Das kommende Jahr bringt für die Gesundheitsbranche tiefgreifende Veränderungen durch neue gesetzliche Vorgaben. Für alle Akteure der Branche ist es wichtig, sich rechtzeitig vorzubereiten, um die Chancen der Digitalisierung optimal zu nutzen und zukünftigen Anforderungen gerecht zu werden.

2024 und 2025 sind entscheidende Jahre für die Digitalisierung von Unternehmen in der Gesundheitsbranche in Deutschland. Die Motivation für Digitalisierung ergibt sich dabei nicht nur aus sich ändernden Marktanforderungen oder unternehmensinternen Maßnahmen, sondern auch aus den neuesten Gesetzgebungen und regulatorischen Rahmenbedingungen, die in besonderem Maße Unternehmen rund um die Gesundheitsbranche betreffen. Wir wollen einen Blick auf die wichtigsten Entwicklungen des kommenden Jahres werfen

ePA und E-Rezept

Das Thema E-Rezept begleitet Unternehmen in der Gesundheitsbranche schon länger und wird vor allem im kommenden Jahr eine entscheidende Rolle spielen. Ab Januar 2025 wird die „elektronische Patientenakte (ePA)“ für Kassenpatienten automatisch angelegt, sollte kein aktives Opt-out stattgefunden haben. Ab diesem Datum sind Ärzte dazu verpflichtet, die ePA mit Befundberichten, Arzt- und Entlassbriefen sowie Labordaten zu füllen (was in der Regel über das Praxisverwaltungssystem geschieht). Des Weiteren werden Abrechnungsdaten der Kassen und Informationen des E-Rezept-Fachdienstes automatisch und direkt in die ePA eingepflegt und als Medikationsliste angezeigt.

Ab Mitte Juli 2025, erfolgt eine Weiterentwicklung der Medikationsliste zu einem Medikationsplan. Ärzte und Apotheker haben dann die Möglichkeit, zusätzliche Informationen und Einnahmehinweise hinzuzufügen. Des Weiteren besteht die Möglichkeit, rezeptfreie Arzneimittel, Nahrungsergänzungsmittel sowie weitere relevante Daten für den Medikationsprozess zu dokumentieren.

Für die privat Krankenversicherten bleibt das E-Rezept weiterhin freiwillig. Jede private Krankenversicherung entscheidet selbst, ob sie das E-Rezept inkl. der ePA anbieten möchte. Wird die ePA angeboten, so ist es ebenfalls verpflichtend, das E-Rezept anzubieten. Stand heute benötigt es eine Freigabe bzw. Zertifizierung der Apps durch die Gematik, wenn diese Services integriert sind, und hier sind an die ePA verschiedene Services verpflichtend gekoppelt, eben u.a. das E-Rezept.

Da die ePA durch die gesetzlichen Krankenversicherungen defacto zum Standard wird, ergibt sich daraus für die PKV eine Art Zwang diese auch anzubieten. Den privatversicherten Patienten bietet das E-Rezept zahlreiche Vorteile gegenüber dem traditionellen Papierrezept. Dazu gehört das bequeme digitale Einlösen eines Rezepts bei einer (Online-)Apotheke oder das vereinfachte Einreichen von Kostenbelegen bei der Krankenversicherung.

Cloud-Einsatz im Gesundheitswesen

Der 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführte C5 Katalog legt strenge Sicherheitsstandards für Cloud-Anbieter fest, die vor allem in regulierten Branchen wie Versicherungen zur Gewährleistung von Datenschutz und Risikomanagement Anwendung finden.

Ab Januar 2025 dürfen deutsche Krankenkassen und ihre Dienstleister sensible Daten nur noch dann in Cloud-Systemen verarbeiten, wenn sie die C5-Standards erfüllen. Dies schreibt der neue § 393 im Sozialgesetzbuch (SGB V) vor, der die sichere Cloud-Nutzung im Gesundheitswesen unterstützt.

Das C5-Testat orientiert sich an mehreren internationalen Sicherheitsstandards, sodass Cloud-Anbieter, die sich bereits an Rahmenwerke wie ISO/IEC 27001, BSI IT-Grundschutz und GDPR halten, bestehende Maßnahmen zur Einhaltung von C5 nutzen können. ISO 27001 bildet dabei eine sinnvolle Grundlage, jedoch müssen Organisation für die Erlangung des BSI C5-Testats mit mehr Zeit und Kosten rechnen, da eine intensive, jährliche Prüfung durch Wirtschaftsprüfer durchgeführt wird. Dabei wird nicht nur die Konformität zu C5 geprüft, sondern insbesondere auch die wirksame, durchgehende und nachweisbare Anwendung der sehr detaillierten C5-Kriterien. Die Datenverarbeitung ist auf Standorte in der EU, im EWR, in der Schweiz oder in Regionen mit GDPR-Adäquanz beschränkt, wobei die Anbieter eine Präsenz in Deutschland haben müssen.

EU AI Act

Auch in der Versicherungsbranche spielt Künstliche Intelligenz eine immer größere Rolle. Um hier eine rechtliche Grundlage für die Nutzung von KI zu haben, gibt es den EU AI Act. Der EU AI Act ist ein Vorschlag für eine europäische Verordnung, die eine sichere und ethische Nutzung von KI gewährleisten soll. Dazu werden KI-Systeme auf der Grundlage von Risiken klassifiziert, für den Nutzer schädliche Anwendungen verboten und strenge Anforderungen an risikoreiche Anwendungen in Bereichen wie Gesundheitswesen und Strafverfolgung gestellt.
Auch wenn der Großteil des EU-KI-Gesetzes erst 2026 in Kraft treten wird, werden einige seiner Teile bereits ab dem 2. Februar 2025 wirksam, wie z. B. das „Verbot von KI-Systemen mit inakzeptablem Risiko“.

Was sind die wichtigsten Aspekte des EU AI Acts und welche Auswirkungen wird es auf die Gesundheitsbranche haben?

Einerseits ist eine klare Offenlegung, dass die Nutzer mit KI interagieren, in jedem Fall erforderlich.
Außerdem werden laut dem neuen Gesetz alle KI-Systeme risikobasiert eingestuft:

  • Minimales Risiko, z.B. Spamfilter Systeme. Hier sind keine Verpflichtungen notwendig.
  • Begrenztes oder minimales Risiko, wie Chatbots in Versicherungs-Apps. Es muss für die Endnutzer klar erkennbar sein, dass sie hier mit KI interagieren und nicht mit Menschen.
  • Hohes Risiko, dazu gehören KI-Systeme mit sensiblen Daten, wie z.B. Gesundheitsdaten. Ein Beispiel ist die Einschätzung von Versicherungs­risiken. KI-Systeme in dieser Kategorie sind nicht verboten, aber sind mit einem hohen Risiko verbunden und müssen daher strengen Anforderungen genügen. Diese Anforderungen können zum Beispiel durch eine persönliche Aufsicht und eine Protokollierung kontrolliert werden.
  • Unannehmbares Risiko, z.B, biometrische Identifikationssysteme und Social Scoring. KI-Systeme dieser Kategorie sind automatisch verboten, da sie ethisch und manipulativ fraglich sind
    Nationalen Behörden werden zusammen mit einem EU-KI-Ausschuss die Einhaltung der Vorschriften überwachen und durchsetzen sowie in nationales Recht übertragen, um eine einheitliche Anwendung in allen Mitgliedstaaten zu gewährleisten.

E-Rechnung

Ab 1. Juli 2025 tritt eine neue Verpflichtung zur E-Rechnung im Business-to-Business Bereich in Deutschland in Kraft – alle Unternehmer müssen E-Rechnungen empfangen und verarbeiten können. Das bringt auch eine große Veränderung für die Arztpraxen und alle Freiberufler in der Gesundheitsbranche mit sich.

Die Verarbeitung elektronischer Rechnungen erfolgt vollautomatisiert – von der Erstellung bis zur Archivierung. Ab 2025 werden in Deutschland nur die Formate XRechnung und ZUGFeRD 2.x als gängige Formate verwendet, PDF gilt als kein anerkanntes Format für E-Rechnungen.

Obwohl die initialen Implementierungskosten relativ hoch sind, bringen elektronische Rechnungen auch viele Vorteile:

  • Kosten für Papier und Port werden reduziert
  • Erhöhte Geschwindigkeit und gleichzeitige Minimierung von manuellen Fehlern bei der Rechnungsverarbeitung
  • Beitrag zum Umweltschutz
  • Zeit- und Kostenersparnis durch Automatisierung

Für die Rechnungen von Patienten ändert sich in den Praxen erstmal nichts und sie dürfen weiterhin Papierrechnungen verschicken, da es sich hier um Rechnungen an Privatpersonen handelt. Dennoch wird die E-Rechnung einen neuen Standard setzen, der zukünftig auch Auswirkungen auf Business-to-Customer Rechnungen haben wird.
Bis es so weit ist, können Patienten noch von der Gini Fotoüberweisung profitieren, die Papier- und digitale Rechnungen dank Datenextraktion automatisiert verarbeiten kann. Die Fotoüberweisung wurde in über 90 % der deutschen Banken eingeführt und hat sich zum absoluten Branchenstandard entwickelt. Nutzer können ihre Rechnungen per Scan bezahlen, ohne die Daten des Empfängers manuell eingeben zu müssen – und das unabhängig davon, ob es sich bei der Rechnung um einen Scan, eine E-Rechnung oder ein Foto handelt.

DORA

Das Digital Operational Resilience Act (DORA) wird ab dem 17. Januar 2025 dafür sorgen, dass Finanzinstitute besser gegen digitale Störungen und Cyberbedrohungen aufgestellt sind. DORA ist ein von der Europäischen Union entwickeltes und von nationalen Behörden wie der BaFin in Deutschland überwachtes Gesetz, das einheitliche Anforderungen für den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) im Finanzsektor festlegt.

Bis jetzt gelten für regulierte Versicherungs- und Finanzunternehmen verschiedene sektorspezifische Regelungen auf nationaler Ebene, darunter die von der BaFin veröffentlichten Anzeigen zu den IT-Anforderungen an die Kreditinstitute (BAIT) und die IT-Anforderungen an die Versicherungsaufsicht (VAIT). Mit DORA werden jedoch einheitliche Anforderungen eingeführt, die für den gesamten Finanzsektor gelten. Für Versicherungsunternehmen, die bereits über einen auf VAIT basierenden Compliance-Rahmen verfügen, besteht die Möglichkeit, diesen als Grundlage für die Erfüllung der DORA-Anforderungen zu nutzen.

Ein wesentlicher Aspekt von DORA ist die Überwachung von Risiken im Zusammenhang mit externen IKT-Anbietern. Dadurch können Unternehmen die Sicherheit und Kontinuität ihrer Systeme gewährleisten. Um die Resilienz der IKT-Systeme gegenüber Cyber-Bedrohungen und Störungen bewerten zu können, sind regelmäßige Tests erforderlich. Bei Verstößen gegen die genannten Standards drohen den Unternehmen Sanktionen. Die zuständigen Behörden, wie die BaFin, sind befugt, diese durchzusetzen.

 

Das kommende Jahr bringt für die Gesundheitsbranche tiefgreifende Veränderungen durch neue gesetzliche Vorgaben. Die verpflichtende Einführung der ePA, die breite Nutzung des E-Rezepts sowie strenge Sicherheitsstandards wie die C5-Zertifizierung markieren den Übergang zu einer digitalisierten, effizienteren und sichereren Patientenversorgung. Gleichzeitig stellen der EU AI Act und DORA sicher, dass der Einsatz moderner Technologien verantwortungsvoll und resilient gestaltet wird. Diese Entwicklungen sind ein klarer Aufruf an alle Akteure der Branche, sich rechtzeitig vorzubereiten, um die Chancen der Digitalisierung optimal zu nutzen und zukünftigen Anforderungen gerecht zu werden.

Gelena Artemenko

Senior Pre-sales Consultant at Gini since 2023, passionate about SaaS, ML & AI and data management

Wir bei Gini möchten mit unseren Beiträgen, Artikeln, Leitfäden, Whitepaper und Pressemitteilungen alle Menschen erreichen. Deshalb betonen wir, dass sowohl weibliche, männliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich angesprochen werden. Sämtliche Personenbezeichnungen beziehen sich auf alle Geschlechter, auch dann, wenn in Inhalten das generische Maskulinum genutzt wird.