Datenschutz & Recht in der elektronischen Patientenakte (ePA)

Die ePA erfüllt höchste Standards des Datenschutzes. Alle Daten sind mehrfach verschlüsselt auf Servern innerhalb der EU gespeichert. Um die Anmeldung in der App besonders sicher zu machen, nutzen wir die NFC-Funktion Ihrer Versichertenkarte.

In der Einführungsphase wurden zusätzliche Sicherheitsmaßnahmen für die bundesweite Einführung der ePA umgesetzt, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI):

- Der Nachweis für den Behandlungskontext wurde weiter abgesichert. Zusätzlich zur Kartennummer werden die Krankenversicherungsnummer sowie weitere Kartenmerkmale benötigt, was i. d. R. nur mit Vorliegen der elektronischen Versichertenkarte (eGK) in der Einrichtung möglich ist. Die Kenntnis der Kartennummer allein reicht nicht mehr aus.

- Maßnahmen zur Erkennung und Verhinderung ungewöhnlicher Aktivitäten wurden weiter erhöht. Abhängig von der Größe der Einrichtungen gelten bspw. bestimmte Zugriff-Limits auf elektronische Patientenakten. Bei Auffälligkeiten können Institutionsausweise (SMC-B-Ausweise) vom Zugang ausgeschlossen werden, bis die Situation aufgeklärt wurde.

- Gemeinsam mit den Gesellschaftern der gematik erfolgte eine verstärkte Sensibilisierung bei der Herausgabe und im Umgang mit Ausweisen und Hardware der Telematikinfrastruktur (TI), um Missbrauch zu verhindern. Darüber hinaus bestehen zusätzliche Maßnahmen, die gegen eine weitere Verwendung gestohlener oder verkaufter Praxisausweise wirken.

Durch die Kombination dieser Maßnahmen werden mögliche Angriffsszenarien verhindert. Das Maßnahmenpaket bietet einen wirksamen Schutz gegen einen möglichen Angriff auf eine hohe Anzahl an Patientenakten.

Die gematik entwickelt zusammen mit ihren Gesellschaftern und dem BSI weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren. 

Der Bundesdatenschutzbeauftragte und die Gematik überwachen die Einhaltung der Datenschutzvorgaben. Nur Sie entscheiden, wer Zugriff auf die Inhalte Ihrer ePA hat.

Wichtig für Sie zu wissen: BIG direkt gesund hat keinen Zugriff auf Ihre Daten.

Sie selbst können über die ePA-App Ihre ePA einsehen.

Leistungserbringende, die Sie behandeln, können für einen beschränkten Zeitraum auf Ihre ePA zugreifen. Der Zugriff darf aber nur für Dokumente, die im aktuellen Behandlungskontext stehen, erfolgen.

Wie funktioniert das? Mit dem Einlesen Ihrer Versichertenkarte erhalten Leistungserbringende den Zugriff Dokumente in Ihrer ePA zu lesen oder zu bearbeiten. Für Arztpraxen beträgt der Zeitraum 90 Tage, für Apotheken zum Beispiel nur 3 Tage. Nach Ablauf der pauschalen Frist besteht kein Zugriff mehr.

Mit der ePA-App haben Sie zusätzlich die Möglichkeit die Berechtigung für Leistungserbringende zu verkürzen, komplett zu verhindern oder dauerhaft einzurichten. Sie entscheiden über den Zugriff auf Ihre ePA.

Ja, Ihre sensiblen und schutzbedürftigen Daten werden mit dem höchsten Schutzniveau verschlüsselt. Ihre Daten werden mit einer Inhaltsverschlüsselung auf Servern gespeichert, die in Deutschland und in Österreich stehen und damit unter das europäische Datenschutzrecht fallen. Nur Sie können die Daten lesen, da nur Sie den Schlüssel dazu besitzen. Weder wir noch unsere IT-Dienstleister können Ihre Daten einsehen.

Unsere IT-Dienstleister sind Bitmarck GmbH in Deutschland sowie RISE GmbH (Research Industrial Systems Engineering) in Österreich.

Die ePA wird auf Basis konkreter und nachprüfbarer Vorgaben umgesetzt. Diese Vorgaben wurden von der Gematik GmbH im gesetzlichen Auftrag spezifiziert und in Zusammenarbeit mit den Spitzenorganisationen des deutschen Gesundheitswesens abgestimmt. Bevor ein Anbieter die ePA anbietet, ist ein umfangreicher Zertifizierungsprozess zu durchlaufen. Erst nach erfolgreichem Abschluss der Begutachtung ist die ePA anzubieten. Dieser Vorgang ist bei jeder sicherheitsrelevanten Veränderung zu wiederholen.

Die Server stehen in der EU und unterliegen den europäischen Datenschutzbestimmungen.

Seit 2025 wird bei der ePA das "Opt-out"-Verfahren genutzt. Das bedeutet: Die Krankenkassen erstellen automatisch für alle eine ePA, es sei denn, jemand widerspricht aktiv dagegen ("Opt-out").