihren Versicherten zeitnah zur Verfügung gestellt werden sollen.

 

Was ist die ePA und wie funktioniert sie?

Die ePA ist ein digitales Angebot, welches seitens der gesetzlichen Krankenkassen kostenfrei bereitgestellt wird. Sie dient als zentraler Speicherort für Gesundheitsdaten wie Arztbriefe, Befunde, Röntgenbilder, Medikationspläne oder Impfinformationen. Versicherte können über das Smartphone, Tablet oder den Computer auf ihre ePA zugreifen und ihre Daten dort verwalten. 

Die ePA verfolgt einen versichertengeführten Ansatz: Die Versicherten behalten die Kontrolle über die gespeicherten Daten, können diese medizinischen Einrichtungen zur Ansicht freigeben oder auch Dokumente verbergen. Durch ein einheitliches System soll der Datenaustausch zwischen verschiedenen Einrichtungen und Gesundheitsdienstleistern sicher und unkompliziert erfolgen, um eine zielgerichtete und effiziente Gesundheitsversorgung zu ermöglichen. Die Nutzung der ePA ist für Versicherte freiwillig.

Was sind die Ziele der ePA?

Die Einführung der ePA verfolgt mehrere Ziele:

  • Optimierung der Versorgung
  • Durch die zeit- und ortsunabhängige digitale Bereitstellung relevanter Gesundheitsdaten soll eine umfassende Vernetzung in Gesundheit und Pflege ermöglicht werden: Diagnosen sollen schneller und gezielter erfolgen sowie Behandlungen über mehrere Leistungserbringer koordiniert werden können. Beispielsweise könnten unnötige Doppeluntersuchungen vermieden werden, da die Daten für verschiedene beteiligte Leistungserbringer ersichtlich sind. Oder es können Informationen zu verordneten Arzneimitteln eingesehen werden und auf mögliche Wechselwirkungen geprüft werden.
  • Stärkung der Patientensouveränität
  • Versicherte erhalten einen umfassenden Überblick über ihre Gesundheitsdaten und können eigenständig entscheiden, wer welche Informationen einsehen darf oder Zugriffe jederzeit auch einschränken.
  • Effizienzsteigerungen im Gesundheitswesen
  • Eine digitale Bereitstellung von Daten soll Versorgungsprozesse zwischen Sektoren und Einrichtungen in Gesundheit und Pflege vereinfachen sowie die interdisziplinäre Zusammenarbeit fördern.

Was ist das sogenannte Opt-out-Verfahren?

Durch das Widerspruchslösung-Verfahren wird allen gesetzlich Versicherten künftig ohne aktive Genehmigung eine ePA durch ihre Krankenkasse bereitgestellt. Dennoch ist die Nutzung der ePA freiwillig: Versicherte können der automatisierten Anlage ihrer persönlichen ePA bis zum 15. Januar 2024 gegenüber ihrer Krankenkasse widersprechen (opt-out). Auch nachfolgend ist eine Löschung der Akte nebst enthaltener Daten und Einstellungen möglich.

Wie sicher ist die ePA?

Die ePA ist eine elementare Anwendung der Telematikinfrastruktur (TI). Die TI ist ein geschlossenes Netz und soll als zentrale, digitale Plattform des deutschen Gesundheitswesens eine sichere Vernetzung der medizinischen Versorgung ermöglichen. Sie wird unter anderem auch als Grundlage für weitere Anwendungen wie das E-Rezept oder die elektronische Arbeitsunfähigkeitsbescheinigung verwendet. Um Datenschutz und -sicherheit bei der Verarbeitung der sensiblen Gesundheitsdaten innerhalb der TI (und entsprechend der ePA) zu gewährleisten, wurde gemäß der verantwortlichen gematik GmbH ein mehrschichtiges System an Sicherheitsmaßnahmen und Authentifizierungsverfahren eingerichtet. So werden beispielsweise sämtliche Komponenten und Dienste der TI vor der Zulassung seitens der gematik in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durch ein mehrstufiges Prüfverfahren getestet. Dies beinhaltet nach Angaben der gematik eine eigenständige Sicherheitsevaluation durch qualifizierte Sachverständige. Ein Zugang zur TI ist lediglich für definierte Benutzergruppen sowie mittels speziellen Authentifizierungsverfahren möglich.

Innerhalb der ePA sollen weitere Maßnahmen Datenschutz und -sicherheit gewährleisten:

  • Verschlüsselung: Die Gesundheitsdaten sind während der Speicherung und Übertragung vollständig sowohl innerhalb der TI als auch der ePA verschlüsselt, so dass unbefugter Zugriff auf Klartexte verhindert wird. Auch Krankenkassen und der betreibende IT-Dienstleister können durch technisch-organisatorische Maßnahmen keine Daten im Klartext einsehen. Die Server, auf denen die Aktensysteme der ePA betrieben werden, sind deutschlandweit verteilt, unterliegen entsprechend den Datenschutzvorgaben der Datenschutz-Grundverordnung (DSGVO) und werden im Rahmen des Zulassungsverfahrens der gematik nach eigener Aussage von unabhängigen Experten auf ihre Sicherheit geprüft.
  • Datenhoheit obliegt dem Patienten: Mittels einem zentralen Berechtigungsmanagement können Versicherte entscheiden, wer auf welche Informationen zugreifen darf. So kann individuell definiert werden, welche berechtigten Personen oder Institutionen Einsicht in die gespeicherten Gesundheitsdaten der ePA erhalten. Dies kann auf Dokumenten- als auch Einrichtungsebene erfolgen, ggf. zeitlich befristet. Datenzugriffe innerhalb der ePA werden protokolliert.
  • Zugangssicherung: Der Versichertenzugang zur ePA erfolgt im Geltungsbereich der GKV über eine Anmeldung mittels eGK und persönlicher PIN. Berechtigte Leistungserbringer können nur auf die ePA eines Patienten zugreifen oder Dokumente einstellen, wenn dies im aktuellen Behandlungskontext geschieht. Vorrausetzung ist, dass die Versicherten dem Zugriff nicht explizit widersprochen haben.

Das Sicherheitskonzept der ePA wurde 2024 durch eine unabhängige Sicherheitsanalyse des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) überprüft und für angemessen befunden.

Weiterführende Informationen (jeweils letzter Abruf 22.11.2024):

Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit

Sachgebiet GP3: Bayerische Gesundheitsagentur, Gesundheitsversorgung
Fachliche Leitstelle Gesundheitsregionenplus

Bayerisches Haus der Gesundheit
Schweinauer Hauptstraße 80
90441 Nürnberg

E-Mail: gesundheitsregionplus@lgl.bayern.de

Hinweis: Namentlich gekennzeichnete Beiträge geben die Meinung der jeweiligen Autorin bzw. des jeweiligen Autors und nicht immer die Meinung der Fachlichen Leitstelle Gesundheitsregionenplus wieder.