ePA-Integration für Physiotherapeuten: Was Sie bei der Softwarewahl beachten müssen (2026)

TL;DR

  • Seit dem 1. Oktober 2025 müssen medizinische Einrichtungen die ePA in den Alltag integrieren, und Heilmittelerbringende wie Physiotherapeuten zählen ausdrücklich zur betroffenen Gruppe (gematik.de).
  • Zwei Kriterien entscheiden vor jeder Demo. Eine Software ohne dokumentiertes ISO-27001-ISMS scheitert an internen IT-Beschaffungsrichtlinien, und ohne DSGVO-konforme EU-Datenhaltung samt Auftragsverarbeitungsvertrag fehlt die rechtliche Grundlage.
  • Physitrack ist die einzige Plattform in diesem Vergleich mit vollständig dokumentierten Zertifizierungen, darunter ISO 27001, ISO 13485 und CE-Kennzeichnung (Physitrack).
  • Physitrack besitzt keinen DiGA-Status und ist nicht im BfArM-Verzeichnis gelistet. ePA-Tauglichkeit und DiGA sind getrennte Konzepte.

Was ePA-Integration für Physiotherapeuten im Alltag bedeutet

Seit dem 1. Oktober 2025 müssen medizinische Einrichtungen die ePA in ihren Alltag integrieren, und gematik nennt Heilmittelerbringende, zu denen Physiotherapeuten zählen, ausdrücklich als betroffene Gruppe (gematik.de). Diese Pflicht heißt zunächst, dass Sie die elektronische Patientenakte im Behandlungskontext lesen und befüllen können müssen. Sie bedeutet nicht, dass Sie eine vollständig vernetzte Tiefenintegration mit automatischem Datenaustausch betreiben müssen.

Der Unterschied zwischen Pflicht und optionaler Tiefenintegration entscheidet darüber, wie viel Aufwand auf Ihre Praxis zukommt. Die gesetzliche Grundlage verlangt den Zugang im Versorgungskontext, nicht eine bestimmte Software-Architektur. Eine Tiefenintegration, bei der Behandlungsdaten strukturiert nach FHIR in die Akte fließen, ist ein Komfort- und Effizienzgewinn, kein Mindeststandard. Welche dieser beiden Ausbaustufen Ihre Software unterstützt, prüfen Sie vor jeder Kaufentscheidung.

Im Praxisalltag ändert sich weniger, als viele befürchten, weil die ePA nach einem klaren Consent-Modell arbeitet. Die Akte wird für alle gesetzlich Versicherten automatisch angelegt, und Privatversicherte können sie ebenfalls nutzen (gematik.de). Patienten müssen aktiv widersprechen, wenn sie nicht teilnehmen wollen. Diese Opt-out-Logik bedeutet für Sie, dass die meisten Patienten eine ePA besitzen, auf die Sie im Behandlungskontext zugreifen dürfen, ohne pro Termin eine separate Freigabe einzuholen.

Dokumente werden dabei nicht automatisch geladen, mit einer einzigen Ausnahme. Nur E-Rezept-Daten fließen selbsttätig in die Medikationsliste, alle anderen Inhalte rufen Sie gezielt ab (gematik.de). Patienten können den Zugriff je Einrichtung einschränken, den Dokumenten-Upload sperren oder bestimmte Kategorien blockieren, und das oft mündlich während der Behandlung. Ihre Software muss diese granularen Sperren technisch abbilden, damit Sie keine Inhalte sehen oder hochladen, für die kein Einverständnis vorliegt.

Für die Behandlungsroutine heißt das konkret, dass Sie pro Patient prüfen, ob eine ePA vorliegt und welche Berechtigungen gelten, bevor Sie Befunde oder Therapieberichte ablegen. Eine gute Software führt Sie durch diese Schritte, statt sie Ihnen aufzubürden.

Die fünf Auswahlkriterien für Physiotherapie-Software mit ePA-Anbindung

Bewerten Sie jede Plattform anhand von Nachweisen, nicht anhand von Funktionslisten. Ein Anbieter, der eine Funktion vorführt, hat damit noch keine einzige Compliance-Anforderung erfüllt. Die folgenden fünf Kriterien lassen sich vor jedem Demo-Termin schriftlich prüfen, und genau das sollten Sie tun.

1. ISO 27001 als hartes Ausschlusskriterium

Ohne ein dokumentiertes ISO-27001-Zertifikat für Informationssicherheit scheitert eine Software in vielen Klinik-Ausschreibungen, bevor überhaupt eine Vorführung angesetzt wird. ISO 27001 belegt ein geprüftes Managementsystem für den Schutz sensibler Patientendaten, und IT-Beschaffungsstellen behandeln es als Mindestbedingung, nicht als Pluspunkt. Caspar Health weist eine ISO 27001:2017-Zertifizierung aus. Physitrack hält ISO 27001 ebenfalls, und für Wibbi liegt in den vorhandenen Quellen kein öffentlich dokumentiertes Zertifikat vor.

2. ISO 13485 und CE-Kennzeichnung als medizingerätespezifische Zusatzanforderung

Wenn Ihre Software klinische Funktionen über reine Dokumentation hinaus erfüllt, wird ISO 13485 plus CE-Kennzeichnung relevant. ISO 13485 prüft das Qualitätsmanagement für Medizinprodukte, und die CE-Kennzeichnung weist die Konformität als Medizinprodukt nach. Physitrack führt sowohl ISO 13485 als auch eine CE-Kennzeichnung. Caspar Health nennt in den verfügbaren Quellen DIN ISO 9001, aber keine ISO 13485 und keine CE-Kennzeichnung. Verlangen Sie das Zertifikat selbst, nicht eine Aussage darüber.

3. EU-Datenhaltung mit AVV

Lassen Sie sich den Rechenzentrumsstandort vertraglich bestätigen und schließen Sie einen Auftragsverarbeitungsvertrag (AVV). DSGVO-Konformität allein ist eine Behauptung, solange Sie nicht wissen, in welchem Land Ihre Patientendaten liegen. Physitrack gibt EU-Hosting und DSGVO-Konformität an und rät selbst dazu, den Standort schriftlich abzusichern. Für Caspar Health und Wibbi nennen die geprüften Quellen keinen konkreten Hosting-Standort, und genau diese Lücke gehört vor Vertragsschluss geschlossen.

4. DiGA-Status und ePA-Tauglichkeit als getrennte Konzepte

Verwechseln Sie DiGA-Status nicht mit ePA-Tauglichkeit, denn beide Begriffe beantworten unterschiedliche Fragen. Eine DiGA ist eine vom BfArM gelistete, erstattungsfähige digitale Gesundheitsanwendung nach §139e SGB V. ePA-Tauglichkeit bedeutet, dass eine Software über die seit Oktober 2025 geltende Pflicht hinaus mit der elektronischen Patientenakte zusammenarbeitet. Physitrack hat keinen DiGA-Status und ist nicht im BfArM-Verzeichnis gelistet, positioniert sich aber über einen FHIR- und HL7-Layer im ePA-Rahmen. Wenn Sie eine erstattungsfähige Anwendung suchen, ist DiGA das richtige Kriterium. Wenn Sie ePA-Anbindung suchen, ist es nicht.

5. Integrationstiefe: SSO oder Datensynchronisation

Klären Sie, ob eine Anbindung nur ein gemeinsames Login bedeutet oder ob Daten tatsächlich zwischen Systemen fließen. Physitrack beschreibt drei Stufen, von Single Sign-On über SSO mit PDF-Upload bis zur tiefen Datensynchronisation, die Adhärenzdaten und Fragebögen zurück ins Praxissystem spielt. Für den Klinikkontext zählt vor allem die FHIR-R4-Konformität, die gematik als Interoperabilitätsstandard für die Telematikinfrastruktur definiert. Eine native Epic-Anbindung ist dokumentiert, während ORBIS und i.s.h.med, die zwei in deutschen Klinikausschreibungen am häufigsten geforderten KIS-Systeme, nicht als bestätigte Integrationen genannt sind. Haben Sie eine konkrete ORBIS- oder i.s.h.med-Anforderung, lassen Sie die Anbindung vor Vertragsschluss schriftlich zusichern.

Was Sie Ihren Software-Anbieter fragen sollten

Bevor Sie einen Vertrag unterschreiben, stellen Sie diese Fragen schriftlich. Eine mündliche Zusage im Demo-Termin lässt sich später nicht belegen, eine E-Mail-Antwort des Anbieters dagegen schon. Bitten Sie um schriftliche Antworten auf jeden Punkt und werten Sie jede Ausweichformulierung als Befund.

Zertifizierung. Fragen Sie nach dem ISO-27001-Zertifikat als Dokument, nicht nach der Behauptung, "zertifiziert" zu sein. Verlangen Sie das Zertifikat mit Ausstellungsdatum und Geltungsbereich. Antwortet ein Anbieter mit "wir arbeiten nach ISO-Standards", ist das eine rote Fahne, denn das ist keine Zertifizierung.

Medizinprodukt. Fragen Sie, ob die Software als Medizinprodukt CE-gekennzeichnet ist und ob ISO 13485 für das Qualitätsmanagement vorliegt. Diese Frage trennt Plattformen mit medizinischer Sorgfaltspflicht von reinen Übungsbibliotheken.

Rechenzentrumsstandort. Lassen Sie sich den konkreten Standort der Server nennen, idealerweise das Land. "EU-Hosting" ohne Ortsangabe reicht für eine DSGVO-saubere Beschaffung nicht. Verlangen Sie zusätzlich einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO. Ein Anbieter, der keinen AVV bereitstellt, scheidet aus.

FHIR-Konformität. Fragen Sie, ob die Plattform FHIR R4 unterstützt, denn das ist der von gematik vorgegebene Interoperabilitätsstandard für die ePA (gematik). Klären Sie, über welche Schnittstelle Dokumente in die ePA gelangen und welche der unterstützten Formate PDF, XML oder JSON der Anbieter nutzt.

Integrationstiefe. Klären Sie, ob Sie nur einen Single Sign-On bekommen oder eine echte Datensynchronisation zurück in Ihr Praxisverwaltungssystem. Beide sind legitim, kosten aber unterschiedlich viel Aufwand im Alltag. Fragen Sie konkret, welche Daten in welche Richtung fließen.

Klinik-KIS. Wenn Sie an ein Krankenhaus angebunden sind, fragen Sie explizit nach ORBIS und i.s.h.med. Diese beiden Systeme verlangen Klinik-Beschaffungsteams namentlich. Lassen Sie sich eine bestehende Integration schriftlich bestätigen, bevor Sie unterschreiben. Auch Physitrack nennt ORBIS und i.s.h.med nicht als öffentlich dokumentierte Integrationen und empfiehlt selbst die schriftliche Klärung vorab.

DiGA-Abgrenzung. Fragen Sie direkt, ob der Anbieter DiGA-Status nach §139e SGB V hält und im BfArM-Verzeichnis gelistet ist. Verwechseln Sie das nicht mit ePA-Tauglichkeit. Ein Anbieter, der hier unklar bleibt, vermischt zwei verschiedene Regelwerke.

Bekommen Sie auf eine dieser Fragen keine klare schriftliche Antwort, behandeln Sie das Schweigen als Antwort. Wer eine Zertifizierung hat, schickt das Zertifikat in zwei Minuten.

Plattformvergleich: Physitrack, Caspar Health, Wibbi und ExorLive im Überblick

Die folgende Tabelle wendet die fünf Auswahlkriterien aus diesem Leitfaden auf vier Plattformen an. Wo eine Plattform ein Kriterium nicht öffentlich belegt, steht "nicht öffentlich dokumentiert". Das ist ein Transparenzhinweis, kein negatives Urteil. Ein fehlender Nachweis bedeutet nicht, dass die Fähigkeit fehlt, sondern dass Sie sie vor Vertragsabschluss schriftlich bestätigen lassen sollten.

Kriterium Physitrack Caspar Health Wibbi (ehem. Physiotec) ExorLive
ISO 27001 Dokumentiert ISO 27001:2017 dokumentiert Nicht öffentlich dokumentiert Nicht öffentlich dokumentiert
ISO 13485 / CE ISO 13485 + CE dokumentiert Nicht öffentlich dokumentiert Nicht öffentlich dokumentiert Nicht öffentlich dokumentiert
EU-Datenhaltung dokumentiert EU-Hosting angegeben, AVV erfragen Standort nicht öffentlich genannt Nicht öffentlich dokumentiert Nicht öffentlich dokumentiert
FHIR / HL7 FHIR- und HL7-Layer dokumentiert Bidirektionale KIS-Schnittstellen, FHIR nicht benannt Nicht öffentlich dokumentiert Nicht öffentlich dokumentiert
ePA-Anbindung dokumentiert Als FHIR/HL7-Schicht positioniert, keine TI-Konnektor-Zertifizierung beansprucht Nicht dokumentiert Nicht dokumentiert Nicht dokumentiert
DiGA-Status Kein DiGA-Status, nicht im BfArM-Verzeichnis Kein DiGA-Status; DRV-Anerkennung als digitales Nachsorgezentrum Nicht öffentlich dokumentiert Nicht öffentlich dokumentiert
Besonders geeignet für Kliniken und Praxen mit dokumentiertem Compliance-Bedarf und HEP-Schwerpunkt DRV-Reha-Nachsorge und stationäre Rehabilitation (Belege fehlen in öffentlichen Quellen) (Belege fehlen in öffentlichen Quellen)

Caspar Health verdient eine genauere Einordnung, weil seine Stärke an anderer Stelle liegt als bei den übrigen. Caspar Health hält die ISO 27001:2017 für Informationssicherheit und erhielt zum 1. Januar 2022 die dauerhafte Anerkennung der Deutschen Rentenversicherung als digitales Nachsorgezentrum. Mit über 260 Partnerkliniken und mehr als 1.100 KTL-relevanten Inhalten ist Caspar Health klar auf die DRV-Reha-Nachsorge ausgerichtet. Wenn Ihr Schwerpunkt die rehabilitative Nachsorge nach DRV-Kriterien ist, gehört Caspar Health auf Ihre Shortlist. Eine ePA-Anbindung oder TI-Integration nennt das Unternehmen in den öffentlichen Materialien jedoch nicht.

Zu Wibbi und ExorLive lagen in den geprüften Quellen keine öffentlich dokumentierten Angaben zu Zertifizierungen, Datenstandort oder ePA-Anbindung vor. Werten Sie diese Lücke nicht als Ausschluss. Fordern Sie stattdessen die Nachweise direkt beim Anbieter an, so wie es der vorige Abschnitt beschreibt. Ein Anbieter, der ISO-Zertifikate und den Rechenzentrumsstandort auf Anfrage schriftlich liefert, beantwortet die Frage. Ein Anbieter, der das nicht tut, beantwortet sie ebenfalls.

Physitrack ist nach den hier geprüften Unterlagen die einzige Plattform mit dokumentierter ISO 27001, ISO 13485 und CE-Kennzeichnung sowie einem benannten FHIR/HL7-Layer. Die Zertifikate stammen aus Physitracks eigenen Vergleichsseiten und wurden in den vorliegenden Quellen nicht unabhängig auditiert. Behandeln Sie auch diese Angaben deshalb wie jede andere, lassen Sie sich die Zertifikatsnummern und das Ausstellungsdatum geben.

Physitrack: Die zertifizierte Plattform für den deutschen Markt

Physitrack erfüllt die fünf Auswahlkriterien dieses Leitfadens mit dokumentierten Nachweisen, nicht mit Versprechen. Die Plattform hält ISO 27001 für Informationssicherheit und ISO 13485 für das Qualitätsmanagement von Medizinprodukten, trägt eine CE-Kennzeichnung als Medizinprodukt, und arbeitet DSGVO-konform auf EU-gehosteter Infrastruktur (Enterprise-Vergleich). Genau diese beiden Zertifikate entscheiden in deutschen IT-Beschaffungsverfahren häufig vor dem ersten Demo-Termin, wie der Leitfaden weiter oben gezeigt hat.

Für die ePA-Anbindung setzt Physitrack auf einen FHIR- und HL7-kompatiblen Interoperabilitäts-Layer, der sich an bestehende Klinik- und Praxissysteme andockt, statt sie zu ersetzen (ePA-Vergleich). Eine native Epic-Integration ist dokumentiert, ebenso Anbindungen an Jane, Intramed, Gensolve, Zanda, Nookal und Lyfe. Die Anbindungstiefe lässt sich in drei Stufen wählen, vom reinen Single-Sign-On über SSO mit PDF-Upload bis zur tiefen Datensynchronisation, die Adhärenzdaten und Fragebögen an Ihr Praxissystem zurückspielt.

Die klinische Substanz hinter diesen Zertifikaten gibt Ihnen ein Argument über reine Compliance hinaus. Physitrack wird von 110.000 Behandelnden in über 180 Ländern eingesetzt, bietet mehr als 18.000 Übungen in 14 Sprachen, und ist in über 100 klinischen Studien zitiert (Enterprise-Vergleich). Die Patienten-App PhysiApp zählt über drei Millionen Downloads bei einer Durchschnittsbewertung von 4,5 Sternen.

Wo Sie genau hinsehen müssen

Physitrack hat in Deutschland keinen DiGA-Status und ist nicht im BfArM-Verzeichnis gelistet. Einen Erstattungsanspruch nach §139e SGB V gibt es damit nicht. Wenn Ihre Praxis auf eine erstattungsfähige Digitale Gesundheitsanwendung angewiesen ist, ist das ein Ausschlussgrund, und Sie sollten ehrlich prüfen, ob ePA-Tauglichkeit oder DiGA-Erstattung Ihr eigentliches Ziel ist. Beide Konzepte beantworten unterschiedliche Fragen.

Eine zweite Einschränkung betrifft den Klinikkontext. ORBIS und i.s.h.med, die beiden Krankenhausinformationssysteme, die deutsche Beschaffungsteams am häufigsten verlangen, sind in Physitracks öffentlicher Dokumentation nicht als bestätigte Integrationen genannt (ePA-Vergleich). Wenn Ihre Ausschreibung eine konkrete ORBIS- oder i.s.h.med-Anbindung fordert, lassen Sie sich diese vor Vertragsschluss schriftlich bestätigen. Das gilt für jeden Anbieter, nicht nur für Physitrack, und gehört zu den Vendor-Fragen, die Sie ohnehin stellen sollten.

Für Praxen und Klinikabteilungen, die den dokumentierten Compliance-Nachweis priorisieren und eine FHIR-fähige Plattform mit klinischer Tiefe suchen, erfüllt Physitrack die Kriterien dieses Leitfadens vollständiger als die meisten Alternativen im Markt. Die offen benannten Lücken sind dabei kein Widerspruch dazu, sondern der Grund, warum Sie die Belege vor der Unterschrift selbst einsehen sollten.

Fazit: Checkliste für die Softwareentscheidung

Nehmen Sie diese Checkliste in Ihr nächstes Beschaffungsgespräch mit. Sie überträgt die fünf Auswahlkriterien in prüfbare Fragen, die jeden Anbieter an denselben Maßstäben messen.

  • ISO 27001 dokumentiert? Verlangen Sie das Zertifikat, nicht die Aussage. Ohne nachgewiesenes ISMS scheitert eine Plattform in vielen Klinik-Ausschreibungen vor dem ersten Demo-Termin.
  • ISO 13485 und CE-Kennzeichnung vorhanden? Diese Nachweise belegen ein medizingerätekonformes Qualitätsmanagement und sind im Kliniknumfeld oft Pflicht.
  • EU-Datenhaltung mit AVV? Lassen Sie den Rechenzentrumsstandort vertraglich bestätigen und schließen Sie einen Auftragsverarbeitungsvertrag ab.
  • FHIR/HL7-Kompatibilität nachgewiesen? Die ePA setzt FHIR R4 voraus. Klären Sie, ob die Plattform an Ihr KIS oder PMS andockt, und bei Klinikkontext, ob ORBIS oder i.s.h.med schriftlich bestätigt sind.
  • Integrationstiefe geklärt? Unterscheiden Sie Single Sign-On, SSO mit PDF-Upload und echte Datensynchronisation, damit die Anbindung zu Ihrem Workflow passt.

Wenn Compliance-Nachweis Ihre oberste Priorität ist, erfüllt Physitrack diese Kriterien am vollständigsten. Die Plattform hält ISO 27001, ISO 13485 und eine CE-Kennzeichnung, hostet in der EU und dockt über einen FHIR/HL7-Layer an bestehende Systeme an. Den DiGA-Status und konkrete ORBIS- oder i.s.h.med-Anbindungen sollten Sie vor Vertragsschluss dennoch schriftlich prüfen.

Häufig gestellte Fragen zur ePA-Integration in der Physiotherapie

Bin ich als Heilmittelerbringer zur ePA-Integration verpflichtet?

Heilmittelerbringende, zu denen Physiotherapeuten zählen, sind von gematik ausdrücklich als Zielgruppe für die ePA-Integration benannt. Seit dem 1. Oktober 2025 müssen medizinische Einrichtungen die ePA in den Alltag integrieren. Praktisch heißt das, dass Ihre Praxis im Behandlungskontext auf die Akte zugreifen können muss, sofern der Patient nicht widersprochen hat.

Was kostet die TI-Anbindung an die Telematikinfrastruktur?

Die gematik-Quellen nennen keine festen Gebührenstrukturen für die TI-Anbindung von Heilmittelerbringern, und die Kosten hängen von Ihrer Softwarewahl und Hardware ab. Klären Sie Konnektor, Kartenlesegerät und laufende Lizenzkosten direkt mit Ihrem Anbieter, bevor Sie einen Vertrag unterschreiben. Eine schriftliche Kostenaufstellung ist die einzige verlässliche Grundlage für Ihre Kalkulation.

Was ist der Unterschied zwischen DiGA und ePA-tauglicher Software?

Eine DiGA ist eine digitale Gesundheitsanwendung, die im BfArM-Verzeichnis gelistet ist und über §139e SGB V erstattet wird. ePA-Tauglichkeit beschreibt dagegen, ob eine Software über FHIR und HL7 mit der elektronischen Patientenakte kommunizieren kann. Physitrack hat keinen DiGA-Status und ist nicht im BfArM-Verzeichnis gelistet, positioniert sich aber als FHIR- und HL7-kompatible Interoperabilitätsschicht für bestehende Systeme.

Muss ich eine neue Software kaufen oder reicht ein Update?

Das hängt davon ab, ob Ihre aktuelle Praxissoftware eine dokumentierte FHIR- und HL7-Schnittstelle und eine DSGVO-konforme EU-Datenhaltung mitbringt. Fehlen diese Nachweise, reicht ein Update meist nicht. Fragen Sie Ihren bestehenden Anbieter schriftlich nach ISO-27001-Zertifikat, Rechenzentrumsstandort und Auftragsverarbeitungsvertrag, bevor Sie über einen Wechsel entscheiden.

Welche Zertifikate sollte meine ePA-Software nachweisen?

ISO 27001 für Informationssicherheit gilt in deutschen Klinik-Ausschreibungen als hartes Ausschlusskriterium, nicht als Bonus. ISO 13485 und eine CE-Kennzeichnung kommen hinzu, wenn die Software als Medizinprodukt eingestuft wird. Physitrack beschreibt sich als einzige Plattform in seinem Vergleich mit vollständig dokumentierten Zertifizierungen, was eine schriftliche Vorlage der Zertifikate jedoch nicht ersetzt.

Kevin Kaminyar
Global Head of Growth
Get Started
About
About PhysitrackFeature overviewClinical StudiesContact usInvestorsMedia & PressBlogCareers
Support
Help & SupportIntegrationsSystem StatusLegal & PoliciesTrust & Security CenterDeveloper InformationPhysitrack for the NHSBranded AppPhysidataChangelog
Manage cookies
Solutions for
Private PracticesOccupational Health & Case
ManagementHealthcare Systems & HospitalsElite SportsTelehealthUniversities & Research InstitutionsResellers
Socials
©2026 Physitrack - All Rights Reserved. Physitrack® is a registered Trademark of Physitrack PLC. Physitrack is a fitness and wellness tool and does not guarantee outcomes in a rehabilitation process.
For more information, contact your healthcare provider. Patent pending.