Der European Health Data Space (EHDS) kommt – ein Über­blick

Fast drei Jahre nach der Veröffentlichung des Erstentwurfs wurde am 5. März 2025 im Amtsblatt der EU die Verordnung (EU) 2025/327 über den europäischen Raum für Gesundheitsdaten („EHDS-VO“) veröffentlicht. Die Verordnung tritt damit am 26. März 2025 (zwanzig Tage nach ihrer Veröffentlichung) in Kraft. Innerhalb von zwei Jahren nach dem Inkrafttreten sollen nun verschiedene Durchführungsakte erlassen werden. Die Verordnung gilt grundsätzlich ab dem 26. März 2027, wobei bestimmte Regelungen auch erst zu einem späteren Zeitpunkt gelten (Art. 105 EHDS-VO).

Die EHDS-VO besteht aus drei Hauptsäulen. Was sich ändert und wen diese Änderungen betreffen, erfahren Sie in diesem Überblick.

I. Neue Rechte natürlicher Personen in Bezug auf personenbezogene elektronische Gesundheitsdaten („peG“) – Die Primärnutzung von peG

Die erste Säule betrifft die so genannte Primärnutzung von peG.

Gesundheitsdienstleister waren schon bisher verpflichtet, Gesundheitsdaten zu dokumentieren. Künftig müssen sie bestimmte Gesundheitsdaten in EHR-Systemen erfassen, d.h. in Systemen für elektronische Gesundheitsaufzeichnungen (Art 13 EHDS-VO).

Betroffen sind alle personenbezogenen elektronischen Gesundheitsdaten, die in eine der neu eingeführten „prioritären Kategorien“ fallen (vgl. Art. 14 EHDS-VO).

Dies gilt ab dem 26. März 2029 für Patientenkurzakten, elektronische Verschreibungen und elektronische Abgaben von Arzneimitteln. Für weitere prioritäre Kategorien (nämlich medizinische Bildgebung und darauf gestützte Befunde, Ergebnisse medizinischer Untersuchungen und Entlassungsberichte) gilt dies erst ab dem 26. März 2031 (Art. 14 EHDS-VO, Art.105 EHDS-VO).

Natürliche Personen können diese peG dann über einen oder mehrere Zugangsdienste für elektronische Gesundheitsdaten (z.B. ein Portal oder eine App), deren Einrichtung die Mitgliedstaaten sicherstellen müssen, folgende Rechte ausüben:

• Zugangsrecht zu peG, die in eine prioritäre Kategorie fallen und für die Gesundheitsversorgung verarbeitet werden; dies umfasst auch eine Möglichkeit zum Download in einem noch zu entwickelnden europäischen Austauschformat (Art. 3 Abs. 1 und 2 EHDS-VO)
• Einrichtung von Zugangsbeschränkungen gegenüber Angehörigen von Gesundheitsberufen und Gesundheitsdienstleistern (Art. 8 EHDS-VO)
• Auskunftsrecht über Datenzugriffe (Art. 9 EHDS-VO)
• Recht auf Berichtigung von peG (Art. 6 EHDS-VO) und Recht zur Eingabe von Informationen (Art. 5 EHDS-VO)
• Recht auf (grenzüberschreitende) Datenübertragbarkeit (Art. 7 EHDS-VO)
• Widerspruch gegen Primärdatennutzung über Zugangsdienste (Art. 10 EHDS-VO).
• Benennung digitaler Vertreter, die ebenfalls Datenzugriff erhalten können (vgl. Art. 4 Abs. 2 EHDS-VO)

Angehörige von Gesundheitsberufen erhalten (grenzüberschreitend) Zugriff auf die Daten der von ihnen behandelten Personen über eigene Zugangsdienste (Art. 11 und 12 EHDS-VO). Hierfür soll auf der bisher freiwillig nutzbaren Infrastruktur „Myhealth@EU“ aufgebaut werden (Art. 23 EHDS-VO).

II. Verbesserter und vereinfachter Zugriff auf Datensammlungen – Die Sekundärnutzung von peG

Die zweite Säule betrifft die so genannte Sekundärnutzung von peG.

1. Was ist Sekundärnutzung und welche Daten sind durch wen bereitzustellen?

Unter Sekundärnutzung ist die Nutzung von peG für Zwecke außerhalb der direkten Patientenversorgung zu verstehen, zum Beispiel für die Forschung.

Gesundheitsdateninhaber müssen hierfür Mindestkategorien von Daten zur Verfügung stellen. Dazu gehören zum Beispiel elektronische Gesundheitsdaten aus EHR, aus klinischen Studien sowie aus bestimmten medizinischen Registern (Art. 51 EHDS-VO). Einen Überblick über vorhandene Gesundheitsdaten für die Sekundärnutzung sowie ihre Qualität und Nutzbarkeit sollen künftig öffentlich verfügbare Datensatzkataloge und insbesondere ein EU-Datensatzkatalog gewähren (Art. 79 EHDS-VO).

2. Wer kann welche Arten der Sekundärnutzung beantragen?

Zugang zu peG zwecks Sekundärnutzung können natürliche oder juristische Personen zu den in der Verordnung bestimmten Zwecken erhalten (Art. 67 Abs. 1 EHDS-VO)

Hierfür ist ein Antrag auf Datengenehmigungen bei nationalen Kontaktstellen für die Sekundärnutzung elektronischer Gesundheitsdaten zu stellen. Eine Datengenehmigung und der damit einhergehende Datenzugang werden erteilt, wenn die hohen gesetzlichen Anforderungen an den Schutz der Daten erfüllt werden und die beantragten Zwecke den in der EHDS-VO festgelegten Zwecken entsprechen (vgl. Art. 68 EHDS-VO).

Zugelassene Zwecke sind etwa das öffentliche Interesse im Bereich der öffentlichen Gesundheit, Politikgestaltungs- und Regulierungstätigkeiten, Bildungs- oder Lehrtätigkeiten sowie bestimmte wissenschaftliche Forschung im Gesundheitswesen oder Pflegesektor, einschließlich Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienstleistungen und das Trainieren, Testen und Bewerten von Algorithmen (etwa in Medizinprodukten, In-vitro-Diagnostika, KI-Systemen und digitalen Gesundheitsanwendungen (vgl. im Einzelnen Art. 53 EHDS-VO).

Daneben kann eine so genannte „Gesundheitsdatenanfrage“ gestellt werden, wenn die Anfrage lediglich auf eine Antwort in einem anonymisierten statistischen Format zielt (Art. 69 EHDS-VO).

III. Anforderungen an EHR-Systeme

Die dritte Säule bilden die neuen Vorschriften für EHR-Systeme, einschließlich weniger Regelungen zu Wellness-Anwendungen.

Der Begriff des EHR-Systems ist weit gefasst und bezeichnet jedes System, bei dem die Software oder eine Kombination aus Hardware und Software es ermöglicht, peG, aus “prioritären Kategorien” (Art. 14 EHDS-VO) zu speichern, zu vermitteln, zu exportieren, zu importieren, zu konvertieren, zu bearbeiten oder anzuzeigen und das vom Hersteller zur Verwendung durch Gesundheitsdienstleister bei der Patientenversorgung oder durch Patienten für den Zugang zu ihren elektronischen Gesundheitsdaten bestimmt ist (Art. 2 Abs. 2 Buchst. k EHDS-VO).

EHR-Systeme müssen künftig zwei harmonisierte Komponenten enthalten: die europäische Interoperabilitätskomponente für EHR-Systeme und eine „europäische Protokollierungskomponente für EHR-Systeme“, die Datenzugriffe trackt (vgl. Art. 25 Abs. 1 EHDS-VO). Eine Beurteilung der Produkt-Compliance von EHR-Systemen durch Dritte wird es nicht geben. Hersteller müssen aber unter anderem gemäß Art. 30 Abs. 1 EHDS-VO für ihre EHR-Systeme:

• eine technische Dokumentation erstellen und aktuell halten, die auf den Ergebnissen einer Prüfung der Software in einer (noch zu entwickelnden) digitalen Prüfumgebung basiert (Art. 37, 40 EHDS-VO).
• eine EU-Konformitätserklärung ausstellen (sind unter mehreren Rechtsakten für ein Produkt Konformitätserklärungen erforderlich, wird eine einzige, alle Rechtsakte umfassende EU-Konformitätserklärung ausgestellt (Art. 39 EHDS-VO)
• die CE-Kennzeichnung anbringen (Art. 41 EHDS-VO)
• Registrierungspflichten nachkommen (Art. 49 EHDS-VO), da eine EU-Datenbank über EHR-Systeme und bestimmte Wellnessanwendungen eingerichtet wird.

Weitere Pflichten werden für „Quasi-Hersteller“, Einführer und Händler von EHR-Systemen, sowie für sogenannte Wellness-Anwendungen begründet.

 

 

Mehr aus der Reihe „Noerr Health Data Update“: Neue Anforderungen an Cloud-Computing-Dienste im Gesundheitswesen