Die ePA für alle: Was Ärztinnen und Ärzte jetzt erwartet

Langsam wird es ernst: Mitte Januar 2025 hat die Testphase in den drei Modellregionen Franken, Hamburg und Teilen Nordrhein-Westfalens begonnen. Anschließend soll die elektronische Patientenakte (ePA) bundesweit ausgerollt werden. Planmäßig wäre das Mitte Februar*. Es sei denn, es treten größere Pannen auf, dann könnte sich der Roll-out nach hinten verschieben. Allerdings weiß niemand, welche Pannen das sein müssten, denn die Kriterien für den Startschuss sind nicht bekannt. Sicher ist dagegen, dass vier Wochen ein sehr kurzer Zeitraum sind, um ein Großprojekt wie die ePA in den Praxen technisch reibungslos zu integrieren und das, was schlecht läuft, nachzubessern. Der Präsident der Ärztekammer Berlin, PD Dr. med. Peter Bobbert, bedauert das. „Das sind Punkte, die leider nicht dazu beitragen, alle Akteur:innen gut mitzunehmen.“

Dabei sind seiner Ansicht nach die Berliner Ärztinnen und Ärzte der ePA gegenüber sehr aufgeschlossen, „weil ihr Mehrwert gesehen und hoch geschätzt wird“, sagt er. „Eine gut funktionierende und nutzerfreundliche ePA ist dringend gefragt, und man möchte sie so schnell wie möglich haben. Aber man will keine, die noch mehr Arbeit macht und zusätzliche Bürokratie schafft.“

Das „Ja, aber“ ist eine typische Antwort, die in ärztlichen Kreisen oft in Bezug auf die ePA zu hören ist. Einerseits begeistert die Idee, schnell die Vorbefunde und eine Medikationsübersicht zur Hand zu haben, gerade beim Erstkontakt oder in Notfallsituationen. Andererseits bestehen erhebliche Bedenken, ob das Projekt nicht neue Probleme schafft.

Die Sorge vor Mehrarbeit und zusätzlichem Verwaltungsaufwand teilen zum Beispiel 90 Prozent aller 2.600 Praxen, die die Kassenärztliche Bundesvereinigung (KBV) für den Praxisbarometer Digitalisierung 2024 befragen ließ; dagegen glauben nur knapp 40 Prozent, dass die ePA für alle die Versorgung verbessern wird. Diese Einschätzungen passen eher nicht zu den politischen Versprechen, wonach die ePA die Ärzteschaft entlasten und das Gesundheitssystem revolutionieren wird.

Bobbert erklärt die Skepsis mit den Erfahrungen aus der Vergangenheit. Etliche Neuerungen hätten die Ärztinnen und Ärzte oft mehr be- als entlastet oder seien nicht praktikabel gewesen. Zudem funktioniere die Telematikinfrastruktur bis heute nicht reibungslos. Dennoch findet er, dass es wichtig ist, jetzt mal loszulegen. „Wenn etwas gut ist in der Medizin, dann setzt es sich ganz schnell von alleine durch.“

Von der Vorgängerversion der ePA für alle kann das nicht unbedingt behauptet werden. Bis zuletzt hatte nur etwa ein Prozent der Patientinnen und Patienten von dem Angebot Gebrauch gemacht. Da aber alle mitmachen sollen – angestrebt werden 80 Prozent – hat man aus der Opt-in- eine Opt-out-Lösung gemacht. Durch diesen Schachzug erhalten jetzt alle 74 Millionen GKV-Versicherten automatisch eine elektronische Patientenakte, es sei denn, sie widersprechen. Daher auch der Name „ePA für alle.“ Bei Redaktionsschluss (23. Januar 2025) lag die Widerspruchsquote noch im niedrigen einstelligen Bereich.

Die ePA ist eine versichertengeführte Akte. Das bedeutet: Die Versicherten können bestimmen, welche Inhalte hineinkommen und wer die Akte einsehen darf. Nach dem Stecken der Gesundheitskarte hat die Praxis oder Klinik standardmäßig 90 Tage lang Zugriff auf die ePA. Diesen Zeitraum – aktueller Behandlungskontext genannt – können die Patientinnen und Patienten über ihre ePA-App beliebig verkürzen oder verlängern, ebenso können sie einzelne Dokumente verbergen oder einer Praxis oder Klinik den Zugriff komplett verweigern. Das alles können sie aber auch jederzeit wieder ändern.

Sorge vor juristischen Fallstricken

Die individuellen Einstellungsmöglichkeiten haben datenschutzrechtliche Gründe, die den Ärztinnen und Ärzten jedoch Kopfzerbrechen bereiten. Denn so gibt es niemals Gewissheit, dass die Akte vollständig ist und nicht doch behandlungsrelevante Informationen fehlen. Ein „Fallstrick“ sei das, schreibt etwa der Berufsverband der Urologen (BvDU) in einem Positionspapier und fordert mehr Rechtssicherheit für die behandelnde Ärzteschaft.

Die wohl größte Rechtsunsicherheit besteht aber bei der Frage, wie gründlich die Ärztin oder der Arzt eine Akte lesen muss, um nichts Wichtiges zu übersehen. KBV-Justiziar Dr. Christoph Weinrich beschwichtigt, dass die ePA nur ein „Unterstützungsdokument“ sei und das anamnestische Gespräch weiterhin Grundlage der ärztlichen Behandlung bleibe. „Wenn ich im Rahmen des Gesprächs einen Anlass habe nachzufragen, ob etwas Wichtiges in der ePA steht, dann sollte ich das tun. Dann könnte ich beispielsweise auch gezielt gucken“, erläutert Weinrich in einem Interview mit dem Ärztenachrichtendienst. „Der Behandlungskontext aus medizinischer Sicht entscheidet: gezielte Suche bei gegebenem Anlass ja – alles andere nein.“

Da es zunächst keine Volltextsuche geben wird, ist die gezielte Suche allerdings nicht so einfach. Wegen dieses Defizites wird die ePA oft als unübersichtliches „Sammelsurium an PDF-Dateien“ kritisiert. Da vorerst auch keine Bilder aus CT- oder MRT-Untersuchungen in die digitale Akte passen – Grund ist die Beschränkung auf maximal 25 MB pro Datei – bekommt der Begriff noch eine zweite Bedeutung.

Perfekt wird die ePA also nicht an den Start gehen. Viele Funktionen wie eben die Volltextsuche oder der Impfausweis werden erst mit späteren Versionen eingeführt. Ein Medikationsplan, der die Medikationsliste um zusätzliche Informationen wie Einnahmehinweise oder Dosierungen ergänzen wird, soll laut gematik im Sommer kommen.

In Berlin wächst unterdessen die Sorge, dass viele niedergelassene Ärztinnen und Ärzte aus Altersgründen vorzeitig ihre Praxis aufgeben könnten, weil sie die umwälzenden Veränderungen nicht mehr mitmachen wollen. Bobbert ist deshalb strikt gegen Sanktionen. „Wir brauchen die Arbeit dieser Kolleginnen und Kollegen und deswegen brauchen wir eine angemessene Übergangszeit“, argumentiert er in Richtung Politik.

Dass die Ärzteschaft die ePA mit zwiespältigen Gefühlen betrachtet, hat aber nicht nur etwas mit berechtigten Sorgen und drohenden Sanktionen zu tun, sondern auch mit Kommunikation. Politisch wird das digitale Großprojekt als Allheilmittel für das deutsche Gesundheitssystem gehypt, über Risiken und Nebenwirkungen wird nicht geredet. Obendrein fühlen sich selbst diejenigen, die die ePA am optimistischsten befürworten, schlecht über das Projekt und ihre neuen Aufgaben informiert. Auch das schmälert die Chancen, alle gut mitzunehmen. Dabei ist sämtlichen Beteiligten klar, dass alle mitmachen müssen, wenn das Projekt ein Erfolg werden soll.

Und es gibt noch einen weiteren Aspekt: Die ePA soll den Informationsaustausch sowie die Nutzung von Gesundheitsdaten erleichtern und alle behandelnden Leistungserbringer sollen davon profitieren. Doch persönliche Gesundheitsdaten müssen besonders geschützt werden. Wie steht es also um die Datensicherheit und den Datenschutz? Ein gebrauchtes Kartenlesegerät und etwas kriminelle Energie – viel mehr braucht es nicht, um die elektronische Patientenakte von GKV-Versicherten zu hacken. Dies und weitere pikante Details zu Sicherheits­lücken der ePA gab der Chaos Computer Club (CCC) auf seinem 38. Kongress kurz vor dem Jahreswechsel bekannt. Dass sich die gematik noch am selben Tag bei den Sicherheits­forscher:innen des CCC für deren Hinweise bedankte und betonte, bereits an der Umsetzung „zusätzlicher Sicherungsmaßnahmen“ zu arbeiten, zeigt, wie vulnerabel das „System ePA“ ist.

Bislang galten die Server von IBM und Rise, auf denen die elektronischen Patientenakten im Auftrag der Krankenkassen lebenslang zentral gespeichert werden, als das größte Sicherheits­risiko. Doch wie der CCC anhand erfolgreicher Hackerangriffe demonstrierte, gibt es viele weitere Einfallstore, um an die begehrten Datensätze zu gelangen, und zwar ohne die komplex verschlüsselten Datensätze knacken zu müssen. Solche Einfallstore sind zum Beispiel die Zugangsschlüssel von Kliniken und Praxen, die laut den Computer­fach­leuten „mühelos zu beschaffen“ sind, oder die leicht zu errechnenden Nummern der Versichertenkarten, die offenbar ausreichen, um über ein gebrauchtes Kartenlesegerät Millionen von ePAs zu erbeuten.

Unterdessen versprach Bundesgesundheits­minister Prof. Dr. med. Karl Lauterbach (SPD) am 9. Januar 2025, die ePA werde bundesweit nicht starten, solange sie nicht sicher sei. Doch das Vertrauen in die Sicherheits­architektur der ePA dürfte ebenso gelitten haben wie die Glaubwürdigkeit solcher Zusicherungen. Selbst wenn die aufgezeigten Probleme bald gelöst sein sollten, gibt es bei IT-Systemen ohnehin keine hundert­prozentige Sicherheit. Das räumt auch die gematik ein. Dabei ist die ePA nicht irgendein IT-System: Bundesweit werden rund 100.000 Praxen, 2.000 Krankenhäuser und 17.000 Apotheken miteinander vernetzt, und mehr als 70 Millionen Versicherte werden über ihre Smartphones und Tablets auf das System zugreifen können. Zudem sind die Krankenkassen und eine nicht bekannte Zahl von technischen Dienstleistern auf unterschiedlichen Ebenen an der ePA beteiligt.

Doch nicht nur technisch sollte das bislang größte Digitalprojekt des Gesundheitswesens wasserdicht sein, sondern auch juristisch. Leitplanke ist die Datenschutz­grundverordnung (DSGVO), an der sich auch die neuen Gesetze orientieren müssen, die der ePA in ihrer jetzigen Form zum Start verholfen haben. Maßgeblich sind hier vor allem das Digital-Gesetz (DigiG) und das Gesundheits­daten­nutzungsgesetz (GDNG). Beide Gesetze sind im März 2024 in Kraft getreten und sollen den Informations­austausch im Gesundheitswesen erleichtern, die Versorgung verbessern und die Forschungs­möglichkeiten in Deutschland stärken.

Mit der ePA für alle wird somit eine Transparenz persönlicher Gesundheitsdaten geschaffen, die es so bisher nicht gegeben hat. Gleichzeitig sollen die Versicherten die Hoheit über ihre Daten behalten – das höchste Gut des Datenschutzes überhaupt. Um diese scheinbaren Gegensätze unter einen Hut zu bringen, hat der Gesetzgeber die Versicherten zu Manager:innen ihrer Akte gemacht: Wer dieses oder jenes nicht für andere sichtbar machen will, kann widersprechen. Durch das Konstrukt der „versichertengeführten Akte“ behalten die Patientinnen und Patienten nach Lesart des Gesetzgebers genau jene Datenhoheit, die der Datenschutz verlangt. Dies setzt natürlich voraus, dass die Versicherten ihre Akte auch managen können und wissen, was sie da eigentlich entscheiden.

An beiden Punkten gibt es allerdings erhebliche Zweifel. Ein Kritikpunkt ist, dass die ePA nur digital nutzbar ist und somit Menschen ohne die entsprechenden technischen Geräte ihre Akte weder einsehen noch verwalten können. Aus diesem Grund bewertet die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Ausgestaltung der ePA sogar als Verstoß gegen die DSGVO. Das Digital-Gesetz sieht zwar vor, dass Versicherte auch über Ombuds­stellen der Krankenkassen Widersprüche durchsetzen oder über ausgewählte Apotheken ihre persönliche ePA einsehen können. Doch die Krankenkassen erwähnen diese Möglichkeiten nicht einmal.

Dass die Versicherten auch sonst wenig über das Kleingedruckte der ePA erfahren, ist ein weiterer Streitpunkt. Die Informations­schreiben der Krankenkassen sind kurz und weiterführende Informationen nur online einzusehen. Eine im Dezember 2024 veröffentlichte Studie der Verbraucher­zentrale Bundes­verband kommt zu dem Ergebnis, dass die Krankenkassen ihrer gesetzlichen Pflicht, umfassend, transparent und barrierefrei über die ePA zu informieren, nicht nachkommen. „Wichtige und teils umstrittene Aspekte, beispielsweise des Datenschutzes, werden nicht angesprochen“, heißt es. Das reiche nicht aus, um eine informierte Entscheidung für oder gegen die ePA treffen zu können.

Dieser Punkt ist besonders heikel, da die ePA von den Krankenkassen automatisch und ohne aktives Einverständnis der Versicherten angelegt wird. „Schweigen mutiert hier zur Zustimmung!“, kritisiert etwa der Bundesverband Psychosomatische Medizin und Ärztliche Psychotherapie (BDPM) mit Blick auf die im Digital-Gesetz verankerte Widerspruchslösung, die von Anfang an umstritten war.

Während sich an der mangelhaften Kommunikation der Krankenkassen trotz massiver Kritik bisher nichts geändert hat, müssen Ärztinnen und Ärzte ihrer Informationspflicht in ihrer Sprechstunde nachkommen. Dass hier mit zweierlei Maß gemessen wird, sorgt in der Ärzteschaft für Unmut. Zudem kostet die Patientenaufklärung Zeit, die von den Krankenkassen nicht vergütet wird. So müssen etwa Patientinnen und Patienten mit psychischen und psychiatrischen Diagnosen explizit auf ihr Widerspruchsrecht hingewiesen werden. Es wird Aufgabe der behandelnden Ärztinnen und Ärzte sein, ihnen deutlich zu machen, welche Konsequenzen es haben kann, wenn eine Schizophrenie, eine bipolare Störung oder eine Unterbringung in einer geschlossenen Einrichtung lebenslang in der ePA gespeichert wird.

Ungeklärt ist auch die Einwilligungsfähigkeit von Minderjährigen, die ebenfalls automatisch eine ePA erhalten. Der Präsident des Berufsverbandes der Kinder- und Jugend­ärzt*innen (BVKJ), Dr. med. Michael Hubmann rät Eltern derzeit, Widerspruch gegen die ePA einzulegen. Die Rechte der Kinder seien momentan nicht ausreichend gesichert, und das Selbstbestimmungsrecht von Jugendlichen drohe durch die ePA verletzt zu werden, erklärt er in einem Interview mit der „Welt“.

Nach der neuen Gesetzeslage hat eine Person, die nicht widersprochen hat, ihre Daten zunächst für alle freigegeben, die ihre Gesundheitskarte eingelesen haben. Das können nicht nur Arztpraxen und Krankenhäuser sein, sondern grundsätzlich alle, die an die Telematik­infrastruktur (TI) angebunden sind, also auch der Physiotherapeut, die Psychologin oder das  Apothekenteam. Über die TI wandern die persönlichen Gesundheitsdaten dann ins eAktensystem und von dort in das Forschungs­datenzentrum (FDZ) und bald auch in den Europäischen Datenraum (EHDS). Grundlage für diese sogenannte sekundäre Datennutzung ist das Gesundheits­daten­nutzungsgesetz, das die Nutzbarkeit von Gesundheitsdaten für „gemeinwohlorientierte Zwecke“ erleichtern soll.

Neue Chancen, neue Risiken

Im FDZ werden bereits seit einigen Jahren die Abrechnungs­daten der Krankenkassen für Forschungs­zwecke gespeichert, nun kommen die kompletten Patientenakten hinzu. Ab Sommer 2025 sollen Forschende die pseudo­nymisierten Daten auf Antrag nutzen und auch mit anderen Datensätzen etwa aus medizinischen Registern oder mit Künstlicher Intelligenz verknüpfen können. Auch die Pharmaindustrie, Behörden und andere Interessenten wie zum Beispiel Google können nach Angaben von Bundes­gesundheitsminister Lauterbach auf den Datenpool zugreifen, wenn sie im „öffentlichen Interesse“ forschen.

Forschende sehen in der erleichterten Nutzung von Gesundheitsdaten enorme Chancen. So betont der Krebsforscher und Berlin Institute of Health-Chair Prof. Dr. med. Christof von Kalle immer wieder, dass Daten Leben retten können. Auch die Berliner Hausärztin Dr. med. Irmgard Landgraf glaubt, dass insbesondere Schwerkranke profitieren werden, solange klare Regeln sicherstellen, dass die Daten ausschließlich zur Therapie- oder Diagnose­optimierung und nicht für andere Interessen genutzt werden. „Es gibt so viele Fragestellungen im Behandlungsalltag, die durch Studien nicht beantwortet werden, weil ältere, multimorbide Patienten da gar nicht aufgenommen werden. Dieser Aspekt wird praktisch nie berücksichtigt, trägt aber meines Erachtens entscheidend zu einer besseren Versorgung bei“, erklärt Landgraf.

Andere machen sich große Sorgen. Nicht nur wegen drohender Hacker­angriffe und weil die Pseudonymisierung die Identität der Personen, die nicht widersprochen haben, nur schwach schützt, wie etliche Beispiele aus der Vergangenheit zeigen. Sondern auch, weil die Gesundheitsdaten auf ganz legalem Weg in die falschen Hände geraten könnten, etwa bei Arbeitgeber:innen, Versicherungen oder anderen Playern mit kommerziellen Interessen. Datenschützer Dr. Thilo Weichert von der Deutschen Vereinigung für Datenschutz fasste seine Bedenken kürzlich auf einer Veranstaltung so zusammen: „Wir müssen uns bewusst machen, dass mit dem Gesundheitsdaten­nutzungsgesetz ein zentraler Grundsatz der Medizin über Bord geworfen wird: die ärztliche Schweigepflicht“.

Ähnlich sieht es der Berliner Facharzt für Psychosomatische Medizin, Dr. med. Klaus Lindstedt. „Sensible und intime Details, die mir meine Patienten anvertrauen, haben einfach nichts in einer Cloud zu suchen“, sagt er. „Die Öffentlichkeit erfährt nicht, wer die Daten am Ende nutzt und mit wem sie vernetzt werden.“ Der Mediziner findet das gesamte Vorhaben äußerst beunruhigend. Er denkt, dass sich die Risiken – insbesondere im Zusammenhang mit genetischen Erkrankungen – über Generationen vererben werden. Im Forschungs­datenzentrum soll jede einzelne eAkte für 100 Jahre lang gespeichert bleiben.

* Stand vom 11. Februar 2025: Die bundesweite Einführung der elektronischen Patientenakte (ePA) verzögert sich nach Angaben des Deutschen Ärzteblattes auf frühestens Anfang April 2025. Das geht aus einem Schreiben des Bundesgesundheitsministeriums (BMG) hervor, das dem Deutschen Ärzteblatt vorliegt.