Patientenidentitätsverifizierung im Gesundheitswesen: Rechtliche Anforderungen und Best Practices
Umfassender Leitfaden zur Patientenidentifikation in Deutschland: DSGVO, KHZG, eGK, Krankenversicherungsnummer und digitale Verifikationstools für Krankenhäuser und Arztpraxen.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokDie Patientenidentitätsverifizierung ist eine gesetzliche Pflicht und eine grundlegende Sicherheitsanforderung in allen deutschen Gesundheitseinrichtungen. Eine fehlerhafte Identifikation kann zu schwerwiegenden Behandlungsfehlern, Verletzungen des ärztlichen Schweigepflicht und Bußgeldern nach der DSGVO führen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnete im Jahr 2024 mehr als 300 Cyberangriffe auf Gesundheitseinrichtungen in Deutschland — Krankenhäuser und MVZs zählen zu den am häufigsten angegriffenen Zielen. Fehlende oder lückenhafte Identifikationsverfahren verstärken diese Risiken erheblich.
Was ist Patientenidentitätsverifizierung?
Die Patientenidentitätsverifizierung ist die Gesamtheit der Verfahren, mit denen eine Gesundheitseinrichtung sicherstellt, dass die behandelte Person tatsächlich diejenige ist, die sie vorgibt zu sein, und dass die zugehörige Akte korrekt ist. In Deutschland ist die elektronische Gesundheitskarte (eGK) das zentrale Identifikationsinstrument im gesetzlichen Krankenversicherungssystem: Sie enthält die Krankenversicherungsnummer (KVNR) und die wesentlichen Versicherungsdaten des Patienten.
Die Patientenidentifikation in Deutschland basiert auf der elektronischen Gesundheitskarte (eGK) und einem amtlichen Lichtbildausweis. Beide Dokumente müssen bei der Aufnahme geprüft werden, da die eGK allein ohne Lichtbildabgleich keinen ausreichenden Identitätsnachweis darstellt — gemäß §291 SGB V. Quelle: Bundesministerium für Gesundheit — eGK
Diese Prüfpflicht gilt für alle Einrichtungen: Krankenhäuser, Arztpraxen, MVZs, Apotheken, Pflegeeinrichtungen, Rehabilitationskliniken und Labore.
Rechtlicher Rahmen in Deutschland
DSGVO und der Bundesbeauftragte für den Datenschutz
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO, deren Verarbeitung grundsätzlich verboten ist — außer in den ausdrücklich geregelten Ausnahmefällen (medizinische Versorgung, öffentliches Interesse im Bereich der Gesundheitsversorgung). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden (wie der LDA Bayern oder das LfDI Baden-Württemberg) sind die zuständigen Aufsichtsbehörden.
Gemäß Artikel 83 Absatz 4 DSGVO können Bußgelder für Verstöße gegen die Grundsätze der Datenverarbeitung bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Quelle: EUR-Lex — DSGVO Artikel 83
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO mit deutschen Spezialregelungen, insbesondere §22 BDSG, der die Verarbeitung besonderer Kategorien personenbezogener Daten einschließlich Gesundheitsdaten regelt.
Das SGB V und die Krankenversicherung
Das Fünfte Sozialgesetzbuch (SGB V) regelt die gesetzliche Krankenversicherung in Deutschland und enthält grundlegende Anforderungen an die Patientenidentifikation. §291 SGB V verpflichtet Krankenkassen zur Ausgabe elektronischer Gesundheitskarten und regelt deren Funktionen. §291a SGB V legt die zulässigen medizinischen Anwendungen der eGK fest, darunter den Zugang zur elektronischen Patientenakte (ePA).
Die elektronische Patientenakte (ePA), seit 2021 für alle GKV-Versicherten verfügbar, erfordert eine sichere und verifizierte Patientenidentifikation für den Zugang. Seit 2024 wird die ePA standardmäßig für alle Versicherten angelegt — es sei denn, der Patient widerspricht ausdrücklich.
Das Krankenhausfinanzierungsstrukturgesetz (KHZG)
Das Krankenhauszukunftsgesetz (KHZG) vom Oktober 2020 hat Investitionen von 4,3 Milliarden Euro für die Digitalisierung deutscher Krankenhäuser bereitgestellt, einschließlich Pflichtmodulen für digitale Patientenidentifikation (Modul 1: Patientenportale) und digitale Notaufnahme (Modul 2). Krankenhäuser, die bis Ende 2024 keine entsprechenden Maßnahmen umgesetzt haben, riskieren Abzüge bei den Vergütungssätzen.
Das KHZG verpflichtet Krankenhäuser zur Implementierung digitaler Identifikationslösungen als Teil der geförderten IT-Investitionen — ein direkter regulatorischer Impuls für die Modernisierung der Patientenidentifikation. Quelle: KHZG Fördertatbestand 1 — BMG
Aufbewahrungsfristen für Patientenakten
In Deutschland sind Patientenakten gemäß §630f BGB mindestens 10 Jahre nach Abschluss der Behandlung aufzubewahren. Für Röntgenbilder und -unterlagen gelten nach §28 RöV 10 Jahre, für Kinderschutzunterlagen gelten bis zur Vollendung des 28. Lebensjahres verlängerte Fristen. Diese Aufbewahrungspflichten erfordern, dass Identifikationsnachweise über den gesamten Zeitraum revisionssicher archiviert werden.
Risiken einer mangelhaften Patientenidentifikation
| Risikoart | Konkretes Beispiel | Rechtliche Folge |
|---|---|---|
| Behandlungsfehler | Bluttransfusion an falschen Patienten | Zivilrechtliche Haftung + Strafrecht |
| Schweigepflichtverletzung | Einsicht in fremde Patientenakte | Bußgeld + §203 StGB |
| Identitätsbetrug | Gesundheitsleistungen auf fremde KV-Nummer | Strafanzeige + Regress |
| Doppelakte | Zwei Patienten zusammengeführt | Falsche Medikation |
| Datenpanne | Diebstahl medizinischer Daten | Meldepflicht bei BfDI binnen 72h |
In der Praxis berichten Verwaltungsmitarbeiter in Krankenhäusern und Praxen von zwei wiederkehrenden Problemen: Wie identifiziert man einen Patienten, der keine Dokumente vorlegen kann (Notaufnahme, bewusstloser Patient)? Und wie geht man mit Doppelakten um, die durch mehrfache Anmeldungen oder Schreibfehler entstehen? Beide Situationen erfordern klare, dokumentierte Verfahren.
Thema vertiefen
Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.
Leitfäden entdeckenBest Practices für die Patientenidentitätsverifizierung
1. Identifikation bei der Aufnahme
Das Standardprotokoll in deutschen Gesundheitseinrichtungen umfasst die Prüfung von mindestens zwei unabhängigen Identifikatoren:
- Krankenversicherungsnummer (KVNR) auf der eGK
- Amtliches Lichtbilddokument (Personalausweis oder Reisepass)
- Vollständiger Name und Geburtsdatum
Für Minderjährige muss die Identifikation auch die Daten des gesetzlichen Vertreters einschließen. Für Privatpatienten oder Selbstzahler entfällt die eGK; hier ist ein amtliches Lichtbilddokument mit Versicherungsnachweis erforderlich.
2. Gültige Identitätsdokumente
Für die Aufnahme in Gesundheitseinrichtungen anerkannte Dokumente:
- Bundespersonalausweis (Deutschland)
- Reisepass (deutsch oder ausländisch)
- Aufenthaltstitel oder Niederlassungserlaubnis
- EU-Personalausweis eines Mitgliedstaats
- Führerschein (nur in Verbindung mit einem weiteren Dokument)
Die eGK allein genügt nicht zur Identitätsfeststellung, da sie kein Lichtbild enthält und von Dritten genutzt werden kann.
3. Automatisierte Dokumentenprüfung
Die manuelle Prüfung von Ausweisdokumenten ist zeitaufwändig und fehleranfällig. Automatisierte Dokumentenverifizierungslösungen — wie CheckFile — können einen deutschen Personalausweis oder Reisepass in weniger als 10 Sekunden prüfen und Fälschungen erkennen (digital bearbeitete Dokumente, inkonsistente Daten, abgelaufene Dokumente) mit einer Genauigkeitsrate von über 99 %. Diese Lösungen lassen sich über standardisierte APIs in bestehende Krankenhaus-Informationssysteme (KIS) integrieren.
4. Protokollierung und Zugriffsprotokoll
Jeder Zugriff auf oder jede Änderung einer Patientenakte muss gemäß BSI-Grundschutz (Baustein SYS.1.3) und DSGVO protokolliert werden: Nutzeridentität, Zeitstempel, Arbeitsstation und Art der Handlung. Diese Protokolle müssen mindestens 3 Jahre aufbewahrt und für Audits durch die Datenschutzbehörden verfügbar gehalten werden.
5. Schulung der Mitarbeiter
Alle Verwaltungs- und Pflegemitarbeiter mit Zugang zu Patientenakten müssen eine Einführungsschulung zu Identifikationsprotokollen und eine jährliche Fortbildung zu Datenschutzpflichten absolvieren. Die Datenschutzbehörden verlangen, dass diese Schulungen dokumentiert sind und als Nachweis der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 DSGVO dienen.
Verfügbare Verifikationstechnologien
eGK-Lesegeräte und Online-Prüfung — Alle zugelassenen Arztpraxen und Krankenhäuser sind verpflichtet, eGK-Lesegeräte einzusetzen, die Online-Prüfungen gegen den GKV-Verzeichnisdienst ermöglichen. Diese Prüfung bestätigt die Gültigkeit der Krankenversicherung und die Aktualität der auf der Karte gespeicherten Daten.
OCR und Dokumentvalidierung — Automatische Erfassung von Daten aus Personalausweisen oder Reisepässen durch optische Zeichenerkennung, mit Prüfung der Dokumentengültigkeit und Datenkonsistenz.
Biometrische Verifikation — Gesichtserkennung zur Bestätigung der Übereinstimmung zwischen Inhaber und Dokument. Besonders nützlich für Videosprechstunden und für Patienten mit häufigen Besuchen (Dialyse, Onkologie). Erfordert eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO.
Dublettenprüfung — Probabilistische Abgleichalgorithmen, die mögliche Doppelakten im KIS anhand von Schreibvarianten des Namens, vertauschten Vor- und Nachnamen oder ähnlichen Geburtsdaten identifizieren.
Für einen detaillierten Überblick über verfügbare Verifikationsmethoden und -technologien lesen Sie unseren Leitfaden zu Identitätsverifizierungsmethoden und -technologien.
Weitere Informationen zur Dokumentenverifikation in anderen regulierten Sektoren finden Sie in unserem branchenübergreifenden Verifikationsleitfaden.
Entdecken Sie die CheckFile-Lösungen für Gesundheitseinrichtungen oder besuchen Sie unsere Preisseite für weitere Informationen zu den Kosten.
Häufig gestellte Fragen
Welche Gesetze regeln die Patientenidentifikation in Deutschland?
Die Patientenidentifikation in Deutschland wird durch mehrere Rechtsgrundlagen geregelt: §291 SGB V (eGK und Krankenversicherungsnummer), §630f BGB (Patientenakte und Aufbewahrungspflicht), DSGVO und BDSG (Datenschutz), sowie das KHZG (Digitalisierungspflichten für Krankenhäuser). Datenschutzrechtlich ist der BfDI auf Bundesebene zuständig, die Landesdatenschutzbehörden auf Landesebene.
Wie identifiziert man einen Patienten in der Notaufnahme ohne Ausweis?
Bei Notaufnahmen ohne Ausweisung wird ein vorläufiger Datensatz mit den verfügbaren Informationen angelegt (Beschreibung, Schätzung des Alters). Eine eGK-Anfrage beim GKV-Verzeichnisdienst kann versucht werden. Die vollständige Identifikation muss so bald wie möglich nachgeholt werden. Der vorläufige Status muss im KIS deutlich gekennzeichnet sein.
Welche Strafen drohen bei einem Datenschutzverstoß mit Patientendaten?
Die Datenschutzbehörden können Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwerwiegende DSGVO-Verstöße verhängen. Für Verstöße gegen die Grundsätze der Datenverarbeitung beträgt das Höchstbußgeld 10 Millionen Euro oder 2 % des Umsatzes. Unbefugte Offenbarung von Patientengeheimnissen ist gemäß §203 StGB mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe strafbar.
Wie lange müssen Patientenakten in Deutschland aufbewahrt werden?
Gemäß §630f BGB mindestens 10 Jahre nach Abschluss der Behandlung. Für Röntgenunterlagen gilt nach §28 RöV ebenfalls eine Aufbewahrungsfrist von 10 Jahren nach der letzten Untersuchung. Für Kinder werden Akten bis zur Vollendung des 28. Lebensjahres oder mindestens 10 Jahre nach der letzten Behandlung aufbewahrt, je nachdem, was länger ist.
Ist biometrische Verifikation für die Patientenidentifikation zulässig?
Ja, jedoch nur nach einer verpflichtenden Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO, mit einer gültigen Rechtsgrundlage (ausdrückliche Einwilligung oder erhebliches öffentliches Interesse) und strikter Datensparsamkeit. Der BfDI empfiehlt, biometrische Verfahren auf Einsatzszenarien zu beschränken, in denen weniger eingriffsintensive Alternativen nicht ausreichend sind.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.