Elektronische Patientenakte (Deutschland)

Die elektronische Patientenakte (kurz ePA) ist eine elektronische Gesundheitsakte, in der die individuelle Anamnese, Behandlungsdaten, Arztbriefe, Medikamente, Allergien und weitere Gesundheitsdaten der Krankenversicherten sektor- und fallübergreifend deutschlandweit einheitlich gespeichert werden können. Sie wurde seit 2003 im Rahmen der E-Health-Strategie vom Bundesgesundheitsministerium (BMG) erarbeitet. Für die Patienten selbst ist die ePA auf der Grundlage des Patientendatenschutzgesetzes^[1] (PDSG) vom 14. Oktober 2020 freiwillig. Sie ist seit 1. Januar 2021 (in Form der Version 2) für alle Versicherten in der gesetzlichen Krankenversicherung nutzbar.^[2]

Wenn nicht jeweils vom GKV-Versicherten widersprochen wird, ist die elektronische Patientenakte seit dem 29. April 2025 in Form der Version 3.0 für alle gesetzlich Versicherten verfügbar: Im Januar und Februar 2025 wurden für jeden gesetzlich Krankenversicherten zeitnah automatisch von der jeweiligen Krankenkasse eine ePA Version 3.0 eingerichtet,^[3][4] sofern die jeweilige Person dem nicht bei ihrer Krankenkasse widersprochen hat,^[5] wobei der Widerspruch auch später jederzeit möglich ist und sodann eine bestehende ePA von der jeweiligen Krankenkasse unverzüglich zu löschen ist.^[6]

Mit dem GKV-Modernisierungsgesetz vom 14. November 2003 erfolgte unter der damaligen 20sten Bundesregierung der gesetzliche Beschluss zur Einführung einer elektronischen Patientenakte (ePA) in Deutschland. In den Folgejahren wurde dann lange um eine konkrete Ausgestaltung solch einer umfangreichen digitalen Plattform gerungen.

18 Jahre nach dem Beschluss zur Einführung einer ePA in Deutschland ist am 1. Januar 2021 die elektronische Patientenakte für alle Versicherten in Krankenkassen als „Version 1.0“ gestartet. Das bedeutete, gesetzlich Krankenversicherte hatten ab da an ihren Krankenkassen gegenüber einen Anspruch auf eine ePA und ein Recht darauf, dass ihre Ärzte ihre persönliche Akte befüllen. Für die Patienten selbst war sie freiwillig, eine Nutzung erfolgte nur nach Zustimmung der Patienten mittels Opt-in. Grundlage hierfür war das im Juli 2020 vom Bundestag verabschiedete Patientendatenschutzgesetz (PDSG).^[7] Am 1. Januar 2022 wurde mit der ePA Version 2.0 die nächste Stufe freigeschaltet.

Am 14. Dezember 2023^[8] verabschiedete der Bundestag unter der nun 25. Bundesregierung das Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen^[9] (Digital-Gesetz – DigiG), so dass im März 2024 dadurch weitgehende Änderungen zur elektronischen Patientenakte wirksam wurden. Dabei wurde aber gerade die darin enthaltene Rückstufung einzelner Sicherheitsanforderungen u. a. vom damaligen BfDI als kritisch eingeschätzt.^[10]

Jeder gesetzlich Krankenversicherte soll gemäß dem Digital-Gesetz zum 15. Januar 2025 eine ePA mit dem Produktnamen ePA für alle bzw. der Bezeichnung ePA ab Version 3.0 erhalten, sofern er dem nicht bei seiner Krankenkasse widerspricht (Opt-out-Verfahren).^[11]

Laut einer Umfrage der Deutschen-Presse-Agentur Ende September 2024 wollten nur wenige der Versicherten von der Widerspruchsmöglichkeit Gebrauch machen.^[12] Eine um rund zwei Monate spätere Befragung des AOK-Bundesverbands von Ende November 2024 zeigte allerdings, dass zu dem Zeitpunkt doch etwa jeder fünfte, d. h. 21,3 Prozent, der Befragten von der Opt-out Möglichkeit Gebrauch machen wolle durch Widerspruch gegen das Anlegen der persönlichen Patientenakte.^[13]

Einen Monat nach dem Beginn der vorgeschriebenen Nutzung der elektronischen Patientenakte im Oktober 2025 wurde das Angebot von den Versicherten noch kaum aktiv genutzt. Die Kassen kritisieren ein zu kompliziertes Zugangsverfahren. Für die Nutzung der elektronischen Patientenakte ist zuerst die Installation von bis zu drei Apps erforderlich. Wie berichtet wurde, kommen viele Versicherte spätestens bei der Anmeldung und Identifikation nicht weiter, weil PINs und Geräte fehlen oder kompliziert zu benutzen sind.^[14][15]

In den Modellregionen Franken,^{[Anm. 1]} Hamburg und Umland^{[Anm. 2]} sowie in Teilen Nordrhein-Westfalens^{[Anm. 3]} startete am 15. Januar 2025 in rund 300 Arzt- und Zahnarztpraxen, Apotheken und Krankenhäusern die Pilotphase für die ePA 3.0. Nach dem verzögerten Abschluss der Testphase startete die „ePA für alle“ am 29. April 2025 bundesweit.^[16][17]

Bis Mitte Februar 2025 stellten die Krankenkassen allen Versicherten, die nicht widersprochen haben, eine elektronische Patientenakte zur Verfügung. Versicherte können seitdem Dokumente in ihre ePA einstellen bzw. über die Krankenkassen einstellen lassen und über die ePA-App die Medikationsliste oder die sogenannten Abrechnungsdaten einsehen.^[18]

Bereits zuvor hatte die gematik die mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmten zusätzlichen Sicherheitsmaßnahmen für die bundesweite Einführung der ePA umgesetzt.^[19]

• Laut Informationen des Bundesministeriums für Gesundheit von Anfang April 2025 wird die ePA ab dem zweiten Quartal 2025 auch außerhalb der Modellregionen getestet. Die breiter aufgesetzte Stufe der Tests ist für die Ärztinnen und Ärzte aber zunächst weiterhin noch freiwillig.^[20]
• Zur gleichen Zeit heißt es dazu in einer Pressemitteilung der Bundesärztekammer ergänzend: Die Erfahrungen der ersten Nutzung der elektronischen Patientenakte (ePA) im Zuge der Erprobung in den drei Modellregionen haben zahlreiche technische Verbesserungsnotwendigkeiten offengelegt, sodass eine bundesweite verbindliche Einführung derzeit unvertretbar wäre.^[21]
• Hinzu kommt gleichzeitig auch die Feststellung seitens Mitglieder des CCC, dass bisher keine der Forderungen zu besserer Sicherheit der ePA 3.0 des Chaos Computer Clubs an den verantwortlichen Stellen reflektiert worden sei und die Risiken von der Gematik schlichtweg akzeptiert würden.^[21][22]

Gemäß Weisung des BMG an die Gematik von Mitte April^[23][24] werden für eine Übergangsphase vom 29. April bis 30. September 2025 die zwei folgenden grundlegenden Änderungen gegenüber der bisherigen 2025er Testphase vorgegeben: Die ePA Funktionen werden ab dem 29. April bundesweit für alle Leistungserbringer nutzbar sein. Ab dem 29. April wird keine integrierte Whitelist bzw. Positivliste bzgl. vertrauenswürdiger Leistungserbringer mehr vorhanden sein, wie sicherheitshalber in der Testphase bis zum 28. April 2025.

Seit dem 1. Oktober 2025 sind Ärztinnen und Ärzte sowie weitere Leistungserbringer zur Nutzung der ePA verpflichtet. Demnach müssen sie die ePA mit den gesetzlich festgeschriebenen Daten befüllen. Dazu gehören u.a, Arztbriefe, Befunde, Diagnosen und der elektronische Medikationsplan. Für die Versicherten bleibt die Nutzung der ePA freiwillig.^[25]

Gemäß Weisung des BMG an die Gematik von Mitte April

• ist seit dem 1. Oktober 2025 das Einspeisen der medizinischen Gesundheitsdaten in vorhandene ePAs für die niedergelassenen Mediziner sowie die Krankenhausärzte in Deutschland verpflichtend.^[26][24]
• werden seit dem 1. Januar 2026 Nichtbefüllungen durch Mediziner von vorhandenen ePAs sanktioniert.^[27]

Im Februar 2025 kündigte das Bundesministerium für Gesundheit an, dass folgende kommende Versionen geplant sind:^[28]

• Version 3.0.5 (Umsetzung Juli 2025) Diese Version dient vorrangig dazu, das System zu stabilisieren und zu optimieren. Darüber hinaus umfasst sie auch den TI-Messenger für die Kommunikation zwischen Leistungserbringenden und Patienten.

• Version 3.1.3 (Umsetzung März 2026) Die Version enthält unter anderem die vollständige Umsetzung des digital gestützten Medikationsprozesses (dgMP) und die Volltextsuche.^[29]
• Version 3.2 (Umsetzung März 2027) Die Version enthält den Laborprozess und Arzt- & Entlassbriefe.

Dabei hält sich die Gematik ausdrücklich vor, ihre Roadmap beziehungsweise ihre weitere Projektplanung von kommenden Funktionsergänzungen jederzeit inhaltlich und terminlich abzuändern. Bislang ist eine Speicherung zum Beispiel auch von Röntgenbildern und Tomogrammen nicht vorgesehen.

Kritiker befürchten, dass in der ePA eine Vielzahl persönlicher Gesundheitsdaten gesammelt werden, die potenziell missbraucht werden könnten. Die zentrale Speicherung der Daten birgt grundsätzlich auch das Risiko von Datenlecks und unberechtigtem Zugriff in deutschlandweitem Umfang.

Laut der Gematik habe der „Patient die volle Kontrolle über die Freigabe der Informationen in ihrer ePA“.^[30] Diese Aussage ist jedoch irreführend, da diese Kontrolle nicht kryptografisch sichergestellt ist, sondern nur von der Sicherheit der Implementierung und der aktuellen Gesetzeslage abhängt.

Neben Datenschutzbedenken und Sicherheitsbedenken, wie u.a vom ehemaligen BfDI Ulrich Kelber im Jahr 2024 vorgebracht, bestehen mit Stand Dezember 2024 bzw. Januar 2025 weiterhin sehr große Unklarheiten, welche Eigenschaften die deutsche ePA in der Version 3.0 beinhaltet.

• Dabei betreffen die Unklarheiten auch weiterhin insbesondere Fragen der Haftung und des Datenschutzes, Fragen rund um die Unabhängigkeit der Ärzte und umfassende Einsicht in die Daten, Stichwort „Aushöhlung der ärztlichen Verschwiegenheitspflicht“,
• sowie ein jetzt hinzukommendes beschränktes Berechtigungsmanagement, so dass voraussichtlich z. B. selbst Mitarbeiter der Apotheken inklusive Versandapotheken umfassenden Zugriff auf die Inhalte der ePA 3.0 haben werden.^[31]

Zu den von Kritikern bemängelten inhaltlichen und Bedienbarkeits-Aspekten zählen u. a., dass in der ePA 3.0 zum Start Anfang 2025 keine Volltextsuche möglich ist, d. h. alle PDF-Dokumente müssten für eine Suche jeweils manuell gesichtet werden. Auch liegen die hinterlegten Daten zum Großteil als PDF-Dateien und nicht als auswertbare strukturierte Daten vor und es gibt dort keinerlei Dateien aus bildgebenden Verfahren. Die Hersteller von Patientenverwaltungssystemen (PVS) kritisieren zudem den im November 2024 erreichten Qualitätsstand der Software.^[32]

Die seitens des BMG angekündigten Forschungsvorteile durch die ePA-Daten werden laut Expertenmeinungen nicht realisierbar sein.^[33] Zudem stehen zahlreiche statistische Gesundheitsdaten für Aspekte der deutschen Krankenversorgungsplanung bereits heute an anderen Stellen zur Verfügung, u. a.

• seitens der Krankenkassen sowie der Wissenschaftlichen Institute der Krankenkassen,
• seitens des InEK, der Kassenärztlichen Vereinigungen (KVen) und der Deutschen Medizinischen Register sowie
• seitens des Statistischen Bundesamtes (Destatis)^[34] bzw. dessen gbe-Internetseite zur Gesundheitsberichterstattung des Bundes^[35] und des seit längerem bestehenden Forschungsdatenzentrums der Statistischen Ämter der Länder.^[36]

Die Freie Ärzteschaft kritisiert darüber hinaus Anfang Dezember 2024 bekannt gewordene Pläne des Bundesgesundheitsministeriums, internationalen Konzernen wie u. a. den Big-Tech-Konzernen die Nutzung der Krankheitsdaten für kommerzielle Zwecke zu ermöglichen.^[37]

Patientenschützer sehen einen Tag vor dem Start keine Möglichkeiten, einzelne Dokumente nur bestimmten Ärzten zur Verfügung zu stellen, und fühlen sich getäuscht.^[38] Das ZDF heute journal berichtet, anders als die Tagesschau, dennoch abends das Gegenteil ohne Hinweis auf die ARD-Berichte.^[39]

Im Jahr 2024 hat sich ein Bündnis Widerspruch gegen die elektronische Patientenakte gegründet, in der bisher (Stand Ende Juni 2025) 17 Vereine bzw. Organisationen zusammengeschlossen sind. Die Risiken seien bisher zu wenig bekannt, so dass die Ärzte, Zahnärzte, Psychotherapeuten und Datenschützer mit diesem Bündnis alle Bürger besser aufklären wollen. Sie zeigen auch Möglichkeiten, die digitale Datensammlung abzulehnen. Auf ihrer Homepage – widerspruch-epa.de – sind Widerspruchsgeneratoren zu finden, die Formschreiben zur Ablehnung an die Krankenkassen bereithalten. Die bisher formulierten Probleme sehen die Bündnismitglieder in den deutlichen Datenlücken, die in der Pilotphase durch Tests des Chaos Computer Clubs aufgedeckt wurden. Das zweite Risiko wird im Umgang mit den Daten gesehen, die gesetzlich zugelassen sind, beispielsweise durch den Zugriff von Pharmakonzernen auf die persönlichen Daten, wenn diese nicht anonymisiert werden. Außerdem macht das Bündnis auch deutlich, dass jedermann auch eine teilweise Ablehnung vornehmen kann, beispielsweise gegen eine Risikosuche. Das muss der Versicherte seiner Krankenkasse schriftlich mitteilen, die dann die Teilfunktionen außer Betrieb setzt.^[40]

Die elektronische Patientenakte basiert auf der Telematikinfrastruktur (TI). Die Gematik trägt die Gesamtverantwortung für die Telematikinfrastruktur, die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen (vgl. § 306 SGB V). Mit der Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen in der TI soll die Gematik gewährleisten, dass diese zentrale Infrastruktur sicher, leistungsfähig und nutzerfreundlich ist.^[41] Dabei finanzierte allein der GKV-Spitzenverband nach eigenen Angaben die Gematik in den Jahren zwischen 2008 und 2022 durch Zahlungen in Höhe von insgesamt 774,6 Millionen Euro. Laut der Gematik trägt zudem die PKV 7 Prozent der Finanzierung, gemessen an den GKV-Zahlen würde die Summe damit bei ca. 58 Millionen Euro liegen und die Gesamtsumme für 2008 bis 2022 läge bei rund 833 Millionen Euro.^[42]

Die Gematik betreibt ein Telematikinfrastruktur Dashboard (TI Dashboard), welches die Entwicklung sämtlicher Elemente der TI anzeigt. Am 7. Februar 2025 waren 69.895.552 ePA angelegt.^[43] Damit hat zu diesem Zeitpunkt jeder gesetzlich Versicherte, der bis dahin nicht widersprochen hat, eine elektronische Patientenakte. Ende November 2023 waren es lediglich 867.456 ePAs.^[44]

Die Infrastruktur für die Aktenkonten stellen das österreichische Unternehmen RISE (Research Industrial Systems Engineering) im Entwicklerkonsortium mit der deutschen Bitmarck Holding GmbH sowie IBM Deutschland, ein Tochterunternehmen der US-amerikanischen IBM Corporation.^[45][46]

Die ePA wird von Ärzten im Behandlungskontext automatisch genutzt und eingebunden. Zusätzlich ist durch Integration der E-Rezepte eine Medikationsliste implementiert.

Ursprünglich ab Sommer 2025 geplant aber lt. der ePA-3.0-Pilotphase nun erst ab März des Jahres 2026 wird ein digitaler Medikationsprozess (dgMP) eingebunden und diese Daten werden dann, so weit in den Einstellungen der jeweiligen ePA freigegeben, auch für Forschungszwecke übermittelt. Laborbefunde sollten ab Anfang 2026 dazukommen,^[47] wobei sich auch das zeitlich weiter in die Zukunft verschiebt.

In die ePA für alle lassen sich unstrukturierte Daten wie PDF/A-Dokumente und strukturierte Daten in Form von medizinischen Informationsobjekten (FHIR) hochladen.^[48] Medizinische Informationsobjekte (MIO) sind kleine digitale Informationsbausteine, die universell einsetzbar und kombinierbar sind. Beispiele hier sind der Impfpass, das Zahnärztliche Bonusheft, der Mutterpass und das Kinder-Untersuchungsheft.^[49]

Die „ePA für alle“ bzw. die ePA ab Version 3.0 funktioniert auch ohne aktives Zutun der Versicherten. Ärzte können die ePA auch dann einsehen und aktualisieren, wenn der jeweilige Patient selbst nicht die zugehörige ePA-App installiert hat.^[50] Standardmäßig sind Dokumente in der ePA ab Version 3.0 für alle Ärzte sichtbar.

Das lässt sich jedoch durch ein Berechtigungssystem einschränken:^[51] Für jedes Dokument kann separat die Sichtbarkeit für alle Leistungserbringer deaktiviert werden. Darüber hinaus lässt sich eine Liste der Leistungserbringer pflegen. Hiermit kann der Zugriff einzelner Ärzte komplett verhindert werden. Zusätzlich kann so der Zugriff von Leistungserbringern befristet oder ein unbefristeter Zugriff ermöglicht werden. Es ist nicht möglich, ausgewählte Leistungserbringer nur für ausgewählte Dokumente zu berechtigen.^[52]

Versicherte können über eine von ihrer Krankenkasse zur Verfügung gestellte Smartphone-App (Android oder iOS) auf ihre ePA zugreifen oder über eine dafür eingerichtete Ombudsstelle der eigenen Krankenkasse. Ab Mitte 2025 soll auch der Zugriff über Desktop-Computer (Web-Zugriff) möglich sein.^[53] Mit Stand Februar 2025 stellen 94 der gesetzlichen Krankenkassen ihren Mitgliedern entsprechende Anwendungen zur Verfügung, wobei (noch) nicht alle die Version ePA-3.0 unterstützen.^[54]

Allein die Versicherten selbst können den Zugriff auf ihre Patientenakten ermöglichen. Dies erfolgt durch das Einlesen der elektronischen Gesundheitskarte, wodurch die ePA für Ärzte für einen Zeitraum von 90 Tagen freigegeben wird. Es ist eine Institutionsberechtigung vorgesehen, d. h. berechtigt werden nicht nur Ärzte, sondern auch deren berufsmäßige Gehilfen.

Apotheken haben nach Abholen der Medikamente 3 Tage Zugriff auf die ePA.^[55] Sie können in der ePA schreibend auf die Medikationsliste und die elektronische Impfdokumentation zugreifen, auf andere Dokumente haben Apotheker lediglich lesenden Zugriff.^[56][57]

Patientinnen und Patienten können den Zugriff über eine ePA-App auch frühzeitig beenden oder verlängern.^[58]

Der Zugriff auf einzelne Dokumente kann über ein Berechtigungssystem weiter eingeschränkt werden. Hierzu kann pro Dokument die Sichtbarkeit des Dokuments für alle berechtigten Gesundheitspartner (Leistungserbringer) deaktiviert werden.

Die ePA zeichnet Vorgänge in einem Protokoll auf. Dabei unterscheidet die ePA die Protokollierung von Verwaltungsvorgängen und Vorgängen, die unmittelbar im Zusammenhang mit den medizinischen Daten stehen – das sogenannte Zugriffsprotokoll.

Krankenkassen dürfen auf die ePA zugreifen, um spezielle Services wie die Erinnerung an Vorsorgeuntersuchungen anzubieten. Dafür müssen sie aber von den Versicherten explizit berechtigt worden sein.^[59]

Ärzte unterliegen als Berufsgeheimnisträgern der Schweigepflicht. Gemäß § 97 der Strafprozessordnung (StPO) gilt ein Beschlagnahmeverbot für ärztliche Aufzeichnungen über Patienten, falls sich zu beschlagnahmende Gegenstände „im Gewahrsam der zur Verweigerung des Zeugnisses Berechtigten“ befinden. Da nicht Ärzte, sondern Patienten die elektronische Gesundheitskarte (eGK) besitzen, wurde das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) geändert: Die Daten besitzen an sich zeugnisverweigerungsberechtigte Ärzte. Sie unterliegen dem Beschlagnahmeschutz. Mit der eGK besitzen auch Patienten derartige Daten. Die Änderung des § 97 StPO sollte das Arzt-Patienten-Verhältnis schützen: Patienten müssen sicher sein können, dass eGK-Daten nur der Optimierung ihrer Behandlung dienen. Was für die eGK im Gesetz steht, gilt nicht für die ePA. Diese taucht in § 97 StPO nicht auf. Der Schutz der ePA vor dem Zugriff von Strafverfolgungsbehörden ist im Gesetz nicht vorgesehen.^[60]

Die ePA wird Anfang 2025 für alle Patientinnen und Patienten eingerichtet, die nicht widersprochen haben. Sie steht dann leer zur Verfügung. Die Befüllung durch die Arztpraxen erfolgt aber erst, wenn die ePA sich in den Modellregionen in der Pilotphase Anfang 2025 in der Praxis bewährt hat.^[61]

Sie erfolgt mit Daten, die bei der aktuellen Behandlung erhoben werden und elektronisch vorliegen.

Die folgenden Daten müssen dann eingestellt werden:

• Befundberichte aus invasiven oder chirurgischen sowie aus nichtinvasiven oder konservativen diagnostischen und therapeutischen Maßnahmen
• Befunddaten aus bildgebender Diagnostik
• Laborbefunde
• E-Arztbriefe

Die folgenden Daten können dann eingestellt werden:

• Daten aus strukturierten Behandlungsprogrammen (DMP)
• eAU-Bescheinigungen (Patienten-Kopie)
• Daten zu Erklärungen zur Organ- und Gewebespende
• Vorsorgevollmachten und Patientenverfügungen
• elektronische Abschrift der vom Arzt oder Psychotherapeuten geführten Behandlungsdokumentation

Außerdem schreiben künftig auch Digitale Gesundheitsanwendungen (DiGA) Daten in die elektronische Patientenakte. Beim BfArM gelistete DiGA mussten das Bestätigungsverfahren der gematik zur Nutzung der hierfür notwendigen Telematikinfrastruktur (TI)-Komponenten bis zum 30. April 2024 erfolgreich durchlaufen haben.^[62][63]

Ursprünglich sollten ab Mitte des Jahres 2025 auf Basis der ePA Version 3.0 aggregierte Daten wissenschaftlichen Instituten und Unternehmen, perspektivisch auch weltweit, für Forschungszwecke pseudonymisiert zur Verfügung gestellt werden können. Aufgrund verschiedener Probleme hat sich das allerdings zeitlich ins Jahr 2026 verschoben. Selbst mit globalen Unternehmen aus dem KI-Umfeld führte das deutsche Gesundheitsministerium (BMG) dazu bereits im Herbst 2024 erste Gespräche, um Trainingsdaten zur datengestützten Bekämpfung von Krankheiten wie Krebs generieren zu können.^[64]

Für den Bereich der ePA-Daten für Forschungszwecke sind mit Stand Juli 2025 folgende 3 Versichertengruppen zu unterscheiden:

1. Regelung für gesetzlich Krankenversicherte für Forschungszwecke: Mit Einführung der ePA Version 3.0 besteht für jeden ePA-Besitzer der (über die GKV) gesetzlich krankenversichert ist die Standardvoreinstellung, dass die ePA-Daten der jeweiligen Person pseudonymisiert für Forschungszwecke an das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) am Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ausgeleitet^[65] werden und dort dann weiterverarbeitet werden können. Diese Einstellung ist laut Angaben der Gematik eine Opt-out-Funktion und kann deshalb grundsätzlich vom jeweiligen ePA-Besitzer in der entsprechenden EPA-APP manuell deaktiviert werden. Bei einer bestehenden ePA ist für die Deaktivierung der Forschungsdatenausleitung somit die aktive Nutzung der ePA-APP durch den jeweiligen Versicherten zwingende Voraussetzung.
2. Regelung für privat Krankenversicherte für Forschungszwecke: Für über die PKV Krankenversicherte gibt es keine Planungen, Daten ans Forschungsdatenzentrum Gesundheit auszuleiten.^[66]
3. Regelung für Bundeswehrangehörige für Forschungszwecke: Bald sollen auch Soldaten der Bundeswehr eine elektronische Patientenakte (ePABw) erhalten, auch für diese Personengruppe gibt es keine Planungen, Daten an das Forschungsdatenzentrum Gesundheit auszuleiten.^[66]

Die Gematik betont zwar, dass die in der ePA enthaltenen hochsensiblen Daten durch ein besonderes Sicherheitskonzept geschützt seien, allerdings bleiben auch mit Stand Mai/Juli 2025^[67] noch deutliche Unwägbarkeiten und Unklarheiten bei der (Zugriffs-)Sicherheit der elektronischen Patientenakte, denn:

• Dass bei der Sicherheitsarchitektur der ePA die digitalen Schlüssel zur Verschlüsselung der Daten nicht beim Patienten liegen, ist als problematisch anzusehen:^[68] Somit sind ePAs technisch zugreifbar für Personen oder Institutionen mit Kontrolle über den Betreiber der Infrastruktur oder bei Softwareschwachstellen. Auch Ende des Jahres 2025 wird dieses weiterhin bestehende grundlegende Manko auf dem „39C3“-Kongress des Chaos Computer Club mit aktuellen Untersuchungen unterlegt und veranschaulicht.^[69][70]
• Die von der Gematik beauftragte Überprüfung durch das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) im September 2024 führte damals zur Einschätzung „Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern...“.^[71] Der dieser Sicherheitsbetrachtung zugrundeliegende Abschlussbericht des SIT benennt insgesamt 21 Schwachstellen, von denen 4 als „hoch“ eingestuft werden.^[72]
• Der Chaos Computer Club (CCC) schätzt die Sicherheit rund um die ePA-Daten aufgrund verschiedener eigener Sicherheits-Tests schon seit mehreren Jahren als lückenhaft und damit deutlich abweichender von der Gematik ein und hat das mehrfach mit ausführlichen Begründungen publik gemacht, so u. a. auch:

* Mit Stand 27. Dezember 2024: Bei seinem Kongress „38C3“ wurde das nochmals ausführlich in einem dortigen Vortrag begründet.^[73][74] Als direkte Reaktion darauf hat die Gematik am gleichen Tag mitgeteilt, dass sie bereits technische Lösungen zum Unterbinden der vom CCC aufgezeigten Angriffsszenarien konzipiert habe und dass sie diese bis zum Ende der ePA 3.0-Pilotphase umsetzen werde.^[75]

* Sowie weiterhin^[21][22] mit Stand im April 2025.

* Auch am 30. April 2025 bestehen lt. dem CCC und Sicherheitsforschern in der ePA weiterhin Sicherheitslücken.^[76] Dabei auch weiterhin die tiefgreifende Lücke, dass ohne im Besitz der Versichertenkarte zu sein, gezielt auf einzelne ePAs von außen zugegriffen werden kann: Nach Angaben des CCC liegt die Ursache dafür^[77] insbesondere darin, dass die Kryptographiefunktionen im Chip jeder Versichertenkarte nur unvollständig vom ePA-System genutzt werden.

• Der damalige Bundesgesundheitsminister Karl Lauterbach bestätigte am 30. April 2025 die Sicherheitsmängel,^[78] wobei festzuhalten bleibt: Hätte er direkt Anfang 2024 die deutlichen Eingaben^[79] des damaligen BfDI Ulrich Kelber berücksichtigt und somit im Sinne Kelbers der damaligen Herabsetzung der Sicherheitsstandards beim ePA-Authentifizierungsverfahren widersprochen, so gäbe es diese Authentifizierung-Sicherheitslücken des ePA-Systems 2025 nicht.

• Dadurch, dass bei der Sicherheitsarchitektur der ePA die digitalen Schlüssel zur Verschlüsselung der Daten nicht beim Patienten liegen^[70], sind grundsätzlich auch unautorisierte Zugriffe in Einzelfällen seitens Krankenkassen durchführbar.
• Der Schutz der ePA vor dem Zugriff von Strafverfolgungsbehörden ist im Gesetz nicht vorgesehen.
• Es ist nicht auszuschließen, dass US-Behörden über das Unternehmen IBM an Gesundheitsdaten deutscher Versicherter gelangen könnten. Grundlage dafür wäre das US-amerikanische Gesetz Clarifying Lawful Overseas Use of Data Act (CLOUD Act), welches besagt, dass IT-Unternehmen aus den USA unter bestimmten Bedingungen Daten an US-Behörden weiterleiten müssen. Das gilt auch, wenn diese außerhalb der Vereinigten Staaten gespeichert sind. Da IBM Deutschland ein Tochterunternehmen von IBM Corporations ist, wäre eine solche Weiterleitung also möglich. Nach einer Kleinen Anfrage der Bundestagsfraktion „Die Linke“ im Oktober 2025 konnte die Bundesregierung nicht abschließend auf diese Frage antworten: Sie erklärte zwar, dass die Daten verschlüsselt in Deutschland gespeichert würden und ohne den „Schlüssel des Versicherten“^[80] nicht lesbar seinen. Allerdings existiert kein individueller Schlüssel pro versicherter Person, und zudem liegen die vorhandenen Zugangsschlüssel bei den IT-Betreibern selbst.^[46]

Auch Mitte des Jahres 2025 bestehen weiterhin hohe Risiken in Bezug auf Ausfallzeiten des Systems und es gibt weiterhin massive Beschwerden von Ärzte- und Apothekerverbänden über eine deutlich unzureichende^[81] Verfügbarkeit der Telematikinfrastruktur (TI) insbesondere bei der ePA, allerdings auch beim E-Rezept und bei der eAU. Aus dem Zeitraum 29. April bis 9. Juli 2025 wurde demnach eine ePA-Verfügbarkeit von lediglich rund 96 Prozent errechnet. Zum Vergleich die Eigenschaften der BSI-Verfügbarkeitsklassen lt. aktueller Definition des Bundesamts für Sicherheit in der Informationstechnik:

• Von „sehr hohe(r) Verfügbarkeit“, die in (anderen) kritischen Infrastrukturen als dafür notwendiger Standard angesehen werden, wird gesprochen bei Verfügbarkeitsraten von größer gleich 99,9 Prozent.
• Die errechneten 96 Prozent sind dagegen sehr nah an den „95 Prozent und geringer“ der dortigen Verfügbarkeitsklasse „keine gesicherte Verfügbarkeit“. Eine „Normale Verfügbarkeit“ wird gemäß dem BSI bei einer gesicherten Verfügbarkeit von 99 Prozent gesehen.

Die Beweisfähigkeit elektronischer Patientenakten hängt wesentlich von ihrer Manipulationssicherheit ab. Nach deutschem Arzthaftungsrecht (§ 630f Abs. 1 Satz 3 BGB) müssen Änderungen in der Patientenakte nachvollziehbar dokumentiert werden. Unsichere Systeme ohne Audit-Trail, Zeitstempel oder digitale Signatur können im Haftungsprozess an Beweiskraft verlieren. Fachjuristische Analysen betonen die Notwendigkeit revisionssicherer Speicherung, insbesondere bei automatisierter Dokumentation mittels künstlicher Intelligenz (KI).^[82]

• Forschungsdatenzentrum

• Andreas Meißner: Die elektronische Patientenakte – vom Ende der Schweigepflicht: für Risiken und Nebenwirkungen übernimmt niemand die Verantwortung. Westend, Neu-Isenburg 2024, ISBN 978-3-86489-472-5. 
• Peter Schaar: Diagnose: Digital-Desaster: ist das Gesundheitswesen noch zu retten? Hirzel, Stuttgart 2023, ISBN 978-3-7776-3316-9, S. 136 ff. 

• Bundesgesundheitsministerium: Überblicksseite zur elektronischen Patientenakte (ePA)
• ePA 3.0 ab Januar 2025: Fragen und Antworten zur neuen ePA seitens Heise online
• Die elektronische Patientenakte (ePA) vom BfDI
• Vorteile und Nachteile der Elektronischen Patient*innenakte (ePA) seitens der Deutschen Aidshilfe
• Bundesgesundheitsministerium: ePA-Vorteile
• Sicherheitsanalyse EPA für alle (PDF; 1,4 MB)
• Kassenärztliche Bundesvereinigung zur ePA
• Verbraucherzentrale NRW/Bundesverband: ausführliche Informationen zur kommenden ePA
• Information der Gematik Ende 2024 mit Streams zur Funktionsweise der ePA in Arztpraxen
• Forschungsdatenzentrum Gesundheit (FDZ Gesundheit)

1. ↑ Die „ePA-Modellregion Franken“ ist identisch mit der bayerischen „TI-Modellregion Franken“, die die Regierungsbezirke Ober-, Mittel- und Unterfranken umfasst.
2. ↑ Die Modellregion umfasst außer der Stadt Hamburg auch angrenzende ländliche Gebiete.
3. ↑ Regionen Aachen, Düren, Essen und Jülich, siehe „ePA-Modellregion NRW“ – Praxen können teilnehmen - Klartext. Abgerufen am 16. Januar 2025.