Paul Schneider, BERLIN, Xylographie 1984 ©AMOVISTA Projekt 2016
Referentenentwurf des Bundesministeriums für Gesundheit
Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten
(Gesundheitsdatennutzungsgesetz – GDNG)
A. Problem und Ziel
In einem lernenden Gesundheitswesen sind der Austausch und die Nutzung von Gesundheitsdaten Schlüsselfaktoren für eine qualitativ hochwertige Versorgung. Die Verarbeitung von Gesundheitsdaten (einschließlich Daten der Pflege) sollte dabei stets dem Patienten- und dem Gemeinwohl dienen und die Bürgerinnen und Bürger ins Zentrum aller Aktivitäten stellen. Denn qualitativ hochwertige, strukturierte und verknüpfbare Daten sind eine wesentliche Voraussetzung dafür, dass neue wissenschaftliche Erkenntnisse generiert, künftiges Leid minimiert werden und eine sichere, bessere und qualitätsgesicherte Versorgung gewährleistet werden kann. Derzeit werden in Deutschland zwar an vielen Stellen im Gesundheitssystem Daten erzeugt, für eine mehrwertstiftende Nutzung sind allerdings die wenigsten davon zugänglich. Durch die fortschreitende Digitalisierung des Gesundheitswesens erhöht sich sowohl der Umfang der potenziell nutzbaren Daten, aber auch der Bedarf an hochqualitativen Daten.
In Deutschland liegen Gesundheitsdaten derzeit jedoch nicht in ausreichendem Maß für eine Weiternutzung außerhalb des unmittelbaren Versorgungskontexts vor. Eine Nutzung scheitert aktuell häufig an unterschiedlichen Regelungen zu Zugang und Datenschutz im Europäischen-, Bundes-, Landesrecht sowie an einer uneinheitlichen Rechtsauslegung durch Datenschutzbeauftragte und Aufsichtsbehörden. Fehlende Vorgaben und Verfahren zur Verknüpfung von Daten aus unterschiedlichen Quellen stellen eine weitere Hürde für die Datennutzung dar.
Durch diese Rechtsunsicherheit werden Forschung und Innovation gehemmt und die Potentiale unseres Gesundheitssystems bleiben ungenutzt. Forschende und andere Akteure, die Gesundheitsdaten im Sinne des Gemeinwohls verarbeiten wollen, stoßen daher vielfach auf Hemmnisse, um Zugang zu den erforderlichen Daten für ihre Aufgaben und Forschungsvorhaben zu erhalten.
Ohne valide Daten ist die Gewinnung neuer Erkenntnisse für Therapien, die Neu- und Weiterentwicklung von Arzneimitteln und Medizinprodukten sowie von Versorgungsprozessen, die Förderung von Patientensicherheit und eine verstärkte Qualitätssicherung erschwert. Medizinprodukte, die Technologien der Künstlichen Intelligenz (KI) nutzen, werden mit Daten entwickelt und trainiert, die nicht repräsentativ für die deutsche Bevölkerung sind, und so weniger wirksam bis hin zu potentiell schädlich für das Wohl der Patientinnen und Patienten sein können. Auch für die Planung und Steuerung in einem solidarischen Gesundheits- und Pflegesystem fehlen Daten und dies führt zu Ineffizienzen und Bürokratieaufwand.
Zudem liegt in der grenzüberschreitenden Datennutzung innerhalb der Europäischen Union (EU) großes Potenzial, insbesondere bezüglich der Datenmenge und der Repräsentativität, die derzeit noch ungenutzt sind. Innerhalb der EU besteht mit dem im Aufbau befindlichen Europäischen Gesundheitsdatenraum (EHDS) das Ziel, die grenzüberschreitende Datenverfügbarkeit zu erhöhen, um gesundheitsbezogene Vorhaben, wie die Umsetzung des Europäischen Plans zur Krebsbekämpfung, zu unterstützen. Aufgrund der fehlenden Datenverfügbarkeit kann Deutschland derzeit diese Vorgaben der EU nicht bedienen. Mit diesem Gesetz werden daher auch bereits erste Schritte zur Vorbereitung des deutschen Gesundheitswesens auf eine europäische Anbindung an den EHDS unternommen.
Wichtiger Bestandteil einer auch in Zukunft hochwertigen Gesundheits- und Pflegeversorgung ist, dass hochqualitative und repräsentative Daten für die Versorgung, Öffentliche Gesundheit, Forschung, Innovation und die Weiterentwicklung des Gesundheitssystems – im Einklang mit datenschutzrechtlichen Anforderungen – zeitnah genutzt werden können.
Zu einer besseren Nutzbarkeit gehört insbesondere, dass die Verknüpfung von Daten rechtlich und technisch geregelt wird. Denn viele Forschungsfragen lassen sich erst durch das Zusammenführen von Informationen aus unterschiedlichen Quellen beantworten. So bieten zum Beispiel Abrechnungsdaten einen breiten Blick über Pfade durch die unterschiedlichen Versorgungsbereiche und für diverse Krankheitsbilder, während Daten der klinischen Krebsregister tiefgehende Informationen zu spezifischen Behandlungen eines Krankheitsbildes erlauben. Nur durch die Verknüpfung ergibt sich ein vollständiges Bild des Behandlungsverlaufs und der Kontextfaktoren.
Das Gesetz hat insbesondere zum Ziel,
dezentral gehaltene Gesundheitsdaten leichter auffindbar zu machen sowie bürokratische Hürden für Datennutzende zu reduzieren
die im Forschungsdatenzentrum (FDZ) vorliegenden Abrechnungsdaten der gesetzlichen Krankenkassen breiter und schneller nutzbar zu machen
die Verknüpfung von Gesundheitsdaten zu erleichtern
die Verfahren zur Abstimmung mit Datenschutzaufsichtsbehörden zu vereinfachen und gleichzeitig den Gesundheitsdatenschutz zu stärken
umfassende und repräsentative Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen
den gesetzlichen Kranken- und Pflegekassen die stärkere Nutzung ihrer eigenen Daten zur Verbesserung der Versorgung zu ermöglichen.
B. Lösung
Mit dem Gesetzentwurf sollen bürokratische und organisatorische Hürden bei der Datennutzung abgebaut sowie die Nutzbarkeit von Gesundheitsdaten im Sinne eines die Datennutzung „ermöglichenden Datenschutzes“ verbessert werden. Dabei werden die geltenden datenschutzrechtlichen Standards vollumfänglich berücksichtigt und die Möglichkeiten der DSGVO hinsichtlich einer Herstellung von Rechtsklarheit und Rechtssicherheit genutzt. Es wird ein angemessener Ausgleich zwischen dem Schutz von Leben und Gesundheit, der Privatsphäre des Einzelnen sowie dem Recht auf informationelle Selbstbestimmung hergestellt.
Zur Erreichung der skizzierten Ziele wird das geltende Recht insbesondere um folgende wesentliche Maßnahmen ergänzt:
Aufbau einer nationalen Datenzugangs- und Koordinierungsstelle
Die neue Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten soll eine zentrale Funktion in der nationalen Gesundheitsdateninfrastruktur übernehmen. Sie wird Mittler zwischen datenhaltenden Stellen und Datennutzenden und übernimmt koordinierende Aufgaben bei Anträgen auf Datenverknüpfung. Hierfür wird in einem ersten Schritt, eine von den anzuschließenden Datenhaltern technisch und organisatorisch unabhängige Stelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eingerichtet.
Ermöglichung einer Verknüpfung von Daten des Forschungsdatenzentrums Gesundheit und der klinischen Krebsregister
Es wird ein Verfahren vorgesehen, mit dem Daten des Forschungsdatenzentrums und Daten der klinischen Krebsregister anhand einer anlassbezogen erstellten Forschungskennziffer datenschutzkonform und rechtssicher verknüpft werden können.
Stärkung des Gesundheitsdatenschutzes
Um das Recht auf informationelle Selbstbestimmung auch bei einer Sekundärnutzung von Gesundheitsdaten zu stärken, werden personenbezogene Gesundheitsdaten durch die Einführung eines Zeugnisverweigerungsrechts für mit Gesundheitsdaten Forschende und eines Beschlagnahmeverbots für Gesundheitsdaten geschützt. Die Einführung eines Forschungsgeheimnisses ermöglicht zudem die strafrechtliche Verfolgung und Sanktionierung der Preisgabe von Informationen, die im Rahmen einer Weiternutzung von personenbezogenen Gesundheitsdaten abgeleitet werden.
Nachhaltigkeit und europäische Anschlussfähigkeit
Mit den Maßnahmen für den Ausbau der dezentralen Gesundheitsdateninfrastruktur werden maßgeblichen im EHDS erwarteten europäischen Anforderungen europarechtskonform vorgegriffen, um die Anschlussfähigkeit der künftigen Gesundheitsdateninfrastruktur an den EHDS frühzeitig sicherzustellen. Dieser Ansatz ermöglicht es auch, schon vor Inkrafttreten des EHDS die Datenverfügbarkeit für Einrichtungen im Gesundheitswesen deutlich zu verbessern.
Die Maßnahmen zahlen direkt auf die schnellere und bessere Erreichung der nachhaltigen
Entwicklungsziele (SDGs) ein, hier insbesondere SDG 3 „Gesundheit und Wohlergehen“. Um ein gesundes Leben für alle Menschen jeden Alters zu gewährleisten und ihr Wohlergehen zu fördern, benötigt Deutschland eine solide und vernetzte Gesundheitsdateninfrastruktur. Hierfür werden mit dem GDNG die erforderlichen Grundlagen gelegt und bestehende Strukturen weiterentwickelt. Die zu erwartenden gesamtgesellschaftlichen Verbesserungen durch eine gesündere Bevölkerung und bessere Forschung, Innovation und Entwicklung werden sich nachhaltig auf den Forschungs- und Gesundheitsstandort Deutschland auswirken und rechtfertigen die unten genannten Aufwände – auch mit Blick auf die internationale Wettbewerbsfähigkeit.
C. Alternativen
Keine
D. Haushaltsausgaben ohne Erfüllungsaufwand
[getrennt für Bund und Länder (inkl. Kommunen)]
Bund
Für die Einrichtung einer zentralen Datenzugangs- und Koordinierungsstelle beim BfArM werden jährlich ca. 1 Million Euro an Personalkosten veranschlagt. Für das geplante Informations- und Beratungsangebot sowie die Leistungen zur Antragsentgegennahme bei der Datenzugangs- und Koordinierungsstelle werden zudem Sachkosten in Höhe von ca. 200.000 Euro in den Jahren 2024 und 2025 für den Aufbau des Metadatenkatalogs sowie des Antragsportals für die Datenverknüpfung erforderlich. Diese Kosten umfassen insbesondere den Aufbau der technischen Infrastruktur, für deren Pflege fallen darüber hinaus jährlich ca. 100.000 Euro an.
Hinzu kommen Personalkosten bei der Vertrauensstelle und beim Zentrum für Krebsregisterdaten im Robert Koch-Institut in Höhe von 300.000 Euro jährlich sowie zusätzliche Personalkosten beim Forschungsdatenzentrum in Höhe von ca. 150.000 Euro.
Durch die Übertragung von weiteren Zuständigkeiten von den Landesdatenschutzbeauftragten an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) fallen beim BfDI für die nötige Aufsichtstätigkeit zusätzliche Kosten in nicht bezifferbarer Höhe an. Im Gegenzug fallen bei den Landesdatenschutzbeauftragten weniger Kosten für ihre Aufsichtstätigkeiten an. Durch die Konzentrierung von Kompetenzen und Personal ist daher im Ergebnis mit deutlichen Kosteneinsparungen der öffentlichen Hand zu rechnen. Die Mehrbedarfe werden im Gesamthaushalt ausgeglichen.
Länder und Kommunen
Keine.
Sozialversicherung
Den Krankenkassen entstehen durch die Einführung des Opt-out-Verfahrens für die Datenübermittlung aus der elektronischen Patientenakte an das Forschungsdatenzentrum keine Mehrkosten gegenüber der derzeit vorgesehenen Regelung einer aktiven Datenfreigabe.
Beim Forschungsdatenzentrum Gesundheit entsteht durch den Wegfall des Akteursbezugs und den dadurch erwartbaren Anstieg der Zahl der eingehenden Anträge zusätzlicher Aufwand bei der Antragsentgegennahme, -bearbeitung und -bescheidung. Ebenso entsteht zusätzlicher Aufwand durch eine notwendige Erhöhung der technischen Kapazitäten für die Datenbereitstellung und datenschutzrechtliche Prüfung. Die zusätzlichen Kosten werden auf rund 0,7 Millionen Euro im Jahr 2024, auf 1,5 Millionen im Jahr 2025 und auf 2 Millionen in den Folgejahren geschätzt.
E. Erfüllungsaufwand
[§ 2 des Gesetzes zur Einsetzung eines Nationalen Normenkontrollrates; maßgeblich ist der Leitfaden zur Ermittlung und Darstellung des Erfüllungsaufwands in Regelungsvorhaben der Bundesregierung.]
E.1 Erfüllungsaufwand für Bürgerinnen und Bürger
Durch die Einführung einer Widerspruchslösung für die Freigabe von Daten der elektronischen Patientenakte an das Forschungsdatenzentrum entsteht denjenigen Versicherten der gesetzlichen Krankenversicherung, die sich für die aktive Nutzung ihrer elektronischen Patientenakte über ein digitales Endgerät entscheiden, ein Erfüllungsaufwand im Rahmen der Information über die Widerspruchsmöglichkeiten in Höhe von einmalig 6.813.330 Millionen Stunden sowie ein jährlicher Erfüllungsaufwand von geschätzt 157.500 Stunden.
E.2 Erfüllungsaufwand für die Wirtschaft
Antragstellende und Datennutzende werden durch die Einführung einer zentralen Datenzugangs- und Koordinierungsstelle von organisatorischen und bürokratischen Aufwänden beim Auffinden relevanter Daten und der besseren Koordinierung bei der Antragseinreichung in nicht näher bezifferbarer Höhe entlastet. Zudem werden Unternehmen der Privatwirtschaft durch die Ermöglichung des datenschutzkonformen Datenzugangs über die sichere Verarbeitungsumgebung des Forschungsdatenzentrums im nicht näher bezifferbaren Umfang entlastet, da diese Daten nicht mehr durch die Wirtschaft gesondert erhoben und aufbereitet oder über Drittanbieter eingekauft werden müssen. Der Wegfall der Einholung einer Genehmigung zur Verwendung von Sozialdaten nach § 75 SGB X im Fall des Vorliegens einer Einwilligung führt ebenfalls zur Verringerung bürokratischer Aufwände für Forschende und Beschleunigung des Datenzugangs.
Davon Bürokratiekosten aus Informationspflichten
Durch die Einführung einer Publikationspflicht von Ergebnissen einer Datenverarbeitung im öffentlichen Interesse entstehen den Datennutzenden geringfügige, nicht genauer bezifferbare zusätzliche Kosten aus Informationspflichten.
E.3 Erfüllungsaufwand der Verwaltung
[getrennt für Bund, Länder und Kommunen]
Bund
Der zusätzliche einmalige Mehraufwand in Höhe von 10 Millionen Euro für die Bereitstellung der Infrastruktur im Rahmen der Erweiterung des Datensatzes im Forschungsdatenzentrum Gesundheit um die Daten aus den Pflegekassen sowie die entstehenden zusätzlichen jährlichen Kosten in Höhe von 2,5 Millionen Euro werden von der Sozialen Pflegeversicherung getragen.
Dem Bundesamt für Soziale Sicherung entstehen Einsparungen aus der Zentralisierung des Verfahrens für eine Verknüpfung von Daten der Landeskrebsregister mit den Daten des Forschungsdatenzentrums Gesundheit und dem Wegfall der Bearbeitung von Anträgen nach §75 SGB X in nicht näher bezifferbarem, jedoch substanziellem Umfang. Zudem wird durch die zentrale Koordinierung von Anträgen auf Datenzugang der Verwaltungsaufwand bei datenhaltenden Stellen minimiert.
Länder und Kommunen
Durch die Einführung einer federführenden Datenschutzaufsicht entsteht der jeweils federführenden Aufsichtsbehörde zusätzlicher Aufwand durch die Koordination der weiteren beteiligten Behörden. Gleichzeitig kommt es zu Entlastungen bei den weiteren beteiligten Aufsichtsbehörden, die die zusätzlichen Aufwände insgesamt deutlich überwiegen dürften.
In den Landeskrebsregistern entstehen Mehraufwände zur Anpassung von Pseudonymisierungsverfahren für die Datenverknüpfung sowie bei der Zusammenstellung und Übermittlung von Krebsregisterdaten zur Verknüpfung mit Daten des Forschungsdatenzentrums Gesundheit.
Sozialversicherung
Den gesetzlichen Kranken- und Pflegekassen entstehen Einsparungen aus der Zentralisierung des Verfahrens für eine Verknüpfung von Daten der Landeskrebsregister mit den Daten des Forschungsdatenzentrums Gesundheit und dem Wegfall der Bearbeitung von Anträgen nach § 75 SGB X in nicht näher bezifferbarem Umfang.
F. Weitere Kosten
[insbesondere sonstige Kosten für die Wirtschaft, Kosten für soziale Sicherungssysteme, Auswirkungen auf Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau]
Keine.
Referentenentwurf des Bundesministeriums für Gesundheit
Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten
(Gesundheitsdatennutzungsgesetz – GDNG)
Vom …
Der Bundestag hat das folgende Gesetz beschlossen:
Inhaltsübersicht
Artikel 1 Gesetz zur Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG)
Artikel 2 Änderung des Gesetzes über Nachfolgeeinrichtungen des Bundesgesundheitsamtes
Artikel 3 Änderung des Fünften Buches Sozialgesetzbuch
Artikel 4 Änderung des Zehnten Buches Sozialgesetzbuch
Artikel 5 Änderung des Strafgesetzbuches
Artikel 6 Änderung der Strafprozessordnung
Artikel 7 Änderung des Bundesdatenschutzgesetzes
Artikel 8 Inkrafttreten, Außerkrafttreten
Artikel 1
Gesetz zur Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG)
1. Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten; Verordnungsermächtigung
Bei dem Bundesinstitut für Arzneimittel und Medizinprodukte wird eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten eingerichtet.
Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten unterstützt und berät Datennutzende beim Zugang zu Gesundheitsdaten. Hierzu hat sie insbesondere die Aufgabe,
einen öffentlichen Metadaten-Katalog zu führen und zu pflegen, in dem zu Transparenzzwecken Informationen über die im deutschen Gesundheitswesen vorhandenen Gesundheitsdaten und die jeweiligen Halter dieser Daten gesammelt werden,
Datennutzende bei der Identifizierung und Lokalisierung der für ihre Zwecke benötigten Gesundheitsdaten zu beraten,
bei einer Antragstellung auf Zugang zu Gesundheitsdaten bei Datenhaltern zu beraten,
Anträge auf Zugang zu Gesundheitsdaten bei den nach Absatz 4 Nummer 5 zu spezifizierenden Datenhaltern entgegenzunehmen und im Wege von Weiterleitungen an die zuständigen Stellen zu übermitteln,
bei der für Nummer 3 und 4 erforderlichen Kommunikation zwischen der Antragstellerin oder dem Antragsteller und den Datenhaltern zu unterstützen,
die Öffentlichkeit über die Aktivitäten der Datenzugangs- und Koordinierungsstelle zu informieren,
die Bundesregierung im Rahmen von Vorhaben und Gremien zur Steigerung der Verfügbarkeit von Gesundheitsdaten und beim Aufbau einer vernetzten Gesundheitsdateninfrastruktur auf Bundesebene und in der Europäischen Union zu unterstützen,
Konzepte zu erstellen,
zur Nutzung von sicheren Verarbeitungsumgebungen für die Sekundärnutzung von Gesundheitsdaten,
zur Weiterentwicklung der zentralen Datenzugangs- und Koordinierungsstelle als eigenständige Institution unter Einbindung bestehender Dateninfrastrukturen, unter Berücksichtigung europäischer Entwicklungen und unter Beteiligung der maßgeblichen Akteure des Gesundheitswesens,
die in § 2 vorgesehenen Aufgaben im Antragsverfahren bei der Verknüpfung und Verarbeitung von Daten der klinischen Krebsregister und des Forschungsdatenzentrums wahrzunehmen.
Die Datenzugangs- und Koordinierungsstelle kann für individuell zurechenbare öffentliche Leistungen im Rahmen ihrer Aufgaben nach Absatz 2 sowie § 2 Gebühren und Auslagen erheben.
Das Bundesministerium für Gesundheit wird ermächtigt, ohne Zustimmung des
Bundesrates durch Rechtsverordnung das Nähere zu regeln zu
der Einrichtung und Organisation der Datenzugangs- und Koordinierungsstelle,
den Einzelheiten der Aufgabenwahrnehmung nach Absatz 2 sowie den hierbei anzuwendenden Verfahren
der Erhebung von Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen, die durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten erbracht werden,
den jeweils notwendigen Arbeitsstrukturen der Datenzugangs- und Koordinierungsstelle und
den datenhaltenden Stellen, an die Anträge gemäß Absatz 2 Nummer 3 weiterzuleiten sind.
2. Verknüpfung von Daten des Forschungsdatenzentrums und der Krebsregister
Die Verknüpfung und Verarbeitung von pseudonymisierten Daten des Forschungsdatenzentrums nach § 303d des Fünften Buchs Sozialgesetzbuch und der klinischen Krebsregister der Länder nach § 65c des Fünften Buchs Sozialgesetzbuch ist für ein Forschungsvorhaben nach den Vorschriften in den folgenden Absätzen zulässig.
Für die Verknüpfung und Verarbeitung nach Absatz 1 bedarf es einer vorherigen Genehmigung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach §
Die Genehmigung ist auf Antrag zu erteilen, soweit
die Verknüpfung der Daten für die zu untersuchende Forschungsfrage erforderlich ist,
die erforderlichen Anträge beim Forschungsdatenzentrum sowie den zuständigen Krebsregistern für den Zugang zu den zu verknüpfenden Daten in pseudonymisierter Form bewilligt wurden und
kein überwiegendes öffentliches Interesse an einem Unterlassen der Verknüpfung und gemeinsamen Verarbeitung der Daten besteht und Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen minimiert wurden.
In dem Antrag hat der Antragsteller oder die Antragstellerin nachvollziehbar darzulegen, dass Umfang und Struktur der zu verknüpfenden Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten.
Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach § 1 unterstützt den Antragsteller oder die Antragstellerin im Rahmen eines Antrags nach Absatz 2 Satz 1 bei der Kommunikation mit dem Forschungsdatenzentrum Gesundheit und den beteiligten Krebsregistern und bei der Antragstellung nach Absatz 2 Satz 2 Nummer 2. Sie stellt für den Antrag auf Genehmigung nach Absatz 2 Satz 1 und die nach Absatz 2 Satz 2 Nummer 2 erforderlichen Anträge einen einheitlichen Antragsprozess im Benehmen mit zwei von den klinischen Krebsregistern benannten Vertretern und dem Zentrum für Krebsregisterdaten nach § 1 Bundeskrebsregisterdatengesetz bereit und leitet die Anträge nach Absatz 2 Satz 2 Nummer 2 an die zuständigen Stellen weiter.
Wenn die Voraussetzungen nach Absatz 2 vorliegen, werden die im Antrag benannten Daten in einer von der Datenzugangs- und Koordinierungsstelle für den jeweiligen Antrag im Einzelfall festzulegenden sicheren Verarbeitungsumgebung einer öffentlich- rechtlichen Stelle verknüpft und dem Antragsteller oder der Antragstellerin als pseudonymisierte Einzeldatensätze verfügbar gemacht. Pseudonymisierte Einzeldatensätze werden der Antragstellerin oder dem Antragsteller ohne Sichtbarmachung von Pseudonymen für die Verarbeitung in der sicheren Verarbeitungsumgebung verfügbar gemacht. In einer sicheren Verarbeitungsumgebung muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein, dass die Verarbeitung durch die Antragstellerin oder den Antragsteller auf das für den jeweiligen Nutzungszweck erforderliche Maß beschränkt ist und insbesondere ein Kopieren der Daten verhindert werden kann.
Wenn die Voraussetzungen nach Absatz 2 vorliegen, übermitteln die Krebsregister die beantragten Daten zusammen mit einer anlassbezogen zu erstellenden Forschungskennziffer unter Mitwirkung der Vertrauensstelle nach § 303c Sozialgesetzbuch Fünftes Buch und nach den Vorgaben der Rechtsverordnung nach Absatz 9.
Wenn die Voraussetzungen nach Absatz 2 vorliegen, übermittelt das Forschungsdatenzentrum nach § 303d des Fünften Buchs Sozialgesetzbuch die beantragten Daten zusammen mit einer anlassbezogen zu erstellenden Forschungskennziffer unter Mitwirkung der Vertrauensstelle nach § 303c Sozialgesetzbuch Fünftes Buch und nach den Vorgaben der Rechtsverordnung nach Absatz 9.
303e Absatz 5 des Fünften Buchs Sozialgesetzbuch gilt entsprechend mit der Maßgabe, dass die Entscheidung über eine Bereitstellung von Daten an Dritte durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zu genehmigen ist und im Fall einer unabsichtlichen Herstellung eines Personenbezugs die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zu informieren ist, die diese Information an das Forschungsdatenzentrum Gesundheit und die zuständigen Krebsregister weiterleitet.
Das Bundesministerium für Gesundheit wird ermächtigt, ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zu regeln zu
dem technischen Verfahren zur Verknüpfung der Daten anhand einer anlassbezogen zu erstellenden Forschungskennziffer, einschließlich der hierzu erforderlichen Datenverarbeitung durch das Forschungsdatenzentrum, die klinischen Krebsregister, das Zentrum für Krebsregisterdaten nach § 1 des Bundeskrebsregisterdatengesetzes und der Zentralen Antrags- und Registerstelle nach § 10 Bundeskrebsregisterdatengesetz sowie den beteiligten Vertrauensstellen dieser Einrichtungen,
den Anforderungen an sichere Verarbeitungsumgebungen nach Absatz 4 Satz 2 und 3 und Kriterien für die Auswahl der Verarbeitungsumgebung durch die Datenzugangs- und Koordinierungsstelle und
dem einheitlichen Antragsprozess und den weiteren, unterstützenden Maßnahmen der Datenzugangs- und Koordinierungsstelle nach Absatz 3.
3. Federführende Datenschutzaufsicht in der Versorgungs- und Gesundheitsforschung
Sind an einem Vorhaben der Versorgungs- oder Gesundheitsforschung eine oder mehrere öffentliche oder nicht-öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Aufsichtsbehörde nach Kapitel 6 der Verordnung (EU) 2016/679 des Bundes oder der Länder zuständig ist, finden die nachfolgenden Absätze Anwendung. Vorhaben der Versorgungs- oder Gesundheitsforschung sind Vorhaben, bei denen Gesundheitsdaten nach Artikel 4 Nummer 15 der Verordnung (EU) 2016/679 zu wissenschaftlichen Forschungszwecken gemäß Artikel 9 Absatz 2 Buchstabe j in Verbindung mit Artikel 89 der Verordnung (EU) 2016/679 verarbeitet werden. Diese Regelung gilt auch für Sozialdaten nach § 67 Zehntes Buch Sozialgesetzbuch, die im Rahmen von Vorhaben der Versorgungs- oder Gesundheitsforschung nach Satz 2 verarbeitet werden.
Für Vorhaben nach Absatz 1 ist § 27 Bundesdatenschutzgesetz anzuwenden.
Von den zuständigen Aufsichtsbehörden nach Absatz 1 ist diejenige Aufsichtsbehörde federführend zuständig, an der der Verantwortliche im Bundesgebiet seine Hauptniederlassung oder seine einzige Niederlassung hat. Sind mehrere Verantwortliche am Vorhaben nach Absatz 1 beteiligt, so bestimmen sie einen Hauptverantwortlichen. In diesem Fall ist die Aufsichtsbehörde an dessen Hauptniederlassung oder dessen einziger Niederlassung federführend zuständig.
Die federführend zuständige Aufsichtsbehörde hat die Aufgabe, die Tätigkeiten und Aufsichtsmaßnahmen der zuständigen Aufsichtsbehörden zu koordinieren. Sie fördert eine Zusammenarbeit der zuständigen Aufsichtsbehörden beim Vorhaben nach Absatz 1 und wirkt auf ein abgestimmtes Vorgehen und auf einheitliche Einschätzungen hin. Das in den Artikeln 56, 60, 61, 62, 63 und 66 der Verordnung (EU) 2016/679 geregelte Verfahren zur Zusammenarbeit und Kohärenz zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden ist entsprechend anzuwenden. Die aufsichtsrechtlichen Befugnisse der Datenschutzaufsicht werden dabei nicht beschränkt.
Die Aufgaben zur Stellungnahme und Streitbeilegung des Europäischen Datenschutzausschusses nach den Artikeln 64 und 65 der Verordnung (EU) 2016/679 sind bei länderübergreifenden Vorhaben ohne grenzüberschreitende Wirkung entsprechend von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) wahrzunehmen.
4. Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, Patientensicherheit und zu Forschungszwecken
(1) Leistungserbringer der Gesundheitsversorgung dürfen die bei ihnen im Rahmen der Gesundheitsversorgung rechtmäßig gespeicherten Gesundheitsdaten weiterverarbeiten soweit dies erforderlich ist,
zur Evaluierung der erbrachten Leistungen zu Zwecken der Qualitätssicherung und der Verbesserung der Patientensicherheit,
zu medizinischen und pflegerischen Forschungszwecken oder
zu statistischen Zwecken.
Dabei sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Freiheiten der betroffenen Personen, insbesondere des Berufsgeheimnisses, vorzusehen sowie die ethischen Grundsätze der medizinischen Forschung und die Vertraulichkeit des Verhältnisses zwischen Leistungserbringer und betroffenen Personen zu wahren. Die Vorschriften des Transplantationsgesetzes bleiben unberührt.
Die Ergebnisse der Verarbeitung von Gesundheitsdaten nach Absatz 1 sind zu anonymisieren, sobald dies nach dem medizinischen oder pflegerischen Forschungszweck möglich ist.
Die Weitergabe der personenbezogenen Daten an Dritte ist im Rahmen der Verarbeitung nach Absatz 1 grundsätzlich untersagt.
Die Weiterverarbeitung zu anderen, als den in Absatz 1 genannten Zwecken ist verboten. Eine Verknüpfung der nach Absatz 1 verarbeiteten Daten mit weiteren personenbezogenen Daten ist nur mit Einwilligung der betroffenen Personen zulässig.
Leistungserbringer, die nach Absatz 1 Daten verarbeiten, sind verpflichtet über diese Verarbeitung allgemein zu Informieren. Dabei ist auch über veröffentlichte Forschungsergebnisse zu informieren, die nach § 5 publiziert wurden. Auf Verlangen einer von der Verarbeitung nach Absatz 1 Nummer 2 und 3 betroffenen Person, ist der verarbeitende Leistungserbringer verpflichtet über Art, Umfang und konkreten Zweck der Verarbeitung nach Absatz 1 Nummer 2 und 3 zu informieren.
5. Publikationspflicht bei Verarbeitung im öffentlichen Interesse
Soweit in einem Forschungsvorhaben personenbezogene Gesundheitsdaten auf Grundlage gesetzlicher Verarbeitungsvorschriften ohne Einwilligung betroffener Personen zu Forschungszwecken berechtigt verarbeitet werden oder das Forschungsvorhaben mit öffentlichen Mitteln gefördert wurde, sind die für das Forschungsvorhaben Verantwortlichen verpflichtet die Forschungsergebnisse binnen 12 Monaten nach Abschluss des Forschungsvorhabens in anonymisierter Form wissenschaftlich zu veröffentlichen. In begründeten Ausnahmefällen kann die Zentrale Datenzugangs- und Koordinierungsstelle nach § 1 vorsehen, dass eine Veröffentlichung nicht oder erst zu einem späteren Zeitpunkt erfolgen muss.
Artikel 2
Änderung des Gesetzes über Nachfolgeeinrichtungen des Bundesgesundheitsamtes
Im BGA-Nachfolgegesetz vom 24. Juni 1994 (BGBl. I S. 1416), das zuletzt durch Artikel 8 Absatz 1 des Gesetzes vom 27. September 2021 (BGBl. I S. 4530) geändert worden ist, wird § 1 Absatz 3 wird wie folgt geändert:
In Nummer 6 wird der Punkt am Ende durch ein Komma ersetzt.
Folgende Nummer 7 wird angefügt:
„ 7. Koordinierung des Datenzugangs im Gesundheitswesen für die forschungsbezogene Zusammenführung und Verknüpfung von Gesundheitsdaten.“
Artikel 3
Änderung des Fünften Buches Sozialgesetzbuch
Das Fünfte Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 1b des Gesetzes vom 20. Dezember 2022 (BGBl. I S. 2793) geändert worden ist wird wie folgt geändert:
In § 95d Absatz 1 werden nach den Worten „erforderlichen Fachkenntnisse“ die Wörter „, Fähigkeiten und Fertigkeiten“ eingefügt.
287 Absatz 2 wird wie folgt gefasst:
„ (2) Die nach Absatz 1 verarbeiteten Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist.“ 3. § 287a wird wie folgt gefasst:
㤠287a
Automatisierte Verarbeitung zu Zwecken des Gesundheitsschutzes
Die Kranken- und Pflegekassen dürfen datengestützte Auswertungen zum individuellen Gesundheitsschutz ihrer Versicherten, zur Verbesserung der Versorgung und zur Verbesserung der Patientensicherheit vornehmen und insoweit ihre Versicherten individuell ansprechen. Den Krankenkassen wird insoweit eine freiwillige Aufgabe übertragen.
Eine automatisierte Verarbeitung der bei den Kranken- und Pflegekassen vorliegenden personenbezogenen Daten der Versicherten ist ohne Einwilligung der betroffenen Person zu den in Absatz 1 genannten Zwecken zulässig, soweit sie erforderlich und geeignet ist, zur
Früherkennung von seltenen Erkrankungen
Durchführung von Maßnahmen zur Überprüfung der Arzneimitteltherapiesicherheit zur Erkennung von Gesundheitsgefahren
risikoadaptierten Früherkennung von Krebsrisiken oder
Durchführung weiterer vergleichbarer Maßnahmen zur Erkennung und Identifizierung akuter und schwerwiegender Gesundheitsgefährdungen soweit dies im überwiegenden Interesse der Versicherten ist
Die Datenverarbeitung ist zu unterlassen, wenn und soweit der Versicherte einer automatisierten Verarbeitung ausdrücklich gegenüber seiner Kranken- und Pflegekasse widersprochen hat. Die Versicherten sind rechtzeitig vor Beginn von den Kranken- und Pflegekassen über die jeweiligen Maßnahmen nach Absatz 1 und über die Möglichkeit des Widerspruchs nach Satz 1 zu informieren.
Sofern bei einer Verarbeitung nach Absatz 2 eine konkrete Gesundheitsgefährdung bei Versicherten identifiziert wird, sind diese umgehend über die bestehende Gefährdung zu unterrichten. Diese Unterrichtung ist als unverbindliche Empfehlung auszugestalten, medizinische Unterstützung eines Leistungserbringers in Anspruch zu nehmen. Die ärztliche Therapiefreiheit der Leistungserbringer wird dabei nicht berührt.“
Nach § 295a wird folgender § 295b eingefügt:
„§ 295b Vorabübermittlung von vorläufigen Daten zur Abrechnung bei ärztlichen Leistungen
Ergänzend zu der Verpflichtung zur Datenübermittlung zu Abrechnungszwecken nach § 295 Absatz 2 sind die dort benannten Daten gemäß den nachfolgenden Absätzen schon vorab an die Krankenkassen zur Weiterleitung nach § 303b zu übermitteln, ohne dass eine Bereinigung der Daten im Zuge der Abrechnungsprüfung vorzunehmen ist.
Die Übermittlung der unbereinigten Daten nach Absatz 1 erfolgt entsprechend dem § 295 Absatz 2 in der dort vorgegebenen Struktur.
Die unbereinigten Daten nach Absatz 1 sind spätestens jeweils vier Wochen nach Ende des Quartals an die Krankenkassen zu übermitteln.
Die so nach Absatz 1 übermittelten Daten werden im Rahmen der Datenzusammenführung und -übermittlung nach § 303b an das Forschungsdatenzentrum Gesundheit weiterübermittelt und dort für die in Zwecke nach § 303e Absatz 2 zugänglich gemacht. Die nach Satz 1 dem Forschungsdatenzentrum Gesundheit übermittelten Daten sind dort zu löschen, sobald dem Forschungsdatenzentrum die bereinigten Daten nach § 303b übermittelt wurden.“
303a wird wie folgt geändert:
In Absatz 2 werden die Wörter „unterliegen dem Sozialgeheimnis nach § 35 des Ersten Buches und“
In Absatz 3 werden die Wörter „Die Kosten“ durch die Wörter „Die jeweiligen Kosten“ ersetzt und nach den Worten „die Krankenkassen“ die Wörter „und Pflegekassen jeweils“ eingefügt.
Absatz 4 wird wie folgt geändert:
In Nummer 1 werden die Wörter „und zu den Fristen der Datenübermittlung“
Nummer 5 wird gestrichen.
Die Nummern 6 und 7 werden die Nummern 5 und 6.
303b wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
Nach den Worten „übermitteln die Krankenkassen“ werden die Wörter „und die Pflegekassen bis spätestens sechs Wochen nach Quartalsende“ eingefügt.
In Nummer 3 werden nach den Worten „nach den §§ 295, 295a, 300, 301, 301a und 302“ die Wörter „sowie nach § 105 Elftes Buch Sozialgesetzbuch“ eingefügt.
In Nummer 4 werden nach den Worten „Angaben zum Vitalstatus“ die Wörter
„, Grad der Pflegebedürftigkeit nach § 15 Elftes Buch Sozialgesetzbuch“ eingefügt.
Satz 2 wird gestrichen.
b) Absatz 3 Satz 3 wird gestrichen.
In § 303c wird folgender Absatz 4 angefügt:
„ (4) Die Vertrauensstelle wirkt bei der Verknüpfung und Verarbeitung von Gesundheitsdaten nach § 2 Gesundheitsdatennutzungsgesetz mit und ist befugt, die entsprechenden Daten für diesen Zweck zu verarbeiten.“
303d wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
In Nummer 4 werden nach dem Wort „die“ die Wörter „für Zwecke nach § 303e Absatz 2“ eingefügt.
In Nummer 9 wird das Wort „sowie“ durch ein Komma ersetzt.
In Nummer 10 wird der Punkt am Ende des Satzes durch das Wort „sowie“
Folgende Nummer 11 wird angefügt:
„ 11. die Daten im Rahmen der Mitwirkung bei der Verknüpfung und Verarbeitung von Gesundheitsdaten nach § 2 Gesundheitsdatennutzungsgesetz
(GDNG) zu verarbeiten.“
b) Absatz 2 wird wie folgt geändert:
In Satz 1 werden die Wörter „der Nutzungsberechtigten“ durch die Wörter „zur Sekundärnutzung von Versorgungsdaten“
Folgender Satz 3 wird angefügt:
„Am Arbeitskreis sind die maßgeblichen Verbände der Selbstverwaltung im Gesundheitswesen und in der Pflege, Institutionen der Gesundheitsversorgungsforschung, Bundes- und Landesbehörden, maßgebliche Bundesorganisationen für die Wahrnehmung der Interessen von Patientinnen und Patienten und der Selbsthilfe chronisch kranker Menschen sowie von Menschen mit Behinderung und die auf Bundesebene maßgeblichen Organisationen für die Wahrnehmung der Interessen und der Selbsthilfe pflegebedürftiger und behinderter Menschen nach § 118 zu beteiligen.“
c) Absatz 3 wird gestrichen.
303e wird wie folgt geändert:
Absatz 1 wird wie folgt gefasst:
„ (1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 Nutzungsberechtigten auf Antrag zugänglich. Nutzungsberechtigt sind natürliche und juristische Personen im Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2), soweit diese nach Absatz 2 zur
Verarbeitung der Daten berechtigt sind.“
Absatz 2 wird wie folgt gefasst:
„ (2) Die dem Forschungsdatenzentrum übermittelten Daten dürfen von den Nutzungsberechtigten verarbeitet werden, soweit dies für folgende Zwecke erforderlich ist
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
Verbesserung der Qualität der Versorgung sowie Verbesserung der Sicherheitsstandards der Prävention, Versorgung und Pflege,
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung oder Pflegestrukturplanungsempfehlungen nach § 8a Absatz 4 Elftes Buch,
wissenschaftliche Forschung zu Fragestellungen aus den Bereichen Gesundheit und Pflege, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens, sowie Grundlagenforschung im Bereich der Lebenswissenschaften,
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Kranken- und Pflegeversicherung,
Analysen zur Wirksamkeit sektorenübergreifender Versorgungsformen sowie von Einzelverträgen der Kranken- und Pflegekassen,
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung, anderer Berichtspflichten des Bundes nach diesem oder dem Elften Buch und der amtlichen Statistik,
Wahrnehmung von gesetzlichen Aufgaben im Bereich der öffentlichen Gesundheit oder
Entwicklung, Weiterentwicklung, Nutzenbewertung und Überwachung der Sicherheit von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln sowie digitalen Gesundheits- und Pflegeanwendungen, einschließlich Testen und Trainieren von Anwendungen der
Künstlichen Intelligenz im Gesundheitswesen.“
In Absatz 3 Satz 2 werden die Wörter „die zu untersuchende Frage zu beantworten“ durch die Wörter „die angestrebten und zulässigen Zwecke nach Absatz 2 zu erfüllen“
In Absatz 3 wird nach Satz 2 folgender Satz neu eingefügt:
„Das Forschungsdatenzentrum kann einen Antrag dem Arbeitskreis zur Sekundärnutzung von Versorgungsdaten mit einer auf 4 Wochen befristeten Bitte um Stellungnahme vorlegen.“
Nach Absatz 3 wird folgender Absatz 3a neu eingefügt:
„(3a) Das Forschungsdatenzentrum lehnt einen Antrag nach Absatz 3 ab, wenn
durch das Zugänglichmachen der beantragten Daten ein unangemessenes Risiko für die öffentliche Sicherheit und Ordnung entstehen würde und dieses Risiko nicht durch Auflagen und weitere Maßnahmen ausreichend minimiert werden kann,
der begründete Verdacht besteht, die Daten könnten für einen anderen Zweck, als die in Absatz 2 genannten Zwecke verarbeitet werden,
die Bearbeitung eines oder mehrerer Anträge des gleichen Nutzungsberechtigten die Kapazitäten des Forschungsdatenzentrums unverhältnismäßig bindet und die Arbeitsfähigkeit des Forschungsdatenzentrums gefährdet.
Eine Verarbeitung der Daten ist insbesondere für folgende Zwecke verboten:
Entscheidungen hinsichtlich des Abschlusses oder der Ausgestaltung eines Versicherungsvertrags mit Bezug auf eine natürliche Person oder eine Gruppe natürlicher Personen,
Treffen von Entscheidungen zum Schaden einer natürlichen Person auf der Grundlage ihrer elektronischen Gesundheitsdaten,
Entwicklung von Produkten oder Dienstleistungen, die Einzelpersonen oder der Gesellschaft insgesamt schaden können, insbesondere illegale Drogen, alkoholische Getränke und Tabakerzeugnisse,
Nutzung der Daten für Marktforschung, Werbung und Vertriebstätigkeiten von Arzneimitteln, Medizinprodukten und sonstigen Produkten im Gesundheitswesen.“
In Absatz 4 werden nach den Worten „ohne Sichtbarmachung der Pseudonyme“ die Wörter „mit einer temporären Arbeitsnummer“ eingefügt.
Absatz 5 wird wie folgt geändert:
In Satz 1 Nummer 2 wird das Wort „Weitergabe“ durch die Wörter „Bereitstellung der beantragten Daten“
In Satz 2 wird das Wort „Nutzungsberechtigten“ durch das Wort „Antragstellenden “
In Satz 3 wird nach dem Wort „Forschungsdatenzentrum“ das Wort „unverzüglich“ eingefügt.
Absatz 6 wird wie folgt gefasst:
„ (6) Wenn ein begründeter Verdacht besteht, dass Antragstellende die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entsprechen, kann das Forschungsdatenzentrum die antragstellende Person oder Stelle vom Datenzugang ausschließen. Dieser Ausschluss kann auf einen bestimmten Zeitraum begrenzt werden. Das Forschungsdatenzentrum informiert die zuständigen Datenschutzaufsichtsbehörden über jede rechtswidrige Verarbeitung nach Satz 1 sowie über einen Ausschluss vom Datenzugang.“
In § 303f werden in Absatz 1 Satz 3 nach den Worten „Die Krankenkassen“, die Wörter „die Pflegekassen,“ eingefügt.
363 wird wie folgt geändert:
Absatz 1 wird wie folgt gefasst:
„ (1) Die Daten der elektronischen Patientenakte werden für die in § 303e Absatz 2 aufgeführten Zwecke zugänglich gemacht, soweit Versicherte nicht der Datenübermittlung nach Absatz 5 widersprochen haben.“
Absatz 2 wird wie folgt gefasst:
„ (2) Die Daten nach Absatz 1 werden automatisiert an das Forschungsdatenzentrum nach § 303d übermittelt. Es werden ausschließlich Daten übermittelt, die zuverlässig automatisiert pseudonymisierbar sind. Die Übermittlung wird in der elektronischen Patientenakte dokumentiert.“
Absatz 3 wird wie folgt geändert:
In Satz 1 werden die Wörter „pseudonymisieren und verschlüsseln die mit der informierten Einwilligung“ durch die Wörter „sind verantwortlich für die Pseudonymisierung und Verschlüsselung der“ ersetzt und das Wort „freigegebenen“ jeweils durch die Wörter „zu übermittelnden“
In Satz 3 wird das Wort „freigegebenen“ durch die Wörter „nach Absatz 2 übermittelten“
In Absatz 4 wird das Wort „freigegebenen“ durch das Wort „übermittelten“ ersetzt und die Wörter „Nummer 6, 7, 8, 10, 13, 14, 15 und 16“
Absatz 5 wird wie folgt gefasst:
„ (5) Versicherte können der Übermittlung von Daten nach Absatz 1 und Absatz 2 gegenüber den nach § 341 Absatz 4 für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen widersprechen. Der Widerspruch wird über die Benutzeroberfläche eines geeigneten Endgeräts erklärt. Der Widerspruch kann dabei auf bestimmte Zwecke nach § 303e Absatz 2 und auf bestimmte Gruppen von Akteuren beschränkt werden. Ein getätigter Widerspruch wird in der elektronischen Patientenakte samt Datum und Uhrzeit dokumentiert. Versicherte werden durch die nach § 341 Absatz 4 für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen bei erstmaliger Nutzung einer Benutzeroberfläche eines geeigneten Endgeräts zur Nutzung der elektronischen Patientenakte über die Verarbeitung von Daten der elektronischen Patientenakte zu den Zwecken nach § 303e Absatz 2 und über ihre Widerspruchsmöglichkeiten informiert.“
Absatz 6 wird wie folgt geändert:
In Satz 1 werden wie Wörter „Widerrufs der informierten Einwilligung nach Absatz 2“ durch die Wörter „Widerspruchs nach Absatz 5“
In Satz 3 werden wie Wörter „zum Widerruf der Einwilligung nach Absatz 2“ wird durch die Wörter „zur Erklärung des Widerspruchs nach Absatz 5“
Satz 5 wird gestrichen.
Absatz 7 wird wie folgt geändert: aa) Nummer 2 wird wie folgt gefasst:
„ 2. den technischen und organisatorischen Einzelheiten der Datenfreigabe, der Datenübermittlung, der Pseudonymisierung und des Widerspruchs nach den Absätzen 2, 3, 5, und 6, “.
bb) Die folgende Nummer 3 wird neu angefügt:
„ 3. den Anforderungen an eine automatisierten Pseudonymisierung zu übermittelnder Daten nach Absatz 2 Satz 2.“
Absatz 8 wird wie folgt geändert:
Das Wort „Datenfreigabe“ wird durch das Wort „Datenübermittlung“ bb) Folgender Satz 2 wird neu angefügt:
„Das Bundesministerium für Gesundheit wird ermächtigt ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zum technischen Verfahren bei der Ausleitung von Daten aus der elektronischen Patientenakte nach Satz 1 und der Zurverfügungstellung der Daten an Dritte zu regeln.“
Artikel 4
Änderung des Zehnten Buches Sozialgesetzbuch
Das Zehnte Buch Sozialgesetzbuch – Sozialverwaltungsverfahren und Sozialdatenschutz – in der Fassung der Bekanntmachung vom 18. Januar 2001 (BGBl. I S. 130), das zuletzt durch Artikel 19 des Gesetzes vom 20. Juli 2022 (BGBl. I S. 1237) geändert worden ist, wird wie folgt geändert:
In § 75 Absatz 4 Satz 2 wird das Wort „Bundesversicherungsamt“ durch die Wörter „Bundesamt für Soziale Sicherung oder die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach des § 1 des Gesundheitsdatennutzungsgesetzes“
In § 75 Absatz 4 wird folgender Satz neu angefügt:
„Einer Genehmigung bedarf es ausnahmsweise nicht, wenn die betroffenen Personen in die Verarbeitung ausdrücklich eingewilligt haben. Die von der ausdrücklichen Einwilligung erfassten Daten sind binnen zwei Wochen durch Kranken- und Pflegekassen in der beantragten Form an die in der Einwilligung benannten Verantwortlichen zu übermitteln. Die Genehmigungsbehörde ist über eine solche Übermittlung durch den Verantwortlichen zu informieren und ihr ist auf Verlangen die Einwilligung nachzuweisen.“
Nach § 75 Absatz 4a wird folgender Absatz 4b eingefügt:
„(4b) Eine Genehmigung nach Absatz 4 kann auch für die Verknüpfung der Sozialdaten mit weiteren Daten erteilt werden, soweit hierdurch schutzwürdige Interessen der betroffenen Personen nicht beeinträchtigt werden.“
Artikel 5
Änderung des Strafgesetzbuches
Im Strafgesetzbuch in der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322), das zuletzt durch Artikel 4 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2146) geändert worden ist, wird § 203 wie folgt geändert:
Nach Absatz 2 wird folgender Absatz 2a eingefügt:
„(2a) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer unbefugt fremde personenbezogene Gesundheitsdaten offenbart, die ihm zu Forschungszwecken oder weiteren vergleichbare Zwecken anvertraut oder sonst bekanntgeworden sind. Der Versuch ist strafbar. Ebenso wird bestraft, wer es unternimmt, die zu Forschungszwecken oder weiteren vergleichbaren Zwecken bereitgestellten Daten unbefugt zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern, sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse zu verarbeiten.“
In Absatz 3 werden die Wörter „Absätzen 1 und 2“ jeweils durch die Wörter „Absätzen 1, 2 und 2a“
In Absatz 4 Satz 1 werden die Wörter „Absätzen 1 und 2“ durch die Wörter „Absätzen 1, 2 und 2a“
In Absatz 4 Satz 2 Nummer 1 werden die Wörter „als in den Absätzen 1 und 2“ durch die Wörter „als in den Absätzen 1,2 und 2a“
In Absatz 4 Satz 2 werden jeweils die Wörter „selbst eine in den Absätzen 1 oder 2“ durch die Wörter „selbst eine in den Absätzen 1, 2 oder 2a“
In Absatz 6 werden nach den Worten „bis zu zwei Jahren“ die Wörter„, im Fall des Absatz 2a bis zu vier Jahre,“ eingefügt.
Artikel 6
Änderung der Strafprozessordnung
Die Strafprozeßordnung in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074, 1319), die zuletzt durch Artikel 2 des Gesetzes vom 25. März 2022 (BGBl. I S. 571) geändert worden ist, wird wie folgt geändert:
53 wird wie folgt geändert:
In Absatz 1 Satz 1 Nummer 5 wird der Punkt am Ende des Satzes durch ein Semikolon ersetzt.
In Absatz 1 Satz 1 wird folgende Nummer 6 angefügt:
„ 6. Personen, die zu Forschungszwecken berechtigt personenbezogene Gesundheitsdaten speichern oder verarbeiten.“
In Absatz 1 wird folgender Satz neu angefügt:
„Die in Satz 1 Nummer 6 genannten Personen dürfen das Zeugnis verweigern über sämtliche Informationen, die unmittelbar auf der Grundlage der vorliegenden personenbezogenen Gesundheitsdaten erkennbar sind, sowie aus solchen Erkenntnissen, die sich aus einer Verarbeitung dieser Daten zu Forschungszwecken, gegebenenfalls unter Zuhilfenahme einer logischen Verknüpfung mit weitergehenden Datenbeständen, ergeben.“
In § 97 wird folgender Absatz nach Absatz 5 neu angefügt:
„ (6) Soweit das Zeugnisverweigerungsrecht der in § 53 Absatz 1 Satz 1 Nummer 6 genannten Personen reicht, ist die Beschlagnahme von Verkörperungen eines Inhalts (§ 11 Absatz 3 des Strafgesetzbuches), die sich im Gewahrsam dieser Personen oder der zugehörigen Forschungseinrichtung befinden, unzulässig. Absatz 2 Satz 2 und § 160a Absatz 4 Satz 2 gelten entsprechend, die Beteiligungsregelung in Absatz 2 Satz 2 jedoch nur dann, wenn die bestimmten Tatsachen einen dringenden Verdacht der Beteiligung begründen.“
Artikel 7
Änderung des Bundesdatenschutzgesetzes
Im Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), das zuletzt durch Artikel 10 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1858; 2022 I 1045) geändert worden ist, wird in § 9 folgender Absatz 3 angefügt:
„ (3) Der oder dem Bundesbeauftragten obliegt die ausschließliche Zuständigkeit für die Aufsicht über Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten, sowie über
die Kranken- und Pflegekassen,
den Spitzenverband Bund der Krankenkassen,
die Kassenärztlichen Vereinigungen sowie den Kassenärztlichen Bundesvereinigungen nach § 77 Fünftes Buch Sozialgesetzbuch,
das Zentralinstitut für die kassenärztliche Versorgung,
Prüfstellen, wenn und soweit sie klinische Prüfungen im Sinne des § 4 Absatz 23 des Arzneimittelgesetzes durchführen, und registrierte Ethik-Kommissionen im Sinne des § 41a Absatz 1 des Arzneimittelgesetzes.“
Artikel 8
Inkrafttreten, Außerkrafttreten
Dieses Gesetz tritt zum 1. Januar 2024 in Kraft.
Begründung
A. Allgemeiner Teil
I. Zielsetzung und Notwendigkeit der Regelungen
In einem lernenden Gesundheitswesen sind der Austausch und die Nutzung von Gesundheitsdaten Schlüsselfaktoren für eine qualitativ hochwertige Versorgung. Die Verarbeitung von Gesundheitsdaten (einschließlich Daten der Pflege) sollte dabei stets dem Patienten- und dem Gemeinwohl dienen und die Bürgerinnen und Bürger ins Zentrum aller Aktivitäten stellen. Denn qualitativ hochwertige, strukturierte und verknüpfbare Daten sind eine wesentliche Voraussetzung dafür, dass neue wissenschaftliche Erkenntnisse generiert, künftiges Leid minimiert werden und eine sichere, bessere und qualitätsgesicherte Versorgung gewährleistet werden kann. Derzeit werden in Deutschland zwar an vielen Stellen im Gesundheitssystem Daten erzeugt, für eine mehrwertstiftende Nutzung sind allerdings die wenigsten davon zugänglich. Durch die fortschreitende Digitalisierung des Gesundheitswesens erhöht sich sowohl der Umfang der potenziell nutzbaren Daten, aber auch der Bedarf an hochqualitativen Daten.
In Deutschland liegen Gesundheitsdaten derzeit jedoch nicht in ausreichendem Maß für eine Weiternutzung außerhalb des unmittelbaren Versorgungskontexts vor. Eine Nutzung scheitert aktuell häufig an unterschiedlichen Regelungen zu Zugang und Datenschutz im Europäischen-, Bundes-, Landesrecht sowie an einer uneinheitlichen Rechtsauslegung durch Datenschutzbeauftragte und Aufsichtsbehörden. Fehlende Vorgaben und Verfahren zur Verknüpfung von Daten aus unterschiedlichen Quellen stellen eine weitere Hürde für die Datennutzung dar.
Durch diese Rechtsunsicherheit werden Forschung und Innovation gehemmt und die Potentiale unseres Gesundheitssystems bleiben ungenutzt. Forschende und andere Akteure, die Gesundheitsdaten im Sinne des Gemeinwohls verarbeiten wollen, stoßen daher vielfach auf Hemmnisse, um Zugang zu den erforderlichen Daten für ihre Aufgaben und Forschungsvorhaben zu erhalten.
Ohne valide Daten ist die Gewinnung neuer Erkenntnisse für Therapien, die Neu- und Weiterentwicklung von Arzneimitteln und Medizinprodukten sowie von Versorgungsprozessen, die Förderung von Patientensicherheit und eine verstärkte Qualitätssicherung erschwert. Medizinprodukte, die Technologien der Künstlichen Intelligenz (KI) nutzen, werden mit Daten entwickelt und trainiert, die nicht repräsentativ für die deutsche Bevölkerung sind, und so weniger wirksam bis hin zu potentiell schädlich für das Wohl der Patientinnen und Patienten sein können. Auch für die Planung und Steuerung in einem solidarischen Gesundheits- und Pflegesystem fehlen Daten und dies führt zu Ineffizienzen und Bürokratieaufwand.
Zudem liegt in der grenzüberschreitenden Datennutzung innerhalb der Europäischen Union (EU) großes Potenzial, insbesondere bezüglich der Datenmenge und der Repräsentativität, die derzeit noch ungenutzt sind. Innerhalb der EU besteht mit dem im Aufbau befindlichen Europäischen Gesundheitsdatenraum (EHDS) das Ziel, die grenzüberschreitende Datenverfügbarkeit zu erhöhen, um gesundheitsbezogene Vorhaben, wie die Umsetzung des Europäischen Plans zur Krebsbekämpfung, zu unterstützen. Aufgrund der fehlenden Datenverfügbarkeit kann Deutschland derzeit diese Vorgaben der EU nicht bedienen. Mit diesem Gesetz werden daher auch bereits erste Schritte zur Vorbereitung des deutschen Gesundheitswesens auf eine europäische Anbindung an den EHDS unternommen.
Wichtiger Bestandteil einer auch in Zukunft hochwertigen Gesundheits- und Pflegeversorgung ist, dass hochqualitative und repräsentative Daten für die Versorgung, Öffentliche Gesundheit, Forschung, Innovation und die Weiterentwicklung des Gesundheitssystems – im Einklang mit datenschutzrechtlichen Anforderungen – zeitnah genutzt werden können.
Zu einer besseren Nutzbarkeit gehört insbesondere, dass die Verknüpfung von Daten rechtlich und technisch geregelt wird. Denn viele Forschungsfragen lassen sich erst durch das Zusammenführen von Informationen aus unterschiedlichen Quellen beantworten. So bieten zum Beispiel Abrechnungsdaten einen breiten Blick über Pfade durch die unterschiedlichen Versorgungsbereiche und für diverse Krankheitsbilder, während Daten der klinischen Krebsregister tiefgehende Informationen zu spezifischen Behandlungen eines Krankheitsbildes erlauben. Nur durch die Verknüpfung ergibt sich ein vollständiges Bild des Behandlungsverlaufs und der Kontextfaktoren.
Das Gesetz hat insbesondere zum Ziel,
dezentral gehaltene Gesundheitsdaten leichter auffindbar zu machen sowie bürokratische Hürden für Datennutzende zu reduzieren
die im Forschungsdatenzentrum (FDZ) vorliegenden Abrechnungsdaten der gesetzlichen Krankenkassen breiter und schneller nutzbar zu machen
die Verknüpfung von Gesundheitsdaten zu erleichtern
die Verfahren zur Abstimmung mit Datenschutzaufsichtsbehörden zu vereinfachen und gleichzeitig den Gesundheitsdatenschutz zu stärken
umfassende und repräsentative Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen
den gesetzlichen Kranken- und Pflegekassen die stärkere Nutzung ihrer eigenen Daten zur Verbesserung der Versorgung zu ermöglichen.
II. Wesentlicher Inhalt des Entwurfs
Zur Erreichung der skizzierten Ziele wird das geltende Recht insbesondere um folgende wesentliche Maßnahmen ergänzt:
Aufbau einer nationalen Datenzugangs- und Koordinierungsstelle
Die neue Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten soll eine zentrale Funktion in der nationalen Gesundheitsdateninfrastruktur übernehmen. Sie wird Mittler zwischen datenhaltenden Stellen und Datennutzenden und übernimmt koordinierende Aufgaben bei Anträgen auf Datenverknüpfung. Hierfür wird in einem ersten Schritt, eine von den anzuschließenden Datenhaltern technisch und organisatorisch unabhängige Stelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eingerichtet.
Ermöglichung einer Verknüpfung von Daten des Forschungsdatenzentrums Gesundheit und der klinischen Krebsregister
Es wird ein Verfahren vorgesehen, mit dem Daten des Forschungsdatenzentrums und Daten der klinischen Krebsregister anhand einer anlassbezogen erstellten Forschungskennziffer datenschutzkonform und rechtssicher verknüpft werden können.
Stärkung des Gesundheitsdatenschutzes
Um das Recht auf informationelle Selbstbestimmung auch bei einer Sekundärnutzung von Gesundheitsdaten zu stärken, werden personenbezogene Gesundheitsdaten durch die Einführung eines Zeugnisverweigerungsrechts für mit Gesundheitsdaten Forschende und eines Beschlagnahmeverbots für Gesundheitsdaten geschützt. Die Einführung eines Forschungsgeheimnisses ermöglicht zudem die strafrechtliche Verfolgung und Sanktionierung der Preisgabe von Informationen, die im Rahmen einer Weiternutzung von personenbezogenen Gesundheitsdaten abgeleitet werden.
III. Alternativen
Die Gesetzgebungskompetenz des Bundes für die sozialversicherungsrechtlichen Regelungen folgt aus Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes (Sozialversicherung). Die Erweiterung der Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für die Datenverarbeitung im Bereich der Sozialversicherung folgt als Annex aus dieser Kompetenzvorschrift.
Vorwiegend für die Vorschriften des GDNG-Stammgesetzes folgt die Gesetzgebungskompetenz des Bundes darüber hinaus aus Artikel 74 Absatz 1 Nummer 13 des Grundgesetzes (Förderung der wissenschaftlichen Forschung) und aus Artikel 74 Absatz 1 Nummer 11 (Wirtschaft).
Die Gesetzgebungskompetenz des Bundes für die strafrechtlichen Regelungen in StGB und StPO folgt aus Artikel 74 Absatz 1 Nummer 1 des Grundgesetzes (Strafrecht).
V. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen
Der Gesetzentwurf ist mit dem Recht der Europäischen Union und mit völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland abgeschlossen hat, vereinbar.
VI. Gesetzesfolgen
1. Rechts- und Verwaltungsvereinfachung
Bund
Betroffene Norm Stichwort Rechenweg Betrag in € Häufigkeit
BfArM §§ 1, 2 GDNG Personal Datenzugangs- und Koordinierungsstelle 5*hD ( 148.779 €), /VZÄ) 1gD
(132.770€/VZÄ), 1mD (106.089 €/VZÄ) in neuer Datenzugangsstelle (VZÄ)
0,5 zusätzl. hD und 0,5 zusätzl. gD im FDZ Gesundheit
1.123.531 Jährlich
BfArM §§ 1, 2 GDNG Sachkosten Aufbau und Pflege techn. Infrastruktur Metadatenkatalog, Antragsregister Schätzung 300.000 Jährlich
BfArM §303e Bereitstellung Daten SPV
RKI §§, 2 GDNG Zusätzl. Personal ZfKD und RKI-VS zur Unterstützung Datenverknüpfung
FDZ-Daten mit Landeskrebsregistern
Zusätzlich 0,5 hD und 0,5 gD für ZfKD sowie 1 hD für Vertrauensstelle 289.554 Jährlich
Sozialversicherung
Betroffene Norm Stichwort Rechenweg Betrag in € Häufigkeit
GKV §303e Erhöhte Zahl an Anträgen auf Datennutzung durch Wegfall Akteursbezug , Bereitstellung
Daten der SPV und Anträge auf Datenverknüpfung mit Krebsregisterdaten beim FDZ Gesundheit
Pro 100 Anträge: Zusätzlich 2 hD, 0,5 md (VZÄ). Annahme: 100 zusätzl. Anträge 2024, 200 zusätzl. Anträge
2025, 300 zusätzl. Anträge 2024
350.603
701.206
1.051.809
2024 2025 ab 2026
GKV §303e Erhöhung techn. Kapazitäten Datenbereitstellung durch Wegfall Akteursbezung, Bereitstellung
Daten der SPV und Datenverknüpfung mit LKR beim FDZ Gesundheit
Annahme:
Sach- und
Personalkosten erhöhen sich in gleichem Umfang
350.603
701.206
1.051.809
2024 2025 ab 2026
GKV §303a FDZ Gesundheit: Einmalkosten Bereitstellung Daten der Pflegekassen
(Infrastruktur)
10.000.000 2024
GKV §303a FDZ Gesundheit: Jährliche Kosten Bereitstellung Pflegedaten
(Betrieb)
2.500.000 Jährlich
4. Erfüllungsaufwand
Bund
Betroffene Norm Stichwort Rechenweg Betrag in € Häufigkeit
BfDI §7 BDSG Übertragung Zuständigkeiten von LfDI auf BfDI Nicht bezifferbar, da keine Zahlen über derz. Anzahl von Aufsichtverfahren bei LfDIs vorliegen Mehrkosten Jährlich
BAS §2 GDNG,
§75 SGB X
Zentralisierung Verfahren Datenverknüpfung Daten von KK mit Daten Landeskrebsregister Nicht bezifferbar, da keine Zahlen über derz. Anzahl von Anträgen bei
BAS über
Nutzung von Daten der
KK vorliegen
Kosteneinsparung Jährlich
BAS §75 SGB X Wegfall Prüfung von Anträgen nach bei Vorliegen einer Einwilligung Nicht bezifferbar, da keine Zahlen über derz. Anzahl von Anträgen bei
BAS über
Nutzung von Daten der
KK vorliegen
Kosteneinsparung Jährlich
Länder und Kommunen
Betroffene Norm Stichwort Rechenweg Betrag in € Häufigkeit
Datenschutzsaufsichtsberhörden der Länder §7 BDSG Übertragung Zuständigkeiten von
LfDI auf BfDI
Nicht bezifferbar, da keine Zahlen über derz. Anzahl von Aufsichtverfahren bei LfDIs vorliegen Minderkosten Jährlich
Landeskrebsregister §2 BDSG Beteiligung an Zusammenführung
Daten der Landeskrebsregister mit Daten
FDZ Gesundheit
Nicht bezifferbar Mehrkosten Jährlich
Sozialversicherung
Betroffene Norm Stichwort Rechenweg Betrag in € Häufigkeit
Krankenkassen §2 GDNG,
§75 SGB X
Zentralisierung Verfahren Datenverknüpfung Daten von KK mit Daten Landeskrebsregister Nicht bezifferbar, da keine Zahlen über derz. Anzahl von
Anträgen bei Krankenkassen über Nutzung von Daten der KK vorliegen
Kosteneinsparung Jährlich
Krankenkassen §75 SGB X Wegfall Prüfung von Anträgen auf Datennutzung bei Vorliegen einer Einwilligung Nicht bezifferbar, da keine Zahlen über derz. Anzahl von Anträgen bei den KK über Nutzung von Daten der KK vorliegen Kosteneinsparung Jährlich
Landeskrebsregister §2 BDSG Beteiligung an Zusammenführung Daten der Landeskrebsregister mit Daten FDZ Gesundheit Nicht bezifferbar Mehrkosten Jährlich
Bürgerinnen und Bürger
Betroffene Norm Stichwort Rechenweg Zeitaufwand Häufigkeit
Gesetzl. Versicherte §363 SGB
V
Widerspruch gegen Datenweitergabe aus ePA an FDZ Geschätzt 58.400.000 ePANutzer, davon öffnen 70% ihre ePA innerhalb eines Jahres=40.880.000 Nutzer
Lesen der Informationen im FdV: 5 Min
Klärung/Zusätzliche Beratung in Anspruch nehmen= 5Min
Gesamtaufwand: 10Min*40.880.000 /60=7.300.000Std. Geschätzt 1.500.000 neue Versicherte jährlich*80%*70%= 630.000*15Min/60=
157.500Std
6.813.330 Stunden Einmalig
5. Weitere Kosten
Kosten, die über die aufgeführten Ausgaben und den genannten Erfüllungsaufwand hinausgehen, entstehen durch den Gesetzentwurf nicht. Auswirkungen auf die Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.
6. Weitere Gesetzesfolgen
Durch die bessere Nutzung von Gesundheitsdaten wird ermöglicht, dass neue wissenschaftliche Erkenntnisse generiert, künftiges Leid minimiert werden und eine sichere, bessere und qualitätsgesicherte Versorgung gewährleistet werden kann. Hierdurch kann für die Bevölkerung in Deutschland weiterhin eine qualitativ hochwertige Versorgung gewährleistet werden. Von einem lernenden Gesundheitswesen profitieren insbesondere die Versicherten der gesetzlichen Krankenversicherung.
VII. Befristung; Evaluierung
Eine Befristung der Regelungen ist nicht erforderlich.
Eine Evaluierung ist nicht vorgesehen.
B. Besonderer Teil
Artikel 1 (Gesetz zur Nutzung von Gesundheitsdaten)
Zu § 1 (Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten; Verordnungsermächtigung)
Zu Absatz 1
Im dezentral organisierten deutschen Gesundheitssystem sind Datenquellen derzeit schlecht auffindbar und insbesondere die Nutzung von Daten aus mehreren Quellen erfordert ein hohes Maß an Aufwand bei der Beantragung. Durch die Einrichtung einer zentralen Datenzugangs- und Koordinierungsstelle soll ein zentraler Ansprechpartner für Datennutzende geschaffen werden. Dabei wird bereits die funktionale und institutionelle Weiterentwicklung der Stelle vorgesehen, um den schrittweisen Ausbau einer vernetzten Gesundheitsdateninfrastruktur abbilden und die Leistungen der Stelle sukzessive weiteren Datenhaltern zur Verfügung stellen zu können. Als ersten Schritt soll die zentrale Datenzugangs- und Koordinierungsstelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) aufgebaut werden. Das BfArM hat hier bereits vorbereitende Arbeiten durch den Aufbau des Forschungsdatenzentrums Gesundheit und die Gemeinsame Aktion für den europäischen Gesundheitsdatenraum, genannt TEHDAS (Towards the European Health Data Space, https://tehdas.eu/) geleistet. Das BfArM vertritt zudem die deutsche Perspektive im
Pilotprojekt EHDS2 zur Erprobung grenzüberschreitender Zugänge zu Sekundärzwecken (https://www.ehds2pilot.eu/) und bekommt ab 2023 EU-Mittel zum Aufbau nationaler Zugangsstellen für Gesundheitsdaten. Die zentralen Datenzugangs- und Koordinierungsstelle soll als eigene Organisationseinheit örtlich und organisatorisch getrennt vom Forschungsdatenzentrum Gesundheit aufgebaut werden, um mögliche Interessenskonflikte zu verhindern.
Die Gewährung der sekundären Nutzung der bei den verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 SGB V erhobenen Daten gemäß § 137a Absatz 10 SGB V bleibt von den Regelungen des GDNG unberührt.
Zu Absatz 2
Der Datenzugangs- und Koordinierungsstelle werden in Absatz 2 Aufgaben übertragen.
Zu Nummer 1 und Nummer 2
Der Datenzugangs- und Koordinierungsstelle werden in Absatz 2 Aufgaben übertragen. Die zentrale Datenzugangs- und Koordinierungsstelle soll Informationen und Antragsvoraussetzungen zu potenziell verfügbaren Datenquellen so bündeln und aufbereiten, dass sie Datennutzende zu geplanten Vorhaben und der notwendigen Antragstellung beraten kann. Dadurch soll die Auffindbarkeit und Nutzbarkeit von Daten erhöht, Hürden bei der Antragstellung abgebaut und der Aufwand der Antragstellenden reduziert werden.
Zu Nummer 3 und Nummer 4
Bei Anträgen auf Datennutzung aus verschiedenen Quellen müssen derzeit Anträge oft bei verschiedenen Institutionen gestellt werden. Um den Aufwand für Forschende bei Anträgen auf eine Datenverknüpfung zu reduzieren, übernimmt die Datenzugangs- und Koordinierungsstelle die Funktion eines Mittlers zwischen Antragstellenden und datenhaltenden Stellen. Antragstellende müssen somit nur mit einer Stelle in Kontakt treten, diese übernimmt die Weiterleitung an die für die Antragsbearbeitung zuständigen Stellen und die weitere Kommunikation mit dem oder der Antragstellenden bzw. unterstützt bei der direkten Kommunikation. Zunächst übernimmt die Datenzugangs- und Koordinierungsstelle diese Aufgaben bei Anträgen auf Datenverknüpfung von Daten des Forschungsdatenzentrums Gesundheit mit Daten der klinischen Krebsregister nach § 65c Sozialgesetzbuch Fünftes Buch.
Nummer 5
Derzeit existiert keine Übersicht über vorhandene und durch Dritte nutzbare Gesundheitsdatenbestände. Durch den Aufbau eines Metadatenkatalogs soll für Datennutzende, datenhaltende Stellen und die interessierte Öffentlichkeit Transparenz über die in Deutschland verfügbaren Datenquellen im Gesundheitswesen hergestellt werden. Dadurch wird die Konzeption und Durchführung neuer Vorhaben erleichtert und der fachliche Austausch zwischen datenhaltenden Stellen gefördert.
Zu Nummer 6
Um Transparenz gegenüber der Öffentlichkeit herzustellen, soll die Datenzugangs- und Koordinierungsstelle über ihre Aktivitäten informieren. Dabei sollen die Information auch dazu beitragen, das Verständnis über die Grundsätze der Datenverarbeitung im Gesundheitswesen sowie den Sinn einer Datennutzung im Gesundheitswesen zu erhöhen.
Zu Nummer 7
Die Datenzugangs- und Koordinierungsstelle unterstützt die Bundesregierung bei der Weiterentwicklung von Dateninfrastrukturen im europäischen und internationalen Kontext, um einerseits eine Ausrichtung der eigenen Aufgabenwahrnehmung insbesondere an europäischen Vorgaben sicherzustellen und andererseits nationale Interessen und Erfahrungen im Bereich der Datennutzung in den entsprechenden Gremien und Prozessen zu vertreten. Zu Nummer 8
Um die Angebote und Leistungen der Datenzugangs- und Koordinierungsstelle schrittweise weiteren Datenhaltern zur Verfügung stellen zu können, wird die Stelle mit der Erarbeitung von Konzepten zur institutionellen und funktionalen Weiterentwicklung beauftragt. Dies umfasst auch die Erstellung eines Konzepts zur Nutzung sicherer Verarbeitungsumgebungen bei der Datenauswertung. Dabei sollen auch Anforderungen aus dem europäischen Raum frühzeitig aufgegriffen und konzeptionell abgebildet werden.
Zu Nummer 9
Der Datenzugangs- und Koordinierungsstelle werden die in § 2 GDNG festgelegten Aufgaben bei der Zusammenführung von Daten aus dem Forschungsdatenzentrum und den Daten der Klinischen Krebsregister übertragen.
Zu Absatz 3
Um Datennutzende an den anfallenden Kosten im Rahmen der Aufgabenerfüllung, z.B. bei der Beratung oder einer Datenverknüpfung nach § 2 GDNG zu beteiligen, können Gebühren erhoben werden.
Zu Absatz 4
Die Regelung enthält eine Verordnungsermächtigung des Bundesministeriums für Gesundheit zu den dort genannten Einzelheiten. Eine Zustimmung des Bundesrates zur Rechtsverordnung ist nicht erforderlich.
§ 2 (Verknüpfung von Daten des Forschungsdatenzentrums und der Krebsregister)
Zu Absatz 1
Um Fragen zu Krebserkrankungen umfassend beantworten zu können, muss die Verknüpfung von Daten der klinischen Krebsregister mit Daten des Forschungsdatenzentrums rechtlich und technisch geregelt werden. Denn viele Forschungsfragen lassen sich erst durch das Zusammenführen von Daten aus beiden Quellen beantworten. So bieten zum Beispiel Abrechnungsdaten einen breiten Blick über Patientenpfade durch die unterschiedlichen Versorgungsbereiche und für diverse Krankheitsbilder im Zeitablauf, während Daten der klinischen Krebsregister tiefgehende Informationen zu spezifischen Behandlungen eines Krankheitsbildes erlauben. Nur die Verknüpfung erlaubt ein vollständiges Bild des Behandlungsverlaufs und der Kontextfaktoren, die Analyse von Früherkennungsmerkmalen oder die Identifikation von gesundheitsbedingten Risikofaktoren für bestimmte Krebserkrankungen.
Zu Absatz 2
In Absatz 2 werden Voraussetzungen für die Datenverknüpfung geregelt.
Für die Verknüpfung nach Absatz 1 ist eine Genehmigung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten erforderlich. Zusätzlich müssen vom Forschungsdatenzentrum Gesundheit und den zuständigen Krebsregistern als datenhaltenden Stellen ebenfalls die erforderlichen Genehmigungen für den Zugang zu den jeweiligen Daten erteilt werden. Diese Genehmigungen stellen sicher, dass sowohl die Voraussetzungen für den Zugang zu den Daten des Forschungsdatenzentrums bzw. der Krebsregister nach den jeweiligen Voraussetzungen im Einzelfall gegeben sind. Die zusätzliche Genehmigung der Datenzugangs- und Koordinierungsstelle ist nötig, da durch die Zusammenführung der Daten zusätzliche Informationen zu den Versicherten generiert werden, die in Abwägung zur Notwendigkeit für die Beantwortung der Forschungsfrage erneut bewertet werden müssen. Zu Absatz 3
Absatz 3 regelt, dass die Antragsteller nachzuweisen haben, dass die Zusammenführung der Daten für den verfolgten Forschungszweck geeignet und erforderlich ist.
Zu Absatz 4
Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten übernimmt die Funktion als Mittler zwischen Antragstellenden und datenhaltenden Stellen und ermöglicht so ein effizientes und schlankes Antragsverfahren. Im Benehmen mit Vertretern der Krebsregister und dem Zentrum für Krebsregisterdaten am Robert Koch-Institut soll ein einheitlicher Antragsprozess für die drei erforderlichen Genehmigungen erstellt werden.
Für die Antragstellenden ergibt sich eine Vereinfachung der Kommunikation im Zuge des Antragsverfahrens.
Zu Absatz 5
Pseudonymisierte, personenbezogene Einzeldaten werden den Antragstellenden in sicheren Verarbeitungsumgebungen bereitgestellt, da so die Verarbeitung lediglich in kontrollierter Umgebung stattfindet und insbesondere keine Daten kopiert werden können. Um sicherzustellen, dass Daten nur an vertrauenswürdige sichere Verarbeitungsumgebungen ausgeleitet werden, liegt die Entscheidung darüber bei der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten. Pseudonymisierte Einzeldaten sind für Forschungsfragen mit
verknüpften Daten regulär nötig. Es können anonymisierte Daten bereitgestellt werden, wenn dies dem Antragszweck genügt.
Die technischen Vorgaben des Verfahrens zur Verknüpfung werden in Rechtsverordnungen geregelt. Insbesondere wird eine anlassbezogene Forschungskennziffer geschaffen. Eine einheitliche Forschungskennziffer ist nötig, damit Daten des Forschungsdatenzentrums und der Krebsregister auf Personenebene verknüpft werden können.
Zu Absatz 6
Die Regelung schafft die für die klinischen Krebsregister nach § 65c Sozialgesetzbuch Fünftes Buch. erforderliche Datenverarbeitungsbefugnis gemäß Artikel 6 Absatz 1 Buchstabe c) in Verbindung mit Artikel 9 Absatz 2 Buchstabe j) der DSGVO zur Übermittlung von Krebsregisterdaten mit dem Zweck der Verknüpfung mit Daten des Forschungsdatenzentrums.
Zu Absatz 7
Die Regelung schafft die für das Forschungsdatenzentrum nach § 303d Sozialgesetzbuch Fünftes Buch erforderliche Datenverarbeitungsbefugnis gemäß Artikel 6 Absatz 1 Buchstabe c) in Verbindung mit Artikel 9 Absatz 2 Buchstabe j) der DSGVO zur Übermittlung von Daten des Forschungsdatenzentrums mit dem Zweck der Verknüpfung mit Daten der klinischen Krebsregister.
Zu Absatz 8
Zur Verbesserung des Datenschutzes gelten die Vorgaben zum Datentransparenzverfahren analog.
Zu Absatz 9
Es werden bestehende Strukturen bei den Krebsregistern und dem Forschungsdatenzentrum, insbesondere vorhandene Vertrauensstellen genutzt.
Das Verfahren der Verknüpfung wird so aufgebaut, dass es auf weitere Datenhalter ausgeweitet werden kann, insofern diese auch Krankenversicherungsnummern halten. Eine Verknüpfung der Daten ist vorerst in der Sicheren Verarbeitungsumgebung des Forschungsdatenzentrums vorgesehen und kann auf weitere Sichere Verarbeitungsumgebungen ausgeweitet werden, soweit diese die in einer Rechtsverordnung zu definierenden Kriterien nachweisen.
Zu § 3 (Federführende Datenschutzaufsicht in der Versorgungs- und Gesundheitsforschung)
Die Regelung des bisherigen § 287a SGBV, die im Rahmen des Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite im März 2020, eingeführt wurden, werden in das neue Gesundheitsdatennutzungsgesetz überführt und erweitert. Der § 287a SGB V wurden bislang oft zu eng ausgelegt und entsprechend selten angewandt. So wurde vertreten, dieser gelte nur für Sozialdaten, ohne dass sich dies aus dem Wortlaut bzw. der Begründung des Gesetzes ergeben hätte. Aufgrund dieser verengten Auslegung konnte die beabsichtigte Beschleunigung der datenschutzrechtlichen Prüfung bei länderübergreifenden Vorhaben der Versorgungs- und Gesundheitsforschung im Gesundheitsbereich nicht erfolgen.
Die Regelung wird daher in das Gesundheitsdatennutzungsgesetz überführt. Es wird klargestellt, dass die neue Vorschrift nicht allein auf Sozialdaten Anwendung findet.
Weiterhin wurde der Anwendungsbereich der Vorschrift erweitert, sodass diese auch bei einem Vorhaben einzelner Verantwortlicher Anwendung findet.
Zudem wird das Verfahren zur Umsetzung der Federführung im Gesetz präzisiert.
Die Vorschrift findet nur auf innerstaatliche Sachverhalte Anwendung. Die Regelungen der DSGVO zur federführenden Datenschutzaufsicht bei grenzüberschreitenden Vorhaben bleibt unberührt.
Zu § 4 (Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, Patientensicherheit und zu Forschungszwecken)
Es ist die Pflicht des Arztes und der Ärztin, die Gesundheit, das Wohlergehen und die Rechte der Patienten zu fördern und zu erhalten, auch jener, die an der medizinischen Forschung beteiligt sind. Personenkreise, die der Schweigepflicht unterliegen, sollten daher explorative Analysen mit den zu Versorgungszwecken erhobenen Daten der eigenen Einrichtung durchführen dürfen. Es handelt sich dabei um eine mit den ursprünglichen Zwecken nach Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 679/2016 kompatible Weiterverarbeitung zu den Zwecken nach Artikel 9 Absatz 2 Buchstaben i) und j) der Verordnung (EU) 679/2016.
Zu Absatz 1
Ärztinnen und Ärzte sind nach § 5 der (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte verpflichtet, an den von den Ärztekammern eingeführten Maßnahmen zur Sicherung der Qualität der ärztlichen Tätigkeit teilzunehmen und der Ärztekammer die hierzu erforderlichen Auskünfte zu erteilen. Zudem müssen sie die Sicherheit ihrer Patientinnen und Patienten gewährleisten. So ist in § 6 der (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte festgeschrieben, dass sie verpflichtet sind, die ihnen aus ihrer ärztlichen Behandlungstätigkeit bekanntwerdenden unerwünschten Wirkungen von Arzneimitteln der Arzneimittelkommission der deutschen Ärzteschaft und bei Medizinprodukten auftretende Vorkommnisse der zuständigen Behörde mitzuteilen. Zur Erfüllung dieser berufsrechtlichen Verpflichtungen müssen Leistungserbringer personenbezogene Daten verarbeiten. Diese Verarbeitung stützt sich auf den Erlaubnistatbestand nach Artikel 9 Absatz 2 Buchstaben i) der Verordnung (EU) 679/2016.
Sie unterliegen dabei dem Berufsgeheimnis nach § 203 StGB und strengen berufsethischen Regelungen, die insbesondere bei der Forschung gemäß § 15 der (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte zwingend einzuhalten sind und technische und organisatorische Maßnahmen zur Wahrung der Rechte und Pflichten beinhalten, einschließlich der verpflichtenden Beratung der Betroffenen, wenn zu Forschungszwecken Daten verwendet werden, die sich einem bestimmten Menschen zuordnen lassen. Die Weiterverarbeitung der im Rahmen der Gesundheitsversorgung erhobenen Gesundheitsdaten zu diesen Zwecken liegt daher im öffentlichen Interesse und stützt sich auf Artikel 9 Absatz 2 Buchstabe i) und j) der Verordnung (EU) 2016/679. Die Weiterverarbeitung zu medizinischen Forschungszwecken gilt nach Artikel 5 Absatz 1 Buchstabe b) in Verbindung mit Artikel 89 Absatz 1 der Verordnung (EU) 2016/679 als nicht unvereinbar mit dem ursprünglichen Verarbeitungszwecken.
Die medizinische Forschung ist für die Entwicklung neuer Behandlungen und die Verbesserung bestehender Gesundheitspraktiken unerlässlich. Dies gilt insbesondere für die klinische Forschung in der Universitätsmedizin, die zur Forschung verpflichtet ist. Ferner kann im Behandlungskontext nicht ausgeschlossen werden, dass ein Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen besteht, da die betroffene Person den Leistungserbringer zum Zweck der Leistungserbringung aufsucht und unter einem akuten oder chronischen Leidensdruck steht. Die Weiterverarbeitung zu wissenschaftlichen Forschungszecken und zu Zwecken der Statistik ist nach Artikel 9 Absatz 2 Buchstabe j) in Verbindung mit Artikel 89 der Verordnung (EU) 2016/679 privilegiert. Darüber hinaus unterliegt die medizinische Forschung strengen berufsethischen Kriterien, insbesondere in den Deklarationen von Helsinki und Taipei, die zwingend einzuhalten sind. Weitere Formen der Forschung, die nicht unter die medizinische Forschung fallen, müssen auf andere Rechtsgrundlage gestützt werden.
In einigen Fällen kann medizinische Forschung mit minimalen Risiken verbunden sein und keine Einwilligung erfordern, z. B. wenn Forscher anonyme Patientendaten analysieren, um Muster in den Gesundheitsergebnissen zu erkennen. Ohne eine rechtssichere Möglichkeit zur sicheren Anonymisierung, ist hier aktuell keine einwilligungsfreie Forschung möglich, auch nicht bei retrospektiver statistischer Forschung in Klinikakten. Die Einholung dieser Einwilligungen erhöht den Aufwand, reduziert die Aussagekraft von Studien und erhöht nicht zwingend den Schutz der Rechte der Betroffenen, insbesondere nicht, wenn sie in psychischen Drucksituationen wie der Krankenhausaufnahme eingeholt werden. Solche Forschung sollte einwilligungsfrei in der rechtlichen und berufsethischen Verantwortung der Leistungserbringer ermöglicht werden.
In anderen Fällen kann die medizinische Forschung jedoch mit größeren Risiken verbunden sein und besondere Überlegungen erfordern, z. B. wenn eine neue Behandlung oder ein medizinisches Gerät an einer begrenzten Anzahl von Personen getestet wird. In solchen Fällen kann die Durchführung von Forschung ohne Zustimmung notwendig sein, um das medizinische Wissen zu erweitern und die Ergebnisse für die betroffene Person zu verbessern, insbesondere wenn es im besten Interesse der betroffenen Person ist, an der Forschung teilzunehmen. Auch diese Entscheidung sollte in der rechtlichen und berufsethischen Verantwortung des Leistungserbringers liegen, der wie in oben genannten Deklarationen vorgesehen, hierfür gegebenenfalls eine informierte Willensbekundung der Betroffenen einzuholen hat.
In Satz 3 wird klargestellt, dass die spezialgesetzlichen Regelungen des Transplantationsgesetzes (TPG) unberührt bleiben. Nach § 14 Absatz 2 Satz 3 TPG gilt für das TPG der enge Zweckbindungsgrundsatz. Die im Rahmen des TPG erhobenen personenbezogenen Daten dürfen für andere als in diesem Gesetz genannte Zwecke nicht verarbeitet werden. § 14 Absatz 2a TPG enthält daher eine spezialgesetzliche Forschungsklausel, der die Verarbeitung personenbezogene Daten, die im Rahmen der Organ- und Spendercharakterisierung oder der Übertragung beim Organ- oder Gewebeempfänger erhoben worden sind, für wissenschaftliche Forschungsvorhaben regelt.
Zu Absatz 2
Die Leistungserbringer haben als Verantwortliche für die Datenverarbeitung sicherzustellen, dass die Rechte der betroffenen Personen respektiert und die Risiken minimiert werden. Um diese zu gewährleisten werden sie per Gesetz verpflichtet, die Ergebnisse zu anonymisieren, sobald dies nach dem medizinischen Forschungszweck möglich ist oder berechtigte Interessen der betroffenen Person dies erfordern. Dies könnte zum Beispiel im Fall eines erhöhten Re-Identifizierungsrisikos bei besonders seltenen Erkrankungen der Fall sein. Sollte der Forschungszweck nicht mit anonymisierten Daten erzielt werden können, dürfen pseudonymisierte Daten verarbeitet werden. Hierfür sind die entsprechenden identifizierenden Merkmale getrennt von den medizinischen Daten aufzubewahren. Im Übrigen sind die Vorgaben aus der Verordnung (EU) 2016/679 nicht eingeschränkt. Soweit nach Artikel 35 der Verordnung (EU) 2016/679 erforderlich, ist eine Datenschutzfolgeabschätzung zu erstellen.
Zu Absatz 3
Eine Weitergabe von personenbezogenen Daten ist zur Wahrung der Rechte der betroffenen Personen untersagt. Die Verarbeitungsbefugnis ist bewusst auf die Verarbeitung der selbst erhobenen und im Rahmen der Leistungserbringung verarbeiteten Gesundheitsdaten beschränkt, um ein mögliches Abfließen an Dritte zu vermeiden. Die Verarbeitung bleibt daher in der Verantwortung des Leistungserbringers, der die betroffene Person aus dem Versorgungskontext kennt und sich auch auf das Arzt-Patienten-Verhältnis berufen kann. Zur Weitergabe an Dritte wäre eine ausdrückliche Einwilligung oder sonstige Rechtsgrundlage nach Artikel 6 Absatz 1 in Verbindung mit Artikel 9 Absatz 2 der Verordnung 2016/679 erforderlich
Zu Absatz 4
In Absatz 4 wird klargestellt, dass eine Weiterverarbeitung zu anderen als den in Absatz 1 genannten Zwecken unzulässig ist. Die zulässige Verarbeitung auf Basis einer anderen Rechtsgrundlage bleibt hiervon unberührt.
Zu Absatz 5
In Absatz 5 werden Informationspflichten der Leistungserbringer, die Daten nach § 4 verarbeiten, vorgeschrieben.
Zu § 5 (Publikationspflicht bei Verarbeitung im öffentlichen Interesse)
Mit dem am 23. Juli 2021 in Kraft getretenen Zweiten Open Data Gesetz (Gesetz zur Änderung des E-Government Gesetzes und Einführung eines Gesetzes für die Nutzung von Daten des öffentlichen Sektors) hat der Gesetzgeber die bisherigen Verpflichtungen des § 12a EGovG für die Bundesverwaltung nachjustiert. Ab dem Jahr 2024 unterliegen auch die von der Bundesverwaltung oder in ihrem Auftrag erhobenen Forschungsdaten der Veröffentlichungspflicht ihrer Ergebnisse in anonymisierter Form als Open Data. § 5 sieht vor, dass die Ergebnisse von Forschungsprojekten, die auf Grundlage gesetzlicher Verarbeitungsvorschriften ohne Einwilligung betroffener Personen gemäß § 4 dieses Gesetzes zu Forschungszwecken berechtigt verarbeitet werden, binnen 12 Monaten nach Abschluss des Forschungsvorhabens zu veröffentlichen sind.
Artikel 12 bis 14 der Verordnung (EU) 2016/679 sehen die transparenten Information, Kommunikation und Modalitäten für die Ausübung der Rechte der Betroffenen vor, wobei die Informationspflichten gemäß Artikel 89 Absatz 2 der Verordnung 2016/679 beschränkt werden können, insbesondere, wenn diese voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. Da im Falle der wissenschaftlichen Forschung z.B. nach § 4 GDNG eine umfassende Information der Betroffenen nicht im Einzelfall möglich ist, wird in § 5 eine umfassende Publikationspflicht für die auf Grundlage der Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken und für Forschungsvorhaben, die mit öffentlichen Geldern finanzierten werden, eingeführt. In beiden Fällen liege die Publikation der Ergebnisse im erheblichen öffentlichen Interesse. Verpflichtet wird hier der hauptverantwortliche Forschenden (sog. Principal Investigator). Datenschutzrechtliche Vorgaben sind im Rahmen der Veröffentlichung einzuhalten. Damit mögliche Rückschlüsse auf einzelne Personen ausgeschlossen werden, erfolgt die Publikation in anonymisierter Form.
Ziel des wissenschaftlichen Publizierens sind hier insbesondere die Bekanntmachung, Qualitätsprüfung und Dokumentation wissenschaftlicher Erkenntnisse sowie die Zuschreibung von Urheberschaft und Reputation. Zur Wahrung der Wissenschaftsfreiheit, obliegt die freie Wahl von Publikationsform und -ort, die Sicherung der Verwertungs- bzw. Nutzungsrechte durch die Publizierenden sowie den freien Zugang (Open Access) zu Publiziertem den Verantwortlichen. Ist eine Publikation in einem wissenschaftlichen Fachjournal nicht möglich, genügt daher auch die niedrigschwellige Veröffentlichung des eingerichteten Manuskripts über die digitalen Medien des Verantwortlichen.
Dies erhöht die Transparenz über Forschungsvorhaben und ist datensparsam, da auf bereits erfolgten Abfragen aufgebaut werden kann.
Diese offenen Forschungsergebnisse können sodann insbesondere von Forschenden weitergenutzt werden. Auch die verschiedenen staatlichen Ebenen als Nutzende der Daten profitieren von diesem System. Dies schafft sowohl Wissen im Allgemeininteresse als auch Schutz für die betroffenen Personen.
Die Veröffentlichungspflicht bei Förderung des Forschungsvorhabens durch öffentliche Mittel werden nur solche Einzelvorhaben erfasst, die von Dritten vorgenommen werden. Weder von öffentlichen Stellen beauftragte Forschung noch generell öffentlich finanzierte Stellen sind allgemein von der Publikationspflicht erfasst.
Zu Artikel 2 (Änderung des Gesetzes über Nachfolgeeinrichtungen des Bundesgesundheitsamtes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Folgeänderung.
Zu Nummer 2
Diese Regelung stellt einen Gleichlauf der sich aus dem § 1 des Gesundheitsdatennutzungsgesetzes ergebenden Aufgabenzuwächsen für das Bundesinstitut für Arzneimittel und Medizinprodukte mit den ihm grundsätzlich zugeordneten Aufgabenbereichen gemäß § 1 Absatz 3 des BGA-Nachfolgegesetzes sicher.
Zu Artikel 3 (Änderung des Fünften Buches Sozialgesetzbuch)
Zu Nummer 1
In § 95d wird die Verpflichtung der Vertragsärzte zur Fortbildung ergänzt. Neben den bislang erforderlichen Fachkenntnissen werden zukünftig auch die notwendigen Fähigkeiten und Fertigkeiten eingefordert. In einem lernenden Gesundheitswesen sollte die Pflicht zur fachlichen Fortbildung an die Kompetenzorientierung des Medizinstudiums – wie im Nationalen Kompetenzbasierten Lernzielkatalog Medizin vorgesehen – angeglichen werden. Neben reinen Fachkenntnissen erfordert die vertragsärztliche Versorgung auch die erforderliche Methodenkompetenz in Bezug auf die für die vertragsärztliche Versorgung erforderlichen Fähigkeiten und Fertigkeiten.
Zu Nummer 2
Bislang war in Absatz 2 vorgesehen, dass bei einer Verarbeitung die Daten stets zu anonymisieren sind. Nicht jede Forschungsfrage kann jedoch mit anonymen Daten angemessen beantwortet werden. Daher soll die Anonymisierung entsprechend den Vorgaben der DSGVO nur erfolgen müssen, soweit und sobald dies nach dem angestrebten Forschungszweck möglich ist.
Zu Nummer 3
Zu Absatz 1
Der vorherige § 287a wurde als neuer § 3 in das Gesundheitsdatennutzungsgesetz überführt und grundlegend überarbeitet.
Im neuen § 287a wird den Kranken- und Pflegekassen nun die Weiterverarbeitung von Gesundheitsdaten ihrer Versicherten gestattet.
Bei den gesetzlichen Kranken- und Pflegekassen liegen umfangreiche versichertenindividuelle Daten vor, in denen umfangreiche Informationen über medizinisch und pflegerisch relevante Sachverhalte wie Diagnosen und verordnete Arzneimittel von verschiedenen Leistungserbringern zusammenfließen. Diese Daten können zur Erkennung von potenziell schwerwiegenden gesundheitlichen Risiken genutzt werden und liegen sektorenübergreifend in der Form ausschließlich bei den gesetzlichen Kranken- und Pflegekassen vor. Die Regelung sieht eine bessere Nutzung dieser Datenbasis zur Früherkennung von Risiken zur Verbesserung des individuellen Gesundheitsschutzes vor.
Zu Absatz 2
Diese Regelung ermöglicht den Kranken- und Pflegekassen die Verarbeitung personenbezogener Daten der Versicherten ohne Einwilligung für konkrete im öffentlichen Interesse liegenden Zwecke, wenn eine konkrete akut oder potenziell schwerwiegende Gesundheitsgefährdung droht, die im regelhaften Versorgungskontext ansonsten nicht oder erst deutlich später erkennbar würde. Die Verarbeitung ist zum Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheitsbereich gemäß Artikel 9 Absatz 2 Buchstaben h) der Verordnung (EU) 679/2016 und zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten gemäß Artikel 9 Absatz 2 Buchstabe i) der Verordnung (EU) 679/2016 im öffentlichen Interesse im Bereich der öffentlichen Gesundheit erforderlich.
Zu Nummer 1:
Seltene Erkrankungen werden meist erst spät nach oft mehreren Jahren der Diagnostik identifiziert und korrekt diagnostiziert, da im Rahmen der Differenzialdiagnose Verdachtsdiagnosen sukzessive unter Berücksichtigung der Schwere der Erkrankung und der Häufigkeit durch die jeweiligen Leistungserbringer unterschiedlicher Disziplinen ausgeschlossen werden. Hier kann durch die Zusammenführung der bei den Kassen vorliegenden Daten unterschiedlicher Quellen, eine automatisierte Früherkennung seltener Erkrankungen auf Grundlage krankheitsspezifischer Faktoren und Zusammenhänge erfolgen, die üblicherweise wegen der geringen Prävalenz im Versorgungsalltag nicht oder spät erkannt werden. Davon profitieren Patientinnen und Patienten unmittelbar
Zu Nummer 2:
Patientinnen und Patienten bekommen ihre Arzneimittel oft von unterschiedlichen Leistungserbringern verschieben, ohne dass zwangsläufig überprüft wird, ob bereits wirkstoffgleiche Präparate mit unterschiedlichen Handelsnamen verschrieben worden sind oder potenziell lebensgefährliche Arzneimittelwechselwirkungen durch bestimmte Kombinationen drohen. Diese Daten laufen allerdings bei den Krankenkassen zusammen, so dass dort eine entsprechende automatisierte Prüfung der Arzneimitteltherapiesicherheit im Einzelfall erfolgen kann. Die Verarbeitung und Information der Betroffenen liegt im Interesse der Betroffenen, da Überdosierungen und potenziell tödliche Arzneimittelwechselwirkungen erkannt und den Betroffenen kommuniziert werden können.
Zu Nummer 3
Auf Grundlage der bei den Krankenkassen zusammenlaufenden Daten können individuelle Risiken für ein erhöhtes Krebsrisiko automatisiert erkannt werden. Versicherte können so frühzeitig und gezielt über die Möglichkeiten der risikoadaptierten Früherkennung und den Anspruch auf Vorsorgeleistungen informiert werden.
Zu Nummer 4
Auch weitere akute Gesundheitsgefährdungen können durch automatisierte Prüfung der bei den Krankenkassen vorliegenden Daten erkannt werden. Auch hier ist eine frühzeitige Information und Empfehlung zur Kontaktaufnahme mit einem Leistungserbringer gerechtfertigt, wenn sie im überwiegendem Interesse des Versicherten liegt, insbesondere, wenn schwerwiegende Gesundheitsgefährdungen drohen.
Zu Absatz 2
Die Zwecke der Verarbeitung werden auf die Erkennung von schwerwiegenden gesundheitlichen Risiken beschränkt. Dies umfasst insbesondere die Früherkennung von Erkrankungen und eine Erhöhung der Arzneimitteltherapiesicherheit. Insbesondere hinsichtlich verordneter Arzneimittel liegt den einzelnen Leistungserbringern oft ein unvollständiges Bild vor, wodurch Risiken einer falschen Dosierung oder von Wechselwirkungen zwischen verschiedenen Arzneimitteln bisher oft unerkannt bleiben.
Zu Absatz 3 und Absatz 4
Wenn eine konkrete Gesundheitsgefährdung erkannt wird, entsteht den Kranken- und Pflegekassen eine Verpflichtung, darüber den betroffenen Versicherten auf geeignetem Weg unverzüglich zu informieren und die Kontaktaufnahme mit einem geeigneten Leistungserbringer zu empfehlen. In besonders dringenden Fällen sollte die Kontaktaufnahme telefonisch erfolgen. Bei Information und Empfehlung der Früherkennung genügt eine Information elektronischen Weg oder in Schriftform. Dabei dürfen keine Vorgaben hinsichtlich der Beseitigung der Gefährdung gemacht werden, die Therapiefreiheit der Leistungserbringer wird somit nicht eingeschränkt.
Die Krankenkassen haben dafür Sorge zu tragen, dass durch die Information der Versicherten keine Gefährdung derselben entsteht. So ist etwa darauf zu achten, dass Versicherte nach einem Hinweis auf mögliche Kreuzmedikationen medizinischen Rat einholen, anstatt selbständig Medikamente abzusetzen.
Zu Nummer 4
Die für die Abrechnung der Vergütung der Leistungen der vertragsärztlichen Versorgung von den Kassenärztlichen Vereinigungen für jedes Quartal zu übermittelnden Daten liegen erst nach einem gewissen Zeitablauf bei den Krankenkassen vor. Dadurch können diese Daten auch erst später für Forschungszwecke und die Zwecke des Forschungsdatenzentrums verfügbar gemacht werden.
Diese Regelung sieht daher eine Vorabübermittlung unbereinigter Daten vor. Diese können mit einem deutlich geringeren Zeitablauf verfügbar gemacht werden.
Die Struktur und auch das Übermittlungsverfahren bei der Vorablieferung der unbereinigten Daten soll sich an dem Verfahren der Übermittlung von Daten nach § 295 Absatz 2 SGB V orientieren. Damit erfolgt weiterhin eine Übermittlung durch die Kassenärztlichen Vereinigungen an die Krankenkassen.
Da die Übermittlung allein Forschungszwecken sowie den weiteren Zwecken des Forschungsdatenzentrums dient, ist keine aufwändige und auf Abrechnungszwecke abgestellte Bereinigung und Fehlerbeseitigung erforderlich. Anders als die Daten, die zu Abrechnungszwecken nach § 295 übermittelt werden können die unbereinigten Daten damit ohne erheblichen Zeitverzug schon ab 4 Wochen nach Quartalsende den Krankenkassen bereitgestellt werden.
Die Daten werden an das Forschungsdatenzentrum übermittelt. Das Verfahren entspricht hierbei dem Verfahren bei der Übermittlung der Krankenkassendaten an das Forschungsdatenzentrum. Da die für die Abrechnung der Vergütung zu übermittelnden Daten zu einem späteren Zeitpunkt ohnehin nochmals an das Forschungsdatenzentrum übermittelt werden und diese zudem um Fehler bereinigt wurden, können die Rohdaten aus dem Forschungsdatenzentrum gelöscht werden, sobald die entsprechenden Kosten- und Leistungsdaten dort vorliegen.
Zu Nummer 5 Zu Buchstabe a
Der Verweis, dass die Vertrauensstelle und das Forschungsdatenzentrum dem Sozialgeheimnis unterliegen wird gestrichen, da dies bei Behörden entbehrlich ist.
Zu Buchstabe b
Es wird ergänzt, dass auch die Pflegekassen nach Zahl ihrer Mitglieder die jeweiligen Kosten tragen, da die Daten der Pflegekassen im Forschungsdatenzentrum zukünftig bereitgestellt werden sollen. Die Verteilung der Kosten zwischen den Pflegekassen auf der einen Seite und den Krankenkassen auf der anderen Seite wird in der Rechtsverordnung nach § 303a Absatz 4 Nummer 7 geregelt.
Zu Buchstabe c Zu Doppelbuchstabe aa
Der Verweis auf die Regelung von Fristen der Datenübermittlung in einer Rechtsverordnung wird gestrichen, da die Fristen im Gesetz geregelt werden.
Zu Doppelbuchstabe bb
Diese Streichung ist eine Folgeänderung aufgrund der Streichung des § 303d Absatz 3 SGB V.
Zu Doppelbuchstabe cc
Es handelt sich um eine redaktionelle Folgeänderung.
Zu Nummer 6
Zu Buchstabe a Zu Doppelbuchstabe aa
Es wird eine Frist zur Übermittlung der Daten von den Kranken- und Pflegekassen an das Forschungsdatenzentrum eingeführt von sechs Wochen nach Ende des Quartals. Dies ist darin begründet, dass eine höhere Aktualität der Daten insbesondere für Forschung benötigt wird. Die schnellere Übermittlung der Daten des ambulanten Sektors baut auf den Regelungen des § 295 b auf.
Zu Doppelbuchstabe bb
Nummer 3 regelt die Übersendung der Daten der Pflegekassen. Die Daten haben in Verknüpfung mit den Daten der Krankenkassen einen hohen Wert insbesondere für die Versorgungsforschung und werden deswegen über das Forschungsdatenzentrum bereitge-
stellt.
Zu Doppelbuchstabe cc
Der Grad der Pflegebedürftigkeit wird als zusätzliches Datum im Datenkranz ergänzt
Zu Doppelbuchstabe dd
Die Frist zur technischen Ausgestaltung der Datenübermittlung wird gestrichen, da dies erfolgt ist.
Zu Buchstabe b
Die Frist zur technischen Ausgestaltung der Datenübermittlung wird gestrichen, da dies erfolgt ist.
Zu Nummer 7
Damit die Vertrauensstelle bei der Verknüpfung und Verarbeitung von Gesundheitsdaten nach § 2 Gesundheitsdatennutzungsgesetz mitwirken kann, bedarf sie einer ausdrücklichen Datenverarbeitungsbefugnis gemäß Artikel 6 Absatz 1 Buchstabe c) in Verbindung mit Artikel 9 Absatz 2 Buchstabe i) und j) der DSGVO.
Auch im Rahmen der Beteiligung beim Verfahren nach § 2 Gesundheitsdatennutzungsgesetz erhält die Vertrauensstelle keinen Zugriff auf Gesundheitsdaten, sondern verarbeitet lediglich Pseudonyme und Arbeitsnummern.
Zu Nummer 8
Zu Buchstabe a Zu Doppelbuchstabe aa
In Nummer 4 werden die Zwecke spezifiziert, da nun keine abschließende Liste der Nutzungsberechtigten mehr besteht.
Zu Doppelbuchstabe bb
Es handelt sich um eine redaktionelle Folgeänderung
Zu Doppelbuchstabe cc
Es handelt sich um einen redaktionelle Folgeänderung.
Zu Doppelbuchstabe dd
Damit das Forschungsdatenzentrum bei der Verknüpfung und Verarbeitung von Gesundheitsdaten nach § 2 Gesundheitsdatennutzungsgesetz mitwirken kann, bedarf es einer ausdrücklichen Datenverarbeitungsbefugnis gemäß Artikel 6 Absatz 1 Buchstabe c) in Verbindung mit Artikel 9 Absatz 2 Buchstabe i) und j) der DSGVO.
Zu Buchstabe b
Der Arbeitskreis der Nutzungsberechtigten wird in Arbeitskreis zur Sekundärnutzung von Versorgungsdaten umbenannt. Die Änderung ergibt sich aufgrund der Streichung der abschließenden Auflistung von Nutzungsberechtigten in § 303e Absatz 1 und stellt klar, dass der Arbeitskreis sich um den Umgang mit der Sekundärnutzung von Versorgungsdaten im FDZ kümmern soll. Im Gesetz wird durch Wegfall der abschließenden Liste auch der Teilnehmerkreis spezifiziert. Zur Wahrung der Transparenz und wegen der Sensibilität der Gesundheitsdaten sind insbesondere die maßgeblichen Bundesorganisationen für die Wahrnehmung der Interessen von Patientinnen und Patienten und der Selbsthilfe chronisch kranker Menschen sowie von Menschen mit Behinderung Bundesebene maßgeblichen Organisationen für die Wahrnehmung der Interessen und der Selbsthilfe pflegebedürftiger und behinderter Menschen nach § 118 am Arbeitskreis zu beteiligen. Die Formulierung entspricht der bereits im bisherigen Arbeitskreis der Nutzungsberechtigten abgestimmten Geschäftsordnung.
Zu Buchstabe c
Gemäß Artikel 17 Absatz 1 Buchstabe a) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) sind personenbezogene Daten zu löschen, sobald diese für die Zwecke, für die sie erhoben wurden oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Eine Beschränkung der Datenverarbeitung auf 30 Jahre würde eine Verarbeitung zu Forschungszwecken unmöglich machen, bzw. ernsthaft beeinträchtigen. Die Höchstfrist von 30 Jahren für die Aufbewahrung der Einzeldatensätze im Forschungsdatenzentrum wird daher gestrichen. Im Forschungsdatenzentrum soll die Forschung zu Fragestellungen anhand von Längsschnittdaten ermöglicht werden. Für diverse Forschungsfragen ist dabei entscheidend, Daten über einen sehr langen Zeitraum hinweg beforschen zu können. Bei der Untersuchung von sehr langfristigen Auswirkungen bestimmter Erkrankungen ist dabei notwendig auch auf Daten aus einem Zeitraum von mehr als 30 Jahren zugreifen zu können, z.B. bei der Exposition zu Umweltfaktoren, einschließlich krebserregenden und/oder fruchtschädigenden Substanzen. Hier können zwischen Exposition und somatischen Folgen mehrere Dekaden liegen. Für sinnvolle wissenschaftliche Längsschnittanalysen werden daher lebenslange Daten benötigt. Die Streichung der Frist erfolgt im Einklang mit Artikel 17 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2).
Zu Nummer 9
Zu Buchstabe a
Es wird auf eine abschließende Auflistung der antragsberechtigten Stellen verzichtet und im Sinne der Datenschutzgrundverordnung auf einen Zweckbezug statt Akteursbezug abgestellt. Es wird dadurch sichergestellt, dass die Daten des Forschungsdatenzentrums in einer sicheren Umgebung für alle nutzbar sind, die sie für die zugelassenen Zwecke benötigen. Damit wird auch der privaten Forschung die Nutzung der Daten des FDZ in einer sicheren Verarbeitungsumgebung ermöglicht. Dies entsprecht dem strikten Zweckbezug in der Verordnung (EU) 2016/679 und den Prinzipien der Datenminimierung und Verhältnismäßigkeit, zumal durch die Datenbereitstellung über eine sichere Verarbeitungsumgebung Mehrfacherhebungen vermieden werden und eine Gleichbehandlung aller Datennutzer auf
Grundlage spezifischer Nutzungszwecke gewährleistet wird
Zu Buchstabe b
Die zulässigen Zwecke zur Nutzung der Daten des Forschungsdatenzentrums werden um weitere, dem Gemeinwohl dienende Kategorien erweitert.
Nummer 2
Die Nutzung der Daten wird ergänzt um die Gewährleistung hoher Sicherheitsstandards in Prävention, Versorgung und Pflege, damit insbesondere repräsentative und aktuelle Daten für Fragen der Patientensicherheit zur Verfügung stehen.
Nummer 4
Die Formulierung wird geschärft, um klarzustellen, dass es sich um Forschung im Bereich der Gesundheit und Pflege sowie Grundlagenforschung in diesen Bereichen handelt. Die Nennung einzelner Analysemethoden ist entbehrlich und wird gestrichen.
Nummer 8
Um die Aufgaben im Bereich Öffentliche Gesundheit effektiv wahrnehmen zu können, bedarf es einer validen Datenbasis und einer zeitnahen Datenverfügbarkeit für den Öffentlichen Gesundheitsdienst. Durch die Aufhebung des Akteursbezugs und eine Ergänzung der Nutzungszwecke beim Forschungsdatenzentrum erhält der Öffentliche Gesundheitsdienst die Möglichkeit, die im Forschungsdatenzentrum vorhandenen Daten zu nutzen. Nummer 9
Weiterhin werden die Nutzungszwecke für den Bereich der Nutzenbewertung erweitert, u.a. um eine faire Preissetzung von Arzneimitteln auf einheitlicher Datengrundlage für das Sozialsystem sicher zu stellen. Die Nutzung der Daten zur Entwicklung, Weiterentwicklung und für Zwecke der Überwachung der Sicherheit von Arzneimitteln und Medizinprodukten wird erlaubt, um nach Marktzulassung die Wirksamkeit bzw. nach dem Inverkehrbringen auf ihre Sicherheit und Leistung und mögliche Arzneimittel-Risiken während der Anwendung bei Bedarf evaluieren und überprüfen zu können. Sie ermöglichen es darüber hinaus Forschern und Angehörigen der Gesundheitsberufe, Muster und Trends im Gesundheitszustand der Patienten zu erkennen, wirksamere Behandlungen zu entwickeln und Geräte und Anwendungen zu entwerfen, die den spezifischen Bedürfnissen der Patienten entsprechen.
Zu Buchstabe c
Da die Zwecke nach Absatz 2 erweitert wurden, musste die Formulierung angepasst werden.
Zu Buchstabe d
Das Forschungsdatenzentrum kann einen Antrag dem Arbeitskreis zur Sekundärnutzung von Versorgungsdaten vorlegen, wenn das FDZ die Expertise des AKs zur Bewertung des Antrags einbeziehen möchte.
Zu Buchstabe e
Die Nutzung der Daten des Forschungsdatenzentrums wird unterbunden, wo sie dem Gemeinwohl zuwiderläuft. Es wird eine Liste verbotener Zwecke, zu denen keine Datennutzung möglich ist, ergänzt etwa für Marktforschungs- oder Werbezwecke sowie für die Berechnung von Versicherungsprämien. Vergleichbar ist dies auch im EHDS geplant. Mit der Fokussierung auf Zwecke, anstatt Akteuren, wird eine scharfe Abgrenzung von erlaubten und verbotenen Zwecken nötig.
Zudem wird dem Forschungsdatenzentrum erlaubt, Anträge abzulehnen, wenn ein Risiko für die Ordnung besteht oder eine missbräuchliche Nutzung zu erwarten ist.
Um eine faire und transparente Antragsbearbeitung aller Antragstellenden zu ermöglichen und um zu verhindern, dass das Forschungsdatenzentrum durch übermäßige Beanspruchung einzelner Antragsteller in der Arbeitsfähigkeit gefährdet wird, können einzelne unverhältnismäßig komplexe Anträge sowie Antragsteller mit übermäßig vielen Anträgen abgelehnt, beziehungsweise de-priorisiert werden. Dies gilt insbesondere bei einer sogenannten denial-of-service-Attacke durch eine Masseneinsendung von an sich berechtigten Datenzugangsanträgen. Der Arbeitskreis zur Sekundärnutzung von Versorgungsdaten kann hier im Einzelfall beratend einbezogen werden und bei Bedarf einen Kriterienkatalog zur Priorisierung und Prozessoptimierung der Antragsprüfung erarbeiten und veröffentlichen. Dies gewährleistet die aktive Einbindung und Beteiligung der Nutzungsberechtigten bei der Ermöglichung eines für alle fairen Datennutzung und der schafft Transparenz in Bezug auf die Verfahren.
Zu Buchstabe f
Es wird klargestellt, dass aus Datenschutzgründen die Daten in der sicheren Verarbeitungsumgebung mit temporären Arbeitsnummern und nicht Pseudonymen bereitgestellt werden.
Zu Buchstabe g Zu Doppelbuchstabe aa
Es wird klargestellt, dass Dritten die Daten auf Antrag in gleicher Weise wie den Antragstellern bereitgestellt werden, also in der sicheren Verarbeitungsumgebung.
Zu Doppelbuchstabe bb
Es handelt sich um eine redaktionelle Folgeänderung.
Zu Doppelbuchstabe cc
Die Meldung, dass ein Personenbezug hergestellt wurde, soll unverzüglich erfolgen.
Zu Buchstabe h
Die Sanktionsmöglichkeiten in Absatz 6 werden verschärft, um Missbrauch besser begegnen zu können.
Bislang war vorgesehen, dass die Datenschutzaufsicht bei Verstößen gegen datenschutzrechtliche Vorschriften oder Auflagen des Forschungsdatenzentrums über einen Ausschluss vom Datentransparenzverfahren für bis zu 3 Jahre entscheidet. Diese Aufgabe wird nun dem Forschungsdatenzentrum selbst übertragen, da dieses näher am Verfahren beteiligt ist.
Zudem wird die zeitliche Begrenzung des Ausschlusses auf 2 Jahre aufgehoben. Damit ist bei schwersten Verstößen, z.B. einer vorsätzlichen Re-Identifizierung von Einzelpersonen, auch ein endgültiger Ausschluss vom Datentransparenzverfahren möglich. Dies ist erforderlich, da mit der Aufhebung des Akteursbezugs auch Einzelpersonen und Wirtschaftsunternehmen Anträge auf Datenzugang stellen können.
Die Datenschutzaufsicht ist über einen Verstoß gegen die datenschutzrechtlichen Vorschriften bzw. gegen die Auflagen des Forschungsdatenzentrums zu informieren. Hierdurch wird sichergestellt, dass weitere Sanktionsmaßnahmen nach der Datenschutz-Grundverordnung erlassen werden können. Soweit die Datenschutzaufsicht zuerst von einem solchen Verstoß Kenntnis erlangt informiert diese das Forschungsdatenzentrum. Hierzu ist die Datenschutzaufsicht bereits nach Artikel 57, 58 DSGVO berechtigt
Zu Nummer 10
Es wird ergänzt, dass die Pflegekassen ebenfalls von der Zahlung von Gebühren befreit sind, da sie das Verfahren durch ihre Beitragsmittel mitfinanzieren.
Nummer 11
Zu Buchstabe a bis g
Für die Datenfreigabe aus der elektronischen Patientenakte wird ein Opt-Out-Verfahren eingeführt, um eine bessere Nutzbarmachung der Daten aus der elektronischen Patientenakte zu den zulässigen Zwecken des Forschungsdatenzentrums zu erreichen. Durch die automatisierte Bereitstellung einzelner strukturierter Datenkategorien aus den elektronischen Patientenakten an das Forschungsdatenzentrum wird erwartet, dass sich die Verfügbarkeit dieser Daten im Forschungsdatenzentrum erhöht und damit deren Nutzung für Forschung und Versorgung erheblich vereinfacht wird. Dabei werden bei der Datenübermittlung die besonders relevanten, automatisiert pseudonymisierbaren und strukturierten Datenobjekte priorisiert (z. B. Medizinische Informationsobjekte).
Versicherte entscheiden auch im Opt-Out weiterhin selbst, ob die eigenen Daten aus der elektronischen Patientenakte für die Forschung oder für weitere Zwecke an das Forschungsdatenzentrum ausgeleitet werden dürfen. Es wird hierzu ein einfacher Weg zur Erklärung eines Widerspruchs etabliert. Dazu wird in der elektronischen Patientenakte ein Datencockpit eingerichtet. In diesem können Versicherte nicht nur ihren Widerspruch erklären, sondern auch transparent einsehen, welche Daten bislang ausgeleitet wurden und welche Widersprüche sie bereits erklärt haben.
Zu Buchstabe h
Die Möglichkeit zur Verarbeitung von in der elektronischen Patientenakte gespeicherten Gesundheitsdaten auf Grundlage der ausdrücklichen Einwilligung ergibt sich unmittelbar aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2). Es fehlt allerdings eine Verordnungsermächtigung, um ein datenschutz- und datensicherheitskonformes Ausleiten der Daten an Forschende zu ermöglichen. Eine Festlegung der Verfahren im Gesetz würde einer technikneutralen Ausgestaltung des Rechtstextes wiedersprechen. Durch das Mittel der Rechtsverordnung können die Verfahren hier schneller und zukunftsoffener an neue technische Entwicklungen zum Schutz sensibler Gesundheitsdaten angepasst werden.
Zu Artikel 4 (Änderung des Zehnten Buches Sozialgesetzbuch)
Zu Nummer 1
In Absatz 4 Satz 2 wird ergänzt, dass die oberste Bundesbehörde, die für den Bereich, aus dem die Daten herrühren, zuständig ist, das Genehmigungsverfahren auch an die Datenzugangs- und Koordinierungsstelle übertragen kann. Bislang ist war nur eine Übertragung an das Bundesamt für Soziale Sicherheit vorgesehen. Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach § 1 GDNG wird als zentrale Stelle für die Nutzung von Gesundheitsdaten etabliert. Sie soll den Zugang zu Gesundheitsdaten forcieren und steuern. Bei der Zugangsstelle werden auch weitere Genehmigungsverfahren, etwa zu Verknüpfung von Gesundheitsdaten vorgesehen (vgl. § 2 GDNG). Zumindest für den Teil der Sozialdaten, die Gesundheitsdaten im Sinne des Artikel 4 Nummer 15 DSGVO darstellen ist es daher geboten, die Entscheidung über eine Verarbeitung mit anderen Genehmigungsverfahren zur Verarbeitung von Gesundheitsdaten bei der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zu bündeln.
Nummer 2
Dies neuen Sätze 7 und 8 am Absatz 4 stellen klar, dass eine Verarbeitung der Daten auch auf Basis der informierten Einwilligung der betroffenen Personen zulässig ist. Dies entspricht den europäischen Vorgaben der DSGVO und dient dem Recht auf informationelle Selbstbestimmung.
Es wird eine Pflicht zur Information der Genehmigungsbehörde vorgesehen. Hierdurch wird sichergestellt, dass die Genehmigungsbehörde einen Überblick über Datenverarbeitungstätigkeiten behält und auch den hierfür zuständigen Aufsichtsbehörden aufsichtsrechtliche Maßnahmen ermöglicht werden.
Zu Nummer 3
Die Verknüpfung von Sozialdaten verbessert die Möglichkeiten zu deren Beforschung erheblich. Daher wird in Absatz 4b die Genehmigungsfähigkeit der Datenverknüpfung klargestellt.
Zu Artikel 5 (Änderung des Strafgesetzbuches)
Zu Nummer 1
Die Regelung konkretisiert den strafrechtlichen Schutz besonders sensibler und entsprechend besonders schützenswerter personenbezogener Gesundheitsdaten im Kontext der wissenschaftlichen Forschung und vergleichbarer Anwendungsfälle. Vor dem Hintergrund des großen Schadenspotentials durch die Tatbegehung für die hier zu schützenden Rechtsgüter erscheint der Strafrahmen von bis zu drei Jahren Freiheitsstrafe angemessen. Zu Nummer 2
In Satz 2 wird die Strafbarkeit des Versuchs vorgesehen.
Zu Nummer 3
Die Re-Identifizierung von Personen aus pseudonymisierten Datensätzen wird als Unternehmensdelikt ausgestaltet und unter Strafe gestellt. Der Strafgrund liegt hierbei in dem Versuch der vorsätzlichen Umgehung einer Datenpseudonymisierung als wesentlichem Schutzmechanismus des Rechtes auf informationelle Selbstbestimmung bei den besonders sensiblen personenbezogenen Gesundheitsdaten beziehungsweise den weiteren in Satz 3 genannten, ebenfalls schützenswerten Rechtsgütern.
Zu Buchstabe e4
Bei den Regelungen handelt es sich um redaktionelle Folgeänderungen, die sich aus der Einführung des Absatz 2a ergeben. Eine Strafbarkeit der bzw. bei einer mangelhaften Aufsicht über die in Absatz 3 genannten Hilfspersonen im Rahmen des Umgangs mit personenbezogenen Gesundheitsdaten in Forschungskontexten wirkt hier strafbarkeitsbegründend.
Zu Nummer 5
Ein Eingriff, beziehungsweise der Versuch des Eingriffs, in die durch Absatz 2a geschützten Rechtsgüter bei Vorliegen der in Absatz 6 genannten Absichten oder gegen Entgelt ist im besonderen Maße verwerflich und wird entsprechend stärker sanktioniert.
Artikel 6 (Änderung der Strafprozessordnung)
Zu Nummer 1
Zu Buchstabe a
Wir führen ein Forschungsgeheimnis für personenbezogene (Gesundheits-)Daten ein. Zum besseren Schutz dieser Daten erhalten Forschende ein Zeugnisverweigerungsrecht im Hinblick auf Gesundheitsdaten, die ihnen zu Forschungszwecken zur Verfügung stehen.
Zu Buchstabe b
Diese Regelung dient dazu, Art und Umfang des Zeugnisverweigerungsrechts zu bestimmen.
Zu Buchstabe c
Ein effektiver Schutz des Forschungsgeheimnisses, das in § 53 Absatz 1 Satz 1 Nummer 6 der Strafprozessordnung Eingang gefunden hat, macht eine Erweiterung des Beschlagnahmeverbots notwendig.
Zu Nummer 2
Im neuen Satz 4 wird dir Umfang des Zeugnisverweigerungsrechts der in Absatz 1 Nummer 6 genannten Personen konkretisiert. Forscher erhalten das Recht Informationen die sich unmittelbar aus den Ihnen verfügbar gemachten Gesundheitsdaten ergeben. Das Recht der Forscher, die Daten im Rahmen ihrer Forschungstätigkeit zulässig zu verarbeiten und ihre Ergebnisse zu publizieren wird hierdurch nicht eingeschränkt.
Zu Artikel 7 (Änderung des Bundesdatenschutzgesetzes)
Da eine einheitliche Datenschutzpraxis oft durch unterschiedliche Auslegung verschiedener Aufsichtsbehörden verhindert wird, wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit § 9 Absatz 3 BDSG eine breitere Zuständigkeit eingeräumt.
So wird er alleine die Aufsicht über Stellen übernehmen, soweit sie Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten, die unter die Definition der Gesundheitsdaten gemäß Artikel 4 Nummer 15 der Verordnung (EU) 2016/679 fallen. Darüber hinaus wird er die Aufsicht über Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen sowie den Kassenärztlichen Bundesvereinigung, das Zentralinstitut für die kassenärztliche Versorgung und die Kassenzahnärztlichen Vereinigungen sowie die Kassenzahnärztliche Bundesvereinigung erhalten.
Daneben soll der BfDI auch die Datenschutzaufsicht im Bereich der klinischen Prüfungen übernehmen. Klinische Prüfungen sind von herausragender Bedeutung für die Erforschung neuer innovativer Arzneimittel, insbesondere im Hinblick auf bisher nur schwer behandelbare oder seltene Erkrankungen. Die uneinheitliche Auslegung des Datenschutzrechts und unterschiedliche Standards und Anforderungen im Rahmen der Genehmigung und Durchführung klinischer Prüfungen sind ein Hemmnis für forschende Unternehmen und Einrichtungen. Werden klinische Prüfungen aufgrund solcher bürokratischer Hürden nicht mehr in Deutschland durchgeführt, bedeutet dies einen nicht hinnehmbaren Nachteil für den Forschungsstandort Deutschland und in der Folge für die Versorgung von Patientinnen und Patienten in Deutschland. Auch für die an klinischen Prüfungen interessierten und teilnehmenden Personen ist es wichtig, dass die Voraussetzungen möglichst einheitlich und eindeutig sind. Aus diesen Gründen ist es erforderlich, dass es für die an der Genehmigung und Durchführung klinischer Prüfungen beteiligten datenverarbeitenden Stellen, nämlich
Prüfstellen, registrierte Ethik-Kommissionen und die Bundesoberbehörden Bundesinstitut für Arzneimittel und Medizinprodukte und Paul-Ehrlich-Institut, eine einheitliche Datenschutzaufsicht gibt, die deutschlandweit eine klare, einheitliche und verbindliche Auslegung des Datenschutzrechts für den Bereich der klinischen Prüfungen vorgibt. Dies ermöglicht eine bessere und schnellere Bewertung und Genehmigung der Anträge auf Genehmigung klinischer Prüfungen und somit eine schnellere und sichere Durchführung von klinischen Prüfungen zur Erforschung neuer Arzneimittel und Versorgung von Patientinnen und Patienten.
Zu Artikel 8 (Inkrafttreten, Außerkrafttreten)
Das Gesundheitsdatennutzungsgesetz soll Anfang 2024 in Kraft treten.
