Datenschutzhinweise der BKK B. Braun Aesculap (BKK BBA) für die elektronische Patientenakte (ePA) sowie Pflichtinformationen gemäß § 343 Abs. 1 SGB V

Die ePA lebt davon, dass in ihr möglichst viele persönliche Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für Sie und Ihre behandelnden Leistungserbringenden den vollen Mehrwert.

Neben den Daten, die Sie selbst einstellen, kommt es natürlich ganz entscheidend auf die Daten an, die im Rahmen Ihrer Behandlungen bei Ärztinnen und Ärzten oder im Krankenhaus erhoben und in die ePA eingestellt werden. Die an Ihrer Versorgung teilnehmenden Ärztinnen und Ärzte sowie Zahnärztinnen und Zahnärzte und Krankenhäuser sind verpflichtet (gemäß §§ 347 und 348 SGB V), bestimmte Daten in Ihre ePA einzustellen, wenn Sie dem nicht widersprochen haben.

Weitere Leistungserbringende z. B. im Heilmittelbereich (Physiotherapie, Ergotherapie, Podologie, Logopädie, Ernährungstherapie) oder in der häuslichen oder stationären Pflege können Daten in die ePA einstellen (gemäß § 349 SGB V).

Darüber hinaus ist für die medizinischen Anwendungsfälle der ePA eine automatische Übertragung der Daten an die ePA vorgesehen (gemäß § 342 Abs. 2a, 2b, 2c SGB V). Weitere Informationen dazu finden Sie im Abschnitt 7 Die medizinischen Anwendungsfälle der elektronischen Patientenakte (ePA)

Weitere Informationen darüber, welche Informationen im Rahmen Ihrer Behandlung in die ePA einzustellen sind, finden Sie im Abschnitt 6 Die Nutzung der elektronischen Patientenakte (ePA) durch Leistungserbringende

Um die Sicherheit Ihrer ePA-Daten zu gewährleisten, ist es unabdingbar, dass Sie ausschließlich eine von der gematik zugelassene ePA-App nutzen, die Sie aus einer vertrauenswürdigen Quelle heruntergeladen haben. Vertrauenswürdige Quellen sind z. B. der App-Store von Apple für das iOS-Betriebssystem sowie Google Play für Android. Für die Betriebssysteme weiterer Endgeräte (Laptops oder PCs) sind die Stores der Betriebssystemhersteller (z. B. Microsoft oder Apple) oder die Website Ihrer Krankenkasse die vertrauenswürdigen Bezugsquellen. Diesbezüglich sind die Krankenkassen verpflichtet, die datenschutzrechtlichen Vorgaben auch im Hinblick auf die Übermittlung an Drittländer einzuhalten.

Sie sollten Ihre ePA-App zudem stets auf Endgeräten betreiben, die unter Ihrer Kontrolle stehen. Der Zugriff auf die ePA über einen öffentlichen PC, z. B. in einem Internet-Café, ist daher unbedingt zu vermeiden! Um die ePA sicher vom eigenen Endgerät aus zu nutzen, müssen Sie zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation der ePA-App. Ebenso sollten Sie die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: www.bsi-fuer-buerger.de

Dem Schutz des Zugangs zur ePA kommt besonders große Bedeutung zu. Bei Verlust oder Verdacht auf Missbrauch der eGK oder des Zugangs für die ePA und die ePA-App müssen diese schnellstmöglich bei der Krankenkasse gesperrt werden, um die Sicherheit Ihrer Daten zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten an (z. B. telefonisch oder online). Wenden Sie sich daher bei einem entsprechenden Verdacht auf Missbrauch unverzüglich an Ihre Krankenkasse.

Die ePA zeichnet alle Vorgänge in einem Protokoll auf, z. B. Zugriffe und Änderungen durch Leistungserbringende oder Ihre Vertretungspersonen. Wenn Sie die ePA-App Ihrer Krankenkasse nutzen, werden Ihnen die Inhalte des Protokolls komfortabel und einheitlich dargestellt.

Manche DiGA bieten die Möglichkeit, Daten in die ePA zu übertragen. Damit eine DiGA Daten in Ihrer ePA speichern kann, müssen Sie in beiden Anwendungen entsprechende Freigaben vornehmen. In der ePA-App Ihrer Krankenkasse müssen Sie die gewünschte DiGA zum Speichern von Daten berechtigen. In der DiGA selbst müssen Sie einwilligen, dass diese Daten an die ePA weitergeben darf. Weitere Informationen über die entsprechenden Einwilligungen und Einstellung in der DiGA erhalten Sie vom DiGA-Hersteller.

Vorbemerkung: Für den Fall, dass Sie die ePA-App nicht nutzen möchten oder können, haben Sie die Möglichkeit eine Vertreterin oder einen Vertreter zu benennen. Diese Person kann dann mit der eigenen ePA-App auch auf Ihre ePA zugreifen und diese für Sie verwalten. Näheres dazu lesen Sie im Abschnitt 8.2 Was genau ist die Vertretungsfunktion der ePA?Weitere Unterstützungsmöglichkeiten bietet Ihnen auch die Ombudsstelle Ihrer Krankenkasse. Mehr dazu finden Sie im Abschnitt 5.10 Wie unterstützt mich die Ombudsstelle meiner Krankenkasse bei der Nutzung der ePA?

Wenn Sie die ePA-App nicht selbstständig nutzen, hat dies folgende Auswirkungen auf die Wahrnehmung Ihrer Rechte als datenschutzrechtlich betroffene Person:

• Sie haben keine Möglichkeit, auf Ihre in der ePA gespeicherten Daten zuzugreifen, Daten zu löschen oder Zugriffsberechtigungen auf bestimmte Daten einzuschränken. Auch Ihre Krankenkasse hat weder die gesetzliche Befugnis noch die technische Möglichkeit, die Daten Ihrer ePA auszulesen und Ihnen bereitzustellen.
• Sie können keine eigenen Dokumente (z. B. frühere ärztliche Befunde) in der ePA ablegen. Sie müssen sich an die Leistungserbringereinrichtung wenden, die die entsprechenden Daten vorliegen hat und um die Speicherung in der ePA bitten.
• Sie können den Zugriff auf die ePA für Leistungserbringereinrichtungen nur direkt bei den Leistungserbringenden mithilfe Ihrer eGK gewähren. Möchten Sie einer Leistungserbringereinrichtung technisch den Zugriff auf Ihre ePA entziehen (also einen Widerspruch einlegen), müssen Sie sich an die Ombudsstelle Ihrer Krankenkasse wenden. Näheres dazu lesen Sie im Abschnitt 8.4 Welche Möglichkeiten bietet mir die Ombudsstelle hinsichtlich der Zugriffsmöglichkeiten von Leistungserbringereinrichtungen?
• Sie können bereits in der ePA gespeicherte Dokumente nicht vor Leistungserbringenden verbergen oder sie für diese sichtbar machen. Stellt eine Leistungserbringereinrichtung Daten für Sie in die ePA ein, können Sie die Einrichtung dazu auffordern, bestimmte Daten verborgen einzustellen. Verborgen eingestellte Informationen stehen dann zwar in Ihrer ePA zur Verfügung, allerdings können andere Leistungserbringereinrichtungen diese Dokumente dann weder sehen noch aus der ePA nutzen. Um ein verborgenes Dokument wieder für andere Leistungserbringereinrichtungen sichtbar zu machen, ist die Nutzung einer ePA-App erforderlich. Sie können dafür z. B. eine Vertreterin oder einen Vertreter benennen.  

Ein Zugriff aus einer Leistungserbringereinrichtung darf nur erfolgen, soweit dies tatsächlich für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von Beschäftigten, die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist. Der Zugriff muss im Kontext mit Ihrem Besuch bzw. mit Ihrer Inanspruchnahme einer entsprechenden Leistung stehen.

Beim Besuch einer Leistungserbringereinrichtung (z. B. einer Arztpraxis) kann der Bezug zur Behandlung und damit die Zugriffsmöglichkeit unmittelbar durch die Vorlage der eGK hergestellt werden. Alternativ können Sie die Zugriffsberechtigung auch über die ePA-App Ihrer Krankenkasse unabhängig von einem Vor-Ort Besuch erteilen. Mit der Zugriffsberechtigung für Leistungserbringereinrichtungen auf die ePA willigen Sie gemäß § 353 SGB V automatisch in die Verarbeitung Ihrer persönlichen Daten durch die jeweilige Leistungserbringereinrichtung ein.

Der Zugriff kann nur erfolgen, sofern Sie dem zuvor nicht widersprochen haben – in der ePA-App, bei den Leistungserbringenden oder über die Ombudsstelle. Weitere Informationen dazu finden Sie im Abschnitt 10 Die Möglichkeiten des Widerspruchs im Rahmen der elektronischen Patientenakte (ePA)

Für Betriebsärztinnen und Betriebsärzte sowie Einrichtungen des Öffentlichen Gesundheitsdienstes gilt, dass Sie in deren Zugriff auf die ePA im Vorfeld einwilligen müssen. Ohne Ihre Einwilligung ist ein Zugriff dieser Einrichtungen nicht erlaubt. Durch die Vorlage der eGK gewähren Sie technisch den Zugriff auf die ePA.

Eine Zugriffsberechtigung erstreckt sich immer auf die gesamte Leistungserbringereinrichtung oder Organisationseinheit. Sie gewähren den Zugriff somit dem gesamten medizinischen Personal einer Leistungserbringereinrichtung, z. B. einer Arztpraxis, eines Medizinischen Versorgungszentrums oder eines Krankenhauses. Bei einem Widerspruch gegen den Zugriff entziehen Sie die Berechtigungen dementsprechend der gesamten Einrichtung bzw. Abteilung.

Für einige Leistungserbringende hat der Gesetzgeber nach § 352 SGB V festgelegt, dass sie grundsätzlich nur bestimmte Informationen in Ihrer ePA einsehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine Berechtigung zum Zugriff erteilen. Eine Apothekerin bzw. ein Apotheker darf z. B. keine Daten aus Ihrem elektronischen Zahnbonusheft einsehen. Eine Gesamtübersicht zu den Zugriffsberechtigungen bietet Tabelle 2

Jede Leistungserbringereinrichtung ist gesetzlich verpflichtet, zu protokollieren, wer wann auf welche Daten Ihrer ePA zugegriffen hat. Der Zugriff der Leistungserbringereinrichtung wird in der ePA nachvollziehbar gespeichert. Die Leistungserbringereinrichtung muss wiederum protokollieren, welche für die Einrichtung tätige Person den Zugriff vorgenommen hat.

Der Zugriff einer Leistungserbringereinrichtung ist standardmäßig nur innerhalb eines bestimmten Zeitraums nach Ihrem Besuch oder Ihrer Behandlung möglich. Die Dauer richtet sich dabei nach der Art der Leistungserbringereinrichtung. Bei einer erneuten Inanspruchnahme von Versorgungsleistungen und einem damit verbundenen Einlesen der eGK verlängert die ePA die Zugriffsdauer entsprechend. Die folgende Tabelle 1 enthält die jeweiligen Dauern. Mithilfe der ePA-App Ihrer Krankenkasse können Sie die Zugriffsdauer einzelner Leistungserbringereinrichtungen selbst steuern. Sie können dabei zwischen einem Zugriff von mindestens einem Tag bis zu einer unbegrenzten Dauer wählen.

Tabelle 1: Zugriffsdauer der Leistungserbringenden

Welche Leistungserbringenden auf welche Daten unter den zuvor genannten Voraussetzungen zugreifen dürfen, ist gesetzlich detailliert geregelt (gemäß § 352 SGB V). Diese Regelungen haben wir für Sie in der folgenden Tabelle 2 zusammengefasst.

Die Tabelle zeigt die maximal zulässigen Zugriffsberechtigungen aller Nutzenden einer ePA. Eine darüberhinausgehende Erteilung von Berechtigungen ist nicht zulässig und wird technisch unterbunden. Durch Widersprüche oder das Verbergen von Dokumenten und Dokumentenkategorien können Sie jederzeit Berechtigungen einschränken und im vorgegebenen Rahmen wieder erweitern. Sie haben somit die genaue Kontrolle darüber, welche Leistungserbringereinrichtung auf welche Daten in der ePA zugreifen darf. Näheres dazu finden Sie in den Abschnitten 6.11 Was kann ich tun, damit Leistungserbringende bestimmte Dokumente in der ePA nicht sehen können (Verbergen von Dokumenten)? und 6.12 Ich möchte nicht (mehr), dass eine Leistungserbringereinrichtung auf meine ePA zugreifen kann. Was kann ich tun?

Beispiel 1: Die dargestellte Tabelle zeigt, dass beispielsweise Ärztinnen und Ärzte sowie das Personal in ärztlichen Leistungserbringereinrichtungen – ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe – auf alle Daten von Leistungserbringenden schreibend, auslesend und löschend zugreifen können.

Beispiel 2: Apothekerinnen und Apotheker (sowie das Personal der Apotheke) haben – ohne weitere Einschränkungen bei Ihrer Berechtigungsvergabe – auf den elektronischen Medikationsplan, die elektronische Impfdokumentation sowie Verordnungsdaten und Dispensierinformationen von Rezepten schreibenden Zugriff, d. h., sie können diese Daten in Ihrer ePA anlegen und aktualisieren. Auf alle anderen Dokumente können berechtigte Apothekerinnen und Apotheker sowie das Apothekenpersonal ausschließlich auslesend zugreifen.

Beispiel 3:Heilmittelerbringereinrichtungen inkl. Personal, z. B. Physiotherapiepraxen, können mit Ausnahme der Impfdokumentation bei entsprechender Vergabe der Berechtigungen alle Daten in der ePA auslesen. Verfassen, verändern und löschen können sie Befunde, Diagnosen, durchgeführte und geplante Therapiemaßnahmen sowie Behandlungsberichte und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen aus ihrem jeweiligen Heilmittelbereich (z. B. Physiotherapie).

Wichtiger Hinweis: Ein lesender Zugriff (d. h. ein Kreuz in der Spalte „Auslesen“) bedeutet, dass die Daten aus der ePA heruntergeladen und in die Behandlungsdokumentation der jeweiligen Leistungserbringenden übernommen werden können. Auch bei einem Entzug der Berechtigung bleiben Daten, die Leistungserbringende in ihre Behandlungsdokumentation übernommen haben, für die ehemals berechtigte Leistungserbringereinrichtung verfügbar. Der Grund dafür ist, dass sie die Daten durch die Übernahme aus der ePA heruntergeladen und eine eigene Kopie der Daten erstellt haben. Dies ist aus rechtlicher Sicht erforderlich, da Leistungserbringende ihre Behandlung nach § 630f BGB medizinisch vollständig dokumentieren müssen.

Die Pflicht zur Speicherung bestimmter Daten in der ePA durch vertragsärztliche Leistungserbringende und Krankenhäuser ist gesetzlich geregelt.

Vertragsärztliche Leistungserbringereinrichtungen und Krankenhäuser sind nach §§ 347 und 348 SGB V auch ohne Ihr ausdrückliches Verlangen gesetzlich verpflichtet, folgende Daten in der ePA zu speichern – sofern diese im Rahmen Ihrer aktuellen Behandlung erhoben und elektronisch verarbeitet werden und Sie der Speicherung nicht ausdrücklich widersprochen haben:

• Daten zur Unterstützung von medizinischen Anwendungsfällen
• Daten zu Laborbefunden
• Befundberichte aus bildgebender Diagnostik
• Befunde aus invasiven und nicht-invasiven, chirurgischen oder konservativen Maßnahmen
• elektronische Arztbriefe bzw. elektronische Entlassbriefe von Krankenhäusern

Wurden die oben genannten Daten im Rahmen von Vorbehandlungen durch Leistungserbringende erhoben und elektronisch verarbeitet, können diese gemäß § 348 SGB V in die ePA eingestellt werden, wenn dies aus deren Sicht für die Versorgung erforderlich ist. Die Leistungserbringenden sind verpflichtet, Sie darüber zu informieren, welche Daten in der ePA gespeichert werden.

Die an Ihrer Behandlung beteiligten weiteren Leistungserbringenden, z. B. Apotheken, Physiotherapiepraxen oder Pflegeeinrichtungen, können ebenfalls Daten im Zusammenhang mit Ihrer Behandlung in Ihrer ePA speichern.

Im Gegensatz zu den Vertragsärztinnen und -ärzten und den Krankenhäusern sind die weiteren Leistungserbringenden aber nicht zwangsläufig an die Telematikinfrastruktur (TI) angeschlossen. Ohne TI-Anschluss haben sie keine Möglichkeit, auf Ihre ePA zuzugreifen und sind nicht verpflichtet, Daten in Ihrer ePA zu speichern.

Die weiteren Leistungserbringenden können folgende Daten in der ePA speichern – sofern diese im Rahmen Ihrer aktuellen Behandlung erhoben und maschinenlesbar verarbeitet werden und Sie der Speicherung nicht ausdrücklich widersprochen haben:

• Daten zur Unterstützung von medizinischen Anwendungsfällen
• Daten zu Laborbefunden
• Befundberichte aus bildgebender Diagnostik
• Befunde aus invasiven und nicht-invasiven, chirurgischen oder konservativen Maßnahmen
• elektronische Arztbriefe bzw. elektronische Entlassbriefe von Krankenhäusern

Das Speichern der oben genannten Daten ist technisch in der ePA nur möglich, sofern dies für die entsprechende Leistungserbringereinrichtung auch zulässig ist. Näheres dazu finden Sie im Abschnitt 6.3 Welche Leistungserbringenden dürfen auf welche Daten in der ePA zugreifen?

Wurden die oben genannten Daten im Rahmen von Vorbehandlungen erhoben und elektronisch verarbeitet, können auch diese in die ePA eingestellt werden, wenn dies aus der Sicht der jeweiligen Leistungserbringenden für die Versorgung erforderlich ist. In diesem Fall müssen Sie im Vorfeld darüber informiert werden.

Neben den oben genannten Daten müssen die Leistungserbringereinrichtung nach §§ 347–349 SGB V auf Ihr Verlangen hin weitere Daten in der ePA speichern – sofern diese im Rahmen Ihrer aktuellen Behandlung erhoben und maschinenlesbar verarbeitet werden. Dazu benötigen die Leistungserbringenden Ihre ausdrückliche Einwilligung, die dann in der Behandlungsdokumentation zu protokollieren ist. Zudem muss die Leistungserbringereinrichtung an die TI angeschlossen sein.

Eine Übersicht über die Daten, die in die ePA eingestellt werden können, finden Sie im Abschnitt 4.2.1 Daten von Leistungserbringenden

Voraussetzung für das Speichern dieser Daten ist, dass dies für die entsprechende Leistungserbringereinrichtung auch zulässig ist. Weitere Informationen finden Sie im Abschnitt 6.3 Welche Leistungserbringenden dürfen auf welche Daten in der ePA zugreifen?

Zudem hat eine vertragsärztliche Einrichtung oder ein Krankenhaus auf Ihr Verlangen hin elektronische Abschriften Ihrer Behandlungsdokumentation nach § 630g BGB in der ePA zu speichern.

Sie haben das Recht, der Übertragung von einzelnen Informationen zu widersprechen. Wenn Sie der Übertragung widersprechen, dürfen die Daten nicht in der ePA gespeichert werden. Die Leistungserbringereinrichtung ist verpflichtet, den Widerspruch zu dokumentieren. Näheres hierzu finden Sie im Abschnitt 10 Die Möglichkeiten des Widerspruchs im Rahmen der elektronischen Patientenakte (ePA)

Liegt von Ihnen ein Widerspruch zum Zugriff auf die ePA für bestimmte Leistungserbringereinrichtungen vor, so können diese keine Daten in die ePA einstellen, auch wenn sie in Ihre Behandlung eingebunden sind. In diesem Fall werden die Daten wie bisher in der Einrichtung separat geführt.

Im Unterschied zu allen anderen Leistungserbringenden ist für den Zugriff von Betriebsärztinnen und -ärzten sowie Leistungserbringenden des Öffentlichen Gesundheitsdienstes auf die ePA Ihre explizite Einwilligung erforderlich. Technisch erteilen Sie den Zugriff auf dem gleichen Wege wie in der Arztpraxis oder im Krankenhaus: entweder mithilfe der ePA-App Ihrer Krankenkasse oder aber durch die Vorlage und das Einlesen Ihrer eGK beim Besuch der entsprechenden Einrichtung.

Die an Ihrer Behandlung beteiligten Betriebsärztinnen und Betriebsärzte und die Ärztinnen und Ärzte des Öffentlichen Gesundheitsdienstes müssen Daten zur Unterstützung der medizinischen Anwendungsfälle der ePA auf Ihr Verlangen hin speichern, wenn diese Daten im Rahmen Ihrer aktuellen Behandlung erhoben und maschinenlesbar verarbeitet werden. Zudem dürfen der Übermittlung auch keine anderen Rechtsvorschriften entgegenstehen. Weitere Informationen zu den medizinischen Anwendungsfällen finden Sie im Abschnitt 7 Die medizinischen Anwendungsfälle der elektronischen Patientenakte (ePA)

Folgende Daten sind umfasst:

• Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichte und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen
• elektronisches Zahnbonusheft
• elektronisches Untersuchungsheft für Kinder
• elektronischer Mutterpass und Daten aus der Versorgung mit Hebammenhilfe
• elektronische Impfdokumentation
• Daten zur pflegerischen Versorgung
• elektronische Arbeitsunfähigkeitsbescheinigung (eAU)

Bevor Leistungserbringende Daten in die ePA einstellen, die zur Diskriminierung oder Stigmatisierung führen könnten, wie z. B. Daten zu psychischen Erkrankungen, zu sexuell übertragbaren Krankheiten oder zu Schwangerschaftsabbrüchen, müssen sie Sie auf das Recht zum Widerspruch gegen die Einstellung hinweisen. Sollten Sie daraufhin Ihren Widerspruch erklären, so muss dieser von der Leistungserbringereinrichtung in ihrer Behandlungsdokumentation niedergelegt werden. Die Einrichtung darf dann die entsprechenden Daten nicht in die ePA übertragen. Wie Sie von Ihrem Widerspruch Gebrauch machen können, lesen Sie im Abschnitt 10 Die Möglichkeiten des Widerspruchs im Rahmen der elektronischen Patientenakte (ePA)

Beabsichtigen Leistungserbringende Daten aus genetischen Untersuchungen im Sinne des Gendiagnostikgesetztes in die ePA einzustellen, ist zuvor Ihre ausdrückliche Einwilligung in schriftlicher oder elektronischer Form erforderlich.

Wenn sich Ihr elektronischer Medikationsplan, Ihre Patientenkurzakte oder Ihre auf der eGK gespeicherten notfallrelevanten Daten ändern und Sie diese Daten in der ePA führen, haben Sie einen Anspruch auf Aktualisierung der Daten, sofern sich diese im Rahmen einer aktuellen Behandlung ändern. Auf Ihr Verlangen hin sind die Leistungserbringenden, die die Änderung der Daten vorgenommen haben, zur Speicherung in der ePA verpflichtet.

Solang sich diese Daten noch auf der eGK befinden, gilt der Anspruch sowohl für die Daten in der ePA als auch für die Daten auf der eGK.

Sollten Sie allerdings der Speicherung der Daten in der ePA widersprechen, müssen die Leistungserbringenden die betreffenden Daten von der eGK löschen. Dies dient dazu, Gesundheitsrisiken aufgrund nicht aktueller Daten auf der eGK zu minimieren.

Gut zu wissen: Die Nutzung des papierbasierten (bundeseinheitlichen) Medikationsplans ist wie bisher ohne ePA möglich.

Wenn Sie nicht möchten, dass Leistungserbringende besonders sensible Dokumente einsehen können, dann können Sie diese Dokumente für alle Leistungserbringereinrichtungen vollständig verbergen. Sie können dabei ein einzelnes Dokument oder aber ganze Kategorien von Dokumenten verbergen.

Wenn Sie Dokumente vollständig verbergen, haben ausschließlich Sie und Ihre Vertreterinnen und Vertreter Zugriff auf diese Dokumente, aber nicht Leistungserbringende oder Leistungserbringereinrichtungen.

Einzelne Dokumente, die im Rahmen von medizinischen Anwendungsfällen der ePA gespeichert wurden, lassen sich unter Umständen nicht verbergen. Dies ist insbesondere dann der Fall, wenn für Ihre medizinische Versorgung die Daten in ihrer Gesamtheit relevant sind. Entsprechende Informationen dazu finden Sie im Abschnitt 7 Die medizinischen Anwendungsfälle der elektronischen Patientenakte (ePA)

Informationen zu möglichen Auswirkungen nicht verfügbarer Informationen auf den Nutzen der ePA finden Sie im Abschnitt 3 Der Nutzen der elektronischen Patientenakte (ePA)

Sie können dem Zugriff einer Leistungserbringereinrichtung auf Ihre ePA direkt vor Ort in der Einrichtung oder mithilfe der ePA-App widersprechen. Falls Sie die ePA-App nicht nutzen, können Sie den Widerspruch auch gegenüber der Ombudsstelle Ihrer Krankenkasse erklären. Die Ombudsstellen sind verpflichtet, Ihren Widerspruch technisch durchzusetzen. Nach einem erfolgten Widerspruch wird die Leistungserbringereinrichtung technisch vom Zugriff ausgeschlossen.

Natürlich können Sie einen einmal erteilten Widerspruch jederzeit widerrufen, sollten Sie einer Leistungserbringereinrichtung zu einem späteren Zeitpunkt den Zugriff wieder gestatten wollen. Auch dies geht entweder über die ePA-App (z. B. direkt bei den Leistungserbringenden) oder mithilfe der Ombudsstelle Ihrer Krankenkasse.

Beachten Sie dabei, dass ein Widerspruch die Leistungserbringereinrichtung stets vollständig vom Zugriff auf Ihre ePA ausschließt. Sollten Sie nur bestimmte Informationen dem Zugriff aller Leistungserbringereinrichtungen entziehen wollen und die ePA-App Ihrer Krankenkasse nutzen, so können Sie gezielt einzelne Daten verbergen. Mehr dazu lesen Sie im Abschnitt 6.11 Was kann ich tun, damit Leistungserbringende bestimmte Dokumente in der ePA nicht sehen können (Verbergen von Dokumenten)?

Einrichtungen des Öffentlichen Gesundheitsdienstes, z. B. Ärztinnen und Ärzten in Gesundheitsämtern, Betriebsärztinnen und -ärzten, können Sie den Zugriff auf die ePA entweder mithilfe der ePA-App selbst entziehen oder den Widerspruch gegenüber der Ombudsstelle erklären.

Der Gesetzgeber plant die Unterstützung weiterer medizinischer Anwendungsfälle durch die ePA. Das Nähere zu Einführung, Umfang und Nutzung zukünftiger Anwendungsfälle wird vom Bundesministerium für Gesundheit noch geregelt. Ihre Krankenkasse informiert Sie rechtzeitig.

Wie bei der ePA selbst liegt auch hier die Entscheidung bei Ihnen: Wenn Sie nicht wollen, dass Daten durch einen medizinischen Anwendungsfall automatisch in Ihrer ePA bereitgestellt werden, können Sie dem einzelnen Anwendungsfall direkt über die ePA-App Ihrer Krankenkasse widersprechen. Einen einmal erteilten Widerspruch können Sie jederzeit widerrufen.

Weitere Informationen zu Widerspruchsmöglichkeiten finden Sie im Abschnitt 10.2 Welche Widerspruchsmöglichkeiten bestehen im Zusammenhang mit der ePA und einzelnen Zugriffsberechtigungen?

Wenn Sie die elektronische Medikationsliste der ePA nicht nutzen wollen, können Sie Widerspruch dagegen einlegen. Es gibt zwei Möglichkeiten:

• Sie widersprechen dem medizinischen Anwendungsfall an sich. In diesem Fall erhält die ePA zwar weiterhin eine Medikationsliste mit den Informationen über alle Ihre verordneten und eingelösten E-Rezepte, allerdings ist die Nutzung dieser Informationen durch Ihre Leistungserbringenden nicht mehr möglich. Nur Sie selbst können die vollständige Medikationsliste mit der ePA-App noch einsehen.
• Sie widersprechen dem gesamten Datenaustausch zwischen E-Rezept und ePA. Eine möglicherweise bereits vorhandene Medikationsliste wird dann aus der ePA gelöscht. Diese Daten stehen auch bei Einführung des digitalen Medikationsprozesses unwiderruflich nicht zur Verfügung. Für den Fall, dass Sie Ihren Widerruf später zurücknehmen und dann den digitalen Medikationsprozess nutzen möchten, werden Arzneimittelverordnungen und -abgaben erst ab diesem Zeitpunkt erfasst.

Einen einmal erteilten Widerspruch können Sie jederzeit widerrufen. Weitere Informationen zu Widerspruchsmöglichkeiten finden Sie im Abschnitt 10.2 Welche Widerspruchsmöglichkeiten bestehen im Zusammenhang mit der ePA und einzelnen Zugriffsberechtigungen?

Einerseits bietet Ihnen Ihre Krankenkasse dazu die sogenannte Vertretungsfunktion der ePA an. Andererseits können Sie sich auch an die Ombudsstelle Ihrer Krankenkasse wenden. Beide Wege lassen sich nach Ihren Bedürfnissen miteinander kombinieren.

Der Gesetzgeber sieht vor, dass Sie über die von Ihrer Krankenkasse bereitgestellte ePA-App Vertreterinnen bzw. Vertreter für die Verwaltung Ihrer ePA benennen können. Die vertretungsberechtigte Person und die vertretene Person müssen nicht bei derselben Krankenkasse versichert sein.

Die Einrichtung von Vertretungen ist auch über die ePA-App der Person möglich, die Sie vertreten soll. In diesem Fall benötigen Sie kein eigenes Endgerät und keine ePA-App, müssen aber die vertretungsberechtigte Person zum Zugriff auf Ihre ePA berechtigen, z. B. indem Sie Ihre eGK und PIN am Endgerät der vertretungsberechtigten Person nutzen. Beachten Sie dabei aber, dass zum Entzug der Vertretungsberechtigung, der jederzeit möglich ist, eine ePA-App erforderlich ist. Der Entzug dieser Berechtigung ist nicht über die Ombudsstelle möglich.

Ihre Vertretung hat annähernd die gleichen Rechte wie Sie selbst. Sie kann beispielsweise Widersprüche gegenüber zugriffsberechtigten Leistungserbringereinrichtungen (Arztpraxen, Krankenhäuser, Apotheken u. a.) einlegen und die in Ihrer Akte gespeicherten Dokumente einsehen. Ihre Vertreterinnen und Vertreter können aber keine weiteren Vertretungen benennen und sind auch nicht befugt, die Akte zu schließen.

Es ist wichtig, dass Sie diese verantwortungsvolle Aufgabe nur an Personen übertragen, denen Sie vollständig vertrauen und denen Sie beispielsweise auch eine Vorsorgevollmacht erteilen würden. Vertretungen können – anders als Berechtigungen für Leistungserbringereinrichtungen – nicht von vornherein befristet vergeben werden und laufen daher nicht ab. Sie müssen Ihre Vertreterin bzw. Ihren Vertreter aktiv über die ePA-App Ihrer Krankenkasse von der Vertretung entbinden. Ihre Krankenkasse erläutert Ihnen bei Bedarf die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen noch einmal genauer.

Die von Ihrer Krankenkasse eingerichtete Ombudsstelle berät Sie bei allen Fragen und Problemen bei der Nutzung der ePA. Die Ombudsstelle informiert Sie insbesondere über das Antragsverfahren, das Verfahren zur Bereitstellung der ePA und das Widerspruchsverfahren sowie über Ihre weiteren Rechte und Ansprüche im Zusammenhang mit der ePA und deren Funktionsweise.

Darüber hinaus unterstützt Sie die Ombudsstelle auch bei der konkreten Nutzung der ePA. Sie nimmt Widersprüche gegen die medizinischen Anwendungsfälle der ePA und gegen den Zugriff einzelner Zugriffsberechtigter entgegen und setzt diese technisch für Sie durch. Auch der Widerruf von eingelegten Widersprüchen ist über die Ombudsstelle möglich. Auf Antrag kann Ihnen die Ombudsstelle auch die Protokolldaten Ihrer ePA zur Verfügung stellen.

Die Ombudsstelle kann Ihre Widersprüche gegen Zugriffe von Leistungserbringereinrichtungen durchsetzen sowie deren Widerruf handhaben. Über diesen Weg haben Sie auch ohne ePA-App die Kontrolle darüber, wer auf Ihre Gesundheitsdaten zugreifen darf.

Um den Zugriff einer Leistungserbringereinrichtung zu unterbinden, können Sie gegenüber der Ombudsstelle Ihrer Krankenkasse Widerspruch einlegen. Auf dem gleichen Weg können Sie diesen auch widerrufen.

Sie können den Entzug von Zugriffsrechten auch nutzen, um bestehende Zugriffsrechte vor Ablauf der Zugriffsberechtigung zu entziehen, z. B. weil Sie die Behandlung in einer Leistungserbringereinrichtung beenden und einen weiteren Zugang der entsprechenden Einrichtung zu Ihrer ePA verhindern wollen.  

Die ePA wird Ihnen von Ihrer Krankenkasse angeboten. Sollten Sie die Krankenkasse wechseln, so werden die Daten aus der ePA in verschlüsselter Form übernommen. Die Übernahme der ePA von Ihrer bisherigen zu Ihrer aktuellen Krankenkasse geschieht dabei automatisch ohne Ihr Zutun. Die erteilten Befugnisse und Widersprüche sowie die Vertretungen werden dabei ebenfalls übernommen.

Sollten Sie gegenüber Ihrer bisherigen Krankenkasse der Bereitstellung von Daten über die von Ihnen in Anspruch genommenen Leistungen widersprochen haben, so gilt dieser Widerspruch nicht automatisch weiter. Wenn Sie das Einstellen solcher Daten auch weiterhin nicht wünschen, müssen Sie gegenüber Ihrer neuen Krankenkasse erneut Widerspruch einlegen. Bei einer Entscheidung für das Einstellen dieser Daten müssen Sie bei einem Kassenwechsel hingegen nichts tun.

Bitte beachten Sie, dass Informationen aus kassenspezifischen Anwendungen der ePA möglicherweise nicht automatisch bei der neuen Krankenkasse nutzbar sind. Entsprechende Daten sollten Sie bei Bedarf selbst sichern, damit diese nach Ihrem Krankenkassenwechsel noch zur Verfügung stehen. Ihre Krankenkasse stellt Ihnen hierfür weitere Informationen zur Datenübernahme beim Wechsel der Krankenkasse bereit.

Falls Sie die Vertretungsfunktion nutzen, werden Ihre Vertreterinnen und Vertreter automatisch über einen etwaigen Wechsel des Betreibers bei einem Kassenwechsel informiert. Weitere Informationen zur Vertretungsregelung finden Sie im Abschnitt 8 Unterstützung bei der Nutzung der elektronischen Patientenakte (ePA)

Was für die angelegte Akte gilt, gilt auch für den Widerspruch gegen eine Akte: Genau wie die Akte wird die Information, dass Sie der Bereitstellung der ePA widersprochen haben, zwischen den beiden beteiligten Krankenkassen ausgetauscht. Ihre neue Krankenkasse richtet also nicht automatisch eine ePA für Sie ein, wenn Sie bei Ihrer bisherigen Krankenkasse widersprochen haben. Sollten Sie eine ePA bei Ihrer neuen Krankenkasse wünschen, so müssen Sie den Widerspruch gegenüber Ihrer neuen Krankenkasse widerrufen.

Im Rahmen der Einführung der Widerspruchslösung für die ePA sieht der Gesetzgeber eine Widerspruchsfrist von 6 Wochen gegen die Einrichtung der ePA vor, nachdem Ihnen entsprechende Informationen von Ihrer Krankenkasse übermittelt wurden. Das gleiche Verfahren gilt auch, wenn Sie erstmalig Kontakt mit der gesetzlichen Krankenversicherung haben.

Wenn Sie also keine ePA haben möchten, widersprechen Sie der Bereitstellung gegenüber Ihrer Krankenkasse. Nähere Informationen zum Verfahren erhalten Sie von Ihrer Krankenkasse.

Im Rahmen der ePA gibt es eine Vielzahl von Widerspruchsmöglichkeiten, die Ihnen die Ausgestaltung der Nutzung entsprechend Ihren Bedürfnissen ermöglicht. Die folgende Tabelle 3 stellt die Widerspruchmöglichkeiten dar. Einen erteilten Widerspruch können Sie dabei jederzeit widerrufen. Das zum Widerspruch genutzte Verfahren kann dabei vom Verfahren des Widerrufs abweichen. So könnten Sie z. B. einen Widerspruch direkt über die ePA-App erteilt haben, diesen aber über die Ombudsstelle der Krankenkasse widerrufen.

Mithilfe der ePA-App haben Sie die Möglichkeit, dem Zugriff durch einzelne Leistungserbringereinrichtungen explizit zu widersprechen. Der Widerspruch kann dabei vor oder nach dem Besuch in der entsprechenden Leistungserbringereinrichtung in der ePA-App erteilt werden. Ein Widerspruch bezieht sich immer auf die gesamte Akte. Ein einmal erklärter Widerspruch kann jederzeit über die ePA-App zurückgenommen werden. Wenn Sie die ePA-App nicht nutzen, stehen Ihnen die anderen in der Tabelle genannten Verfahren zur Verfügung.

Sollten Sie sich dazu entscheiden, die ePA oder einzelne ihrer Möglichkeiten nicht zu nutzen, entstehen Ihnen hieraus keine Nachteile für Ihre Gesundheitsversorgung. Ihre Gesundheitsversorgung bleibt auch künftig durch die etablierten Verfahren gewährleistet. Allerdings steht Ihnen dann der genannte Nutzen der ePA auch nicht zur Verfügung. Nähere Informationen dazu finden Sie im Abschnitt 3 Der Nutzen der elektronischen Patientenakte (ePA)

Sie haben grundsätzlich und jederzeit die Möglichkeit, Ihre ePA komplett zu schließen, also löschen zu lassen. Dazu müssen Sie der Nutzung der ePA gegenüber Ihrer Krankenkasse widersprechen. Dieser Widerspruch gegen die Nutzung der ePA muss gegenüber Ihrer Krankenkasse in einer geeigneten Form ausgesprochen werden. Dies kann beispielsweise über die von Ihrer Krankenkasse bereitgestellte ePA-App geschehen oder aber schriftlich, z. B. per Brief. Zum genauen Vorgehen wenden Sie sich an Ihre Krankenkasse.

Der Widerspruch gegen eine bestehende ePA hat deren Löschung zur Folge. Von der Löschung betroffen sind alle Inhalte Ihrer Akte: sämtliche Dokumente, erteilte Berechtigungen und Protokolleinträge. Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente obliegt in diesem Fall Ihnen. Wenn Sie bestimmte Dokumente auch nach Schließung Ihrer ePA behalten wollen, müssen Sie diese anderweitig speichern.

Nutzen Sie die von Ihrer Krankenkasse bereitgestellte ePA-App zum Zugriff auf die ePA, haben Sie die Möglichkeit, die Protokolldaten ebenfalls auf Ihrem eigenen Endgerät zu sichern. Die Anwendung bietet Ihnen dazu eine entsprechende Funktion an. Neben der Sicherung der Dokumente ist auch die Sicherung der Protokolldaten aus Sicht des Datenschutzes sinnvoll, damit Sie später nachvollziehen können, wer Zugriff auf Ihre Akte hatte. Auch die Ombudsstelle Ihrer Krankenkasse kann Ihnen die Protokolle in geeigneter Form bereitstellen. Näheres dazu finden Sie im Abschnitt 8.3 Wie unterstützt mich die Ombudsstelle meiner Krankenkasse bei der Nutzung der ePA?

Wichtig zu wissen: Sie müssen die Protokolle anfordern oder abrufen, bevor Ihr Widerspruch gegen die Nutzung der ePA wirksam wird.

Sie haben jederzeit die Möglichkeit, Ihren Widerspruch gegenüber der Krankenkasse rückgängig zu machen. Dies können Sie z. B. über die ePA-App Ihrer Krankenkasse oder aber auch schriftlich erklären. Nähere Informationen zum Verfahren erhalten Sie bei Bedarf von Ihrer Krankenkasse.

Da die ePA als lebenslange Akte konzipiert ist, hat der Gesetzgeber auch Regelungen für den Todesfall getroffen. Eine Krankenkasse hat die ePA binnen 12 Monaten nach Kenntnis über den Tod einer versicherten Person zu löschen hat. Es sei denn, es werden entgegenstehende berechtigte Interessen Dritter geltend gemacht und nachgewiesen.

Alle ePA-Betreiber müssen mit der von Ihnen entwickelten ePA das Zulassungsverfahren der gematik durchlaufen. Die gematik prüft die Funktionsfähigkeit und Interoperabilität der ePA auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach Vorgaben, die unter Beteiligung des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelten wurden.

Die Daten in Ihrer Akte sind stets verschlüsselt abgelegt. Wenn Sie selbst oder eine an Ihrer Behandlung beteiligte Leistungserbringereinrichtung berechtigt auf die ePA zugreifen, überträgt die ePA die Daten verschlüsselt zu den entsprechenden Computersystemen, z. B. Ihrer Arztpraxis. Die Datenverarbeitung in der ePA erfolgt in einer auf höchstem Niveau sicherheitsgeprüften und vertrauenswürdigen technischen Umgebung. Weder der Betreiber noch die Krankenkasse haben Zugriff auf Ihre Daten.

Neben der ePA selbst müssen auch alle ePA-Apps das Zulassungsverfahren der gematik durchlaufen. Die gematik prüft ebenfalls die Funktionsfähigkeit und Interoperabilität der ePA-App auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach Vorgaben, die unter Beteiligung des BSI entwickelt wurden.

Die von Ihrer Krankenkasse zur Verfügung gestellte ePA-App ist somit nach höchsten Standards sicherheitsgeprüft. Sie lässt sich auf Smartphones mit Android- oder iOS-Betriebssystemen installieren sowie zukünftig auch auf Desktop-Computern und Laptops mit aktuellen, geeigneten Betriebssystemen wie z. B. Windows, MacOS und gegebenenfalls Linux betreiben.

Für die Sicherheit Ihrer Anwendungsumgebung (Smartphone, PC-Hardware, Betriebssystem), in der die Anwendung installiert wird, sind Sie selbst verantwortlich. Nähere Informationen dazu finden Sie im Abschnitt 5.5 Wie gehe ich mit meinen Gesundheitsdaten in der ePA sicher um?

Um Ihre ePA einzurichten, tauschen die Krankenkasse und der jeweilige Industriepartner administrative personenbezogene Informationen aus. Zudem prüft Ihre Krankenkasse bzw. der ePA-Betreiber anhand Ihrer Krankenversichertennummer, ob bereits eine ePA für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt.

Wenn Sie Ihre Krankenkasse wechseln, überträgt der ePA-Betreiber Ihrer bisherigen Krankenkasse ihre ePA in verschlüsselter Form an den ePA-Betreiber Ihrer neuen Krankenkasse. Falls Sie der Nutzung einer ePA widersprochen haben, tauschen bei einem Kassenwechsel die beiden Krankenkassen die Information über den Widerspruch ebenfalls über die ePA-Betreiber aus.

Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sowie den sozialdatenschutzrechtlichen Vorschriften des Sozialgesetzbuchs. Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“. Sie als versicherte Person können gegenüber Ihrer Krankenkasse die „Rechte der betroffenen Person“ nach der DSGVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung personenbezogener Daten zu informieren (Art. 13 DSGVO in Verbindung mit § 82 SGB X und Art. 14 DSGVO in Verbindung mit § 82a SGB X). Ferner haben die Versicherten folgende Rechte:

• das Recht auf Auskunft, ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse bzw. ihren Auftragnehmern verarbeitet werden (Art. 15 DSGVO in Verbindung. mit § 83 SGB X)
• das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO in Verbindung mit § 84 SGB X)
• das Recht auf Löschung personenbezogener Daten (Art. 17 DSGVO in Verbindung mit § 84 SGB X)
• das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO in Verbindung mit § 84 SGB X)
• das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• das Widerspruchsrecht (Art. 21 DSGVO in Verbindung mit § 84 SGB X)

Dabei ist zu beachten, dass der Gesetzgeber diese Rechte ausgeschlossen hat, wenn deren Wahrnehmung von der Krankenkasse als datenschutzrechtlich verantwortlicher Stelle nicht oder nur unter Umgehung von Schutzmechanismen, wie insbesondere Verschlüsselung oder Anonymisierung, gewährleistet werden kann. Diese Einschränkung besteht für die in der ePA verschlüsselt gespeicherten Daten, da die Krankenkasse als verantwortliche Stelle technisch keinen Zugriff auf diese Daten hat. Dementsprechend kann die Krankenkasse Auskunfts- oder Korrekturbitten seitens der Versicherten zu den in der ePA gespeicherten Daten (z. B. zu Arztbriefen) gar nicht nachkommen. Eine Ausnahme stellen Daten über in Anspruch genommene Leistungen dar, die Ihnen Ihre Krankenkasse in der ePA bereitstellt. Da diese Daten aus den Beständen der Abrechnungsdaten Ihrer Krankenkasse in Ihre ePA eingespielt werden, haben Sie bei diesen Daten die Möglichkeit der Korrektur durch die Krankenkasse. Dazu benötigen Sie von den jeweiligen Leistungserbringenden eine Bestätigung der korrekten Diagnose. Über das nähere Verfahren informiert Sie Ihre Krankenkasse.

Für Daten, die nicht verschlüsselt sind, wie beispielsweise die Protokolldaten, sind die oben genannten Rechte hingegen nicht ausgeschlossen.

Die Krankenkasse stellt Ihnen eine ePA-App zur selbstständigen Wahrnehmung Ihrer Rechte im Sinne der DSGVO zur Verfügung. Allerdings können Sie mithilfe der ePA-App nicht die von Ihren Leistungserbringenden zur Verfügung gestellten Daten korrigieren. Sollten Korrekturen dieser Daten erforderlich sein, wenden Sie sich bitte an die jeweiligen Sie behandelnden Leistungserbringenden.

Sie sind berechtigt, Daten aus der ePA auszulesen, in der ePA zu speichern und zu löschen. Sie haben das Recht, den Zugriff auf Daten in der ePA zu beschränkten bzw. diese Beschränkung aufzuheben und Berechtigungen zu erteilen bzw. zu widerrufen. Darüber hinaus können Sie dem Zugriff auf Daten der ePA widersprechen bzw. müssen zur Speicherung von besonders sensiblen Daten (wie z. B. Genom-Daten) Ihre Einwilligung erteilen. Zudem können Sie beispielsweise die folgenden Daten selbstständig verarbeiten, d. h. ändern und in Ihrer ePA speichern:

• Gesundheitsdaten, die von Ihnen selbst in die ePA eingestellt wurden
• zukünftig: Daten zu Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von:
  • Erklärungen zur Organ- und Gewebespende
  • Vorsorgevollmachten oder Patientenverfügungen

Es gibt grundsätzlich die folgenden Anmeldeverfahren zur ePA:

• Anmeldung mit der GesundheitsID
• Anmeldung mit der elektronischen Gesundheitskarte (eGK)
• Anmeldung mit der eID-Funktion des Personalausweises, des Aufenthaltstitels oder der eID-Karte für EU-Bürger

Die Nutzung der GesundheitsID erlaubt unterschiedliche Sicherheitsniveaus bei der Authentifizierung. Mithilfe der eGK und PIN erreichen Sie – genau wie z. B. mit dem Personalausweis, dem Aufenthaltstitel oder der eID-Karte für EU-Bürgerinnen und -Bürger das höchste mögliche Niveau. Alternativ können Sie sich auch ohne Karte und PIN anmelden. Dabei fällt das Sicherheitsniveau der Anmeldung zwar geringer aus als das mit Karte und PIN erreichbare Niveau, gewährleistet aber dennoch ein angemessen hohes Schutzniveau.

Gesetzlich vorgesehen ist zudem die Möglichkeit, im Einzelfall nach umfassender Information durch Ihre Krankenkasse über die Besonderheiten des Verfahrens gegenüber Ihrer Krankenkasse den Wunsch zu erklären, ein komfortableres Anmeldeverfahren mit einem unter Umständen niedrigeren Sicherheitsniveau zu nutzen. Sollten Sie dies erwägen, beachten Sie bitte schon jetzt folgende Hinweise. Die in der ePA gespeicherten Gesundheitsdaten erfordern grundsätzlich einen hohen Schutzbedarf, da sich ein Schaden bei Verlust oder Missbrauch nicht materiell beziffern lässt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt möglichst auf eine Herabsenkung des Sicherheitsniveaus zu verzichten.

Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten, die potenziellen Risiken und über Wege, diese zu vermeiden.

Die Weiternutzung der ePA-Daten insbesondere zu Forschungszwecken soll ab dem 15. Juli 2025 möglich sein. Die gesetzlichen Rahmenbedingungen werden derzeit durch das Bundesministerium für Gesundheit und die gematik erarbeitet. Die nachfolgenden Informationen basieren daher ausschließlich auf den gesetzlichen Grundlagen gemäß § 363 SGB V.

Die ePA-Daten möglichst vieler Menschen in Deutschland können wichtige Erkenntnisse für die künftige Gestaltung der gesundheitlichen und pflegerischen Versorgung liefern. Die Bereitstellung der Daten aus Ihrer ePA zu gemeinwohlorientierten Zwecken ist freiwillig. Sie können damit z. B. die Versorgungsforschung unterstützen und zur Verbesserung der Sicherheit und Qualität der Versorgung, der Prävention und der Pflege beitragen. Welche Zwecke als gemeinwohlorientiert gelten und wer die Daten nutzen darf, wird gesetzlich festgelegt. Auf dieser Grundlage kontrolliert das Forschungsdatenzentrum beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die Weiternutzung der Daten.

Die Daten der ePA werden stets in pseudonymisierter Form für die Nutzung zu gemeinwohlorientierten Zwecken zur Verfügung gestellt. Das bedeutet, dass die Daten keinen Rückschluss auf Ihre Person zulassen. Alle personenidentifizierenden Daten wie z. B. Name, Anschrift und Krankenversichertennummer werden entfernt und durch ein Lieferpseudonym ersetzt. Dieses Pseudonym wird in der weiteren Datenübertragung anstelle Ihrer personenidentifizierenden Daten genutzt. Die Pseudonymisierung erfolgt automatisiert. Die Datenübermittlung an das Forschungsdatenzentrum beim BfArM wird in Ihrer ePA dokumentiert.

Der Gesetzgeber hat festgelegt, dass die Daten der ePA voraussichtlich ab dem 15. Juli 2025 automatisch zu gemeinwohlorientierten Zwecken genutzt werden können, wenn Sie der Nutzung nicht widersprochen haben. Wenn Sie möchten, dass Ihre ePA-Daten zu gemeinwohlorientierten Zwecken verwendet werden können, müssen Sie also nichts tun.

Wie Sie der Weitergabe Ihrer ePA-Daten zu gemeinwohlorientierten Zwecken ganz oder teilweise widersprechen können, erfahren Sie im Abschnitt 12.7 Wie kann ich der Datennutzung zu gemeinwohlorientierten Zwecken widersprechen?

Um die in Ihrer ePA gespeicherten Daten für gemeinwohlorientierte Zwecke nutzbar zu machen, ermittelt die ePA automatisch, welche Daten geeignet sind. Dies können z. B. die Daten des medizinischen Anwendungsfalls „digitaler Medikationsprozess“ sein.

Im nächsten Schritt werden sämtliche personenbezogenen Informationen durch ein Pseudonym ersetzt. Mehr Informationen dazu finden Sie im Abschnitt 12.3 Wie werden meine personenbezogenen Daten geschützt?

Das Lieferpseudonym und eine Arbeitsnummer übermittelt die ePA an die Vertrauensstelle beim Robert Koch-Institut (RKI). Mehr Informationen dazu finden Sie im Abschnitt 12.6 Welche Stellen sind an der Datennutzung der ePA zu gemeinwohlorientierten Zwecken beteiligt?

Zudem verschlüsselt die ePA die pseudonymisierten Daten und die Arbeitsnummer für das Forschungsdatenzentrum und überträgt diese dorthin. Die ePA speichert zu Dokumentationszwecken, dass Daten zu gemeinwohlorientierten Zwecken übermittelt wurden.

Die Vertrauensstelle ermittelt aus der Arbeitsnummer und dem Lieferpseudonym ein sogenanntes periodenübergreifendes Pseudonym und sendet beides an das Forschungsdatenzentrum. Mithilfe dieser beiden Kennziffern kann das Forschungsdatenzentrum alles zu einem Datenbestand zusammenführen, ohne dass dieser unmittelbar Ihnen persönlich zuzuordnen ist. Im Fall eines Widerspruchs gegen die Nutzung der Daten zu Forschungszwecken können Ihre Daten so auch vom Forschungsdatenzentrum gelöscht werden.

Einzelne Nutzungsberechtigte stellen zur Datennutzung im Rahmen eines Nutzungsvorhabens einen Antrag an das Forschungsdatenzentrum. Das Forschungsdatenzentrum entscheidet anhand der gesetzlich vorgegebenen Kriterien, ob die Datennutzung zulässig ist. Ein Vorhaben muss dabei z. B. bestimmten Zwecken dienen. Bewilligt das Forschungsdatenzentrum den Antrag, räumt es dem entsprechenden Vorhaben den Zugang zu den Daten ein. Die sensiblen Gesundheitsdaten werden dabei nicht herausgegeben, sondern können nur in der sicheren Verarbeitungsumgebung des Forschungsdatenzentrums genutzt werden. Herausgegeben werden nur aggregierte und anonymisierte Daten (d. h. Daten, bei denen der Personenbezug nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten Person zugeordnet werden können).

Ihre Krankenkasse als Anbieterin der ePA ist im Zusammenhang mit der ePA die datenschutzrechtlich verantwortliche Stelle.

Das Robert Koch-Institut (RKI) betreibt die Vertrauensstelle nach § 303c SGB V und ist die verantwortliche Stelle hinsichtlich der Zusammenführbarkeit der Pseudonyme.

Das Bundesamt für Arzneimittel und Medizinprodukte (BfArM) betreibt das Forschungsdatenzentrum nach § 303d SGB V und nimmt die von der ePA zur Verfügung gestellten Daten entgegen. Das Forschungsdatenzentrum macht die Daten auf Antrag den gesetzlich Nutzungsberechtigten zugänglich. Das Forschungsdatenzentrum hat die Einzeldatensätze nach 100 Jahren oder im Fall Ihres Widerspruchs zu löschen.

12.6.1 Wie kann ich der Datennutzung zu gemeinwohlorientierten Zwecken widersprechen?

Wenn Sie Ihre in der ePA gespeicherten Daten nicht zu gemeinwohlorientierte Zwecken bereitstellen möchten, können Sie der Nutzung widersprechen. Der Widerspruch kann sich dabei auf die Weiternutzung insgesamt oder aber nur auf die Nutzung Ihrer Daten zu bestimmten Zwecken beziehen. Den Widerspruch üben Sie über die ePA-App Ihrer Krankenkasse oder über die Ombudsstelle aus. Weitere Informationen dazu finden Sie im Abschnitt 10.2 Welche Widerspruchsmöglichkeiten bestehen im Zusammenhang mit der ePA und einzelnen Zugriffsberechtigungen?

Wenn Sie Ihre ePA-Daten ausschließlich Vorhaben mit bestimmten Zwecken zur Verfügung stellen wollen, haben Sie die Möglichkeit, den Widerspruch entsprechend auszuüben. Der Gesetzgeber unterscheidet dabei die folgenden Zwecke (gemäß § 303e Abs. 2 SGB V):

• Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner
• Verbesserung der Qualität der Versorgung sowie Verbesserung der Sicherheitsstandards der Prävention, Versorgung und Pflege
• Planung von Leistungsressourcen, z. B. Krankenhausplanung oder Pflegestrukturplanungsempfehlungen nach § 8a Abs. 4 SGB XI
• wissenschaftliche Forschung zu Fragestellungen aus den Bereichen Gesundheit und Pflege, Analysen des Versorgungsgeschehens sowie Grundlagenforschung im Bereich der Lebenswissenschaften
• Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Kranken- und Pflegeversicherung
• Analysen zur Wirksamkeit sektorenübergreifender Versorgungsformen sowie zur Wirksamkeit von Einzelverträgen der Kranken- und Pflegekassen
• Wahrnehmung von Aufgaben der Gesundheitsberichterstattung, anderer Berichtspflichten des Bundes nach SGB V oder SGB XI und der amtlichen Statistik sowie Berichtspflichten der Länder
• Wahrnehmung gesetzlicher Aufgaben in den Bereichen öffentliche Gesundheit und Epidemiologie
• Entwicklung, Weiterentwicklung und Überwachung der Sicherheit von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln, digitalen Gesundheits- und Pflegeanwendungen sowie Systemen der Künstlichen Intelligenz im Gesundheitswesen einschließlich des Trainings, der Validierung und des Testens dieser Systeme
• Nutzenbewertung von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln sowie digitalen Gesundheits- und Pflegeanwendungen, Verhandlung von Vergütungsbeträgen oder Festlegung von Höchstbeträgen und Schwellenwerten nach § 134 SGB V sowie Vereinbarung oder Festsetzung von Erstattungsbeträgen von Arzneimitteln nach § 130b SGB V

Ein getätigter Widerspruch wird in der ePA mit Datum und Uhrzeit dokumentiert.

Im Fall eines Widerspruchs Ihrerseits werden die Daten, die bereits an das Forschungsdatenzentrum übermittelt wurden, dort gelöscht. Das Löschverfahren erfolgt analog zur Datenübermittlung und Verknüpfung, beschrieben im Abschnitt 12.5 Wie erfolgt die Datenbereitstellung und -nutzung?

Bei einem Widerspruch gegen die Nutzung der Daten zu bestimmten Zwecken dürfen diese Daten nicht mehr für diese Zwecke genutzt werden. Die Daten bleiben jedoch weiterhin im Forschungsdatenzentrum zur Nutzung für andere Zwecke gespeichert, denen Sie nicht widersprochen haben.

Die bis zum Widerspruch übermittelten und für konkrete Vorhaben bereits verwendeten Daten dürfen weiterhin für diese Forschungsvorhaben verarbeitet werden. Ihre Rechte als betroffene Person nach den Artikeln 17, 18 und 21 der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) sind insoweit für diese Forschungsvorhaben ausgeschlossen. Nach Beendigung der konkreten Vorhaben, werden die Daten im Forschungsdatenzentrum gelöscht.

Ab dem 15. Januar 2025 können Sie bei der Ombudsstelle Ihrer Krankenkasse gegen die Ausleitung der ePA-Daten an das Forschungsdatenzentrum Gesundheit widersprechen. Ab dem 15. Juli 2025 besteht dann voraussichtlich auch die technische Möglichkeit des Widerspruchs direkt in der ePA-App Ihrer Krankenkasse gegen die Weiternutzung der Daten der ePA insgesamt oder gegen bestimmte Zwecke. Sechs Wochen später, d. h. ab voraussichtlich Anfang September 2025, kann ihre Krankenkassen dann erstmalig Daten zur Weiternutzung an das Forschungsdatenzentrum bereitstellen, wenn alle technischen Voraussetzungen dafür geschaffen sind.

Sie haben also ab dem 15. Juli 2025 noch entsprechend Zeit, bei Bedarf Ihr Recht auf Widerspruch mithilfe der ePA-App der Krankenkasse oder über die Ombudsstelle auszuüben. Weitere Informationen zum Thema Widerspruch in Bezug auf die ePA erhalten Sie im Abschnitt 10 Die Möglichkeiten des Widerspruchs im Rahmen der elektronischen Patientenakte (ePA)

Wichtig zu wissen: Wenn Sie vor dem geplanten Einführungstermin der Nutzung der ePA-Daten zu Forschungszwecken (d. h. vor dem 15. Juli 2025, nach derzeitigem Stand) gegen die Datennutzung gegenüber Ihrer Krankenkasse widersprechen und anschließend Ihre Krankenkasse wechseln, müssen Sie erneut gegenüber Ihrer neuen Krankenkasse widersprechen. Die Krankenkassen können Ihren Widerspruch im genannten Zeitraum noch nicht untereinander austauschen.  

Über den Ausbau der medizinischen Anwendungsfälle der ePA erfahren Sie mehr im Abschnitt 7.3 Welche weiteren medizinischen Anwendungsfälle wird die ePA zukünftig unterstützen?

Außerdem können Sie die ePA zukünftig nicht nur über ihr mobiles Endgerät, sondern auch mithilfe Ihres Laptops oder Desktop-Computers nutzen.

Darüber hinaus wird die ePA die Bereitstellung von Daten zu Forschungszwecken (sogenannte Sekundärdatennutzung) voraussichtlich ab dem 15. Juli 2025 ermöglichen. Informationen dazu finden Sie im Abschnitt 12 Die Nutzung der Daten der elektronischen Patientenakte (ePA) zu gemeinwohlorientierten Zwecken

Auch die sichere Übermittlung von Sofortnachrichten mithilfe des TI-Messengers (TIM) an Ihre Krankenkasse und – wenn möglich – Ihre Leistungserbringenden können Sie voraussichtlich ab dem 15. Juli 2025 aus der ePA-App Ihrer Krankenkasse nutzen.

Zukünftig wird Ihre ePA auch in der Lage sein, mit Ihrer Einwilligung Daten an die von Ihnen genutzten Digitalen Gesundheitsanwendungen (DiGA) zu übertragen. Damit können Sie bestimmte Daten aus der ePA direkt in der DiGA nutzen.

Darüber hinaus ist auch die Nutzung der ePA durch Leistungserbringereinrichtungen im EU-Ausland geplant, z. B. wenn Sie sich dort während eines Urlaubs aufhalten. Dabei kommt die elektronische Patientenkurzakte zum Einsatz, die einen schnellen Überblick über Ihre wichtigen Notfalldaten gibt.

Ein weiterer wichtiger Punkt bei der Weiterentwicklung der ePA hin zu einer digitalen Gesundheitsplattform ist die sukzessive Umstellung der auf Dokumenten basierenden Daten in elektronisch verarbeitbare Datensätze. Dies wird nach den Vorgaben des Bundesministeriums für Gesundheit erfolgen. In diesem Zusammenhang plant der Gesetzgeber auch weitere Verfeinerungen hinsichtlich der Kontrolle von Zugriffsrechten auf die ePA durch entsprechende Widerspruchsmöglichkeiten auf Ebene einzelner Datensätze.