ePA: Bundesdatenschutzbeauftragte fordert mehr Kontrolle und Transparenz

Im Zentrum des Berichts, den Behördenleiterin Prof. Dr. Louisa Specht-Riemenschneider jetzt an Bundestagspräsidentin Julia Klöckner übergeben hat, steht die Frage, wie Datenschutz in Zeiten rasanter technologischer Entwicklungen wirksam gestaltet werden kann. „Datenschutz ist Vertrauensanker in einer Zeit, in der Vertrauen zunehmend verloren geht“, erklärte Specht-Riemenschneider bei der Vorstellung des Berichts. Nicht Datenschutz selbst sei das Problem, sondern fehlende Rechtsklarheit. Aufgabe von Politik und Aufsicht sei es daher, Orientierung zu schaffen und rechtssichere Lösungen aufzuzeigen.

Ein Schwerpunkt des Berichts liegt auf der elektronischen Patientenakte (ePA). Die BfDI sieht grundsätzlich Potenzial für eine bessere Versorgung und Forschung, mahnt jedoch mehr Transparenz und Nutzerfreundlichkeit an. Viele Versicherte wüssten bislang nicht, dass bereits eine ePA für sie angelegt wurde, sofern sie dem nicht widersprochen haben.

Nach Angaben des BfDI-Datenbarometers verwendet derzeit nur etwa jede zehnte Person die elektronische Patientenakte aktiv. Ursache seien demnach aber nicht zu hohe Datenschutzanforderungen, sondern fehlender konkreter Nutzen im Alltag. Viele Versicherte sähen bislang keinen Bedarf, könnten sich aber künftig eine Nutzung vorstellen.

Die Datenschutzbeauftragte betont zugleich, dass hohe Sicherheitsstandards unverzichtbar seien. Gesundheitsdaten gehörten zu den sensibelsten personenbezogenen Informationen überhaupt. Deshalb müsse der Zugriff auf die ePA mit möglichst hohen technischen Sicherheitsniveaus abgesichert werden. Kritisch bewertet die Behörde insbesondere biometrische Authentifizierungsverfahren auf Smartphones. Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik erreichen viele dieser Verfahren nicht das erforderliche Sicherheitsniveau.

Auch beim Rechtemanagement der ePA sieht die BfDI Nachbesserungsbedarf. Versicherte könnten derzeit nicht granular festlegen, welche Ärztinnen oder Ärzte auf einzelne Dokumente zugreifen dürfen. Der European Health Data Space (EHDS), der im März 2025 in Kraft trat, sieht allerdings künftig genau solche Einschränkungsmöglichkeiten vor. Frühestens ab 2029 könnten diese Rechte verbindlich greifen.

Positiv bewertet die Datenschutzaufsicht dagegen geplante Änderungen im Sozialgesetzbuch, nach denen Leistungserbringer künftig keine Abrechnungsdaten mehr in der ePA einsehen sollen. Dies könne verhindern, dass sensible Informationen indirekt offengelegt werden.

Ein weiterer Schwerpunkt des Berichts liegt auf der Digitalisierung des Gesundheitswesens. Besonders der EHDS beschäftigt die Datenschutzaufsicht intensiv. Ziel des europäischen Projekts ist es, Bürgerinnen und Bürgern mehr Kontrolle über ihre Gesundheitsdaten zu geben. Künftig sollen Patientinnen und Patienten selbst entscheiden können, wer auf Rezepte, Laborbefunde oder Impfnachweise zugreifen darf. Gleichzeitig sollen Gesundheitsdaten stärker für Forschung und Innovation genutzt werden können.

Die BfDI begleitet die nationale Umsetzung des EHDS gemeinsam mit dem Bundesgesundheitsministerium und fordert eine Balance zwischen medizinischem Fortschritt und Grundrechtsschutz. Dazu fanden bereits erste Workshops statt, weitere sollen 2026 folgen.

Als wichtigen Schritt bewertet die Behörde zudem die Eröffnung des Forschungsdatenzentrums Gesundheit (FDZ Gesundheit) beim Bundesinstitut für Arzneimittel und Medizinprodukte. Das Zentrum soll Gesundheitsdaten datenschutzkonform für Forschungsvorhaben nutzbar machen. Laut BfDI wurden insbesondere Pseudonymisierung, sichere Verarbeitungsumgebungen und Zugriffsverfahren eng abgestimmt. Die Behörde spricht von einem „neuen Maßstab“ für den sicheren Umgang mit sensiblen Gesundheitsdaten.

Auch das geplante Medizinregistergesetz begleitet die Datenschutzaufsicht intensiv. Ziel des Gesetzes ist es, einheitliche rechtliche und technische Standards für medizinische Registerforschung zu schaffen und den Datenaustausch zwischen Forschungseinrichtungen zu erleichtern.

Aus dem aktuellen Tätigkeitsbericht geht außerdem hervor, dass 2025 bei der BfDI insgesamt 11.824 Eingaben eingingen – darunter Beschwerden und Anfragen von Bürgerinnen und Bürgern. Das entspricht einem Anstieg von rund 36 Prozent gegenüber dem Vorjahr. Innerhalb von zwei Jahren hat sich die Zahl der Beschwerden sogar mehr als verdoppelt. 2025 führte die BfDI 80 Vor-Ort-Kontrollen sowie 40 schriftliche Prüfungen durch und ergriff insgesamt 129 aufsichtsrechtliche Maßnahmen.