Fortschritt versus Sicherheit: Verabschiedung des Gesundheitsdatennutzungsgesetzes

Am 14. Dezember 2023 beschloss der Bundestag das Gesundheitsdatennutzungsgesetz gemeinsam mit dem Digitalgesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (wir berichteten). Damit hat die Digitalisierung im deutschen Gesundheitswesen einen bedeutenden Schritt nach vorn gemacht. Die aktive Forschung mit Gesundheitsdaten wird auf nationaler wie europäischer Ebene vorangetrieben, um eine progressive Entwicklung der medizinischen Wissenschaft zu fördern und die Behandlung von Krankheiten sowie die allgemeine Gesundheitsversorgung zu verbessern. Das vom Bundesgesundheitsministerium (BMG) initiierte  „Gesetz zur verbesserten Nutzung von Gesundheitsdaten“ (GDNG) hat zum Ziel, den Zugang zu Gesundheitsdaten für die Gesundheitsversorgung und Forschung zu verbessern und bürokratische und organisatorischer Hürden bei der Datennutzung abzubauen. Wir stellen das neue Gesetz näher vor.

Das GDNG setzt die vom Bundesgesundheitsministerium skizzierte Agenda zur Digitalisierung im Gesundheitswesen fort – insbesondere in Bezug auf die Regelungen zum Europäischen Gesundheitsdatenraum (European Health Data Space – EHDS). Die Inhalte des GDNG liegen schwerpunktmäßig in einem neu zu erlassenden Gesundheitsdatennutzungsgesetz und in Änderungen bestehender Gesetze, unter anderem des Fünften Sozialgesetzbuches (SGB V).

Aufgrund der besonderen Sensibilität von Gesundheitsdaten bedarf das Gesetz einer differenzierten Durchleuchtung und wird auch von Stakeholdern aus den medizinischen Berufen und der Datenschutzaufsicht zum Teil kritisch beurteilt. Im Folgenden stellen wir die verabschiedeten Regelungen vor und ordnen die Stellungnahmen ein.

Die Schlüsselrolle der Datenzugangs- und Koordinierungsstelle

Das GDNG sieht den Aufbau einer nationalen Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten vor (§ 3 Abs. 1 GDNG). Die Koordinierungsstelle soll als unabhängige Stelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und vorrangig potenziell Datennutzende in Hinblick auf den Zugang zu Gesundheitsdaten unterstützen und beraten (§ 3 Abs. 2 GDNG). Beispielsweise soll die Koordinierungsstelle in einem öffentlichen Katalog vorhandene Gesundheitsdaten und deren Halter erkennbar machen (§ 3 Abs. 2 Nr. 1 GDNG) oder Anträge auf Zugang zu Gesundheitsdaten übermitteln (§ 3 Abs. 2 Nr. 4 GDNG). Die nähere Ausgestaltung der Datenzugangs- und Koordinierungsstelle soll das BMG durch eine Rechtsverordnung regeln (§ 3 Abs. 3, § 4 Abs. 9 GDNG).

Pseudonymisierung und Verknüpfung von Gesundheitsdaten für Forschungsprojekte

Laut dem GDNG soll die Verknüpfung und Bereitstellung von pseudonymisierten Gesundheitsdaten des Forschungsdatenzentrums (FDZ) und der Krebsregister für Forschungsvorhaben erlaubt sein (§ 4 Abs. 1 GDNG). So könnten umfassendere Datensätze erzeugt werden, die die Grundlage für verbesserte Forschung bilden können. Die konkrete Ausgestaltung der technisch-organisatorischen Maßnahmen – beispielsweise der Pseudonymisierung oder der Anforderungen an eine sichere Verarbeitungsumgebung für die verknüpften Daten – wird per Verordnungsermächtigung an das BMG delegiert (§ 4 Abs. 9 GDNG).

Sekundärnutzung von Gesundheitsdaten in der Primärversorgung

Das neue Gesetz adressiert ebenfalls die Sekundärnutzung von Gesundheitsdaten in der Primärversorgung durch Ärztinnen, Ärzte und andere Leistungserbringer wie etwa Krankenhäuser (§ 6 GDNG). Die Leistungserbringenden im Bereich der Gesundheitsversorgung sollen Gesundheitsdaten, die bei ihnen bereits (rechtmäßig) vorhanden sind, zu bestimmten anderen Zwecken verarbeiten dürfen. Gemeint sind beispielsweise Daten über eine Patientin, die behandelt wurde. Die Leistungserbringer müssen bei der Weiterverarbeitung der Daten einige Maßnahmen zum Datenschutz wie die Anonymisierung und die allgemeine Information über die Nutzung der Daten einhalten (§ 6 Abs. 2 und 4 GDNG). Eine Weitergabe der personenbezogenen Daten an Dritte ist außer in eng normierten Ausnahmefälle untersagt – gleiches gilt für eine Verarbeitung der Daten zu anderen als den oben genannten Zwecken der Norm (§ 6 Abs. 3 GDNG).

Das GDNG differenziert die erlaubten Nutzungsformen nicht weiter aus und begnügt sich mit unklaren Definitionen. Beispielsweise soll eine Sekundärnutzung der Daten „zu medizinischen und pflegerischen Forschungszwecken“ sowie „statistischen Zwecken“ erlaubt sein (§ 6 Abs. 1 Nr. 2 und 3 GDNG). Spätestens im Vergleich mit der bisherigen Rechtslage wird deutlich, dass das GDNG hier keine Konkretisierungen vornimmt – bereits jetzt ist die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke und statistische Zwecke erlaubt (Art. 9 Abs. 2 lit. i. und j DSGVO i. V. m. § 27 BDSG). Allerdings wird diese Möglichkeit in der Praxis bisher kaum genutzt. Eine Abgrenzung zwischen Forschung und Statistik bleibt im GDNG weiterhin unbeantwortet. Offen bleibt auch, in welchem Verhältnis die neuen Regelungen zu DSGVO und BDSG stehen sollen und ob Daten von anderen Leistungserbringern mit eigenen Daten kombiniert werden dürfen.

Datenschutzaufsicht im Bereich der Gesundheitsdatennutzung

Schließlich enthält das GDNG Neuerungen bei der Datenschutzaufsicht. In dem geplanten Gesetz ist das Prinzip der Federführung einer Aufsichtsbehörde vorgesehen (§ 5 GDNG). Bei Forschungsvorhaben, die mehr als einer Datenschutzaufsichtsbehörde unterstehen, wird eine primär zuständige Behörde bestimmt (§ 5 Abs. 3 und 4 GDNG). Im ursprünglichen Referentenentwurf sollte die Zuständigkeit des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) signifikant ausgebaut werden. Die geplante Aufsichtszuständigkeit des BfDI über alle Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, sorgt allerdings für Unklarheit und Kritik und taucht in der finalen Fassung nicht mehr auf.

Änderungen im SBG V: Ausbau des FDZ und Datennutzung durch die Kassen

Als Artikelgesetz schaffen die beschlossenen Änderungen perspektivisch nicht nur das neue GDNG – sondern nimmt auch Änderungen im Fünften Buch des Sozialgesetzbuches (SGB V) vor. Zum einen soll das FDZ ausgebaut werden und die neue Schnittstelle für die Gesundheitsdatennutzung werden. Das FDZ ist bereits im SGB V verankert und erschließt Gesundheitsdaten der Krankenkassen in Deutschland (§ 303d SGB V). Die Einrichtung archiviert die Abrechnungsdaten aller gesetzlich Krankenversicherten in Deutschland und macht diese für wissenschaftliche Zwecke zugänglich. Zukünftig soll das Datenzentrum zusätzliche Datenkategorien sowie Daten der Pflegekassen erhalten (§ 303b Abs. 1 SGB V) und erschlossene Gesundheitsdaten auf Antrag berechtigten Nutzer:innen zur Verfügung stellen (§ 303e Abs. 1 SGB V). Zusätzlich werden Daten aus der elektronischen Patientenakte (ePA) automatisiert an das FDZ übermittelt (§ 363 Abs. 1 und 2 SGB V). Hierdurch sollen Daten für Forschungsvorhaben – auch im privatwirtschaftlichen Umfeld – leichter zugänglich gemacht werden. Versicherte mit einer ePA haben die Möglichkeit gegen die Übermittlung ihrer Daten Widerspruch einzulegen (sogenannte Opt-Out-Lösung, § 363 Abs. 5 SGB V).

Zudem gestattet das neue Gesetz den Kranken- und Pflegekassen, künftig die Daten ihrer Versicherten zum individuellen Gesundheitsschutz auszuwerten (§ 25b Abs. 1 SGB V-E). Eine Verarbeitung der bei den Kassen vorhandenen personenbezogenen Daten bedarf keiner Einwilligung der Versicherten – auch hier wird allein ein Widerspruch möglich sein (§ 25b Abs. 3 SGB V-E). Die Widerspruchslösungen sind in Hinblick auf das Recht auf informationelle Selbstbestimmung problematisch, da die Grundeinstellungen ein Datensammeln durch die Kassen und eine Datenübermittlung an das FDZ zulassen.

Wenn die Datenauswertungen eine konkrete Gesundheitsgefährdung ergeben, sollen die Kassen ihre Versicherten auch persönlich ansprechen und „unverbindliche Empfehlungen“ abgeben dürfen (§ 25b Abs. 4 SGB V-E). Damit wird es den Kassen erlaubt, zum einen ungefragt Verdachtsdiagnosen zu erstellen und zum anderen eine Funktion zu übernehmen, die in den originären Aufgabenbereich der Leistungserbringenden– fällt.

Strafbewährte Geheimhaltungspflicht

Anders als noch im Referentenentwurf, sieht die finale Fassung des GDNG eine strafbewährte Geheimhaltungspflicht vor (§§ 7, 9 GDNG). Die Regelung verpflichtet die Nutzer:innen von Gesundheitsdaten, diese nur gemäß den vorgesehenen Zwecken zu verwenden und sie ohne Zustimmung nicht an Dritte weiterzugeben. Das gilt auch in Bezug auf die Gesundheitsdaten bereits verstorbener Personen. Das GDNG macht eine Geheimhaltungspflicht unbedingt notwendig, da durch die neuen Vorschriften Gesundheitsdaten an nicht öffentliche Stellen übermittelt werden, die nicht gemäß SGB I § 35 dem Sozialgeheimnis unterliegen.

Kontroversen im Fokus: Kritische Perspektiven auf den GDNG

Das geplante GDNG stieß im Laufe des Gesetzgebungsverfahren an verschiedenen Stellen auf Kritik seitens der betroffenen Akteure. Ein zentraler Kritikpunkt betrifft zunächst die geplante Möglichkeit der Krankenkassen, auf Basis von Versichertendaten Warnungen vor möglichen Erkrankungen auszusprechen, ohne ausdrückliche Zustimmung der Patienten 25b SGB V-E). Der Deutsche Hausärztinnen- und Hausärzteverband und die Bundesvertretung der Medizinstudierenden in Deutschland e.V. (bmdv) befürchten, dass unspezifische und verunsichernde Verdachtsdiagnosen die Folge wären und prangern eine Kompetenzverschiebung von den Leistungserbringern hin zu den Krankenkassen an. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht das Recht auf Nichtwissen (abgeleitet aus dem Recht auf Informationelle Selbstbestimmung) durch die Opt-Out-Regelung verletzt und warnt vor einer umfassenden Profilbildung durch die automatisierte Auswertung von Versichertendaten.

Aus Sicht des Verbandes Forschender Arzneimittelhersteller e.V. (VFA) könnte die Opt-Out-Regelung für die Übermittlung der Daten aus der ePa außerdem dazu führen, dass uneinheitliche Datensätze aufgrund der Widerspruchsmöglichkeiten zu Verzerrungen in den Forschungsergebnissen führen und den Ressourceneinsatz letztlich wieder erhöhen. Schließlich sei die vorgeschlagene Opt-Out-Regelung in der EU einzigartig und könnte bei internationalen Kooperationen rechtliche Unsicherheiten verursachen bzw. die internationale Kompatibilität negativ beeinträchtigen.

Fazit zum Gesundheitsdatennutzungsgesetz

Durch das hohe legislative Schutzbedürfnis in Bezug auf Gesundheitsdaten ist es entscheidend, bei einer Ausweitung der Verarbeitung von Gesundheitsdaten strenge Sicherheitsstandards und eine effiziente datenschutzrechtliche Aufsicht zu implementieren, um Risiken wie etwa Datenlecks oder unbefugten Verarbeitungen vorzubeugen. Noch bestehen Bedenken hinsichtlich des Datenschutzes und des Rechts auf informationelle Selbstbestimmung. Aus Sicht der Forschenden ist zu gewährleisten, dass das Gesundheitsdatennutzungsgesetz – auch im internationalen Vergleich – wissenschaftliche Projekte im Bereich Gesundheit und Medizin wettbewerbsfähig macht. Es bleibt nun abzuwarten, wie sich die praktische Umsetzung des GDNG und insbesondere die großflächigen Übermittlung sensibler Gesundheitsdaten ausgestaltet.

Das GDNG wird die Nutzung von Gesundheitsdaten erheblich erleichtern. Auch Forschungsvorhaben von Unternehmen der Privatwirtschaft können durch das geplante Gesetz von einem verbesserten Zugang zu Gesundheitsdaten profitieren und müssen nicht mehr eigenständig relevante Daten erheben und aufbereiten oder über Drittanbieter einkaufen. Gleichzeitig erfordern die komplexen Regelungen insbesondere bezüglich Zugang zu den Gesundheitsdaten und Datenschutzvorkehrungen eine präzise rechtliche Einschätzung, um sicherzustellen, dass Unternehmen im Einklang mit den Vorschriften agieren und die neu gewonnenen Potenziale des GDNG optimal nutzen können.

Ihre Experten für Datenschutzrecht

Dr. Philipp Lüghausen, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 210, E-Mail: philip.lueghausen@bho-legal.com

Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com