Als die bundesweite โePA fรผr alleโ am 29. April 2025 freigeschaltet wurde, versprach das Bundesgesundheitsministerium mehrfach, die Kassen erhielten โkeinen Zugriff auf medizinische Inhalteโ โ einzelne Krankenkassen bekrรคftigen das seither in ihren eigenen FAQ.
Doch ein Blick in das Sozialgesetzbuch V (SGB V) zeigt, dass die Wirklichkeit komplizierter ist.
Inhaltsverzeichnis
Was regelt das Gesetz โ und wo beginnt der Graubereich?
ยง 343 SGB V verpflichtet die Kassen zunรคchst, ihre Versicherten transparent รผber die ePA zu informieren. Im selben Absatz 7 heiรt es jedoch zugleich, die Kasse mรผsse erklรคren, โdass die Krankenkassen keinen Zugriff auf die โฆ gespeicherten Daten habenโ.
Nur zwei Zeilen spรคter, in Absatz 8, taucht jedoch ein weiterer Anspruch auf: Behandlungsdaten dรผrfen in die ePA รผbertragen und dort von Leistungserbringern, Krankenkassen und Anbietern โverarbeitetโ werden.
Die Norm erlaubt also ausdrรผcklich eine Datenverarbeitung โ ein Konflikt mit der vorangestellten Zusicherung eines Zugriffsverbots, der in der รถffentlichen Kommunikation selten erwรคhnt wird.
Wie kommen die Kassen trotzdem an hochsensible Details?
In der Praxis entstehen mehrere Zugangswege. Zum einen sieht ยง 350 SGB V vor, dass Abrechnungsdaten, Diagnoseschlรผssel und Verordnungen aus den Kassensystemen automatisch in die ePA flieรen dรผrfen. Diese Informationen liegen der Kasse ohnehin vor; รผber die ePA geraten sie aber in ein viel umfassenderes medizinisches Kontextarchiv.
Zum anderen mรผssen alle Versicherer seit diesem Frรผhjahr eine Ombudsstelle einrichten, die Versicherten beim Verwalten ihrer Akte helfen soll. Die Ombudsstellen arbeiten im IT-Netz der jeweiligen Kasse โ und benรถtigen dafรผr uneingeschrรคnkten Lese- und Schreibzugang.
Warum sehen Datenschรผtzer darin ein hohes Risiko?
Patientenschรผtzer warnten unmittelbar vor dem Start, das System erlaube weiterhin keinen fein abgestuften Zugriff; wer eine รrztin berechtige, รถffne faktisch den gesamten Datenbestand.
Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte nach den jรผngsten Chaos-Computer-Club-Funden erneut, dass zusรคtzliche Schutzmechanismen fehlten und Missbrauch deshalb โtechnisch zu leichtโ bleibe.
Was bedeutet das fรผr Leistungsentscheidungen? Ein Erfahrungsbericht aus der Pflegeberatung
Pflegeberater erleben schon heute, wie Kassen Eintrรคge in ihren Datenbanken gegen Versicherte verwenden. Im geschilderten Fall eines Diabetikers reichte der bloรe Vermerk โParkinson (V. a.)โ aus einem Jahre zurรผckliegenden Verdacht, um den Antrag auf einen Elektrorollstuhl abzulehnen โ obwohl die Diagnose nie gesichert worden war.
Erst ein Gericht hob die Ablehnung auf. Wรคren kรผnftig sรคmtliche Verdachtsdiagnosen digital gebรผndelt und leicht recherchierbar, kรถnnte sich dieses Vorgehen vervielfachen.
Stimmt das Versprechen der freiwilligen Kontrolle durch die Versicherten?
Theoretisch kรถnnen Nutzer รผber die App jeden Zugriff einzeln genehmigen oder sperren. In der Praxis aber besitzt rund ein Viertel der รผber 70-Jรคhrigen weder Smartphone noch Tablet, und die angekรผndigte Desktop-Anwendung erscheint frรผhestens im Sommer. Bis dahin bleibt vielen Betroffenen nur der Gang zur Ombudsstelle โ also wieder zur Krankenkasse.
Kommt die ePA trotz allem den Patienten zugute?
Das Bundesgesundheitsministerium verweist auf bessere Notfallversorgung, weniger Doppeluntersuchungen und die Mรถglichkeit, pseudonymisierte Daten fรผr die Forschung bereitzustellen.
Auch Kritiker bestreiten diese Chancen nicht. Ihre Sorge richtet sich auf das Machtgefรคlle: Solange Versicherten in der praktischen Bedienung oder im Rechte-Management Unterstรผtzung fehlt, bleibt die technische Hoheit faktisch bei denselben Akteuren, die spรคter รผber Hilfsmittel, Reha-Maรnahmen oder Krankengeld entscheiden.
Welche Handlungsoptionen haben Versicherte jetzt?
Wer seine Daten nicht in der neuen Infrastruktur sehen mรถchte, kann der Einrichtung der ePA widersprechen; der Antrag ist formlos bei der eigenen Kasse mรถglich und kann jederzeit widerrufen werden.
Fรผr alle anderen empfiehlt sich, Zugriffsprotokolle regelmรครig zu kontrollieren und sensible Dokumente nur selektiv hochzuladen, bis das fein-granulare Berechtigungssystem vollstรคndig implementiert ist.
Fazit
Die Lรผcke zwischen dem Versprechen (โkeine Einblicke fรผr die Kassenโ) und juristischer Realitรคt (โVerarbeitung von Behandlungsdaten durch die Kassen erlaubtโ) ist offensichtlich. Solange diese Unklarheit besteht und Ombudsstellen organisatorisch an die Versicherer angebunden bleiben, bleibt das zentrale Anliegen des Datenschutzes โ die strikte Trennung von Behandlungs- und Leistungsdaten โ eine offene Baustelle.
- รber den Autor
- Letzte Beitrรคge des Autors
Carolin-Jana Klose ist seit 2023 Autorin bei Gegen-Hartz.de. Carolin hat Pรคdagogik und Sportmedizin studiert und ist hauptberuflich in der Gesundheitsprรคvention und im Reha-Sport fรผr Menschen mit Schwerbehinderungen tรคtig. Ihre Expertise liegt im Sozialrecht und Gesundheitsprรคvention. Sie ist aktiv in der Erwerbslosenberatung und Behindertenberatung.
