Der Europäische Gesundheitsdatenraum (European Health Data Space – EHDS) soll als EU-Initiative Gesundheitsdaten grenzüberschreitend verfügbar machen. Damit werden Patienten, Gesundheitsdienstleistern sowie Forschenden neue Möglichkeiten eröffnet. Die am 26. März 2025 in Kraft getretene EHDS-Verordnung schafft den dafür notwendigen Rechtsrahmen. Wir erklären die neuen Vorgaben für Unternehmen im Gesundheitssektor.
Was ist der Europäische Gesundheitsdatenraum?
Der EHDS stellt eine digitale Infrastruktur dar, mit der ermöglicht werden soll, Gesundheitsdaten länderübergreifend zu standardisieren und auszutauschen.
Damit wird das Ziel verfolgt, die medizinische Versorgung zu verbessern, die wissenschaftliche Forschung zu fördern und die Effizienz im Gesundheitswesen zu steigern. So können zum Beispiel Ärzte im Notfall auf vollständige und aktuelle Informationen zugreifen, auch wenn der Patient aus einem anderen EU-Mitgliedstaat stammt. Dies soll eine bessere Patientenversorgung gewährleisten.
Gleichzeitig werden Forschende durch einen strukturierten und einfachen Zugang zu anonymisierten Daten unterstützt, um die Entwicklung innovativer digitaler Gesundheitslösungen und den wissenschaftlichen Fortschritt voranzutreiben.
Primäre und sekundäre Datennutzung im EHDS
Dabei wird zwischen der Primär- und der Sekundärnutzung von Daten unterschieden:
Einerseits ermöglicht der EHDS Betroffenen länderübergreifend auf ihre Gesundheitsdaten digital zuzugreifen und zu nutzen (Primärnutzung), da Gesundheitsdienstleister (z. B. Kliniken oder Arztpraxen) verpflichtet sind, die relevanten Daten zur unmittelbaren medizinischen Versorgung zu erfassen. Hierfür hat die EU durch den EHDS einen interoperablen Rahmen geschaffen, in dem nationale Systeme – wie die elektronische Patientenakte (ePA) in Deutschland – über standardisierte Schnittstellen vernetzt werden. Die konkrete Umsetzung – also die Schaffung solcher Zugangsportale – liegt dabei in der Verantwortung der jeweiligen Mitgliedstaaten.
Andererseits wird bei der sekundären Datennutzung sichergestellt, dass Gesundheitsdaten vertrauenswürdig für wissenschaftliche Forschung sowie für gesundheitspolitische Maßnahmen eingesetzt werden können. Die Verantwortung zur Datenbereitstellung liegt bei den Inhabern der Gesundheitsdaten.
Betroffene sollen die Möglichkeit haben, auf ihre Daten über digitale Zugangsangebote zugreifen zu können, wobei die Mitgliedstaaten deren Bereitstellung gewährleisten müssen. Die ePA kann in Deutschland im Rahmen des EDHS als entscheidende Anlaufstelle sowohl für Patienten als auch für Gesundheitsdienstleister genutzt werden.
Die EHDS-Verordnung räumt den EU-Mitgliedsstaaten Spielraum ein, nationale Regelungen erlassen, die es Betroffenen erlauben, dem Zugriff auf ihre Gesundheitsdaten im Rahmen der Primär- und Sekundärnutzung zu widersprechen.
Bezüglich der Datenerfassung für Primärzwecke können die im Digital-Gesetz (DigiG) vorgesehenen Opt-out-Möglichkeiten bestehen bleiben. Patienten können damit selbst über die Datenweitergabe und deren Nutzung entscheiden.
Für die Sekundärnutzung – also die Weitergabe für Forschungs- und Innovationszwecke – sieht der EHDS ein Widerspruchsrecht verpflichtend vor. Die Sekundärnutzung ist also grundsätzlich freigegeben, sofern kein ausdrücklicher Widerspruch dagegen erhoben wurde (Opt-out-Prinzip). Allerdings können die Mitgliedsländer festlegen, dass in bestimmten, klar definierten Fällen auf das Widerspruchsrecht verzichtet wird.
EHDS-Verordnung als neuer Rechtsrahmen
Die EHDS-Verordnung bildet dabei nicht nur gesetzliche Grundlage für den europäischen Austausch von Gesundheitsdaten, sondern schafft auch neue Verarbeitungsbefugnisse. Sie legt fest, unter welchen Bedingungen und für welche Zwecke Gesundheitsdaten verarbeitet werden dürfen und wer unter welchen Bedingungen auf Gesundheitsdaten zugreifen darf. Dadurch erhalten Verantwortliche (z. B. Gesundheitsdienstleister, Dateninhaber) klare, verbindliche Handlungsanweisungen, die über bisherige unklare Regelungen hinausgehen.
Darüber hinaus definiert die EHDS-Verordnung klare Kriterien zur Sicherstellung der Datenqualität und Interoperabilität zwischen den nationalen Systemen.
Die Regelungen sind in bestehende Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) sowie nationale Regelungen eingebettet. Die EHDS-Verordnung ergänzt und konkretisiert also die Vorgaben der DSGVO. Sie schließt keine inhaltlichen Lücken, sondern schafft einen zusätzlichen, spezialisierten Rahmen für Gesundheitsdaten. Die bestehenden DSGVO-Regeln, insbesondere in Bezug auf die Verarbeitung sensibler personenbezogener Daten (Art. 9 DSGVO), bleiben erhalten und werden durch Regelungen, die den Gesundheitssektor betreffen, ergänzt. Damit können personenbezogener Daten umfassend geschützt werden, während gleichzeitig ein effizienter Datenaustausch ermöglicht wird.
Zusätzlich können nationale Regelungen erlassen werden, um spezifische nationale Details zu regeln – wie etwa in Bezug auf das Widerspruchsrecht. Diese nationale Umsetzung muss jedoch mit dem übergeordneten EU-Rahmen kompatibel sein.
Datenschutz und Informationssicherheit im EHDS
Das Hauptziel des EHDS besteht darin, die Vorteile eines länderübergreifenden Datenaustauschs zu nutzen und gleichzeitig die Vorgaben zum Datenschutz und zur Informationssicherheit einzuhalten.
Die Verordnung verpflichtet alle beteiligten Akteure dazu, offen und transparent darüber zu informieren, wie und zu welchen Zwecken Gesundheitsdaten verarbeitet werden. Dadurch behalten betroffene Personen die Kontrolle über ihre persönlichen Daten und können ihre Rechte, wie etwa das Recht auf Auskunft über den Zugriff auf Daten (Art. 9 EHDS-Verordnung), uneingeschränkt ausüben. Das gilt nicht nur gegenüber den primären Gesundheitseinrichtungen, sondern auch gegenüber sekundären Datenverarbeitern wie Forschungseinrichtungen und anderen berechtigten Nutzern.
Darüber hinaus schreibt die EHDS-Verordnung hohe technische und organisatorische Sicherheitsstandards vor, die den Schutz der Daten gewährleisten sollen. Dies umfasst unter anderem Maßnahmen wie die Verschlüsselung von Daten, strenge Zugangskontrollen sowie regelmäßige Sicherheitsüberprüfungen gem. Art. 32 DSGVO.
Allerdings fordert die EHDS-Verordnung aufgrund der besonderen Sensibilität und des grenzüberschreitenden Charakters von Gesundheitsdaten deutlich höhere, teilweise ergänzende Sicherheitsanforderungen. Diese hohen Standards sollen sicherstellen, dass die Datenintegrität und -vertraulichkeit auch im Kontext komplexer, internationaler Netzwerke gewährleistet sind.
Insbesondere im Kontext der zunehmenden Digitalisierung des Gesundheitswesens ist es notwendig, dass ein robustes Risikomanagement betrieben und potenzielle Cyberangriffe frühzeitig abgewehrt werden. Daher sieht die Verordnung in Art. 73 Abs. 5 vor, dass die EU-Kommission bis um 26. März 2027 Zeit hat, die speziellen Anforderungen an ein hohes Sicherheitsniveau zu konkretisieren.
Die Zusammenarbeit auf europäischer Ebene spielt hierbei eine zentrale Rolle, da durch den Austausch von Best Practices und eine gemeinsame Bewältigung von Sicherheitsvorfällen das Vertrauen der Betroffenen in den sicheren Umgang mit ihren Gesundheitsdaten gestärkt werden kann.
Anforderungen an EHR-Systeme
Bezüglich EHR-Systeme (Systeme für elektronischen Gesundheitsaufzeichnungen, wie die elektronische Patientenakte) gelten darüber hinaus weitere Anforderungen:
- Bisher waren Gesundheitsdienstleister grundsätzlich verpflichtet, Gesundheitsdaten zu erfassen. Künftig müssen sie darüber hinaus bestimmte Informationen in EHR-Systeme dokumentieren (vgl. Art. 13 EHDS-Verordnung).
- Außerdem müssen EHR-Systeme zwei einheitliche Komponenten enthalten: eine Interoperabilitäts- sowie eine Protokollierungskomponente, die Datenzugriffe erfasst (vgl. Art. 25 EHDS-Verordnung).
- Hersteller sind dazu angehalten,
- ihre Systeme mit einer aktuellen technischen Dokumentation zu versehen (Art. 37 EHDS-Verordnung),
- eine EU-weite Konformitätserklärung abzugeben (Art. 39 EHDS-Verordnung),
- die CE-Kennzeichnung anzubringen (Art. 41 EHDS-Verordnung) und
- sich in der EU-Datenbank zu registrieren (Art. 49 EHDS-Verordnung).
Neue Pflichten für Unternehmen im Gesundheitssektor
Um den angestrebten Standard zu verwirklichen, wurde mit der EHDS-Verordnung ein umfassendes Regelwerk über die jeweiligen Rechte und Pflichten der betreffenden Akteure geschaffen.
Pflicht zur Datenerfassung
Gesundheitsdienstleister, darunter nicht nur einzelne Fachkräfte, sondern auch Klinikverbünde und direkt operative tätige Einrichtungen, sind in der EU verpflichtet, Daten für die unmittelbare medizinische Versorgung (Primärzwecke) zu erfassen.
Übermittlungspflichten
Gesundheitsdateninhaber müssen ihre Daten über die EHDS-Infrastruktur an autorisierte Zugangsstellen übermitteln. Diese Stellen gewährleisten den kontrollierten Zugriff für berechtigte Nutzer wie Forschungseinrichtungen und Unternehmen. Die konkrete Umsetzung bleibt dabei im Zusammenspiel zwischen der EHDS-Verordnung, der DSGVO und den nationalen Regelungen.
Zugangsregelungen
Fachkräfte im Gesundheitswesen erhalten spezielle Rechte, um Daten für Primärzwecke abzurufen. Zugangs- und Nutzungserlaubnisse für Daten, die zu Forschungs- oder Entwicklungszwecken verwendet werden (Sekundärzwecke), werden an weitere berechtigte Nutzer wie Forschungseinrichtungen und Unternehmen vergeben. Dies umfasst wissenschaftliche Forschung und Entwicklungsprojekte im Gesundheitswesen und schließt eine generelle Monetarisierung (etwa für Werbung) aus.
Regelungen für EHR-Systeme
Hersteller, Importeure und Anbieter von Softwarelösungen und Geräten für die elektronische Gesundheitsaufzeichnung (EHR-Systeme) müssen strenge Prüf-, Standardisierungs- und Dokumentationsvorgaben erfüllen. In Deutschland fällt die ePA als nationales Instrument zur digitalen Gesundheitsaufzeichnung unter die Anforderungen der EHDS-Verordnung.
Außerdem legt die Verordnung in Art. 14 genau fest, welche Arten von Gesundheitsdaten bereitgestellt werden müssen. Der Schutz der Privatsphäre wird dadurch gewährleistet, dass in der Regel ausschließlich anonymisierte Daten weitergegeben werden. Eine Verarbeitung pseudonymisierter Daten erfolgt nur in Ausnahmefällen und mit besonderer Begründung gem. Art. 67 Abs. 2 lit. e) EHDS-Verordnung, etwa wenn eine vollständige Anonymisierung den wissenschaftlichen Erkenntnisgewinn erheblich beeinträchtigen würde.
Wer kann die Sekundärnutzung beantragen?
Sowohl natürliche als auch juristische Personen können unter bestimmten Bedingungen Zugang zu personenbezogenen elektronischen Gesundheitsdaten für Sekundärzwecke gem. Art. 53 Abs. 1 EHDS-Verordnung bei den nationalen Kontaktstellen beantragen (Art. 67 EHDS-Verordnung). Der Zugang wird nur gewährt, wenn die jeweiligen Datenschutzvorgaben erfüllt sind und der beantragte Zweck mit den in der Verordnung festgelegten Nutzungszwecken übereinstimmt (Art. 68 EHDS-Verordnung).
Alternativ kann eine „Gesundheitsdatenanfrage“ gestellt werden, wenn lediglich anonymisierte statistische Auswertungen benötigt werden (Art. 69 EHDS-Verordnung).
Zu beachtende Fristen
Die Verordnung trat am 26. März 2025 in Kraft und wird nun schrittweise umgesetzt:
- Laut Website der EU-Kommission müssen die EU-Mitgliedstaaten bis zum 26. März 2027 digitale Gesundheitsbehörden aufbauen und nationale Kontaktstellen eingerichtet haben.
- Ab 26. März 2029 greifen die Regelungen für die Primärnutzung – etwa für elektronische Rezepte und Patientenzusammenfassungen –, so dass Patienten direkt von ihren neuen Rechten profitieren können.
- Für Hersteller der EHR-Systeme ist der 26. März 2029 ebenso relevant, da sie ab diesem Zeitpunkt gewährleisten müssen, dass ihre Systeme den oben genannten Anforderungen entsprechen.
- Weitere Kategorien, wie medizinische Bildgebung und Testergebnisse, müssen ab dem 26. März 2031 im EHR-System integriert werden.
- Für die sekundäre Nutzung gilt ein ähnlicher Zeitplan: Während die meisten Daten ab 2029 genutzt werden können, sind genetische Informationen erst ab 2031 zugänglich.
Bußgelder bei Verstößen
Zur Gewährleistung der Einhaltung der neuen Bestimmungen sieht Art. 64 EHDS-Verordnung Sanktionen bei Zuwiderhandlungen vor. Behörden haben die Befugnis, Sanktionen gegen diejenigen zu verhängen, die Gesundheitsdaten missbräuchlich verwenden oder aufbewahren.
Abhängig von der Art des Verstoßes können Bußgelder in einer Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden. In besonders schwerwiegenden Fällen können die Strafen sogar bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen.
Datenschutzrechtliche Einschätzung
Die EHDS-Verordnung etabliert einen europaweiten Rechtsrahmen, der die datenschutzkonforme Nutzung von Gesundheitsdaten für Sekundärzwecke ermöglicht. Dabei handelt es sich um besonders schützenswerte personenbezogene Daten, die gemäß Art. 9 DSGVO nur unter bestimmten Voraussetzungen verarbeitet werden dürfen.
Bisher war die Nutzung von Gesundheitsdaten für Forschungs- und Entwicklungszwecke mit rechtlichen Unsicherheiten behaftet. Zwar regelt Art. 89 DSGVO die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken, doch die EHDS-Verordnung schafft einen spezifischen Rahmen für den Gesundheitsbereich. Im Unterschied zum bisherigen Forschungsprivileg, verpflichtet die EHDS-Verordnung die Inhaber von Gesundheitsdaten explizit, Daten für Sekundärzwecke bereitzustellen.
Mit der EHDS-Verordnung ist damit nun eine klare Rechtsgrundlage geschaffen worden, die sowohl die Kategorie der elektronischen Gesundheitsdaten als auch die Zwecke für die Sekundärnutzung in Art. 51 und Art. 53 definiert. Dazu zählen unter anderem wissenschaftliche Forschungsprojekte, die Förderung von Innovation im Gesundheitssektor und das Training und Testen von Algorithmen im digitalen Gesundheitswesen.
Gleichzeitig ist gem. Art. 54 EHDS-Verordnung der Einsatz von Gesundheitsdaten für Zwecke – wie Werbung, Vermarktung oder schädliche Produkte – ausdrücklich untersagt.
Fazit
Der Europäische Gesundheitsdatenraum stellt einen Schritt in Richtung eines vernetzten Gesundheitswesens dar. Gleichzeitig schafft die EHDS-Verordnung dafür den erforderlichen rechtlichen Rahmen, der den sicheren und datenschutzkonformen Austausch von Gesundheitsdaten ermöglichen soll.
Allerdings ist fraglich, ob die Unterschiede in der Umsetzung auf nationaler Ebene, Verzögerungen beim Aufbau der erforderlichen Infrastrukturen sowie Herausforderungen bei der Harmonisierung der Sicherheitsstandards zu Umsetzungs- und Vollzugsdefiziten führen. Daher erfordert die Umsetzung der EHDS-Verordnung eine enge Abstimmung zwischen den EU-Vorgaben und den nationalen Regelungen.
Akteure im Gesundheitswesen werden vom EHDS vor neue Anforderungen gestellt. Sie sind dazu angehalten, sich frühzeitig mit den neuen Vorgaben auseinanderzusetzen, um die erforderlichen Änderungen fristgerecht umsetzen zu können.
Insbesondere die noch ausstehende Konkretisierung der spezifischen Sicherheitsanforderungen bis 2027 birgt das Risiko, dass in der Praxis nicht immer der ideale Ausgleich zwischen Datenzugang und Datenschutz erreicht wird. Darüber hinaus wird durch die Debatte Anfang des Jahres 2025 über die Sicherheitsbedenken der deutschen ePA deutlich, dass das Vertrauen in den Schutz von Gesundheitsdaten eine unerlässliche Basis für die Digitalisierung des Gesundheitswesens bildet.
Somit bleibt abzuwarten, inwiefern die ambitionierten Ziele des EHDS den medizinischen Alltag revolutionieren werden und was durch die Sekundärnutzung unterm Strich tatsächlich herauskommt.
