Mit dem jüngst vom Bundestag verabschiedeten Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege kehren zentrale Aspekte der elektronischen Patientenakte (ePA) zu früheren Regelungen zurück. Während die am 06.11.2025 beschlossenen gesetzlichen Datenschutzänderungen zur ePA eine Stärkung der Datenhoheit der Versicherten in Aussicht stellen, sollen auch Sicherheitsanforderungen reduziert werden.
Die elektronische Patientenakte
Die ePA ermöglicht die digitale Speicherung und den Austausch von Gesundheitsdaten. Hierzu gehören etwa Arztberichte, Laborwerte oder Rezepte. Ende 2023 hatte der Deutsche Bundestag zwei Digitalgesetze für die Gesundheitsversorgung verabschiedet, die im Februar 2024 ihre letzte Hürde überwunden haben. Eine der wesentlichen Veränderungen ist die automatische Einrichtung der ePA für alle gesetzlich Versicherten – ursprünglich ab Mitte Januar 2025 – soweit kein Widerspruch des jeweiligen Patienten vorliegt.
Bundesweites Rollout der ePA
Im Anschluss wurde allerdings der flächenweite geplante Einsatz nach hinten verschoben, insbesondere auch aufgrund datenschutzrechtlicher Bedenken. Zwar mussten die gesetzlichen Krankenkassen weiterhin ab Mitte Januar eine entsprechende Akte für Versicherte eröffnen. Der weitere Verlauf war aber von Pilotprojekten in Modellregionen abhängen. Insofern waren auch Ärzte und Psychotherapeuten zunächst von der Verpflichtung befreit, Daten in die ePA einzutragen.
Ende April 2025 startete das bundesweite Rollout der ePA in Form einer Hochlaufphase. Hierbei handelte es sich noch nicht um einen verpflichtenden Regelbetrieb, sondern um eine erweiterte Erprobungsphase, in der insbesondere Leistungserbringer wie Ärzte, Krankenhäuser und Apotheken Erfahrungen mit der ePA sammeln sollten. Seit dem 01.10.2025 ist nun die flächendeckende Nutzung durch alle Gesundheitsdienstleister verbindlich.
Mehr Sichtbarkeitshoheit für Versicherte
Nun hat der Bundestag bereits die ersten gesetzliche Datenschutzänderung zur ePA verabschiedet. Eine die markantesten Neuerungen betrifft den Umgang mit Abrechnungsdaten innerhalb der ePA. Künftig sollen ausschließlich die Versicherten selbst diese Informationen sehen können. Bislang standen sie standardmäßig auch Behandelnden zur Verfügung.
Gesundheitsexperte beim Verbraucherzentrale Bundesverband, Lucas Auer, habe gegenüber netzpolitik.org darauf hingewiesen, dass diese Daten häufig veraltet oder unpräzise seien und daher wenig Mehrwert für die konkrete Behandlung besitzen, zugleich aber ein Risiko für ungewollten „Aufschluss über sensible Diagnosen“ darstellen können. Mit der nun beschlossenen Korrektur wird die ursprünglich beabsichtigte Patientensouveränität insofern wieder ein Stück weit hergestellt.
Rückkehr des Video-Ident-Verfahrens
Daneben dürfen Krankenkassen künftig wieder Video-Ident-Verfahren zur Identitätsprüfung und Aktivierung der ePA einsetzen. In diesem Zusammenhang hatte die Gematik das „Nect Ident mit ePass“-Verfahren von Nect aus Hamburg zugelassen. Die Regierung erhofft sich dadurch eine niedrigere Nutzungshürde und eine breitere Akzeptanz der ePA, die trotz flächendeckender Anlage (ca. 70 % der gesetzlich Versicherten) bislang nur von einem Bruchteil der Versicherten (3 %) aktiv verwendet wird.
Allerdings ist das Video-Ident-Verfahren sicherheitsrechtlich belastet. Die Gematik hatte vor drei Jahren aufgrund nachgewiesener Manipulationsmöglichkeiten die Nutzung durch deutsche Krankenkassen ausgeschlossen. Zuvor hatte der Chaos Computer Club (CCC) aufgezeigt, wie einfach die Sicherheitsvorkehrungen umgangen werden konnte.
Implikationen für Unternehmen
Für gesetzliche Krankenkassen und Dienstleister im Gesundheitswesen bedeutet die Gesetzesänderung vor allem eine kommunikative und organisatorische Neujustierung. Die Datenhoheit der Versicherten wird gestärkt, was technisch entsprechend umzusetzen ist. Gerade vor diesem Hintergrund ist ein besonders sorgsamer Umgang mit bei Dienstleistern direkt gespeicherten Daten erforderlich.
Fazit
Die gesetzliche Datenschutzänderung zur ePA markieren eine politische Schwerpunktverlagerung. Der Gesetzgeber setzt verstärkt auf Zugänglichkeit und Patientennähe, ohne jedoch die Sicherheitsarchitektur der ePA konsequent mitzudenken. Die Rückgewinnung von Sichtbarkeitskontrolle für Versicherte ist zu begrüßen, da sie das Vertrauen in digitale Gesundheitsanwendungen stärken kann. Die Rückkehr zum Video-Ident-Verfahren ist dagegen ein sicherheitspolitischer Kompromiss, der das Risiko einer Schwächung des Schutzes von Gesundheitsinformationen birgt.
