Die elektronische Patientenakte „ePA für alle“ startet nach Angaben des Koalitionsvertrages im Rahmen eines stufenweisen Rollouts ab Ende April 2025. Eine gesetzliche Befüllungspflicht durch Leistungserbringende beginnt ab Oktober 2025. Ca. 75 Mio. ePAs werden bundesweit für gesetzlich Versicherte, die nicht explizit widersprochen haben, automatisiert angelegt. Der Austausch zwischen Versicherungsträger*innen und Behandelnden soll vereinfacht und „Doppeldokumentationen“ sollen vermieden werden. Im Hinblick auf die Vermeidung von Gewalttaten bei Personen mit psychischen Auffälligkeiten werden im Koalitionsvertrag eine Risikobewertung und ein behördenübergreifendes Risikomanagement geplant.

Dies lässt viel Raum für Spekulationen. Im Koalitionsvertrag bleibt weitgehend offen, in welche Richtung, inwieweit und mit welchen Ausnahmen die ePA zwangsweise genutzt werden muss. Aufgrund datenschutzrechtlicher Schwierigkeiten wurde kurzfristig vor dem ePA-Rollout die KBV-Richtlinie § 75 Abs. 7 Nr. 1 SGB V erlassen, die dem Schutz des Kindes Vorrang vor einer Befüllungsverpflichtung durch Leistungserbringende geben soll. Für die komplexen datenschutzrechtlichen Belange bei ePAs von Kindern und Jugendlichen ist dies jedoch noch nicht hinreichend.

Der BDP sieht in Summe Nachbesserungsbedarf und stellt folgende Forderungen:

1. Kinder- und Jugendschutz: Der Gesundheitsdatenschutz von Kindern und Jugendlichen ist im Rahmen der ePA besonders zu beachten und zu regulieren. So muss z. B. das Sorgerecht eine Grundvoraussetzung sein für die Zugriffsberechtigung auf die ePA des Kindes. Abrechnungsdaten zu z. B. besonderen Beratungsterminen von Jugendlichen müssen auch vor einem Zugriff Sorgeberechtigter geschützt werden können. Gesundheitsdaten in der ePA werden lebenslang gespeichert, wenn kein Widerspruch vorliegt. Lebenslange Nachteile im Bereich Berufswahl oder Versicherungsabschluss (durch vorübergehende Erkrankungen in der Kindheit/Jugend und entsprechende ePA-Einträge) müssen verhindert werden. Eine sinnvolle Möglichkeit wäre hier eine generelle Opt-In-Regelung betreffend der ePA für Minderjährige. 
2. Gefährdungsregister dürfen auf keinen Fall mit personenbezogenen ePA-Daten verknüpft werden. Ein nur sehr geringer Prozentsatz psychisch Erkrankter fällt unter die Risikogruppe. Das Vertrauensverhältnis zwischen Patient*innen und ihren Behandelnden ist eine unabdingbare Grundlage für eine erfolgversprechende Heilbehandlung; nur eine auf Vertrauen basierende Behandlung hat die Chance, Risikoverhalten durch psychisch Erkrankte entgegenzuwirken.
3. Beschlagnahmeverbot: Ärztlich/psychotherapeutische Daten sind in der Behandlungsdokumentation vor Beschlagnahme geschützt. Ein entsprechender Beschlagnahmeschutz sollte auch für die in der ePA gespeicherten Behandlungsdaten als auch für im Europäischen Gesundheitsdatenraum EHDS zukünftig bereitgestellte Gesundheitsdaten geschaffen werden.
4. Erhalt einer primären Behandlungsdokumentation: Um das Patient*innenverhältnis als Vertrauensverhältnis durch die ePA nicht weiter abzubauen, sollte eine klinik- oder praxiseigene Behandlungsdokumentation die primäre Datenverarbeitung bleiben.
5. Regularien zur ePA-Datennutzung sollten erarbeitet werden, um Spezifikationen und Ausnahmen der „zwangsweisen“ ePA-Nutzung durch Leistungserbringende zu regeln. Für sensible psychologisch-psychotherapeutische Befunde, wie z. B. einen Intelligenztest, sollten Ausnahmen definiert werden.
6. Erhalt eines differenzierten Zugriffsmanagements: Das in der „alten“ ePA umgesetzte differenzierte Zugriffsmanagement auf Dokumentenebene muss erhalten bleiben. Es ermöglicht Versicherten, unkompliziert sensible Daten gezielt freizugeben oder zu verbergen. Ein psychosomatischer Klinikentlassbrief kann somit vor Leseberechtigungen (von z. B. Apotheker*innen und allen beruflichen Gehilfen) und Speicherberechtigungen von fachfremden Behandelnden (z. B. Zahnärzt*innen oder weitere) geschützt werden. 
7. Praktikable Verschattungsmöglichkeiten: Die Möglichkeit, hochsensible Daten bereits beim Einstellen auf Wunsch der Versicherten durch Behandelnde mit einem Widerspruch zu versehen (Verschattung „by default“) sollte nutzer*innenfreundlich umsetzbar sein. 
8. Höchstmögliche Sicherheitsstandards und „ehrliche“ Informationen dazu: Sicherheitslücken müssen behoben werden. Kein IT-System ist zu 100 % sicher. Gesetzlich Versicherte müssen transparent über allgemein bestehende Sicherheitsrisiken der ePA informiert werden und transparent auf Möglichkeiten des Widerspruchs und der Löschung hingewiesen werden. 

Hier geht es zur Pressemitteilung.