Als die bundesweite „ePA für alle“ am 29. April 2025 freigeschaltet wurde, versprach das Bundesgesundheitsministerium mehrfach, die Kassen erhielten „keinen Zugriff auf medizinische Inhalte“ – einzelne Krankenkassen bekräftigen das seither in ihren eigenen FAQ.
Doch ein Blick in das Sozialgesetzbuch V (SGB V) zeigt, dass die Wirklichkeit komplizierter ist.
Inhaltsverzeichnis
Was regelt das Gesetz – und wo beginnt der Graubereich?
§ 343 SGB V verpflichtet die Kassen zunächst, ihre Versicherten transparent über die ePA zu informieren. Im selben Absatz 7 heißt es jedoch zugleich, die Kasse müsse erklären, „dass die Krankenkassen keinen Zugriff auf die … gespeicherten Daten haben“.
Nur zwei Zeilen später, in Absatz 8, taucht jedoch ein weiterer Anspruch auf: Behandlungsdaten dürfen in die ePA übertragen und dort von Leistungserbringern, Krankenkassen und Anbietern „verarbeitet“ werden.
Die Norm erlaubt also ausdrücklich eine Datenverarbeitung – ein Konflikt mit der vorangestellten Zusicherung eines Zugriffsverbots, der in der öffentlichen Kommunikation selten erwähnt wird.
Wie kommen die Kassen trotzdem an hochsensible Details?
In der Praxis entstehen mehrere Zugangswege. Zum einen sieht § 350 SGB V vor, dass Abrechnungsdaten, Diagnoseschlüssel und Verordnungen aus den Kassensystemen automatisch in die ePA fließen dürfen. Diese Informationen liegen der Kasse ohnehin vor; über die ePA geraten sie aber in ein viel umfassenderes medizinisches Kontextarchiv.
Zum anderen müssen alle Versicherer seit diesem Frühjahr eine Ombudsstelle einrichten, die Versicherten beim Verwalten ihrer Akte helfen soll. Die Ombudsstellen arbeiten im IT-Netz der jeweiligen Kasse – und benötigen dafür uneingeschränkten Lese- und Schreibzugang.
Warum sehen Datenschützer darin ein hohes Risiko?
Patientenschützer warnten unmittelbar vor dem Start, das System erlaube weiterhin keinen fein abgestuften Zugriff; wer eine Ärztin berechtige, öffne faktisch den gesamten Datenbestand.
Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte nach den jüngsten Chaos-Computer-Club-Funden erneut, dass zusätzliche Schutzmechanismen fehlten und Missbrauch deshalb „technisch zu leicht“ bleibe.
100 % spam-frei • jederzeit abbestellbar
Was bedeutet das für Leistungsentscheidungen? Ein Erfahrungsbericht aus der Pflegeberatung
Pflegeberater erleben schon heute, wie Kassen Einträge in ihren Datenbanken gegen Versicherte verwenden. Im geschilderten Fall eines Diabetikers reichte der bloße Vermerk „Parkinson (V. a.)“ aus einem Jahre zurückliegenden Verdacht, um den Antrag auf einen Elektrorollstuhl abzulehnen – obwohl die Diagnose nie gesichert worden war.
Erst ein Gericht hob die Ablehnung auf. Wären künftig sämtliche Verdachtsdiagnosen digital gebündelt und leicht recherchierbar, könnte sich dieses Vorgehen vervielfachen.
Stimmt das Versprechen der freiwilligen Kontrolle durch die Versicherten?
Theoretisch können Nutzer über die App jeden Zugriff einzeln genehmigen oder sperren. In der Praxis aber besitzt rund ein Viertel der über 70-Jährigen weder Smartphone noch Tablet, und die angekündigte Desktop-Anwendung erscheint frühestens im Sommer. Bis dahin bleibt vielen Betroffenen nur der Gang zur Ombudsstelle – also wieder zur Krankenkasse.
Kommt die ePA trotz allem den Patienten zugute?
Das Bundesgesundheitsministerium verweist auf bessere Notfallversorgung, weniger Doppeluntersuchungen und die Möglichkeit, pseudonymisierte Daten für die Forschung bereitzustellen.
Auch Kritiker bestreiten diese Chancen nicht. Ihre Sorge richtet sich auf das Machtgefälle: Solange Versicherten in der praktischen Bedienung oder im Rechte-Management Unterstützung fehlt, bleibt die technische Hoheit faktisch bei denselben Akteuren, die später über Hilfsmittel, Reha-Maßnahmen oder Krankengeld entscheiden.
Welche Handlungsoptionen haben Versicherte jetzt?
Wer seine Daten nicht in der neuen Infrastruktur sehen möchte, kann der Einrichtung der ePA widersprechen; der Antrag ist formlos bei der eigenen Kasse möglich und kann jederzeit widerrufen werden.
Für alle anderen empfiehlt sich, Zugriffsprotokolle regelmäßig zu kontrollieren und sensible Dokumente nur selektiv hochzuladen, bis das fein-granulare Berechtigungssystem vollständig implementiert ist.
Fazit
Die Lücke zwischen dem Versprechen („keine Einblicke für die Kassen“) und juristischer Realität („Verarbeitung von Behandlungsdaten durch die Kassen erlaubt“) ist offensichtlich. Solange diese Unklarheit besteht und Ombudsstellen organisatorisch an die Versicherer angebunden bleiben, bleibt das zentrale Anliegen des Datenschutzes – die strikte Trennung von Behandlungs- und Leistungsdaten – eine offene Baustelle.
- Über den Autor
- Letzte Beiträge des Autors
Carolin-Jana Klose ist seit 2023 Autorin bei Gegen-Hartz.de. Carolin hat Pädagogik und Sportmedizin studiert und ist hauptberuflich in der Gesundheitsprävention und im Reha-Sport für Menschen mit Schwerbehinderungen tätig. Ihre Expertise liegt im Sozialrecht und Gesundheitsprävention. Sie ist aktiv in der Erwerbslosenberatung und Behindertenberatung.
