Am 3. Mai letzten Jahres wurde er veröffentlicht: Der Vorschlag für eine Verordnung über den europäischen Raum für Gesundheitsdaten (2022/0140). Die 141 Seiten sind Teil der digitalen Strategie der Kommission und knüpfen an den European Data Governance Act, den Data Act und viele andere bereits in Kraft getretene Gesetze der EU an.
Worum geht es? Die Kommission führt zunächst in den Kontext des Vorschlags ein und legt die Gründe und Ziele dar. Mit Händen greift man den Unmut und die Verärgerung über die Kleinstaaterei der Mitgliedstaaten, über ihre forschungsfeindliche Interpretation der DSGVO und die fehlende Umsetzung der Interoperabilität, die doch schon mit der Richtlinie über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung 2011/24/EU längst hätte erfolgen sollen. Oder ist es nur ein Mitgliedstaat, der den Zorn auf sich zieht? In der Tat, es kann keinen Zweifel daran geben, dass die schleppende oder fehlende Umsetzung der forschungsfreundlichen Vorgaben der DSGVO in Deutschland gemeint ist. Man denke nur an
- Art. 5 Abs. 1b, der in der Lesart des Erwägungsgrunds 50 für den zusätzlichen Forschungszweck keine zusätzliche Einwilligung fordert, nach Teilen der Literatur und Auffassung der Datenschutzbehörden in Deutschland aber als Redaktionsirrtum gilt, oder
- den breiten Rahmen des Art. 9, auf dem der deutsche Gesetzgeber mit § 27 BDSG wenn auch enge, doch immerhin mögliche Vorgaben für eine Forschung ohne Einwilligung kodifiziert hat, was allerdings durch die Landeskrankenhausgesetze für die klinische Forschung leerläuft, und
- die doch eher moderaten Anforderungen aus Art. 89, die in Deutschland durch extrem hohe Anforderungen an die Datenschutzfolgeabschätzung konterkariert werden.
Zu Recht hat der Sachverständigenrat des Gesundheitswesens daher in seinem 2021er Gutachten[1] die Einführung eines Gesundheitsdatennutzungsgesetzes gefordert, das die Perspektive dreht und in Abkehr von der Fokussierung auf Schutz und Wegsperren von Daten vielmehr die strukturierte Aufarbeitung, Interoperabilität und sinnvolle Nutzung zu Forschungszwecken fordert. Dieser Vorschlag wird nun von der Kommission durch den EHDS-VO flankiert. Vorbilder waren ganz offensichtlich das finnische Zweitnutzungsgesetz Toisiolaki und die finnischen Erfahrungen und Regelungen, welche bei der Entwicklung des Verordnungsentwurfs Pate standen.
Der Vorschlag gliedert sich in acht Kapitel mit nur teilweise verschränkten Regelungsinhalten.
Kapitel 1, keine Überraschung, widmet sich Anwendungsbereich und Definitionen. Dem Begriffswirrwarr der Gesundheitsdatenverarbeitung auf europäischer und deutscher Ebene wird damit ein weiteres Bündel der Legaldefinition hinzugefügt, die in der Gesamtheit der Gesetze nicht widerspruchsfrei sind (vergleiche hierzu unser Glossar[2]). Interpretationsbedürftig ist die Bestimmung, dass die DSGVO von der vorliegenden Verordnung „unberührt bleibt“. Mit anderen Worten: Kann Art. 9 Abs. 4 DSGVO auch für den EHDS fruchtbar gemacht werden und mitgliedstaatliche Abweichungen erlauben?
Kapitel 2 konstituiert spezifische Rechte und Mechanismen in Bezug auf elektronische Gesundheitsdaten und erlegt den Mitgliedstaaten auf, digitale Gesundheitsbehörden einzurichten zur ordnungsgemäßen Umsetzung der Verordnung. Es beschreibt auch die gemeinsame Infrastruktur, die den grenzüberschreitenden Austausch elektronischer Gesundheitsdaten ermöglichen soll.
Kapitel 3 gestaltet die Umsetzung der Selbstzertifizierung von Systemen elektronischer Gesundheitsakten und -systemen bis hin zu Wellness-Apps, die auch mit diesen Systemen interoperabel sein sollen. Die Details regelt (mal nicht der Gemeinsame Bundesausschuss, denn wir sind auf der EU-Ebene!) die Kommission mit zahlreichen delegierten Rechtsakten und Durchführungsrechtsakten. Man darf gespannt sein, ob die seit Jahrzehnten gesuchte ideale Struktur einer interoperablen Gesundheitsakte auf diesem Weg gefunden wird, bevor größere Unternehmen von der anderen Seite des Atlantiks mit Lösungen aufwarten, deren Komfort und Anwenderfreundlichkeit mögliche EU-Konzepte in den Schatten stellen.
Kapitel 4 enthält etwas wirklich Neues, man mag von einer kleinen Revolution sprechen: Es werden Datenarten definiert, die für die sekundäre Nutzung verwendet werden können (unzulässige Zwecke werden beschrieben und ausgeschlossen). Die Inhaber dieser Datenarten werden verpflichtet, Art und Umfang sowie Qualität der Daten an eine vom Mitgliedstaat zu errichtende Datenzugangsstelle zu übermitteln. Diese Datenzugangsstellen veröffentlichen die Datenbestände der Dateninhaber und ermöglichen so forschenden Personen (natürlichen Personen oder Institutionen des privaten oder öffentlichen Rechts), einen Antrag auf Zugang zu diesen Daten für Forschungszwecke zu stellen. Im Genehmigungsfall erhält der die Forschung Beantragende eine Datengenehmigung. Die Datenzugangsstelle fordert dann den Dateninhaber auf, die Daten zur Verfügung zu stellen und anonymisiert sie. Danach gewährt sie dem Forschenden für eine beschränkte Zeit Zugriff auf die Daten zu den genehmigten Forschungszwecken.
Kapitel 5 befasst sich mit weiteren Maßnahmen zur Förderung des Kapazitätsaufbaus in den Mitgliedstaaten bezüglich des EHDS und mit dem Austausch von Informationen über digitale öffentliche Dienste.
Kapitel 6 begründet den Ausschuss für den Europäischen Raum für Gesundheitsdaten (EHDS-Board), das den kommunikativen „Kitt“ zwischen den digitalen Gesundheitsbehörden und den Zugangsstellen bilden und sich auch mit der Weiterentwicklung des Systems befassen wird.
Kapitel 7 schließlich ist der Kompetenztitel für die delegierten Rechtsakte. Zusätzlich wird eine Expertengruppe eingesetzt, die die Kommission bei der Ausarbeitung der Rechtsakte und bei der Durchführung der Verordnung in zahlreichen Bereichen berät und unterstützt.
Der Verordnungsentwurf ist nun im Trilogverfahren und wird in Brüssel intensiv beraten. Auch der Bundesrat hat sich mit dem Entwurf beschäftigt und eine Stellungnahme[3] abgegeben.
Aus juristischer Perspektive erscheinen mindestens zwei Aspekte der geplanten Verordnung bemerkenswert:
Verbindliche Vorgaben der EU für die Ausgestaltung einer elektronischen Patientenakte und die Einbindung in ein EU-Netzwerk, das dem Patienten Zugriff auf seine Daten ermöglichen soll, aber auch den Leistungserbringern im internationalen Austausch ein vollständiges digitales Bild des Patienten unabhängig vom Aufenthaltsort ermöglicht. Dieses Konzept ist in den vielen Mitgliedstaaten bereits umgesetzt und die Vereinheitlichung ist nicht nur eine Frage des „Ob“, sondern eine Frage des „Wie“. Die deutschen Diskussionen über Opt-in und Opt-out muten angesichts der Größe dieses Projekts etwas zwergenhaft an. Man mag der Expertengruppe bei der Kommission (sie wird der Willensbildung der Mitgliedstaaten Ausdruck verleihen) Geduld und ein glückliches Händchen wünschen. Für die nationale Umsetzung gilt es, die Gestaltungsrechte der Betroffenen bezüglich der Einrichtung, des Inhalts und des Zugriffs in den Blick zu nehmen.
Die ungleich größere juristische Herausforderung liegt in der geplanten sekundären Nutzung der Daten beim Dateninhaber. Als solche zählen Arztpraxen, Krankenhäuser, sonstige Leistungserbringer, Register u.v.a.m., ausgenommen sind nur Kleinstunternehmen mit weniger als zehn Mitarbeitern oder weniger als 2 Millionen Umsatz. Diesen Dateninhabern wird die Pflicht auferlegt, ihre Datensätze zu beschreiben, deren Vorhandensein zu melden und auf Anforderung bereitzustellen. In Erwägungsgrund 40 wird die Motivation dieser einwilligungsfreien Forschung dargelegt: „Daten, die von Dateninhabern mit Unterstützung aus öffentlichen Mitteln […] erhoben und verarbeitet werden, sollten […] zur Verfügung gestellt werden.“ Das ist gut argumentiert, liegen doch allein in Deutschland jährlich die Daten von über 550 Million ambulanten Behandlungen und über 15 Millionen stationären Behandlungen durch das Gemeinwohl finanziert in Datensilos herum und sind der Forschung nicht ohne weiteres zugänglich. Diese Argumentation wird allerdings in der Definition der Daten und Beschreibung der Dateninhaber nicht durchgehalten. Dies führt zu dem zweifelhaften Ergebnis, dass Dateninhaber, die Datensätze aufgrund eigener wirtschaftlicher Initiative erhoben, ergänzt, bearbeitet oder zusammengeführt haben, genauso als Normadressaten des EHDS gelten wie ein Krankenhaus, das die Daten „ohnehin“ erhebt. Es ist daher zu überlegen, ob für solche „Mehrwert-generierenden Unternehmen“ andere Regeln gelten sollten oder ob sie bezüglich der Gebühren für die Datenbereitstellung anders behandelt werden sollten.
Aus ähnlichen Gründen erscheint die Erstreckung der Dateninhaberschaft auf Medizintechnik- oder pharmazeutische Unternehmen und ihre klinischen Datenbanken und Geschäftsgeheimnisse einer Überprüfung würdig.
Insgesamt ist der Ansatz zur Sekundärnutzung der Daten aus der Primärversorgung nachvollziehbar und sinnvoll. Es ist auch zu erwarten, dass der Verordnungsentwurf noch modifiziert wird, aber er ist im Laufe diesen oder nächsten Jahres umzusetzen und mit Leben zu füllen. Unsere Sorge richtet sich darauf, dass die Fehler des Forschungsdatenzentrums[4] nach § 303d SGB V wiederholt werden und die Gleichberechtigung privatwirtschaftlicher gegenüber öffentlich-rechtlicher Forschungsanfragen (siehe EG 159 DSGVO) in Deutschland nicht verankert wird. Um den gesellschaftlichen Diskurs darüber zu befördern, haben wir die Initiative „EHDS-Koalition“ gegründet, die sich für eine zeitnahe, diskriminierungsfreie und effiziente Umsetzung der Sekundärnutzung einsetzt. Dazu gehört auch eine ausreichende Ausstattung der Datenzugangsstellen, die, wie sich in Finnland gezeigt hat, ausreichender Ressourcen bedarf, um ihren Auftrag wahrnehmen zu können.
So kündigt sich mit dem EHDS eine spannende Entwicklung in der EU an, einen interoperablen Rahmen für die Gesundheitsversorgung und die Forschung gleichermaßen zu bilden. Ein solches Projekt können wir als Juristen kritisch, aber auch konstruktiv begleiten und ihm zur Umsetzung verhelfen. Gehen wir es an!
DOI: 10.13154/294-9615
ISSN: 2940-3170
[1] Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen (2021): Digitalisierung für Gesundheit, URL: https://www.svr-gesundheit.de/fileadmin/Gutachten/Gutachten_2021/SVR_Gutachten_2021.pdf, Stand: 16. Januar 2023
[2] Dierks+Company (2022): D+C Glossary, URL: https://www.dierks.company/glossary/, Stand: 16. Januar 2023.
[3] Bundesrat (2022): Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten, URL: https://www.bundesrat.de/SharedDocs/drucksachen/2022/0201-0300/256-1-22.pdf?__blob=publicationFile&v=1%3AStellungnahme, Stand: 16. Januar 2023.
[4] Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM): Forschungsdatenzentrum Gesundheit, URL: https://www.bfarm.de/DE/Das-BfArM/Aufgaben/Forschungsdatenzentrum/_node.html, Stand: 16. Januar 2023.
Schreibe einen Kommentar