Politik und Recht
ePA kompakt: Teil 1. Zugriff und Datenschutz
In unserer News-Reihe „ePA kompakt“ möchten wir heute folgende Fragestellung klären: Wie gestaltest du den Zugriff auf die elektronische Patientenakte (ePA) in deiner Praxis? In diesem Artikel erfährst du, welche Regelungen für den Zugriff auf die ePA gelten und wie du die Vertraulichkeit der Daten deiner Patient:innen sicherstellst.
23. Juni 2025
Wer hat Zugriff auf die ePA und wie wird dieser geregelt?
Mit dem Einstecken der Versichertenkarte erhält die Praxis für 90 Tage automatisch Zugriff auf die ePA der Patient:innen. Über die ePA-App können Patient:innen die Dauer des Zugriffs nach Belieben verlängern – sogar dauerhaft – oder verkürzen.
Individuelle Steuerung des Zugriffs auf die ePA
Patient:innen haben jederzeit die Möglichkeit, den Zugriff auf ihre ePA-Daten zu kontrollieren:
Vertraulichkeitseinstellungen: Dokumente können mit verschiedenen Vertraulichkeitsstufen (normal, vertraulich, streng vertraulich) versehen werden.
Zugriffsrechte: Es lässt sich genau festlegen, welche Leistungserbringer:innen Zugriff auf welche Dokumente haben.
Blockierung von Einrichtungen: Über die ePA-App können Patient:innen den Zugriff von Praxen, Apotheken oder anderen Einrichtungen auf ihre Daten jederzeit sperren.
Wie wird der unbefugte Zugriff verhindert?
Der Zugriff auf die ePA ist streng reguliert und erfolgt nur unter klar definierten Bedingungen:
Sichere Verbindung: Medizinische Einrichtungen müssen über eine gesicherte VPN-Verbindung mit der Telematikinfrastruktur (TI) kommunizieren und ihre Identität nachweisen.
Autorisierung durch den Patienten: Die elektronische Gesundheitskarte muss in der jeweiligen Einrichtung eingelesen werden, um den Zugriff zu autorisieren.
Zustimmung der Patient:innen: Patient:innen können dem Zugriff durch medizinisches Personal über die ePA-App ihrer Krankenkasse einschränken oder verweigern – dabei wird ebenfalls eine persönliche Identifikation erforderlich.
Haftung bei Hackerangriffen oder Datenverlust
-
Krankenkassen und Betreiber der ePA sind verantwortlich für die Sicherheit der ePA-Daten. Ein unzureichendes Berechtigungsmanagement, das nicht den Anforderungen der DSGVO entspricht, kann zu einer Haftung führen.
-
Leistungserbringer, wie Arztpraxen sind gemäß §307 SGB V für den sicheren Umgang mit der Telematikinfrastruktur verantwortlich. Werden Sicherheitsvorkehrungen missachtet oder unzureichend umgesetzt, kann auch die Praxis haftbar gemacht werden.
-
Datenverlust kann durch technische Fehler, unsachgemäße Handhabung oder fehlende Datensicherung entstehen, was ebenfalls rechtliche Konsequenzen haben kann.
Datenschutzpflichten für Arztpraxen im Umgang mit der ePA
Arztpraxen sind beim Umgang mit der ePA an strenge Datenschutzvorgaben gebunden, die durch die Datenschutz-Grundverordnung (DSGVO) sowie das Sozialgesetzbuch V (SGB V) geregelt sind. Sie müssen Patient:innen transparent darüber informieren, welche Daten in die ePA aufgenommen werden – dazu gehören Befundberichte, Arztbriefe und Medikationsdaten.
Widersprechen Patient:innen der Speicherung bestimmter Daten, muss dies in der Behandlungsdokumentation vermerkt werden. Bei besonders sensiblen Daten sind sie auf ihr Widerspruchsrecht hinzuweisen. Einwilligungen zur Speicherung nicht gesetzlich vorgeschriebener Daten müssen dokumentiert werden. Zudem sind alle Zugriffe auf die ePA-Daten protokolliert, um die Nachvollziehbarkeit zu gewährleisten.
Die Sicherheit der Daten muss durch geeignete technische und organisatorische Maßnahmen gewährleistet werden – etwa durch verschlüsselte Verbindungen und regelmäßige Schulungen des Praxispersonals. Bei genetischen Untersuchungen darf die Speicherung in der ePA nur mit ausdrücklicher schriftlicher oder elektronischer Einwilligung der Patient:innen erfolgen.
