Mit dem Digital Markets Act, dem Digital Services Act und dem Data Governance Act traten jüngst drei umfangreiche Gesetzgebungsvorhaben der europäischen Datenstrategie in Kraft. Ein Baustein der EU-Datenstrategie fristete allerdings bisher eher ein Schattendasein: Der „European Health Data Space – EHDS“, ein europäischer Gesundheitsdatenraum. Am 3.5.2022 legte die EU-Kommission einen Vorschlag für eine Verordnung über einen European Health Data Space vor. Ein Überblick.
Ziele des European Health Data Space
Mit dem EHDS will die EU-Kommission den Umgang mit Gesundheitsdaten europaweit harmonisieren. Das ist zu begrüßen. Denn die Digitalisierung und Datennutzung sind in der heutigen Medizin enorm wichtig. Qualitativ hochwertige Daten stehen im Mittelpunkt auf dem Weg zur digitalen Gesundheitsversorgung.
Konkret will die Kommission die Nutzung von Gesundheitsdaten – untergliedert in sog. Primär- und Sekundärnutzung – verbessern. Außerdem will sie ein neues Produktsicherheitsregime in Bezug auf Systeme für elektronische Patientenakten (EHR-Systeme) einführen.
Damit möchte die EU Kommission auch Lehren aus der Corona-Pandemie ziehen. Während dieser konnten Entscheidungsträger nicht ausreichend auf Daten zugreifen. EU Kommissionsvizepräsident Margaritis Schinas nannte den europäischen Raum für Gesundheitsdaten einen „Neuanfang“ für die EU Politik im Bereich der digitalen Gesundheit.
Was regelt der European Health Data Space?
Primärnutzung elektronischer Gesundheitsdaten
Primärnutzung bedeutet, personenbezogene elektronischer Gesundheitsdaten zu verarbeiten, um Gesundheitsdienste zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der betroffenen Person erbringen zu können.
Es ist das Ziel, die Rechte der Patienten, was ihre elektronischen Gesundheitsdaten betrifft, zu verbessern. Dazu baut man auf Rechten auf Datenzugang und Datenübertragbarkeit der Datenschutz-Grundverordnung (DSGVO) auf. Betroffene Personen sollen das Recht haben, auf ihre elektronischen Gesundheitsdaten sofort, kostenlos und in einem leicht lesbaren, gängigen und zugänglichen Format zuzugreifen. Auch eine elektronische Kopie der Patientenakte – beschränkt auf sog. priorisierte Daten – sollen sie abrufen können . In die elektronischen Kopie der Patientenakte sollen Patienten künftig auch selbst eigene Gesundheitsinformationen eingeben können.
Neben den Zugriffsrechten der betroffenen Personen werden auch Zugriffsrechte Angehöriger der Gesundheitsberufe auf Gesundheitsdaten geregelt. Betroffene Personen können auch beschränken, welche Daten aus der elektronischen Gesundheitsakte von Angehörigen der Gesundheitsberufe angesehen werden dürfen. Sie haben außerdem ein Recht, dass sie erfahren, wenn auf diese zugegriffen wird.
Zum erleichterten Austausch zwischen den Mitgliedstaaten soll es eine zentrale europäische Plattform für digitale Gesundheit („MyHealth@EU“) und ein europäisches Austauschformat für elektronische Patientenakten geben. Die neuen Regelungen über EHR-Systeme komplementieren diese Infrastruktur (s. unten). Eine digitale Gesundheitsbehörde der Mitgliedstaaten soll sicherstellen, dass die Rechte der Betroffenen eingehalten werden.
Sekundärnutzung elektronischer Gesundheitsdaten
Sekundärnutzung heißt, dass man elektronische Gesundheitsdaten für Zwecke der Forschung, Innovation, Patientensicherheit oder Regulierungstätigkeit verarbeitet. Das umfasst auch Daten, die ursprünglich für die Primärnutzung erhoben wurden. Dafür soll es Mindestkategorien elektronischer Daten geben, z.B. elektronische Patientenakten, Daten zu gesundheitsrelevanten Faktoren, Daten aus klinischen Studien oder Daten aus Medizinprodukten.
Um diese Daten zu erlangen, braucht es eine von den Mitgliedstaaten errichtete zuständige Stelle. Datennutzer können dort einen Antrag auf Zugang zu elektronischen Gesundheitsdaten stellen, die sich im Besitz eines „Dateninhabers“ befinden.
Die Definition des „Dateninhabers“ ist weit gefasst und schließt die meisten Krankenhäuser, Einrichtungen des öffentlichen Gesundheitswesens, pharmazeutische und medizintechnische Unternehmen ein. Liegen die Voraussetzungen vor, stellt die zuständige Stelle eine Datengenehmigung aus. Der Dateninhaber muss binnen zwei Monaten die Daten bereitstellen – und zwar nur anonym, um die Identität betroffener Personen zu schützen.
Um die grenzüberschreitende Sekundärnutzung in der gesamten EU zu ermöglichen, soll es außerdem eine europäische Infrastruktur geben.
Neues Produktsicherheitssystem für EHR-Systeme
Mit dem European Health Data Space wird ein neues Produktsicherheitsregime eingeführt, was Systeme für elektronische Patientenakten (EHR-Systeme) anbelangt. Es handelt sich praktisch um eine „Light“-Version der EU-Medizinprodukteverordnung (EU-MDR).
Die neuen Regelungen richten sich an Hersteller, Einführer oder Händler von EHR-Systemen. Der European Health Data Space gibt in seinem Anhang II die grundlegenden Anforderungen an EHR-Systeme vor. Das sind u.a. Anforderungen an die Interoperabilität, Kompatibilität, Sicherheit von EHR-Systemen, sowie an den Datenschutz. So soll z.B. die für den deutschen Gesundheitsdatenraum entwickelte und seit Anfang 2021 verfügbare elektronische Patientenakte (ePA) an Systeme anderer EU Länder angeschlossen werden können.
Hersteller von EHR-Systemen müssen die Konformität mit diesen Anforderungen durch eine CE-Kennzeichnung nachweisen. Auch wenn es sich dabei um eine Selbstzertifizierung ohne Beteiligung einer dritten Stelle handelt, sollten alle Wirtschaftsakteure die Errichtung einer Compliance-Struktur sicherstellen. Auch Einführer und Händler treffen Kontroll- und Überwachungspflichten.
Diese neuen Regelungen schließen eine Regelungslücke. Denn EHR-Systeme sind für gewöhnlich nicht als Medizinprodukte im Rahmen der EU-MDR geregelt und fallen auch nicht eindeutig in den Anwendungsbereich anderer EU-Produktsicherheitsregelungen.
Wie sieht es mit dem Schutz personenbezogener Daten aus?
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) forderten in einer gemeinsamen Stellungnahme zum Vorschlag der Europäischen Kommission für einen Rechtsakt zum Europäischen Gesundheitsdatenraum (EHDS) Nachbesserungen beim Schutz personenbezogener Daten.
Nach Ansicht der Behörden stünden die im Vorschlag eingeräumten Rechte nicht im Einklang mit der DSGVO. Sie befürchten, dass Einzelpersonen nicht zwischen den in eingeräumten Rechten und den Rechten unter der DSGVO unterscheiden könnten.
Kritisiert wird außerdem, dass sich die neuen Regelungen auf sog. Wellness-Apps und andere digitale Gesundheitsanwendungen erstrecken. Die Qualität der Daten, die bei Verwendung dieser Apps erzeugt werde, habe nicht die gleiche Qualität wie die von Medizinprodukten erzeugten Daten. Außerdem seien diese Apps in hohem Maße invasiv und generierten eine enorme Menge sensibler Informationen. Die Behörden empfehlen daher, diese vom Anwendungsbereich des EHDS auszuschließen.
Der Vorschlag solle um die Anforderung erweitert werden, elektronische Gesundheitsdaten nur im Europäischen Wirtschaftsraum zu verarbeiten. Die Behörden nennen als Gründe die großen Menge an elektronischen Gesundheitsdaten, die bei der Sekundärnutzung verarbeitet würden, die hochsensible Natur der Daten, das Risiko unrechtmäßiger Datenzugriffe und die Erfordernis, eine wirksame Aufsicht durch unabhängige Datenschutzbehörden in vollem Umfang sicherzustellen. Hier wird entscheidend sein, ob und wie der Gesetzgeber den Datenschutz mit den Zielen der Datennutzbarkeit in Einklang bringen wird.
Das Verhältnis zwischen DSGVO, European Health Data Space, nationalen Bestimmungen und anderen EU-Dateninitiativen sollte unter Berücksichtigung des Datenschutzrechts sowie der Datennutzbarkeit) geklärt werden.
Wie geht es weiter?
Die Europäische Kommission plant, dass sich bis 2025 alle Mitgliedstaaten an MyHealth@EU beteiligen. Wegen der Unterschiede im Entwicklungsstand der Digitalisierung der Gesundheitssysteme der Mitgliedstaaten räumt die Europäische Kommission jedoch ein, dass es sich um ein ehrgeiziges Unterfangen handelt.
Der Vorschlag wird zur Zeit im Rat der Europäischen Union und dessen vorbereitenden Ausschüssen erörtert. Anschließend erfolgt eine Erörterung im Europäischen Parlament. Lt. einem Kompromissvorschlag, der Politico vorliegt, hat der Rat bereits eine Regelung zur grenzüberschreitenden Erbringung von telemedizinischen Diensten aus dem Entwurf gestrichen. Telemedizin unterliegt vielen unionsrechtlichen und mitgliedstaatlichen Regelungen, sodass einer grenzüberschreitenden Erbringung in der Praxis immense Schwierigkeiten entgegenstehen.
Es wird sich zeigen, ob noch andere Regelungen aus Praxiserwägungen eine Veränderung erfahren werden. Praktische Bedenken gibt es auch im Hinblick auf die geplante Sekundärnutzung wegen der potentiell großen Menge an Gesundheitsdaten. Zumindest wegen der Kritik an der datenschutzrechtlichen Umsetzung des European Health Data Space erscheinen Anpassungen als sehr wahrscheinlich.