Datenschutzhinweise der SKD BKK für die elektronische Patientenakte (ePA)
sowie
Pflichtinformationen gemäß § 343 Absatz 1 SGB V

A. Allgemeines

Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Abschnitt F dieses Dokumentes ausführlich beschrieben.

A.1 Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:

SKD BKK
Schultesstr. 19 A
97421 Schweinfurt

Telefon: +49 (0)9721 9449-0
Fax: +49 (0)9721 9449-333

E-Mail: service@skd-bkk.de

A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen

SKD BKK
Schultesstr. 19 A
97421 Schweinfurt

Telefon: +49 (0)9721 9449-0
Fax: +49 (0)9721 9449-333

E-Mail: service@skd-bkk.de

A.3 Zuständige Aufsichtsbehörden bzgl. des Datenschutzes

Der/Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorferstraße 153
53117 Bonn

Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550

E-Mail: poststelle@bfdi.bund.de

A.4 Rechtsaufsichtsbehörde

Bundesamt für Soziale Sicherung
Friedrich-Ebert-Allee 38
53113 Bonn

Telefon: +49 (0)228-619-0
Telefax +49 (0)228619-1870

A.5 Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Versicherten, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen ePA erforderlich ist. Sofern die Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden gesetzlichen Verpflichtung aus dem SGB V. Eine Bereitstellung der ePA für unsere Versicherten ohne deren Einwilligung ist gesetzlich nicht zugelassen.
Die Nutzung der ePA ist für unsere Versicherten gleichwohl freiwillig. Unseren Versicherten entsteht kein Nachteil, sofern sie sich gegen die Nutzung der ePA entscheiden.

A.6 Einbindung von Dritten

Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen gleichwohl verschiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. Hierbei handelt es sich ausschließlich um Unternehmen der BITMARCK Unternehmensgruppe. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung.

A. 7 Datenverarbeitung außerhalb der Europäischen Union

Eine Verarbeitung der Daten unserer Versicherten außerhalb der europäischen Union durch uns findet nicht statt.

A. 8 Betroffenenrechte

Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
Unsere Versicherten haben das Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht.
Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.

A. 9 Löschung von Daten

Wir löschen die ePA unseres Versicherten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um die ePA für unsere Versicherten weiterhin bereitstellen zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

A.10 Automatisierte Entscheidungsfindung

Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.

A.11 Beschwerderecht bei einer Aufsichtsbehörde

Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer der in Ziffer 3 benannten Aufsichtsbehörden zu beschweren.

A.12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Unseren Versicherten steht das Recht zu, ihre datenschutzrechtlichen Einwilligungserklärungen jederzeit zu widerrufen. Der Widerruf kann wie folgt erklärt werden: Gegenüber der Krankenkasse jederzeit schriftlich, oder auf elektronischem Weg über die ePA-App ohne Angabe von Gründen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

B. Bereitstellung der ePA

B.1 Beschreibung und Umfang der Datenverarbeitung

Nach Erteilung der ausdrücklichen Einwilligung unseres Versicherten legen wir eine individuelle und ausschließlich von unserem Versicherten verwendete, elektronische Patientenakte (ePA) an, welche unser Versicherter eigenständig souverän und autonom verwalten und verwenden kann.
Bei der Bereitstellung der ePA werden folgende personenbezogene Daten unseres Versicherten verarbeitet:
a. Name, Vorname
b. Geburtsdatum des Nutzers
c. IdentDataTime:
(Zeitstempel für die vollzogene Identifizierung des Nutzers)
d. Schutzklasse für die Identifikation
e. Identifizierungsverfahren
f. Zusatz Meldeadresse: Anschrift
g. Meldeadresse: Länderkennzeichen
h. Meldeadresse: PLZ
i. Meldeadresse: Straße
j. Ende der Registrierung / Ja, oder Nein
k. Zeitpunkt Registrierungsbeginn
l. Titel
m. Namenszusatz
n. Vorsatzwort
o. Geschlecht
p. Vip – Kennzeichen
q. ICCSN
r. istNfcEgk (Dieser Wert gibt an, ob die im Aufruf bezeichnete eGK für „Near Field Communication" (NFC) ausgerüstet ist)
s. istPinBriefVersandt (Dieser Wert gibt an, ob zu der im Aufruf bezeichneten eGK vom Kartenpersonalisierer/Lettershop ein PIN-Brief versandt wurde)
t. pinBriefVersandDatum (Zeitpunkt, an dem der PIN-Brief-Versand vom Kartenpersonalisierer/Lettershop dem KAMS [Kartenanwendungs-managementsystem] gemeldet wurde. Das Format entspricht der sog. UNIX-Zeit in Millisekunden (Anzahl der vergangenen Millisekunden seit dem 1.1.1970 um 00:00). Beispiel: Der 18.08.2020 um 12:22:50:500 Uhr entspricht dem Zeitstempel 1597746170500)]

B.2 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

B.3 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß dem gesetzlichen Leitbild. In diesem Zusammenhang bedarf es die Zuordnung einer konkreten ePA zu unserem Versicherten.

B.4 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.

B.5 Widerrufsmöglichkeiten für die Nutzung der ePA

Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Bereitstellung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Bereitstellung der ePA gleichwohl jederzeit widerrufen und gegenüber der SKD BKK die Löschung der ePA verlangen. Der Nutzer erklärt den Widerruf durch Entfernen des gesetzten Bestätigungshakens, schriftlich oder persönlich in der Geschäftsstelle.

C. IAM Registrierungsprozess für die ePA

C.1 Beschreibung und Umfang der Datenverarbeitung

Zur rechtssicheren Nutzung und Errichtung eines ePA-Kontos unseres Versicherten ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu überprüfen, ob die Person, die sich für eine ePA registriert auch tatsächlich unser Versicherter ist. Für die Registrierung der der Nutzer benötigt die BITMARCK zur Durchführung des Registrierungsprozesses Daten. Diese Prozessabläufe sind nachfolgend beschrieben:
1. Schritt: Der Versicherte installiert die ePA App und startet diese.
2. Schritt: Der Versicherte klickt den Funktionsbutton „Registrieren" an.
3. Schritt: Der Versicherte gibt die folgenden Daten, gemäß der vorgegebenen Felder ein:
- E-Mail Adresse
- Krankenversicherungskarten Nummer
- PLZ
- Auswahl eines individuellen Passwortes
- Passwort Wiederholung
- ICCSN
4. Schritt: Der Versicherte bestätigt in der Checkbox, die Akzeptanz der Nutzungsbedingungen der ePA sowie zur Kenntnisnahme dieser Datenschutzerklärung um die Registrierung abzuschließen.

Beim Registrierungsverfahren werden vorstehende Daten in einem technischen Container temporär gespeichert.
Nach Verifikation der eingegebenen Daten durch die SKD BKK wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der SKD BKK.

C.2 Erfassung der Daten für einen Fehlerreport

Die BITMARCK benötigt die im Folgenden aufgeführten Informationen, wenn ein Nutzer einen Fehler meldet und die Ursache analysiert werden muss. So ist etwa das benutzte Hardware Modell mit exaktem Softwarestand bis hin zur aktuellen Akku-Kapazität zu speichern erforderlich.

C.2.1 Automatisiert erfasste Daten
Folgende Standard-Felder werden von BSM automatisch aufgezeichnet:

C.2.2.2 DEVICE bezogene Daten

Wert Beispiel
Family Nokia
Model Nokia 4.2 (QKQ1.191008.001)
Architecture arm64-v8a
Battery Level 100 %
Orientation portrait
Memory Total: 2.8 GB / Free: 1.4 GB
Capacity Total: 20.2 GB / Free: 17.0 GB
Simulator false
Boot Time 2020-08-18T07:29:28.162Z
Timezone Europe/Amsterdam
archs [arm64-v8a, armeabi-v7a, armeabi]
battery-temperature 31.8
brand Nokia
charging True 
connection_type wifi 
language de_DE
low_memory False 
manufacturer HMD Global 
online True 
screen_density 1.875 
screen_dpi 300
screen_height_pixels 1370
screen_resolution 1370x720
screen_width_pixels 720

 

 

C.2.2.3 APP bezogene Daten

Wert Beispiel
Start Time 2020-08-18T07:52:25.904Z
Bundle ID com.rise_world.epa.integration.debug
Bundle Name ePA
Version 1.2.0
Build 123070

C.2.2.4 OPERATING SYSTEM

Wert Beispiel
Name Android
Version 10 (00EEA_2_290)
Kernel Version 4.9.186-perf+
Rooted no

C.2.3 Manuelle Daten

Folgende Informationen werden in der Applikation gesetzt:

C.2.3.1 USERID bezogene Daten:

Die UserId ist eine UUID und wird pro App Session neu generiert.

Wert  Beispiel
ID 66cfbd07-1881-4975-bc2f-41a81f9d0907

 

 

TAGS:

Wert Beispiel Erklärung
androidSDK 29 Android SDK Version
applicationId com.rise_world.epa.integration.debug App bundle name
buildJob epa-android/develop Gitlab build job
device Nokia 4.2 Gerätebezeichunung
device.family Nokia Produktgruppe
dist 123070 Gitlab-Pipeline-ID
environment debug Umgebung 
 fdvSdk 1.2.0  Android SDK
fdvSdkModule 1.2.2   C++SDK
flavor epaIntegration  App flavor 
gitHash bc583d Git Hash
level error Loglevel
os Android 10 Android Version
os.name  Android Betriebssystemname
os.rooted no Gerootetes Gerät
release 1.2.0 App Release Version
supportId B88G-KDVD_YNEK Support ID
User id:66cfbd07-1881-4975-bc2f-41a81f9d0907 UserId

C.2.4 StackTrace

Umfasst die technische Beschreibung des aufgetretenen Fehlers.

C.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

C.4 Zweck der Datenverarbeitung

Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.

C.5 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die ePA nicht mehr benützt und final gelöscht wurde.

C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA

Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Registrierung der ePA gleichwohl jederzeit widerrufen und gegenüber der SKD BKK die Löschung der ePA verlangen. Hierzu muss der Versicherte in der ePA seine Einwilligung widerrufen oder diese schriftlich an die SKD BKK senden.

D. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App

D.1 Beschreibung und Umfang der Datenverarbeitung

D.1.1 Start mit Login Maske
Der Nutzer startet die App, nach erfolgter Registrierung und Identifizierung. Zuerst erscheint die Login Maske, in die der Nutzer seine Zugangsdaten (Versichertennummer und Passwort) eingibt.

D.1.2 Nutzung der ePA
Nach Start der Anwendung werden drei Ansichten zu Auswahl angezeigt:
• Dokumente
• Berechtigungen
• Mein Profil
Der Nutzer kann in jedem Reiter verschiedene Aktionen durchführen.

D.1.3 Reiter 1: Dokumente
Hier sieht der Nutzer eine Ansicht aller von ihm, oder von Dritten hochgeladene Dokumente. Es stehen die folgenden Aktionen zur Verfügung:
• Filtern
• Dokumente hochladen und hinzufügen
• Import von Dokumenten aus dritter Quelle
Es erfolgt immer eine Bestätigung für eine erfolgreiche Aktion, bzw. eine Fehlermeldung bei Nichterfolg.
Dem Nutzer steht in der ePA-App eine Vorschau zur Betrachtung der Dokumente zur Verfügung, oder diese lassen sich mit einer anderen App optional, nach vorheriger Speicherung in seinem mobilen Endgerät öffnen.
Der Nutzer kann die eingestellten Filter zurücksetzen, die Dokumente löschen, herunterladen und anschließend ausdrucken.

D.2.2 Reiter 2: Berechtigungen
In dieser Ansicht sind die folgenden Informationen und Funktionen enthalten.
• Welche Berechtigungen wurden durch den Benutzer schon vergeben
• Es können neue Berechtigungen eingerichtet werden
• Berechtigungen können wieder gelöscht werden.

D.2.3 Reiter 3: Mein Profil
In dieser Ansicht kann der Nutzer seine Einstellungen verwalten.
und zum Beispiel seine Zugangsdaten ändern.

D.2.4 Subreiter Protokoll
Der Nutzer kann in dieser Liste alle bislang erfolgten Zugriffe auf sein Aktenkonto einsehen.
Hier kann der Nutzer feststellen welcher Leistungserbringer wann welche Dokumente eingestellt oder auf diese zugegriffen hat.
a. Er kann die Benachrichtigungsoptionen verwalten, die Berechtigungen ein- und ausschalten sowie die Berechtigungsanzeige ebenfalls aus-, einschalten
b. Hat der Nutzer die Benachrichtigungen aktiviert, erscheint nach dem Login als erste Information, ob es ungelesene Protokolleinträge gibt.
c. Er kann hier die von ihm für die Benutzung der ePA verwendeten Endgeräte verwalten
D.2.5 Reiter Informationen:
In diesem Reiter stehen dem Nutzer zur Anwahl diese Themen bereit:
a. Über die ePA
b. Hilfe
c. Rechtliche Hinweise
d. Angabe zu Lizenzen Dritter
e. Impressum
f. Datenschutzerklärung
g. Sicherheitshinweise
h. App-Berichte senden

Zusätzlich stehen weitere Subreiter und Informationen bereit:
a. Zur derzeit genutzten App Version
b. Herstellerhinweise zur App
c. Ein „debug Menue"
Es werden die Daten gespeichert, die der Nutzer in seinen ePA Ordner einstellt, bzw., die von Dritten in seine Aktenordner hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach Artikel 9 der DSGVO handeln.

D.3 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Speicherung personenbezogener Daten in der ePA ist die Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO, 9 DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

D.3.1 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Nutzer zur Archivierung und Nutzung seiner individuellen Gesundheitsinformationen.

D.3.2 Dauer der Speicherung
Die Daten werden durch den Nutzer gelöscht, wenn er entscheidet, dass die von ihm in der ePA gespeicherte Daten nicht mehr benötigt werden.

D.4 Widerspruchsmöglichkeit

Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Nutzung der ePA zwingend durch unseren Versicherten erforderlich. Der Nutzer kann seine Einwilligung zur Nutzung der ePA gleichwohl jederzeit widerrufen, per Entfernen des gesetzten Bestätigungshakens in der ePA-App oder schriftlich und persönlich bei seiner Krankenkasse.

E. Kontaktvarianten

E.1 Beschreibung und Umfang der Datenverarbeitung

In der ePA sind diverse Kontaktkanäle enthalten, die von dem Nutzer für die elektronische Kontaktaufnahme mit uns genutzt werden können.

E.2 Chatbot

Die Beantwortung von Fragen zur ePA kann über einen automatisierten Chatbot erfolgen. Über den Chatbot erhalten die Versicherten Zugang zu standardisierten Supportprozessen und Leistungsinhalten des Versichertenhelpdesks (VHD) im Rahmen der ePA. Die grundsätzliche Funktionalität umfasst dabei
a. Hinweisfunktion zur Abgrenzung Beratung Versicherungsverhältnis,
b. Beantwortung von Fragen zur ePA,
c. Dialog zur Annahme von Störungen mit Hinweis auf bestehende Störungen und der Möglichkeit sich zu einer solchen über die Erstellung eines Tickets zu registrieren,
d. Möglichkeit zum Übergang in einen LiveChat-Dialog,
e. Möglichkeit zur Platzierung eines Rückrufwunsches für ein dediziertes Zeitfenster innerhalb der Kernzeit.
Verarbeitete Daten sind hierbei die bereits von Ihnen hinterlegten Verifikationsdaten, sowie die von Ihnen freiwillig, im Chatbot eingegebenen Daten. Anfragen werden im Chatbot geloggt. Eine Erfassung von Kontaktdaten, sowie eine Dokumentation als Ticket erfolgt nicht.
Kann eine Frage zur ePA nicht im Chat mit dem Chatbot beantwortet werden oder benötigt der Nutzer anderweitige direkte Unterstützung– beispielsweise bei der Meldung einer Störung – besteht die Möglichkeit, diese ad hoc über einen Live-Chat anzufordern oder einen Rückrufwunsch anzufordern.

E.3 Vorgangsbearbeitungssystem (ITSM)

Alle Anfragen, welche der Chatbot nicht autark lösen kann, werden zur weiteren Bearbeitung in einem Ticketbearbeitungssystem erfasst und dokumentiert. Diese Anfragen werden persönlich von unseren Supportmitarbeitern bearbeitet.
Sollte der Nutzer diesbezüglich einen Rückruf wünschen, muss noch optional eine Telefonnummer eingegeben werden.
Gegebenenfalls muss zusätzlich noch eine Supportnummer auf Nachfrage durch den Nutzer eingegeben werden, diese wird durch das Verfahren automatisch erzeugt und dem Nutzer gegenüber dargestellt.
Sollten die gemeldeten Themen nicht durch diese Variante beantwortet werden können, wird ebenfalls automatisiert ein anlassbezogenes internes Bearbeitungsticket erstellt. Je nach Bedarf wird diese Anfrage an einen verantwortlichen Mitarbeiter weitergeleitet und – insofern diese Option durch den Nutzer gewählt wurde – ein Rückruf initiiert.
Nimmt ein Nutzer die Möglichkeit des Rückrufs wahr, so werden die in der Eingabemaske eingegeben Daten an die SKD BKK übermittelt und gespeichert.
Die folgenden Daten sind durch den Nutzer einzugeben:
a. Name
b. Kassenzugehörigkeit
c. E-Mail-Adresse

E.4 Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, da die im Rahmen der Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße Abwicklung des Nutzungsvertrags mit dem Nutzer über die ePA erforderlich sind.

E.5 Zweck der Datenverarbeitung

Die in diesem Abschnitt beschriebene Verarbeitung personenbezogener Daten wird durchgeführt, um Kontaktaufnahmen unserer Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über die ePA mit dem Nutzer durchführen zu können.

E.6 Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn [...], wenn die Kasse entscheidet, dass spätestens (Vorschlag drei Jahre) nach Schließung des Vorgangstickets diese Daten gelöscht werden sollen.

E.7 Speicherorte aller ePA spezifischen Daten

Die hier aufgeführten Systeme sind im BITMARCK Glossar erklärt. 

Betreiber Speicherort Datentyp
 BITMARCK, BMT RZ München  KVS (Kontenverwaltungssystem)  Metadaten der elektronischen Akte
 BITMARCK BMT RZ Hamburg  IAM Modul (Zugriffs- und Berechtiungsverwaltung)  Digitale Identität und die damit verbundenen Stammdaten
 BITMARCK BMT RZ Hamburg  EGS (Elektronisches GEsundheitssystem) Verifikation des IAM-Nutzers und den damit verbundenen Stammdaten 
BITMARCK BMT RZ Hamburg   Aktensystem für die nutzerbezogenen Informationen Verschlüsselungsdaten nutzerbezogene Dokumente und deren Metadaten 
 BITMARCK BMT RZ Hamburg  SigD (Signaturdienst)  Al.vi (Alternative Versichertenidentität)
 BITMARCK, BMT RZ München  TSP X.509 (Zertifikatsspeicher)   Zertifikate für Al.vi und Zertifikatsstatus
 BITMARCK BMT RZ Hamburg  21c System (Krankenkassenverwaltung) Verifikation des IAM-Nutzers mit den dazugehörenden Stammdaten 

 


 

F Pflichtinformationen gemäß § 343 Absatz 1 SGB V

F.1 Muss ich die ePA nutzen?

Mit Beginn des Jahres 2021 bieten die Krankenkassen ihren Versicherten elektronische Patientenakten an. Welche grundsätzlichen Rechte gehen damit für Sie einher?

Anbieter der elektronischen Patientenakte
Die elektronische Patientenakte wird von den Krankenkassen zur Verfügung gestellt. Dabei arbeiten sie mit Industriepartnern zusammen, die die entsprechenden Akten nach der Spezifikation, also den technischen und nicht-technischen Anforderungen, der gematik GmbH entwickeln. Die gematik GmbH ist gemäß den gesetzlichen Regelungen für die Einführung, den Betrieb und die Weiterentwicklung der Telematikinfrastruktur, der elektronischen Gesundheitskarte und der zugehörigen Fachanwendungen verantwortlich. Alle Anbieter müssen mit ihrem Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren gegenüber der gematik durchlaufen, bei dem die Einhaltung aller Anforderungen an Funktionalität Betrieb, Sicherheit und Datenschutz nachgewiesen werden muss.

Ihre Krankenkasse arbeitet mit der Firma [Platzhalter für kassenindividuelle Angabe] zusammen, um Ihnen die ePA bereitzustellen.

Erfordernis der Einwilligung
Das Einrichten und Nutzen der elektronischen Patientenakte (ePA) ist für Sie freiwillig. Entscheiden Sie sich dafür, bedarf es Ihrer Einwilligung in die Datenverarbeitung gegenüber der Krankenkasse. Ihre Einwilligung wird im Rahmen der Einrichtung Ihrer ePA abgefragt – noch bevor die Akte technisch eröffnet wird. Für Ihre Einwilligung gegenüber der Krankenkasse gelten dabei folgende Grundsätze:

Wahrung des Freiwilligkeitsgrundsatzes
Weitere Leistungen und Service-Angebote Ihrer Krankenkasse werden nicht von Ihrer Einwilligung zur ePA abhängig gemacht.
Die Einwilligung ist jederzeit widerrufbar.

Wahrung des Bestimmtheitsgrundsatzes
Für verschiedene Zwecke bzw. Verarbeitungsvorgänge müssen separate Einwilligungen abgegeben werden.

Wahrung der informierten Einwilligung
Vor Beginn der Datenverarbeitung müssen Sie über Zweck und Umfang der Verarbeitung, über den Verantwortlichen, über Rechte des Betroffenen, über die Aufsicht und über das Widerrufsrecht, insbesondere auch Folgen der Verweigerung und des Widerrufs der Einwilligung informiert worden sein.

Wahrung der Nachweisbarkeit
Ihre Einwilligung muss rechtssicher nachweisbar sein.

Wahrung der Verständlichkeit
Die Einwilligung muss in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache verfasst sein.

Ebenso müssen Sie gegenüber den zugreifenden Leistungserbringern eine Einwilligung für die Datenverarbeitung in der elektronischen Akte erteilen. Leistungserbringer werden im deutschen Gesundheitswesen alle Personengruppen und Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV) Leistungen erbringen. Hierzu zählen zum Beispiel Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte, Krankenhäuser und Apotheken. Die Einwilligung gegenüber den Leistungserbringern erteilen Sie, in dem Sie ihnen Zugriff auf die elektronische Patientenakte gewähren.

Recht auf vollständige Löschung
Das Prinzip der Freiwilligkeit bedeutet natürlich auch, dass Sie jederzeit das Recht haben, in die Akte eingestellte Dokumente zu löschen oder von einem berechtigten Leistungserbringer etwa in der Arztpraxis (z. B. Ihrem Hausarzt bzw. Ihrer Hausärztin) oder im Krankenhaus im Rahmen einer Behandlung löschen zu lassen.

Zudem besitzen Sie die grundlegende Möglichkeit, Ihre gesamte ePA komplett zu schließen, also löschen zu lassen. Dazu müssen Sie die erteilte Einwilligung zur Nutzung der ePA gegenüber Ihrer Krankenkasse widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber Ihrer Krankenkasse in einer geeigneten Form ausgesprochen werden. Zum genauen Vorgehen hierbei wenden Sie sich an Ihre Krankenkasse. Sie haben jederzeit die Möglichkeit, Ihre Akte zu schließen.

Von der Löschung betroffen sind alle Inhalte Ihrer Akte - also die Dokumente, die Berechtigungen sowie Protokolle über die Zugriffe und Zugriffsversuche auf die ePA. Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente obliegt in diesem Fall Ihnen als ePA-Nutzer.

Nichtnutzung der ePA
Sollten Sie sich dazu entscheiden, die ePA nicht nutzen zu wollen, entstehen Ihnen hieraus keine Nachteile für Ihre Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten Verfahren gewährleistet bleiben.

Als Zusatzangebot sorgt die ePA aber zukünftig für eine gesteigerte Transparenz Ihrer medizinischen Daten. So besitzen Sie im Rahmen einer ePA-Nutzung den Vorteil, die Dokumente, Befunde oder Informationen Ihrer Behandlung digital einzusehen und an ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser weiterzugeben, bzw. diesen den Zugriff auf Ihre Daten zu erlauben. Dieser digitale, durch Sie initiierte und gesteuerte Datenaustausch kann dabei helfen, Ihre medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante Gesundheitsdaten in Ihrer elektronischen Patientenakte unterstützen Sie die behandelnden Ärztinnen und Ärzte und anderen Leistungserbringer dabei, die bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte Wirkungen abzuwenden, unnötige Doppeluntersuchungen und eventuelle Überbehandlungen zu vermeiden. Die ePA bietet somit ein innovatives Potenzial für eine optimierte medizinische Versorgung - unter Ihrer Kontrolle.

Rechte gegenüber der Krankenkasse gemäß Datenschutz-Grundverordnung
Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DS-GVO). Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher", da sie über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie als Versicherte bzw. Versicherter können gegenüber Ihrer Krankenkassen die „Rechte der betroffenen Person" nach der DS-GVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DS-GVO). Ferner haben die Versicherten das Recht auf Auskunft (Art. 15 DS-GVO), ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse verarbeitet werden, das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DS-GVO), das Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) und das Widerspruchsrecht (Art. 21 DS-GVO).

F.2. Was genau ist die ePA und wie funktioniert sie?

Mit einer elektronischen Patientenakte können Sie und die an Ihrer Behandlung beteiligten Leistungserbringer persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen, speichern, lesen, verarbeiten, löschen und teilen. Möglich wird das durch die Einbindung in ein hochsicheres Netzwerk (der sog. Telematikinfrastruktur), an das Ärztinnen und Ärzte, Krankenhäuser, Apotheken, Krankenkassen und andere Akteure im deutschen Gesundheitswesen angeschlossen sind.

Funktionsweise und Art der zu verarbeitenden Daten
In die elektronische Patientenakte können Sie eigene Dokumente hochladen oder z. B. Ihre behandelnden Ärztinnen und Ärzte in der Praxis und im Krankenhaus bitten, Kopien der relevanten Unterlagen in Ihre Akte zu übertragen. Die Originaldokumentation Ihrer Behandlung verbleibt aus rechtlichen Gründen stets bei dem Sie behandelnden Leistungserbringer.

Nur Sie bestimmen, wer Zugriff auf Ihre Akte erhält. Krankenkassen haben keinen Zugriff auf die Akteninhalte; sie dürfen zukünftig, voraussichtlich ab dem 1. Januar 2022, ausschließlich auf Ihren Wunsch Daten in Ihre Akte übertragen.

Die ePA enthält zwei Speicherbereiche: Einen Bereich für Dokumente, die Sie selbst hochladen und auf den nur Sie Zugriff haben (sog. Versichertendokumente), sofern Sie keinen anderen berechtigt haben. Ein zweiter Bereich steht für Dokumente, die Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser auf Ihre ausdrückliche Anforderung hin in Ihre ePA hochladen (sog. Arztdokumente) zur Verfügung. Diesen Bereich können nur Sie und die zugriffsberechtigten Leistungserbringer einsehen. Wichtig: In 2021 kann jeder zugriffsberechtigte Leistungserbringer jedes Dokument einsehen und herunterladen, das in dem von Ihnen zum Zugriff freigegebenen Speicherbereich liegt. Ab 2022 kann der Zugriff dann auf einzelne Dokumente festgelegt werden. Mehr dazu im Kapitel 3.

Die Dokumente in Ihrer Akte sind stets verschlüsselt. Der Schlüssel zu Ihrer Akte besteht aus zwei Teilen, die an getrennten Orten und zum einen von dem ePA-Anbieter Ihrer Krankenkasse und zum anderen auch von einem zentralen, von der gematik bestimmten Anbieter sicher aufbewahrt werden. Nur Sie und die von Ihnen Berechtigten verfügen über beide Schlüsselteile für den Zugriff. Die Anbieter, die diese aufbewahren, können nichts mit den einzelnen Schlüsselteilen anfangen. Die Schlüssel sind dabei unabhängig von Ihrer elektronischen Gesundheitskarte, so dass Sie auch bei einem (geplanten oder ungeplanten) Austausch der elektronischen Gesundheitskarte weiterhin Zugriff auf Ihre Akte haben.

Damit Sie und die von Ihnen Berechtigten gezielt nach Dokumenten in Ihrer Akte suchen können, werden zusätzliche Informationen über Merkmale Ihrer Dokumente, sog. Metadaten, gespeichert. Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau sicherheitsgeprüften vertrauenswürdigen technischen Umgebung, auf die weder der Aktenbetreiber noch die Krankenkasse Zugriff hat.

Die freiwillig zu speichernden elektronischen Inhalte Ihrer ePA werden jährlich schrittweise ausgebaut. Dazu gehören zum Beispiel:
Gesundheitsdaten, die Sie selbst zur Verfügung stellen (ab 2021), medizinische Daten Ihrer Behandlung z. B. Befunde, Diagnosen und Therapiemaßnahmen (ab 2021),
• Arztbrief (ab 2021),
• Medikationsplan (ab 2021),
• Notfalldatensatz (ab 2021),
• Zahnbonusheft (ab 2022),
• Untersuchungsheft für Kinder (ab 2022),
• Mutterpass (ab 2022),
• Impfdokumentation (ab 2022),
• elektronische Verordnungen (ab 2022),
• aus einer elektronischen Gesundheitsakte (eGA) des Versicherten übernommene Daten (ab 2022),
• Daten der Krankenkassen über in Anspruch genommene Leistungen (ab 2022),
• Daten, die der Versicherte seiner Krankenkasse für die Nutzung in zusätzlichen von der Krankenkasse angebotenen Anwendungen, wie z. B. Impf-Erinnerungen zur Verfügung stellen kann (ab 2023),
• Daten zur pflegerischen Versorgung des Versicherten (ab 2023),
• elektronische Bescheinigungen über eine Arbeitsunfähigkeit (ab 2023),
• sonstige von behandelnden Ärztinnen bzw. Ärzten oder anderen Leistungserbringern für Versicherte bereitgestellte Daten, wie etwa Ernährungsinformationen und –pläne (ab 2023).

Gesetzliche Vertreter können auf die Akte des zu Vertretenden zugreifen. So können Eltern beispielsweise eine ePA ihres mitversicherten Kindes führen. Ab 2022 können Sie sich zudem bei einem Kassenwechsel die Inhalte Ihrer bestehenden Akte in die Akte Ihres neuen Anbieters übertragen lassen.

Anmeldung und Führen der Akte
Zur Anmeldung an der elektronischen Patientenakte nutzen Sie entweder die elektronische Gesundheitskarte mit PIN oder aber wahlweise und auf Ihren Wunsch ein kassenspezifisches, den Vorgaben der gematik entsprechendes alternatives Zugangsverfahren. Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten sowie die damit in Zusammenhang entstehenden potentiellen Risiken und Möglichkeiten zu deren Vermeidung. Wichtig dabei ist, dass sie sich für die Nutzung dieser alternativen Zugangsmöglichkeit explizit gegenüber Ihrer Krankenkasse entscheiden müssen.

Unabhängig davon, wie sie sich bei der ePA authentifizieren, nutzen Sie eine von Ihrer Krankenkasse bereitgestellte App auf Ihrem Smartphone oder einem anderen geeigneten Endgerät, um auf die ePA zuzugreifen. Diese App ist nach den Vorgaben des BSI und der gematik erstellt und sicherheitsgeprüft. Mit ihr führen Sie sämtliche Funktionen der ePA selbstständig durch. Dies umfasst unter anderem:
das Einstellen, einsehen und löschen von Dokumenten
das Erteilen und entziehen von Berechtigungen
die Kontrolle der Zugriffe, die auf Ihre Akte stattgefunden haben
die Schließung des Aktenkontos

Versicherte ohne geeignete Endgeräte können eine ePA bei Ihrer Krankenkasse beantragen und anlegen lassen. In diesem Fall erfolgt die Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im Krankenhaus oder bei einem anderen Leistungserbringer (mehr hierzu im Kapitel 3). Auch wenn Sie grundsätzlich mittels App auf die ePA zugreifen, können Sie natürlich diese Art der Berechtigungsvergabe vor Ort ebenfalls nutzen, etwa um einen Leistungserbringer zu berechtigen, bei dem Sie gerade sind.

Datenverarbeitung bei Krankenkasse und Aktenanbieter
Um eine elektronische Patientenakte einzurichten, tauschen die Krankenkassen und deren Industriepartner administrative personenbezogene Informationen aus. Dazu gehören bei Ihrer Krankenkasse [Platzhalter für kassenindividuelle Angaben] der Versicherten. Zudem prüft Ihre Krankenkasse bzw. der Anbieter der elektronischen Patientenakte anhand der Krankenversichertennummer, ob bereits eine Patientenakte für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt. Ein lesender Zugriff der Krankenkasse auf die in der Patientenakte gespeicherten Daten ist gesetzlich ausgeschlossen.

F.3. Wer hat wie Zugriff auf die ePA?

In der ePA können medizinische Daten von Leistungserbringern, z. B. von Ihrem Hausarzt bzw. Ihrer Hausärztin, Ihrer Zahnärztin bzw. Ihrem Zahnarzt oder dem Krankenhaus, als auch Ihre Gesundheitsdaten gespeichert werden, die Sie selbst einstellen. Leistungserbringer können aber nicht einfach so auf Daten in Ihrer ePA zugreifen. Zuvor müssen Sie ihnen eine Berechtigung dazu erteilen. Wie das genau funktioniert und welche Konsequenzen das hat, erklären wir Ihnen in diesem Kapitel.

Zugriffsberechtige Leistungserbringer
Ein Leistungserbringer kann auf die Daten, die in Ihrer persönlichen elektronischen Patientenakte gespeichert sind, erst dann zugreifen, wenn Sie ihm hierzu eine Berechtigung erteilt haben. Das Erteilen der Berechtigung mit den technischen Mitteln der Telematikinfrastruktur (App oder Kartenterminal in der Arztpraxis oder im Krankenhaus) entspricht der Einwilligung in die Datenverarbeitung.

Wen Sie berechtigen dürfen, regelt der Gesetzgeber in § 352 SGB V. Dort werden folgende Einrichtungen und Personengruppen genannt:

  • Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte, Psychotherapeutinnen und -therapeuten, die zu Ihrer Versorgung in Ihre Behandlung eingebunden sind, soweit dies für die Versorgung erforderlich ist. Dies umfasst auch Angestellte dieser Berufsgruppen
  • Personen, die in einem Krankenhaus oder einer Rehaklinik beschäftigt sind
  • Apothekerinnen/Apotheker und Personen, die bei diesen beschäftigt sind
  • Gesundheits- und Krankenpflegerinnen und -pfleger, Gesundheits- und Kinderkrankenpflegerinnen und -pfleger, Altenpflegerinnen und -pfleger, Pflegefachfrauen und Pflegefachmänner sowie deren Helferinnen/Helfer, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind
  • Hebammen, Entbindungspfleger und Physiotherapeutinnen und -therapeuten sowie deren angestellte Helferinnen/Helfer und Auszubildende
  • Ärztinnen/Ärzte und andere Personen, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, soweit dies zur Erfüllung ihrer Aufgaben nach dem Infektionsschutzgesetz erforderlich ist
  • Fachärztinnen und Fachärzte für Arbeitsmedizin und Betriebsärztinnen und -ärzte.

Auch wenn Sie eine Berechtigung erteilt haben, darf ein Leistungserbringer nur auf Daten in Ihrer persönlichen ePA zugreifen, wenn dieser Leistungserbringer in Ihre Behandlung eingebunden ist und wenn die Daten aus Ihrer ePA für Ihre Versorgung erforderlich sind.

Für einige Leistungserbringer hat der Gesetzgeber festgelegt, dass diese nur bestimmte Informationen in Ihrer ePA sehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine Berechtigung zum Zugriff erteilen. Zum Beispiel darf ein Apotheker keine Daten aus Ihrem elektronischen Zahn-Bonusheft einsehen. Sie können dem Apotheker deshalb auch keinen Zugriff auf Ihr elektronisches Zahn-Bonusheft erlauben.

Welcher Leistungserbringer auf welche Daten zugreifen darf, haben wir für Sie in der folgenden Tabelle zusammengefasst. Natürlich ist der Zugriff auf die Daten in Ihrer ePA immer nur unter der Voraussetzung möglich, dass Sie den jeweiligen Leistungserbringer dazu berechtigt haben und dieser an die Telematikinfrastruktur angeschlossen sind.

Berufsgruppe Mögliche Verwendung
medizinischer Informationen 
über Versicherte
Mögliche Verwendung der
von Versicherten zur Verfügung 
gestellten Gesundheitsinformationen
Ärzte/Ärztinnen, 
Zahnärzte/Zahnärztinnen, 
Psychotherapeuten/Psycho-
therapeutinnen, 
Krankenhäuser, 
Rehakliniken
Verarbeitung Verarbeitung
Apotheker/Apothekerinnen Auslesen, Speicherung und Verwendung
sowie Verarbeitung des elektronischen
Medikationsplans
Auslesen, Speicherung und Verwendung 
Gesundheits- und Kranken-
pflegerinnen und -pfleger,
Gesundheits- und Kinderkranken-
pflegerinnen und -pfleger,
Altenpflegerinnen und -pfleger,
Pflegefachfrauen und Pflegefachmänner
sowie deren Helfer/Helferinnen
Auslesen, Speicherung und Verwendung Auslesen, Speicherung und Verwendung 
Hebammen/Entbindungspfleger Auslesen, Speicherung und Verwendung Auslesen, Speicherung und Verwendung
Physiotherapeuten/Physiotherapeutinnen Auslesen, Speicherung und Verwendung 
sowie Verarbeitung von Daten zu Befunden, 
Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, 
Früherkennungsuntersuchungen, Behandlungsberichten und 
sonstige untersuchungs- und behandlungsbezogene medizinische
Informationen, die sich aus der physiotherapeutischen Behandlung 
ergeben. 
Auslesen, Speicherung und Verwendung
Arbeitsmediziner/ Arbeitsmedizinerinnen
Betriebsärzte/Betriebsärztinnen
Auslesen, Speicherung und Verwendung Auslesen, Speicherung und Verwendung
öffentlicher Gesundheitsdienst Verarbeitung, soweit für die Aufgabenerfüllung erforderlich Verarbeitung, soweit für Aufgabenerfüllung erforderlich

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Zum Start der ePA am 1. Januar 2021 sind die Möglichkeiten bei den Zugriffsberechtigungen noch eingeschränkt. Die ePA bietet Ihnen dann nur zwei Bereiche, in die Dokumente eingestellt werden können. Dies sind die Bereiche „Dokumente von Leistungserbringern" und „Dokumente von Versicherten". Die Bereiche, können in der App Ihrer Krankenkasse etwas anders heißen. Bei Fragen hilft Ihnen Ihre Krankenkasse gerne weiter.

Im Bereich „Dokumente von Leistungserbringern" finden Sie alle Dokumente, die Leistungserbringer in Ihre ePA eingestellt haben. Dokumente, die Sie selbst in ihre ePA geladen haben, finden Sie im Ordner "Dokumente von Versicherten". Sie können für jeden dieser Bereiche entscheiden, ob Sie einem Leistungserbringer Zugriff auf den Bereich erlauben wollen oder nicht. Dabei erlauben Sie den Zugriff immer auf den kompletten Bereich. Das bedeutet, dass alle Dokumente in diesem Bereich vom Leistungserbringer gelesen werden können - es sei denn, Sie löschen diese.

Befindet sich zum Beispiel im Bereich "Dokumente von Versicherten" ein Krankenhaus-Entlassbrief, von dem Sie nicht wollen, dass Ihr Zahnarzt bzw. Ihre Zahnärztin darauf zugreift, sollten Sie ihm bzw. ihr keinen Zugriff auf den Bereich "Dokumente von Versicherten" gewähren. Das bedeutet aber, dass Ihr Zahnarzt bzw. Ihre Zahnärztin auch alle anderen Dokumente in diesem Ordner nicht sehen kann. Alternativ können Sie den Krankenhaus-Entlassbrief aus Ihrer ePA löschen. Dann können aber auch alle anderen Leistungserbringer diesen Krankenhaus-Entlassbrief nicht mehr lesen.

Bitte achten Sie anfangs – voraussichtlich bis zum 1. Januar 2022 - darauf, Dokumente, die ein anderer Leistungserbringer nicht lesen soll, vorab zu entfernen oder diesem keinen Zugriff auf den entsprechenden Ordner zu erlauben. Bitte beachten Sie, dass gelöschte Dokumente nur durch Sie selbst oder einen Arzt bzw. eine Ärztin, dem bzw. der Sie das Dokument zur Verfügung gestellt haben, erneut in die ePA eingestellt werden müssen, um erneut verfügbar zu sein. Es empfiehlt sich daher, Dokumente vor dem Löschen aus der ePA an einem privaten, sicheren Ort zu speichern.

Ab dem 1. Januar 2022 wird es Ihnen möglich sein, genauer zu bestimmen, welche Leistungserbringer auf welchen Inhalt Ihrer ePA Zugriff erhalten sollen. Sie können dann Zugriffsrechte bezogen auf einzelne Dokumente sowie auf Gruppen von Dokumenten erteilen. Schauen Sie deshalb am Besten im Januar 2022 in Ihrer ePA nach, wem Sie welche Berechtigungen vergeben haben und passen Sie diese bei Bedarf an. Auch informiert Sie Ihre Krankenkasse im Zusammenhang mit den dann anstehenden Neuerungen ausführlich.

Wie funktioniert die Erteilung von Berechtigungen konkret?
Alle Krankenkassen bieten ihren Versicherten eine ePA-App an. Mit dieser App können Sie Ihre ePA bequem verwalten. Dort stellen Sie ein, wer welche Daten in Ihrer ePA einsehen kann. Sie bestimmen auch, wie lange Sie den Zugriff erlauben wollen. Voreingestellt sind 28 Tage. Sie können diesen Zeitraum aber auch verkürzen (Mindestdauer ein Tag) oder auf bis zu 540 Tage verlängern. Nach Ablauf der von Ihnen gewählten Zeit endet die Berechtigung für den jeweiligen Leistungserbringer automatisch. Der Leistungserbringer kann die Dokumente dann nicht mehr einsehen (falls der Leistungserbringer jedoch eine Kopie in seine Praxisdokumentation heruntergeladen hat, ist diese für ihn weiterhin verfügbar). Zudem können Sie eine erteilte Berechtigung jeder Zeit beenden. Wenn Sie Hilfe bei der Bedienung brauchen, hilft Ihnen Ihre Krankenkasse gerne weiter.

Wenn Sie keine App nutzen oder wenn Sie Ihr Smartphone zum Beispiel beim Arztbesuch einmal nicht zur Hand haben, können Sie trotzdem Zugriffe auf Ihre ePA erlauben. Dazu benötigen Sie Ihre elektronische Gesundheitskarte (eGK) und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend geben Sie Ihre PIN ein und bestätigen so, welche Daten der Leistungserbringer einsehen darf. Bei der Bedienung hilft Ihnen Ihr Leistungserbringer. Sollten Sie die PIN nutzen wollen, aber noch keine erhalten haben, wenden Sie sich bitte an Ihre Krankenkasse.

Nutzen Sie diesen Weg, um einem Leistungserbringer Zugriff auf Ihre Daten zu gewähren, gibt es jedoch ab Januar 2022eine wichtige Einschränkung: Sie können Berechtigungen ausschließlich auf Basis von Dokumentenkategorien vergeben. Eine Vergabe von Rechten auf einzelnen Dokumente ist beim Leistungserbringer nicht möglich. Dafür benötigen Sie die entsprechende App.

Sichere Nutzung per App
Die ePA-Apps, die Ihnen den selbstständigen Zugriff auf Ihre Gesundheitsdaten über Ihre eigenen Endgeräte wie Smartphones oder Tablets ermöglichen, haben die Krankenkassen nach den Vorgaben der gematik und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt. Neben den Vorgaben zur Erstellung müssen sich diese Apps auch einer Sicherheitsprüfung unterziehen. Die prozessualen Anforderungen dazu können nur von Prüfstellen durchgeführt werden, die bei der gematik und dem BSI akkreditiert sind. Um die Sicherheit der Daten in der elektronischen Patientenakte zu gewährleisten, ist es daher erforderlich, dass Sie ausschließlich von der gematik zugelassene Apps nutzen, die Sie zudem aus einer vertrauenswürdigen Quelle herunterladen. Vertrauenswürdige Quellen sind hier für das iOS-Betriebssystem der App Store von Apple sowie Google Play für Android.

Nach der Installation muss die entsprechende App im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung via Versichertenkarte mit NFC-Übertragungsstandard, also mit einer kontaktlosen Schnittstelle wie sie Sie auch bereits auf vielen EC- und Kreditkarten finden, und der dazu gehörigem PIN.

Alternativ können Sie die ePA mittels eines von Ihrer Krankenkasse zur Verfügung gestellten Aktivierungscodes freischalten, diese Aktivierung bleibt auch bei einem Wechsel des Endgerätes gültig, also auch dann, wenn Sie Ihre ePA mal über Ihr Smartphone, mal übers Tablet nutzen wollen. Allerdings wird bei solchen Verfahren – ähnlich beispielsweise dem aus dem Homebanking bekannten Passwort-System- nicht der vom BSI und BfDI für Gesundheitsdaten geforderte Sicherheitsstandard erreicht. Dem Schutz dieser Zugangsmittel kommt daher eine besonders hohe Bedeutung zu. Sie müssen bei Verlust oder Verdacht auf Missbrauch umgehend bei der Krankenkasse gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten (z. B. telefonisch oder online) an.

Um die ePA sicher vom eigenen Smartphone oder Tablet zu nutzen, müssen Sie zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation der App. Ebenso sollten Sie die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: https://www.bsi-fuer-buerger.de.

F.4. Wer muss Daten in die ePA einstellen, wenn ich es wünsche

Die elektronische Patientenakte lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für Sie und Ihre behandelnden Ärztinnen und Ärzte den vollen Mehrwert. Neben den Daten, die Sie selbst einspeisen, kommt es dabei natürlich auch ganz entscheidend auf die Daten an, die im Rahmen Ihrer Behandlungen bei Ärztinnen bzw. Ärzten und im Krankenhaus anfallen. Welche Ansprüche haben Sie aber, dass diese Behandlungsdaten in Ihrer ePA aufgenommen werden?

Ansprüche gegenüber Leistungserbringern
Sie haben gegenüber Ihren behandelnden Ärztinnen und Ärzten sowie anderen Leistungserbringern einen Anspruch auf die Übermittlung und Speicherung der im Rahmen der Behandlung anfallenden Daten in Ihrer ePA. Voraussetzung ist natürlich, dass Sie vorher eine Berechtigung zum Zugriff auf Ihre ePA erteilt haben (siehe hierzu Kapitel 3).

Zudem haben Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte sowie Psychotherapeutinnen und -therapeuten, die an Ihrer Behandlung beteiligt sind, Sie bei der Erstbefüllung der ePA zu unterstützen. Die Unterstützungsleistung umfasst die Übermittlung von medizinischen Daten in die elektronische Patientenakte und ist auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt.

Nutzen Sie neben der ePA auch den Notfalldatensatz oder aber den elektronischen Medikationsplan, haben Sie darüber hinaus das Recht, die Speicherung dieser Daten in Ihrer ePA von Ärztinnen und Ärzten, Zahnärztinnen und – ärzten oder Apothekerinnen und Apothekern zu verlangen. Ändert sich etwas in Ihrem Medikationsplan oder in Ihrem Notfalldatensatz, haben Sie das Recht, dass Ihr Arzt bzw. Ihre Ärztin diese Daten sowohl in der ePA als auch auf der eGK aktualisiert. Sprechen Sie Ihren Arzt bzw. Ihre Ärztin darauf an, wenn Sie hierzu Fragen haben.

Anspruch haben Sie auch darauf, von Ärztinnen und Ärzten sowie anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen, die diese in Ihre ePA hochgeladen haben.

Ansprüche gegenüber Ihrer Krankenkasse
Wenn Sie das wünschen, kann Ihre Krankenkasse Ihnen in Ihrer ePA ab dem 1. Januar 2022 Informationen zu den Behandlungen und Leistungen zur Verfügung stellen, die Sie in Anspruch genommen haben. Diese Informationen basieren auf den Abrechnungsdaten von Ärzteschaft, Apotheken und anderen Leistungserbringern, die bei Ihrer Krankenkasse gespeichert sind. Damit die Krankenkasse die Daten in Ihre ePA übertragen kann, müssen Sie vorher in die Übermittlung einwilligen und die Krankenkasse dazu berechtigen. Wenn Sie nähere Informationen zu diesem Thema wünschen, wenden Sie sich an Ihre Krankenkasse.

Einige Krankenkassen bieten ihren Versicherten elektronische Gesundheitsakten (eGA) an. Wenn Sie eine solche eGA nutzen, haben Sie ab dem 1. Januar 2022 auch einen Anspruch darauf, dass die Daten aus Ihrer eGA in Ihre ePA übernommen werden. Wenn Sie Daten aus Ihrer eGA schon vor dem Januar 2022 in Ihre ePA übertragen wollen, können Sie diese selbst in der ePA hochladen. Wenn Sie hierbei Hilfe benötigen, wenden Sie sich an Ihre Krankenkasse oder den Anbieter der eGA.

F.5. Was wird mit meiner ePA in Zukunft außerdem möglich sein?

Einige Nutzungsmöglichkeiten der elektronischen Patientenakte werden nicht gleich zum Start dieses Projektes verfügbar sein. Was wird im späteren Verlauf zusätzlich mit Ihrer ePA möglich sein?

Zusätzliche Anwendungen der Krankenkassen
Zukünftig können Sie Ihrer Krankenkasse Daten aus der elektronischen Patientenakte für die Nutzung weiterer digitaler Anwendungen zur Verfügung stellen, die Ihre Krankenkasse eventuell zusätzlich zur ePA anbietet. Auch diese Nutzungsmöglichkeit ist natürlich freiwillig. In der ab dem 1. Januar 2021 zur Verfügung stehenden Form der ePA wird eine solche zusätzliche Nutzung jedoch noch nicht möglich sein, entsprechende Optionen führen die Krankenkassen aber Schritt für Schritt in den folgenden Entwicklungsstufen der ePA ein. In jedem Fall gilt: Die Verarbeitung Ihrer Daten durch die Krankenkasse ist erst zulässig, wenn Sie darin ausdrücklich eingewilligt haben. Diese Einwilligung kann jederzeit von Ihnen widerrufen werden. So haben Sie stets die volle Kontrolle darüber, wer wann auf welche Ihrer Daten zugreifen kann. Ihre Krankenkasse wird Sie bei der Einführung der entsprechenden Möglichkeiten detailliert über deren Anwendung und Ihre grundsätzlichen Ansprüche, z. B. hinsichtlich des Datenschutzes informieren.

Möglichkeit der Forschungsdatenspende
Die in Ihrer ePA gespeicherten Gesundheitsdaten können Sie in Zukunft zudem auch für Forschungszwecke zur Verfügung stellen. Der Gesetzgeber sieht eine solche so genannte Forschungsdatenspende ab dem 1. Januar 2023 vor, in der zum 1. Januar 2021 eingeführten Stufe der ePA ist sie also noch nicht vorgesehen. Die Datenbereitstellung ist dabei entsprechend den gesetzlichen Vorgaben selbstverständlich freiwillig und vollständig anonym möglich. Derzeit legt die gematik die konkrete Umsetzung unter Einhaltung aller Anforderungen des Datenschutzes fest. Dabei stimmt sie sich eng mit dem Bundesbeauftragten für Datenschutz, dem Bundesamt für Sicherheit in der Informationstechnik, dem Bundesgesundheitsministerium, den Krankenkassen, der Ärzteschaft und den Forschungseinrichtungen ab. Ihre Krankenkasse wird sie zeitgerecht über die entsprechenden Schritte und Funktionen zur freiwilligen Datenbereitstellung an berechtigte Forschungseinrichtungen informieren.

Festlegung von Vertreterinnen und Vertretern
Der Gesetzgeber sieht vor, dass Sie ab dem 1. Januar 2022 über die von Ihrer Krankenkasse bereitgestellte App Vertreterinnen bzw. Vertreter für das Handling Ihrer ePA berechtigen können. Diese haben dann annähernd die gleichen Rechte wie Sie selbst außer weitere Vertretungen zu benennen und die Akte zu schließen. So kann Ihre Vertretung beispielsweise Zugriffsrechte an Leistungserbringer (Ärzte- und Zahnärzteschaft, Krankenhäuser, Apotheken u. a) an Ihrer Stelle vergeben und die in Ihrer Akte gespeicherten Dokumente einsehen. Es ist daher wichtig, dass – falls Sie Vertretung wünschen – nur Personen von Ihnen mit dieser verantwortungsvollen Aufgabe betraut werden, denen Sie vollständig vertrauen und beispielsweise auch Ihre EC-Karte und PIN aushändigen würden. Rechtzeitig vor dem Start dieser Funktion im Jahr 2022 wird Ihre Krankenkasse Ihnen die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen separat noch einmal genau erläutern.

 

Kontakt Mitglied werden Blog