Fragen und Antworten Die elektronische Patientenakte kommt: Versicherte müssen entscheiden

Seit 20 Jahren wird an der elektronischen Patientenakte für gesetzlich Versicherte gearbeitet. Seit Anfang 2021 kann sie freiwillig über Angebote der Krankenkassen genutzt werden. Bisher tun das nach offiziellen Angaben vom Herbst 2023 aber kaum 750.000 der rund 73 Millionen Versicherten.

Bundesgesundheitsminister Karl Lauterbach will das ändern. Ende August wurde deshalb auf der Kabinettsklausur in Meseberg ein weiteres Gesetz zur elektronischen Patientenakte (ePA) beschlossen. Demnach sollen Anfang 2025 alle eine bekommen, die nicht widersprechen. Lauterbach hofft so bis 2026 auf eine Nutzungsquote von bis zu 80 Prozent.

Am 14. Dezember 2023 wurden nun das Digital-Gesetz (DigiG) und das Gesundheitsdaten-Nutzungsgesetz (GDNG) zugunsten der Forschung im Bundestag beschlossen. Das elektronische Rezept soll sogar ab 1. Januar 2024 schon kommen und auch über eine ePA-App zu nutzen sein.

Die Gesetze sind nicht zustimmungspflichtig von Seiten der Länder. Der Bundesrat bekommt aber noch einmal Gelegenheit zur Stellungnahme. Weil ihm dies jedoch frühestens in seiner nächsten Sitzung Anfang Februar 2024 möglich wird, können die Gesetze nicht vor Februar 2024 in Kraft treten.

Doch schon jetzt kann die digitale Patientenakte teilweise genutzt werden.

Weniger Probleme und größeren Nutzen wird haben, wer die ePA selbst intensiv nutzt und verwaltet – am besten per Smartphone oder Tablet, wofür sie ausgelegt sein soll. Alle gesetzlichen Krankenkassen bieten inzwischen kostenfreie Apps an. Hier eine Übersicht der App-Angebote bei der Gematik, der dafür verantwortlichen "nationalen Agentur für digitale Medizin". Pläne für eine "unabhängige" App gibt es nach deren Angaben bisher nicht.

Bei einem Krankenkassenwechsel soll die ePA zur neuen Krankenkasse mitgenommen werden und in die App der anderen Krankenversicherung übertragen werden können. Auch ohne Smartphone oder Tablet und sogar ganz ohne Computer soll sie nutzbar sein – wenn auch schwieriger.

Bislang muss man sich noch selbst kümmern, dass die ePA freigeschaltet wird. Erst mit der nun angestrebten Opt-out-Lösung soll sie automatisch von der Krankenkasse angelegt werden, wenn nicht aktiv widersprochen wird.

Alles, was für die ePA nötig ist, gibt es bei der Krankenkasse. Bildrechte: mago images / Jochen Tack

Um die App oder andere Software zu nutzen, muss man sich bei seiner Krankenkasse dafür registrieren.

Für den vollen Funktionsumfang braucht es die neue elektronische Gesundheitskarte mit NFC-Chip und eine PIN von der Krankenkasse.

Alternativ gibt es andere Möglichkeiten der Authentifizierung durch Personalausweis-Vorlage in einer Zweigstelle oder über die jeweiligen Kundenberatungen der Krankenkassen und auch per Postident-Verfahren.

Welches Verfahren eine Krankenversicherung nutzt, kann unterschiedlich sein, weshalb Fragen dazu am besten ihr gestellt werden. Definitiv braucht es eine Krankenversicherungsnummer, je nach Verfahren eine E-Mail-Adresse oder auch Zugang zum Online-Bereich. Wer kein Smartphone hat, könnte die ePA schriftlich anfordern und nach Freigabe beim Arztbesuch aktivieren.

Auch private Krankenversicherungen haben mit der Einführung der ePA begonnen. Im November 2022 war die Allianz gestartet. Andere warteten aber die Gesetzesänderung ab. Vom PKV-Verband hieß es dazu, das "Versprechen einer elektronischen Patientenakte für alle" sei nur mit einer Einführung des Opt-out-Verfahrens auch für die privat Versicherten einlösbar.

Röntgenbilder, Medikations- und Therapiepläne, Blut- und Laborwerte, OP- und Arztberichte, Diagnosen, Befunde, Impfausweise, Mutterpässe, das Zahn-Bonusheft, elektronische Rezepte und Überweisungen, ein Notfalldatensatz und vieles mehr, das bei späteren Behandlungen wichtig werden kann.

Digitale Röntgenbilder können in der Praxis von Nutzen sein. Bildrechte: picture alliance/dpa | Matthias Balk

Bisher sind die meisten dieser Informationen verteilt in Arztpraxen und Krankenhäusern. Sie sollen nun aber ihre Dokumente und Daten einspeisen können, wenn das vom ePA-Inhaber zugelassen wird.

Wie gut das alles dann verwaltet werden kann, ist abhängig von der jeweils angebotenen Software.

Auch lassen sich noch nicht alle Daten, Formate und Dokumente speichern und abrufen. Und wenn sie noch nicht digitalisiert sind, heißt das noch: selbst scannen und hochladen. Geplant war ein Anspruch für Versicherte, dass Krankenkassen das teilweise übernehmen. Die jedoch lehnten ab. Aus ihrer Sicht sollte das ganz bei den Versicherten und den Erbringern medizinischer Leistungen liegen.

Im Notfalldatensatz, der auch auf der e-Gesundheitskarte gespeichert werden kann, sollen Rettungskräfte bei Freigabe schnell Informationen zu Allergien, Unverträglichkeiten und chronischen Krankheiten finden, etwa die Blugruppe, Kontakte zu Ärztinnen und Ärzten und Vertrauenspersonen, Hinweise auf eine Patientenverfügung oder Vorsorgevollmacht.

Zum Organspendeausweis kann, wie die Gematik dem MDR auf Nachfrage mitteilte, in den Notfalldaten nur hinterlegt werden, wo er zu finden wäre. In einem geplanten digitalen Organspenderegister solle man künftig allerdings seine Erklärung dann auch direkt speichern lassen können.

Arztpraxen, Krankenhäuser, Apotheker, Pflege- und andere Erbringer von Gesundheitsleistungen. Die Krankenkassen sollen keinen Zugriff auf Inhalte der elektronische Patientenakte haben und nur die Versicherten festlegen können, auf welche Dokumente wer wie lange Zugriff bekommt.

So sollen Versicherte auch festlegen können, dass ein Arzt in die ePA nur schreiben, aber nicht sehen kann, was dort liegt. Sie sollen Daten jedoch für eine aktuelle Behandlung oder einen längeren Zeitraum freigeben können, für jedes Dokument auch einzeln. Beim Eintragen besonders sensibler Dinge soll auf die Möglichkeit zum Widerspruch dagegen hingewiesen werden.

Die Versicherten müssen das Hochladen von Daten und Zugriffe mit ihrer elektronischen Gesundheitskarte und PIN in Praxen oder Kliniken freigeben. Diese wiederum brauchen eine eigene PIN und einen Heilberufe-Ausweis. Eine erteilte Zugriffsberechtigung soll auch widerrufen werden können.

Sämtliche Daten und Dokumente in der ePA sollen von den Inhabern auch wieder gelöscht werden können. Da sie als lebenslange Akte gedacht ist, gibt es aber keine automatischen Löschungen nach bestimmten Fristen.

Anbieter von Gesundheitsleistungen sollen besser vernetzt werden und unbürokratischer an Informationen über ihre Patienten kommen. Das soll unnötige Untersuchungen, ungewollte Medikamenten-Wechselwirkungen, Verzögerungen der Behandlung und unnötige Wege vermeiden helfen.

Behandelnde sollen auch bei neuen Patienten sofort sehen können, was bisher geschah, wo Risiken liegen. Lange Gespräche und Papierkram sollen entfallen, Arztwechsel oder das Einholen einer zweiten ärztlichen Meinung einfacher werden. Alles in allem sollen Behandlungen besser werden.

Widersprechen Versicherte bei ihrer Krankenkasse einer ePA-Anlage, legt diese keine an. Für alle, die nicht ausdrücklich widersprechen, soll es ab 2025 automatisch eine geben (Opt-out-Verfahren), ohne Zwang sie zu nutzen.

Das Widerspruchsverfahren, so hatte es Lauterbach im Frühjahr 2023, versprochen, werde auf jeden Fall "sehr unbürokratisch" sein. Bislang muss noch ausdrücklich zustimmen (Opt-in-Verfahren) und auch selbst aktiv werden, wer eine elektronische Patientenakte haben will.

Die ePA ist für Smartphones und Tablets ausgelegt. Trotzdem kann sie auch ohne solche Geräte genutzt werden, auf dem Desktop-PC oder dem Laptop, zum Teil aber mit weniger Funktionen. Einige Krankenkassen bieten ihre ePA-Software auch in Desktop-Versionen an.

Auch wer überhaupt keinen Computer hat, soll die ePA laut Gesundheitsministerium nutzen können, mit der elektronischen Gesundheitskarte und einer PIN von der Krankenkasse, direkt in der Arztpraxis beim Leistungserbringer und mit dessen Hilfe. Demnach sollen per Praxisverwaltungssystem dort gespeicherte Daten in die ePA eingespeist werden können.

Alternativ kann den Angaben zufolge auch eine dritte Person, ein Familienmitglied etwa, damit beauftragt und dazu autorisiert werden, die Patientenakte über eben eine Smartphone-App zu verwalten.

Die ePA ist als lebenslange Akte gedacht ist, weshalb es laut Gematik keine Einschränkungen beim Speicherplatz geben soll.

Aktuell können noch nicht alle Datei-Formate genutzt werden, doch weitere Ergänzungen sollen kommen, für Röntgenbilder, CT- und MRT-Daten. Gängige Formate sollten aber funktionieren, wie: PDF, JPG, TIFF, TXT, RTF, DOCX, ODT, ODS, XLSX, XML und andere.

Die jeweilige App der Krankenkasse gibt es meist auch in den App-Stores, nutzbar für handelsübliche mobile Endgeräte, deren Betriebssysteme mit der App-Software natürlich kompatibel sein müssen.

Die ePA-Daten sollen zentral auf Servern in Deutschland verschlüsselt gespeichert werden. Laut Gematik sind die Server hoch gesichert und unterliegen europäischem Datenschutz. Jeder Datenverarbeitungsschritt erfolge in geschützten Rechenzentren in einem nochmals abgesicherten Bereich, der "Vertrauenswürdigen Ausführungsumgebung" (VAU).

Auch Zugriffe soll es nur in einem geschlossenen Netzwerk geben, in der "Telematikinfrastruktur" unter Aufsicht der Gematik GmbH. Die Daten sollen verschlüsselt sein. Niemand, außer den Versicherten und denjenigen, denen sie Zugriff gewähren, soll sie sehen können, auch die Krankenkasse nicht.

Die ePA-Server sollen ganz besonders sicher sein. Bildrechte: imago/imagebroker

Anbieter und Software müssen eine Zertifizierung durchlaufen und bei sicherheitsrelevanten Updates diese wiederholen.

Alle Aktivitäten in der ePA sollen protokolliert und von Nutzern drei Jahre lang eingesehen werden können, auch um unberechtigte Zugriffe nachzuvollziehen.

Ob Hacker etwa über manipulierte Smartphones nicht doch in die Telematik-Infrastruktur eindringen können und dann auch wie tief, wird sich zeigen müssen.

Verantwortlich ist der Anbieter einer elektronischen Patientenakte, in der Regel also die Krankenkasse. Sind noch weitere Unternehmen eingebunden, so handeln sie im Auftrag. Ansprechpartner für Fragen zum ePA-Datenschutz sind damit also die Datenschutzbeauftragten der Krankenversicherungen.

Für die Forschung sollen Versicherte die eigenen Daten pseudonymisiert, verschlüsselt und freiwillig freigegeben werden können. Auch hierfür wird – ähnlich wie bei der ePA generell – ein Opt-Out-Verfahren eingeführt.