Datenschutzerklärung

Inhalt
A. Allgemeines 5
Vorbemerkung 5
A.1 Name und Anschrift des Verantwortlichen 5
A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen 5
A.3 Zuständige Datenschutzaufsicht 6
A.4 Zuständige Rechtsaufsicht 6
A.5 Allgemeines zur Datenverarbeitung 6
A.6 Einbindung von Dritten 6
A.7 Datenverarbeitung außerhalb der Europäischen Union 7
A.8 Betroffenenrechte 7
A.9 Löschung von Daten 7
A.10 Automatisierte Entscheidungsfindung 7
A.11 Beschwerderecht bei einer Aufsichtsbehörde 8
A.12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung 8
B. Bereitstellung der ePA durch die Krankenkasse 8
B.1 Beschreibung und Umfang der Datenverarbeitung 8
B.2 Rechtsgrundlage für die Datenverarbeitung 9
B.3 Zweck der Datenverarbeitung 9
B.4 Dauer der Speicherung 10
B.5 Widerrufsmöglichkeiten für die Nutzung der ePA 10
C. IAM Registrierungsprozess für die ePA 10
C.1 Beschreibung und Umfang der Datenverarbeitung 10
C.2 Erfassung der Daten für einen Fehlerreport 11
C.2.1 Automatisiert übermittelte Daten 12
C.2.2 Manuell übermittelte Daten 13
C.3 Rechtsgrundlage für die Datenverarbeitung 13
C.4 Zweck der Datenverarbeitung 14
C.5 Dauer der Speicherung 14
C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA 14
D. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App 14
D.1 Beschreibung und Umfang der Datenverarbeitung für den Versicherten 14
D.1.1 Start mit Login Maske 14
D.1.2 Nutzung der ePA 14
D.1.3 Profil 15
D.1.4 Bereich 1: Dokumente 16
D.1.5 Bereich 2: Berechtigungen 16
D.1.6 Bereich 3: Aktivitäten 17
D.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen 17
D.3 Rechtsgrundlage für die Datenverarbeitung 17
D.3.1 Zweck der Datenverarbeitung 18
D.3.2 Dauer der Speicherung 18
D.3 Widerspruchsmöglichkeit 18
E. Kontaktvarianten 18
E.1 Beschreibung und Umfang der Datenverarbeitung 18
E.2 Chatbot 18
E.3 Vorgangsbearbeitungssystem (ITSM) 19
E.4 Rechtsgrundlage für die Datenverarbeitung 20
E.5 Zweck der Datenverarbeitung 20
E.6 Dauer der Speicherung 20
E.7 Speicherorte aller ePA spezifischen Daten 20
F. Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V 22
1. Einleitung 24
2. Was ist die elektronische Patientenakte? 24
3. Wie sicher ist die elektronische Patientenakte? 25
4. Was muss ich grundsätzlich zur elektronischen Patientenakte wissen? 26
4.1 Ist die ePA verpflichtend? 26
4.2 Wer bietet die ePA an und betreibt sie? 26
4.3 Kann ich Dokumente in der ePA oder die ganze Akte löschen? 27
4.4 Wie behalte ich den Überblick darüber, wer etwas an meiner Akte geändert hat? 27
4.4.1 Das Verwaltungsprotokoll 27
4.4.2 Das Zugriffsprotokoll 28
4.5 Welche Rechte habe ich gegenüber meiner Krankenkasse hinsichtlich der Datenverarbeitungsvorgänge der ePA? 28
4.6 Welche Daten tauscht die Krankenkasse mit dem Betreiber der ePA aus? 30
4.7 Was muss ich bei Nutzung der ePA-Anwendung beachten? 30
4.8 Welche Maßnahmen muss ich bei Verlust oder Verdacht auf Missbrauch der eGK oder der Zugangsdaten für die ePA-Anwendung treffen? 31
4.9 Ich will meine Krankenkasse wechseln. Kann ich meine in der ePA gespeicherten Daten einfach mitnehmen? 31
4.10 Was muss ich tun, wenn ich die ePA nicht mehr will? 32
4.11 Habe ich Nachteile bei meiner Gesundheitsversorgung, wenn ich die ePA nicht nutze? 33
5. Was kann ich in meiner elektronischen Patientenakte speichern? 33
5.1 Wie melde ich mich bei der ePA an? 34
5.2 Was benötige ich zum Zugriff auf meine Daten? 35
5.3 Zu welchen Kategorien kann ich Dokumente in der ePA speichern? 36
5.4 Kann ich Vertraulichkeitsstufen für Dokumente festlegen? 37
5.5 Wie kann ich Daten aus einer digitalen Gesundheitsanwendung in der ePA speichern? 38
6. Wer hat wie Zugriff auf die elektronische Patientenakte? 38
6.1 Welche rechtlichen Vorgaben für Leistungserbringer gibt es? 40
6.2 Welcher Leistungserbringer darf auf welche Daten in der ePA zugreifen? 40
6.3 Wie funktioniert die Erteilung von Berechtigungen konkret? 43
6.4 Wie berechtige ich eine an meiner Behandlung beteiligte Leistungserbringereinrichtung konkret? 44
6.4.1 Wie erteile ich Berechtigungen in der ePA-Anwendung? 45
6.4.2 Wie erteile ich Berechtigungen ohne die ePA-Anwendung, wenn ich z. B. beim Leistungserbringer vor Ort bin oder die ePA-Anwendung nicht nutze? 47
7. Wer muss Daten in meine elektronische Patientenakte einstellen, wenn ich es wünsche? 47
8. Ich benötige Unterstützung bei der Nutzung der elektronischen Patientenakte. Was kann ich tun? 49
9. Ich möchte eine elektronische Patientenakte führen, aber keine ePA-Anwendung nutzen. Was bedeutet das für mich? 49
10. Welche weiteren Möglichkeiten bieten mir die ePA und die ePA-Anwendungen meiner Krankenkasse? 51
10.1 Direkter Zugriff auf das nationale Gesundheitsportal aus der ePA-Anwendung 51
10.2 Freigabe der Daten für die Forschung (voraussichtlich ab dem 1. Juli 2024) 51
10.3 Nutzung eines Sofortnachrichten-Dienstes über die ePA-Anwendung (voraussichtlich ab dem 1. August 2024) 51
10.4 Weitere Funktionen der ePA (voraussichtlich ab dem 1. Oktober 2024) 52
10.5 Daten zur pflegerischen Versorgung (voraussichtlich ab dem 1. Januar 2024) 52
10.6 Abgabe und Zugriff auf Ihre Erklärung zur Organ- und Gewebespende (voraussichtlich im Laufe der Jahre 2023 oder 2024) 52

A. Allgemeines
Die Informationen zur elektronischen Patientenakte (ePA) nach § 343 SGB V sind im Abschnitt F dieses Dokumentes ausführlich beschrieben.

Vorbemerkung
Im Sinne einer besseren Lesbarkeit und einem vereinfachtem Bearbeitungsverfahren wurde die gendergerechte Ansprache durch die einheitliche Verwendung der Formulierungen:
• „Versicherter“
• „Vertreter“
ersetzt. Mit der Benutzung dieser Begriffe sind immer ohne Einschränkung alle Geschlechter gemeint.

A.1 Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne von §§ 341 Abs. 4 Satz 1, 307 Abs. 4 SGB V in Verbindung mit Art. 4 Ziffer 7 der Datenschutz-Grundverordnung ist die:
mkk
Lindenstraße 67
10969 Berlin
Telefonnummer: 0800 1656616 *
Fax: 0800 1656617*
info@meine-krankenkasse.de
www.meine-krankenkasse.de

A.2 Kontaktdaten Datenschutzbeauftragter des Verantwortlichen
Uwe Lehmann
Lindenstraße 67
10969 Berlin
datenschutzbeauftragter@meine-krankenkasse.de

A.3 Zuständige Aufsichtsbehörden bzgl. des Datenschutzes
Der/Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorferstraße 153
53117 Bonn
Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de

A.4 Fach- und Rechtsaufsichtsbehörde
Bundesamt für Soziale Sicherung
Friedrich-Ebert-Allee 38
53113 Bonn
Telefon: +49 (0)228-619-0
Telefax +49 (0)228619-1870

A.5 Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Versicherten und von Mitarbeitern der Krankenkasse, soweit dies zur Bereitstellung bzw. Nutzung einer funktionsfähigen ePA erforderlich ist. Sofern die Verarbeitung personenbezogener Daten unserer Versicherten auf der Grundlage einer Einwilligung geschieht, erfolgt dies aufgrund einer dahingehenden gesetzlichen Verpflichtung aus dem SGB V. Eine Bereitstellung der ePA für unsere Versicherten ohne deren Einwilligung ist gesetzlich nicht zugelassen.
Die Nutzung der ePA ist für unsere Versicherten gleichwohl freiwillig. Unseren Versicherten entsteht kein Nachteil, sofern sie sich gegen die Nutzung der ePA entscheiden.

A.6 Einbindung von Dritten
Wir geben Daten unserer Versicherten grundsätzlich nicht an Dritte weiter. Wir setzen gleichwohl verschiedene technische Dienstleister ein, um unseren Versicherten die ePA bereitstellen zu können. In diesem Zusammenhang kann es vorkommen, dass ein solcher technischer Dienstleister Kenntnis von personenbezogenen Daten erhält. Wir wählen diese Dienstleister sorgfältig aus und treffen alle datenschutzrechtlich erforderlichen Maßnahmen für eine zulässige Datenverarbeitung.

A. 7 Datenverarbeitung außerhalb der Europäischen Union
Eine Verarbeitung der Daten unserer Versicherten außerhalb der Europäischen Union durch uns findet nicht statt.

A. 8 Betroffenenrechte
Unsere Versicherten haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Diesbezüglich können sich unsere Versicherten jederzeit an uns wenden.
Unsere Versicherten haben das Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit ihnen dieses Recht gesetzlich zusteht.
Unsere Versicherten haben ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben.
Unsere Versicherten haben ein Recht auf Datenübertragbarkeit im Rahmen der gesetzlichen Vorgaben.

A. 9 Löschung von Daten
Wir löschen die ePA unseres Versicherten grundsätzlich dann, wenn kein Erfordernis für eine weitere Speicherung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um die ePA für unsere Versicherten weiterhin bereitstellen zu können. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht.

A.10 Automatisierte Entscheidungsfindung
Wir setzen keine Verarbeitungsvorgänge ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO beruhen.

A.11 Beschwerderecht bei einer Aufsichtsbehörde
Unsere Versicherten haben das Recht, sich über die Verarbeitung personenbezogener Daten durch uns bei einer der Ziffer A.3 und A.4 genannten Aufsichtsbehörden zu beschweren.

A.12 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Unseren Versicherten steht das Recht zu, ihre datenschutzrechtlichen Einwilligungserklärungen jederzeit zu widerrufen. Der Widerruf kann wie folgt erklärt werden: Gegenüber der Krankenkasse jederzeit schriftlich, oder auf elektronischem Weg über die ePA-App ohne Angabe von Gründen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

B. Bereitstellung der ePA durch die Krankenkasse
B.1 Beschreibung und Umfang der Datenverarbeitung
Nach Erteilung der ausdrücklichen schriftlichen oder elektronischen (über die ePA-App) Einwilligung unseres Versicherten legen wir eine individuelle und ausschließlich von unserem Versicherten verwendete elektronische Patientenakte (ePA) an, welche unser Versicherter eigenständig souverän und autonom verwalten und verwenden kann. Ein Versicherter kann in seiner ePA eine oder mehrere vertretende Personen, hinzufügen, siehe hierzu Kapitel D2.
Bei der Bereitstellung der ePA werden folgende personenbezogene Daten unseres Versicherten verarbeitet:
• Art und Nummer eines amtlichen Ausweisdokuments:
- Aufenthaltstitels oder
- Personalausweis oder
- Reisepass

• Anzahl der aktiven elektronischen Gesundheitskarten (eGK). Die Anzahl der aktiven eGK, die dem identifizierten Versicherten im eGK-System zugeordnet sind. Eine Karte gilt dabei im eGK-System als aktiv, wenn sie weder gesperrt oder logisch gelöscht ist. In der Regel ist immer nur eine eGK aktiv.

• Name, Vorname
• Geburtsdatum des Versicherten
• Versichertenart (z. B.: Mitglied, Familienversicherter, Rentner)
• Beginn und Ende Versicherungsverhältnis
• IdentDataTime (Zeitstempel für die vollzogene Identifizierung des Versicherten)
• Schutzklasse für die Identifikation (mit oder ohne eGK)
• Identifizierungsverfahren (z. B. in der Filiale oder Postident)
• Meldeadresse: Länderkennzeichen, PLZ, Ort; Straße, Hausnummer;
• Ende der Registrierung / Ja oder Nein
• Zeitpunkt Registrierungsbeginn
• Titel
• Namenszusatz
• Vorsatzwort (z. B.: „von“, „de“, „van“)
• Geschlecht
• VIP – Kennzeichen
• ICCSN (Kartenkennnummer auf der Rückseite der eGK)
• istNfcEgk (Dieser Wert gibt an, ob die im Aufruf bezeichnete eGK für „Near Field Communication“ (NFC) ausgerüstet ist.)
• istPinBriefVersandt (Dieser Wert gibt an, ob zu der im Aufruf bezeichneten eGK ein PIN-Brief versandt wurde.)
• pinBriefVersandDatum (Zeitpunkt zu dem der PIN-Brief-Versand dem KAMS (Kartenanwendungs-managementsystem) gemeldet wurde.)

B.2 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Erstellung der ePA ist die Einwilligung unseres Versicherten gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

B.3 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Bereitstellung der ePA gemäß dem gesetzlichen Leitbild. In diesem Zusammenhang bedarf es die Zuordnung einer konkreten ePA zu unserem Versicherten.

B.4 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen.

B.5 Widerrufsmöglichkeiten für die Nutzung der ePA

Unser Versicherter kann seine Einwilligung zur Bereitstellung der ePA jederzeit widerrufen und gegenüber der mkk die Löschung der ePA verlangen. Der Versicherte erklärt den Widerruf durch Entfernen des gesetzten Bestätigungshakens, schriftlich oder persönlich in einer unserer Geschäftsstellen.

C. IAM Registrierungsprozess für die ePA

Die in den nachfolgenden Abschnitten beschriebenen Datenverarbeitungsprozesse sind zur Bereitstellung der ePA zwingend erforderlich.

C.1 Beschreibung und Umfang der Datenverarbeitung
Zur rechtssicheren Nutzung und Errichtung eines ePA-Kontos unseres Versicherten ist es erforderlich, ein Verifikations-Verfahren durchzuführen, um zu überprüfen, ob die Person, die sich für eine ePA registriert auch tatsächlich unser Versicherter ist. Für die Registrierung der der Nutzer benötigt die BITMARCK zur Durchführung des Registrierungsprozesses Daten.

Diese Prozessabläufe sind nachfolgend beschrieben:
1. Schritt: Der Versicherte installiert die ePA App und startet diese.
2. Schritt: Der Versicherte klickt den Funktionsbutton „Los geht`s“ an.
3. Schritt: Der Versicherte klickt, wenn bereits ein Benutzerkonto besteht,
auf „Anmelden bei der mkk“, oder muss sich zuerst
über den Funktionsbutton „Registrieren“ ein Benutzerkonto
anlegen.
4. Schritt: Um mit der Registrierung zu starten, klickt der Kunde auf
„Jetzt loslegen“
5. Schritt: Der Versicherte gibt die folgenden Daten, gemäß der
vorgegebenen Felder ein:
- E-Mail-Adresse
- Versichertennummer
- PLZ
- Auswahl eines individuellen Passwortes
- Passwort Wiederholung
- Eingabe der letzten 6 Stellen der Kennnummer der eGK
(ICCSN)
6. Schritt: Der Versicherte bestätigt in der Checkbox, die Akzeptanz der Nutzungsbedingungen IAM sowie die Akzeptanz der Einwilligung
IAM, um die Registrierung abzuschließen.
7. Schritt Der Versicherte muss die E-Mail-Adresse bestätigen und muss
dafür in der versendeten E-Mail den Link aufrufen, um fortfahren
zu können.
8. Schritt Der Versicherte legt einen App-Code als weiteres
Sicherheitsmerkmal fest.
9. Schritt Der Versicherte kann die biometrische Anmeldung aktivieren.
10. Schritt Es wird die Identität überprüft mit einem der zur Verfügung
gestellten Verfahren.
11. Schritt Patientenakte einrichten
- Ohne meine Gesundheitskarte
- Mit meiner Gesundheitskarte
12. Schritt Gerät und App verknüpfen
- Eine Gerätebindung, das heißt die App mit dem Gerät zu verknüpfen, ist entsprechend der Sicherheitsvorgaben notwendig.
13. Schritt Im Anschluss wird dem Versicherten die Freigabe zur Nutzung
angezeigt und damit sind die Voraussetzungen für die Einrichtung der ePA abgeschlossen.

Beim Registrierungsverfahren werden vorstehende Daten in einem technischen Container temporär gespeichert.
Nach Verifikation der eingegebenen Daten durch die mkk wird der Versicherte als Nutzer der ePA angelegt und zur Nutzung freigeschaltet. Der Versicherte erhält hierzu eine Bestätigung der mkk.

C.2 Erfassung der Daten für einen Fehlerreport
Wir benötigen die im Folgenden aufgeführten Informationen, wenn ein Versicherter einen Fehler meldet und die Ursache analysiert werden muss.

C.2.1 Automatisiert übermittelte Daten

Für die ePA Apps für IOS und Android sowie die Desktop App wird im Fehlerfall ein Report erstellt und dieser wird automatisch an das Business Service Management (BSM) versendet.

Diese übermittelten Daten werden ausschließlich zur Fehlerbehebung analysiert.

C.2.4 StackTrace
Umfasst die technische Beschreibung des aufgetretenen Fehlers.

C.3 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für den IAM Registrierungsprozess der ePA und die hierbei verarbeiteten Daten ist die Einwilligung unseres Versicherten nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

C.4 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die rechtssichere Identifikation des Versicherten sowie die Verhinderung von Daten- und Identitätsmissbrauch.

C.5 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die ePA gekündigt und final gelöscht wurde.

C.6 Widerrufsmöglichkeiten für die Registrierung in der ePA
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Registrierung der ePA zwingend erforderlich. Unser Versicherter kann seine Einwilligung zur Registrierung der ePA gleichwohl jederzeit widerrufen und gegenüber der mkk die Löschung der ePA verlangen. Hierzu muss der Versicherte in der ePA seine Einwilligung widerrufen oder diese schriftlich an die KBKK VBU senden.

D. Nutzung der elektronischen Patientenakte (ePA) / Datenspeicher über die App

D.1 Beschreibung und Umfang der Datenverarbeitung

D.1.1 Start mit Login Maske

Der Versicherte startet die App, nach erfolgter Registrierung und Identifizierung.
Zuerst erscheint die Login Maske, in die der Versicherte seine Zugangsdaten (Versichertennummer und Passwort sowie App-Code) eingibt.

D.1.2 Nutzung der ePA
Beim ersten Start der Anwendung erhält der Versicherte einen ersten Überblick über seine Patientenakte.

Auf der „Willkommen“-Seite kann der Versicherte seine Patientenakte öffnen, zudem kann er über „Weitere Patientenakten“ für seine Patientenakte ihn vertretende Personen, das heißt einen oder mehrere Vertreter, benennen und diese freischalten.

In der Patientenakte in der Ansicht „Übersicht“ kann der Nutzer über das Profilbild auf sein Profil zugreifen, zudem sieht er die folgenden Bereiche:
1. Bereich Dokumente
2. Bereich Berechtigungen
3. Bereich Aktivitäten
Nach der Erläuterung zu „Profil“ werden die Bereiche in den Kapiteln D1.4 bis D1.6 kurz dargestellt. Der Versicherte kann in jedem Bereich verschiedene Aktionen durchführen.

D.1.3: Profil
Über das Profilbild gelangt der Versicherte in diese Ansicht und kann dort seine Einstellungen verwalten und zum Beispiel seine Zugangsdaten ändern.
Zudem kann er unter Informationen auf die folgenden Menüpunkte zugreifen
a. Über die ePA
b. Interaktive App-Demo
c. Kontakt
d. Hilfe
e. Sicherheitshinweise
f. Hinweise zur Datenerfassung
g. Zusatzfunktionen
h. App-Bericht senden
sowie unter „Rechtliche Hinweise“ auf
i. Lizenzen Dritter
j. Impressum
k. Datenschutzerklärung

Zusätzlich steht die Information zur aktuell genutzte App Version bereit.

D.1.4 Bereich 1: Dokumente
Dokumente können durch den Versicherten selbst oder von durch den Versicherten berechtigen Leistungserbringern in die Patientenakte eingestellt werden. Bestimmte medizinische Daten können ausschließlich von Leistungserbringer in die elektronische Patientenakte eingestellt werden, sogenannte medizinische Informationsobjekte (MIO). Zum Beispiel gehören hierzu der Impfpass, der Mutterpass oder der Zahnbonus.

Im Bereich Dokumente sieht der Versicherte in seiner Patientenakte eine Ansicht aller von ihm oder von Dritten hochgeladenen Dokumente. Es stehen die folgenden Aktionen zur Verfügung:
• Suche, Filtern und Sortieren
• Dokumente hochladen und hinzufügen
• Import von Dokumenten aus dritter Quelle
Der Versicherte kann die eingestellten Dokumente ansehen, herunterladen und anschließend ausdrucken. Auch können die Dokumente vom Versicherten gelöscht werden.

D.1.5 Bereich 2: Berechtigungen
In dieser Ansicht sind die folgenden Informationen und Funktionen enthalten.

Für Praxen und Einrichtungen:
• Der Versicherte kann zunächst über „hinzufügen“ Berechtigungen für Praxen und Einrichtungen vergeben
Wenn Berechtigungen für Praxen und Einrichtungen vergeben sind:
• Welche Berechtigungen wurden durch den Versicherten schon vergeben.
• Es können Berechtigungen bearbeitet oder neu eingerichtet werden.

Wenn der Versicherte eine vertretende Person eingerichtet hat
• Welche vertretenden Personen eingerichtet sind
• Es können weitere vertretende Personen hinzugefügt werden
• Die Möglichkeit zur Bearbeitung

Der Versicherte kann die Krankenkasse berechtigen, die Leistungsdaten in die Patientenakte einzustellen.

D.1.6 Bereich 3: Aktivitäten

Der Versicherte kann in diesem Bereich alle bislang erfolgten Zugriffe auf sein Aktenkonto einsehen.
Hier kann der Versicherte feststellen, welcher Leistungserbringer oder vertretende Personen wann welche Dokumente eingestellt oder auf diese zugegriffen haben.

Es werden die Daten gespeichert, die der Versicherte in seine digitale Patientenakte einstellt, bzw. die von Dritten dorthin hochgeladen werden. Hierbei kann es sich auch um Gesundheitsdaten nach Artikel 9 der DSGVO handeln.

D.2 Beschreibung und Umfang der Datenverarbeitung für vertretende Personen
Versicherte können für Ihre Patientenakte einen oder mehrere vertretende Personen berechtigen. Die vertretende Person nutzt die eigene ePA-App seiner Krankenkasse zur Wahrnehmung der Vertretung. Bei der Einrichtung wird der Name, die E-Mail-Adresse und die Versichertennummer (KVNr) angegeben und gespeichert. Wenn die vertretende Person in der Patientenakte als Vertretung handelt, können alle technisch möglichen Aktionen anstelle des Versicherten ausgeführt werden.
Vertretende Personen können keine weiteren vertretenden Personen für die vertretene Patientenakte einrichten und auch nicht die Patientenakte für den Versicherten insgesamt löschen.

Bei der Vertretung innerhalb der ePA erfolgt eine Datenverarbeitung wie in Kapitel D1 beschrieben.

D.3 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Speicherung personenbezogener Daten in der ePA ist die Einwilligung des Versicherten nach Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 DSGVO i.V.m. §§ 342 Abs. 1, 344 Abs. 1 Satz 1 SGB V.

D.3.1 Zweck der Datenverarbeitung
Zweck der Datenverarbeitung ist die Nutzung des ePA durch den Versicherten zur Archivierung und Nutzung seiner individuellen Gesundheitsinformationen.

D.3.2 Dauer der Speicherung
Die Daten werden durch den Versicherten gelöscht, wenn er entscheidet, dass die in der ePA gespeicherte Daten nicht mehr benötigt werden.

D.4 Widerspruchsmöglichkeit
Die unter diesem Abschnitt beschriebenen Datenverarbeitungen sind zur Nutzung der ePA zwingend durch unseren Versicherten erforderlich. Der Versicherte kann seine Einwilligung zur Nutzung der ePA gleichwohl jederzeit widerrufen, per Entfernen des gesetzten Bestätigungshakens in der ePA-App oder schriftlich oder persönlich bei uns.

E. Kontaktvarianten
E.1 Beschreibung und Umfang der Datenverarbeitung
In der ePA sind diverse Kontaktkanäle enthalten, die von dem Nutzer für die elektronische Kontaktaufnahme mit uns genutzt werden können.
E.2 Chatbot (Falls eingerichtet)
Die Beantwortung von Fragen zur ePA kann über einen automatisierten Chatbot erfolgen. Über den Chatbot erhalten die Versicherten Zugang zu standardisierten Supportprozessen und Leistungsinhalten des Versichertenhelpdesks (VHD) im Rahmen der ePA. Die grundsätzliche Funktionalität umfasst dabei
a. Hinweisfunktion zur Abgrenzung Beratung Versicherungsverhältnis,
b. Beantwortung von Fragen zur ePA,
c. Dialog zur Annahme von Störungen mit Hinweis auf bestehende Störungen und der Möglichkeit sich zu einer solchen über die Erstellung eines Tickets zu registrieren,
d. Möglichkeit zum Übergang in einen LiveChat-Dialog,
e. Möglichkeit zur Platzierung eines Rückrufwunsches für ein dediziertes Zeitfenster innerhalb der Kernzeit.
Verarbeitete Daten sind hierbei die bereits von Ihnen hinterlegten Verifikationsdaten, sowie die von Ihnen freiwillig, im Chatbot eingegebenen Daten. Anfragen werden im Chatbot geloggt. Eine Erfassung von Kontaktdaten, sowie eine Dokumentation als Ticket erfolgt nicht.
Kann eine Frage zur ePA nicht im Chat mit dem Chatbot beantwortet werden oder benötigt der Nutzer anderweitige direkte Unterstützung– beispielsweise bei der Meldung einer Störung – besteht die Möglichkeit, diese ad hoc über einen Live-Chat anzufordern oder einen Rückrufwunsch anzufordern.

E.3 Vorgangsbearbeitungssystem (ITSM)
Alle Anfragen, welche der Chatbot nicht autark lösen kann, werden zur weiteren Bearbeitung in einem Ticketbearbeitungssystem erfasst und dokumentiert. Diese Anfragen werden persönlich von unseren Supportmitarbeitern bearbeitet.
Sollte der Nutzer diesbezüglich einen Rückruf wünschen, muss noch optional eine Telefonnummer eingegeben werden.
Gegebenenfalls muss zusätzlich noch eine Supportnummer auf Nachfrage durch den Nutzer eingegeben werden, diese wird durch das Verfahren automatisch erzeugt und dem Nutzer gegenüber dargestellt.
Sollten die gemeldeten Themen nicht durch diese Variante beantwortet werden können, wird ebenfalls automatisiert ein anlassbezogenes internes Bearbeitungsticket erstellt. Je nach Bedarf wird diese Anfrage an einen verantwortlichen Mitarbeiter weitergeleitet und – insofern diese Option durch den Nutzer gewählt wurde – ein Rückruf initiiert.
Nimmt ein Nutzer die Möglichkeit des Rückrufs wahr, so werden die in der Eingabemaske eingegeben Daten an die mkk übermittelt und gespeichert.
Die folgenden Daten sind durch den Nutzer einzugeben:
a. Name
b. Kassenzugehörigkeit
c. E-Mail-Adresse

E.4 Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, da die im Rahmen der Kontaktaufnahme durchgeführten Datenverarbeitungsvorgänge für die ordnungsgemäße Abwicklung des Nutzungsvertrags mit dem Nutzer über die ePA erforderlich sind.

E.5 Zweck der Datenverarbeitung
Die in diesem Abschnitt beschriebene Verarbeitung personenbezogener Daten wird durchgeführt, um Kontaktaufnahmen unserer Versicherten bearbeiten zu können und infolgedessen den Nutzungsvertrag über die ePA mit dem Nutzer durchführen zu können.

E.6 Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten mehr bestehen. Dies ist der Fall, wenn die Kasse entscheidet, dass spätestens drei Jahre nach Schließung des Vorgangstickets diese Daten gelöscht werden sollen.

E.7 Speicherorte aller ePA spezifischen Daten

Die hier aufgeführten Systeme sind im BITMARCK Glossar erklärt.

F Pflichtinformationen gemäß § 343 Absatz 1 SGB V
Alle Infos rund um die ePA sind hier zusammengefasst.

F.1 Muss ich die ePA nutzen?
Mit Beginn des Jahres 2021 bieten die Krankenkassen ihren Versicherten elektronische Patientenakten an. Welche grundsätzlichen Rechte gehen damit für Sie einher?

Anbieter der elektronischen Patientenakte
Die elektronische Patientenakte wird von den Krankenkassen zur Verfügung gestellt. Dabei arbeiten sie mit Industriepartnern zusammen, die die entsprechenden Akten nach der Spezifikation, also den technischen und nicht-technischen Anforderungen, der gematik GmbH entwickeln. Die gematik GmbH ist gemäß den gesetzlichen Regelungen für die Einführung, den Betrieb und die Weiterentwicklung der Telematik Infrastruktur, der elektronischen Gesundheitskarte und der zugehörigen Fachanwendungen verantwortlich. Alle Anbieter müssen mit ihrem Aktensystem und den dazugehörigen Versicherten-Apps ein Zulassungsverfahren gegenüber der gematik durchlaufen, bei dem die Einhaltung aller Anforderungen an Funktionalität Betrieb, Sicherheit und Datenschutz nachgewiesen werden muss.

Ihre Krankenkasse arbeitet mit der Firma BIMARCK zusammen, um Ihnen die ePA bereitzustellen.

Erfordernis der Einwilligung
Das Einrichten und Nutzen der elektronischen Patientenakte (ePA) ist für Sie freiwillig. Entscheiden Sie sich dafür, bedarf es Ihrer Einwilligung in die Datenverarbeitung gegenüber der Krankenkasse. Ihre Einwilligung wird im Rahmen der Einrichtung Ihrer ePA abgefragt – noch bevor die Akte technisch eröffnet wird. Für Ihre Einwilligung gegenüber der Krankenkasse gelten dabei folgende Grundsätze:

Wahrung des Freiwilligkeitsgrundsatzes
Weitere Leistungen und Service-Angebote Ihrer Krankenkasse werden nicht von Ihrer Einwilligung zur ePA abhängig gemacht.
Die Einwilligung ist jederzeit widerrufbar.

Wahrung des Bestimmtheitsgrundsatzes
Für verschiedene Zwecke bzw. Verarbeitungsvorgänge müssen separate Einwilligungen abgegeben werden.

Wahrung der informierten Einwilligung
Vor Beginn der Datenverarbeitung müssen Sie über Zweck und Umfang der Verarbeitung, über den Verantwortlichen, über Rechte des Betroffenen, über die Aufsicht und über das Widerrufsrecht, insbesondere auch Folgen der Verweigerung und des Widerrufs der Einwilligung informiert worden sein.

Wahrung der Nachweisbarkeit
Ihre Einwilligung muss rechtssicher nachweisbar sein.

Wahrung der Verständlichkeit
Die Einwilligung muss in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache verfasst sein.

Ebenso müssen Sie gegenüber den zugreifenden Leistungserbringern eine Einwilligung für die Datenverarbeitung in der elektronischen Akte erteilen. Leistungserbringer werden im deutschen Gesundheitswesen alle Personengruppen und Einrichtungen genannt, die im Rahmen der gesetzlichen Krankenversicherung (GKV) Leistungen erbringen. Hierzu zählen zum Beispiel Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte, Krankenhäuser und Apotheken. Die Einwilligung gegenüber den Leistungserbringern erteilen Sie, in dem Sie ihnen Zugriff auf die elektronische Patientenakte gewähren.

Recht auf vollständige Löschung
Das Prinzip der Freiwilligkeit bedeutet natürlich auch, dass Sie jederzeit das Recht haben, in die Akte eingestellte Dokumente zu löschen oder von einem berechtigten Leistungserbringer etwa in der Arztpraxis (z. B. Ihrem Hausarzt bzw. Ihrer Hausärztin) oder im Krankenhaus im Rahmen einer Behandlung löschen zu lassen.

Zudem besitzen Sie die grundlegende Möglichkeit, Ihre gesamte ePA komplett zu schließen, also löschen zu lassen. Dazu müssen Sie die erteilte Einwilligung zur Nutzung der ePA gegenüber Ihrer Krankenkasse widerrufen. Diese Kündigung der ePA bzw. der Widerruf zur Nutzung muss gegenüber Ihrer Krankenkasse in einer geeigneten Form ausgesprochen werden. Zum genauen Vorgehen hierbei wenden Sie sich an Ihre Krankenkasse. Sie haben jederzeit die Möglichkeit, Ihre Akte zu schließen.

Von der Löschung betroffen sind alle Inhalte Ihrer Akte - also die Dokumente, die Berechtigungen sowie Protokolle über die Zugriffe und Zugriffsversuche auf die ePA. Die Verantwortung zur Sicherung der in Ihrer Akte gespeicherten Dokumente obliegt in diesem Fall Ihnen als ePA-Nutzer.

Nichtnutzung der ePA
Sollten Sie sich dazu entscheiden, die ePA nicht nutzen zu wollen, entstehen Ihnen hieraus keine Nachteile für Ihre Gesundheitsversorgung. Diese wird auch zukünftig durch die etablierten Verfahren gewährleistet bleiben.

Als Zusatzangebot sorgt die ePA aber zukünftig für eine gesteigerte Transparenz Ihrer medizinischen Daten. So besitzen Sie im Rahmen einer ePA-Nutzung den Vorteil, die Dokumente, Befunde oder Informationen Ihrer Behandlung digital einzusehen und an ausgewählte Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser weiterzugeben, bzw. diesen den Zugriff auf Ihre Daten zu erlauben. Dieser digitale, durch Sie initiierte und gesteuerte Datenaustausch kann dabei helfen, Ihre medizinische Versorgung zu verbessern. Durch den Zugriff auf relevante Gesundheitsdaten in Ihrer elektronischen Patientenakte unterstützen Sie die behandelnden Ärztinnen und Ärzte und anderen Leistungserbringer dabei, die bestmögliche therapeutische Entscheidung treffen zu können, unerwünschte Wirkungen abzuwenden, unnötige Doppeluntersuchungen und eventuelle Überbehandlungen zu vermeiden. Die ePA bietet somit ein innovatives Potenzial für eine optimierte medizinische Versorgung - unter Ihrer Kontrolle.

Rechte gegenüber der Krankenkasse gemäß Datenschutz-Grundverordnung
Ihre Rechte gegenüber der Krankenkasse ergeben sich aus den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DS-GVO). Im Sinne dieser Verordnung ist die Krankenkasse „Verantwortlicher“, da sie über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie als Versicherte bzw. Versicherter können gegenüber Ihrer Krankenkassen die „Rechte der betroffenen Person“ nach der DS-GVO geltend machen. Hierzu zählt insbesondere, dass die Krankenkassen verpflichtet sind, die Versicherten über die Erhebung von personenbezogenen Daten zu informieren (Art. 13, Art. 14 DS-GVO). Ferner haben die Versicherten das Recht auf Auskunft (Art. 15 DS-GVO), ob und ggf. zu welchem Zweck bestimmte personenbezogene Daten von der Krankenkasse verarbeitet werden, das Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DS-GVO), das Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) und das Widerspruchsrecht (Art. 21 DS-GVO).

F.2. Was genau ist die ePA und wie funktioniert sie?
Mit einer elektronischen Patientenakte können Sie und die an Ihrer Behandlung beteiligten Leistungserbringer persönliche Gesundheits- und Krankheitsdaten sicher digital hochladen, speichern, lesen, verarbeiten, löschen und teilen. Möglich wird das durch die Einbindung in ein hochsicheres Netzwerk (der sog. Telematikinfrastruktur), an das Ärztinnen und Ärzte, Krankenhäuser, Apotheken, Krankenkassen und andere Akteure im deutschen Gesundheitswesen angeschlossen sind.
Funktionsweise und Art der zu verarbeitenden Daten
In die elektronische Patientenakte können Sie eigene Dokumente hochladen oder z. B. Ihre behandelnden Ärztinnen und Ärzte in der Praxis und im Krankenhaus bitten, Kopien der relevanten Unterlagen in Ihre Akte zu übertragen. Die Originaldokumentation Ihrer Behandlung verbleibt aus rechtlichen Gründen stets bei dem Sie behandelnden Leistungserbringer.
Nur Sie bestimmen, wer Zugriff auf Ihre Akte erhält. Krankenkassen haben keinen Zugriff auf die Akteninhalte; sie dürfen zukünftig, voraussichtlich ab dem 1. Januar 2022, ausschließlich auf Ihren Wunsch Daten in Ihre Akte übertragen.
Die ePA enthält zwei Speicherbereiche: Einen Bereich für Dokumente, die Sie selbst hochladen und auf den nur Sie Zugriff haben (sog. Versichertendokumente), sofern Sie keinen anderen berechtigt haben. Ein zweiter Bereich steht für Dokumente, die Leistungserbringer wie Ärztinnen und Ärzte oder Krankenhäuser auf Ihre ausdrückliche Anforderung hin in Ihre ePA hochladen (sog. Arztdokumente) zur Verfügung. Diesen Bereich können nur Sie und die zugriffsberechtigten Leistungserbringer einsehen. Wichtig: In 2021 kann jeder zugriffsberechtigte Leistungserbringer jedes Dokument einsehen und herunterladen, das in dem von Ihnen zum Zugriff freigegebenen Speicherbereich liegt. Ab 2022 kann der Zugriff dann auf einzelne Dokumente festgelegt werden. Mehr dazu im Kapitel 3.
Die Dokumente in Ihrer Akte sind stets verschlüsselt. Der Schlüssel zu Ihrer Akte besteht aus zwei Teilen, die an getrennten Orten und zum einen von dem ePA-Anbieter Ihrer Krankenkasse und zum anderen auch von einem zentralen, von der gematik bestimmten Anbieter sicher aufbewahrt werden. Nur Sie und die von Ihnen Berechtigten verfügen über beide Schlüsselteile für den Zugriff. Die Anbieter, die diese aufbewahren, können nichts mit den einzelnen Schlüsselteilen anfangen. Die Schlüssel sind dabei unabhängig von Ihrer elektronischen Gesundheitskarte, so dass Sie auch bei einem (geplanten oder ungeplanten) Austausch der elektronischen Gesundheitskarte weiterhin Zugriff auf Ihre Akte haben.

Damit Sie und die von Ihnen Berechtigten gezielt nach Dokumenten in Ihrer Akte suchen können, werden zusätzliche Informationen über Merkmale Ihrer Dokumente, sog. Metadaten, gespeichert. Diese Daten verarbeitet das Aktensystem in einer auf höchstem Niveau sicherheitsgeprüften vertrauenswürdigen technischen Umgebung, auf die weder der Aktenbetreiber noch die Krankenkasse Zugriff hat.

Die freiwillig zu speichernden elektronischen Inhalte Ihrer ePA werden jährlich schrittweise ausgebaut. Dazu gehören zum Beispiel:
Gesundheitsdaten, die Sie selbst zur Verfügung stellen (ab 2021),
medizinische Daten Ihrer Behandlung z. B. Befunde, Diagnosen und Therapiemaßnahmen (ab 2021),
• Arztbrief (ab 2021),
• Medikationsplan (ab 2021),
• Notfalldatensatz (ab 2021),
• Zahnbonusheft (ab 2022),
• Untersuchungsheft für Kinder (ab 2022),
• Mutterpass (ab 2022),
• Impfdokumentation (ab 2022),
• elektronische Verordnungen (ab 2022),
• aus einer elektronischen Gesundheitsakte (eGA) des Versicherten übernommene Daten (ab 2022),
• Daten der Krankenkassen über in Anspruch genommene Leistungen (ab 2022),
• Daten, die der Versicherte seiner Krankenkasse für die Nutzung in zusätzlichen von der Krankenkasse angebotenen Anwendungen, wie z. B. Impf-Erinnerungen zur Verfügung stellen kann (ab 2023),
• Daten zur pflegerischen Versorgung des Versicherten (ab 2023),
• elektronische Bescheinigungen über eine Arbeitsunfähigkeit (ab 2023),
• sonstige von behandelnden Ärztinnen bzw. Ärzten oder anderen Leistungserbringern für Versicherte bereitgestellte Daten, wie etwa Ernährungsinformationen und –pläne (ab 2023).

Gesetzliche Vertreter können auf die Akte des zu Vertretenden zugreifen. So können Eltern beispielsweise eine ePA ihres mitversicherten Kindes führen. Ab 2022 können Sie sich zudem bei einem Kassenwechsel die Inhalte Ihrer bestehenden Akte in die Akte Ihres neuen Anbieters übertragen lassen.

Anmeldung und Führen der Akte
Zur Anmeldung an der elektronischen Patientenakte nutzen Sie entweder die elektronische Gesundheitskarte mit PIN oder aber wahlweise und auf Ihren Wunsch ein kassenspezifisches, den Vorgaben der gematik entsprechendes alternatives Zugangsverfahren. Ihre Kasse informiert Sie umfassend über die zur Verfügung stehenden Möglichkeiten sowie die damit in Zusammenhang entstehenden potentiellen Risiken und Möglichkeiten zu deren Vermeidung. Wichtig dabei ist, dass sie sich für die Nutzung dieser alternativen Zugangsmöglichkeit explizit gegenüber Ihrer Krankenkasse entscheiden müssen.

Unabhängig davon, wie sie sich bei der ePA authentifizieren, nutzen Sie eine von Ihrer Krankenkasse bereitgestellte App auf Ihrem Smartphone oder einem anderen geeigneten Endgerät, um auf die ePA zuzugreifen. Diese App ist nach den Vorgaben des BSI und der gematik erstellt und sicherheitsgeprüft. Mit ihr führen Sie sämtliche Funktionen der ePA selbstständig durch. Dies umfasst unter anderem:
das Einstellen, einsehen und löschen von Dokumenten
das Erteilen und entziehen von Berechtigungen
die Kontrolle der Zugriffe, die auf Ihre Akte stattgefunden haben
die Schließung des Aktenkontos

Versicherte ohne geeignete Endgeräte können eine ePA bei Ihrer Krankenkasse beantragen und anlegen lassen. In diesem Fall erfolgt die Berechtigungsvergabe für den Zugriff direkt beim Besuch in der Arztpraxis, im Krankenhaus oder bei einem anderen Leistungserbringer (mehr hierzu im Kapitel 3). Auch wenn Sie grundsätzlich mittels App auf die ePA zugreifen, können Sie natürlich diese Art der Berechtigungsvergabe vor Ort ebenfalls nutzen, etwa um einen Leistungserbringer zu berechtigen, bei dem Sie gerade sind.

Datenverarbeitung bei Krankenkasse und Aktenanbieter
Um eine elektronische Patientenakte einzurichten, tauschen die Krankenkassen und deren Industriepartner administrative personenbezogene Informationen aus. Dazu gehören bei Ihrer Krankenkasse [Platzhalter für kassenindividuelle Angaben] der Versicherten. Zudem prüft Ihre Krankenkasse bzw. der Anbieter der elektronischen Patientenakte anhand der Krankenversichertennummer, ob bereits eine Patientenakte für Sie existiert. Ein Austausch von personenbezogenen Gesundheitsdaten findet an dieser Stelle nicht statt. Ein lesender Zugriff der Krankenkasse auf die in der Patientenakte gespeicherten Daten ist gesetzlich ausgeschlossen.

F.3. Wer hat wie Zugriff auf die ePA?
In der ePA können medizinische Daten von Leistungserbringern, z. B. von Ihrem Hausarzt bzw. Ihrer Hausärztin, Ihrer Zahnärztin bzw. Ihrem Zahnarzt oder dem Krankenhaus, als auch Ihre Gesundheitsdaten gespeichert werden, die Sie selbst einstellen. Leistungserbringer können aber nicht einfach so auf Daten in Ihrer ePA zugreifen. Zuvor müssen Sie ihnen eine Berechtigung dazu erteilen. Wie das genau funktioniert und welche Konsequenzen das hat, erklären wir Ihnen in diesem Kapitel.

Zugriffsberechtige Leistungserbringer
Ein Leistungserbringer kann auf die Daten, die in Ihrer persönlichen elektronischen Patientenakte gespeichert sind, erst dann zugreifen, wenn Sie ihm hierzu eine Berechtigung erteilt haben. Das Erteilen der Berechtigung mit den technischen Mitteln der Telematikinfrastruktur (App oder Kartenterminal in der Arztpraxis oder im Krankenhaus) entspricht der Einwilligung in die Datenverarbeitung.

Wen Sie berechtigen dürfen, regelt der Gesetzgeber in § 352 SGB V. Dort werden folgende Einrichtungen und Personengruppen genannt:
Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte, Psychotherapeutinnen und -therapeuten, die zu Ihrer Versorgung in Ihre Behandlung eingebunden sind, soweit dies für die Versorgung erforderlich ist. Dies umfasst auch Angestellte dieser Berufsgruppen
Personen, die in einem Krankenhaus oder einer Rehaklinik beschäftigt sind
Apothekerinnen/Apotheker und Personen, die bei diesen beschäftigt sind
Gesundheits- und Krankenpflegerinnen und -pfleger, Gesundheits- und Kinderkrankenpflegerinnen und -pfleger, Altenpflegerinnen und -pfleger, Pflegefachfrauen und Pflegefachmänner sowie deren Helferinnen/Helfer, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind
Hebammen, Entbindungspfleger und Physiotherapeutinnen und -therapeuten sowie deren angestellte Helferinnen/Helfer und Auszubildende
Ärztinnen/Ärzte und andere Personen, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, soweit dies zur Erfüllung ihrer Aufgaben nach dem Infektionsschutzgesetz erforderlich ist
Fachärztinnen und Fachärzte für Arbeitsmedizin und Betriebsärztinnen und -ärzte.
Auch wenn Sie eine Berechtigung erteilt haben, darf ein Leistungserbringer nur auf Daten in Ihrer persönlichen ePA zugreifen, wenn dieser Leistungserbringer in Ihre Behandlung eingebunden ist und wenn die Daten aus Ihrer ePA für Ihre Versorgung erforderlich sind.

Für einige Leistungserbringer hat der Gesetzgeber festgelegt, dass diese nur bestimmte Informationen in Ihrer ePA sehen dürfen. Über diese gesetzlich festgelegten Zugriffsrechte hinaus können Sie keine Berechtigung zum Zugriff erteilen. Zum Beispiel darf ein Apotheker keine Daten aus Ihrem elektronischen Zahn-Bonusheft einsehen. Sie können dem Apotheker deshalb auch keinen Zugriff auf Ihr elektronisches Zahn-Bonusheft erlauben.

Welcher Leistungserbringer auf welche Daten zugreifen darf, haben wir für Sie in der folgenden Tabelle zusammengefasst. Natürlich ist der Zugriff auf die Daten in Ihrer ePA immer nur unter der Voraussetzung möglich, dass Sie den jeweiligen Leistungserbringer dazu berechtigt haben und dieser an die Telematikinfrastruktur angeschlossen sind.

Berufsgruppe Mögliche Verwendung medizinischer Informationen über Versicherte
Mögliche Verwendung der von Versicherten zur Verfügung gestellten Gesundheitsinformationen

Ärzte/Ärztinnen,
Zahnärzte/Zahnärztinnen,
Psychotherapeutinnen und -therapeuten, Krankenhäuser,
Rehakliniken Verarbeitung Verarbeitung
Apotheker/Apothekerinnen Auslesen, Speicherung und Verwendung
sowie Verarbeitung des elektronischen Medikationsplans Auslesen, Speicherung und Verwendung

Gesundheits- und Krankenpflegerinnen und -pfleger,
Gesundheits- und Kinderkrankenpflegerinnen und -pfleger,
Altenpflegerinnen und -pfleger,
Pflegefachfrauen und Pflegefachmänner sowie deren Helfer/Helferinnen Auslesen, Speicherung und Verwendung
Auslesen, Speicherung und Verwendung

Hebammen/Entbindungspfleger Auslesen, Speicherung und Verwendung
Auslesen, Speicherung und Verwendung

Physiotherapeuten/ Physiotherapeutinnen Auslesen, Speicherung und Verwendung
sowie Verarbeitung von Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen, die sich aus der physiotherapeutischen Behandlung ergeben Auslesen, Speicherung und Verwendung

Arbeitsmediziner/ Arbeitsmedizinerinnen,
Betriebsärzte/ Betriebsärztinnen Auslesen, Speicherung und Verwendung
Auslesen, Speicherung und Verwendung

öffentlicher Gesundheitsdienst Verarbeitung, soweit für Aufgabenerfüllung erforderlich Verarbeitung, soweit für Aufgabenerfüllung erforderlich

Zum Start der ePA am 1. Januar 2021 sind die Möglichkeiten bei den Zugriffsberechtigungen noch eingeschränkt. Die ePA bietet Ihnen dann nur zwei Bereiche, in die Dokumente eingestellt werden können. Dies sind die Bereiche „Dokumente von Leistungserbringern“ und „Dokumente von Versicherten“. Die Bereiche, können in der App Ihrer Krankenkasse etwas anders heißen. Bei Fragen hilft Ihnen Ihre Krankenkasse gerne weiter.

Im Bereich „Dokumente von Leistungserbringern“ finden Sie alle Dokumente, die Leistungserbringer in Ihre ePA eingestellt haben. Dokumente, die Sie selbst in ihre ePA geladen haben, finden Sie im Ordner “Dokumente von Versicherten”. Sie können für jeden dieser Bereiche entscheiden, ob Sie einem Leistungserbringer Zugriff auf den Bereich erlauben wollen oder nicht. Dabei erlauben Sie den Zugriff immer auf den kompletten Bereich. Das bedeutet, dass alle Dokumente in diesem Bereich vom Leistungserbringer gelesen werden können - es sei denn, Sie löschen diese.

Befindet sich zum Beispiel im Bereich “Dokumente von Versicherten” ein Krankenhaus-Entlassbrief, von dem Sie nicht wollen, dass Ihr Zahnarzt bzw. Ihre Zahnärztin darauf zugreift, sollten Sie ihm bzw. ihr keinen Zugriff auf den Bereich “Dokumente von Versicherten” gewähren. Das bedeutet aber, dass Ihr Zahnarzt bzw. Ihre Zahnärztin auch alle anderen Dokumente in diesem Ordner nicht sehen kann. Alternativ können Sie den Krankenhaus-Entlassbrief aus Ihrer ePA löschen. Dann können aber auch alle anderen Leistungserbringer diesen Krankenhaus-Entlassbrief nicht mehr lesen.

Bitte achten Sie anfangs – voraussichtlich bis zum 1. Januar 2022 - darauf, Dokumente, die ein anderer Leistungserbringer nicht lesen soll, vorab zu entfernen oder diesem keinen Zugriff auf den entsprechenden Ordner zu erlauben. Bitte beachten Sie, dass gelöschte Dokumente nur durch Sie selbst oder einen Arzt bzw. eine Ärztin, dem bzw. der Sie das Dokument zur Verfügung gestellt haben, erneut in die ePA eingestellt werden müssen, um erneut verfügbar zu sein. Es empfiehlt sich daher, Dokumente vor dem Löschen aus der ePA an einem privaten, sicheren Ort zu speichern.

Ab dem 1. Januar 2022 wird es Ihnen möglich sein, genauer zu bestimmen, welche Leistungserbringer auf welchen Inhalt Ihrer ePA Zugriff erhalten sollen. Sie können dann Zugriffsrechte bezogen auf einzelne Dokumente sowie auf Gruppen von Dokumenten erteilen. Schauen Sie deshalb am Besten im Januar 2022 in Ihrer ePA nach, wem Sie welche Berechtigungen vergeben haben und passen Sie diese bei Bedarf an. Auch informiert Sie Ihre Krankenkasse im Zusammenhang mit den dann anstehenden Neuerungen ausführlich.

Wie funktioniert die Erteilung von Berechtigungen konkret?
Alle Krankenkassen bieten ihren Versicherten eine ePA-App an. Mit dieser App können Sie Ihre ePA bequem verwalten. Dort stellen Sie ein, wer welche Daten in Ihrer ePA einsehen kann. Sie bestimmen auch, wie lange Sie den Zugriff erlauben wollen. Voreingestellt sind 28 Tage. Sie können diesen Zeitraum aber auch verkürzen (Mindestdauer ein Tag) oder auf bis zu 540 Tage verlängern. Nach Ablauf der von Ihnen gewählten Zeit endet die Berechtigung für den jeweiligen Leistungserbringer automatisch. Der Leistungserbringer kann die Dokumente dann nicht mehr einsehen (falls der Leistungserbringer jedoch eine Kopie in seine Praxisdokumentation heruntergeladen hat, ist diese für ihn weiterhin verfügbar). Zudem können Sie eine erteilte Berechtigung jeder Zeit beenden. Wenn Sie Hilfe bei der Bedienung brauchen, hilft Ihnen Ihre Krankenkasse gerne weiter.

Wenn Sie keine App nutzen oder wenn Sie Ihr Smartphone zum Beispiel beim Arztbesuch einmal nicht zur Hand haben, können Sie trotzdem Zugriffe auf Ihre ePA erlauben. Dazu benötigen Sie Ihre elektronische Gesundheitskarte (eGK) und die dazugehörige PIN (persönliche Identifikationsnummer). Der Vorgang funktioniert ähnlich wie das Bezahlen mit Bankkarte und PIN im Supermarkt. Die eGK wird in einem Lesegerät beim Leistungserbringer eingelesen. Anschließend geben Sie Ihre PIN ein und bestätigen so, welche Daten der Leistungserbringer einsehen darf. Bei der Bedienung hilft Ihnen Ihr Leistungserbringer. Sollten Sie die PIN nutzen wollen, aber noch keine erhalten haben, wenden Sie sich bitte an Ihre Krankenkasse.

Nutzen Sie diesen Weg, um einem Leistungserbringer Zugriff auf Ihre Daten zu gewähren, gibt es jedoch ab Januar 2022 eine wichtige Einschränkung: Sie können Berechtigungen ausschließlich auf Basis von Dokumentenkategorien vergeben. Eine Vergabe von Rechten auf einzelnen Dokumente ist beim Leistungserbringer nicht möglich. Dafür benötigen Sie die entsprechende App.

Sichere Nutzung per App
Die ePA-Apps, die Ihnen den selbstständigen Zugriff auf Ihre Gesundheitsdaten über Ihre eigenen Endgeräte wie Smartphones oder Tablets ermöglichen, haben die Krankenkassen nach den Vorgaben der gematik und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellt. Neben den Vorgaben zur Erstellung müssen sich diese Apps auch einer Sicherheitsprüfung unterziehen. Die prozessualen Anforderungen dazu können nur von Prüfstellen durchgeführt werden, die bei der gematik und dem BSI akkreditiert sind. Um die Sicherheit der Daten in der elektronischen Patientenakte zu gewährleisten, ist es daher erforderlich, dass Sie ausschließlich von der gematik zugelassene Apps nutzen, die Sie zudem aus einer vertrauenswürdigen Quelle herunterladen. Vertrauenswürdige Quellen sind hier für das iOS-Betriebssystem der App Store von Apple sowie Google Play für Android.

Nach der Installation muss die entsprechende App im Rahmen der ersten Nutzung freigeschaltet werden. Hierfür sind grundsätzlich zwei Wege vorgesehen: Der sicherste Weg ist die Freischaltung via Versichertenkarte mit NFC-Übertragungsstandard, also mit einer kontaktlosen Schnittstelle wie sie Sie auch bereits auf vielen EC- und Kreditkarten finden, und der dazu gehörigem PIN.

Alternativ können Sie die ePA mittels eines von Ihrer Krankenkasse zur Verfügung gestellten Aktivierungscodes freischalten, diese Aktivierung bleibt auch bei einem Wechsel des Endgerätes gültig, also auch dann, wenn Sie Ihre ePA mal über Ihr Smartphone, mal übers Tablet nutzen wollen. Allerdings wird bei solchen Verfahren – ähnlich beispielsweise dem aus dem Homebanking bekannten Passwort-System- nicht der vom BSI und BfDI für Gesundheitsdaten geforderte Sicherheitsstandard erreicht. Dem Schutz dieser Zugangsmittel kommt daher eine besonders hohe Bedeutung zu. Sie müssen bei Verlust oder Verdacht auf Missbrauch umgehend bei der Krankenkasse gesperrt werden, um die Sicherheit der ePA zu gewährleisten. Die Krankenkassen bieten hierfür verschiedene Sperrmöglichkeiten (z. B. telefonisch oder online) an.

Um die ePA sicher vom eigenen Smartphone oder Tablet zu nutzen, müssen Sie zudem für den Schutz Ihrer jeweiligen Endgeräte Sorge tragen. Entsprechende Anweisungen, die Sie hierfür ausführen müssen, finden sich in der Dokumentation der App. Ebenso sollten Sie die Empfehlungen des BSI zur Endgerätesicherheit befolgen. Das BSI stellt hierfür ein Informationsangebot im Internet bereit: www.bsi-fuer-buerger.de.

F.4. Wer muss Daten in die ePA einstellen, wenn ich es wünsche

Die elektronische Patientenakte lebt davon, dass in ihr möglichst viele Ihrer Gesundheitsdaten abgelegt sind – erst dann entfaltet sie für Sie und Ihre behandelnden Ärztinnen und Ärzte den vollen Mehrwert. Neben den Daten, die Sie selbst einspeisen, kommt es dabei natürlich auch ganz entscheidend auf die Daten an, die im Rahmen Ihrer Behandlungen bei Ärztinnen bzw. Ärzten und im Krankenhaus anfallen. Welche Ansprüche haben Sie aber, dass diese Behandlungsdaten in Ihrer ePA aufgenommen werden?

Ansprüche gegenüber Leistungserbringern
Sie haben gegenüber Ihren behandelnden Ärztinnen und Ärzten sowie anderen Leistungserbringern einen Anspruch auf die Übermittlung und Speicherung der im Rahmen der Behandlung anfallenden Daten in Ihrer ePA. Voraussetzung ist natürlich, dass Sie vorher eine Berechtigung zum Zugriff auf Ihre ePA erteilt haben (siehe hierzu Kapitel 3).

Zudem haben Ärztinnen/Ärzte, Zahnärztinnen/Zahnärzte sowie Psychotherapeutinnen und -therapeuten, die an Ihrer Behandlung beteiligt sind, Sie bei der Erstbefüllung der ePA zu unterstützen. Die Unterstützungsleistung umfasst die Übermittlung von medizinischen Daten in die elektronische Patientenakte und ist auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt.

Nutzen Sie neben der ePA auch den Notfalldatensatz oder aber den elektronischen Medikationsplan, haben Sie darüber hinaus das Recht, die Speicherung dieser Daten in Ihrer ePA von Ärztinnen und Ärzten, Zahnärztinnen und – ärzten oder Apothekerinnen und Apothekern zu verlangen. Ändert sich etwas in Ihrem Medikationsplan oder in Ihrem Notfalldatensatz, haben Sie das Recht, dass Ihr Arzt bzw. Ihre Ärztin diese Daten sowohl in der ePA als auch auf der eGK aktualisiert. Sprechen Sie Ihren Arzt bzw. Ihre Ärztin darauf an, wenn Sie hierzu Fragen haben.

Anspruch haben Sie auch darauf, von Ärztinnen und Ärzten sowie anderen Leistungserbringern die Löschung von Dokumenten und Daten zu verlangen, die diese in Ihre ePA hochgeladen haben.

Ansprüche gegenüber Ihrer Krankenkasse
Wenn Sie das wünschen, kann Ihre Krankenkasse Ihnen in Ihrer ePA ab dem 1. Januar 2022 Informationen zu den Behandlungen und Leistungen zur Verfügung stellen, die Sie in Anspruch genommen haben. Diese Informationen basieren auf den Abrechnungsdaten von Ärzteschaft, Apotheken und anderen Leistungserbringern, die bei Ihrer Krankenkasse gespeichert sind. Damit die Krankenkasse die Daten in Ihre ePA übertragen kann, müssen Sie vorher in die Übermittlung einwilligen und die Krankenkasse dazu berechtigen. Wenn Sie nähere Informationen zu diesem Thema wünschen, wenden Sie sich an Ihre Krankenkasse.

Einige Krankenkassen bieten ihren Versicherten elektronische Gesundheitsakten (eGA) an. Wenn Sie eine solche eGA nutzen, haben Sie ab dem 1. Januar 2022 auch einen Anspruch darauf, dass die Daten aus Ihrer eGA in Ihre ePA übernommen werden. Wenn Sie Daten aus Ihrer eGA schon vor dem Januar 2022 in Ihre ePA übertragen wollen, können Sie diese selbst in der ePA hochladen. Wenn Sie hierbei Hilfe benötigen, wenden Sie sich an Ihre Krankenkasse oder den Anbieter der eGA.

F.5. Was wird mit meiner ePA in Zukunft außerdem möglich sein?

Einige Nutzungsmöglichkeiten der elektronischen Patientenakte werden nicht gleich zum Start dieses Projektes verfügbar sein. Was wird im späteren Verlauf zusätzlich mit Ihrer ePA möglich sein?

Zusätzliche Anwendungen der Krankenkassen
Zukünftig können Sie Ihrer Krankenkasse Daten aus der elektronischen Patientenakte für die Nutzung weiterer digitaler Anwendungen zur Verfügung stellen, die Ihre Krankenkasse eventuell zusätzlich zur ePA anbietet. Auch diese Nutzungsmöglichkeit ist natürlich freiwillig. In der ab dem 1. Januar 2021 zur Verfügung stehenden Form der ePA wird eine solche zusätzliche Nutzung jedoch noch nicht möglich sein, entsprechende Optionen führen die Krankenkassen aber Schritt für Schritt in den folgenden Entwicklungsstufen der ePA ein. In jedem Fall gilt: Die Verarbeitung Ihrer Daten durch die Krankenkasse ist erst zulässig, wenn Sie darin ausdrücklich eingewilligt haben. Diese Einwilligung kann jederzeit von Ihnen widerrufen werden. So haben Sie stets die volle Kontrolle darüber, wer wann auf welche Ihrer Daten zugreifen kann. Ihre Krankenkasse wird Sie bei der Einführung der entsprechenden Möglichkeiten detailliert über deren Anwendung und Ihre grundsätzlichen Ansprüche, z. B. hinsichtlich des Datenschutzes informieren.

Möglichkeit der Forschungsdatenspende
Die in Ihrer ePA gespeicherten Gesundheitsdaten können Sie in Zukunft zudem auch für Forschungszwecke zur Verfügung stellen. Der Gesetzgeber sieht eine solche so genannte Forschungsdatenspende ab dem 1. Januar 2023 vor, in der zum 1. Januar 2021 eingeführten Stufe der ePA ist sie also noch nicht vorgesehen. Die Datenbereitstellung ist dabei entsprechend den gesetzlichen Vorgaben selbstverständlich freiwillig und vollständig anonym möglich. Derzeit legt die gematik die konkrete Umsetzung unter Einhaltung aller Anforderungen des Datenschutzes fest. Dabei stimmt sie sich eng mit dem Bundesbeauftragten für Datenschutz, dem Bundesamt für Sicherheit in der Informationstechnik, dem Bundesgesundheitsministerium, den Krankenkassen, der Ärzteschaft und den Forschungseinrichtungen ab. Ihre Krankenkasse wird sie zeitgerecht über die entsprechenden Schritte und Funktionen zur freiwilligen Datenbereitstellung an berechtigte Forschungseinrichtungen informieren.

Festlegung von Vertreterinnen und Vertretern
Der Gesetzgeber sieht vor, dass Sie ab dem 1. Januar 2022 über die von Ihrer Krankenkasse bereitgestellte App Vertreterinnen bzw. Vertreter für das Handling Ihrer ePA berechtigen können. Diese haben dann annähernd die gleichen Rechte wie Sie selbst ¬ außer weitere Vertretungen zu benennen und die Akte zu schließen. So kann Ihre Vertretung beispielsweise Zugriffsrechte an Leistungserbringer (Ärzte- und Zahnärzteschaft, Krankenhäuser, Apotheken u. a) an Ihrer Stelle vergeben und die in Ihrer Akte gespeicherten Dokumente einsehen. Es ist daher wichtig, dass – falls Sie eine Vertretung wünschen – nur Personen von Ihnen mit dieser verantwortungsvollen Aufgabe betraut werden, denen Sie vollständig vertrauen und beispielsweise auch Ihre EC-Karte und PIN aushändigen würden. Rechtzeitig vor dem Start dieser Funktion im Jahr 2022 wird Ihre Krankenkasse Ihnen die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen separat noch einmal genau erläutern.

Vertretung wünschen – nur Personen von Ihnen mit dieser verantwortungsvollen Aufgabe betraut werden, denen Sie vollständig vertrauen und beispielsweise auch Ihre EC-Karte und PIN aushändigen würden. Rechtzeitig vor dem Start dieser Funktion im Jahr 2022 wird Ihre Krankenkasse Ihnen die Möglichkeit und das Verfahren zur Vergabe von Vertretungsberechtigungen separat noch einmal genau erläutern

Information und Beratung

Die mkk hat eine Ombudsstelle eingerichtet. Der Nutzer kann sich während der gesamten Laufzeit des Nutzungsvertrags mit Fragen und Anliegen im Zusammenhang mit der ePA an diese Ombudsstelle wenden. Die Ombudsstelle berät den Nutzer bei allen Fragen und Problemen bei der Nutzung der ePA. Sie informiert insbesondere über das Verfahren bei der Beantragung der ePA, Ansprüche der Nutzer, die Funktionsweise und die möglichen Inhalte der ePA.

Der Nutzer kann die Ombudsstelle wie folgt kontaktieren:

mkk
Ombudsstelle Elektronische Patientenakte
Lindenstraße 67
10969 Berlin

Mail: ombudsstelle-epa(at)meine-krankenkasse.de
Telefon: 030 54 445 776
Fax: 030 54 445 777