Forschung mit Gesundheitsdaten: Was die EHDS-Verordnung für Wissenschaft und Industrie bedeutet

Der Umgang mit Gesundheitsdaten in Europa steht vor einem Wandel. Mit der Verordnung über den Europäischen Raum für Gesundheitsdaten (EHDS), Verordnung (EU) 2025/327, hat die Europäische Union ein ambitioniertes Projekt auf den Weg gebracht. Der EHDS zielt darauf ab, die Nutzung von Gesundheitsdaten sowohl für die direkte Patientenversorgung (Primärnutzung) als auch für Forschung und Politik (Sekundärnutzung) neu zu ordnen. Ich bin Fachanwalt für IT-Recht und berate viel im Bereich Forschung. Daher finde ich gerade die Sekundärnutzung spannend. Daher will ich auf sie zuerst eingehen: 

1. Ziele und rechtlicher Rahmen der EHDS-Verordnung

Der EHDS ist Teil der europäischen Datenstrategie und soll einen Binnenmarkt für Gesundheitsdaten schaffen. Nach intensiven Verhandlungen trat die Verordnung am 26. März 2025 in Kraft. Die Anwendung beginnt gestaffelt ab dem 26. März 2027, wobei wesentliche Bestimmungen erst ab dem 26. März 2029 greifen.

Das Regelwerk verfolgt zwei Hauptziele: Einerseits soll der Zugang zu und die Kontrolle über eigene Gesundheitsdaten für Bürger verbessert und die grenzüberschreitende Versorgung erleichtert werden. Andererseits soll ein Rahmen geschaffen werden, der Daten für Forschung, Innovation und politische Entscheidungsfindung nutzbar macht. Dabei bettet sich der EHDS in ein System bestehender Rechtsakte ein, wie die Datenschutz-Grundverordnung (DSGVO), den Data Governance Act und den AI Act, ohne diese zu berühren.

2. Die Sekundärnutzung: Daten für Forschung und Innovation

Kapitel IV des EHDS regelt die Sekundärnutzung, also die Weiterverwendung von Gesundheitsdaten für Zwecke wie wissenschaftliche Forschung, Training von KI-Algorithmen oder politische Planung.

a. Pflichten der Dateninhaber

Der Begriff des "Gesundheitsdateninhabers" ist weit gefasst. Er umfasst Akteure des Gesundheitssektors wie Kliniken, Behörden, Forschungseinrichtungen, aber auch private Unternehmen, die Produkte für den Gesundheitssektor entwickeln. Diese sind verpflichtet, elektronische Gesundheitsdaten auf Anfrage für die Sekundärnutzung bereitzustellen. Dies gilt selbst dann, wenn die Daten durch Geschäftsgeheimnisse oder geistiges Eigentum geschützt sind.

b. Zugangsstellen und das Antragsverfahren

Um den Zugriff zu steuern, richten die Mitgliedstaaten nationale Zugangsstellen für Gesundheitsdaten (Health Data Access Bodies - HDABs) ein. In Deutschland wird diese Rolle voraussichtlich beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt sein.

Der Prozess gestaltet sich wie folgt:

1. Antrag: Datennutzer (Forscher, Unternehmen) stellen einen Antrag bei der Zugangsstelle.

2. Prüfung: Die Zugangsstelle prüft Zweck, Notwendigkeit und Rechtsgrundlage. Zulässige Zwecke sind etwa Forschung oder das Training von Algorithmen. Verboten sind hingegen Zwecke wie Werbung oder diskriminierende Entscheidungen gegen Personen (z.B. durch Versicherungen).

3. Genehmigung: Bei positivem Bescheid wird eine Datenehmigung erteilt.

4. Bereitstellung: Die Daten werden vom Dateninhaber angefordert, aber nicht direkt an den Nutzer herausgegeben. Stattdessen stellt die Zugangsstelle die Daten (in der Regel anonymisiert oder pseudonymisiert) in einer sicheren Verarbeitungsumgebung (Secure Processing Environment - SPE) zur Verfügung.

Beispiel: Ein Start-up möchte eine KI zur Krebserkennung trainieren. Es stellt einen Antrag bei der Zugangsstelle. Nach Genehmigung erhält das Start-up keinen Datensatz auf den eigenen Server, sondern Zugang zur sicheren Umgebung der Behörde, um dort die Algorithmen an den pseudonymisierten Daten trainieren zu lassen.

c. Vereinfachtes Verfahren und HealthData @ EU

Es gibt ein vereinfachtes Verfahren für "vertrauenswürdige Gesundheitsdateninhaber", die Daten direkt über eigene sichere Umgebungen bereitstellen können, ohne die technische Vermittlung der Zugangsstelle, wenngleich die Genehmigung weiterhin dort erteilt wird. Für den grenzüberschreitenden Austausch wird die Infrastruktur "HealthData@EU" geschaffen. Sie vernetzt die nationalen Zugangsstellen und ermöglicht es Nutzern, mit einem einzigen Antrag Daten aus verschiedenen Mitgliedstaaten anzufragen.

3. Die Primärnutzung: Datenfluss in der Patientenversorgung

Kapitel II der Verordnung regelt die sogenannte Primärnutzung. Hierbei geht es um die Verarbeitung von Daten zum Zweck der direkten Gesundheitsversorgung des Einzelnen.

a. Systematische Speicherung und Zugriff durch Heilberufler

Ein Kernstück ist die Verpflichtung der Mitgliedstaaten sicherzustellen, dass Angehörige der Gesundheitsberufe bestimmte "vorrangige Kategorien" personenbezogener elektronischer Gesundheitsdaten in einem elektronischen Patientenakten-System (EHR-System) registrieren. Zu diesen Kategorien gehören unter anderem Patientenkurzakten, elektronische Rezepte, medizinische Bilder, Laborergebnisse und Entlassungsberichte.

Sobald diese Daten registriert sind, müssen Gesundheitsfachkräfte Zugriff darauf haben, um Behandlungen durchzuführen. Dieser Zugriff erfolgt über Dienste für den Zugang von Gesundheitsfachkräften, die je nach nationaler Ausgestaltung öffentlich oder privat organisiert sein können.

Hier stell sich die Frage der Rechtsgrundlage interessant. Die Verordnung selbst verlangt für die Registrierung der Daten keine Einwilligung im Sinne der DSGVO. Vielmehr wird durch nationale Gesetzgebung eine rechtliche Verpflichtung für Heilberufler geschaffen, die als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. c DSGVO dient.

b. Grenzüberschreitende Infrastruktur: MyHealth @ EU

Um den Datenaustausch über Ländergrenzen hinweg zu ermöglichen, wird die Infrastruktur "MyHealth @ EU" etabliert. Nationale Kontaktstellen für digitale Gesundheit vernetzen sich hierbei international. Dies ermöglicht es beispielsweise, dass ein Arzt in Spanien auf die Patientenkurzakte eines Urlaubers aus Deutschland zugreifen kann. Die technischen Anforderungen und Sicherheitsstandards werden dabei maßgeblich durch die EU-Kommission festgelegt.

Die nationalen Kontaktstellen agieren hierbei als gemeinsam Verantwortliche, während die Kommission als Auftragsverarbeiter fungiert. Dies hat erhebliche haftungsrechtliche Konsequenzen für die beteiligten nationalen Stellen.

c. Nationale Behörde für digitale Gesundheit

Die Mitgliedstaaten müssen eine oder mehrere Behörden für digitale Gesundheit benennen. Diese überwachen die Umsetzung der Primärnutzung, stellen die Interoperabilität sicher und bearbeiten Beschwerden von Bürgern, soweit diese nicht in die Zuständigkeit der Datenschutzbehörden fallen.

3. Rechte der natürlichen Personen und Kontrolle

Ein wesentliches Anliegen des EHDS ist es, die Kontrolle der Bürger über ihre sensiblen Gesundheitsdaten zu stärken. Die Artikel 3 bis 10 EHDS sehen hierfür spezifische Rechte vor, die die DSGVO ergänzen.

a. Erweiterte Zugriffs- und Portabilitätsrechte

Bürger erhalten das Recht, unverzüglich und kostenlos auf ihre elektronischen Gesundheitsdaten zuzugreifen. Dies soll über Zugangsienste erfolgen, die Daten in einem leicht lesbaren Format bereitstellen. Darüber hinaus können Personen Informationen in ihre eigene Akte eintragen und unrichtige Daten berichtigen lassen.

Besonders hervorzuheben ist das Recht auf Datenübertragbarkeit. Anders als in Art. 20 DSGVO gilt dieses Recht im EHDS unabhängig von der Rechtsgrundlage der Verarbeitung und umfasst auch abgeleitete Daten. Patienten können ihre Daten also einfacher zu einem anderen Gesundheitsdienstleister "mitnehmen".

b. Protokollierung und Zugriffsbeschränkung

Um Transparenz zu schaffen, haben Bürger das Recht zu erfahren, wer wann und zu welchem Zweck auf ihre Daten zugegriffen hat. Zudem können sie den Zugriff für bestimmte Gesundheitsfachkräfte einschränken oder ganz sperren.

c. Das Widerspruchsrecht (Opt-out)

Ein wichtiger Punkt, der im Gesetzgebungsverfahren eingefügt wurde, ist die Möglichkeit für Mitgliedstaaten, ein absolutes Widerspruchsrecht (Opt-out) einzuführen. Bürger können damit verhindern, dass andere als die eintragenden Heilberufler auf ihre Daten zugreifen. Ich persönlich finde diesen Ansatz zwiespältig: Einerseits stärkt er die individuelle Kontrolle erheblich. Andererseits ist die Umsetzung für die Mitgliedstaaten optional. Das könnte dazu führen, dass das Schutzniveau innerhalb der EU variiert, was der angestrebten Harmonisierung entgegensteht.

5. Datenschutzrechtliche Einordnung und Aufsicht

Ein zentrales Thema in der Diskussion um den EHDS war das Verhältnis zur DSGVO.

a. Rechtsgrundlagen und Sicherungsmaßnahmen

Der EHDS schafft eine unionsrechtliche Grundlage für die Sekundärnutzung. Für Dateninhaber stellt die Bereitstellungspflicht eine rechtliche Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO dar. Für die Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) liefert der EHDS die notwendigen Garantien und Maßnahmen. Datennutzer müssen jedoch weiterhin eine eigene Rechtsgrundlage nach Art. 6 DSGVO vorweisen. Die Zugangsstelle prüft hierbei die Rechtmäßigkeit.

b. Verhältnis zu den Datenschutzbehörden

Die Datenschutzaufsichtsbehörden bleiben für die Durchsetzung der DSGVO ausschließlich zuständig. Die neuen Behörden für digitale Gesundheit und die Zugangsstellen (HDABs) arbeiten eng mit den Datenschutzbehörden zusammen. Bei Verstößen gegen EHDS-spezifische Pflichten können die HDABs Bußgelder verhängen, während Sanktionen bei Datenschutzverstößen Sache der Datenschutzaufsicht bleiben.

c. Widerspruchsrecht bei Sekundärnutzung

Auch für die Sekundärnutzung wurde ein Opt-out-Mechanismus eingeführt (Art. 71 EHDS). Anders als bei der Primärnutzung ist dieser für die Mitgliedstaaten verpflichtend umzusetzen, wobei die genaue Ausgestaltung dem nationalen Recht überlassen bleibt.

6. Fazit und Ausblick für die Forschung

Für die Forschung und Entwicklung bringt der EHDS eine Zäsur. Einerseits wird der Zugang zu hochwertigen Datensätzen massiv erleichtert, da Dateninhaber nun gesetzlich zur Herausgabe verpflichtet sind. Das eröffnet gerade für das Training von KI-Systemen oder für Studien mit seltenen Krankheitsbildern neue Möglichkeiten.

Andererseits darf die DSGVO-Compliance keinesfalls unterschätzt werden. Der erfolgreiche Antrag bei der Zugangsstelle ist kein Freifahrtschein: Forschungseinrichtungen müssen für ihre eigene Nutzung weiterhin eine saubere Rechtsgrundlage nach der DSGVO vorweisen und einhalten. Zudem ist das Verfahren über die zwischengeschalteten staatlichen Stellen (HDABs) und die Nutzung der sicheren Verarbeitungsumgebungen (SPE) administrativ und technisch ggf. aufwendig. Ob sich dieser Zwischenschritt in der Praxis als effizient erweist oder zum Nadelöhr wird, bleibt abzuwarten. Aus meiner Sicht ist es dennoch ein extrem spannender und vielversprechender Ansatz für mehr datengetriebene Forschung in Europa.