ePA
für alle!
Grundlagen
Was ist die ePA?
Was ist die ePA für alle?
Was ist ePA 2.5, 3.0, 3.1...
Was bringt das?
Und wie ist das mit der Sicherheit?
ePA steht für elektronische Patientenakte.
Sie soll - so der Gedanke - alle relevanten Gesundheitsdaten speichern.
Und das lebenslang.
"Durch die bessere Verfügbarkeit der Daten kann die persönliche medizinische Behandlung in Zukunft verbessert werden.
Zeit, die ansonsten für die Informationsbeschaffung anfällt, kann stattdessen für die konkrete Behandlung genutzt werden."
"Die ePA vernetzt Versicherte mit Ärztinnen und Ärzten, Apotheken und Krankenhäusern.
Viele bisher analog oder in Papierform ablaufende Arbeitsschritte können durch die ePA digitalisiert und vereinfacht werden.
Statt einer Lose-Blatt-Sammlung zuhause oder einzelnen Befunden in den Praxissystemen verschiedener Praxen haben Ärztinnen und Ärzte sowie Patientinnen und Patienten alle relevanten Dokumente auf einen Blick sicher verfügbar."
"So können beispielsweise belastende Mehrfachuntersuchungen vermieden werden."
Klingt erst mal sinnvoll!
Wie funktioniert die ePA?
Technisch ist die ePA ein zentraler Speicherplatz für die darin enthaltenen Daten.
Also eine Art von Cloud-Service.
Und wo ist diese Cloud?
Die Daten werden für jede Krankenkasse zentral gespeichert.
Dafür beauftragen die Kassen externe Dienstleister (derzeit 2: IBM oder BITMARCK/RISE).
Ihre Kasse muss Sie über den Dienstleister informieren.
Diese Firmen haben grundsätzlich KEINEN Zugriff auf die Inhalte der Daten.
Wichtig:
Die ePA ist NICHT auf der elektronischen Gesundheitskarte (eGK) gespeichert. Mit der eGK kann man sich aber als Nutzer der ePA identifizieren.
Also nicht beim Arzt?
Nein - Die Ärzt*innen führen weiterhin ihre eigenen Akten in ihren 'Praxisverwaltungssystemem (PVS)'.
Durch diese können aber durch ein Zusatzmodul Daten direkt in die ePA einstellen (je nach Hersteller).
Der Transport der Daten vom Arzt/Patienten in die ePA findet Ende-zu-Ende-verschlüsselt statt.
Daher ist dieser nicht ohne weiteres einsehbar.
Der Transport findet zwar über das Internet statt, aber in einem geschützten Rahmen.
Dieser geschützte Rahmen nennt sich Telematikinfrastruktur (TI).
Beim Senden werden die Daten verschlüsselt und erst beim Lesen an anderer Stelle wieder entschlüsselt.
Das ist eine Art VPN - virtual private network.
Das ist ungefähr vergleichbar mit einem LKW, der die Autobahn benutzt. Man kann von außen sehen, dass ein LKW unterwegs ist, aber nicht, was er transportiert.
Was man mit etwas technischem Aufwand sehen könnte: von wo nach wo Daten fließen.
(Man sieht, der LKW fährt von A nach B)
Das sind sogenannte Metadaten.
Über die TI tauschen sich (fast) alle Akteure des Gesundheitswesens aus - auch über die ePA hinaus. Hierüber werden auch Daten für die Forschung und sonstige Sekundärnutzung bereitgestellt.
ePA bis Januar 2025
"ePA 2.5"
Versicherte mussten sich aktiv für die Anlage einer ePA entscheiden
Auf Wunsch legte die Krankenkasse diese in der TI an
ePA ist ein Dateien-Ordner in der TI
ePA 2.5 enthält keine strukturierten Daten und ist daher nicht durchsuchbar
ePA für alle ab Januar(?) 2025
Die "ePA für alle" ist eine technisch gänzlich neue Version der ePA. Daher der neue Versionsname ePA 3.0
"3.0" zeigt an, dass es sich um ein stark verändertes technisches Modell handelt - die folgenden Erweiterungen werden dann 3.1 etc. benannt.
Sie ist - anders als bislang - ein Opt-Out-Modell.
Patient*innen müssen der Einrichtung der ePA ausdrücklich widersprechen!
Ohne diesen Widerspruch wird die ePA automatisch und ohne Nachfrage von der Krankenkasse eingerichtet.
Was landet in der ePA?
Erst mal nicht viel.
Daten werden nach und nach eingestellt:
1. Abrechnungsdaten der letzten 4 Jahre (von der eigenen Kasse) - ab Tag 1.
2. Von Behandler*innen eingestellte Dokumente.
3. Alle Daten eingelöster Rezepte ab Einrichtung der ePA (elektronische Medikationsliste eML).
4. Daten, die Versicherte selbst einstellen.
Pflichteingaben für Praxen:
Dokumente zu Laborbefunden
Befunddaten aus bildgebender Diagnostik
Befundberichte aus invasiven und chirurgischen sowie nicht-invasiven oder konservativen Maßnahmen
elektronische Arztbriefe
Pflichteingaben für Praxen II:
Ergebnisse genetischer Untersuchungen oder Analysen / Achtung: Die Speicherung ist nur nach ausdrücklicher schriftlicher oder elektronischer Einwilligung des Patienten zulässig
Dokumente zur Unterstützung des Medikationsprozesses (voraussichtlich ab 01.07.2025):
Daten des elektronischen Medikationsplans als MIO
Daten zur Prüfung der Arzneimitteltherapiesicherheit (AMTS) als MIO
MIO = medizinisches Informationsobjekt (strukturierte Daten)
Auf Wunsch der Patienten einzupflegende Daten:
Befunddaten, Diagnosen, durchgeführte und geplante Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichte und sonstige untersuchungs- und behandlungsbezogenen medizinischen Informationen
elektronische Patientenkurzakte (Zeitpunkt unklar)
Dokumente zur pflegerischen Versorgung
Auf Wunsch der Patienten einzupflegende Daten II:
Arbeitsunfähigkeits-Bescheinigungen (AU)
Dokumente aus Disease Management Programmen (DMP)
Dokumente zu Heilbehandlungen und Reha-Maßnahmen
Dokumente zu Erklärungen zur Organ- und Gewebespende
elektronische Abschriften der vom Arzt oder Psychotherapeuten geführten Patientenakte
Später:
elektronische Patientenkurzakte als MIO
Laborbefunde als MIO
Informationen zu Hinweisen und zum Aufbewahrungsort von Erklärungen zu Organ- und Gewebespenden sowie Vorsorge- und Patientenvollmachten als MIO
Dokumente zu Erklärungen zur Organ- und Gewebespende als MIO
Wichtig:
Nur Daten, die strukturiert eingegeben wurden (also als MIOs) sind durchuchbar.
Alle anderen Daten liegen als Bild- oder PDF-Daten in der ePA und sind nur nach und nach durchlesbar.
Dafür hat im Behandlungskontext niemand Zeit.
Was landet NICHT in der ePA?
Stand Januar 2025
1. zu große Daten (größer als 25 MB)
2. Bilddaten wie Röntgen, MRT und CT (müssen als PDF/A umgewandelt werden)
3. Daten, die erst nach und nach Bestandteil der ePA werden
Grundsatz: Die ePA gehört den Patient*innen.
In der elektronischen Patientenakte (ePA) können Patient*innen die dort zentral gespeicherten Daten einsehen.
Sie können auch Daten selbst eingeben bzw. hochladen und auch löschen.
Kann ich vom Desktop-PC oder Notebook auf die ePA zugreifen?
Die Frage ist leider noch nicht wirklich zu beantworten. Einige Kassen geben das an, die AOK z.B., nach gematik aber nicht vor Juli 2025.
Kassen, die den Dienst von ePA-Anbieter Rise/Bitmarck nutzen (epaclient.de), geben an, dass der Zugang zwischen Januar und Juli 2025 nur über die App funktionieren wird.
Die gematik bietet eine Übersicht, über die einzelnen Kassen.
Was ist mit Barrierefreiheit?
Die Datenstruktur, die durch TI und gematik vorgegeben wird, lässt Barrierefreiheit zu.
Für die Applikationen sind aber jeweils die Kassen zuständig.
Die Kassen haben eigene Apps - was es auch für die Beratung schwer macht.
Zugriffsrechte
Wer kann Dokumente sehen und wer nicht.
Steuerung pro Person/Praxis möglich.
Anfangs können aber keine einzelnen Dokumente freigegeben bzw. gesperrt werden.
Unterschiedliche Leistungserbringer haben unterschiedlich lange Zugriffsrechte.
Zugriffsdauer
Arztpraxis, Zahnarztpraxis, Psychotherapiepraxis, Gesundheits- und Krankenpflegeeinrichtung, Kinderkrankenpflegeeinrichtung, Altenpflegeeinrichtung, Pflegefachkräfte, Hebammen, Heilmittelerbringereinrichtungen
Standard: 90 Tage.
Zeiten können je nach Behandlungsdauer verlängert werden.
Zugriffsdauer
Apotheken, Einrichtungen des Öffentlichen Gesundheitsdienstes, Betriebsärztinnen und -ärzte, Notfallsanitäterinnen und -sanitäter
Standard: 3 Tage.
Und wie geht es weiter?
Es gibt einen Zeitplan für weitere Funktionen innerhalb der ePA.
Zeitpläne der gematik sind mit Vorsicht zu betrachten (siehe e-Rezept). Gerade im Hinblick auf die aktuellen Diskussionen.
ePA 3.1 ab 15.07.2025
Digitaler Medikationsprozess eMP
Datenausleitung ans Forschungdsdatenzentrum FDZ
Desktopanwendung FdV (Frontend für den Versicherten)
Pseudonmyer DiGA-Zugriff
ePA 3.2 ab 15.01.2026
Volltextsuche (für digitale Dokumente, nicht PDF)
Mitteilungen in der ePA-App
ePA 3.x ab ???
Digitale Laborbefunde (MIO statt PDF)
ePatientenkurzakte (MIO)
eBildbefund (statt PDF)
KH-Entlassbrief (FHIR-Standard)
Impfpass
Mutterpass
Kinder U-Heft
Zahnbonusheft (alle als MIO)
Was ist denn mit alten Daten?
Dazu gibt es eigentlich keine Regelungen.
Grund: Keine Kostenklärung.
Unterschied: Aktuelle Daten müssen tw. automatisch, tw. auf Verlangen von den Leistungserbringern eingetragen werden (§§ 347–349 SGB V).
Ich habe was von einer europäischen ePA gehört, was ist das?
Ein 'europäischer Gesundheitsdatenraum' EHDS wurde im Sommer noch knapp vor der Wahl von der EU beschlossen.
Die Idee ist die europaweite Speicherung und Nutzung aller Patient*innendaten.
Die Daten auf dem Chip der eGK sind schon heute europaweit nutzbar.
Letzlich ist noch nicht mehr darüber festgelegt.
Was ist mit dem Notfalldatensatz und dem Medikationsplan auf der eGK?
Diese Daten bleiben zunächst auf der Karte gespeichert.
In einem der nächsten Entwicklungsschritte sollen diese in der ePA gespeichert werden.
Die Daten sollen doch auch der Forschung dienen, oder?
Medizinische Forschung ist wichtig und richtig.
Es gibt aber starke Zweifel daran, dass die Daten aus der ePA sich für Forschung eignen.
Der Hauptgrund: Die Unstrukturiertheit der Daten.
Ein Problem, das auch keine "KI" lösen kann.
Forschung II
Die Forschung 'steuern' soll das neue Forschungsdatenzentrum (FDZ).
Der Auftrag des FFDZ ist (noch?) unspezifisch definiert - der Kreis der Möglichkeiten bei den Forschenden scheint zu groß.
Für die Umsetzung existiert ein 'Verordnungsentwurf'.
Beispiel: Der Gesundheitsminister will auch Google, OpenAI und Meta mit unseren Daten forschen lassen.
Aber die Daten sind doch anonym oder pseudonym!
Medizinische Daten lassen sich praktisch nicht anonymisieren.
Mit sehr wenig Datenpunkten ist eine De-Anonymisierung oder De-Pseudonymisierung möglich.
Und auch hier: die Datenqualität ist mit einem Fragezeichen zu versehen.
Ist die ePa sicher?
Eine Reihe von Expert*innen und Organisationen fordert seit längerem eine andere Struktur der ePA mit dezentraler Datenspeicherung. Auch die LAG und die BAG haben sich hier angeschlossen. Ohne allerdings Gehör zu finden.
Warum wäre das wichtig?
Es gibt bei technischen Systemen keine absolute Sicherheit.
Es gab in der Vergangenheit international schon diverse dokumentierte Fälle von Datenabflüssen (vorsätzlich oder fahrlässig) in Europa und darüber hinaus.
Beispiele?
Beispiel: Daten von 33 Millionen Franzosen betroffen.
Beispiel: Daten von 100 Millionen Amerikanern betroffen.
Übersicht über Fragen zur Sicherheit und Gesundheitsdaten als begehrte 'Handelsware'.
Was wäre dezentral besser?
Bei einem Problem wären nicht alle Daten einer Versicherung (oder gar mehrerer) betroffen.
Es gibt keine endgültige technische Sicherheit, daher waren wir der Meinung, dass wir nicht nur die Sicherheit an sich größtmöglich gestalten sondern auch die Folgen bei der Gefahr eines Datenabflusses - also möglichst wenige Daten.
Und dann kam der 27.12.2024
Was ist passiert?
Bianca Kastl und Martin Tschirsich haben auf dem traditionellen Congress des ChaosComputerClubs 38C3 gezeigt, wie einfach sich die ePA hacken lässt.
Bianca arbeitet im Gesundheitswesen und hat auch schon mal die Luca-App gehackt.
Martin Tschirsich hat einige der Grundspezifika der TI für die gematik mit entwickelt.
Beide wissen also, was sie tun.
Was fanden Sie heraus?
Sie konnten sich ohne Probleme fremde Versicherungskarten bestellen (Systemproblem).
Sie konnten sich Zugangssysteme für Praxen besorgen (bei Ebay Kleinanzeigen).
...mit den noch darinsteckenden Zugangskaarten (Heilberufsausweisen).
Was fanden Sie heraus?
Mit dem Zugriff zu EINER Patientenakte lassen sich alle abrufen - Systematik der Versichertennummern.
Die sind nämlich:
- einfach aufnummeriert
- auf der eGK aufgedruckt
Einmal eine Karte gesehen, kann man dann die Daten abrufen.
Das ist so, als wäre die PIN auf die Kreditkarte aufgedruckt.
Wie waren die Reaktionen?
gematik:
Das ist theoretisch möglich aber
Haben die wirklich geschrieben.
"Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen."
Was haben wir gemacht?
einen Brief geschrieben:
Also schon wieder.
Wir sind zur Zusammenarbeit bereit! Denn grundsätzlich macht Digitalisierung ja Sinn.
Wie geht es weiter?
Die Probephase hat am 15.1. begonnen.
Außer Abrechnungsdaten und aktuellen Rezepten ist aber praktisch nichts in der ePA vorhanden.
Das weitere Vorgehen ist unklar!
Karl Lauterbach sagt:
Bundesweiter Start erst, wenn alle Probleme behoben sind.
Aber es gibt auch andere Aussagen.
Was kann ich tun?
1. Abwarten
2. Widersprechen (bei jeder KK etwas anders)
3. Nichts tun
Mehr Infos:
Suchen Sie bei Ihrer Krankenkasse nach "Informationsmaterial nach § 343 Abs. 1a SGB V"
Mehr Infos:
Webangebot der Deutschen Aidshilfe.
Netzpolitischer Abend von digitalegesellschaft mit Manuel Hofmann von der Deutschen Aidshilfe.
Mehr Infos:
Zusammenfassung aus Sicht einer Ärztin.
Zusammenfassung Datenschutz vom Team Datenschutz der TU Berlin.
Mehr Infos:
ePa-Film der BAG.
ePa für alle (ab 2025)-Film der BAG.
Sie dürfen den Text unter Nennung der Lizenz CC BY-SA 4.0 und des Autors 'LAG Selbsthilfe RLP' teilen, verwenden und weiterverarbeiten.