Vor Kurzem haben zwei zentrale Bestandteile der Digitalisierungsstrategie für das Gesundheitswesen die letzte Hürde des Gesetzgebungsverfahrens genommen. Am 2. Februar 2024 ließ der Bundesrat das Gesundheitsdatennutzungsgesetz (GDNG) und das Digitalgesetz (DigiG) passieren. Beide Gesetze werden zeitnah in Kraft treten.
Im Folgenden geben wir einen Überblick über die maßgeblichen Regelungen des GDNG, die einen grundlegenden Wandel im Umgang mit Gesundheitsdaten mit sich bringen. Dies betrifft sowohl die Einführung eines Opt-out-Verfahrens für die Datenübermittlung aus der elektronischen Patientenakte (ePA) und für die Weiterverarbeitung von Gesundheitsdaten durch Krankenkassen und Gesundheitseinrichtungen als auch die Öffnung des Zugriffs auf die beim Forschungsdatenzentrum Gesundheit (FDZ) gespeicherten Daten für die forschende Industrie.
Hintergrund und Zielsetzung
Die Europäische Union strebt bis zum Jahr 2025 die Schaffung eines Europäischen Gesundheitsdatenraums (European Health Data Space „EHDS“) an, der die nationalen Gesundheitssysteme durch den Austausch von Gesundheitsdaten miteinander verknüpfen soll. Im Zuge dessen sind die Mitgliedstaaten verpflichtet, ihre Gesundheitsversorgung zu digitalisieren und den Patienten elektronischen Zugang zu ihren Daten zu verschaffen. Die im März 2023 veröffentlichte Digitalisierungsstrategie des Bundesgesundheitsministeriums stellt die ersten Weichen, um das deutsche Gesundheitswesen an den entstehenden EHDS anzubinden. Den rechtlichen Rahmen dieser Strategie zur Digitalisierung im Gesundheitswesen bildet u.a. das GDNG.
Das erklärte Ziel des GDNG ist es vor diesem Hintergrund, bestehende Hürden bei Datennutzung und -zugang im Gesundheitswesen abzubauen und dadurch die Nutzbarkeit von Gesundheitsdaten zu verbessern. Aktuell bestehen diese Hürden insbesondere darin, dass die im Gesundheitssystem erhobenen Daten selten für eine Weiterverwendung außerhalb des unmittelbaren Versorgungskontextes zugänglich sind. Dies lässt sich auf unterschiedliche Regelungen bezüglich des Zugangs zu Daten, voneinander abweichende datenschutzrechtliche Vorgaben auf Bundes- und Landesebene sowie auf eine uneinheitliche Rechtsauslegung durch Aufsichtsbehörden zurückführen. Darüber hinaus sind Gesundheitsdaten aufgrund des dezentral organisierten deutschen Gesundheitssystems in unterschiedlichen Quellen gespeichert, während ausdrückliche Vorgaben und Verfahren zur Verknüpfung dieser Daten fehlen.
Das GDNG hat es sich vor diesem Hintergrund zum Ziel gesetzt, den Austausch und die Weiterverarbeitung von Gesundheitsdaten zu verbessern, indem durch verschiedene – nachfolgend dargestellte – Regelungen Hindernisse im Bereich der Weiterverarbeitung von Gesundheitsdaten abgebaut werden.
Weiterentwicklung des Forschungsdatenzentrums Gesundheit
Ein wesentliches Ziel des GNDG besteht darin, die im FDZ vorliegenden Abrechnungsdaten in größerem Maße als bisher nutzbar zu machen. Sind nach bisheriger Rechtslage allein abschließend aufgeführte Gesundheitseinrichtungen zur Datennutzung berechtigt, wird künftig der angestrebte Nutzungszweck maßgeblich sein. Zudem werden die Nutzungszwecke erweitert auf u.a.:
- die wissenschaftliche Forschung im Bereich Gesundheit und Pflege,
- die Verbesserung der Versorgungsqualität und Sicherheitsstandards,
- die (Weiter-)Entwicklung und Überwachung der Sicherheit von Arzneimitteln, Medizinprodukten sowie Hilfs- und Heilmitteln.
Durch diese – den Vorschlägen im Kommissionsentwurf zum EHDS entsprechende – Umstellung des derzeit akteursbezogenen Zugangsmechanismus auf einen zweckbezogenen Zugangsmechanismus erhalten erstmals auch private Einrichtungen, wie etwa die forschende Pharmaindustrie, die Möglichkeit, Zugriff auf die beim FDZ gespeicherten Daten zu nehmen.
Daneben sollen Daten im FDZ zukünftig mit einem deutlich geringeren Zeitablauf zugänglich gemacht werden. Derzeit liegen die für die Abrechnung der Vergütung der Leistungen der vertragsärztlichen Versorgung von den Kassenärztlichen Vereinigungen übermittelten Daten erst nach einem gewissen Zeitablauf bei den Krankenkassen vor und stehen folglich erst relativ spät für die Zwecke des FDZ zur Verfügung. Um diese Daten zukünftig schneller verfügbar zu machen, sieht das GDNG vor, dass die Kassenärztlichen Vereinigungen vorab (spätestens vier Wochen nach Ende des Quartals) unbereinigte Daten zur Abrechnung vertragsärztlicher Leistungen an die Krankenkassen zur Weiterleitung an das FDZ übermitteln.
Einführung des Opt-out-Verfahrens für die Datenübermittlung aus der elektronischen Patientenakte an das FDZ
Die Datenübermittlung aus der ePA an das FDZ wird von dem derzeitigen Opt-in Verfahren, welches stets eine legitimierende Einwilligung der betroffenen Person voraussetzt, in ein Opt-out-Verfahren umgestaltet, um die Verfügbarkeit der Daten aus der ePA im FDZ zu erhöhen. Dies bedeutet, dass sämtliche Daten aus der ePA in pseudonymisierter Form automatisch für die gesetzlichen Verarbeitungszwecke beim FDZ zugänglich gemacht werden, sofern der Versicherte der Datenfreigabe nicht ausdrücklich widerspricht. Die Krankenkassen haben ihre Versicherten über dieses Widerspruchsrecht zu informieren, welches auch auf bestimmte Verarbeitungszwecke beschränkt werden kann. Versicherte können ihren Widerspruch über die Benutzeroberfläche eines geeigneten Endgeräts (ePA-App bzw. Desktop Client) oder bei den Ombudsstellen der Krankenkassen erklären.
Überdies wird die bisherige (klarstellende) Regelung beibehalten, nach der Versicherte die Daten ihrer ePA unabhängig von der Datenübermittlung an das FDZ auch auf der Grundlage einer informierten Einwilligung für Forschungsvorhaben zur Verfügung stellen können. Neu eingeführt wird diesbezüglich eine Verordnungsermächtigung, durch die das Nähere zum technischen Verfahren bei der Ausleitung von Daten aus der ePA an Forschende geregelt werden kann.
Parallel zu den Regelungen zur ePA im GDNG ist auch im DigiG ein Umbau der ePA hin zu einer Opt-out-Anwendung vorgesehen. Ab dem 15.01.2025 sind die Krankenkassen verpflichtet, jedem Versicherten, der nach vorheriger Information der Einrichtung einer ePA nicht innerhalb einer Frist von sechs Wochen widersprochen hat, eine ePA zur Verfügung zu stellen.
Auf europäischer Ebene sah der ursprüngliche Entwurf der Verordnung des europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten (EHDS-VO-E) in seiner Fassung vom 5. Mai 2022 hinsichtlich der Sekundärnutzung elektronischer Gesundheitsdaten zunächst kein Widerspruchsrecht zugunsten der betroffenen Personen vor. Demgegenüber hat sich das Europäische Parlament am 13. Dezember 2023 in Erster Lesung darauf geeinigt, eine Regelung aufzunehmen, die klarstellt, dass natürliche Personen das Recht haben, der Verarbeitung ihrer Daten für sekundäre Zwecke zu widersprechen. Dazu sollen die Mitgliedstaaten einen Opt-out-Mechanismus vorsehen, mit dem natürlichen Personen die Möglichkeit geboten wird, ausdrücklich ihren Wunsch zu äußern, dass ihre personenbezogenen elektronischen Gesundheitsdaten ganz oder teilweise nicht für einige oder alle Zwecke der Sekundärnutzung verarbeitet werden sollen. Ob die finale Fassung der Verordnung ein solches Widerspruchsrecht ermöglichen wird, wird sich in den derzeit laufenden Trilog-Verhandlungen entscheiden.
Weiterverarbeitung durch datenverarbeitende Gesundheitseinrichtungen – Einwilligung der Betroffenen nicht erforderlich
Datenverarbeitende Gesundheitseinrichtungen, wie Arztpraxen, können ihre im Versorgungskontext erhobenen Daten künftig ohne Einwilligung weiterverarbeiten, soweit dies für einen der folgenden Zwecke erforderlich ist:
- die Qualitätssicherung und Förderung der Patientensicherheit,
- die medizinische, rehabilitative und pflegerische Forschung sowie
- statistische Zwecke, einschließlich der Gesundheitsberichterstattung.
Eine solche Datenverarbeitung ist zwar auch nach derzeitiger Rechtslage überwiegend ohne Einwilligung datenschutzrechtlich zulässig, so etwa die Datenverarbeitung zu wissenschaftlichen Forschungszwecken nach § 27 BDSG bzw. nach den entsprechenden Regelungen in den Landeskrankenhausgesetzen. In der Praxis wird die Sekundärnutzung von Patientendaten für die Forschung aber zumeist auf eine Einwilligung gestützt, während die gesetzlichen Forschungsklauseln aufgrund der bestehenden Rechtsunsicherheit und der uneinheitlichen Regelungen auf Bundes- und Landesebene weitestgehend ungenutzt bleiben. Die durch die neue Regelung angestrebte bundesweite Vereinheitlichung ist vor diesem Hintergrund zu begrüßen, offen bleibt jedoch insbesondere das Verhältnis zum BDSG und zu den Landeskrankenhausgesetzen.
Während der Referentenentwurf noch ein Verbot zur Weitergabe von Daten an Dritte vorsah, wurde aufgrund vielfacher Kritik eine Regelung in das GNDG aufgenommen, nach der die Weitergabe von personenbezogenen Daten im Rahmen der Weiterverarbeitung zulässig ist, soweit die betroffene Person eingewilligt hat oder eine andere gesetzliche Vorschrift dies erlaubt. Darüber hinaus dürfen die Leistungserbringer die zu Versorgungszwecken erhobenen Daten anonymisieren, um diese sodann zu u.a. medizinischen oder pflegerischen Forschungszwecken zu übermitteln. Zudem ist eine gemeinsame Nutzung und Verarbeitung durch öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken zulässig, wenn u.a. die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen und die zuständige Datenschutzaufsichtsbehörde der gemeinsamen Nutzung und Verarbeitung der Daten zugestimmt hat. Demnach ist die Weitergabe personenbezogener Daten an Dritte für datenverarbeitende Gesundheitseinrichtungen nur unter engen Voraussetzungen möglich.
Weiterverarbeitung durch Kranken- und Pflegekassen
Auch die bei Kranken- und Pflegekassen zusammenfließenden Datenmengen bergen großes Potential, um individuelle Gesundheitsrisiken bei Versicherten frühzeitig zu erkennen. Für eine bessere Nutzung dieser Datenbasis sind die Kranken- und Pflegekassen nach den Regelungen des GNDG nunmehr befugt, die bei ihnen vorliegenden Gesundheitsdaten ebenfalls ohne die Einwilligung des Betroffenen für die folgenden Zwecke auszuwerten:
- die Erkennung von seltenen Erkrankungen,
- die Erkennung von Krebserkrankungen,
- die Erkennung von schwerwiegenden Gesundheitsgefährdungen, die durch die Arzneimitteltherapie entstehen können,
- die Erkennung einer noch nicht festgestellten Pflegebedürftigkeit nach § 14 des Elften Buches,
- die Erkennung ähnlicher schwerwiegender Gesundheitsgefahren, soweit dies aus Sicht der Kranken- und Pflegekassen im überwiegenden Interesse des Versicherten ist,
- die Erkennung des Vorliegens von Impfindikationen für Schutzimpfungen.
Sofern im Rahmen der Auswertung eine konkrete Gesundheitsgefährdung, das konkrete Risiko einer Erkrankung oder einer Pflegebedürftigkeit oder das Vorliegen einer Impfindikation identifiziert wird, erhalten die Kranken- und Pflegekassen zudem die Möglichkeit, den betroffenen Versicherten darauf hinzuweisen. Dieser Hinweis ist mit einer unverbindlichen Empfehlung zu verbinden, medizinische Unterstützung in Anspruch zu nehmen. Damit werden die Krankenkassen stärker als zuvor in medizinische Fragestellungen eingebunden, konkrete Vorgaben hinsichtlich der Beseitigung der Gesundheitsgefährdung dürfen allerdings nicht gemacht werden.
Die Kranken- und Pflegekassen sind verpflichtet, der Aufsichtsbehörde vor Beginn der Verarbeitung zu den oben genannten Zwecken die Ziele und Datengrundlagen der Auswertung anzuzeigen. Überdies müssen sie die Versicherten mindestens vier Wochen vor Beginn der Datenverarbeitung über die Datenverarbeitung und die Möglichkeit des Widerspruchs informieren. Eine Weitergabe der bei den Kranken- und Pflegekassen vorliegenden personenbezogenen Daten der Versicherten an Dritte ist grundsätzlich untersagt. Zulässig ist jedoch die Datenverarbeitung durch Auftragsverarbeiter.
Publikationspflicht von Forschungsergebnissen
Für den Fall, dass Gesundheitsdaten auf der Grundlage des GDNG – wie zuvor erläutert – einwilligungsunabhängig verarbeitet werden, sieht das GDNG eine Regelung vor, nach der Forschungsergebnisse innerhalb von 24 Monaten nach Abschluss des Forschungsvorhabens in anonymisierter Form veröffentlicht werden müssen. Dies kann zum Beispiel auf einer Website des Verantwortlichen oder in Datenbanken geschehen. Die veröffentlichten Forschungsergebnisse können sodann von Forschenden weitergenutzt werden. Auch im Entwurf der EHDS-VO ist eine entsprechende Pflicht zur Veröffentlichung von Ergebnissen und Resultaten der Sekundärnutzung von Gesundheitsdaten spätestens 18 Monate nach Abschluss der Verarbeitung vorgesehen.
Einrichtung einer Datenzugangs- und Koordinierungsstelle als zentraler Ansprechpartner
Ein wesentliches Element des GDNG besteht zudem in dem Aufbau einer nationalen Datenzugangs- und Koordinierungsstelle, welche die Datennutzenden hinsichtlich des Zugangs zu Gesundheitsdaten unterstützen und beraten soll. Dazu soll die Stelle u.a. eine Koordinierungsfunktion übernehmen, indem sie Anträge auf Datennutzung annimmt und an die zuständigen Stellen weiterleitet. Neben dieser Koordinierungsfunktion werden der Stelle weitere Aufgaben übertragen; so soll sie etwa mittels eines Metadatenkatalogs Transparenz über die in Deutschland verfügbaren Datenquellen im Gesundheitswesen herstellen. Die vom FDZ unabhängige Datenzugangs- und Koordinierungsstelle wird zunächst beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eingerichtet und soll perspektivisch zu einer eigenständigen Institution im EHDS ausgebaut werden.
Strafrechtliche Flankierung des Gesundheitsdatenschutzes
Um das Recht auf informationelle Selbstbestimmung im Falle der Sekundärnutzung von Gesundheitsdaten zu stärken, sieht das GDNG eine sanktionierte Geheimhaltungspflicht für mit Gesundheitsdaten Forschende vor. Danach gilt Folgendes: Wer ihm zugänglich gemachte Gesundheitsdaten unrechtmäßig nutzt, an Dritte weitergibt oder verarbeitet, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Wer dies gegen Entgelt tut oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, muss mit einer Freiheitsstrafe von bis zu drei Jahren oder mit einer Geldstrafe rechnen.
Ausblick
Das deutsche Gesundheitswesen hat zweifelsohne im Vergleich zu anderen Ländern in puncto Digitalisierung, Vernetzung und (Sekundär-)Nutzung von Gesundheitsdaten einiges aufzuholen. Das BMG arbeitet daher mit Hochdruck an der Realisierung seiner Digitalisierungsstrategie für das Gesundheitswesen. Das zeitnah in Kraft tretende GDNG bietet begrüßenswerte Impulse in die richtige Richtung. Abzuwarten bleibt jedoch vor allem, wie sich das GDNG mit der finalen Fassung der EHDS-VO, deren Erlass für die zweite Hälfte des Jahres 2024 erwartet wird, in Einklang bringen lässt.