In einer zunehmend digitalisierten Gesundheitswelt ist der Schutz sensibler Gesundheitsdaten zentral. Die rechtskonforme elektronische Patientenakte (ePA) muss daher sowohl nutzerfreundlich als auch sicher gestaltet sein. Die Einführung der ePA bietet große Chancen für effizientere Gesundheitsversorgung. Zugleich ist die Umsetzung datenschutzrechtlicher Vorgaben unabdingbar. Die kürzlich veröffentlichte „Mainzer Erklärung“ und die darin enthaltenen sechs Empfehlungen zur ePA des Landesbeauftragten für den Datenschutz und die Informationsfreiheit und der Verbraucherzentrale Rheinland-Pfalz liefern einen praxisnahen Leitfaden für datenschutzgerechte Patientenakten.
Was steckt hinter der „Mainzer Erklärung“ zur ePA?
Die „Mainzer Erklärung“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit und der Verbraucherzentrale Rheinland-Pfalz ist auf Grundlage der Veranstaltung „ePA für alle – Daten für alle?“ am 6. November 2025 im rheinland-pfälzischen Landtag entstanden und formuliert sechs zentrale Empfehlungen, die eine vertrauenswürdige ePA gewährleisten sollen.
Die Sechs Empfehlungen im Überblick
- Interdisziplinäre Begleitung durch Datenschutz, IT, Medizin und Verbraucherschutz.
- Transparenz über Prozesse, Zugriffsrechte und Datenverarbeitung.
- Dynamische Weiterentwicklung statt statischer Einführung.
- Mehrwert durch strukturierte Daten und Integration in den Behandlungsablauf schaffen.
- Förderung digitaler Kompetenzen von Nutzer*innen und Fachkräften.
- Interoperabilität auf europäischer Ebene ausrichten.
Datenschutzrechtlicher Kontext
Die elektronische Patientenakte wird gemäß §§ 341–355 SGB V reguliert und im Opt-out-Verfahren seit Januar 2025 eingeführt. Dabei ist als Grundsatz die Anforderung der Datennutzung mit angemessenem, effektivem Grundrechtsschutz und insbesondere Wahrung des Rechts auf informationelle Selbstbestimmung anzusehen. Daran anknüpfend muss beachtet werden, dass die Datenschutzgrundverordnung (DSGVO) besonders bei Gesundheitsdaten erhöhte Sicherheits- und Transparenzmaßnahmen verlangt. Die erforderlichen Dokumentationen und Umsetzung sind in diesem Hock-Risiko-Bereich nicht zu vernachlässigen. Die Betroffenen müssen selbst entscheiden können, mit wem sie ihre Daten teilen, und in welchem Umfang.
Verteilte Verantwortlichkeiten
Eine interdisziplinäre Steuerung stellt sicher, dass technische, medizinische und rechtliche Anforderungen gleichwertig berücksichtigt werden. Um die ethisch gebotene Verbesserung der medizinischen Versorgung sinnvoll zu gestalten, bedarf es der permanenten, interdisziplinären Begleitung der ePA. Dies soll durch Beteiligung von Expertinnen und Experten aus Medizin, Wissenschaft, Wirtschaft, IT-Sicherheit, Datenschutz, Verbraucherschutz und Zivilgesellschaft, Kostenträgern und Politik geschehen. Nur so lässt sich die umfassende Berücksichtigung der Vorgaben der DSGVO in einem praktisch befähigenden Umfang sicherstellen.
Ohne klaren Nutzen bleibt die elektronische Patientenakte eine reine „digitale Dokumentenablage“, so die Vorständin der Verbraucherzentrale Rheinland-Pfalz. Eine systematische Integration etwa in Arzt-Software oder ein Notfallzugriff erhöhe die Akzeptanz und Relevanz, wobei jedoch darauf geachtet werden sollte, dass die Abrechnungsdaten nur für Versicherte einsehbar sind.
Fazit
Bei der Einführung und Nutzung der elektronischen Patientenakte ist es zunächst entscheidend, Transparenz konsequent zu priorisieren, sodass jederzeit Klarheit über Datenflüsse, Zugriffsrechte und technische Prozesse besteht. Zugleich darf Datenschutz nicht isoliert betrachtet werden, sondern muss interdisziplinär angegangen werden, indem alle relevanten Fachbereiche fortlaufend eingebunden werden. Darüber hinaus solle die ePA als dynamisches System verstanden werden. Es werde kontinuierlich weiterentwickelt, um einen konkreten Mehrwert zu schaffen. Beispielsweise durch integrierte Analysefunktionen oder zentrale Sammelschnittstellen für behandelnde Ärztinnen und Ärzte.
Damit einhergehend sind die Sicherheitsmaßnahmen besonders robust auszugestalten. Hierzu zählen insbesondere ein Zwei-Faktor-Login, Pseudonymisierung, klar definierte Löschkonzepte sowie eine sichere Protokollierung und die verlässliche Umsetzung der Betroffenenrechte. Ergänzend dazu ist eine gezielte Bildungs- und Aufklärungsarbeit erforderlich, um Nutzerinnen und Nutzer ebenso wie Provider umfassend über Nutzen, Einschränkungen, Funktionsweisen und Risiken der ePA zu informieren. Schließlich sollten bereits bei der Konzeption europäische Standards berücksichtigt werden, um nicht nur die Interoperabilität sicherzustellen, sondern auch eine spätere Integration in EU-weit harmonisierte Standards zu ermöglichen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
