Die elektronische Patientenakte bewegt das deutsche Gesundheitswesen wie kaum ein anderes Digitalprojekt: Ab Januar 2025 erhält jede gesetzlich versicherte Person automatisch eine ePA, sofern sie nicht aktiv widerspricht. Nach zwanzig Jahren wechselhafter Geschichte, milliardenschwerer Investitionen und politischer Grabenkämpfe soll das System nun bundesweit Pflicht werden. Eine große technische und organisatorische Umstellung steht bevor – mit Chancen für bessere Versorgung, aber auch mit erheblichen Risiken für Privatsphäre, Datensicherheit und Bürokratie. Dieser Beitrag zeigt kompakt, was Versicherte, Ärztinnen und Ärzte sowie Praxisteams jetzt wissen müssen, um die ePA bewusst zu nutzen oder ihr rechtzeitig zu widersprechen.
Von der Gesundheitskarte zur verpflichtenden ePA
Seit 2003 sorgt die elektronische Gesundheitskarte für Debatten über Kosten, Nutzen und Datenschutz. Ursprünglich sollte sie schon 2006 einsatzbereit sein, doch die Selbstverwaltung im Gesundheitswesen bremste das Vorhaben immer wieder aus. Erst als der Bund 2019 die Mehrheit in der Gematik übernahm, gewann das Projekt neuen Schwung. Das Digitalgesetz von 2024 verankerte schließlich die ePA für alle: Nach einer kurzen Erprobung in Hamburg, Franken und Teilen Nordrhein-Westfalens startet der bundesweite Roll-out. Damit endet die Phase freiwilliger Akten, die bislang nur ein Prozent der Versicherten nutzte.
Opt-out-Verfahren: Was bedeutet die automatische ePA?
Das Opt-out-Modell funktioniert wie eine nicht bestellte Lieferung: Für jede Versicherte wird eine Akte angelegt, es sei denn, sie legt fristgerecht Widerspruch ein. Regulär gelingt das nur über die App oder per Desktop-Anwendung – ein Hindernis für rund ein Viertel der über 65-Jährigen ohne Smartphone. Wer weder Handy noch Rechner besitzt, muss sich telefonisch oder per Brief an die Ombudsstelle seiner Krankenkasse wenden – ein Prozess, der Geduld erfordert, weil viele Kassen kaum noch örtliche Geschäftsstellen betreiben. Kritiker befürchten, dass ältere oder weniger technikaffine Menschen die ePA einfach hinnehmen, ohne die Konsequenzen zu überblicken.
Datenschutz und Datensicherheit: Risiken zentraler Speicherung
Statt einer Ende-zu-Ende-Verschlüsselung setzt die ePA auf eine Vertrauenswürdige Ausführungsumgebung in Rechenzentren der Telematikinfrastruktur. Unabhängige Analysen zeigten jedoch Schwachstellen: Bei Angriffen an Wochenenden dürfen Gegenmaßnahmen bis zu 72 Stunden dauern, was die Gefahr von Datenabfluss oder Manipulation erhöht. Hinzu kommt die Möglichkeit von Innentätern, die mit Administrationsrechten umfangreiche Datensätze einsehen könnten. Die digital hinterlegten Informationen bleiben hundert Jahre gespeichert, obwohl niemand garantieren kann, die Systeme über ein ganzes Jahrhundert abzusichern.
Auswirkungen auf Arztpraxis und Patient
Mit der ePA müssen Praxen sämtliche relevanten Befunde, Laborwerte und Arztbriefe hochladen – allerdings nur bis zu einer Größe von 25 Megabyte. Größere MRT- oder CT-Dateien passen nicht in die Speichergrenze. Ärztinnen und Ärzte können 90 Tage auf eine ePA zugreifen, Apotheken drei Tage. In der Praxis bedeutet das mehr Dokumentationsaufwand und die Gefahr, dass sensible Diagnosen aus Angst vor Diskriminierung nur beschönigt eingetragen werden. Solche „sanften“ Einträge verfälschen den medizinischen Verlauf und mindern die Forschungsqualität der Daten.
Widerspruch und Zugriffsrechte richtig managen
Versicherte behalten grundsätzlich die Hoheit über ihre Akte: Sie können Dokumente löschen, Einträge ergänzen und den Zugang einzelner Praxen zeitlich einschränken. Wer sensible Inhalte schützen will, muss jedoch aktiv werden, weil das System keine fein abgestuften Vertraulichkeitsstufen mehr kennt. Beim Löschen gilt: Ist ein Dokument entfernt, lässt es sich später nicht rekonstruieren. Ebenso protokolliert das System jede Änderung – eine Transparenz, die zwar Sicherheit schaffen soll, in der Praxis aber zusätzlichen Verwaltungsaufwand erzeugt.
Forschung, Big Data und kommerzielle Interessen
Das Gesetz zur Nutzung von Gesundheitsdaten erleichtert seit 2024 den Zugang zu ePA-Inhalten für gemeinwohlorientierte Forschung. Eine aktive Einwilligung ist dafür nicht erforderlich; wer seine Daten nicht spenden möchte, muss widersprechen. Befürworter sehen hier einen Datenschatz, der künstliche Intelligenz in der Medizin voranbringt. Kritische Stimmen warnen vor überhöhten Erwartungen: Echtzeit-Routinedaten ersetzen keine kontrollierten Studien und können fehlerhaft oder unvollständig sein. Zudem öffnen globale Datenräume die Tür für internationale Konzerne, deren Geschäftsmodelle nur schwer zu regulieren sind.
Fazit: Informierte Entscheidung statt blindem Vertrauen
Die ePA birgt echte Vorteile: Ärzte haben schneller Einblick in Vorbefunde, Doppeluntersuchungen lassen sich vermeiden, Medikationspläne stehen jederzeit bereit. Gleichzeitig schafft das Opt-out-Verfahren einen Zwang, der die Verantwortung einseitig auf die Versicherten verlagert. Wer Datenschutz und Privatsphäre ernst nimmt, sollte deshalb prüfen, wie sensibel die eigenen Gesundheitsdaten sind, welche Ärztinnen oder Institutionen darauf zugreifen dürfen und ob ein Widerspruch sinnvoll erscheint. Nur eine aufgeklärte Entscheidung bewahrt das Gleichgewicht zwischen digitalem Fortschritt und dem Recht auf informationelle Selbstbestimmung.
Rechtsanwalt Nils Michael Becker aus Bad Honnef bei Bonn ist mit seiner Kanzlei auf Tierrecht, Datenschutz und Vereinsrecht spezialisiert. Er ist Dozent an der Tierechtsakademie in Bielefeld. Einfache und schnelle Terminvereinbarung unter nilsbecker.de/telefontermin.“