Die elektronische Patientenakte startet in die nächste Phase: Rollout und aktuelle Entwicklungen

Der bundesweite Rollout der elektronischen Patientenakte hat am 29. April 2025 begonnen. Ab dem 1. Oktober 2025 ist die Nutzung der ePA für Leistungserbringer verpflichtend. Der bundesweite Start war erneut von Kritik begleitet. 

Seit dem 15. Januar 2025 richtet jede Krankenkasse ihren gesetzlich Versicherten automatisch eine ePA ein – es handelt sich also um ein Opt‑out‑Verfahren. Versicherte, die dieses Angebot nicht wünschen, müssen aktiv Widerspruch einlegen (zum Beispiel online über das Versichertenportal ihrer Kasse oder schriftlich).

Seit 29. April müssen Ärzte die ePA einführen

Seit dem 29. April 2025 sind niedergelassene Ärzte und Psychotherapeuten verpflichtet, das ePA‑Modul in ihre Praxis‑EDV zu integrieren und der Krankenkasse die Bereitstellung für ihre Patientinnen und Patienten anzumelden. Nach der Meldung durch die Praxis haben die Krankenkassen sechs Wochen Zeit, die ePA für die Versicherten freizuschalten und Zugangs­daten zu versenden.

Versicherte können ihren Widerspruch jederzeit auch nach Freischaltung noch nachträglich erklären; in diesem Fall wird die ePA gelöscht und sämtliche gespeicherten Daten werden spätestens drei Monate nach dem Widerruf entfernt.

Neue Kritik vom Chaos-Computer-Club

Direkt nach dem Start hat der Chaos-Computer-Club erneut eine Sicherheitslücke aufgedeckt. Die gematik, die die ePA umsetzt hat nach eigenen Angaben umgehend reagiert: "Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten (ePA) zuzugreifen. Die gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen." Der geschäftsführende Gesuncheitsminister Professor Karl Lauterbach betonte,"Zusammen mit unseren Gesellschaftern, dem BSI und unseren Industriepartnern sind wir kontinuierlich im engen Austausch, um die Sicherheit der ePA für alle zu gewährleisten." Die Einführung markier einen längst überfälligen Wendepunkt in der Digitalisierung der Gesundheitsversorgung.

Privatpatienten erhalten ePA meist später

Für Privatversicherte bieten vier Versicherungsunternehmen bereits eigene ePA‑Lösungen an. Die Mehrheit der privaten Krankenversicherungen plant, ihren Versicherten bis Ende 2025 eine ePA anzubieten. Eine gesetzliche Pflicht zur Einführung besteht nicht. Teilweise ist eine gültige Krankenversichertennummer (KVNR) Voraussetzung, die Betroffene gegebenenfalls separat beantragen müssen.

Abgrenzung zur elektronischen Gesundheitskarte

Die elektronische Gesundheitskarte, eingeführt 2015, speichert seit 2020 Notfalldaten sowie Organspendeausweis, Patientenverfügung und Vorsorgevollmacht. Seit 2024 kann auch das eRezept darauf abgelegt werden. Die ePA ergänzt diese Funktionen, indem sie Untersuchungsergebnisse, Abrechnungsdaten, Rezepte und Medikationslisten zentral zusammenführt. Das erleichtert den Austausch von medizinischen Dokumenten und verhindert Doppeluntersuchungen.

Ziele der ePA und Datensouveränität

Patientinnen und Patienten behalten die volle Kontrolle über ihre Daten. Sie entscheiden, welche Dokumente sie hochladen und wer darauf zugreifen darf. Einzelne Einträge können sie jederzeit sperren.

Notfalldatensatz und CI‑Träger

Der Notfalldatensatz enthält Dauerdiagnosen, Dauermedikation sowie Kontaktdaten behandelnder Ärzte und Angehöriger. Spezielle klinische Merkmale, etwa Cochlea-Implantate lassen sich hier ebenso hinterlegen wie weitere Informationen in einem Textfeld.

Zukünftige Entwicklungen

Die gematik, die für die Einführung der elektronischen Patientenakte verantwortlich ist, will ab Sommer 2025 den digitalen Medikationsplan vollständig in die ePA integrieren. Laborbefunde sollen ab 2026 verfügbar sein.

Kritik des Chaos Computer Club

Am 14. Januar 2025 veröffentlichte der CCC unter dem Titel „Ohne Transparenz kein Vertrauen in elektronische Patientenakte“ eine Stellungnahme, in der er auf dem 38. Chaos Communication Congress aufgedeckte Sicherheitslücken anprangerte und unabhängige Systemprüfungen forderte. Seither bemängelt er, dass gematik und BSI die nachgewiesenen Schwachstellen nicht vollständig behoben und keine öffentliche Testumgebung bereitgestellt haben. Das Fachkonzept Version 1.4.0 adressiert viele dieser Kritikpunkte, indem es eine „Vertrauenswürdige Ausführungsumgebung“ (VAU) für serverseitige Prüfungen einführt, End‑to‑End‑ und TLS‑Verschlüsselung zur verpflichtenden Grundausstattung macht, serverseitige Integritäts‑ und Virenchecks vorsieht und strikte Zugriffskontrollen verankert. Dennoch betont der CCC weiterhin, dass Kernforderungen wie uneingeschränkte Transparenz und eine öffentlich zugängliche Testumgebung nach wie vor fehlen.

(Dieser Artikel erschien zuerst in der Print-Ausgabe Schnecke 126. Wir haben ihn aktualisiert und ergänzt, zuletzt am 30.04.2025.)

(Markus Rinke)