14.08.2024

Ziele und Herausforderungen bei der Gesundheitsdatennutzung in Deutschland und Europa

Die Digitalisierung im Gesundheitswesen bietet viele Chancen, die Versorgung für Patientinnen und Patienten zu verbessern und die Arbeit für die Ärzteschaft zu erleichtern. Zwei deutsche Gesetze und eine geplante EU-Verordnung sollen dies voranbringen: Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz - DigiG), das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz - GNDG) sowie die Verordnung über den europäischen Raum für Gesundheitsdaten (EHDS-VO).

I. Hintergrund

Alle drei Vorhaben dienen der Digitalisierung des Gesundheitswesens. Das Digital-Gesetz soll den Behandlungsalltag für Behandelnde und Patienten in Deutschland insbesondere durch die flächendeckende Einführung der elektronischen Patientenakte (ePA) vereinfachen. Das GDNG sieht beispielsweise vor, dass ePA-Daten in anonymisierter Form zu bestimmten Zwecken, insb. Forschungszwecken, verwendet werden können. Und der EHDS soll Patienten und Datennutzenden ermöglichen, grenzüberschreitend auf Gesundheitsdaten zuzugreifen.

II. Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG)

Am 26. März 2024 ist das Gesetz zur verbesserten Nutzung von Gesundheitsdaten in Kraft getreten.

Mit dem GDNG sollen Gesundheitsdaten für die Forschung erschlossen werden. Kern des Gesetzes ist die erleichterte Nutzbarkeit von Gesundheitsdaten für gemeinwohlorientierte Zwecke. Dazu wird unter anderem eine dezentrale Gesundheitsdateninfrastruktur mit einer zentralen Datenzugangs- und Koordinierungsstelle geschaffen, die die Gesundheitsdaten für Kranken- und Pflegekassen sowie Forschungs- und andere Einrichtungen besser verfügbar und nutzbar macht. Gleichzeitig sollen bürokratische Hürden reduziert und der Gesundheitsdatenschutz gestärkt werden.

1. Für wen gilt das GDNG?

Der Kreis der Antragsberechtigten für den Zugang zu der Datenzugangs- und Koordinierungsstelle ist breit gefasst. Zur Weiterverarbeitung sind datenverarbeitende Gesundheitseinrichtungen berechtigt. Darunter versteht das GDNG u.a. solche Einrichtungen, in denen für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin Daten von oder unter der Verantwortung von Angehörigen eines Heilberufs verarbeitet werden, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert. Zudem haben gesetzliche Kranken- und Pflegekassen die Möglichkeit, datengestützte Auswertungen durchzuführen.

2. Was regelt das GDNG?

Ein zentraler Bestandteil des GDNG besteht in der Einrichtung einer Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten. Diese Stelle ist die Hauptanlaufstelle, wenn Personen oder Einrichtungen Zugang zu Gesundheitsdaten wünschen, die bei sog. datenhaltenden Stellen gespeichert sind. Hier werden erstmalig Gesundheitsdaten aus verschiedenen Datenquellen zu Forschungszwecken miteinander verknüpft werden. Die Datenhaltung erfolgt weiterhin dezentral, indem die Daten am bisherigen Ort gespeichert bleiben und lediglich spezifisch für den jeweiligen Forschungsantrag in einer sicheren Verarbeitungsumgebung zugänglich gemacht werden. Die Datenzugangs- und Koordinierungsstelle unterstützt den Antragsteller in erster Linie organisatorisch, leitet z.B. Anträge weiter und gibt Anweisungen zum Datenschutz. Das GDNG bietet auch neue rechtliche Möglichkeiten für die Weiterverarbeitung von Gesundheitsdaten, insbesondere zur Qualitätssicherung.

Weitere wichtige Änderungen für gesetzliche Kranken- und Pflegekassen finden sich auch im SGB V. Diese Änderungen erlauben es ihnen, Gesundheitsdaten der Versicherten (z.B. Diagnosen und verordnete Medikamente) für gesetzlich definierte Zwecke auszuwerten und die Ergebnisse dieser Analysen den Versicherten mitzuteilen. Diese Zwecke umfassen beispielsweise die Erkennung von seltenen oder schwerwiegenden Krankheiten sowie die Erkennung von Impfindikationen für Schutzimpfungen. In der Praxis können Krankenkassen ihre Versicherten auf Basis der vorliegenden Daten über ein erhöhtes Krebsrisiko oder empfohlene Impfungen informieren. Die Kranken- und Pflegekassen haben in diesem Zusammenhang besondere Transparenzpflichten. Die Versicherten müssen vor der geplanten Auswertung ihrer Daten informiert werden und können der Auswertung widersprechen. Die Kranken- und Pflegekassen müssen auch eine Reihe von Informations-, Melde- und Anzeigepflichten beachten. Zudem wurde eine Ordnungswidrigkeit im Falle des Verstoßes eingeführt.

Die federführende Datenschutzaufsicht für länderübergreifende Forschungsvorhaben wird auf alle Gesundheitsdaten ausgeweitet. Die datenschutzrechtliche Aufsicht für länderübergreifende Forschungsvorhaben im Gesundheitswesen wird durch eine/n Landesdatenschutzbeauftragte/n koordiniert.

Das GDNG führt ein Forschungsgeheimnis für die Nutzung von Gesundheitsdaten ein. Das bedeutet, dass Forschende die Gesundheitsdaten nur in Übereinstimmung mit den gesetzlichen Bestimmungen nutzen und weitergeben dürfen und verpflichtet sind, die Daten geheim zu halten. Falls diese Geheimhaltungspflichten verletzt werden, wird es in Zukunft eine Strafnorm geben.

Das GDNG sieht bei der Freigabe von Daten aus der elektronischen Patientenakte (ePA) ein Opt-Out-Verfahren vor. Es ermöglicht eine bessere Nutzung von Behandlungsdaten für Forschungszwecke. Es werden ausschließlich zuverlässig pseudonymisierte Daten automatisiert übermittelt. Eine digitale Verwaltung der Widersprüche wird eingerichtet, damit Patienten entscheiden können, ob ihre Daten für die Forschung oder andere Zwecke freigegeben werden sollen. Die Versicherten können ihren Widerspruch auch bei den Ombudsstellen der Krankenkassen erklären, falls sie die ePA nicht nutzen oder ihren Widerspruch nicht digital erklären möchten.

III. Digital-Gesetz

Am 26. März 2024 ist das Digital-Gesetz in Kraft getreten.

Mit diesem Gesetz bezweckt der Gesetzgeber die Vereinfachung des Behandlungsalltags für Ärzte und Patienten durch digitale Lösungen. Ab Anfang des Jahres 2025 wird die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten eingerichtet. Wer die ePA nicht nutzen möchte, kann dem widersprechen (Opt-Out). Private Krankenversicherungen können ihren Versicherten ebenfalls eine ePA auf Widerspruchsbasis anbieten. Die ePA ermöglicht den Versicherten eine vollständige digitale Medikationsübersicht, welche größtenteils automatisch erstellt wird. Durch enge Verknüpfung mit dem weiterentwickelten E-Rezept können somit unerwünschte Wechselwirkungen zwischen Medikamenten besser vermieden und Ärzte im Behandlungsprozess unterstützt werden. Die ePA-App soll als Zugangsweg zum E-Rezept fungieren, das weiterhin als verbindlicher Standard in der Arzneimittelversorgung etabliert werden soll.

Zudem sieht das DigiG vor, dass Digitale Gesundheitsanwendungen (DiGA) tiefer in die Versorgungsprozesse integriert werden und ihr Einsatz transparent gemacht wird. Durch die Erweiterung der DiGA auf digitale Medizinprodukte der Risikoklasse IIb können sie auch für komplexe Behandlungsprozesse wie das Telemonitoring genutzt werden.

Um die Telemedizin zu einem festen Bestandteil der Gesundheitsversorgung zu machen, werden die Mengenbegrenzungen aufgehoben. Mit assistierter Telemedizin wird auch ein niedrigschwelliger Zugang zur Versorgung angeboten. Die Erbringung telemedizinischer Leistungen durch Einrichtungen wie Hochschulambulanzen oder Psychiatrischen Institutsambulanzen sowie psychotherapeutischen Sprechstunden wird ermöglicht.

Ein Digitalbeirat, in dem Vertreter des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) vertreten sind und der in Zukunft unter Berücksichtigung ethischer und medizinischer Perspektiven besetzt werden soll, wird bei der Gematik GmbH eingerichtet. Der Digitalbeirat wird die Gematik GmbH in allen Angelegenheiten bezüglich Datenschutz, Datensicherheit, Datennutzung und Anwenderfreundlichkeit beraten.

IV. Europäischer Gesundheitsdatenraum (EHDS)

Der europäische Raum für Gesundheitsdaten (EHDS) ist einer der zentralen Bestandteile der europäischen Gesundheitsunion und stellt den ersten gemeinsamen EU-Datenraum in einem spezifischen Bereich dar, der aus der EU-Datenstrategie hervorgeht.

Der EHDS baut auf den Regelungen der DSGVO, dem Data Governace Act, dem Data Act und der NIS-2-Richtlinie auf. Als horizontale Rahmenregelungen enthalten diese Rechtsakte und Vorschläge Vorschriften (einschließlich Sicherheitsmaßnahmen), die auch für den Gesundheitssektor gelten. Der europäische Raum für Gesundheitsdaten wird jedoch zur Berücksichtigung der Sensibilität von Gesundheitsdaten zusätzliche, sektorspezifische Vorschriften enthalten.

1. Was regelt die Verordnung?

Durch die EHDS-VO soll EU-weit ein Rechtsanspruch auf schnellen und einfachen Zugang zu ihren eigenen elektronischen Gesundheitsdaten für Patientinnen und Patienten ermöglicht werden. Darüber hinaus sollen Angehörige der Gesundheitsberufe umfangreichen Zugriff auf Daten erhalten, die für die optimale Behandlung von Patientinnen und Patienten notwendig sind (z. B. Röntgenbilder, Impfungen usw.) - dies wird als Primärnutzung bezeichnet.

Im EHDS werden auch Bestimmungen für die Sekundärnutzung von Gesundheitsdaten festgelegt. Die EHDS-Verordnung regelt die Voraussetzungen für eine datenschutzkonforme Nutzung von Gesundheitsdaten für Patienten- und Produktsicherheit, Forschung, Innovation und Politikgestaltung. Zukünftig sollen Forscher, Innovatoren und öffentliche Institutionen einen Antrag auf Verwendung von de-identifizierten individuellen Gesundheitsdaten stellen können, indem sie einheitliche europaweite Verfahren nutzen, um diese für spezifisch gesetzlich festgelegte Zwecke zu verwenden.

Die elektronische Patientenakte (ePA) ist als zentraler Zugangspunkt für Patientinnen und Patienten sowie Leistungserbringer auch im Rahmen des EDHS relevant. Mitgliedsstaaten haben die Möglichkeit, spezifische Widerspruchsrechte in Bezug auf die Primärnutzung von Gesundheitsdaten zu schaffen, wodurch die im DigiG vorgesehenen Opt-out-Möglichkeiten erhalten bleiben können. Die Entscheidung über die Nutzung und Weitergabe von Daten im Rahmen der Versorgung wird unter den Vorgaben der EHDS-Verordnung weiterhin von den Patientinnen und Patienten getroffen.

Für die Sekundärnutzung sieht der EHDS ein verpflichtendes Widerspruchsrecht vor, damit Bürgerinnen und Bürgern die Möglichkeit haben, der Weitergabe ihrer personenbezogenen Gesundheitsdaten zu Forschungszwecken oder für andere Zwecke zu widersprechen. Unter bestimmten Bedingungen können Mitgliedsstaaten Ausnahmen von diesem Opt-Out machen. Das Recht auf Widerspruch gegen die Sekundärnutzung von Gesundheitsdaten ist bereits im GDNG für Daten aus der ePA festgelegt. Über die ePA können Gesundheitsdaten datenschutzkonform für die Sekundärnutzung bereitgestellt werden, wenn die Versicherten nicht vollständig oder für bestimmte Zwecke dagegen widersprechen.

2. Wie geht es weiter?

Nach dem Beschluss des EU-Parlaments am 14.03.2024 wird der Text derzeit noch redaktionell bereinigt, sprachjuristisch geprüft und übersetzt. Der finalisierte Text wird voraussichtlich im Herbst 2024 dem neuen Europäischen Parlament zur erneuten Abstimmung vorgelegt, bevor er dann dem Rat zur förmlichen Annahme übermittelt wird. Die EHDS-VO wird zwanzig Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten. Dies wird voraussichtlich im Herbst/Winter 2024 sein. Anwendung finden die Vorschriften der EHDS-VO teilweise nach zwei Jahren, teilweise nach vier, sechs oder zehn Jahren nach Inkrafttreten.

Die Bundesregierung wird nun den rechtlichen Anpassungsbedarf für Deutschland ermitteln, damit Patientinnen und Patienten im Gesundheits- und Forschungsstandort Deutschland frühzeitig von einem gemeinsamen europäischen Gesundheitsdatenraum profitieren können.

V. Handlungsempfehlung

Die umfassenden Neuerungen des GDNG können für viele Unternehmen und Institutionen aus dem Gesundheits- und Forschungssektor relevant sein und bieten große Chancen für eine effiziente Nutzung von Gesundheitsdaten, was gesellschaftliche und wirtschaftliche Vorteile bringt. Deshalb sollten Unternehmen und Institutionen aus diesem Bereich sorgfältig prüfen, ob und in welchem Rahmen sie berechtigt sind, bestimmte Gesundheitsdaten zu erhalten und zu verarbeiten.

Autor/in
Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Dr. Michael Rath

Dr. Michael Rath
Partner
Köln
michael.rath@luther-lawfirm.com
+49 221 9937 25795

Alina Moers

Alina Moers
Associate
Köln
alina.moers@luther-lawfirm.com
+ 49221 9937 24679

Alisa Schöneberg

Alisa Schöneberg
Associate
Köln
alisa.schoeneberg@luther-lawfirm.com
+49 221 9937 22872