18.07.2023
Der Europäische Gesundheitsdatenraum (EHDS): Ziele und Inhalte des Kommissionsentwurfs
In der Digitalisierung des deutschen Gesundheitswesens gibt es großen Entwicklungsbedarf. Erste Schritte wurden zuletzt mit der Einführung der elektronischen Patientenakte (ePA) und der elektronischen Arzneimittelverordnung (eRezept) getan. Doch nach wie vor ist der erschwerte Zugang zu elektronischen Gesundheitsdaten ein echter Hemmschuh bei der gesundheitlichen Versorgung der Versicherten.
Doch nach wie vor ist der erschwerte Zugang zu elektronischen Gesundheitsdaten ein echter Hemmschuh bei der gesundheitlichen Versorgung der Versicherten. Dabei ist die barrierearme Nutzung von elektronischen Gesundheitsdaten nicht nur für den oder die Einzelnen unmittelbar von essenzieller Bedeutung, sondern auch für die Förderung der gesundheitsbezogenen Forschung und damit für die Weiterentwicklung von Diagnostik und Behandlung. Um Hindernisse abzubauen und die Potenziale digitaler Gesundheitsdaten voll auszuschöpfen, wurde im Mai 2022 auf europäischer Ebene der Entwurf einer Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten – der European Health Data Space (EHDS) – vorgelegt. Dieser soll den Austausch von Gesundheitsdaten innerhalb der Union vereinheitlichen und damit den Zugang zu diesen Daten und ihre Nutzung vereinfachen. Wegen der Sensibilität von Gesundheitsdaten stellen sich jedoch gerade in Bezug auf datenschutzrechtliche Vorgaben besondere Anforderungen an die Schaffung eines solchen Gesundheitsdatenraums und dessen Umsetzung. Was sind die zentralen Regelungsinhalte, wer ist von den Neuerungen betroffen und was ist bei der datenschutzkonformen Umsetzung zu beachten? Das erfahren Sie in diesem Beitrag.
Der EHDS im Gefüge der europäischen Datenstrategie
Beim EHDS handelt es sich nicht um ein singuläres EU-Vorhaben, sondern um eine Initiative, die eingebettet ist in die sog. europäische Digitalstrategie. Erklärtes Ziel der EU ist es demnach, die wissenschaftlichen, politischen und wirtschaftlichen Potenziale europäischer Daten besser zu nutzen und so als europäischer Wirtschaftsraum im Wettbewerb mit anderen Staaten konkurrenzfähiger zu werden. Um diesen Zielen näher zu kommen, besteht die zentrale Maßnahme in der Schaffung eines europäischen Binnenmarkts für Daten innerhalb der EU unter gleichzeitiger Einhaltung der bisherigen Standards im europäischen Daten- und Verbraucherschutz und im Wettbewerbsrecht. Ein einheitlicher Rechtsrahmen hierfür soll durch europäische Gesetzgebungsakte zum erleichterten Datenzugang und -Austausch, zur verbesserten Datensicherung und zur effiziente Plattformregulierung geschaffen werden. Aus dieser sog. Datenstrategie sind beispielsweise der Data Governance Act und der Data Act hervorgegangen. Der zukünftige europäische Daten-Binnenmarkt soll zudem gemäß der Digitalstrategie in Datenräume für verschiedene Sektoren aufgegliedert werden, so zum Beispiel in Datenräume für den Gesundheits-, den Mobilitäts- und den Energiesektor. Neben den allgemein bzw. übergeordnet geltenden Gestaltungsprinzipien der Digitalstrategie sind für die sektorspezifischen Datenräume spezielle Verordnungen vorgesehen, die konkrete Rahmenbedingungen für die jeweilige Verwaltung und Infrastruktur beinhalten sollen. Für den Gesundheitssektor ist dies die EU-Verordnung über den europäischen Raum für Gesundheitsdaten.
Status quo: Uneinheitliche Rechtslage bei Zugang und Nutzung von Gesundheitsdaten
Bislang wird der Austausch von Gesundheitsdaten innerhalb der Union vor allem durch die uneinheitliche Rechtslage gehemmt. Nach den geltenden Vorschriften der DSGVO sind den Mitgliedstaaten im Bereich der Gesundheitsdaten einige Spielräume gegeben, so insbesondere die Öffnungsklausel in Art. 9 Abs. 4 DSGVO für die Verarbeitung von sensiblen Daten, von der sie in unterschiedlichem Umfang Gebrauch gemacht haben. Aus diesem Grund werden innerhalb der Union derzeit voneinander abweichende Anforderungen an die Verarbeitung von Gesundheitsdaten gestellt, die einen schnellen Datenaustausch deutlich erschweren oder sogar unmöglich machen.
Die Folgen der mangelnden Interoperabilität informationstechnischer Systeme sind schnell beschrieben: EU-Bürger und Bürgerinnen können in anderen Mitgliedstaaten oftmals nicht auf ihre Patientenakte zugreifen oder medizinische Dienstleistungen in Anspruch nehmen. Derzeit ist es EU-Bürgern und Bürgerinnen in vielen EU-Staaten noch verwehrt, Rezepte aus einem anderen Mitgliedstaat einzulösen. Darüber hinaus zeitigt der begrenzte Zugang zu Gesundheitsdaten auch negative Folgen für die medizinische und psychologische Forschung. Innovative Behandlungsmethoden für seltene oder auch häufiger auftretende Krankheiten mit erhöhten Chancen zur Besserung oder Heilung lassen so trotz des allgemeinen technischen Fortschritts auf sich warten. Ärzte und Ärztinnen sowie Patienten und Patientinnen müssen im Zweifel auf Lösungen zurückgreifen, die andernorts – d.h. außerhalb der EU – schon durch bessere Verfahren ersetzt wurden. Qualität und Verfügbarkeit der medizinischen Versorgung leiden zuletzt auch daran, dass Europa als Wirtschaftsstandort für Dienstleister/ Hersteller im Gesundheitssektor, beispielsweise für medizinische Startups, wegen des eingeschränkten Zugangs zu sensiblen Daten weniger attraktiv ist. So kommt es im schlimmsten Fall zu Lücken in der Versorgung mit Medizinprodukten und Dienstleistungen.
Wesentliche Neuerungen
Um die Qualität und Verfügbarkeit medizinischer Versorgung in der EU auf einem hohen Niveau zu halten, lautet die Devise der Europäischen Kommission nun also: Hindernisse im Gesundheitsdatenaustausch abbauen. Gerade im Gesundheitssektor bestehe ein dringender Bedarf nach Rechtsvereinheitlichung auf übergeordneter europäischer Ebene, der die Kommission gerade auch wegen der Erfahrungen aus der Coronavirus-Pandemie nochmals besondere Priorität eingeräumt hat. Der EHDS wird deswegen aller Voraussicht nach der erste sektorspezifische europäische Datenraum sein. Der Verordnungsvorschlag der Europäischen Kommission zum Gesundheitsdatenraum (EHDS-VO-E) umfasst verschiedene Gegenstandbereiche, regelt aber vor allem unterschiedliche Aspekte der Datennutzung. Charakteristisch an dem EHDS-VO-E ist hierbei die Unterscheidung von zwei Infrastrukturebenen, der Primär- und der Sekundärnutzung elektronischer Gesundheitsdaten. In der Folge richtet sich die Verordnung auch an unterschiedliche Adressatengruppen, so insbesondere EU-Bürger und Bürgerinnen, Dateninhaber, Primär- und Sekundärnutzer.
Primärnutzung, Art. 3 ff. EHDS-VO-E
Die Primärnutzung im Rahmen des EHDS bezeichnet die Verarbeitung personenbezogener Gesundheitsdaten für die Erbringung von Gesundheitsdiensten zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands von natürlichen Personen, auf die sich die Daten beziehen, Art. 2 Abs. 2 lit. d EHDS-VO-E. Ziel der Verordnung ist es in diesem Rahmen, die Rechte natürlicher Personen im Hinblick auf ihre Gesundheitsdaten zu stärken, indem auf der einen Seite der Datenzugang verbessert wird und auf der anderen Seite eine verstärkte individuelle Datenkontrolle möglich ist. Hierfür werden natürlichen Personen nach den Plänen der Europäischen Kommission mehr Rechte in Bezug auf ihre Gesundheitsdaten verliehen. Anders als derzeit soll es dann möglich sein, dass jeder EU-Bürger und Bürgerinnen von jedem Standort innerhalb der europäischen Union auf seine Patientenakte zugreifen und Daten hinzufügen oder berichtigen lassen sowie den Zugriff darauf beschränken kann. Dies ist bislang nur in den Mitgliedstaaten möglich, die eigene Patientenportale eingerichtet haben. Die Primärnutzung betrifft daneben auch die Angehörigen der Gesundheitsberufe. Denn sie sind zwingend an der Verarbeitung personenbezogener Daten für die Erbringung von Gesundheitsdiensten beteiligt. So adressiert der zweite Abschnitt des Verordnungsentwurfs auch diese sog. Primärnutzer, regelt, unter welchen Voraussetzungen sie Zugang zu personenbezogenen Gesundheitsdaten haben und statuiert weitreichende Dokumentations- und Aktualisierungspflichten (vgl. Art. 4 EHDS-VO).
Sekundärnutzung, Art. 33ff. EHDS-VO-E
Der vereinfache Zugang zu elektronischen Gesundheitsdaten soll zugleich auch zur Verbesserung der Forschung und Innovation und weiteren Zwecken genutzt werden. Diese sog. Sekundärnutzung der elektronischen Gesundheitsdaten ist in Kapitel IV des Verordnungsentwurfs geregelt. Bei den hierfür zu verwendenden Daten handelt es sich entweder um personenbezogene elektronische Gesundheitsdaten, die bereits im Zuge der Primärnutzung verwendet wurden oder um solche ohne Personenbezug, die einzig zum Zwecke der Sekundärnutzung erhoben worden sind. Der Verordnungsentwurf normiert die zulässigen Zwecke der Sekundärnutzung in Abgrenzung zu den unerlaubten Zwecken der Sekundärnutzung (Art. 34, 35 EHDS-VO-E). Zulässig ist die Verarbeitung, wenn mit den elektronischen Gesundheitsdaten beispielsweise folgende Zwecke verfolgt werden:
- Tätigkeiten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und der Gesundheit am Arbeitsplatz, z. B. Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, Überwachung der öffentlichen Gesundheit oder Gewährleistung hoher Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel oder Medizinprodukte;
- Erstellung amtlicher Statistiken über den Gesundheits- oder Pflegesektor auf nationaler, multinationaler und Unionsebene;
- wissenschaftliche Forschung im Bereich des Gesundheits- oder Pflegesektors.
Dagegen ist die Sekundärnutzung elektronischer Gesundheitsdaten nicht erlaubt, wenn die Daten zu kommerziellen Zwecken oder beispielsweise zum Ausschluss von Versicherungsleistungen genutzt werden sollen.
Sekundärnutzer:innen
Im Bereich der Sekundärnutzung richtet sich der Verordnungsentwurf zunächst an die sog. Sekundärnutzer. Dies sind natürliche oder juristische Personen, die rechtmäßig Zugang zu den elektronischen Gesundheitsdaten zur Verarbeitung im Rahmen vom Art. 34 Abs. 1 EHDS-VO-E erlangen. Entsprechend der darin festgehaltenen Zwecke kann es sich dabei beispielsweise um Forschungseinrichtungen, aber auch um sämtliche Unternehmen im Gesundheitssektor handeln, denen der EHDS die Möglichkeit bietet, mithilfe der umfangreichen Datenbestände neue innovative Gesundheitsdienste und -produkte zu entwickeln. Der Zugang zu den elektronischen Gesundheitsdaten setzt beachtliche Potenziale im Rahmen der medizinisch-psychologischen Forschung frei, ist zugleich jedoch an Bedingungen geknüpft.
Potenzielle Sekundärnutzer müssen den Datenzugang beantragen und im Rahmen dieses Antrags die beabsichtigte Verwendung, die Gründe und den Zweck des Zugangs darlegen sowie die getroffenen Sicherheitsmaßnahmen beschreiben, Art. 45 EHDS-VO-E. Bei Vorliegen der Zugangsvoraussetzungen und der Erteilung einer entsprechenden Genehmigung fordert die Zugangsstelle für Gesundheitsdaten die elektronischen Gesundheitsdaten unverzüglich beim Dateninhaber an, Art. 46 Abs. 4 EHDS-VO-E. Die Zugangsstellen gewähren den Zugang zu elektronischen Gesundheitsdaten dabei nur über eine sichere Verarbeitungsumgebung mit technischen und organisatorischen Maßnahmen sowie Sicherheits- und Interoperabilitätsanforderungen.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Dateninhaber:innen
Wird der Antrag auf Datennutzung durch die entsprechende Zugangsstelle genehmigt, so muss ihr der Dateninhaber die Daten grundsätzlich innerhalb von zwei Monaten bereitstellen, Art. 41 Abs. 4 EHDS-VO-E. Als Dateninhaber gilt dabei jede natürliche oder juristische Person, die nach der Verordnung, dem geltenden Unionsrecht oder den nationalen Rechtsvorschriften dazu berechtigt oder verpflichtet ist, bestimmte Daten zur Verfügung zu stellen, sie zu registrieren, sie bereitzustellen, den Zugang zu ihnen einschränken oder sie auszutauschen, Art. 2 Abs. 2 lit. y EHDS-VO-E. Als juristische Personen kommen hierfür z.B. Organisationen oder Einrichtungen im Gesundheits- und Pflegesektor in Frage oder auch solche, die Forschungstätigkeiten durchführen. Das bedeutet, dass Sekundärnutzer zugleich auch als Dateninhaber gelten können. Den Dateninhaber treffen im Rahmen der Verordnung umfangreiche Bereitstellungs- und Gewährungspflichten. So ist er verpflichtet, der Zugangsstelle beispielsweise eine allgemeine Beschreibung des Datensatzes, über den er verfügt, zu übermitteln und hat loyal mit ihr zusammenzuarbeiten (Art. 41 Abs. 1 und 2 EHDS-VO-E). Im Rahmen der Primärnutzung sind speziell Dateninhaber aus dem Gesundheits- oder Sozialversicherungssektor zudem verpflichtet, natürlichen Personen auf deren Wunsch Zugang zu ihren elektronischen Gesundheitsdaten zu gewähren oder auf Aufforderung, deren Daten an Datenempfänger:innen ihrer Wahl aus dem Gesundheits- oder Sozialversicherungssektor zu übermitteln, und zwar unverzüglich, kostenlos und ungehindert durch den Dateninhaber oder die Hersteller der von diesem Dateninhaber genutzten Systeme, Art. 3 Abs. 8 S. 1 EHDS-VO-E.
Institutionelle Vorkehrungen
Um die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten zu ermöglichen, enthält der Verordnungsentwurf zudem auch Vorschriften zur Schaffung entsprechender Rahmenbedingungen.
Primärnutzung: Nationale Kontaktstellen und zentrale Plattform für digitale Gesundheit
Im Hinblick auf die Primärnutzung elektronischer Gesundheitsdaten sind gleich zwei institutionelle Neuerungen vorgesehen. Auf europäischer Ebene richtet die Kommission eine zentrale Plattform für digitale Gesundheit ein, die den Austausch von Gesundheitsdaten zwischen den Mitgliedstaaten unterstützen und erleichtern soll, Art. 12 Abs. 1 EHDS-VO-E. Die Mitgliedstaaten ihrerseits sind verpflichtet, jeweils eine sog. nationale Kontaktstelle für digitale Gesundheit einzurichten, Art. 12 Abs. 2 S. 1 EHDS-VO-E. Über sie sollen die personenbezogenen elektronischen Gesundheitsdaten von Gesundheitsdienstleistern in den jeweiligen Mitgliedstaaten an die zentrale Plattform für digitale Gesundheit gelangen. Die Mitgliedstaaten sollen dafür Sorge tragen, dass alle Gesundheitsdienstleister mit ihrer Kontaktstelle verbunden sind, um den Austausch der elektronischen Gesundheitsdaten zu gewährleisten, Art. 12 Abs. 5 EHDS-VO-E. Dieser Austausch soll über ein europäisches Austauschformat für elektronische Patientenakten vereinheitlicht sein. Die entstehende grenzüberschreitende Infrastruktur bestehend aus nationalen Kontaktstellen und zentraler Plattform für digitale Gesundheit nennt sich „MyHealth@EU“. Nach erfolgter Authentifizierung haben EU-Bürger und Bürgerinnen Zugriff auf die dort von sich hinterlegten elektronischen Gesundheitsdaten.
Sekundärnutzung: Zugangsstellen für elektronische Gesundheitsdaten
Für die Sekundärnutzung von elektronischen Gesundheitsdaten werden in den Mitgliedstaaten Zugangsstellen für Gesundheitsdaten eingerichtet. Bei diesen muss die Sekundärnutzung der elektronischen Gesundheitsdaten beantragt werden. Da auch eine grenzübergreifende Sekundärnutzung möglich ist, sieht der Entwurf der EHDS-Verordnung hierfür eine dezentrale europäische Infrastruktur zur Vernetzung der nationalen Kontaktstellen für Sekundärnutzung mit der zentralen Plattform vor. Diese nennt sich „HealthData@EU“.
Digitale Gesundheitsbehörden
Zuletzt muss jeder Mitgliedstaat für die Umsetzung der Vorgaben aus dem EHDS eine digitale Gesundheitsbehörde benennen, Art. 10 Abs. 1 S. 1 EDHS-VO-E. Ihre Betätigungsfelder liegen in der Umsetzung technischer Lösungen, der Festlegung entsprechender Vorschriften und der Einführung bzw. Entwicklung des europäischen Austauschformats. Ob hierfür eine neue Behörde eingerichtet oder einer bereits bestehenden Behörde diese Funktion zugewiesen wird, liegt im Ermessen der Mitgliedstaaten. Für natürliche und juristische Personen haben sie daneben die Aufgabe, als Beschwerdestelle zu wirken, Art. 11 Abs. 1 S. 1 EHDS-VO-E. Sofern bei der Beschwerde Rechte natürlicher Personen betroffen sind, ist dies den datenschutzrechtlichen Aufsichtsbehörden zu melden, Art. 11 Abs. 1 S. 2 EHDS-VO-E.
Verhältnis zur DSGVO und Nachbesserungsbedarfe
Im europäischen Gesundheitsdatenraum werden in Zukunft beachtliche Mengen gesundheitsbezogener Daten verarbeitet werden. Die Einhaltung datenschutzrechtlicher Standards stellt dabei mit Blick auf die personenbezogenen Daten eine besondere Herausforderung dar. Dass Gesundheitsdaten besonders sensibel sind und eines besonderen Schutzes bedürfen, statuiert die DSGVO in Art. 9 Abs. 1 DSGVO, der Gesundheitsdaten als besondere Kategorien personenbezogener Daten definiert. Nach der Vorstellung der EU-Kommission sollen der EHDS und die DSGVO nebeneinanderstehen. Dabei soll der EHDS ausweislich seiner Erwägungsgründe auf der DSGVO aufbauen und einen hohen Sicherheitsstandard in der EU sicherstellen. In ihrer gemeinsamen Stellungnahme zum Verordnungsentwurf der Kommission begrüßten der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) zwar die Idee, die Kontrolle des Einzelnen über seine personenbezogenen Gesundheitsdaten zu stärken, gleichwohl machten sie eine Reihe übergreifender Bedenken geltend.
Kritik an den bisherigen Plänen
Die Beschreibung der Rechte im Verordnungsentwurf stehe demnach nicht im Einklang mit der DSGVO und es bestehe das Risiko, dass die darin enthaltenen Vorgaben zum Schutz personenbezogener Daten unterlaufen würden. Gerade mit Blick auf die Zwecke der Sekundärnutzung vermissen EDSA und EDSB eine angemessene Begrenzung und Präzisierung. Dies sei notwendig, um eine ausgewogene Abwägung zu erreichen zwischen den Zielen der Verordnung und dem Schutz personenbezogener Daten. Insbesondere sollten Wellness-Apps und andere digitale Gesundheitsanwendungen nach Auffassung der europäischen Datenschutzbehörden von der Bereitstellung für die Sekundärnutzung ausgeschlossen sein. Denn sie generieren eine große Menge an Daten, die mehr noch als andere Gesundheitsdaten Rückschlüsse auf hochsensible Informationen wie die religiöse Orientierung oder Ernährungsgewohnheiten zuließen. Zudem, so EDSB und EDSA, werde durch den Verordnungsvorschlag den ohnehin komplexen Bestimmungen über die Verarbeitung von Gesundheitsdaten nur eine weitere Ebene solcher Bestimmungen hinzugefügt. Dem vorliegenden Verordnungsentwurf fehle eine Klarstellung zum Zusammenspiel der Vorschriften aus der EHDS-VO mit der DSGVO sowie mit laufenden europäischen Initiativen und mit nationalstaatlichen Regularien, die die Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 4 DSGVO regeln. In Bezug auf Deutschland betreffe dies insbesondere die Regelungen zum Sozialdatenschutz, §§ 67-85a SGB X, oder die Datenschutzregelungen in den Landeskrankhausgesetzen. Was andere Vorhaben im Rahmen der europäischen Strategie betrifft, wiesen EDSA und EDSB darauf hin, dass beispielsweise entscheidende Rechtsbegriffe wie der des Dateninhabers im Data Act und auch im Data Governance Act anders definiert würden, was zu Rechtsunsicherheiten im persönlichen und sachlichen Anwendungsbereich führen könne.
Fazit
Derzeit berät das EU-Parlament über den Verordnungsvorschlag der EU-Kommission. Nachdem neben anderen Organisationen zuletzt die Deutsche Datenschutzkonferenz von Bund und Ländern insbesondere Kritik an einer fehlenden Widerspruchsmöglichkeit der Patienten und Patientinnen für die Sekundärnutzung geübt haben, verhandelt das EU-Parlament aktuell, ob die Betroffenen künftig aktiv widersprechen müssen (Opt-out) oder ob sie explizit einwilligen müssen (Opt-in). Vieles ist derzeit noch im Ungewissen, insbesondere wann und in welcher Gestalt die Vorschriften zum EHDS in Kraft treten werden und welche Fristen für ihre Umsetzung in den Mitgliedstaaten gelten. Unabhängig von möglichen Nachbesserungen sollten sich die von den Regelungen Betroffenen schon jetzt mit den Plänen über einen europäischen Gesundheitsdatenraum auseinandersetzten. Denn die Potenziale, die ein solcher Binnenmarkt für Gesundheitsdaten nach dem Vorschlag der EU-Kommission für die medizinische Forschung, die Entwicklung neuer Gesundheitsprodukte und – dienste, ja für den europäischen Wirtschaftsraum insgesamt bietet, sind enorm und sollten genutzt werden. Dies ist nur dann möglich, wenn den damit verbundenen Herausforderungen frühzeitig begegnet wird. So sollten Dateninhaber sich mit den vielfältigen Bereitstellungs-, Dokumentations- und Gewährleistungspflichten beschäftigen. Datennutzer wie Forschungseinrichtungen und Unternehmen sowie Start-Ups aus dem Gesundheitssektor sollten sich den zu stellenden Anträgen für die Sekundärnutzung und den entsprechenden Voraussetzungen vertraut machen. Insgesamt können die Potenziale des EHDS nur ausgeschöpft werden, wenn branchenspezifisches Know-how mit technischer und rechtlicher Expertise verknüpft wird. Hierbei unterstützen wir Sie gerne. Sprechen Sie uns an.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Weitere Neuigkeiten
28.11.2024
BGH zu Scraping: Was Unternehmen jetzt wissen müssen
18.11.2024
BGH-Urteil zur Haftung von Online-Marktplätzen: Betreiber haften wie Sharehoster
04.11.2024