Der Europäische Gesundheitsdatenraum: Was auf Unternehmen und Gesundheitseinrichtungen zukommt
Grundlagen des Europäischen Gesundheitsdatenraums (EHDS)
Mit dem Start der EU-Verordnung zum Europäischen Gesundheitsdatenraum (European Health Data Space, EHDS) nehmen die Veränderungen im Umgang mit Gesundheitsdaten in der gesamten EU an Fahrt auf. Die EHDS-Verordnung ergänzt die Datenschutz-Grundverordnung (DSGVO) mit spezifischen Regelungen für den Gesundheits- und Forschungssektor und schafft erstmalig eine europaweite digitale Infrastruktur, um elektronische Gesundheitsdaten grenzüberschreitend zu verarbeiten und verfügbar zu machen. Das übergeordnete Ziel: Patienten, Forschende und Einrichtungen sollen von einem sicheren, effizienten und transparenten Datenaustausch profitieren – bei gleichzeitig hohem Datenschutzstandard.
Die zentrale Idee des EHDS besteht darin, mehr als nur eine digitale Patientenakte zu schaffen. Vielmehr stehen eine bessere Gesundheitsversorgung, die Förderung medizinischer Forschung und die Stärkung der öffentlichen Gesundheit im Fokus, indem Gesundheitsdaten aus ganz Europa in klar geregelten Verfahren genutzt werden können. Die EU-Verordnung ist seit dem 26. März 2025 in Kraft und wird den Alltag von Gesundheitsdienstleistern, Kostenträgern, Forschungseinrichtungen, aber auch Patientinnen und Patienten grundlegend verändern.
Primär- und Sekundärnutzung von Gesundheitsdaten: Die Unterschiede
Der EHDS unterscheidet klar zwischen der Primär- und Sekundärnutzung digitaler Gesundheitsdaten. Die Primärnutzung umfasst sämtliche Datenverarbeitungen, die unmittelbar für die individuelle medizinische Betreuung notwendig sind – etwa Diagnose, Behandlung, Prävention oder Kostenabrechnung. Anwender dieser Primärdaten sind beispielsweise Ärztinnen und Ärzte, Krankenhäuser, Apotheken oder Sozialversicherungsträger.
Anders sieht es bei der Sekundärnutzung aus: Hier werden Daten genutzt, die ursprünglich für die medizinische Betreuung erhoben wurden, nun jedoch für weiterführende Zwecke wie Forschung, Qualitätssicherung im Gesundheitssystem oder die Entwicklung neuer Therapien und Medikamente eingesetzt werden. Auch Maßnahmen der öffentlichen Gesundheit, politische Entscheidungen oder Ausbildungszwecke können darunter fallen. Der Datenschutz bleibt dabei ein zentraler Anker: Die Verarbeitung erfolgt meist in anonymisierter Form und ist an enge rechtliche Vorgaben geknüpft.
Rechte, Pflichten und Chancen für Beteiligte
Datenschutz und Transparenz bei der Nutzung von Gesundheitsdaten
Der EHDS stellt viele Anforderungen an die datenverarbeitenden Stellen, um die Rechte der Betroffenen zu wahren. Für medizinische Fachkräfte und Einrichtungen gilt: Sie müssen Gesundheitsdaten ihrer Patientinnen und Patienten in elektronische Systeme (EHR-Systeme, Electronic Health Record Systems) einspeisen, die den lückenlosen und sicheren Austausch der Daten innerhalb Europas erlauben.
Transparenz ist ein zentrales Anliegen: Nach den neuen Regelungen haben Betroffene Anspruch, kostenlos und unmittelbar auf ihre erhobenen Gesundheitsdaten zuzugreifen. Sie können elektronische Kopien erhalten, eigene Angaben beisteuern oder auch bestimmen, welche Gesundheitsdienstleister Zugriff auf ihre Daten erhalten – und gegebenenfalls Einschränkungen definieren. Dieser Anspruch geht in vielen Punkten über die bisherigen Informationsrechte nach der DSGVO hinaus.
Darüber hinaus behalten die EU-Mitgliedsstaaten einen gewissen Gestaltungsspielraum: Sie können etwa festlegen, ob und wie Patientinnen und Patienten der Primärnutzung ihrer Daten in elektronischen Systemen widersprechen dürfen. Es bleibt abzuwarten, wie Deutschland hiervon Gebrauch machen wird.
Sekundärnutzung: Forschung, Innovation und Widerspruchsrecht
Für die Sekundärnutzung greift der EHDS strenge Regeln: Ein Zugang zu Gesundheitsdaten für Forschungs- oder andere anerkannte Zwecke ist nur durch ein genehmigungspflichtiges Verfahren bei nationalen Zugangsstellen möglich. Anträge auf Datennutzung werden geprüft und der Zugriff erfolgt meist nur anonymisiert – Ausnahmen gibt es nur in sehr eng abgegrenzten Fällen, beispielsweise in pseudonymisierter Form für bestimmte wissenschaftliche Projekte.
Die Liste der zulässigen Verwendungszwecke ist klar definiert: So sind Werbung und die Entscheidungsfindung zu Lasten von Betroffenen ausdrücklich untersagt. Die Ergebnisse der Forschung, die auf Basis dieser Daten erfolgt, müssen zudem in anonymisierter Form veröffentlicht werden. Besonders beachtenswert: Patientinnen und Patienten haben ein umfassendes Widerspruchsrecht gegen die Zweitnutzung ihrer Gesundheitsdaten. Die EU-Mitgliedsstaaten sind verpflichtet, einfache Wege für die Ausübung dieses Rechts zu schaffen.
Technische Anforderungen und nächste Schritte für Akteure
Was EHR-Systeme leisten müssen – Anforderungen an Hersteller und Betreiber
Ein zentrales Element des EHDS sind die sogenannten EHR-Systeme. Diese digitalen Systeme dienen sowohl der Erfassung als auch der strukturierten Weitergabe und Verarbeitung von Gesundheitsdaten. Hersteller und Betreiber dieser Systeme müssen umfangreiche technische und organisatorische Maßnahmen umsetzen, damit Datenschutz und Datensicherheit auf höchstem Niveau gewährleistet werden. Dazu gehören Zertifizierungen, die regelmäßige Überprüfung der IT-Sicherheit und Vorkehrungen zum Schutz vor Cyberangriffen.
Nur EHR-Systeme, die den EU-Anforderungen entsprechen, dürfen künftig auf den europäischen Markt gebracht und in Betrieb genommen werden. Für Verantwortliche und IT-Abteilungen bedeutet das: Sie müssen prüfen, ob ihre bestehenden Systeme den neuen Vorgaben genügen oder Anpassungen erforderlich sind. Zudem sollten sie rechtzeitig einen Umsetzungsfahrplan entwickeln, um die gesetzlichen Fristen einzuhalten.
Fahrplan: Was jetzt zu tun ist und wie Sie sich vorbereiten
Die EHDS-Verordnung gilt europaweit unmittelbar, das heißt, nationale Gesetze sind für ihre Umsetzung nicht erforderlich. Die Regelungen treten jedoch schrittweise in Kraft – mit Übergangsfristen, die je nach Bereich zwischen zwei und zehn Jahren liegen. Spätestens ab März 2027 wird es für viele Akteure ernst.
Der erste Schritt für Gesundheitseinrichtungen, Krankenkassen, Forschungseinrichtungen und andere Beteiligte sollte darin bestehen, ihre bestehende Datenschutzorganisation zu überprüfen. Eine Gap-Analyse zeigt schnell, wo Anpassungsbedarf besteht. Verantwortliche sollten ihre Datenschutzbeauftragten von Beginn an einbinden und gemeinsam die notwendige Strategie für das eigene Unternehmen erarbeiten.
Wer bereits DSGVO-konform aufgestellt ist, wird von den neuen Anforderungen nicht überrascht – dennoch sind spezifische Ergänzungen und Anpassungen unvermeidlich. Es empfiehlt sich, frühzeitig mit der Planung und Umsetzung zu beginnen, um Verzögerungen und mögliche Sanktionen zu vermeiden.
Sie möchten wissen, wie Ihr Unternehmen optimal auf die neuen datenschutzrechtlichen Anforderungen vorbereitet ist? Benötigen Sie Unterstützung bei der Analyse bestehender Prozesse oder suchen Sie kompetente Beratung zur Umsetzung des Europäischen Gesundheitsdatenraums? Dann kontaktieren Sie uns gerne – wir sind für Sie da!