Einer langwierigen Diskussion um die Digitalisierung und Modernisierung des deutschen Gesundheitssystems folgt 2021 die Verpflichtung der gesetzlichen Krankenkassen zur Einführung der elektronischen Patientenakte (ePA). Diese Regelung stößt bei Deutschlands oberster Datenschutzbehörde (BfDI) auf Widerstand. Anhand einschlägiger Kommentarliteratur und unter Berücksichtigung der durch die Interessenvertreter vorgebrachten Argumente untersucht diese Arbeit, ob die Kritik der Behörde begründet ist und ob ein Verstoß gegen die DSGVO mit der Einführung der ePA vorliegen könnte. Im Ergebnis lässt sich ein solcher Verstoß nicht feststellen. Insbesondere liegen die grundsätzlichen Anforderungen an die Wirksamkeit einer Einwilligung in die Datenverarbeitung vor. Die Einführung der ePA erfolgt in zwei Ausbaustufen, wobei die zweite Stufe datenschutzrechtlich relevante Verbesserungen beinhaltet. Daher gilt das Ergebnis der Arbeit „a maiore ad minus“ auch für die 2022 geplante zweite Ausbaustufe. Offen bleibt, ob die Datenschutzbehörde (BfDI) weitere rechtliche Maßnahmen ergreifen wird. Die Untersuchung berührt weitere Forschungsthemen, wie beispielsweise das „Recht auf Datenverarbeitung“ oder die Rolle der Datenschutzbehörden in Gesetzgebungsverfahren.