Was aendert sich durch den BMG-Referentenentwurf 2026?

Der Referentenentwurf des Bundesgesundheitsministeriums vom 6. Mai 2026 zum Gesetz fuer Daten und digitale Innovation im Gesundheitswesen enthaelt neue Regelungen zur Sekundaernutzung von Gesundheitsdaten und zur Telematikinfrastruktur. Praxen muessen kuenftig sicherstellen, dass Daten nur fuer zugelassene Zwecke genutzt werden und Patienten ihrer Datennutzung wirksam widersprechen koennen.

Brauchen Arztpraxen einen Datenschutzbeauftragten fuer die ePA?

Arztpraxen sind als Verarbeiter besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) nach Art. 37 Abs. 1 lit. c DSGVO in Verbindung mit § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen, sobald sie mindestens 20 Personen staendig mit der Verarbeitung beschaeftigen. Kleinere Praxen unterliegen der Pflicht nicht automatisch, haben aber dieselben inhaltlichen Datenschutzpflichten.

Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance

ePA-Datenschutz für Arztpraxen und Kliniken

Q: Muss ein Datenschutzvorfall bei der ePA gemeldet werden?

Ja. Wenn durch einen Sicherheitsvorfall Patientendaten aus der ePA unbefugt offenbart oder zuganglich gemacht werden, besteht nach Art. 33 DSGVO eine 72-Stunden-Meldepflicht bei der zustaendigen Datenschutzaufsicht. Bei hohem Risiko fuer die Betroffenen muss zusaetzlich eine Benachrichtigung nach Art. 34 DSGVO erfolgen.

Die elektronische Patientenakte ist seit 2025 für alle Versicherten aktiv. Was Praxen, MVZ und Kliniken datenschutzrechtlich beachten müssen und wo die aktuellen Schwachstellen liegen.

12 %

der Versicherten nutzen die ePA aktiv (Stand Mitte 2026)

72 h

Meldepflicht bei Datenpannen mit ePA-Daten nach Art. 33 DSGVO

Art. 9

DSGVO: Gesundheitsdaten sind besondere Kategorie mit erhöhtem Schutz

Hintergrund

Was die ePA für Praxen datenschutzrechtlich bedeutet.

Seit Januar 2025 wird die elektronische Patientenakte (ePA) für alle Versicherten automatisch angelegt, sofern sie nicht widersprechen (Opt-out-Verfahren). Ärzte, Zahnärzte, Apotheken und Krankenhäuser erhalten standardmäßig Lesezugriff, um die Behandlung zu unterstützen. Für Praxen entsteht damit eine neue Ebene datenschutzrechtlicher Verantwortung: Sie verarbeiten Gesundheitsdaten nach Art. 9 DSGVO und müssen sicherstellen, dass Zugriffsrechte korrekt vergeben, Patientenrechte gewahrt und Vorfälle fristgerecht gemeldet werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in seinem Tätigkeitsbericht 2025 fehlende Zugriffsgranularität als zentrales Problem kritisiert: Patienten können derzeit nicht einzelnen Ärzten den Zugriff auf bestimmte Dokumente verwehren. Das schränkt das Recht auf informationelle Selbstbestimmung ein und verpflichtet Praxen, Patienten aktiv über diese Einschränkung zu informieren.

Aktueller Stand

Das Bundesgesundheitsministerium (BMG) hat am 6. Mai 2026 einen Referentenentwurf zum Gesetz für Daten und digitale Innovation im Gesundheitswesen veröffentlicht. Der Entwurf enthält neue Regelungen zur Sekundärnutzung von Gesundheitsdaten und zur Telematikinfrastruktur. Praxen müssen mit weiteren Anforderungen an Datensouveränität und Zweckbindung rechnen.

Auf dieser Seite

Rechtlicher Rahmen: DSGVO und ePA
Patientenrechte und was Praxen aktiv tun müssen
Technisch-organisatorische Maßnahmen
Meldepflichten bei ePA-bezogenen Datenpannen
Was der BMG-Referentenentwurf 2026 ändert
Häufige Fragen

Rechtlicher Rahmen

Welche Rechtsgrundlagen die ePA-Nutzung regeln.

DSGVO und Gesundheitsdaten

Patientendaten in der ePA sind Gesundheitsdaten nach Art. 9 DSGVO. Ihre Verarbeitung ist nur auf Basis einer der in Art. 9 Abs. 2 genannten Ausnahmen zulässig, in der Praxis vor allem die Einwilligung des Patienten und die Notwendigkeit für die medizinische Versorgung.

Art. 9 DSGVO: besondere Kategorien personenbezogener Daten
Art. 6 DSGVO: Rechtsgrundlage für jeden Verarbeitungsschritt
§ 22 BDSG: nationale Regelung für Gesundheitsdaten
§ 352 ff. SGB V: ePA-spezifische Zugriffsregelungen

Patientenrechte nach DSGVO

Versicherte haben gegenüber der Krankenkasse als ePA-Betreiber alle DSGVO-Betroffenenrechte. Gegenüber Praxen als Zugreifer bestehen Auskunfts-, Berichtigungs- und Löschungsrechte bezüglich der dort verarbeiteten Daten.

Art. 15 DSGVO: Auskunft über verarbeitete Daten
Art. 16 DSGVO: Berichtigung unrichtiger Daten
Art. 17 DSGVO: Löschung (eingeschränkt durch Dokumentationspflichten)
Art. 21 DSGVO: Widerspruchsrecht gegen bestimmte Verarbeitungen

Schweigepflicht und ärztliche Dokumentation

Die ärztliche Schweigepflicht nach § 203 StGB und die berufsrechtliche Verschwiegenheitspflicht gelten parallel zur DSGVO. Datenpannen können daher sowohl datenschutzrechtliche als auch strafrechtliche Konsequenzen haben.

§ 203 StGB: Verletzung von Privatgeheimnissen
Keine Weitergabe an Dritte ohne Einwilligung
Aufbewahrungspflichten nach GOÄ und SGB V beachten
Datenschutz und Dokumentationspflicht müssen beide erfüllt sein

Auftragsverarbeitung in der Praxis

Praxen setzen regelmäßig externe IT-Dienstleister, Praxisverwaltungssysteme oder Abrechnungsdienste ein, die auf Patientendaten zugreifen. Mit jedem dieser Dienstleister ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich.

Art. 28 DSGVO: AVV mit jedem IT-Dienstleister
Praxisverwaltungssysteme, Abrechnungsdienstleister, Cloudanbieter
Regelmäßige Überprüfung der Dienstleister-Sicherheit
Sicherheitsvorfälle beim Dienstleister müssen gemeldet werden

Technische und organisatorische Maßnahmen

Was Praxen konkret umsetzen müssen.

Zugriffsrechte kontrollieren

Nur Mitarbeitende, die zur Behandlung beitragen, dürfen auf ePA-Daten zugreifen. Zugriffsrechte müssen rollenbasiert vergeben und bei Personalwechsel sofort entzogen werden.

Patienten informieren

Praxen müssen Patienten über die ePA-Nutzung, ihre Rechte und die bestehende Einschränkung bei der Zugriffsgranularität aktiv aufklären. Dies gehört in die Datenschutzinformation nach Art. 13/14 DSGVO.

Vorfallsmanagement aufbauen

Bei unbefugtem Zugriff auf ePA-Daten gilt die 72-Stunden-Meldepflicht nach Art. 33 DSGVO. Praxen brauchen einen dokumentierten Prozess, der Erkennung, Bewertung und Meldung abdeckt.

Dienstleister prüfen

Praxisverwaltungssysteme und IT-Dienstleister müssen nach Art. 28 DSGVO vertraglich gebunden und regelmäßig auf ihre Sicherheitsmaßnahmen hin überprüft werden.

FAQ

Häufige Fragen zum ePA-Datenschutz.

Verwandte Themen

Gilt die DSGVO für die elektronische Patientenakte?+

Ja. Die ePA verarbeitet Gesundheitsdaten, die nach Art. 9 DSGVO als besondere Kategorie personenbezogener Daten eingestuft sind. Arztpraxen und Kliniken sind als Leistungserbringer Verantwortliche, wenn sie auf die ePA zugreifen oder Daten einpflegen. Zugriffsrechte müssen korrekt vergeben und Patientenrechte aktiv gewahrt werden.

Können Patienten den Zugriff auf bestimmte Dokumente einschränken?+

Nach aktuellem Stand haben Patienten keine granulare Kontrolle darüber, welchem Arzt sie den Zugriff auf welches Dokument gewähren. Der BfDI hat dies in seinem Tätigkeitsbericht 2025 als datenschutzrechtliches Problem kritisiert. Praxen sollten Patienten aktiv über diese Einschränkung informieren und auf das allgemeine Widerspruchsrecht hinweisen.

Muss ein Datenschutzvorfall bei der ePA gemeldet werden?+

Ja. Bei unbefugtem Zugriff auf ePA-Daten greift Art. 33 DSGVO: Die Datenpanne muss innerhalb von 72 Stunden der zuständigen Datenschutzaufsicht gemeldet werden. Bei hohem Risiko für die betroffenen Patienten ist zusätzlich eine direkte Benachrichtigung nach Art. 34 DSGVO erforderlich.

Was ändert sich durch den BMG-Referentenentwurf 2026?+

Der Referentenentwurf des Bundesgesundheitsministeriums vom 6. Mai 2026 enthält neue Regelungen zur Sekundärnutzung von Gesundheitsdaten und zur Telematikinfrastruktur. Praxen müssen künftig sicherstellen, dass Daten nur für zugelassene Zwecke genutzt werden und Patienten ihrer Datennutzung wirksam widersprechen können. Der Entwurf befindet sich noch im Gesetzgebungsverfahren.

Brauchen Arztpraxen einen Datenschutzbeauftragten?+

Praxen sind als Verarbeiter von Gesundheitsdaten nach Art. 37 Abs. 1 lit. c DSGVO i.V.m. § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Kleinere Praxen unterliegen dieser Pflicht nicht automatisch, haben aber dieselben inhaltlichen Datenschutzpflichten.

Leistung Datenschutz-Beratung Zur Leistung Leistung AVV-Prüfung & Dienstleister Zur Leistung Leistung Behördenkommunikation & Meldepflichten Zur Leistung

Datenschutz im Gesundheitswesen strukturiert umsetzen.

ePA, DSGVO-Meldepflichten und Dienstleisterkontrolle in einem Beratungsrahmen.

Zur Datenschutz-Beratung