Elektronische Patientenakte: Zwischen digitalem Fortschritt und Sicherheitsrisiko

Hinweis: Eine ausführliche Diskussion der Chancen, Risiken und rechtlichen Rahmenbedingungen der ePA finden Sie auch in meiner Podcast-Folge „Gesundheit! Die elektronische Gesundheitsakte (ePA) und digitale Gesundheitsdaten“ mit Dr. Kristina Schreiber und mir – abrufbar in jeder Podcast-App oder unter https://dasou. law/folge-i00i00-gesundheit-die-elektronische-patientenakte- epa-und-digitale-gesundheitsdaten-mit-drkristina- schreiber/.

2. CHANCEN DER EPA

Die ePA kann Behandlern einen schnelleren und umfassenderen Überblick über die Krankengeschichte der Behandelten geben. Das vermeidet Doppeluntersuchungen, verhindert gefährliche Arzneimittelwechselwirkungen und erleichtert die Notfallversorgung. Versicherte können ihre Gesundheitsdaten zentral verwalten und so aktiv an ihrer Behandlung mitwirken.³https://www.bundesgesundheitsministerium.de/themen/digitalisierung/ elektronische-patientenakte/epa-fuer-alle.html (zuletzt aufgerufen am 12.8.2025). Die ePA ermöglicht selektive Datenfreigabe zwischen Fachgruppen, dies muss aber manuell angepasst werden, da die Standardeinstellungen keinen Zugriffsschutz bieten (Art. 25 Abs. 2 DSGVO).

3. CYBERRISIKEN IM GESUNDHEITSDATENNETZWERK

Die ePA-Daten sind für böswillige Akteure besonders wertvoll, da sie umfassende, dauerhafte und schwer fälschbare persönliche Daten enthalten. Sie eignen sich für Erpressung, Versicherungsbetrug oder Identitätsdiebstahl.⁴https://www.interpol.int/en/Crimes/Cybercrime (zuletzt aufgerufen am 12.8.2025). Die ePA ist Teil der Telematikinfrastruktur, einem hochkomplexen Netz, das Arztpraxen, Kliniken, Apotheken und Krankenkassen verbindet. Diese Komplexität schafft Angriffsflächen – von veralteter Praxissoftware bis zu schlecht gesicherten Schnittstellen.⁵vgl. https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_ reports/Abschlussbericht_Sicherheitsanalyse_ePA_fuer_alle_Fraunhofer_ SIT.pdf?_=1730893256 (zuletzt aufgerufen am 12.8.2025).

Das Fraunhofer-Institut bescheinigte der ePA zwar eine grundsätzlich angemessene Sicherheitsarchitektur, wies jedoch auf Verbesserungsbedarfe hin.⁶6 vgl. https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_ reports/Abschlussbericht_Sicherheitsanalyse_ePA_fuer_alle_Fraunhofer_ SIT.pdf?_=1730893256 (zuletzt aufgerufen am 12.8.2025).Für jede Rechtsberatung bedeutet das: Werden die Sicherheitsstandards für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO nicht eingehalten, könnte ein Datenschutzverstoß vorliegen.

4. DATENSCHUTZRECHTLICHE HERAUSFORDERUNGEN

Die DSGVO gilt vollumfänglich auch für die ePA. In der Praxis entstehen dennoch Probleme:

• Die kryptografischen Schlüssel liegen nicht vollständig in der Hand der Patientin oder des Patienten.
• Zahlreiche Akteurinnen oder Akteure im Gesundheitswesen haben Zugriff. Ihre IT-Sicherheitsstandards variieren stark.
• Fehlerhafte oder veraltete Einträge können erhebliche Folgen haben, etwa beim Wechsel in die private Krankenversicherung.
• Die datenschutzrechtlichen Voreinstellungen (Art. 25 Abs.2 DSGVO) werden nicht beachtet.
• Es gilt kein Beschlagnahmeverbot, denn dies gilt nur für Behandler (§ 97 StPO).

5. BEWUSSTE ENTSCHEIDUNG: NUTZUNG ODER WIDERSPRUCH

Das Grundrecht auf informationelle Selbstbestimmung ist in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 Grundgesetz verankert. Es erlaubt jedem Betroffenen, über die Preisgabe und Verwendung ihrer oder seiner persönlichen Daten zu entscheiden. Der Gesetzgeber hat sich jedoch dennoch für eine Opt-out-Voreinstellung entschieden.

Ein nachträglicher Widerspruch gegen die Nutzung der ePA für künftige Datenverarbeitungen ist möglich. Gründe können sein:

• Abwarten auf weiterentwickelte Technik und Sicherheitsfunktionen
• Sorge vor Datenmissbrauch
• Datenschutzrechtliche Prüfbedürftigkeit bei der EUweiten Sekundärdatennutzung im Rahmen des „European Health Data Space“ (EHDS): Der EHDS ist eine geplante EU-Verordnung, die eine einheitliche Nutzung und Weitergabe von Gesundheitsdaten in allen Mitgliedstaaten regelt (https://health.ec.europa.eu/ ehealth-digital-health-and-care/european-healthdata- space-regulation-ehds_de). Neben der Primärnutzung für die direkte Versorgung sollen Daten auch für Forschung, Politikgestaltung und Innovation („Sekundärnutzung“) verfügbar gemacht werden. Der Zugriff könnte nicht nur Universitäten, sondern auch Unternehmen offenstehen, sofern sie bestimmte Bedingungen erfüllen. Positiv ist, dass ein geregeltes Genehmigungsverfahren vorgesehen ist und insbesondere pseudonymisierte Daten für die medizinische Forschung genutzt werden könnten, um Therapien zu verbessern. Die Daten sollen pseudonymisiert oder anonymisiert bereitgestellt werden – ob dies in der Praxis Rückverfolgung vollständig ausschließt, ist jedoch umstritten.

So kann der Widerspruch erfolgen, auch bei Einzelwidersprüchen gegen einzelne Datenverarbeitungen:

• schriftlich bei der eigenen Krankenkasse, formlos oder mit Vordruck der Kasse
• persönlich in der Geschäftsstelle
• über das Online-Portal oder die App der Krankenkasse

6. HANDLUNGSEMPFEHLUNGEN

Wer die ePA nutzen möchte, sollte Risiken minimieren durch:

• regelmäßige Prüfung und Anpassung der Zugriffsrechte
• sofortiges Berichtigenlassen falscher Einträge
• Einzelwidersprüche oder gänzlicher Widerspruch gegen die ePA

Dabei helfen Betroffenenrechte nach der DSGVO: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehörde (Art. 77). Zu Art. 15 DSGVO folgt eine Auswahl an Rechtsprechung zu dem Thema.

„Wer unsicher ist, sollte sich rechtzeitig informieren, seine oder ihre Rechte kennen und dann bewusst entscheiden“

7. RECHTSPRECHUNG IM ÜBERBLICK

Derzeit ist vor dem Bundesverfassungsgericht ein Verfahren anhängig – das die Autorin führt –, das die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO bei Gesundheitsdaten betrifft. Ausgangspunkt ist ein Beschluss des OLG Dresden vom 25. März 2025 (Az. 4 U 1664/24), in dem das Gericht einen Anspruch auf Auskunft gegenüber einer gerichtlichen Sachverständigen (einer Ärztin) verneinte und sich dabei u. a. auf zivilrechtliche Erfüllungsgrundsätze (§ 362 BGB) stützte. Die Verfassungsbeschwerde rügt u. a. eine Verletzung des Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) und die Nichtvorlage an den EuGH zu unionsrechtlich klärungsbedürftigen Fragen. Das Verfahren könnte wegweisend für den Umgang mit Auskunftsansprüchen im Gesundheitsbereich, auch im gerichtlichen Kontext, werden.

Orientierung bietet bereits der EuGH, Urteil vom 26. Oktober 2023, Rs. C-307/22:⁷https://curia.europa.eu/juris/document/document.jsf?text=&docid= 279125&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part= 1&cid=3563463 (zuletzt aufgerufen am 12.8.2025). Der EuGH stellte klar, dass Behandelte nach Art. 15 Abs. 3 DSGVO grundsätzlich eine kostenlose Kopie ihrer vollständigen Patientenakte verlangen können – einschließlich aller von den Behandlern erstellten Dokumente wie Arztbriefe, Laborberichte oder Röntgenbilder. Dieses Recht dient der Transparenz und ist weit auszulegen. Der EuGH betont, dass der Zugang zu Gesundheitsdaten nicht restriktiv gehandhabt werden darf – ein Ansatz, der auch für die Auslegung von Art. 15 DSGVO im Kontext der ePA relevant ist.

„Die ePA verbessert die Versorgung, doch Cybersicherheit und Datenschutz müssen mithalten“

8. FAZIT: DATENSOUVERÄNITÄT ALS MASSSTAB

Die ePA verbessert die Versorgung, doch Cybersicherheit und Datenschutz müssen mithalten. Datensouveränität und das Grundrecht auf informationelle Selbstbestimmung sollten der Maßstab für jede digitale Gesundheitsinfrastruktur sein. Wer unsicher ist, sollte sich rechtzeitig informieren, seine oder ihre Rechte kennen und dann bewusst entscheiden.