Manifest zur elektronischen Patientenakte (ePA)

Quelle: Ärzte Zeitung. Ausgabe 09/25 vom 27. Februar, Seiten 42/43, mit freundlicher Genehmigung der Springer Medizin Verlag GmbH

Zielkonflikte?

Die ePA war nie für die Verbesserung der Gesundheitsversorgung geplant, sonst sähe das ePA- Konzept heute anders aus. Eher so wie die Behandlungsakte in Finnland, die seit über 20 Jahren funktioniert. Klar, in Finnland verantwortet der Staat das Zugriffsmanagement bei der Sekundärdatennutzung. Darauf wollte man sich in Deutschland wohl nicht einlassen. Die deutsche ePA macht deshalb ein ständiges Hin- und Herschicken von Behandlungsdaten zwischen der ePA den vielen, die an der Patientenbehandlung beteiligt sind, erforderlich. Die Konsequenzen sind nicht trivial:

1. Die Zielkonflikte bewirken, dass sich die alltägliche Arbeit der Ärzte durch die ePA-Nutzung nicht verbessert. Sollten sich Erleichterungen ergeben, sind diese allenfalls zufällig.
2. Die technischen und organisatorische Mängel der ePA, die nicht mehr kleingeredet werden konnten, sollen in der ärztlichen Sprechstunde von Patient und Arzt geheilt werden.

Ein Rechtsgutachten zur ePA (0A), Gesetze (0b) und Verordnungen (0b) führten so zu einem Pflichtenheft, das in jeder ärztlichen Sprechstunde – jedesmal!- abzuarbeiten ist: Hier gibt es ärztliche Aufklärungspflichten (0b) bei Ablehnung der ePA durch den Patienten, bei technischer ePA-Nichterreichbarkeit, für stigmatisierenden Erkrankungen und zu Genuntersuchungen. Jede Datenübertragung in die ePA erfordert ein manuelles ärztliches Kuratieren auf löschpflichtige Daten. (0b) Es muss begutachtet und dokumentiert werden, ob und warum von einer Einwilligungsfähigkeit (vor allem von jungen Jugendlichen) auszugehen ist oder ob nicht doch das Sorgerecht der Erziehungsberechtigten greift. Letzteres ist bei geteiltem Sorgerecht, getrennt lebender Eltern, eine komplexe juristische Angelegenheit. Das demonstrierte Herr Prof. Patrick Gödicke, Medizinrechtler und Richter am Bundesgerichtshof, eindringlich. (0c) Gäbe es keinen Grund eine benachteiligende Diskriminierung durch die eigenen Krankheitsdaten zu befürchtet, dann wären die oben aufgeführten Maßnahmen überflüssig. Das scheint aber nicht der Fall zu sein. Deshalb läuft zukünftig, bei einer beklagten Benachteiligung auf Basis von Krankheitsdaten, alles auf die Klärung der juristischen Frage hinaus: War der Patient zu leichtsinnig mit seiner Zustimmung zur ePA-Dateneinstellung oder hat der Arzt nicht rechtswirksam aufgeklärt? Hier entsteht eine neue Schadensklasse ärztlicher Haftung. Ärzte, Berufshaftpflichtversicherer und Anwälte aufgepasst!

Ziele?

Die leichtere Patientenversorgung war offensichtlich nicht das Ziel der ePA-Konzeption. Weil die

Ökonomie auf Basis von Erdöl und Stahl ihrem Ende entgegengeht, propagierte die EU- Kommission bereits 2017, die Entwicklung einer Datenökonomie: „Europäische Datenwirtschaft: EU-Kommission stellt Konzept für Daten-Binnenmarkt vor“. Konkret lautet der Plan: „Wenn unsere Datenwirtschaft Wachstum und Beschäftigung hervorbringen soll, müssen Daten genutzt werden. Dafür müssen sie allerdings verfügbar sein und analysisiert werden können.“ (Siehe Anhang 2, Screenshot EU-Kommisson Homepage, die seit 2019 nicht mehr verfügbar ist.) Die Digitalpolitik des deutschen Bundesgesundheitsministeriums orientiert sich dazu an der Digitalstrategie (0c) und am EU-Gesundheitsdatenraum (EHDS) (0d). Die deutsche ePA macht Gesundheitsdaten verfügbar, indem sie sie aus den Praxis-, Krankenhaus und Krankenkassenservern herausholt, in der ePA zwischenlagert, damit sie nach einem Transfer ins Forschungsdatenzentrum analysisiert werden können.

Geld ?

Die deutschen Gesundheitsdaten aus den Arztpraxen stellen ein Gesundheitsdatenvermögen zwischen 576 Milliarden und 3.000 Milliarden Euro da. (je nach Wert einer Behandlungakte zwischen 400 und 2.000 Euro Euro). Dazu kommt der Wert der jährlich 19 Millionen Behandlungsfälle im Krankenhaus. (0e)
Schon für 2022 wurde das deutsche Gesundheitsdateneinkommen auf 42 Milliarden Euro jährlich geschätzt (1), davon basieren 31 Milliarden Euro direkt auf der ePA. (10) Im EU- Gesundheitsdatenraum rechnet man mit jährlichen Wachstumsraten zwischen 3 und 10 Prozent (2),
d.h. es werden aus den 42 Milliarden in absehbarer Zeit 100 Milliarden pro Jahr.

Gleichzeitig können die Krankenversicherungsbeiträge die Gesundheitsversorgung der Patienten nicht mehr finanzieren. Eine Beteiligung von Patienten und Ärzten an den Gewinnen der Datenökonomie, wäre möglich. Das ist aber offensichtlich nicht der politische Plan.
Herr Lauterbach dient die deutschen Gesundheitsdaten, ohne erkennbare Gegenleistung, den US-IT- Giganten an. (3) Herr Merz plant zehn Prozent Rabatt auf die Krankenversicherungsbeiträge für die, die ePA nicht ablehnen. (4) Dazu nimmt er Mindereinnahmen der gesetzlichen Krankenkassen von bis zu 30 Milliarden Euro pro Jahr in Kauf. (5) Es geht also um Geld, um sehr viel Geld.

Völlig verrückt, beinahe rührend, ist der im Februar 2025 neu in die Debatte eingeführte Narrativ: „Gesundheitsdaten sind keine Handelware!“
Herr Lauterbach: „Gesundheitsdaten dürfen nicht verkauft werden. […] Geld darf keine Rolle spielen.“ (6a) Thüringens Landesdatenschutzbeauftragter Tino Melzer, „warnte davor, dass „Gesundheitsdaten als Ware gehandelt werden.““ (6b) Gesundheitsdaten sind bereits Handelsware, und das bleibt so, weil das seit fast 10 Jahren EU- Politik ist.

Mit der Einführung der ePA geht ein Datenvermögen von mehreren Billionen Euro von Patienten und Ärzten in die Hände der IT- und der KI-Branche über, während zukünftige Analysen für bessere ärztliche Entscheidungen, auf Basis von künstlicher Intelligenz (KI), vom Patienten, vom Arzt oder den gesetzlichen Krankenversicherungen zurückgekauft werden müssen.

Über welche Summen sprechen wir hier?

Das Pricing für medizinische Masseninnovationen liegt bei ca. 250 Euro pro drei Monate und Patient. Das gilt für die meisten digitalen Gesundheitsanwendungen (7), aber auch für Medikamente und Impfstoffe. (8a, 8b, 8c, 8d)

Der Weg zur ePA?

Die Telematikinfrastruktur (TI) und die ePA wurde von Anfang an allein durch Sanktionen vorwärts getrieben. Hier die Liste der „Vergehen“ und der Strafen:

Keine Telematikinfrastrukturnutzung? 2015: Strafe 1,0 %, §291a SGB V (9a)
2020: Strafe 2,5 %, §291b Abs. 5 SGB V (9b)

keine ePA-Bereitschaft?
2021: Strafe 1 % § 341 Abs. 6 SGB V (9c)

Keine e-Rezept-Nutzung?
2024: Strafe 1 %, §360 (17) SGB V (9d)

Kumulativ kommt man bis hierhin auf eine maximale Strafe von 3,5 % Honorarabzug für Ärzte vom Gesamtumsatz aus der Behandlung der gesetzlich versicherten Patienten, was im Jahr bei
500.000 Euro Umsatz 16.000 Euro ausmacht.

dazu kommt die Kürzung der Aufwandspauschale für den IT Betrieb:
2024 bei der Nichtnutzung von KIM, der E-Mail-Anwendung in der Telematikinfrastruktur Strafe pro Jahr und Praxis: ca. 1000 Euro (9e)

2024 Der dritte, inoffizielle Referentenentwurf des Gesundheitsversorgungsstärkungsgesetz (GSVG) (9f) verküpft die „sogenannten Endbudgetierung“ der Hausärzte mit der Vorhaltepauschale und der Chronikerpauschale mit sieben Strukturmerkmalen.
Wer keine ePA- und keine e-Medikamentenplan nutzt, bekommt pro Jahr eine Strafe von 23.000

Euro, fehlen mehr Merkmale erhöht sich der Honorarabzug auf existenzbedrohende 100.000 Euro.

Die drei Sanktionsgruppen addieren auf : 47.000 Euro pro Jahr und Praxis
(16.000 + 1.000 + 23.000 Euro)

Offene Fragen?

Offen ist, wie die Gematik die konzeptionellen Fehler beheben möchte. Die Forscher des Chaos Computer Clubs (CCC) konnten Ende 2024 auf gleich sechs verschiedene Arten auf die ePA zugreifen (11) und meldeten das der Gematik, die darin jedoch keine konkrete Bedrohung erkannte. Erst die Veröffentlichung der Fehler auf dem Chaos Computer Club Congress führte dann zu hektischer Betriebsamkeit. Über Kleinanzeigen kauften die CCC-Forscher Kartenlesegeräte mit den SMC-B-Chipkarten, incl. PIN (die sogenannte Praxisidentität) von aufgelösten Arztpraxen und hatten damit einen Vollzugriff auf alle deutschen ePA. Möglich war das Finden bestimmter ePAs, das Lesen, das Einfügen und das Löschen. Nach vier Jahren unregulierter Geräteentsorgung weiß niemand mehr, wer heute illegal auf TI und ePA zugreifen kann. Natürlich wird sich kein Geheimdienst der Welt im Rahmen eines responsible disclosure an die Gematik wenden. Es ist vielmehr denkbar, dass die Schlapphüte bei einer Zielperson die Daten in der ePA gezielt ändern. Was passieren kann, wenn Allergieeinträge oder der Medikationsplan geändert wird überlasse ich Ihrer Fantasie. Natürlich wird jede Änderung mitprotokolliert. Und der illegale ePA Zugriff ist verboten. Aber was kümmert das jemanden, der mit einer falschen Identität arbeitet? Hier hilft aktuell eigentlich nur ein Komplettaustausch aller früher ausgegebenen SMC-B-Chipkarten (der Praxisidentitäten), sowie eine geordneten Rücknahme der Komponenten, so dass diese erst gar nicht im freien Handel auftauchen. Das ist aber nicht geplant. Die Gematik gibt stattdessen Arbeitsanweisungen für die zukünftige Geräteentsorgung heraus. (12) Und der Bundesminister für Gesundheit verspricht, dass bis zur allgemeinen Inbetriebnahme der ePA die Sicherheitslücken geschlossen sein werden. (12a)

Dazu kommt, dass viele ursprünglich, geplante Sicherheitsmaßnahmen nach und nach aufgegeben wurden, weil sie zu kompliziert waren: z.B. die PIN der Gesundheitskarte, die Verschlüsselung des e-Rezepts, die Signierung der PDF-Dokumente. Aber auch Anfangs versprochene Funktionen wurden aus der Planung genommen: so z.B. das feingranulare Zugriffsmanagement oder die Volltextsuche in der ePA.

Zur Halbzeit der aktuellen ePA Testphase konnten von 300 Testpraxen noch nicht einmal 60 auf die ePA zugreifen. (13) Aber selbst, da wo das funktionierte war mal der e-Medikamentenplan nicht bedienbar, mal konnte die eAU nicht eingestellt werden, mal gelang das Hoch und Runterladen von e-Arztbriefen nicht, mal wurden e-Rezeptverordnungen nicht in den e-Medikamentenplan aufgenommen. (13a)

Die gesetzlich geforderte Patientenaufklärung zur ePA durch die Krankenkassen wird von vielen Seiten als mangelhaft kritisiert. (13b, 13c, 13d, 13e) Die vielen offenen Fragen haben den deutschen Bundestag erreicht, der sich mit einer „Kleinen Anfrage“ zur ePA beschäftigen muss. (13f)

Das aktuelle ePA-Konzept ist nicht mehr zu retten. Diese ePA erleichtert die Sprechstundenarbeit in den Praxen und die Behandlungsarbeit der Ärzte in den Krankenhäusern nicht. Es droht mittelfristig eine benachteiligende Diskriminierung nach unregulierter KI Analyse der Daten. Die vielgepriesene Anonymisierung schützt nicht. Das Problem sind die Kalendermuster. Die Wahrscheinlichkeit, dass in einem 10-Jahreszeitraum zwei Patienten an genau den gleichen drei Tagen bei ein und demselben Arzt waren, liegt bei 1:36503, d.h. bei 1:5 Milliarden. Die meisten Patienten gehen öfter als dreimal in zehn Jahren zu einem Arzt… Die KI kann gar nicht anderes als das Kalendermuster in einer anderen Datenbank, wo der Name enthalten ist, zu erkennen. Dann sind die ePA-Daten, ohne den „Auftrag zur Reidentifizierung“, in dieser KI, mit der Person verknüpft.

Was ist zu tun?

Wir brauchen einen Neustart mit einem neuen Konzept einer digitalen Behandlungsakte.

Der Bundesverband der Kinder- und Jungendärzte (BVKJ) fordert für seine Patienten das Ende der automatischen Anlage einer ePA. (14) Der Präsident Dr. Michael Hubmann rät zum Opt-Out: „Bis die Rechte von Kindern und Jugendlichen in akzeptabler Weise verwirklicht sind, können wir Patienten und deren Eltern nur empfehlen, sich aktiv gegen die ePA zu entscheiden.“ (15)

Die mangelnde Sicherheit ist nur ein Grund den Stopp der ePA zu fordern. Denn die Behandlungsakten in Finnland sind schließlich auch schon gehackt worden. (16) Es darf nicht sein, dass die ärztliche Nutzung einer ePA mit dem strukturellen Risiko der Benachteiligung und der informationellen Erkrankung einhergeht. (16a)

Datenökonomie ist untrennbare Teil der Digitalisierung, deshalb müssen Patienten und Ärzte von Anfang an der Datenökonomie beteiligt werden. „Das Vorhandensein eines “berechtigten Interesses“ an Gesundheitsdaten, entscheidet über die Bedeutung der ärztlichen Antwort auf die Fragen: „Was ist gesund?“, während der anstehenden Transformation in die digitalisierte Gesellschaft. Dabei wird entschieden, welche Datennutzung zu mehr Gesundheit führt und welche Datennutzung ggf. sogar krank macht.““ (16b) Zur Partizipation von Patienten (den Dateneigentümern) und Ärzten (den Datenurhebern) existieren Konzepte der organisatorischen, juristischen und technologischen Umsetzung. (16c)

Im Vordergrund steht die ärztliche Arbeitserleichterung einer digitalen Behandlungsakte, so dass die von Ärzten gerne genutzt wird, sowie eine Umsetzung über professionalisierte Open-Source Software. (Und nicht über den umstandslosen Einsatz von Community-Software, die nur für Entwickler gedacht war). (17) Und natürlich gelingt so ein Megaprojekt nur mit einer externen, fortlaufenden Auditierung, die frei von Interessen- und Zielkonflikten ist.

Eine erfolgreiche Digitalisierung erfordert soziale Übereinkünfte, die natürliche Personen vor den Übergriffen juristischer Personen auch dann schützen, wenn das Geheimnis (der „Datenschutz“) versagt hat. Dazu brauchen wir zweierlei Arten des Persönlichkeitsschutzes: Erstens brauchen ausreichend große Ambivalenzräume der Unbestimmtheit. Das bedeutet, dass es als gegeben angesehen werden muss, dass sich die Realität möglicherweise anders entwickelt, als von der KI vorhergesagt. Und zweitens, wenn es sich, wie bei Krankheiten, um klare unabweisbare Gegebenheiten handelt, brauchen wir ein Verbot von benachteiligender Diskriminierung durch Krankheit und Krankheitsdaten. (18, 19) Nur so kann das Versprechen des zivilgesellschaftlichen Gewaltverzichts eingelöst werden. Damit steht der Weg der Transformation in die digitalisierte Gesellschaft offen, für die Medizin und die Datenökonomie im Gesundheitsdatenraum.

Screenshots der Homepage EU- Daten-Binnenmarkt Pressemitteilung 2017

Quellen:

[0a] https://onlinerollout.de/wp-content/uploads/2021/07/gematiK_Rechtsgutachten_ePA_2020-12- 17_PDF_durchsuchbar.pdf
Hier noch die FAQ zu dem relativ schwer lesbaren Gutachten: https://www.bundesaerztekammer.de/fileadmin/user_upload/_old-files/downloads/pdf- Ordner/Telemedizin_Telematik/Einzelfragen_in_Bezug_auf_den_Einsatz_der_ePA_20210608.pdf [0b] https://media.ccc.de/v/gpn22-389-elektronische-patientenakte-epa-made-in-germany- digitalisierung-in-der-medizin-2024
[0c] https://www.kvno.de/aktuelles/die-elektronische-patientenakte-infoveranstaltung (Minute 56:00)
[0d] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 [0e] https://health.ec.europa.eu/system/files/2022-05/com_2022-196_de.pdf
[0f] https://de.statista.com/statistik/daten/studie/157058/umfrage/fallzahlen-in-deutschen- krankenhaeusern-seit-1998/
[1] https://www.mckinsey.de/news/presse/2022-05-24-42-mrd-euro-chance
[2] https://digital-strategy.ec.europa.eu/en/library/european-data-market-study-update THE EUROPEAN DATA MARKET MONITORING TOOL KEY FACTS & FIGURES, FIRST POLICY CONCLUSIONS, DATA LANDSCAPE AND QUANTIFIED STORIES D2.9 Final Study Report- Executive summary Seite 6
[3] https://www.heise.de/news/Lauterbach-zu-Gesundheitsdaten-Google-Meta-und-OpenAI- melden-Interesse-an-10179936.html

[4] https://www.heise.de/news/Merz-Wer-Daten-bereitstellt-zahlt-10-Prozent-weniger-Krankenkassenbeitraege-10267376.html
[5] https://www.aerztezeitung.de/Politik/Lauterbach-und-Gruene-lehnen-Merz-Vorschlag-fuer-Kassenrabatt-ab-456255.html
[6a] https://www.aerztezeitung.de/Politik/Lauterbach-und-Gruene-lehnen-Merz-Vorschlag-fuer-Kassenrabatt-ab-456255.html
[6b] https://www.aerzteblatt.de/nachrichten/157403/Kritik-an-Rabattvorschlag-von-Merz-zur-Patientenakte
[7] https://diga.bfarm.de/de/verzeichnis/01346
[8a] https://www.medizinfuchs.de/preisvergleich/eliquis-5mg-filmtabletten-200-stk.- vertriebsgemeinschaft-bristol-myers-squibb-pzn-1647809.html
[8b] https://www.medvergleich.de/jardiance.html
[8c] https://www.apo.com/ozempic-1-mg-injektionsloesung-iefertigpen-3stk-pzn-15398557 [8d] https://www.shop-apotheke.com/arzneimittel/13715870/shingrix.htm
[9a] https://www.cr-online.de/Bundesgesetzblatt_I_54_2408.pdf Seite 2412 [9b] https://www.buzer.de/291b_SGB_V.htm
[9c] https://www.gesetze-im-internet.de/sgb_5/ 341.html [9d] https://www.sozialgesetzbuch-sgb.de/sgbv/360.html
[9e] https://www.medical-tribune.de/praxis-und-wirtschaft/verordnungen/artikel/nachweis-vor- dem-mai
[9f] https://www.zi.de/fileadmin/Downloads/Service/Medien/MI/Datenblatt_HA_Verguetung_10- 04-24.pdf
[10] https://www.aerzteblatt.de/nachrichten/141004/Nutzung-der-elektronischen-Patientenakte- eingebrochen
[11] https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische- patientenakte-kommt-jetzt-fr-alle
[12] https://www.kbv.de/html/1150_73620.php
[12a] https://netzpolitik.org/2025/elektronische-patientenakte-lauterbach-verspricht-einen-start- ohne-restrisiko/
[13] https://www.aerztezeitung.de/Wirtschaft/Zwei-Wochen-nach-dem-Start-Test-der- elektronischen-Patientenakte-laeuft-zaeh-an-456193.html
[13a] https://www.aerzteblatt.de/archiv/242755/Elektronische-Patientenakte-Noch-wenige-Akten- einsehbar
[13b] https://www.vzbv.de/sites/default/files/2024-12/24-12- 02_Kurzpapier_ePA_Informationspflichten.pdf
[13c] https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/ Allgemein/2024/Rundschreiben-Widerspruchsrecht-ePA.pdf? blob=publicationFile&v=2

[13d] https://www.golem.de/news/elektronische-patientenakte-kritik-an-einseitigen-infoschreiben-der-krankenkassen-2412-191560.html
[13e] https://www.aerzteblatt.de/news/elektronische-patientenakte-medi-warnt-vor-unzureichender- aufklaerung-der-patienten-92bc4458-f922-4bf2-b3f8-c817d69b164d
[13f] https://dserver.bundestag.de/btd/20/146/2014674.pdf
[14] https://www.heise.de/news/ePA-3-0-Warum-Aerzte-vor-der-elektronischen-Patientenakte-fuer-
Kinder-warnen-10200700.html
[15] https://www.aerztezeitung.de/Wirtschaft/Paediater-empfehlen-Eltern-sich-derzeit-aktiv-gegen- ePA-zu-entscheiden-455581.html
[16] https://www.aerzteblatt.de/archiv/216677/Finnland-Vertrauliche-Psychotherapiedaten-gehackt [16a] https://multimedia.gsb.bund.de/BfArM/downloads/klassifikationen/icd-10- gm/vorschlaege/vorschlaege2025/icd2025-041-informationelle-erkrankung.pdf
[16b] https://kavers.aekno.de/data/media/B112.pdf
[16c] https://media.ccc.de/v/gpn21-167-digitalisierung-in-der-medizin-elektronische- patientenakte-epa-quo-vadis-
[17] https://www.welt.de/wirtschaft/plus255286306/Krankenkassen-Die-Versicherer-gehen-damit- hohe-Risiken-ein.html
[18] https://127daet.baek.de/data/media/BVc18.pdf
[19] https://www.aerzteblatt.de/archiv/digitalisierung-strategische-neuausrichtung- versorgungsorientiert-umsetzen-8d6250dc-1d00-44c4-b04e-6e7ffcfa522c