Am 26. März 2025 ist die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS-VO) teilweise in Kraft getreten. Damit hat eine mehrstufige Übergangsphase begonnen, in der die neuen Regelungen schrittweise zur vollständigen Anwendung gelangen werden. Gerade jetzt ist es entscheidend, sich näher mit der EHDS-VO zu befassen: Erste Übergangsfristen laufen an, zahlreiche Umsetzungsfragen stellen sich in der Praxis, und Unternehmen sowie Einrichtungen des Gesundheitswesens müssen beginnen, ihre Strukturen und Prozesse auf die kommenden Anforderungen auszurichten.
Ziel des EHDS ist es, einen europaweit harmonisierten Rahmen für die Nutzung und den Austausch elektronischer Gesundheitsdaten zu schaffen. Im Mittelpunkt steht dabei nicht nur die Verbesserung der sogenannten primären Nutzung, also die Verwendung der Gesundheitsdaten zur direkten Behandlung und Versorgung von Patienten. Ebenso bedeutend ist die grenzüberschreitende sekundäre Nutzung, also die Verarbeitung dieser Daten zu Zwecken wie Forschung, Innovation und der Entwicklung evidenzbasierter Gesundheitspolitik in der EU.
Im Folgenden wird erläutert, wie die Datennutzung nach der EHDS-Verordnung ausgestaltet sein soll, welche Voraussetzungen für einen datenschutzkonformen und sicheren Austausch gegeben sein müssen und welche Verpflichtungen sich daraus für die beteiligten Akteure ergeben.
Hintergrund
Die Rechtslage zur Nutzung von Gesundheitsdaten für Forschungszwecke war bislang aufgrund der komplexen und uneinheitlichen Regulierungsstruktur auf EU-, Bundes- und Landesebene für Unternehmen schwer durchschaubar. Die Datenschutz-Grundverordnung (DSGVO) bietet nur wenige abschließende Regelungen, während auf nationaler Ebene unterschiedliche Vorschriften gelten – bedingt durch die fehlende einheitliche Gesetzgebungskompetenz im Gesundheitsdatenschutzrecht. Eine stärkere Harmonisierung und Vereinfachung der Rechtslage soll nun durch die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS-VO) sowie durch nationale Gesetze wie das Gesundheitsdatennutzungsgesetz (GDNG) und das Digital-Gesetz (DigiG) erreicht werden.
Die DSGVO sieht in Art. 9 Abs. 2 lit. g-j DSGVO vor, dass die Verarbeitung von besonderen Kategorien personenbezogener Daten – wie Gesundheitsdaten – für bestimmte Zwecke durch Unionsrecht oder nationales Recht festgelegt werden kann. Die EHDS-VO bietet eine solche Rechtsgrundlage für die in Art. 9 Abs. 2 lit. g-j DSGVO ermöglichte Sekundärnutzung, vgl. Erwägungsgrund 52 der EHDS-VO. Die DSGVO wird durch die EHDS-VO nicht berührt, sondern präzisiert und ergänzt, vgl. Art. 1 Abs. 2 lit. a, Abs. 3 EHDS-VO. Folglich gilt auch weiterhin die Öffnungsklausel gem. Art. 9 Abs. 4 DSGVO. Mitgliedsstaaten können demnach zusätzliche Bedingungen für die Verarbeitung von Gesundheitsdaten einführen oder aufrechterhalten. Eine Erleichterung der Verarbeitung durch nationales Recht ist dagegen nicht möglich.
Um die Umsetzung der EHDS-VO in Deutschland sicherzustellen und den Anforderungen gerecht zu werden, trat bereits im März 2024 das Gesundheitsdatennutzungsgesetz (GDNG) in Kraft. Zusammen mit der Einführung der elektronischen Patientenakte (ePA) durch das Digitale-Gesetz (DigiG) bildet das GDNG die Grundlage für die Integration Deutschlands in den Europäischen Gesundheitsdatenraum.
Wesentliche Regelungen der EHDS-VO
Primärnutzung
Die EHDS-Verordnung gewährt Patienten das Recht, ihre elektronischen Gesundheitsdaten einzusehen, zu verwalten und gezielt Gesundheitsdienstleistern grenzüberschreitend Zugang zu diesen Daten zu ermöglichen. Dies dient dem Ziel, eine bestmögliche Gesundheitsversorgung sicherzustellen. Eine solche Nutzung der Daten für die Gesundheitsversorgung wird als Primärnutzung bezeichnet. Zur Ermöglichung des grenzüberschreitenden Zugriffs wurde die Plattform MyHealth@EU als gemeinsame Infrastruktur durch die EU-Kommission eingerichtet, an die sich alle Mitgliedstaaten verpflichtend anschließen müssen.
In Deutschland wurde mit der Einführung der elektronischen Patientenakte (ePA) durch das DigiG bereits ein wichtiger Grundstein für die europaweite Primärnutzung gelegt. Ein vollständiger Anschluss an den Europäischen Gesundheitsdatenraum muss jedoch noch erfolgen, um den grenzüberschreitenden Datenaustausch vollständig zu ermöglichen.
Patienten haben zudem das Recht, der Einrichtung der ePA, der Verarbeitung ihrer Daten sowie dem Zugriff Dritter auf diese Daten zu widersprechen, vgl. §§ 344, 353 SGB V. Dies entspricht der in der EHDS-Verordnung vorgesehenen Option für Mitgliedstaaten, ein Recht auf reversiblen Widerspruch gegen den Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten im Rahmen der Primärnutzung einzurichten.
Sekundärnutzung
Ein weiteres, zentrales Ziel des EHDS ist die Erleichterung der Weiterverwendung von Gesundheitsdaten für Forschung, Innovation und die Verbesserung der Gesundheitsversorgung außerhalb der individuellen Behandlung, die sogenannte Sekundärnutzung. Über ein Antragsverfahren erhalten Datennutzer Zugriff auf die Gesundheitsdaten. Für den grenzüberschreitenden Datenaustausch wird derzeit die Plattform HealthData@EU entwickelt.
a. Antragsverfahren
Personen oder Institutionen, die Zugang zu Gesundheitsdaten erhalten möchten, müssen gemäß Art. 67 EHDS-VO einen Antrag bei einer zuständigen Zugangsstelle für Gesundheitsdaten stellen.
In Deutschland wird diese Zugangsstelle nach § 3 Abs. 1 GDNG vom Bundesinstitut für Arzneimittel- und Medizinprodukte in Form der Datenzugangs- und Koordinierungsstelle (DACO) eingerichtet. Die Zugangsstelle prüft, ob die Voraussetzungen der EHDS-VO erfüllt sind und ob eine Datengenehmigung gemäß Art. 68 EHDS-VO erteilt werden kann. Dabei muss insbesondere ein in Art. 53 Abs. 1 EHDS-VO genannter Zweck vorliegen. Zu den anerkannten Zwecken zählen beispielsweise das öffentliche Interesse im Bereich der öffentlichen Gesundheit sowie die Entwicklung von Produkten oder Dienstleistungen.
Erfüllt der Antrag diese Voraussetzungen, erteilt die Zugangsstelle dem Antragsteller eine Datengenehmigung und fordert die Gesundheitsdaten unverzüglich beim Dateninhaber an, vgl. Art. 68 Abs. 7 EHDS-VO. Die Dateninhaber, die sowohl öffentliche als auch private Akteure sein können, sind gemäß Art. 60 EHDS-VO zur Datenübermittlung verpflichtet.
Nach Erhalt der angeforderten Daten durch den Dateninhaber stellt die Zugangsstelle diese dem Datennutzer, also dem Antragsteller, grundsätzlich innerhalb von zwei Monaten in einer sicheren Verarbeitungsumgebung zur Verfügung (vgl. Art. 68 Abs. 7 EHDS-VO).
b. Widerspruchsrecht
Art. 71 der EHDS-Verordnung räumt jeder betroffenen Person ein Widerspruchsrecht gegen die Sekundärnutzung ihrer Gesundheitsdaten ein. Den Mitgliedsstaaten verbleibt hier kein Gestaltungsspielraum. Für Gesundheitsdaten aus der ePA ist ein solches Widerspruchsrecht bereits in § 363 Abs. 1 SGB V verankert. Das bedeutet, dass die Daten aus der ePA grundsätzlich für weiterführende Nutzungen zur Verfügung stehen, sofern die betroffene Person von ihrem Widerspruchsrecht keinen Gebrauch gemacht hat.
c. Datenschutz und Sanktionen
Um den besonderen Anforderungen des Datenschutzes gerecht zu werden, enthält die EHDS-Verordnung klare Vorgaben zur Datenübermittlung bei der Sekundärnutzung. So müssen die Daten gemäß Art. 66 Abs. 2 EHDS-VO von der Zugangsstelle anonymisiert an den Datennutzer übermittelt werden. Kann der Datennutzer in seinem Antrag jedoch hinreichend darlegen, dass der Verarbeitungszweck mit anonymisierten Daten nicht erreicht werden kann, ist eine Bereitstellung der Daten im pseudonymisierten Format möglich, vgl. Art. 66 Abs. 3 EHDS-VO.
Zahlreiche Verbote und Pflichten richten sich sowohl an Dateninhaber als auch an Datennutzer, um den Datenschutz sicherzustellen. Hierzu zählen unter anderem das Verbot der Weitergabe der erhaltenen Daten an unberechtigte Dritte, die Re-Identifizierung, also die gezielte Aufhebung einer Anonymisierung, sowie der Versuch einer solchen Re-Identifizierung. Ebenso ist die Nutzung der Daten für Zwecke untersagt, die gemäß Art. 54 EHDS-VO verboten sind.
Zur Durchsetzung dieser Vorgaben sieht Art. 64 EHDS-VO strenge Sanktionen vor: Verstöße können mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes geahndet werden.
Ausblick
Die vollständige Umsetzung der EHDS-Verordnung wird sich – entsprechend dem Fahrplan der EU-Kommission – bis ins Jahr 2034 erstrecken. Bereits ab März 2029 soll der grenzüberschreitende Austausch von Patientenkurzakten sowie elektronischen Verschreibungen und Verabreichungen für die Primärnutzung in allen EU-Mitgliedstaaten möglich sein.
Zu diesem Zeitpunkt gelten die Vorschriften zur Sekundärnutzung auch für die meisten Datenkategorien, etwa Daten aus elektronischen Patientenakten. Für März 2034 ist zudem vorgesehen, dass Drittländer und internationale Organisationen die Teilnahme an der Sekundärnutzung beantragen können. Obwohl es sich um ein langfristig angelegtes Vorhaben handelt, ist dieser Schritt hin zu einer digitalen und vernetzten Gesundheitsdateninfrastruktur ausdrücklich zu begrüßen. Besonders Hersteller von Arzneimitteln und Medizinprodukten werden erheblich von der grenzüberschreitenden Nutzung profitieren, mit dem Potenzial, die medizinische Versorgung in ganz Europa nachhaltig zu verbessern.
Entscheidend ist nun, dass alle beteiligten Akteure das Potenzial des EHDS erkennen und dessen Nutzung frühzeitig sowie umfassend vorbereiten. Nur so kann eine effektive Primär- und Sekundärnutzung der Daten sichergestellt und den gesetzlichen Anforderungen entsprochen werden. Gleichzeitig muss der Datenschutz konsequent umgesetzt werden, um empfindliche Bußgelder zu vermeiden.
Ebenso gilt es zu verhindern, dass die Mitgliedstaaten voneinander abweichende nationale Regelungen etablieren, die den angestrebten europaweiten Datenaustausch behindern könnten.
Für weitere Informationen stehen wir Ihnen jederzeit zur Verfügung –und beraten Sie gern!
