Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im November 2025 die Ergebnisse einer repräsentativen Bevölkerungsbefragung zur elektronischen Patientenakte (ePA) vorgelegt. Die durch das Institut info GmbH durchgeführte Studie unter 1.500 gesetzlich Versicherten zeigt ein differenziertes Bild der digitalen Transformation im Gesundheitswesen. Während die ePA fast jedem Versicherten ein Begriff ist, offenbaren die Ergebnisse gleichzeitig erhebliche Wissenslücken und ein ausgeprägtes Sicherheitsbedürfnis in der Bevölkerung.
Vom freiwilligen Projekt zur Pflicht: Ein Rückblick
Die ePA blickt auf eine mehrjährige Geschichte zurück: Bereits seit 2021 konnten Versicherte sie auf freiwilliger Basis bei ihren Krankenkassen beantragen. Der entscheidende Systemwechsel erfolgte durch das Ende 2023 verabschiedete Digital-Gesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG), welche die automatische Einrichtung der Akte im Opt-out-Verfahren festlegten. Nachdem der für Januar 2025 geplante flächendeckende Start aufgrund von Sicherheitsbedenken und technischen Hürden zunächst zugunsten von Pilotprojekten in Regionen wie Hamburg und Nordrhein-Westfalen verschoben wurde, begann Ende April 2025 die bundesweite Hochlaufphase. Seit dem 1. Oktober 2025 ist die Nutzung für alle Gesundheitsdienstleister verbindlich vorgeschrieben. Begleitet wurde dieser Prozess stetig von datenschutzrechtlicher Kritik durch Experten wie dem Chaos Computer Club oder dem Fraunhofer Institut, die wiederholt auf Schwachstellen in der Sicherheitsarchitektur hinwiesen. Ende 2025 hat der Bundestag bereits die ersten gesetzliche Datenschutzänderung zur ePA verabschiedet.
Hohe Bekanntheit bei gleichzeitig zögerlicher Aktivierung
Die Befragung belegt, dass die ePA mit einer Bekanntheit von 95 Prozent fast vollständig im Bewusstsein der gesetzlich Versicherten angekommen ist. Dennoch nutzen bisher nur zwölf Prozent der Befragten die Akte aktiv, indem sie die entsprechende App eingerichtet und ihre Identität bestätigt haben. Fast acht von zehn Versicherten zählen zu den passiv Nutzenden, die zwar eine Akte besitzen, diese aber aufgrund von Zeitmangel oder fehlendem akutem Bedarf noch nicht aktiviert haben.
Datenschutz als Hauptgrund für Widersprüche
Ein zentrales Ergebnis der Studie ist die Bedeutung des Datenschutzes für die Akzeptanz des Systems. Von den sieben Prozent der Versicherten, die der automatischen Einrichtung der ePA aktiv widersprochen haben, nannten 55 Prozent Bedenken hinsichtlich der Datensicherheit und der Datenverarbeitung als Hauptgrund. Das Vertrauen in die technische Infrastruktur bleibt somit ein kritischer Faktor, insbesondere da Experten in der Vergangenheit wiederholt auf Schwachstellen im Sicherheitskonzept hingewiesen haben. Interessanterweise zeigt sich jedoch eine hohe Bereitschaft zur Datenteilung, wenn der Zweck als sinnvoll erachtet wird: So würden 70 Prozent ihre pseudonymisierten Gesundheitsdaten für die Forschung zur Verfügung stellen.
Erhebliche Wissenslücken über die ePA-Funktionen
Trotz der hohen allgemeinen Bekanntheit bestehen deutliche Defizite beim Detailwissen über die Funktionsweise der ePA. Nur etwa ein Drittel der Befragten ist sich bewusst, dass sie Dokumente eigenständig aus ihrer Akte löschen können. Zudem unterliegt fast die Hälfte der Versicherten dem Irrtum, dass die ePA erst mit einer Registrierung erstellt wird, obwohl die Einrichtung im Opt-out-Verfahren automatisch erfolgt. Positiv hervorzuheben ist jedoch, dass die große Mehrheit von 88 Prozent korrekt einschätzt, dass Arbeitgeber keinerlei Einsichtsrechte in die Patientendaten ihrer Angestellten haben.
Bedeutung für den Gesundheitssektor und Stellungnahme der BfDI
Für den Gesundheitssektor unterstreichen die Ergebnisse, dass Datenschutz und Selbstbestimmung die zentralen Säulen für den Erfolg der ePA bilden. Die Bundesbeauftragte Prof. Dr. Louisa Specht-Riemenschneider betont in ihrer Pressemitteilung das enorme Potenzial der Anwendung für die Versorgung, sieht aber die Sicherheit als kritischen Punkt. Sie stellt klar: „Das Interesse an der ePA ist groß. Damit kann sie ihren Zweck, die Gesundheitsversorgung zu verbessern, tatsächlich erreichen“. Mit Blick auf die sieben Prozent der Versicherten, die der ePA aktiv widersprochen haben – zumeist aus Sicherheitsgründen –, mahnt sie jedoch dringende Verbesserungen an. Laut Specht-Riemenschneider ist es „essentiell, Sicherheitslücken schnellstmöglich und bestmöglich zu schließen“, da nur so „tiefes Vertrauen in die ePA entstehen“ kann. Zudem fordert sie eine bessere Nutzerführung, denn „die Funktionen und Einstellungsmöglichkeiten bei der ePA müssen für alle verständlich und nachvollziehbar sein“, um den gewünschten selbstbestimmten Umgang mit Gesundheitsdaten zu ermöglichen.
Fazit
Das BfDI-Datenbarometer verdeutlicht, dass die ePA an einem Scheideweg steht, an dem das Vertrauen der Nutzer zum entscheidenden Erfolgsfaktor wird. Die hohen Zustimmungswerte für zukünftige Funktionen wie digitale Impfpässe oder leicht verständliche Behandlungsergebnisse zeigen das große Interesse an digitalen Mehrwerten. Dennoch wird der flächendeckende Erfolg im Gesundheitssektor nur eintreten, wenn bestehende Sicherheitsbedenken durch transparente Verfahren und robuste Schutzmechanismen dauerhaft entkräftet werden.
Während die Bereitschaft zur Datenteilung für den medizinischen Fortschritt hoch ist, müssen die technischen Schutzmechanismen wie Pseudonymisierung und sichere Protokollierung absolut robust ausgestaltet sein. Für Akteure im Gesundheitssektor bedeutet dies, dass sie nicht nur technische Innovationen implementieren, sondern gleichzeitig höchste Compliance-Standards im Hochrisiko-Bereich der Gesundheitsdaten gemäß DSGVO erfüllen müssen. Damit Ihr Unternehmen oder Ihre Einrichtung diese komplexen Anforderungen rechtssicher bewältigt, stehen wir Ihnen als erfahrener Partner für Datenschutz und Informationssicherheit zur Seite.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
