Verkündung des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten – Ausgleich zwischen Gemeinwohl und Gesundheitsdatenschutz

 
Im Wesentlichen zielt das GDNG darauf, Gesundheitsdaten von Patientinnen und Patienten der Forschung zur Verfügung zu stellen. Dies soll durch einen Abbau von bürokratischen und organisatorischen Hemmnissen geschehen, jedoch nicht zum Nachteil des Datenschutzes. Die geltenden datenschutzrechtlichen Standards sollen weiterhin vollumfänglich Beachtung finden, sodass ein Ausgleich zwischen dem Schutz von Leben und Gesundheit einerseits und der Privatsphäre des Einzelnen sowie dem Recht auf informationelle Selbstbestimmung andererseits geschaffen wird.¹
 

Wesentliche Regelungen

Zur Kanalisierung der Datenmengen sowie zur Steuerung des Datenzugriffs wird beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten eingerichtet (§ 3 Absatz 1 GDNG). Diese soll insbesondere als zentrale Anlaufstelle für die Datennutzenden dienen und diese beim Zugang zu Gesundheitsdaten beraten sowie unterstützen (§ 3 Absatz 2 Satz 1 GDNG). Beispielsweise sollen Gesundheitsdaten in Form eines Metadaten-Katalogs Informationen über die Gesundheitsdaten sowie deren Halter gesammelt und der Kontakt sowie die Kommunikation zwischen datennutzenden und datenhaltenden Stellen ermöglicht werden.
 
Dabei sollen die Gesundheitsdaten jedoch nicht zentral zusammengeführt werden: Die Gesundheitsdaten bleiben am bisherigen Ort gespeichert und werden nur für den einzelnen Forschungsantrag zugänglich gemacht. Laut § 4 GDNG werden – zur erstmaligen Erprobung – die Daten des Forschungsdatenzentrums Gesundheit (FDZ) und die Daten der klinischen Krebsregister der Länder über ein technisches Verfahren miteinander verknüpft.
 
Die Datennutzenden müssen zunächst einen Antrag bei der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zum Erhalt der Gesundheitsdaten stellen. Nach der Genehmigung des jeweiligen Antrags werden die beantragten Daten mit einer „sicheren Verarbeitungsumgebung einer öffentlich-rechtlichen Stelle” verknüpft und den Antragstellenden als pseudonymisierte Einzeldatensätze zur Verfügung gestellt, vgl. § 4 Absatz 5 GDNG.
 
2. Zentrale Datenschutzaufsicht
 
Unterliegt die Datenverarbeitung im Rahmen eines Vorhabens der Versorgungs- und Gesundheitsforschung der Datenaufsicht mehrerer Datenschutzbehörden des Bundes und der Länder, bestimmt § 5 Absatz 1 GDNG, dass einer Datenschutzbehörde die federführende Datenschutzaufsicht zukommt. Dies ist insbesondere bei Forschungsvorhaben von Universitätskliniken der Fall, wenn die Datenverarbeitung zwischen den Partnern aufgeteilt wird.² Diese Regelung fördert die Zentralisierung der datenschutzrechtlichen Aufsicht und erleichtert den datennutzenden Stellen die Arbeit mit den Gesundheitsdaten. Mit der Frage nach der unterschiedlichen Handhabung von Datenschutzregelungen und deren Auslegung müssen sich die Forschungseinrichtungen nicht mehr beschäftigen.
 
3. Bundesweite Verarbeitungsbefugnis von Versorgungsdaten zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu Forschungszwecken für datenverarbeitende Gesundheitseinrichtungen
 
Datenverarbeitende Gesundheitseinrichtungen, wie Arztpraxen und grundsätzlich Krankenhäuser – d.h. solche, in denen Angehörigen der Heilberufe zum Zwecke der Gesundheitsversorgung die dem Berufsgeheimnis unterliegenden Informationen anvertraut werden – dürfen nunmehr die ihnen anvertrauten Daten nicht nur zum Zwecke der unmittelbaren Patientenversorgung, sondern auch zur Qualitätssicherung und zur Förderung der Patientensicherheit, zur medizinischen, zur rehabilitativen und zur pflegerischen Forschung oder zu statistischen Zwecken, einschließlich der Gesundheitsberichterstattung, weiterverarbeiten, § 6 Absatz 1 GDNG. Ziel ist laut Gesetzesbegründung ein „Wandel hin zu einem lernenden Gesundheitssystem”.³ Dabei sind die weiterverarbeiteten, personenbezogenen Daten von den Verantwortlichen zu pseudonymisieren und, sobald dies nach dem medizinischen Forschungszweck möglich ist, auch zu anonymisieren.
 
4. Geheimhaltungspflichten und Strafbarkeit
 
Der Gesundheitsdatenschutz wird dadurch gestärkt, dass die Datennutzenden die Gesundheitsdaten nur für die Zwecke nutzen dürfen, für die sie ihnen zugänglich gemacht wurden (§ 7 Absatz 1 Satz 1 Nr. 1 GDNG). Ferner dürfen die Gesundheitsdaten grundsätzlich nicht an Dritte weitergegeben werden (§ 7 Absatz 1 Satz 1 Nr. 2 GDNG) und nicht zum Zwecke der Herstellung eines Personenbezugs oder zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern verarbeitet werden (§ 7 Absatz 2 GDNG). Ein Verstoß gegen diese Pflichten wird u.a. mit einer Freiheitsstrafe von bis zu einem Jahr oder mit einer Geldstrafe geahndet (§ 9 GDNG).
 
5. Datenverarbeitung durch Kranken- und Pflegekassen zur Erkennung individueller Gesundheitsrisiken
 
Durch die Neuregelung des § 25b SGB V können nun auch gesetzlich Kranken- und Pflegekassen die ihnen umfangreich zur Verfügung stehenden Gesundheitsdaten über ihre Versicherten u.a. zur Erkennung von seltenen Erkrankungen, Krebserkrankungen und anderen schwerwiegenden Gesundheitsgefährdungen sowie zur Erkennung des Vorliegens von Impfindikationen für empfohlene Schutzimpfungen auswerten und weiterverarbeiten (§ 25b Absatz 1 SGB V). Eine ausdrückliche Einwilligung der Versicherten ist für die Auswertung der Daten nicht erforderlich (§ 25b Absatz 2 SGB V), jedoch können diese der Datenverarbeitung widersprechen. Über ihr Widerspruchsrecht sind die Versicherten von den Kranken- und Pflegekassen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache, auch öffentlich, zu informieren“ (§ 25b Absatz 3 Satz 2 SGB V).
 
6. Opt-Out-Verfahren bei der Datenfreigabe aus der elektronischen Patientenakte (ePA) 
 
Bislang besagten § 363 Absatz 1 und Absatz 2 SGB V, dass Versicherte die Daten ihrer elektronischen Patientenakte für Forschungszwecke freigeben können, wenn sie in die Freigabe aktiv einwilligen (Opt-In-Verfahren). Nunmehr wurde § 363 Absatz 1 und Absatz 2 SGB V dahingehend geändert, dass die Daten der elektronischen Patientenakte für die in § 303e Absatz 2 SGB V aufgeführten Zwecke zugänglich gemacht werden, soweit kein Widerspruch der Versicherten vorliegt (Opt-Out-Verfahren). Der Widerspruch kann jederzeit gegenüber den für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen – d.h. der Krankenkassen – erfolgen, und zwar über die Benutzeroberfläche eines geeigneten Endgeräts über die ePa-App.
 

Chancen und Risiken für Leistungserbringer aus dem Gesundheitssektor sowie kommerzielle Forschungsunternehmen

Das Gesetz zur verbesserten Nutzung von Gesundheitsdaten und insbesondere das GDNG schafft mit seinen vielfältigen Regeln eine neue, dem deutschen Datenschutzrecht bisher unbekannte ausgeweitete Nutzung von Gesundheitsdaten durch Forschende. Nach alter Gesetzeslage stellte das FDZ nur den in § 303e Absatz 1 Nr. 1- 18 SGB V aufgezählten Stellen die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten zur Verfügung, wenn die Datenverarbeitung für die in § 303e Absatz 2 SGB V genannten Zwecke – wie der Forschung (§ 303e Absatz 2 Nr. 4 SGB V) – erforderlich war.
 
Nunmehr ermöglicht das GDNG auch anderen Stellen den Datenzugang zum Zwecke der Forschung und des Gemeinwohls. Dabei muss es sich nicht mehr um Hochschulen (§ 303e Absatz 1 Nr. 8 SGB V) oder andere öffentlich-rechtliche Institutionen wie Krankenkassen (§ 303e Absatz 1 Nr. 3 SGB V) oder Bundesärztekammern (§ 303e Absatz 1 Nr. 17 SGB) handeln. Auch wirtschaftlich agierende Forschungsunternehmen wie solche der Pharmaindustrie haben nunmehr die Möglichkeit, Gesundheitsdaten zu erhalten, solange sie diese für die im Gesetz genannten Zwecke verarbeiten.
 
Die Einhaltung der gesetzlichen Voraussetzungen des GDNG und der vertrauliche Umgang mit den Gesundheitsdaten sollten daher in der Gesundheitswirtschaft frühzeitig in der eigenen Unternehmensstruktur eingeführt und durchgesetzt werden. Dies gilt umso mehr vor dem Hintergrund der Strafbarkeit der Verletzung der Geheimhaltungspflichten.
 
Gleiches gilt insbesondere für die Kliniken und Arzt- oder Zahnarztpraxen als datenverarbeitende Gesundheitseinrichtungen, die eine weitere Datenverarbeitung zu Forschungszwecken beabsichtigen oder unterstützen wollen und daher nach § 6 Absatz 1 GDNG die dafür erforderlich IT-Strukturen schaffen sollten, wenn diese noch nicht vorhanden sind. Wenn datenverarbeitende Gesundheitseinrichtungen nach § 6 GDNG die Informationen, die sie im Rahmen der Leistungserbringungen erhoben haben, für Zwecke außerhalb der Leistungserbringung weiterverarbeiten wollen, muss sorgfältig geprüft werden, ob dies durch die zulässigen Zwecke gem. § 6 Abs. 1 S. 1. Nr. 1 – Nr. 3 GDNG tatsächlich gedeckt ist. Eine zweckfremde Weiterverarbeitung gilt zu vermeiden. Im GDNG selbst sowie dessen Begründung fehlt eine Konkretisierung, wann von der Erforderlichkeit der Datenverarbeitung für die in § 6 Abs. 1 S. 1 Nr. 1 – Nr. 3 GDNG genannten Zwecke auszugehen ist, was für die datenverarbeitenden Gesundheitseinrichtungen letztlich zu einer eigenen Prüfungspflicht führt.
 
Auch die Umstellung vom Opt-In auf das Opt-Out-Verfahren durch die Änderung des § 363 SGB V wird von der Bevölkerung teilweise kritisch gesehen. Für die Verbesserung der Gesundheitsversorgung insbesondere im Bereich der Notfall- und Akutversorgung stellt die Möglichkeit zur Verwendung der Daten ohne Einwilligung jedoch eine erhebliche Vereinfachung dar. Auf die Krankenkassen kommt vermutlich ein umfassender Informationsbedarf der Versicherten bezüglich der Datenverarbeitung der ePA zu, auch wenn die Arztpraxen oftmals die erste Anlaufstelle der Patientinnen und Patienten sein werden.⁴ Eine klare Aufgabenverteilung im Rahmen der Verwaltungsabläufe wird sich wohl leider erst im Laufe der Umsetzung des Gesetzes herausbilden. Es wird empfohlen, zentrale institutsübergreifende Strukturen aufzubauen und die Datenverarbeitung innerhalb der Gesundheitseinrichtung zu dokumentieren.

¹ Bundestags-Drucksache 20/9046, S. 4.
² Bundestags-Drucksache 20/9046, S. 55.
³ Bundestags-Drucksache 20/9046, S. 56.
⁴ Vgl. dazu Stellungnahme des Hausärztinnen- und Hausärzteverbandes e.V. zum Referentenentwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) vom 14.08.2023.
- https://www.lto.de/recht/kanzleien-unternehmen/k/covid-19-pandemie-nutzung-gesundheitsdaten-datenschutz-forschung-gesetz-kabinettentwurf/​