EHDS 2025: Rechte & Pflichten für die Nutzung von Gesundheitsdaten

Sinn und Ziel des EHDS

Der EHDS schafft einen einheitlichen Rechtsrahmen und fördert sektorale Datenräume für den Gesundheitsbereich. Im Fokus stehen Elektronische Gesundheitsdaten.

Gemeint sind Gesundheitsinformationen, die in elektronischer Form oder einem elektronischen Format verarbeitet werden. Der Begriff ist damit zugleich enger und weiter als in anderen Rechtsrahmen: enger, weil ausschließlich elektronische Daten erfasst sind; weiter, weil neben personenbezogenen auch nicht‑personenbezogene Gesundheitsdaten darunterfallen. Entscheidend ist also die elektronische Verfügbarkeit – nicht, ob die Daten einer Person zugeordnet sind.

Die EHDS‑VO sieht dabei vor allem zwei Anwendungsfelder vor:

• Primärnutzung: Versorgung und Behandlung von Patientinnen und Patienten, unterstützt durch interoperable elektronische Patientenakten (EHR).
• Sekundärnutzung: Nutzung von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Regulatorik und Qualitätssicherung.

Damit sollen Gesundheitsdaten EU‑weit sicher fließen können – bei gleichzeitig hohen Anforderungen an Sicherheit, Interoperabilität und Governance.

Um wen geht es im EHDS?

Die EHDS‑Regelungen betreffen Akteure entlang der gesamten Versorgungskette – von Dateninhabern über Gesundheitsdienstleister und Forschung bis hin zu neuen Vermittlungs‑ und Aufsichtsstellen.

Gesundheitsdateninhaber

Als Gesundheitsdateninhaber gelten Stellen, die Gesundheitsdaten sammeln oder verarbeiten und darüber verfügen. Dazu zählen beispielsweise Einrichtungen des Gesundheitswesens, forschende Institutionen oder Unternehmen, die entsprechende Datenbestände halten.

Primärnutzer

Primärnutzer sind insbesondere Angehörige der Gesundheitsberufe und Gesundheitsdienstleister, die in der Behandlung auf elektronische Gesundheitsdaten zugreifen. Für sie ergeben sich Pflichten zur Erfassung und laufenden Aktualisierung elektronischer Gesundheitsakten.

Sekundärnutzer

Sekundärnutzer sind Unternehmen und öffentliche Einrichtungen, die Gesundheitsdaten für zulässige Zwecke nutzen möchten. Sie benötigen dafür eine Datengenehmigung und müssen strenge Auflagen zu Schutz und Sicherheit erfüllen.

Neue Institutionen nach dem EHDS

Zur Steuerung und Aufsicht sieht der EHDS mehrere Institutionen vor:

• Nationale Kontaktstelle & MyHealth@EU für den sicheren Austausch im Bereich der Primärnutzung.
• Zugangsstelle für Gesundheitsdaten als zentrale Instanz, die Anträge zur Sekundärnutzung prüft, Zugriffe vermittelt und Auflagen definiert.
• Digitale Gesundheitsbehörden zur Durchsetzung und Aufsicht über die Anforderungen des EHDS.

Rechte und Pflichten für Unternehmen und Organisationen nach dem EHDS

Je nach Rolle bringt der EHDS verschiedene Verantwortlichkeiten und Pflichten mit sich.

Pflichten der Gesundheitsdateninhaber

Gesundheitsdateninhaber müssen

• elektronische Gesundheitsdaten im Falle einer Anfrage binnen 3 Monaten bereitstellen,
• eine aktuelle Beschreibung der verwalteten Datensätze vorhalten,
• ausreichende Dokumentationen zur Verfügung stellen und
• nicht personenbezogene Gesundheitsdaten in einer offenen Datenbank bereitstellen.

Achtung: Gesundheitsdaten müssen auch dann bereitgestellt werden, wenn diese durch Rechte am geistigen Eigentum oder Geschäftsgeheimnisse geschützt sind. Im Einzelfall wird dann geklärt, welche vertraulichen Inhalte offengelegt werden und welche Schutzmaßnahmen getroffen werden müssen.

Pflichten der Gesundheitsdatennutzer

Gesundheitsdatennutzer müssen für den Zugang zu elektronischen Gesundheitsdaten einen umfangreichen Antrag stellen, in dem sie

• Verwendungszweck und Verarbeitung beschreiben,
• Sicherheitsmaßnahmen schildern,
• sich für anonymisierte oder pseudonymisierte Daten entscheiden,
• Einhaltung einschlägiger Datenschutzbestimmungen belegen.

Pflichten der Gesundheitsdienstleister

Gesundheitsdienstleister haben weitreichende Dokumentations- und Aktualisierungspflichten. Das heißt in der Praxis, dass die Patientendaten in einem EHR‑System erfasst und fortlaufend aktuell gehalten werden müssen.

Pflichten für öffentliche Forschungseinrichtungen

Für Forschende gelten die Pflichten der Gesundheitsdatennutzer. Zusätzlich müssen Sie beispielsweise ihre Quellen offenlegen und Ergebnisse in anonymisierter Form veröffentlichen.

Sanktionen bei Verstößen

Bei Verstößen gegen Pflichten aus dem EHDS sind Sanktionsmechanismen vorgesehen. Die Spanne der möglichen Geldbußen kann bis zu mehreren Millionen Euro oder einem bestimmten Prozentsatz des gesamten weltweiten Jahresumsatzes reichen.

Fristen des EHDS

• Inkrafttreten: Der EHDS ist am 25. März 2025 in Kraft getreten.
• Anwendung: Die Verordnung gilt nach einer Übergangsphase EU‑weit ab dem 26.03.2027.
• Gestaffelte Anwendung: Die Pflichten greifen bereichsweise gestaffelt – insbesondere für Primärnutzung (EHR), Sekundärnutzung und die jeweiligen Institutionen. Unternehmen sollten prüfen, welche Teile sie ab wann konkret betreffen.

Was müssen betroffene Unternehmen jetzt tun?

1. Strategie anpassen: Produkt‑, Service‑ und Entwicklungs‑Roadmaps an die EHDS‑Vorgaben ausrichten (Primär‑ und Sekundärnutzung, Interoperabilität, Behördenprozesse).
2. Dateninventur starten: Datenbestände, Datenflüsse und Rechtsgrundlagen erfassen; Lücken bei Dokumentation und Standardisierung schließen.
3. Bereitstellungsprozesse aufsetzen: Verfahren und Verantwortlichkeiten definieren, um Anfragen fristgerecht (bis zu drei Monate) bedienen zu können.
4. Sicherheits‑ und Governance‑Rahmenwerk stärken: Technische und organisatorische Maßnahmen (inkl. Anonymisierung/Pseudonymisierung, sichere Umgebungen, Zweckbindung) implementieren.
5. Synergien nutzen: Vorhandene Strukturen aus der DSGVO‑Umsetzung (z. B. Verzeichnis von Verarbeitungstätigkeiten, TOMs, DSFA) gezielt auf den EHDS übertragen.
6. Kompetenzen bündeln: Rechtliche, technische und organisatorische Expertise vernetzen – etwa über ein dediziertes EHDS‑Programm bzw. ‑Projekt.

Fazit

Der EHDS bringt klare Strukturen für den verantwortungsvollen Umgang mit Gesundheitsdaten in Europa. Für Unternehmen heißt das: jetzt Grundlagen schaffen, Prozesse aufsetzen und Interoperabilität sichern – damit Daten künftig sicher, rechtssicher und nutzbringend fließen.

So helfen wir Ihnen beim EHDS

Als Gründer des Health & Law Netzwerks und mit jahrelanger Erfahrung im Gesundheitsbereich und IT‑Recht sind wir prädestiniert, Sie ganzheitlich zu beraten und optimal auf den EHDS vorzubereiten.

Ganz gleich, ob Sie für ein etabliertes Pharmaunternehmen, ein dynamisches Life Science Start‑up oder eine öffentliche Forschungseinrichtung arbeiten, ein MVZ oder ein Krankenhaus betreiben. Unser Ziel ist es, Sie durch den Europäischen Gesundheitsdatenraum zu navigieren und gemeinsam mit Ihnen zukunftssichere Lösungen zu entwickeln.