In der Vergangenheit haben wir bereits darüber berichtet (abrufbar hier), dass ein neuer einheitlicher europäischer Rechtsrahmen für die Verarbeitung von Gesundheitsdaten geschaffen wurde: der sog. Europäische Gesundheitsdatenraum oder European Health Data Space („EHDS“). Der EHDS ergänzt die DSGVO im Rahmen von Datenverarbeitungen im Gesundheits- und Forschungssektor und soll eine grenzüberschreitende Infrastruktur für die Verarbeitung elektronischer Gesundheitsdaten schaffen. Nach Veröffentlichung im Amtsblatt ist die zugehörige EU-Verordnung am 26. März 2025 in Kraft getreten. Dies nehmen wir zum Anlass, um unseren vormaligen Beitrag zum EHDS zu ergänzen und einen weiteren Überblick über das neue Gesetz zu geben.
Unterschiede zwischen Primär- und Sekundärnutzung von Daten
Die EHDS-Verordnung (EHDS-VO) unterscheidet zwischen der Primär- und der Sekundärnutzung personenbezogener Daten. Die Primärnutzung umfasst Daten, die erforderlich sind, um den betroffenen Patienten zu behandeln, Vorsorge zu betreiben, Arzneimittel bereitzustellen und Kosten abzudecken. Nutzer primärer Gesundheitsdaten sind folglich insbesondere Ärztinnen und Ärzte, Kliniken, Apotheken, Sozialversicherungsträger und andere Kostenträger im medizinisch-pharmazeutischen Bereich. Im Gegensatz dazu umfasst die Sekundärnutzung die Verarbeitung elektronischer Gesundheitsdaten, die im Zuge der Primärnutzung erhoben wurden, zu anderen als den vorgenannten Zwecken. In der Praxis relevant ist dies vor allem für die Forschung, Qualitätssicherung und öffentliche Gesundheit.
Datenschutzrechtliche Anforderungen bei der Primärnutzung von Gesundheitsdaten
Die EHDS-VO ermöglicht einen grenzüberschreitenden Zugriff auf elektronische Gesundheitsdaten durch Angehörige der Gesundheitsberufe, wodurch eine effektivere Patientenversorgung auch im Ausland gewährleistet werden soll. Zugleich verpflichtet sie die Angehörigen der Gesundheitsberufe, die von ihnen erhobenen Patientendaten in einem elektronischen System (sog. EHR-System) zu erfassen, das einen grenzüberschreitenden Datenaustausch ermöglicht.
Ferner sieht sie für die Primärnutzung von Gesundheitsdaten verschiedene Pflichten vor. Unter anderem ist sicherzustellen, dass den betroffenen Personen gemäß Artikel 3 EHDS-VO kostenlos und in leicht lesbarer Form unverzüglich nach Datenerhebung Zugang zu ihren elektronischen Gesundheitsdaten gewährt wird und Kopien hieraus angefertigt werden können. Zusammen mit dem Anspruch auf Auskunft nach Artikel 15 DSGVO soll hierdurch für die Betroffenen eine umfassende Transparenz gewährleistet werden. Des Weiteren sieht die EHDS-VO in den Artikeln 5 ff. Ergänzungen zu den weiteren datenschutzrechtlichen Betroffenenrechten vor, z.B. das Recht des Betroffenen, selbst Daten zur Gesundheitsakte hinzuzufügen oder den Zugang zu den Daten für Angehörige der Gesundheitsberufe und Gesundheitsdienstleister einzuschränken.
Gemäß Artikel 10 EHDS-VO ist zudem den Mitgliedsstaaten überlassen, Regelungen zu Widerspruchsrechten der Betroffenen hinsichtlich der Primärnutzung in digitalen Gesundheitsakten zu treffen. Hierbei bleibt abzuwarten, ob Deutschland hiervon Gebrauch machen wird.
Sekundärnutzung der Gesundheitsdaten mit Widerspruchslösung
Der Zugang zu elektronischen Gesundheitsdaten im Rahmen der Sekundärnutzung erfolgt über ein Antragsverfahren bei einer oder mehreren vom Mitgliedsstaat eingerichteten Zugangsstelle(n). Er darf nur zu bestimmten, in Artikel 53 EHDS-VO aufgelisteten Zwecken gewährt werden und erfolgt grundsätzlich nur in anonymer Form, in Ausnahmefällen auch in pseudonymem Format. Zu den anerkannten Zwecken zählen zum Beispiel das öffentliche Interesse im Bereich der öffentlichen Gesundheit oder der Gesundheit am Arbeitsplatz, Politikgestaltung und Regulierungstätigkeiten, Bildungs- oder Lehrtätigkeiten im Gesundheitswesen sowie die wissenschaftliche Forschung im Bereich des Gesundheitswesens oder des Pflegesektors. Die Nutzung von Daten zu Werbemaßnahmen oder zur Entscheidungsfindung zulasten der betroffenen Personen ist gemäß Artikel 54 EHDS-VO ausdrücklich untersagt. Ferner untersagt ist die Zurverfügungstellung der Daten an nicht genehmigte Dritte. Die Sekundärdatennutzer dürfen überdies keine Maßnahmen erstreben, durch die die betroffene Person re-identifiziert werden kann. Ferner sind die Ergebnisse der Sekundärnutzung in einem bestimmten zeitlichen Rahmen in anonymer Form zu veröffentlichen.
Eine weitere Besonderheit aus datenschutzrechtlicher Sicht ist, dass betroffenen Personen direkt aus Artikel 71 der EHDS-VO ein Widerspruchsrecht gegen die Verarbeitung ihrer Gesundheitsdaten zu Sekundärzwecken zusteht. Die Mitgliedsstaaten sind verpflichtet, einfache Kanäle bereitzustellen, über die das Widerspruchsrecht ausgeübt werden kann.
Anforderungen an sog. EHR-Systeme
Besondere Anforderungen ergeben sich aus der EHDS-VO für das Herstellen, Inverkehrbringen und die Inbetriebnahme der EHR-Systeme. EHR steht für „Electronic Health Record System“ und bezeichnet gemäß Artikel 2 Abs. 2 lit. k EHDS-VO Systeme zur Verarbeitung personenbezogener elektronischer Gesundheitsdaten, die zur Patientenversorgung oder für den Zugang zu elektronischen Gesundheitsdaten durch Patienten bestimmt sind.
Wann und wie muss gehandelt werden?
Da es sich um eine EU-Verordnung handelt, gilt diese in der EU unmittelbar und muss nicht erst durch nationales Recht umgesetzt werden. Wie bei der KI-Verordnung treten die Vorschriften in zeitlichen Abschnitten von zwei bis zehn Jahren in Kraft, daher frühstens ab März 2027.
Aus Datenschutzsicht sind die Regelungen für Verantwortliche überschaubar und ergänzen bereits bekannte Grundsätze und Vorgaben aus der DSGVO. Wer DSGVO-konform aufgestellt ist, sollte durch die Anforderungen aus der EHDS-VO folglich keinen Schiffbruch erleiden. Zudem richtet sich ein Großteil der Regelungen nicht an das medizinische Personal, sondern an die Mitgliedsstaaten, die eingerichteten Zugangsstellen und die Hersteller von EHR-Systemen.
Zu empfehlen ist, den Datenschutzbeauftragten rechtzeitig einzubeziehen, eine Gap-Analyse durchzuführen und gemeinsam einen Plan für die Umsetzung etwaiger Maßnahmen festzulegen.