European Health Data Space (EHDS) neue Möglichkeiten der Nutzung medizinischer Daten

Im Mai 2022 hat die EU-Kommission den Entwurf für eine Verordnung über einen „European Health Data Space“ (EHDS) vorgelegt (COM(2022) 197 final). Gleichzeitig hat die Bundesregierung im Koalitionsvertrag zwei Gesetzesprojekte vereinbart, über die eine ähnliche Zielrichtung verfolgt wird. Über beide Projekte – wenn sie so umgesetzt werden – werden ganz neue Wege der Verwertung von medizinischen Daten möglich.

European Health Data Space

Ziel der EU-Kommission ist es, die Nutzung und den Austausch von Gesundheitsdaten in der Europäischen Union zu verbessern, um mit den Entwicklungen im Ausland Schritt zu erhalten. Ein einschneidendes „Erlebnis“ dürfte dabei unter anderem gewesen sein, dass man während der Hochzeit der Corona-Pandemie auf Daten zum Pandemiegeschehen aus dem Ausland, wie z. B. Israel und Großbritannien, angewiesen war, während derart umfassende Daten innerhalb der Europäischen Union nicht zugänglich waren, da diese – mit den Worten von Bundesminister Karl Lauterbach – in „Datensilos“ isoliert waren. Zur besseren Nutzbarkeit der Daten sollen verschiedene branchenspezifische Datenräume geschaffen werden. Neben Datenräumen für Gesundheitsdaten sollen z. B. auch Datenräume für Mobilitätsdaten geschaffen werden. Dateninhaber sollen dann ihre Daten für bestimmte, definierte Datennutzer zur Verfügung zu stellen haben. Die erste konkrete Umsetzung eines solchen Datenraumes liegt nun über die Verordnung zum Europäischen Gesundheitsdatenraum vor bzw. – in Englisch – zum European Health Data Space.

Der Entwurf der Verordnung über den European Health Data Space (EHDS) besteht aus zwei maßgeblichen Bestandteilen: der Primärnutzung von Gesundheitsdaten und der Sekundärnutzung von Gesundheitsdaten.

Primärnutzung von Gesundheitsdaten

Im Rahmen der Primärnutzung elektronischer Gesundheitsdaten sollen zwei Teilaspekte erreicht werden:

Zum einen gilt es, den Austausch von Daten unter den verschiedenen Mitgliedstaaten der EU zu erleichtern. Hierzu soll zunächst eine zentrale europäische Plattform für die digitale Gesundheit geschaffen werden. Der Verordnungsentwurf sieht hierzu bereits einen konkreten Namen vor: „MyHealth@EU“. Zum anderen soll ein einheitliches Austauschformat für elektronische Patientenakten und -daten definiert werden, damit der Austausch über die verschiedenen Mitgliedstaaten hinweg technisch auch möglich wird.

Zum anderen sollen Vorgaben für die Software für elektronische Patientenakten erfolgen. Die englische Bezeichnung hierfür lautet: Electronic Health Records („EHR“). Über die EHDS-VO werden sodann verschiedene Anforderungen an eine solche EHR gestellt – grob vergleichbar mit den Anforderungen eines Klasse-I-Produkts gemäß der EU-Medizinprodukteverordnung („MDR“). Insbesondere erfolgen Vorgaben zur Interoperabilität, Kompatibilität und Sicherheit.

Sekundärnutzung elektronischer Gesundheitsdaten

Der zweite maßgebliche Teil der EHDS-VO bezieht sich auf die Sekundärnutzung elektronischer Gesundheitsdaten. Darunter wird verstanden, dass im Datenraum vorhandene Daten für weitere Zwecke, insbesondere der medizinischen Forschung, verwendet werden sollen und dürfen.

Danach sollen – grob skizziert – sogenannte Datennutzer bei einer nationalen Stelle einen Antrag auf Zugang zu Daten bei sogenannten Dateninhaberin stellen können. Die nationale Stelle erteilt dann gegebenenfalls eine Datengenehmigung infolge derer ein Dateninhaber die Daten bereitzustellen hat. Dateninhaber können dabei auch MedTech-Unternehmen sein. Die Daten können sogar Daten aus Medizinprodukten umfassen.

Vorgesehen ist, dass Datennutzer die Daten in einer „sicheren Umgebung“ einsehen dürfen. Damit ist im Wesentlichen eine Art Log-In im MyHealth@EU-Portal gemeint – im Unterschied zu einem Download der Daten. Ein Download von Daten soll lediglich hinsichtlich nicht personenbezogener elektronischer Gesundheitsdaten möglich sein.

Kritik

Der Verordnungsentwurf zum EHDS erfährt gegenwärtig erhebliche Kritik:

  • Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) erachten den Entwurf der EHDS-VO als gegenwärtig unvereinbar mit dem Datenschutzrecht und sehen selbst eine Verletzung der EU-Grundrechte-Charta, in der der Datenschutz ebenfalls verankert ist.

  • Kritikpunkt ist ebenfalls, dass auch schlichte Wellness-Apps erfasst sein sollen, also Software, die die Schwelle zum Medizinprodukt nicht erreicht hat. Wenn hierüber z. B. auch Daten aus Fitnesstrackern erfasst werden, ergeben sich unter zwei Aspekten erhebliche Bedenken: Zum einen ist eine andere Datenqualität zu vermuten als bei Daten, die über ein zertifiziertes Medizinprodukt erstellt worden sind. Zum anderen werden über derartige Wellnessapps (z. B. eine Fitness-Armbanduhr) wesentlich umfangreichere Daten über eine Person im Verlauf eines Tages zusammengestellt. Die Speicherung und die Zugänglichmachung dieser Daten ermöglicht einen ungleich umfassenderen Einblick in den Alltag und damit auch die Persönlichkeit der Betroffenen als ein punktueller Blick beispielsweise über die Anfertigung eines Röntgenbildes zu einem bestimmten Zeitpunkt.

  • Zudem wird kritisiert, dass der uralte Grundsatz bei der Verarbeitung von Gesundheitsdaten, nämlich das Patientengeheimnis und die ärztliche Schweigepflicht, kaum mehr gesonderte Beachtung finden.

  • Ebenfalls ergeben sich erhebliche Bedenken im Hinblick auf die Frage, ob tatsächlich eine Pseudonymisierung der Daten gelingt, oder ob aufgrund der Möglichkeit von Zusammenlegungen mit weiteren Daten oder aus Inferenzbildungen doch ein Personenbezug hergestellt werden kann.

  • Weitere Streitpunkte betreffen die Frage der Verpflichtung zur Mitwirkung bzw. der „ungefragten“ Einstellung dieser Daten, ggf. ohne Opt-out-Regelung.

  • Ferner wird gefordert, dass eine Datengenehmigung nicht durch eine nationale Behörde erteilt werden soll, sondern durch eine einheitliche europäische Stelle, die auch eine ethische Beurteilung durchführen solle. Derart könnten unterschiedliche Entscheidungspraxen vermieden werden und auch ein sog. „race to the bottom“, wonach von Datennutzern vorzugsweise diejenige Stelle angefragt werden würde, die in der Verwaltungspraxis die geringsten Hürden aufgebaut hat.

  • Schließlich wird die fehlende Abstimmung zu den Regelungen der DSGVO beanstandet. In dem Entwurf zur EHDS-VO findet sich zwar die Regelung, dass sie DSGVO unberührt bleiben soll. Dennoch stellen sich vielfältige Fragen z. B. zum Zusammenspiel mit der Regelung zu besonderen Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten) gemäß Art. 9 DSGVO.

Parallele Bestrebungen in Deutschland

Im Koalitionsvertrag wurden zwei parallele Projekte vereinbart, nämlich ein Gesundheitsdatennutzungsgesetz sowie ein Registergesetz.

Gesundheitsdatennutzungsgesetz

Das Gesundheitsdatennutzungsgesetz ist gegenwärtig lediglich im Koalitionsvertrag genannt. Ein Entwurf liegt noch nicht vor. Auf Antrag von Baden-Württemberg hat der Bundesrat im Dezember 2022 zugestimmt. Der Bund ist nun aufgefordert, zügig ein Gesetz zur Gesundheitsdatennutzung als Entwurf vorzulegen.

Ziel ist die bessere wissenschaftliche Nutzung von Gesundheitsdaten im Einklang mit der DSGVO. Es soll insbesondere eine dezentrale Forschungsdateninfrastruktur geschaffen werden. Es bestehen insoweit vielfältige Parallelen zur EHDS-VO, sodass die nationalen Ausgestaltungen dann auch mit den Regelungen aus der kommenden EHDS-VO abgestimmt werden müssen.

Registergesetz

Auch das Registergesetz ist lediglich im Koalitionsvertrag genannt. Ein Gesetzesentwurf liegt noch nicht vor.

In Deutschland bestehen über 350 verschiedene medizinisch-wissenschaftliche Register – einige gesetzlich vorgegeben und viele auf freiwilliger Basis. Ziel des Registergesetzes ist es, einen Beitrag zur Verbesserung des Zugangs zu und der Nutzbarkeit von vorhandenen medizinischer Registerdaten für die Forschung und Versorgung zu leisten. Insoweit soll eine gewisse Vereinheitlichung erfolgen. Die Gesetzgebung schließt sich insoweit an einige Aspekte aus dem Digitale-Versorgung-Gesetz (DVG) der Vorgängerregierung an, z. B. mit Blick auf das Forschungsdatenzentrum (FDZ). Ein großer Streit wird auch hier die Frage werden, inwieweit Daten dem Register zugeführt werden dürfen, insbesondere ob eine Einwilligung erforderlich ist, oder ob ein bloßer Widerspruch (Opt-out) vorgesehen werden kann.

Fazit

Die Gesetzgebung im Bereich der „Nutzbarmachung“ von medizinischen Daten hat durch den Entwurf der EHDS-VO sowie durch die beiden beabsichtigten nationalen Gesetze, dem Gesundheitsdatennutzungsgesetz und dem Registergesetz, neuen Aufwind erfahren. Es besteht insoweit die Hoffnung, dass der Zugang zu Gesundheitsdaten wesentlich erleichtert wird und weitere Möglichkeiten zur Forschung und v. a. kommerziellen Verwertung entstehen werden. Es ist jedoch auch zu konstatieren, dass die gegenwärtigen gesetzgeberischen Entwürfe bzw. ihre Vorstadien erheblicher Kritik ausgesetzt sind. Sollte diese im Rahmen der weiteren Gesetzgebung nicht ausgeräumt werden können, steht zu befürchten, dass erhebliche Unwirksamkeitsbedenken bei der Anwendung der neuen Regelungen und der Nutzung der neuen Möglichkeiten bestehen. Es gilt dann genau zu beurteilen, welche Maßnahmen auf der Grundlage der neuen Gesetze – oder perspektivisch schon zuvor – ergriffen werden können, ohne ein zu großes rechtliches Risiko einzugehen.

Stand: 1. März 2023