Direkt zum Inhalt wechseln

Der European Health Data Space (EHDS) bringt eine Vielzahl an Neuerungen, insbesondere mit Hinblick auf die Zulässigkeit der Sekundärnutzung von Gesundheitsdaten. Über die Regelungsinhalte des EHDS sowie datenschutzrechtliche Herausforderungen gibt der Beitrag einen ersten Überblick.

Seit Anfang Januar liegt der konsolidierte Verordnungstext des European Health Data Space (EHDS) vor. Der EHDS (zu Deutsch: Europäische Raum für Gesundheitsdaten) ist zentraler Bestandteil der europäischen Gesundheitsunion und der erste gemeinsame sektorspezifische EU-Datenraum im Rahmen der EU-Datenstrategie. Er enthält gemeinsame Regeln, Standards und Infrastrukturen sowie einen Governance-Rahmen, um den Zugang zu elektronischen Gesundheitsdaten für die Zwecke der primären und sekundären Nutzung elektronischer Gesundheitsdaten zu erleichtern.

Der EHDS verfolgt dabei drei zentrale Ziele: erstens wird der unionsweite Austausch von Gesundheitsdaten zum Zwecke der Erbringung von Gesundheitsdienstleistungen in der gesamten EU erleichtert. Zweitens werden einheitliche Anforderungen für elektronische Patientendatensysteme aufgestellt. Mit den Regelungen zur sogenannten Sekundärnutzung wird zudem ein einheitlicher Regulierungsrahmen für die Weiterverwendung von Gesundheitsdaten insbesondere zu Forschungszwecken geschaffen.

Die Regelungen des EHDS werden zwei Jahre nach Inkrafttreten durch Veröffentlichung im Amtsblatt der Europäischen Union (demnächst zu erwarten) anwendbar sein. Für einzelne Kapitel und Vorschriften bestehen aber großzügigere Fristen von vier bis sechs Jahren (vgl. dazu im Einzelnen Art. 105 EHDS).

Im Folgenden ein erster Überblick über den Verordnungstext des EHDS sowie ein erster Fokus auf zentrale datenschutzrechtliche Fragestellungen und Herausforderungen.

 

  1. Überblick über den Verordnungstext des EHDS

Der Regelungsrahmen des EHDS gliedert sich in neun Kapitel. Im ersten Kapitel befinden sich die allgemeinen Bestimmungen und Begriffsdefinitionen. Die Anwendbarkeit des EHDS bezieht sich auf elektronische Gesundheitsdaten (vgl. Art. 2 Abs. 2 lit. c EHDS), d.h. sowohl in personenbeziehbarer als auch nicht-personenbeziehbarer Form (Art. 2 Abs. 2 lit. a und b EHDS).

Im Verhältnis zur DSGVO wird in Art. 1 Abs. 3 EHDS klargestellt, dass die DSGVO unbeschadet der Vorschriften des EHDS gilt („without prejudice“), die DSGVO also unberührt lässt. Dieser bereits aus anderen jüngeren EU-Rechtsakten bekannte Ansatz, der in der Regel mehr Fragen aufwirft als sie zu beantworten, ist in Bezug auf den EHDS bemerkenswert, da durch den EHDS gerade spezielle datenschutzrechtliche Themen in Bezug auf elektronische Gesundheitsdaten spezifischer geregelt werden. Der EHDS regelt folglich aktiv das Verhältnis zur DSGVO durch Verweisungen und Bezugnahmen sowie unter Nutzung von Ausgestaltungsmöglichkeiten, welche die DSGVO ermöglicht; beispielsweise auf den Gebieten der Betroffenenrechte oder Erlaubnissen zur Datenverarbeitung.

Kapitel II (Artt. 3 bis 24 EHDS) regelt die Primärnutzung von elektronischen Gesundheitsdaten. Unter der Primärnutzung versteht man dabei die Verarbeitung elektronischer Gesundheitsdaten für die Erbringung von Gesundheitsdienstleistungen einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten sowie für soziale und administrative Dienste sowie die Kostenerstattung (Art. 2 Abs. 2 lit. d EHDS). Zentraler Bestandteil sind hierbei spezielle Kontrollrechte der Patientinnen und betroffenen Personen (u,a. Anspruch auf Zugang, Einschränkungen, Informationserhalt) sowie Vorgaben zum Datenzugang durch Angehörige eines Gesundheitsberufs. Die prominenteste Regelung findet sich in Art. 10 EHDS, welche den Mitgliedsstaaten die Möglichkeit eröffnet, einen Opt-Out-Mechanismus für den Zugang zu elektronischen Gesundheitsdaten innerhalb eines elektronischen Patientendatensystems vorzusehen.

In Kapitel III (Artt. 25 bis 49 EHDS) sind einheitliche Regelungen für elektronische Patientenaktensysteme („EHR-Systems“) festgehalten. Hierbei stehen vor allem Interoperabilität- und Protokollierungskomponenten im Fokus.

Kapitel IV (Artt. 50 bis 81 EHDS) regelt dann die Sekundärnutzung von elektronischen Gesundheitsdaten. Hierbei wird die Sekundärnutzung elektronischer Gesundheitsdaten für festgelegte den Zugangsanspruch begründende Zwecke erheblich erleichtert und einheitlichen Regelungen unterworfen. Das Forschungsprivileg der DSGVO wird durch ein regelbasiertes Gesundheitsdatennutzungskonzept ohne Einwilligungselemente spezieller ausgeformt. Zentrales Element ist ein Datenzugangsmechanismus, welcher Dateninhaber zur Bereitstellung verpflichtet und einen klar definierten Ablauf bei nationalen Zugangsstellen vorsieht. Artikel 53 Abs. 1 EHDS legt dabei die Zwecke fest, für welche eine Sekundärnutzung erlaubt wird. Neben der Forschung werden hier auch Policy-Making, Regulierungstätigkeiten sowie Bildungs- und Innovationszwecke ausdrücklich genannt.

 

  1. EHDS-Vorschriften mit datenschutzrechtlicher Bedeutung bei der Sekundärnutzung

Der EHDS beinhaltet eine Vielzahl an speziellen datenschutzrechtlichen Vorschriften für die Sekundärnutzung von elektronischen Gesundheitsdaten. Die Sekundärnutzung wird dabei als die Verarbeitung elektronischer Gesundheitsdaten für die in Kapitel IV des EHDS festgelegten Zwecke definiert, die sich von den initialen Erhebungszwecken unterscheiden (vgl. Art. 2 Abs. 2 lit. e EHDS). In Bezug auf die gängigen datenschutzrechtlichen Terminologien (z.B. Verarbeitung, Verantwortlicher oder personenbezogene Daten) besteht ein Verweis auf die DSGVO (Art. 2 Abs. 1 lit. a EHDS).

Ein Überblick zu den wichtigsten Regelungen:

  • Art. 53 EHDS legt die Zwecke fest, zu welchen elektronische Gesundheitsdaten im Wege der Sekundärnutzung verarbeitet werden dürfen;
  • Artt. 55 bis 65 EHDS regeln den Governance-Rahmen der Sekundärnutzung, d.h. es erfolgt einerseits eine Definition der Rolle, Aufgaben und Pflichten der sog. „Health data access bodies“ (vgl. auch ErwG 64 ff.) sowie der Pflichten von Dateninhabern (Art. 2 Abs. 2 lit. t EHDS) und Datennutzern (Art. 2 Abs. 2 lit. u EHDS);
  • Artt. 66 ff. EHDS beinhalten die Verfahrensvorschriften für den Datenzugangsmechnismus zu elektronischen Gesundheitsdaten (insbesondere Antragsstellung und Erlaubniserteilung);
  • Art. 71 EHDS sieht ein unionsweites Opt-out-Recht der Patientinnen bzw. betroffenen Person vor, welches im Gegensatz zum Opt-out-Recht im Rahmen der Primärnutzung nicht von einer Umsetzung im jeweiligen Mitgliedsstaat abhängt;
  • Art. 74 EHDS beinhaltet eine Zuweisung von datenschutzrechtlichen Rollen für die verschiedenen Akteure und Verarbeitungsabschnitte im Rahmen der Sekundärnutzung;
  • Artt. 86 ff. EHDS beinhalten eine Vielzahl an Vorgaben zu Art und Ort der Speicherung elektronischer Gesundheitsdaten sowie zur Übermittlung in Drittländer und dem Zugriff aus Drittländern.

Darüber hinaus enthält Kapitel IV weitere Vorgaben zu Verarbeitungsgarantien (insb. anonymisierte Verarbeitung der elektronischen Gesundheitsdaten als Regelfall, vgl. Art. 66 Abs. 2 EHDS, verbotenen Sekundärnutzungszwecken und ein Verbot der Reidentifikation, Art. 61 Abs. 3 EHDS) und Anforderungen an die sichere Verarbeitungsumgebung (Art. 73 EHDS). Abschnitt 5 in Kapitel IV sieht abschließend noch Vorschriften für die Beschreibung, Qualität und Kennzeichnung von Datensets vor.

 

  1. Erste datenschutzrechtliche Einordnung der EHDS-Vorschriften

Der EHDS enthält sowohl für die Primär- als auch Sekundärnutzung eine Erlaubnis zur Verarbeitung elektronischer Gesundheitsdaten. Bei der Primärnutzung, d.h. der Behandlung und Versorgung im Gesundheitsbereich, ist dies bereits regelmäßig durch Art. 6 Abs. 1 UAbs. 1 lit. b und Art. 9 Abs. 2 lit. h DSGVO legitimiert. Dies aufgreifend benennt ErwG 19, dass der EHDS Bedingungen und Garantien für die Verarbeitung elektronischer Gesundheitsdaten gem. Art. 9 Abs. 2 lit. h DSGVO vorsieht, beispielsweise detaillierte Bestimmungen zur Protokollierung des Zugriffs auf personenbezogene elektronische Gesundheitsdaten, um gegenüber den betroffenen Personen Transparenz zu schaffen. Neu ist aber hier, dass dies ausdrücklich für „electronic health data access services“ (Art. 2 Abs. 2 lit. h EHDS) gelten soll, deren Bereitstellung eine im öffentlichen Interesse zugewiesene Aufgabe nach Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO darstellt.

Bei der Sekundärnutzung beinhaltet der EHDS die nach Art. 9 Abs. 2 lit. g bis j DSGVO erforderliche Ausgestaltung für die Verarbeitung personenbezogener elektronischer Gesundheitsdaten („[…] this Regulation provides for a legal basis for the secondary use of personal electronic health data, including the safeguards required under Article 9(2), points (g) to (j), of Regulation (EU) 2016/679 […]”). Nach ErwG 52 sind dabei folgende Konstellationen bzw. Verarbeitungsschritte erfasst:

  • Verpflichtung des Inhabers elektronischer Gesundheitsdaten zur Bereitstellung nach Art. 6 Abs. 1 UAbs. 1 lit. c und Art. 9 Abs. 2 lit. i und j DSGVO an die Zugangsstelle (siehe auch Art. 60 Abs. 1 EHDS);
  • Die Verarbeitung elektronischer Gesundheitsdaten durch die Zugangsstelle ist durch Art. 6 Abs. 1 UAbs. 1 lit. e und Art. 9 Abs. 2 lit. g bis j DSGVO gerechtfertigt;
  • Die Verarbeitung pseudonymisierter elektronischer Gesundheitsdaten zu Sekundärzwecken ist nach Art. 6 Abs. 1 UAbs. 1 lit. e oder f (hierzu müssen im Rahmen der Antragstellung Angaben gemacht werden, vgl. Art. 67 Abs. 4 EHDS) und Art. 9 Abs. 2 g bis j DSGVO nach Erteilung der Datengenehmigung (Art. 68 EHDS) zulässig.

Die Erhebung der elektronischen Gesundheitsdaten unterliegt den Vorgaben der DSGVO. Für den Regelfall, d.h. die Nutzung elektronischer Gesundheitsdaten in anonymisierter Form durch den Antragsteller, wird mangels vorhandenem Personenbezug der elektronischen Gesundheitsdaten keine datenschutzrechtliche Rechtfertigungsgrundlage benötigt. Art. 9 Abs. 4 DSGVO wird im Übrigen durch den EHDS in Bezug auf elektronische Gesundheitsdaten verdrängt. Insgesamt wird durch den EHDS eine harmonisierende Ausformung des Forschungsprivilegs der DSGVO vorgenommen.

Beachtenswert ist noch, dass der konsolidierte Verordnungstext im Gegensatz zum Verordnungsentwurf im Anwendungsbereich keine explizite Erstreckung mehr auf innerhalb der EU ansässige Auftragsverarbeiter, die elektronische Gesundheitsdaten verarbeiten, enthält (vgl. Art. 1 Abs. 3 lit. b EHDS-E). Hier drängte sich die Frage auf, inwiefern dadurch Auftragsverarbeiter auch zum Kreis der bereitstellungsverpflichteten Dateninhaber zählen. Ebenso enthält der konsolidierte Verordnungstext keine Anordnung der gemeinsamen Verantwortlichkeit von Zugangsstelle und Datennutzer mehr (vgl. ErwG 55 und Art. 51 EHDS-E). Vielmehr werden in Art. 74 Abs. 1 EHDS nur noch singuläre Verantwortlichenrollen definiert. Zudem soll die Zugangsstelle als Auftragsverarbeiter des Datennutzers in Bezug auf die Ermöglichung des Zugangs zu den elektronischen Gesundheitsdaten in der sicheren Verarbeitungsumgebung gelten.

 

  1. Ausblick

Der EHDS schafft insbesondere für die Sekundärnutzung einen einheitlichen und vereinfachten Legitimationsrahmen. Es verbleiben jedoch einige datenschutzrechtliche Fragezeichen und Unklarheiten, angefangen über die Zusammenarbeit der nationalen Zugangsstellen und den nationalen Datenschutzaufsichtsbehörden über das Verhältnis des EHDS zu DSGVO, anderen europäischen Rechtsakten wie dem Data Act (im Falle von nicht-personenbezogenen elektronischen Gesundheitsdaten) und nationalen Regelungen wie dem GDNG bis hin zur Belastbarkeit der Kongruenz zwischen Art. 9 Abs. 2 lit. g bis j DSGVO und den zulässigen Zwecken aus Art. 53 EHDS. Hier ist insbesondere zu erwarten, dass die Erwähnung von KI-Training (Art. 53 Abs. 1 lit. e EHDS) Gegenstand rechtlicher Diskussionen wird. Offen ist bislang auch, ob und in welchem Umfang Forschungsprojekte mit kommerziellem Schwerpunkt von den Regelungen profitieren können.