Elektronische Patientenakte: Datenschutz, Kontrolle und Aufholbedarf
Der bundesweite Rollout der elektronischen Patientenakte (ePA) hatte am 29. April 2025 begonnen. Seit dem 1. Oktober 2025 ist ihre Nutzung für Leistungserbringer verpflichtend – doch mit dem Start sind neue politische und datenschutzrechtliche Diskussionen entbrannt. Eine Kleine Anfrage der Bundestagsfraktion Die Linke zeigt, dass zentrale Fragen zu Datenschutz, Zugriffsrechten und Barrierefreiheit nach wie vor nicht abschließend geklärt sind. Während die Bundesregierung den Nutzen der ePA für die Versorgung betont, fordern Kritiker mehr Transparenz, strengere Kontrolle und technische Nachbesserungen.
Neue Einschätzungen von Ulrich Kelber und der BfDI
Auf eine Anfrage hin bestätigte der frühere Bundesdatenschutzbeauftragte Ulrich Kelber, dass die vom CCC beschriebenen Schwachstellen im ePA-System „glaubwürdig und so nicht akzeptabel“ seien. Sowohl grundlegende Architekturprobleme als auch Umsetzungsfehler seien schon länger bekannt, aber nicht ausreichend behoben worden. Kelber hält es zudem für „zweifellos möglich“, dass ePAs technisch ausgespäht werden können – nicht nur durch US-Behörden, sondern auch durch Staaten wie China oder Russland sowie organisierte Kriminalität. Er fordert deshalb eine unabhängige Sicherheitsüberprüfung und vollständige Transparenz über Architekturentscheidungen.
Die aktuelle Bundesdatenschutzbeauftragte kommt dagegen zu einer deutlich anderen Einschätzung. Sie verweist darauf, dass die nach den CCC-Funden eingeführten Maßnahmen der gematik und des BSI die bekannten Lücken mitigieren und dass ihr keine Hinweise vorliegen, wonach die gematik gegen ihre eigenen Sicherheitsvorgaben verstoßen hätte. Aus ihrer Sicht ist das bestehende Verfahren ausreichend, solange die gematik ihre technischen und organisatorischen Vorgaben einhält und die Betreiber diese erfüllen. Das Risiko unbefugter Zugriffe – auch im Kontext internationaler Dienstleister – sieht sie daher anders als Kelber: Die Daten seien verschlüsselt, würden in Deutschland gespeichert und könnten ohne Schlüssel der Versicherten nicht gelesen werden. Einen Bedarf, das Verfahren grundsätzlich zu verändern, sieht ihre Behörde derzeit nicht.
Datenschutz und internationale IT-Dienstleister im Fokus
In ihrer Anfrage hinterfragt Die Linke, ob die Beteiligung internationaler IT-Dienstleister wie IBM Deutschland (eine Tochter der US-amerikanischen IBM Corp.) und RISE GmbH Risiken für die Datensicherheit birgt. Die Bundesregierung verweist darauf, dass alle ePA-Daten verschlüsselt auf Servern in Deutschland gespeichert werden und nur mit dem Schlüssel der Versicherten zugänglich seien. Allerdings räumt das Bundesgesundheitsministerium ein, keine Kenntnis über die Vertragsinhalte zwischen Krankenkassen und den Betreibern zu haben. Eine unabhängige Überprüfung der Abhängigkeit öffentlicher IT-Infrastrukturen von außereuropäischen Anbietern ist nicht geplant. Bedenken der Fragestellenden zielen auch auf die extraterritoriale Wirkung von US-Gesetzen, die US-Unternehmen zur Herausgabe von Daten verpflichten könnten – ein Risiko, das die Bundesregierung formal zwar für ausgeschlossen hält, praktisch aber nicht vollständig kontrollieren kann.
Kritik an eingeschränkten Zugriffsrechten und fehlender Evaluation
Kritik übt die Linksfraktion auch an der eingeschränkten Steuerung der Zugriffsrechte. Versicherte können Dokumente nur für alle Leistungserbringer gemeinsam verbergen – eine gezielte Freigabe, etwa ausschließlich für Psychotherapeutinnen oder Hausärzte, ist bislang nicht vorgesehen.
Zudem liegen der Bundesregierung keine Daten darüber vor, wie viele Versicherte ihre ePA aktiv nutzen oder Zugriffsrechte ändern. Eine geplante Evaluation des neuen Opt-out-Verfahrens existiert derzeit nicht. Damit bleibt offen, wie gut die Einführung tatsächlich funktioniert und ob das Vertrauen der Versicherten wächst.
Technische Sicherheit: Anpassung der Verschlüsselung
Unabhängig von der politischen Diskussion wird derzeit die Verschlüsselungstechnik in der Telematikinfrastruktur, über die auch die elektronische Patientenakte läuft, angepasst.
Nach Angaben der gematik sollen bis Ende 2025 alle Komponenten von dem bisherigen RSA-Verfahren auf Elliptic Curve Cryptography (ECC) umgestellt werden. Grundlage seien europarechtliche Vorgaben.
Die gematik teilte mit, dass hiervon unter anderem Konnektoren, Heilberufsausweise und Institutionskarten betroffen sind. Aufgrund der noch ausstehenden Austauschprozesse könne es nach Einschätzung der gematik zu Lieferengpässen kommen. Auch die Produktionskapazitäten einzelner Anbieter, darunter die medisign GmbH, stehen unter Beobachtung. Ziel der Maßnahme ist laut gematik, den Betrieb der Telematikinfrastruktur weiterhin sicherzustellen.
Barrierefreiheit und digitale Teilhabe
Die Bundesregierung verweist in ihrer Antwort auf gesetzliche Vorgaben, nach denen Krankenkassen Informationsmaterial in einfacher Sprache und barrierefrei bereitstellen müssen. Versicherte, die ihre ePA nicht selbst führen können, sollen Unterstützung durch Ombudsstellen erhalten oder eine Vertretungsperson benennen. Ein Desktop-Client für die Nutzung ohne Smartphone steht inzwischen zur Verfügung; ein analoger Zugang über Terminals in den Geschäftsstellen der Krankenkassen ist jedoch freiwillig und nicht flächendeckend vorgesehen.
Bundesregierung sieht hohen Nutzen
Trotz anhaltender Kritik bewertet die Bundesregierung den Nutzen der ePA für die sektorenübergreifende Versorgung als hoch. Erstmals könnten Dokumente ohne Medienbrüche zwischen Arztpraxen, Kliniken und Apotheken ausgetauscht werden. Der praktische Erfolg hängt jedoch davon ab, ob Datenschutz, Transparenz und Nutzbarkeit künftig stärker in den Mittelpunkt rücken.
Deutschland im europäischen Vergleich: Aufholbedarf bleibt
Spitzenreiter bei der Implementierung einer Elektronischen Patientenakte sind erneut Dänemark und Finnland. Deutschland liegt mit Platz 19 im unteren Mittelfeld, punktet jedoch durch stabile rechtliche Rahmenbedingungen – etwa durch das Patientendaten-Schutz-Gesetz und das seit Januar 2025 geltende Opt-out-Verfahren. Defizite sieht die Studie vor allem bei den Inhalten und Funktionen der ePA. Positiv hervorgehoben wird Slowenien, das durch gezielte funktionale Ausgestaltung auf Rang 5 vorgerückt ist. Die „European Scorecard“ soll Transparenz schaffen und anderen Ländern als Orientierungshilfe dienen. Die Rhön Stiftung Eugen und Ingeborg Münch hat in Zusammenarbeit mit der inav GmbH zum dritten Mal ein europäisches Ranking zur Implementierung der elektronischen Patientenakte veröffentlicht.
ePA-Start: Bereits 70 Millionen Patientenakten angelegt
Zum 1. Oktober 2025 hat die gematik aktuelle Zahlen zur Einführung der elektronischen Patientenakte mitgeteilt. Demnach sind über 93 Prozent der Zahnarztpraxen und Apotheken in Deutschland technisch in der Lage, mit der elektronischen Patientenakte (ePA) zu arbeiten. Auch die Nutzung durch Leistungserbringende nimmt weiter zu, so die gematik: Über 110.000 der rund 160.000 medizinischen Einrichtungen haben bereits auf ePAs zugegriffen, darunter etwa 61.000 Arzt- und Psychotherapiepraxen sowie rund 20.000 Zahnarztpraxen. Seit dem Start der ePA im Januar 2025 wurden rund 70 Millionen Patientenakten für gesetzlich Versicherte angelegt. Diese enthalten inzwischen über 700 Millionen Datensätze, darunter auch E-Rezepte und rund 13 Millionen abgerufene Medikationslisten.
Bündnis „Widerspruch gegen die ePA“ übt weiter Kritik
Das Bündnis "Widerspruch gegen die elektronische Patientenakte" übt scharfe Kritik an der jetzt verpflichtenden Einführung der ePA. Nach Ansicht des Bündnissprechers Jan Kuhlmann sei das Projekt trotz jahrzehntelanger Planung und milliardenschwerer Investitionen ein Fehlschlag. Nur acht Prozent der gesetzlich Versicherten nutzten die ePA aktiv, während elf Prozent ihrer Anlage widersprochen haben. Laut Dr. Silke Lüder aus Hamburg wurden die im Frühjahr 2025 zugesagten Tests und Sicherheitsprüfungen nicht durchgeführt. Statt Verbesserungen gebe es technische Probleme, Zeitverluste und hohe Kosten. Psychiater Dr. Andreas Meißner kritisiert zudem eine Aushöhlung der ärztlichen Schweigepflicht, da der Zugriff auf Patientendaten zu weit gefasst sei.
Einführung der ePA seit Mitte Januar
Seit dem 15. Januar 2025 richtet jede Krankenkasse ihren gesetzlich Versicherten automatisch eine ePA ein – es handelt sich also um ein Opt‑out‑Verfahren. Versicherte, die dieses Angebot nicht wünschen, müssen aktiv Widerspruch einlegen (zum Beispiel online über das Versichertenportal ihrer Kasse oder schriftlich).
Seit 29. April müssen Ärzte die ePA einführen
Seit dem 29. April 2025 sind niedergelassene Ärzte und Psychotherapeuten verpflichtet, das ePA‑Modul in ihre Praxis‑EDV zu integrieren und der Krankenkasse die Bereitstellung für ihre Patientinnen und Patienten anzumelden. Nach der Meldung durch die Praxis haben die Krankenkassen sechs Wochen Zeit, die ePA für die Versicherten freizuschalten und Zugangsdaten zu versenden.
Versicherte können ihren Widerspruch jederzeit auch nach Freischaltung noch nachträglich erklären; in diesem Fall wird die ePA gelöscht und sämtliche gespeicherten Daten werden spätestens drei Monate nach dem Widerruf entfernt.
Neue Kritik vom Chaos-Computer-Club
Direkt nach dem Start hat der Chaos-Computer-Club erneut eine Sicherheitslücke aufgedeckt. Die gematik, die die ePA umsetzt hat nach eigenen Angaben umgehend reagiert: "Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten (ePA) zuzugreifen. Die gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen." Der geschäftsführende Gesuncheitsminister Professor Karl Lauterbach betonte,"Zusammen mit unseren Gesellschaftern, dem BSI und unseren Industriepartnern sind wir kontinuierlich im engen Austausch, um die Sicherheit der ePA für alle zu gewährleisten." Die Einführung markier einen längst überfälligen Wendepunkt in der Digitalisierung der Gesundheitsversorgung.
Privatpatienten erhalten ePA meist später
Für Privatversicherte bieten vier Versicherungsunternehmen bereits eigene ePA‑Lösungen an. Die Mehrheit der privaten Krankenversicherungen plant, ihren Versicherten bis Ende 2025 eine ePA anzubieten. Eine gesetzliche Pflicht zur Einführung besteht nicht. Teilweise ist eine gültige Krankenversichertennummer (KVNR) Voraussetzung, die Betroffene gegebenenfalls separat beantragen müssen.
Abgrenzung zur elektronischen Gesundheitskarte
Die elektronische Gesundheitskarte, eingeführt 2015, speichert seit 2020 Notfalldaten sowie Organspendeausweis, Patientenverfügung und Vorsorgevollmacht. Seit 2024 kann auch das eRezept darauf abgelegt werden. Die ePA ergänzt diese Funktionen, indem sie Untersuchungsergebnisse, Abrechnungsdaten, Rezepte und Medikationslisten zentral zusammenführt. Das erleichtert den Austausch von medizinischen Dokumenten und verhindert Doppeluntersuchungen.
Ziele der ePA und Datensouveränität
Patientinnen und Patienten behalten die volle Kontrolle über ihre Daten. Sie entscheiden, welche Dokumente sie hochladen und wer darauf zugreifen darf. Einzelne Einträge können sie jederzeit sperren.
Notfalldatensatz und CI‑Träger
Der Notfalldatensatz enthält Dauerdiagnosen, Dauermedikation sowie Kontaktdaten behandelnder Ärzte und Angehöriger. Spezielle klinische Merkmale, etwa Cochlea-Implantate lassen sich hier ebenso hinterlegen wie weitere Informationen in einem Textfeld.
Zukünftige Entwicklungen
Die gematik, die für die Einführung der elektronischen Patientenakte verantwortlich ist, will ab Sommer 2025 den digitalen Medikationsplan vollständig in die ePA integrieren. Laborbefunde sollen ab 2026 verfügbar sein.
Kritik des Chaos Computer Club
Am 14. Januar 2025 veröffentlichte der CCC unter dem Titel „Ohne Transparenz kein Vertrauen in elektronische Patientenakte“ eine Stellungnahme, in der er auf dem 38. Chaos Communication Congress aufgedeckte Sicherheitslücken anprangerte und unabhängige Systemprüfungen forderte. Seither bemängelt er, dass gematik und BSI die nachgewiesenen Schwachstellen nicht vollständig behoben und keine öffentliche Testumgebung bereitgestellt haben. Das Fachkonzept Version 1.4.0 adressiert viele dieser Kritikpunkte, indem es eine „Vertrauenswürdige Ausführungsumgebung“ (VAU) für serverseitige Prüfungen einführt, End‑to‑End‑ und TLS‑Verschlüsselung zur verpflichtenden Grundausstattung macht, serverseitige Integritäts‑ und Virenchecks vorsieht und strikte Zugriffskontrollen verankert. Dennoch betont der CCC weiterhin, dass Kernforderungen wie uneingeschränkte Transparenz und eine öffentlich zugängliche Testumgebung nach wie vor fehlen.
(Dieser Artikel erschien zuerst in der Print-Ausgabe Schnecke 126. Wir haben ihn aktualisiert und ergänzt, zuletzt am 30.04.2025, am 02.10.2025, am 25.10.2025 und am 17.11.25)
(Markus Rinke)
Zurück
