Verkündung des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten – Ausgleich zwischen Gemeinwohl und Gesundheitsdatenschutz

PrintMailRate-it

​​​​​​​​​​​​​​​​​veröffentlicht am 17​. Mai 2024 | Lesedauer ca. 6 Minuten | A​​utorinnen: Regina Stumpf und Pauline Rauch

Es erklärt sich von selbst, dass Gesundheitsdaten als hochsensible Daten grundsätzlich nur einem begrenzten Personenkreis zur Verfügung stehen, und zwar nur einem solchen, der unmittelbar mit der Patientenbehandlung im Zusammenhang steht. Das Gesetz zur verbesserten Nutzung von Gesundheitsdaten vom 22.3.2024 soll dies nun ändern und die Digitalisierung im Gesundheitswesen auf ein neues Level bringen. Dieser Beitrag fasst die wesentlichen Regelungen dieses Gesetzes zusammen und analysiert die sich daraus ergebenden Chancen und Risiken.


 


 

Seit dem 26.3.2024 ist das Gesetz zur verbesserten Nutzung von Gesundheitsdaten, welches das Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens (Gesundheitsdatennutzungsgesetz – GDNG) sowie u.a. Änderung des SGB V beinhaltet, in Kraft. Zusammen mit dem im selben Zuge eingebrachten Gesetz zur Ausweitung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG), über welches wir bereits in der Februar-Ausgabe unseres Newsletters im Artikel „Die Erweiterung der Elektronischen Patientenakte als Chance für den europäischen Gesundheitsdatenraum?“ berichtet haben, ist es das Ergebnis der Reformbestrebungen der Bundesregierung – federführend des Bundesministeriums für Gesundheit – zur Weiterentwicklung der Digitalisierung des Gesundheitswesens in Deutschland. Im Kern soll insbesondere das GDNG die Nutzung von Gesundheitsdaten zu Forschungs- und weiteren Gemeinwohlzwecken fördern.

Hintergrund und Ziele

Gesundheitsdaten – d.h. personenbezogene Daten, die Bezug zum Gesundheitszustand einer Person haben – werden in Deutschland zahlreich erfasst, verarbeitet und übermittelt, jedoch nahezu nur im unmittelbaren Versorgungskontext (sog. Primärnutzung). Diese hochsensiblen Daten werden zwischen den Patientinnen und Patienten, den behandelnden Personen sowie den Krankenkassen ausgetauscht. Der Zugriff darauf ist Forschungseinrichtungen, d.h. außerhalb des Behandlungsverhältnisses stehenden Akteuren (sog. Sekundärnutzung), in der Regel jedoch verschlossen.​

 
Die fehlende Weiternutzung beruht auf der Uneinheitlichkeit der Regelungswerke bzgl. des Datenzugangs und des Datenschutzes auf europäischer, Landes- und Bundesebene sowie der Rechtsauslegung durch Datenschutzbeauftragte und Aufsichtsbehörden. Dadurch wird nicht nur die Forschung gehemmt, sondern auch Deutschland als Wirtschaftsstandort für Innovationen im Forschungsbereich sowie die gesamte Medizinbranche geschwächt. Dieser Umstand wirkt sich insbesondere zulasten der individuellen Patientenbehandlung aus, da wesentliche Fortschritte in der Verbesserung der Gesundheitsversorgung gelähmt werden.
 
Im Wesentlichen zielt das GDNG darauf, Gesundheitsdaten von Patientinnen und Patienten der Forschung zur Verfügung zu stellen. Dies soll durch einen Abbau von bürokratischen und organisatorischen Hemmnissen geschehen, jedoch nicht zum Nachteil des Datenschutzes. Die geltenden datenschutzrechtlichen Standards sollen weiterhin vollumfänglich Beachtung finden, sodass ein Ausgleich zwischen dem Schutz von Leben und Gesundheit einerseits und der Privatsphäre des Einzelnen sowie dem Recht auf informationelle Selbstbestimmung andererseits geschaffen wird.1
 

Wesentliche Regelungen

1. Einrichtung einer zentralen Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten

Zur Kanalisierung der Datenmengen sowie zur Steuerung des Datenzugriffs wird beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten eingerichtet (§ 3 Absatz 1 GDNG). Diese soll insbesondere als zentrale Anlaufstelle für die Datennutzenden dienen und diese beim Zugang zu Gesundheitsdaten beraten sowie unterstützen (§ 3 Absatz 2 Satz 1 GDNG). Beispielsweise sollen Gesundheitsdaten in Form eines Metadaten-Katalogs Informationen über die Gesundheitsdaten sowie deren Halter gesammelt und der Kontakt sowie die Kommunikation zwischen datennutzenden und datenhaltenden Stellen ermöglicht werden.
 
Dabei sollen die Gesundheitsdaten jedoch nicht zentral zusammengeführt werden: Die Gesundheitsdaten bleiben am bisherigen Ort gespeichert und werden nur für den einzelnen Forschungsantrag zugänglich gemacht. Laut § 4 GDNG werden – zur erstmaligen Erprobung – die Daten des Forschungsdatenzentrums Gesundheit (FDZ) und die Daten der klinischen Krebsregister der Länder über ein technisches Verfahren miteinander verknüpft.
 
Die Datennutzenden müssen zunächst einen Antrag bei der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zum Erhalt der Gesundheitsdaten stellen. Nach der Genehmigung des jeweiligen Antrags werden die beantragten Daten mit einer „sicheren Verarbeitungsumgebung einer öffentlich-rechtlichen Stelle” verknüpft und den Antragstellenden als pseudonymisierte Einzeldatensätze zur Verfügung gestellt, vgl. § 4 Absatz 5 GDNG.
 
2. Zentrale Datenschutzaufsicht
 
Unterliegt die Datenverarbeitung im Rahmen eines Vorhabens der Versorgungs- und Gesundheitsforschung der Datenaufsicht mehrerer Datenschutzbehörden des Bundes und der Länder, bestimmt § 5 Absatz 1 GDNG, dass einer Datenschutzbehörde die federführende Datenschutzaufsicht zukommt. Dies ist insbesondere bei Forschungsvorhaben von Universitätskliniken der Fall, wenn die Datenverarbeitung zwischen den Partnern aufgeteilt wird.2 Diese Regelung fördert die Zentralisierung der datenschutzrechtlichen Aufsicht und erleichtert den datennutzenden Stellen die Arbeit mit den Gesundheitsdaten. Mit der Frage nach der unterschiedlichen Handhabung von Datenschutzregelungen und deren Auslegung müssen sich die Forschungseinrichtungen nicht mehr beschäftigen.
 
3. Bundesweite Verarbeitungsbefugnis von Versorgungsdaten zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu Forschungszwecken für datenverarbeitende Gesundheitseinrichtungen
 
Datenverarbeitende Gesundheitseinrichtungen, wie Arztpraxen und grundsätzlich Krankenhäuser – d.h. solche, in denen Angehörigen der Heilberufe zum Zwecke der Gesundheitsversorgung die dem Berufsgeheimnis unterliegenden Informationen anvertraut werden – dürfen nunmehr die ihnen anvertrauten Daten nicht nur zum Zwecke der unmittelbaren Patientenversorgung, sondern auch zur Qualitätssicherung und zur Förderung der Patientensicherheit, zur medizinischen, zur rehabilitativen und zur pflegerischen Forschung oder zu statistischen Zwecken, einschließlich der Gesundheitsberichterstattung, weiterverarbeiten, § 6 Absatz 1 GDNG. Ziel ist laut Gesetzesbegründung ein „Wandel hin zu einem lernenden Gesundheitssystem”.3 Dabei sind die weiterverarbeiteten, personenbezogenen Daten von den Verantwortlichen zu pseudonymisieren und, sobald dies nach dem medizinischen Forschungszweck möglich ist, auch zu anonymisieren.
 
4. Geheimhaltungspflichten und Strafbarkeit
 
Der Gesundheitsdatenschutz wird dadurch gestärkt, dass die Datennutzenden die Gesundheitsdaten nur für die Zwecke nutzen dürfen, für die sie ihnen zugänglich gemacht wurden (§ 7 Absatz 1 Satz 1 Nr. 1 GDNG). Ferner dürfen die Gesundheitsdaten grundsätzlich nicht an Dritte weitergegeben werden (§ 7 Absatz 1 Satz 1 Nr. 2 GDNG) und nicht zum Zwecke der Herstellung eines Personenbezugs oder zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern verarbeitet werden (§ 7 Absatz 2 GDNG). Ein Verstoß gegen diese Pflichten wird u.a. mit einer Freiheitsstrafe von bis zu einem Jahr oder mit einer Geldstrafe geahndet (§ 9 GDNG).
 
5. Datenverarbeitung durch Kranken- und Pflegekassen zur Erkennung individueller Gesundheitsrisiken
 
Durch die Neuregelung des § 25b SGB V können nun auch gesetzlich Kranken- und Pflegekassen die ihnen umfangreich zur Verfügung stehenden Gesundheitsdaten über ihre Versicherten u.a. zur Erkennung von seltenen Erkrankungen, Krebserkrankungen und anderen schwerwiegenden Gesundheitsgefährdungen sowie zur Erkennung des Vorliegens von Impfindikationen für empfohlene Schutzimpfungen auswerten und weiterverarbeiten (§ 25b Absatz 1 SGB V). Eine ausdrückliche Einwilligung der Versicherten ist für die Auswertung der Daten nicht erforderlich (§ 25b Absatz 2 SGB V), jedoch können diese der Datenverarbeitung widersprechen. Über ihr Widerspruchsrecht sind die Versicherten von den Kranken- und Pflegekassen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache, auch öffentlich, zu informieren“ (§ 25b Absatz 3 Satz 2 SGB V).
 
6. Opt-Out-Verfahren bei der Datenfreigabe aus der elektronischen Patientenakte (ePA) 
 
Bislang besagten § 363 Absatz 1 und Absatz 2 SGB V, dass Versicherte die Daten ihrer elektronischen Patientenakte für Forschungszwecke freigeben können, wenn sie in die Freigabe aktiv einwilligen (Opt-In-Verfahren). Nunmehr wurde § 363 Absatz 1 und Absatz 2 SGB V dahingehend geändert, dass die Daten der elektronischen Patientenakte für die in § 303e Absatz 2 SGB V aufgeführten Zwecke zugänglich gemacht werden, soweit kein Widerspruch der Versicherten vorliegt (Opt-Out-Verfahren). Der Widerspruch kann jederzeit gegenüber den für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen – d.h. der Krankenkassen – erfolgen, und zwar über die Benutzeroberfläche eines geeigneten Endgeräts über die ePa-App.
 

Chancen und Risiken für Leistungserbringer aus dem Gesundheitssektor sowie kommerzielle Forschungsunternehmen

Das Gesetz zur verbesserten Nutzung von Gesundheitsdaten und insbesondere das GDNG schafft mit seinen vielfältigen Regeln eine neue, dem deutschen Datenschutzrecht bisher unbekannte ausgeweitete Nutzung von Gesundheitsdaten durch Forschende. Nach alter Gesetzeslage stellte das FDZ nur den in § 303e Absatz 1 Nr. 1- 18 SGB V aufgezählten Stellen die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten zur Verfügung, wenn die Datenverarbeitung für die in § 303e Absatz 2 SGB V genannten Zwecke – wie der Forschung (§ 303e Absatz 2 Nr. 4 SGB V) – erforderlich war.
 
Nunmehr ermöglicht das GDNG auch anderen Stellen den Datenzugang zum Zwecke der Forschung und des Gemeinwohls. Dabei muss es sich nicht mehr um Hochschulen (§ 303e Absatz 1 Nr. 8 SGB V) oder andere öffentlich-rechtliche Institutionen wie Krankenkassen (§ 303e Absatz 1 Nr. 3 SGB V) oder Bundesärztekammern (§ 303e Absatz 1 Nr. 17 SGB) handeln. Auch wirtschaftlich agierende Forschungsunternehmen wie solche der Pharmaindustrie haben nunmehr die Möglichkeit, Gesundheitsdaten zu erhalten, solange sie diese für die im Gesetz genannten Zwecke verarbeiten.
 
Die Einhaltung der gesetzlichen Voraussetzungen des GDNG und der vertrauliche Umgang mit den Gesundheitsdaten sollten daher in der Gesundheitswirtschaft frühzeitig in der eigenen Unternehmensstruktur eingeführt und durchgesetzt werden. Dies gilt umso mehr vor dem Hintergrund der Strafbarkeit der Verletzung der Geheimhaltungspflichten.
 
Gleiches gilt insbesondere für die Kliniken und Arzt- oder Zahnarztpraxen als datenverarbeitende Gesundheitseinrichtungen, die eine weitere Datenverarbeitung zu Forschungszwecken beabsichtigen oder unterstützen wollen und daher nach § 6 Absatz 1 GDNG die dafür erforderlich IT-Strukturen schaffen sollten, wenn diese noch nicht vorhanden sind. Wenn datenverarbeitende Gesundheitseinrichtungen nach § 6 GDNG die Informationen, die sie im Rahmen der Leistungserbringungen erhoben haben, für Zwecke außerhalb der Leistungserbringung weiterverarbeiten wollen, muss sorgfältig geprüft werden, ob dies durch die zulässigen Zwecke gem. § 6 Abs. 1 S. 1. Nr. 1 – Nr. 3 GDNG tatsächlich gedeckt ist. Eine zweckfremde Weiterverarbeitung gilt zu vermeiden. Im GDNG selbst sowie dessen Begründung fehlt eine Konkretisierung, wann von der Erforderlichkeit der Datenverarbeitung für die in § 6 Abs. 1 S. 1 Nr. 1 – Nr. 3 GDNG genannten Zwecke auszugehen ist, was für die datenverarbeitenden Gesundheitseinrichtungen letztlich zu einer eigenen Prüfungspflicht führt.
 
Auch die Umstellung vom Opt-In auf das Opt-Out-Verfahren durch die Änderung des § 363 SGB V wird von der Bevölkerung teilweise kritisch gesehen. Für die Verbesserung der Gesundheitsversorgung insbesondere im Bereich der Notfall- und Akutversorgung stellt die Möglichkeit zur Verwendung der Daten ohne Einwilligung jedoch eine erhebliche Vereinfachung dar. Auf die Krankenkassen kommt vermutlich ein umfassender Informationsbedarf der Versicherten bezüglich der Datenverarbeitung der ePA zu, auch wenn die Arztpraxen oftmals die erste Anlaufstelle der Patientinnen und Patienten sein werden.4 Eine klare Aufgabenverteilung im Rahmen der Verwaltungsabläufe wird sich wohl leider erst im Laufe der Umsetzung des Gesetzes herausbilden. Es wird empfohlen, zentrale institutsübergreifende Strukturen aufzubauen und die Datenverarbeitung innerhalb der Gesundheitseinrichtung zu dokumentieren.




Quellen:

1 Bundestags-Drucksache 20/9046, S. 4.
2 Bundestags-Drucksache 20/9046, S. 55.
3 Bundestags-Drucksache 20/9046, S. 56.
4 Vgl. dazu Stellungnahme des Hausärztinnen- und Hausärzteverbandes e.V. zum Referentenentwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) vom 14.08.2023.
- https://www.lto.de/recht/kanzleien-unternehmen/k/covid-19-pandemie-nutzung-gesundheitsdaten-datenschutz-forschung-gesetz-kabinettentwurf/​


 

Aus dem Themenspecial

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Unternehmer-briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu