A. Bisherige Entwicklungen
Der Zugang zu umfangreichen, repräsentativen und qualitativ hochwertigen Gesundheitsdaten stellt heutzutage eine unerlässliche Voraussetzung für ein modernes, effizientes und resilientes Gesundheitssystem dar. Nicht zuletzt aufgrund der Erfahrungen aus der Corona-Pandemie hat die EU-Kommission deswegen die Schaffung eines Europäischen Gesundheitsdatenraumes als erster der sog. Europäischen Datenräume vorgesehen. Diese neun geplanten sektorspezifischen Regelungen sind zusammen mit horizontalen Regulierungen wie dem Data-Governance-Act und Data-Act Teil der Europäischen Datenstrategie der EU-Kommission und sollen zur Schaffung eines europäischen „Binnenmarktes für Daten“ beitragen. Dabei soll der Europäische Gesundheitsdatenraum durch die Schaffung einheitlicher Regeln und Standards, einer grenzübergreifenden interoperablen Infrastruktur und Etablierung einer entsprechenden Governance-Struktur bei gleichzeitiger Stärkung der Rechte von natürlichen Personen die Primär- und Sekundärnutzung von Gesundheitsdaten fördern. Zur Umsetzung dieses ambitionierten Ziels hat die EU-Kommission im Mai 2022 einen ersten Verordnungsentwurf veröffentlicht.1 Nachdem am 07.12.2023 der EU-Rat2 und am 13.12.2023 das EU-Parlament3 ihre jeweiligen Kompromissvorschläge veröffentlich hatten, konnte am 15.03.2024 verkündet werden, dass ein provisorischer Kompromiss im Rahmen des Trilog-Verfahrens gefunden werden konnte.4 Dieser Kompromissvorschlag wurde am 24.04.2024 formal vom EU-Parlament angenommen5 (im Folgenden als EHDS-VO-E bezeichnet). Eine Verkündung im Amtsblatt wird für Herbst 2024 erwartet.
Dieser Artikel stellt die wesentlichen Neuerungen und Änderungen vor, welche in dem Trilog-Ergebnis im Vergleich zum ursprünglichen Kommissionsentwurf enthalten sind.6 Diese betreffen die Rechte natürlicher Personen in Bezug auf die Primär- und Sekundärdatennutzung, dem Schutz von Rechten geistigen Eigentums und von Geschäftsgeheimnissen sowie die Regelung der Verhängung von Bußgeldern.
B. Überblick über wesentliche Änderungen
I. Primärdatennutzung
In Kapitel II des EHDS-VO-E, welcher die sog. Primärdatennutzung von Gesundheitsdaten regelt, haben insbesondere die Rechte von natürlichen Personen hinsichtlich ihrer personenbezogenen elektronischen Gesundheitsdaten Änderungen erfahren. Primärdatennutzung bezeichnet dabei grundsätzlich die Verarbeitung elektronischer Gesundheitsdaten für die Erbringung von Gesundheitsdienstleistungen.7 Zum einen wurde mit Art. 8a EHDS-VO-E ein Recht der Patienten geschaffen Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten über einen Zugangsdienst zu erhalten. Dieses Zugangsrecht soll gemäß Erwägungsgrund 8 EHDS-VO-E das Auskunftsrecht aus Art. 15 DSGVO ergänzen und den natürlichen Personen einen sofortigen und kostenlosen Zugriff auf ihre Gesundheitsdaten ermöglichen. Das Auskunftsrecht aus Art. 15 DSGVO soll davon unberührt jedoch auch weiterhin bestehen.
Zudem wurde in Art. 8h EHDS-VO-E mittels einer Öffnungsklausel den Mitgliedstaaten die Möglichkeit eröffnet, ein Widerspruchsrecht von natürlichen Personen gegen die Primärnutzung ihrer Gesundheitsdaten einzuführen. In einem solchen Fall sind diese Daten zwar noch elektronisch gespeichert, auf sie kann jedoch nur der ursprünglich Verantwortliche und keine anderen Gesundheitsdienstleister zugreifen.
II. Sekundärdatennutzung
Umfangreiche Änderungen im Rahmen des Gesetzgebungsprozesses haben zudem die Regelungen zur Sekundärdatennutzung in Kapitel IV des EHDS-VO-E erfahren. Sekundärdatennutzung bedeutet dabei gemäß der Legaldefinition in Art. 2 Abs. 2 Buchst. e EHDS-VO-E die Verarbeitung elektronischer Gesundheitsdaten für die Zwecke aus Art. 34 EHDS-VO-E, sofern die Daten nicht für diese Zwecke ursprünglich erhoben oder erstellt wurden.
1. Rechte natürlicher Personen in Bezug auf die Sekundärdatennutzung
Bis zuletzt in den Trilog-Verhandlungen umstritten war die Frage, inwiefern und inwieweit natürlichen Personen ein Widerspruchsrecht hinsichtlich der Sekundärdatennutzung ihrer Daten zustehen solle. Während im ursprünglichen Kommissionsentwurf ein solches Recht gänzlich fehlte, forderte der Rat zumindest die Schaffung einer Öffnungsklausel für die Einführung eines solchen Rechts in den Mitgliedstaaten.8 Der Vorschlag des EU-Parlament ging hingegen noch weiter und forderte eine Kombination aus generellem Opt-out für die Sekundärdatennutzung mit dem Erfordernis eines Opt-ins für die Nutzung von genetischen Daten und Daten aus Wellness-Applikationen und Biodatenbanken.9 Das Trilog-Ergebnis enthält hier in Art. 48a EHDS-VO-E einen Mittelweg. Demnach steht natürlichen Personen ein Widerspruchsrecht hinsichtlich der Sekundärnutzung ihrer Daten zu.10 Die Mitgliedstaaten können jedoch durch eine Öffnungsklausel in Art. 33 Abs. 8b EHDS-VO-E strengere Maßnahmen und Garantien zum Schutz von besonders sensiblen Datenkategorien einführen, wie etwa das Erfordernis eines Opt-ins hinsichtlich der Sekundärdatennutzung von Daten besonders sensibler Kategorien.
Dem entgegengesetzt steht es den Mitgliedstaaten jedoch auch durch Art. 48a Abs. 3 EHDS-VO-E ebenfalls offen, das Widerspruchsrecht für die Sekundärdatennutzung zum Zweck der öffentlichen Gesundheit, Politikgestaltung, Statistik oder Forschung von besonderem öffentlichem Interesse außer Kraft zu setzen. Diese Ausnahmen sind jedoch nur in grundrechtswahrender und verhältnismäßiger Weise zulässig und erfordern zudem spezifische und geeignete zusätzliche Maßnahmen zum Schutz der Grundrechte und personenbezogener Daten der betroffenen natürlichen Personen (Art. 48a Abs. 2 Unterabs. 2, Abs. 4 EHDS-VO-E).
Vielfach kritisiert am Vorschlag der Kommission wurde zudem auch, dass die nationalen Zugangsstellen für Gesundheitsdaten natürliche Personen kategorisch nicht über die Verwendung ihrer Daten im Rahmen der Sekundärdatennutzung informieren sollten.11 Dies wurde gänzlich gestrichen, in Erwägungsgrund 44 EHDS-VO-E findet sich lediglich der Hinweis, dass die nationalen Zugangsstellen den Transparenzpflichten aus Art. 14 DSGVO unterliegen, jedoch die Ausnahmen des Art. 14 Abs. 5 DSGVO anwendbar sein könnten.
2. Schutz von geistigem Eigentum und Geschäftsgeheimnissen
Ursprünglich sah der Entwurf der Kommission bezüglich Gesundheitsdaten, die durch Rechte geistigen Eigentums oder als Geschäftsgeheimnisse geschützt sind, nur die Verpflichtung zur Bereitstellung dieser für die Sekundärdatennutzung und die Gewährleistung ihres Schutzes durch die Zugangsstellen für Gesundheitsdaten durch „alle erforderlichen Maßnahmen“ vor.12 In dem neu eingefügten Art. 33a EHDS-VO-E wurde die Bereitstellungspflicht übernommen, jedoch der Schutz deutlich konkreter ausgestaltet. Demnach können die Dateninhaber die Zugangsstellen darüber unterrichten, ob und, wenn ja, welche Gesundheitsdaten Inhalte oder Informationen enthalten, die durch Rechte geistigen Eigentums geschützt sind (Art. 33a Satz 2 Buchst. a EHDS-VO-E). Die Zugangsstellen für Gesundheitsdaten sollen im Anschluss alle spezifischen geeigneten und verhältnismäßigen Maßnahmen, einschließlich rechtlicher, organisatorischer und technischer Maßnahmen ergreifen, welche sie für den Schutz dieser Rechte für erforderlich halten (Art. 33a Satz 2 Buchst. b EHDS-VO-E). Die Erteilung von Datengenehmigung für die Sekundärdatennutzung dieser Daten kann dabei von solchen Maßnahmen, etwa vertragliche Vereinbarungen zwischen Dateninhaber und Datennutzer abhängig gemacht werden (Art. 33a Satz 2 Buchst. c EHDS-VO-E). Schließlich kann der Zugang zu den Daten bei einem ernsten Risiko, welches nicht auf zufriedenstellende Weise beseitigt werden kann, auch gänzlich verweigert werden (Art. 33a Satz 2 Buchst. d EHDS-VO).
III. Schadensersatzregelungen/Strafzahlungen
Für die Durchsetzung der Pflichten von Dateninhabern und Datennutzern sah bereits der Entwurf der Kommission einen Maßnahmenkatalog vor, etwa den Widerruf von Datengenehmigungen oder den generellen Ausschluss von dem Zugangsregime des EHDS für die Sekundärdatennutzung.13 Die Regelungen über die Verhängung möglicher Bußgelder und über deren Höhe überließ der Entwurf jedoch gänzlich den Mitgliedstaaten.14 Der neu eingeführte Art. 43a EHDS-VO-E sieht nun hingegen bestimmte allgemeine Regelungen für die Verhängung von Bußgeldern vor. Diese müssen gemäß Art. 43 Abs. 1 EHDS-VO wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung über ihre Verhängung und über ihre Höhe soll gemäß Art. 43 Abs. 2 EHDS-VO-E eine Vielzahl von Kriterien beachtet werden, u.a. die Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit des Verstoßes und Grad der Verantwortung unter Berücksichtigung technisch-organisatorischer Maßnahmen. Die Strafzahlungen können dabei für Verstöße von Gesundheitsdateninhabern gegen Pflichten aus Art. 43 EHDS-VO-E und von Gesundheitsdatennutzern aus Art. 43a Abs. 1, 4, 5, 7 EHDS-VO-E, etwa bei Nutzung entgegen der Datengenehmigung oder unterlassener Zusammenarbeit mit der Zugangsstelle für Gesundheitsdaten bis zu einer Höhe von 10.000.000 Euro oder 2% des weltweiten Umsatzes verhängt werden, abhängig davon, welcher Betrag höher ist. Bei besonders gravierenden Verstößen von Gesundheitsdatennutzern, etwa die Nutzung für verbotene Zwecke i.S.d. Art. 43a Abs. 5 EHDS-VO-E, Ausleitung der Daten aus den sicheren Verarbeitungsumgebungen oder dem Versuch der Re-Identifizierung natürlicher Personen, drohen sogar Bußgelder bis 20.000.000 Euro oder 4% des Jahresumsatzes.
Die Ausgestaltung sonstiger Sanktionen ist weiterhin gemäß Art. 69 EHDS-VO-E den Mitgliedstaaten überlassen.
Außerdem wurde die Möglichkeit in Art. 68a EHDS-VO-E geschaffen, mittels einer sog. „horizontalen Beschwerde“ bei möglichen Beeinträchtigungen von Rechten oder Interessen durch die Primär- und Sekundärdatennutzung bei einer Behörde für digitale Gesundheit oder einer Stelle eine Untersuchung durch diese zu veranlassen. Natürliche Personen können sich dabei gemäß Art. 69b EHDS-VO-E von auf dem Gebiet des Datenschutzes tätigen gemeinnützigen Einrichtungen, Organisationen oder Vereinigungen mit dem satzungsmäßigen Ziel der Verfolgung öffentlicher Interessen vertreten lassen.
Zudem steht natürlichen Personen nun durch Art. 69a EHDS-VO-E ein Recht auf Ersatz materieller und immaterieller Schäden bei Verstößen gegen die Verordnung zu.
C. Ausblick
Mit der Annahme des Trilog-Kompromisses befindet sich der Europäische Gesundheitsdatenraum auf der „legislativen Zielgerade“. Durch den Gesetzgebungsprozess wurden einige „Schwachstellen“ des ursprünglichen Entwurfs deutlich verbessert, etwa hinsichtlich des Schutzes geistigen Eigentums oder der Regelung von Bußgeldern. Auch die Rechte von natürlichen Personen in Bezug auf die Nutzung ihrer Gesundheitsdaten wurden u.a. durch die Einführung oder Ermöglichung von Widerspruchsrechten deutlich gestärkt. Inwieweit dadurch das, neben der Stärkung der Rechte natürlicher Personen, erklärte Ziel der besseren und leichteren Datennutzung gefährdet sein wird, wird dabei maßgeblich von der Akzeptanz der Gesundheitsdatennutzung in der Bevölkerung abhängig sein. Nach endgültiger Verkündung der EHDS-VO warten jedoch erst die eigentlichen Herausforderungen, der Aufbau der entsprechenden Infrastrukturen und die Standarisierung und Vereinheitlichung der fragmentierten Datenlandschaften.15 Ob die EHDS-VO ihre hochgesteckten Ambitionen angesichts dessen erreichen wird, bleibt deswegen abzuwarten.
