Wie die Europäische Kommission das Gesundheitssystem innerhalb der EU digitalisieren will

Schaffung eines europäischen Gesundheitsdatenraumes

Nachdem nun bereits der Digital Markets Act, der Digital Services Act und der Data Governance Act in Kraft getreten sind (vgl. hierzu auch unser Webseitenbeitrag), nimmt nun eine weitere wichtige Säule der europäischen Datenstrategie Gestalt an: Die Schaffung eines europäischen Gesundheitsdatenraums „European Health Data Space“ (auch „EHDS“ genannt). Hierfür hat die Europäische Kommission bereits am 03. Mai 2022 einen entsprechenden Verordnungsentwurf veröffentlicht, wodurch die Digitalisierung des Gesundheitswesens für alle Mitgliedsstaaten vorangebracht und die Gesundheitssysteme der EU für die digitale Zukunft besser vorbereitet werden sollen. Aktuell laufen im Europäischen Parlament die Diskussionen zu dem Entwurf auf Hochtouren, wobei unter den Abgeordneten noch Uneinigkeit hinsichtlich einiger Regelungen in der EHDS-Verordnung (nachfolgend „Verordnung“) herrscht.

Welche Regelungen sieht die Verordnung konkret vor und welche Bedeutung hat sie für Betroffene wie Gesundheitsdienstleister, Unternehmen und Forschungseinrichtungen? Diese und weitere Fragen sollen in diesem Beitrag näher beleuchtet werden.

Hintergrund

Ärzte, Apotheker, Forscher und andere Angehörige von Gesundheitsberufen verarbeiten tagtäglich große Mengen an Gesundheitsdaten. Um die medizinische Versorgung, Forschung und Infrastruktur innerhalb der EU in ihrer Gesamtheit zu verbessern, ist die Digitalisierung des Gesundheitssystems unerlässlich. Gerade die COVID-19 Pandemie hat gezeigt, dass ein gut funktionierendes Gesundheitssystem zwingend erforderlich ist, um effektive und zügige Maßnahmen für die öffentliche Gesundheit ergreifen zu können.

Bis spätestens 2025 soll daher ein europäischer Gesundheitsdatenraum geschaffen werden, wodurch in der gesamten EU Gesundheitsdaten in einheitlichen Formaten elektronisch verfügbar gemacht werden sollen. Macht bspw. ein Deutscher Urlaub in Spanien und wird dort krank, hat der behandelnde Arzt in Spanien künftig die Möglichkeit, die gesamte Krankenhistorie des Patienten auf seinem Computer in spanischer Sprache einzusehen. Diese und viele weitere Vorzüge soll die Verordnung ermöglichen und für die Digitalisierung im Bereich der digitalen Gesundheit einen Meilenstein darstellen.

Zur Verordnung

Der Verordnungsentwurf setzt sich aus zwei maßgeblichen Säulen zusammen: Der Primärnutzung von Gesundheitsdaten und der Sekundärnutzung von Gesundheitsdaten.  

1. Primärnutzung
Ein wesentlicher Kernaspekt der Primärnutzung soll die Verarbeitung von elektronischen Gesundheitsdaten zu Zwecken der Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands von Betroffenen sein.

Hierfür sollen Patienten zum einem die Möglichkeit bekommen, auf ihre elektronischen Gesundheitsdaten sofort, kostenlos und in einem leicht lesbaren Format zugreifen zu können. Darüber hinaus soll es ihnen auch möglich sein, eine elektronische Kopie ihrer Patientenakte, bestehend aus einigen priorisierten Daten, abrufen und selbst Gesundheitsinformationen in ihrer Patientenakte eintragen zu können. Zudem sollen sie das Recht haben, den Datenzugriff durch Angehörige von Gesundheitsberufen zu beschränken und Informationen darüber zu erhalten, wer konkret auf ihre elektronische Patientenakte zugegriffen hat. Neben diesen Personengruppen sollen auch Angehörige von Gesundheitsberufen Zugriff auf die elektronischen Gesundheitsdaten von Patienten erhalten, wobei diese grds. mit bestimmten priorisierten Gesundheitsdaten versorgt werden müssen.

Darüber hinaus soll auch ein einheitliches europäisches Austauschformat für die personenbezogenen elektronischen Gesundheitsdaten festgelegt werden sowie eine zentrale europäische Plattform mit dem Namen „MyHealth@EU“ geschaffen werden, womit der Datenaustausch unter den einzelnen Mitgliedsstaaten technisch ermöglicht werden soll. Parallel dazu sollen in der Verordnung auch neue Regelungen für EHR-Systeme festgehalten werden. EHR-Systeme sind Geräte, welche vom Hersteller dazu bestimmt sind, elektronische Patientenakten zu speichern, zu vermitteln oder zu bearbeiten. Das Inverkehrbringen sowie die Inbetriebnahme dieser EHR-Systeme soll nur unter den in der Verordnung genannten Voraussetzungen möglich sein. Dies betrifft insbesondere Vorgaben zur Interoperabilität, Kompatibilität und Sicherheit von EHR-Systeme sowie zum Datenschutz. Bspw. soll die in Deutschland verfügbare elektronische Patientenakte künftig an Systeme anderer EU Länder angeschlossen werden können. Hersteller von EHR-Systemen sollen hierbei verpflichtet werden, die Konformität mit diesen Anforderungen durch eine CE-Kennzeichnung nachzuweisen.

2. Sekundärnutzung
Die Sekundärnutzung hingegen soll die Verarbeitung von elektronischen Gesundheitsdaten für Zwecke der Forschung, Innovation, Patientensicherheit oder Regulierungstätigkeit regeln, wobei auch Daten erfasst werden sollen, welche ursprünglich für die Primärnutzung erhoben wurden. Die Umsetzung soll dann wie folgt aussehen: Datennutzer müssen zunächst einen Antrag auf Zugang zu den elektronischen Gesundheitsdaten bei einer von den Mitgliedsstaaten errichteten nationalen Stelle stellen, welche für die Erteilung der Genehmigung zuständig wäre. Diese soll sicherstellen, dass nach Antragsgewährung die jeweiligen Daten den Datennutzern zur Verfügung gestellt werden, welche sich im Besitz des Dateninhabers (z.B. Krankenhäuser, medizintechnische Unternehmen etc.)  befinden. Die nationale Stelle wäre insofern für das gesamte Genehmigungsverfahren zuständig. Die Datennutzer dürften die Daten lediglich in einer sicheren Umgebung einsehen, weshalb ein Download der Dateien in der Regel nicht möglich wäre. Der Dateninhaber müsste sodann die jeweiligen Daten anonym und innerhalb von zwei Monaten zur Verfügung stellen. Hierfür soll eine europäische Infrastruktur geschaffen werden, welche die grenzüberschreitende Datenübermittlung gewährleisten soll.

Kritik

Seit Veröffentlichung des Verordnungsentwurfs hagelt es viel Kritik:

• So sehen insbesondere der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte dringenden Nachbesserungsbedarf beim Schutz der betroffenen Daten (siehe hierzu Gemeinsame Stellungnahme des EDSA und des EDSB).
• Im Rahmen ihrer Pressemitteilung vom 05.04.2023 fordert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 05. April 2023 Nachbesserungen in Bezug auf den Entwurf der Verordnung. Hiernach müssten in der Verordnung zusätzlich Regelungen dazu aufgenommen werden, in welcher Form die Daten zu verschlüsseln seien. Darüber hinaus fehlen Regelungen zu den Betroffenenrechten. Betroffenen sollte nämlich eine Möglichkeit an die Hand gegeben werden, ihre Daten kontrollieren zu können. Hierfür müssten die Übermittlungswege und Verarbeitungsprozesse transparent gestaltet werden und den Betroffenen konkrete sowie leicht verständliche Informationen zur Verfügung gestellt werden.
• Kritisiert wird insbesondere auch, dass sich die Regelungen auch auf sog. Wellness-Apps, wie etwa Fitness-Tracker, beziehen. Die im Zusammenhang mit diesen Apps verarbeiteten Daten weisen jedoch eine andere Qualität auf, da hierbei wesentlich umfangreichere Daten über Betroffene verarbeitet werden. Eine Einbeziehung dieser Daten wäre mit weitreichenden Konsequenzen verbunden, da insbesondere ein umfassender Einblick in den Lebensalltag der Betroffenen ermöglicht wird. Möglicherweise wäre (je nach Datenqualität und -zusammenstellung) trotz Anonymisierung ein Rückschluss auf die konkrete Person möglich. Bei klassischen Medizinprodukten hingegen werden lediglich punktuell Daten erhoben, wie bspw. „nur“ die Aufnahme eines Röntgenbildes.
• Darüber hinaus gibt es auch Kritiker, die sich gegen die Einrichtung einer nationalen Behörde aussprechen und vielmehr eine einheitliche europäische Stelle bevorzugen, wodurch unterschiedliche Entscheidungspraxen vermieden werden sollen.
• Nicht zuletzt soll auch das Verhältnis zwischen der Datenschutzgrundverordnung (nachfolgend „DS-GVO“), des EHDS sowie etwaiger nationaler Bestimmungen geklärt werden.

Ausblick

Insgesamt kann festgehalten werden, dass mit dem EHDS im Hinblick auf die Digitalisierung im Gesundheitsbereich ein großer Schritt nach vorne gemacht wird und einen Meilenstein für die Schaffung einer europäischen Gesundheitsunion darstellt.  Auch wenn angesichts der Uneinigkeit hinsichtlich einiger Regelungen aktuell noch nicht mit Sicherheit eingeschätzt werden kann, wann konkret mit einem Abschluss des Gesetzgebungsverfahrens gerechnet werden kann, muss die Digitalisierung des Gesundheitssystems in Deutschland zügig nachgeholt werden. Mit Inkrafttreten der Verordnung wird nämlich der europäische Gesundheitsdatenraum unmittelbar geltendes Recht, dessen Nichtanwendung Sanktionen zur Folge haben wird.

Für von der Verordnung betroffene Akteure aus dem Gesundheits- und Medizinsektor, wie z.B. Gesundheitsdienstleister, Unternehmen und Forschungseinrichtungen wird es wohl darauf hinauslaufen, Mittel und Wege aufzufinden, welche sicherstellen, dass diese sich rechtssicher im Spannungsfeld von EHDS-Verordnung und DS-GVO bewegen, zumal Verstöße gegen den Gesundheitsdatenschutz hohe Bußgelder nach sich ziehen können. Daher sollten sich die vorgenannten Gruppen bereits jetzt mit dieser Thematik auseinandersetzen. Um auch die Anforderungen im Hinblick auf den Nachweis durch die CE-Kennzeichnung sicherzustellen, sollten sich Hersteller von EHR-Systemen zeitnah eine entsprechende Compliance-Strategie überlegen und in ihrem Unternehmen integrieren. Da auch Einführer und Händler Kontroll- und Überwachungspflichten treffen, sollten auch diese entsprechende Vorkehrungen treffen. Es ist nämlich davon auszugehen, dass der EHDS – wie die DS-GVO im Übrigen bei ihrer Einführung im Jahr 2018 auch – große Auswirkungen auf Gesundheitsdienstleister und andere medizinische Unternehmen haben wird.