IT-Recht & Datenschutz

Die Verordnung für den Europäischen Gesundheitsdatenraum (EHDS) ist in den finalen Zügen – Auswirkungen auf Life-Sciences-Unternehmen

Veröffentlicht am 6th Feb 2025

Der Europäische Gesundheitsdatenraum (European Health Data Space, „EHDS“) wird den ersten gemeinsamen EU-Datenraum bilden und ist einer der Eckpfeiler der europäischen Gesundheitsunion. Erstmals wird damit ein europäisches Ökosystem für Gesundheitsdaten geschaffen. 

your_digital_transformation_strategy

Die zugrundeliegende Verordnung („EHDS-VO“) wurde am 21. Januar 2025 vom Rat der Europäischen Union angenommen (offizieller Text). Zwanzig Tage nach Verkündung im Amtsblatt der Europäischen Union wird die EHDS-VO in Kraft treten. Weite Teile der EHDS-VO werden dann bereits Anfang 2027 anwendbar sein. In Gänze wird die EHDS-VO jedoch erst bis zu zehn Jahre nach ihrem Inkrafttreten gelten. 

Wesentliche Ziele der EHDS-VO

Die EHDS-VO soll 

  • natürlichen Personen mehr Kontrolle über ihre elektronischen Gesundheitsdaten geben, z. B. durch spezielle Auskunfts-, Zugangsgewährungs-, Berichtigungs- und Beschränkungsrechte sowie gewisse Widerspruchsrechte. 
  • Angehörigen von Gesundheitsberufen (insb. Ärzte, Krankenpfleger, Zahnärzte, Hebammen, Apotheker) über besonders geschützte Infrastruktur einen europaweiten Zugang zu den elektronischen Gesundheitsdaten von EU-Bürgern für die Primärzwecke ermöglichen, 
  • Gesundheitsdateninhaber wie z. B. Angehörige von Gesundheitsberufen oder andere natürliche oder juristische Personen, die Gesundheitsdaten verarbeiten (beispielsweise Life-Sciences-Unternehmen oder Forschungseinrichtungen), verpflichten, bestimmte von ihnen verarbeitete Gesundheitsdaten für andere Zwecke als die Erbringungen von Gesundheitsdienstleistungen (sog. Sekundärzwecke) über eine vorgegebene Infrastruktur zugänglich machen, und
  • natürlichen und juristischen Personen (ggf. auch aus Drittländern) unter bestimmten Bedingungen den Zugang zu elektronischen Gesundheitsdaten ermöglichen, damit sie diese zu abschließend definierten Sekundärzwecken als sog. Gesundheitsdatennutzer rechtssicher verarbeiten können. 

Neu geschaffene Zugangsstellen für Gesundheitsdaten werden Anträge natürlicher und juristischer Personen auf Zugang zu Gesundheitsdaten zu Sekundärzwecken prüfen, den Zugriff auf elektronische Gesundheitsdaten verwalten, die Durchsetzung der EHDS-VO überwachen und als Schnittstelle zwischen Gesundheitsdateninhabern, Gesundheitsdatennutzern und der Öffentlichkeit fungieren. 

Rechte und Pflichten für Akteure im Gesundheitssystem

Um die oben genannten Ziele zu erreichen, wird die EHDS-VO Rechte und Pflichten insbesondere für die folgenden Akteure begründen:

  • Datenerfassungspflichten für Gesundheitsdienstleister (Angehörige der Gesundheitsberufe, aber auch Kliniken bzw. Ärztegemeinschaften) in der EU für Primärzwecke,
  • Umfangreiche Übermittlungspflichten für Gesundheitsdateninhaber für Sekundärzwecke, 
  • Zugangsrechte für Angehörige von Gesundheitsberufen zu Primärzwecken sowie Zugangs- und Nutzungsrechte für Gesundheitsdatennutzer, wie Forschungseinrichtungen und Life-Sciences-Unternehmen, zu Sekundärzwecken,
  • Prüf-, Standardisierungs- und Dokumentationspflichten für Hersteller, Einführer und Händler von Software und Geräten für elektronische Gesundheitsaufzeichnung, sog. EHR-Systeme.

EU-weite Nutzung von Gesundheitsdaten zur Erbringung von Gesundheitsdaten

Mit der EHDS-VO wird unter anderem eine einheitliche digitale Infrastruktur für die Verarbeitung und Übermittlung elektronischer Gesundheitsdaten zur Erbringung von Gesundheitsdienstleistungen (Primärzwecke) geschaffen. Der grenzüberschreitende Zugriff auf elektronische Gesundheitsdaten wird dadurch wesentlich erleichtert und ermöglicht es Ärzten unkompliziert Zugriff auf die elektronischen Gesundheitsdaten von Patienten mit Wohnsitz in einem anderen EU-Mitgliedstaat zu erhalten. So wird beispielsweise der Verwaltungsaufwand für medizinische Behandlungen im europäischen Ausland erheblich verringert und die Qualität der medizinischen Versorgung erhöht. 

Mitgliedsstaaten können auf nationaler Ebene ein Widerspruchsrecht der natürlichen Personen gegen den Zugang zu ihren elektronischen Gesundheitsdaten für Primärzwecke, also für die Erbringung von Gesundheitsdienstleistungen, einräumen.

Rechtssicherheit für die Sekundärnutzung von Gesundheitsdaten 

Die EHDS-VO schafft eine europäische Infrastruktur für die datenschutzkonforme Sekundärnutzung von Gesundheitsdaten, die als besondere Kategorien personenbezogener Daten streng geschützt sind und daher nur unter besonderen Voraussetzungen verarbeitet werden dürfen (Art. 9 DS-GVO). 

Bislang ist die Sekundärnutzung von Gesundheitsdaten mangels einer klaren datenschutzrechtlichen Rechtsgrundlage mit großen rechtlichen Unsicherheiten verbunden. Innovative Forschung an und mit Gesundheitsdaten wird damit bislang gehemmt – gerade mit Blick auf die Möglichkeiten der Künstlichen Intelligenz.

Der EHDS-VO soll diese Unsicherheiten durch die Schaffung einer ausdrücklichen Rechtsgrundlage für die Sekundärnutzung von Gesundheitsdaten reduzieren. Zulässige Sekundärzwecke werden abschließend durch die EHDS-VO festgelegt und umfassen dann beispielsweise

  • die wissenschaftliche Forschung, 
  • Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienstleistungen im Bereich des Gesundheitswesens, 
  • das Training, Testen und Bewerten von Algorithmen in Medizinprodukten, In-vitro-Diagnostika, KI-Systemen und digitalen Gesundheitsanwendungen, oder
  • die Verbesserung der Pflege, der Optimierung der Behandlung und der Gesundheitsversorgung. 

Dagegen dürfen Gesundheitsdaten ausdrücklich nicht für verbotene Zwecke wie Werbe- oder Vermarktungstätigkeiten oder die Entwicklung von Produkten oder Diensten genutzt werden, die Einzelpersonen, der öffentlichen Gesundheit oder der Gesellschaft insgesamt schaden können, wie z.B. illegale Drogen, alkoholische Getränke oder Tabak- und Nikotinerzeugnisse.

Pflicht zur Bereitstellung von Gesundheitsdaten 

Die EHDS-VO verpflichtet Gesundheitsdateninhaber, der Zugangsstelle für Gesundheitsdaten bestimmte Gesundheitsdaten zu Sekundärzwecken zur Verfügung zu stellen. 

Gesundheitsdateninhaber sind nicht nur Angehörige der Gesundheitsberufe, sondern insbesondere auch 

  • Unternehmen, die Produkte oder Dienstleistungen für die Gesundheitsversorgung, das Gesundheitswesen oder den Pflegesektor entwickeln, 
  • Entwickler und Hersteller von Wellness-Anwendungen, oder
  • Forschungsunternehmen im Bereich Gesundheit oder Pflege. 

Die Zugangsstelle für Gesundheitsdaten stellt diese Daten dann wiederum Gesundheitsdatennutzern auf Anfrage über die neue Infrastruktur zur Verfügung. Gesundheitsdatennutzer können grundsätzlich alle natürlichen oder juristischen Personen, einschließlich öffentlicher Stellen in der EU, sein, die zur Nutzung dieser Gesundheitsdaten für Sekundärzwecke berechtigt wurden. 

Die Betroffenen können der Verarbeitung ihrer Gesundheitsdaten zu Sekundärzwecken jederzeit und ohne Angabe von Gründen widersprechen. Solange ein solcher Widerspruch nicht erklärt wird, dürfen diese Gesundheitsdaten jedoch grundsätzlich verarbeitet werden.

Welche konkreten Gesundheitsdaten ggf. zur Verfügung gestellt werden müssen, ist in der EHDS-VO festgelegt. Im Einzelnen sind dies bespielsweise Daten zu Faktoren, die sich auf die Gesundheit auswirken, automatisch durch Medizinprodukte generierte personenbezogene elektronische Gesundheitsdaten sowie weitere Daten von Medizinprodukten, Daten aus Wellness-Anwendungen, Daten aus klinischen Prüfungen und Studien, aber auch Gesundheitsdaten aus Biobanken und zugehörigen Datenbanken. 

Die Privatsphäre der natürlichen Personen, deren elektronische Gesundheitsdaten zu Sekundärzwecken verarbeitet werden, wird unter anderem dadurch geschützt, dass Gesundheitsdatennutzern grundsätzlich nur anonymisierte Daten zur Verfügung gestellt werden und diese Daten nur in solchen sicheren Umgebungen verarbeitet werden dürfen, bei denen durch technische und organisatorische Maßnahmen das Risiko unbefugter Zugriffe minimiert wurde.

Im Einzelnen müssen ggf. auch solche Gesundheitsdaten zur Verfügung gestellt werden, die von den Vorschriften über geistiges Eigentum bzw. als Geschäftsgeheimnisse geschützt sind oder besonderen gesetzlichen Schutzrechten nach dem Gemeinschaftskodex für Humanarzneimitteln oder der Verordnung über die Europäische Arzneimittel-Agentur unterliegen. Die EHDS-VO sieht allerdings spezielle Maßnahmen zum Schutz solcher Daten vor, z.B. vertragliche Vereinbarungen auf Grundlage amtlicher Muster. Verbleiben gleichwohl ernste Risiken für den Schutz entsprechend vertraulicher Daten, so kann die Zugangsstelle für Gesundheitsdaten den Zugang zu solchen Daten auch verweigern.

Weitere Pflichten für Wirtschaftsakteure

Neben den Regelungen zur Verarbeitung von Gesundheitsdaten enthält die EHDS-VO auch produktspezifische Pflichten für Hersteller, Einführer und Händler von sog. EHR-Systemen. Dies sind nach der gesetzlichen Definition solche Systeme, bei denen es die Software oder eine Kombination aus Hardware und Software des Systems ermöglicht, die von der EHDS-VO erfassten Gesundheitsdaten zu verarbeiten und die vom Hersteller zur Verwendung durch Gesundheitsdienstleister bei der Patientenversorgung oder durch Patienten für den Zugang zu ihren Gesundheitsdaten bestimmt sind.

Diese Akteure unterliegen jeweils abgestuften Pflichten, die sich an deren jeweiligen Rollen in der Wertschöpfungskette orientieren. So sind Hersteller z.B. verpflichtet, sicherzustellen, dass ihre EHR-Systeme den Spezifikationen der EHDS-VO genügen und darauf eine CE-Kennzeichnung anzubringen, während Einführer z.B. nur solche EHR-Systeme in Verkehr bringen dürfen, die den Spezifikationen der EHDS-VO genügen und über eine entsprechende CE-Kennzeichnung verfügen. Händler wiederum sind dann zur Prüfung verpflichtet, ob der Hersteller eine EU-Konformitätserklärung ausgestellt hat oder ob der Einführer bestimmte gesetzliche Anforderungen eingehalten hat.

Soweit es sich bei den EHR-Systemen gleichzeitig um Produkte mit digitalen Elementen handelt, müssen Hersteller, Einführer und Händler jeweils ggf. auch die Vorschriften des Cyber Resilience Acts beachten, dessen Anforderungen die EHDS-VO im Hinblick auf elektronische Patientenakten ergänzen soll. 

Fazit

Die EHDS-VO wird eine Vielzahl neuer Pflichten für Life-Sciences-Unternehmen und andere Akteure im Gesundheitswesen mit sich bringen. Im Gegenzug profitieren jedoch gerade auch Life-Sciences-Unternehmen von neuen Nutzungsmöglichkeiten von Gesundheitsdaten für Sekundärzwecke wie Forschung und Entwicklung, einschließlich dem Trainieren und Verbessern von KI. 

Auch Hersteller, Einführer und Händler von EHR-Systemen werden einer Vielzahl neuer Pflichten unterworfen. Ohne die damit einhergehende Standardisierung und das durch derlei regulatorische Vorgaben geschaffene sichere Umfeld für die Verarbeitung hochsensibler Gesundheitsdaten dürfte der EHDS allerdings kaum zu verwirklichen sein. Nicht zuletzt die Diskussion um Sicherheitsbedenken der deutschen elektronischen Patientenakte hat gezeigt, dass Vertrauen in die sichere Verarbeitung von Gesundheitsdaten von essentieller Bedeutung für ein digitalisiertes Gesundheitswesen ist.

Teilen
Related articles
Abschluss des Verfahrens gegen AVM wegen OSS-Lizenzverletzung – einmal mehr FUD – oder ein echter Game Changer?
28/01/2025 5 mins
Data Act: Teil 1 – was regelt der Data Act überhaupt?
23/01/2025 5 mins
Der Data Act und dessen (vertragliche) Relevanz für den Anlagen- und Maschinenbau
29/10/2024 11 mins
Der Data Act reguliert das Cloud Switching – und beeinflusst das Verhältnis von Kunden und Cloud-Anbietern
04/07/2024 8 mins
Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden