Gesundheitsdatennutzungsgesetz

Das Gesundheits­daten­nutzungs­gesetz ist ein deutsches Bundesgesetz, mit dem Gesundheitsdaten für die Forschung erschlossen werden sollen. Kern des Gesetzes ist die erleichterte Nutzbarkeit von Gesundheitsdaten für gemeinwohlorientierte Zwecke^[1]. Vorgesehen ist die Einrichtung einer zentralen Datenzugangs- und Koordinierungsstelle. Die Datenhaltung soll aber weiterhin dezentral erfolgen^[2].

Gesundheitsdaten sind Daten im Sinne des Art. 4 Nr. 15 der Datenschutz-Grundverordnung einschließlich solcher Daten, die zugleich Sozialdaten nach § 67 des Zehnten Buches Sozialgesetzbuch sind (§ 2 Nr. 1 GDNG).

Das Ziel der Nutzung von Gesundheitsdaten ist, eine sichere, bessere und qualitätsgesicherte Gesundheitsversorgung und Pflege zu gewährleisten, Forschung und Innovation zu fördern und das digitalisierte Gesundheitssystem auf Grundlage einer soliden Datenbasis weiterzuentwickeln (§ 1 GDNG).

Beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) wird im Rahmen des Projekts HDP4Germany (Improving HealthData@EU Preparedness for Germany), das bis 31. August 2027 laufen soll^[3], eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten im Sinne von § 3 Abs. 1 GDNG eingerichtet.

Die zentrale Stelle soll Datennutzende beim Zugang zu Gesundheitsdaten unterstützen und beraten. Sie hat unter anderem folgende Aufgaben (vgl. § 3 Abs. 2 GDNG):

• Bereitstellen eines öffentlichen Metadaten-Katalogs
• Beraten bei der Identifizierung und bei der Lokalisierung der benötigten Gesundheitsdaten
• Unterstützen bei Anträgen auf Zugang zu den Daten bei den datenhaltenden Stellen
• Informieren der Öffentlichkeit über die eigenen Aktivitäten
• Führen eines öffentlichen Antragsregisters mit Informationen zu gestellten Anträgen, zu den Nutzern der Daten sowie zu den Vorhaben und deren Ergebnissen
• Erstellen von Konzepten zum Datenschutz und zur Datensicherheit sowie zur Verknüpfung und gemeinsamen Verarbeitung von pseudonymisierten Gesundheitsdaten verschiedener datenhaltender Stellen

Datenhaltende Stellen im Sinne des GDNG sind natürliche und juristische Personen einschließlich deren Zusammenschlüsse im Sinne von Datenplattformen oder Dateninfrastrukturen, die berechtigt oder verpflichtet sind, Gesundheitsdaten für Forschungszwecke und weitere im GDNG genannte Zwecke Dritten zur Verfügung zu stellen; dazu gehören insbesondere gesetzlich geregelte datenhaltende Stellen wie das Forschungsdatenzentrum Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch, das Zentrum für Krebsregisterdaten beim Robert Koch-Institut und die Plattform nach § 64e Absatz 9 des Fünften Buches Sozialgesetzbuch (§ 2 Nr. 3 GDNG).

Datennutzende Stellen sind natürliche und juristische Personen, die Zugang zu Gesundheitsdaten zu Forschungszwecken und weiteren im GDNG genannten Zwecken begehren oder erhalten haben (§ 2 Nr. 4 GDNG).

Sofern in einem Forschungsvorhaben Gesundheitsdaten auf Grundlage des GDNG ohne die Einwilligung der betroffenen Personen zu Forschungszwecken verarbeitet werden, sind die für das Forschungsvorhaben Verantwortlichen verpflichtet, das Forschungsvorhaben vor Beginn der Datenverarbeitung in einem von der Weltgesundheitsorganisation anerkannten Primärregister für klinische Studien zu registrieren (Registrierungspflicht).

Sofern eine Registrierungspflicht besteht, sind die für das Forschungsvorhaben Verantwortlichen außerdem verpflichtet, die Forschungsergebnisse innerhalb von 24 Monaten nach Abschluss des Forschungsvorhabens in anonymisierter Form und in einer für die Allgemeinheit zugänglichen Weise zu veröffentlichen (Publikationspflicht).

Eine Ausnahme gilt nach § 8 Satz 4 GDNG: Behörden können bestimmen, dass Forschungsvorhaben, die sie in Auftrag gegeben haben oder die unter ihrer Rechts- oder Fachaufsicht durchgeführt werden, nicht registriert werden müssen oder deren Ergebnisse nicht oder erst zu einem späteren Zeitpunkt veröffentlicht werden müssen, sofern dies zum Schutz von besonderen öffentlichen Belangen gemäß § 3 des Informationsfreiheitsgesetzes erforderlich ist.

Das GDNG hat unter anderem den Zweck, Daten aus der elektronischen Patientenakte (ePA) nutzbar zu machen^[4]. Pseudonymisierte Daten werden ohne Einwilligung der betroffenen Personen^[5] übermittelt, wenn dagegen kein Widerspruch erhoben wurde (sog. Opt-out-Verfahren)^[6]. Bei einer Pseudonymisierung kann allerdings – anders als bei einer Anonymisierung – ein Bezug zu einer konkreten Person wiederhergestellt werden^[7] (in § 7 als Reidentifikationsrisiko bezeichnet). In der Forschung ist es teilweise notwendig, dass Gesundheitsdaten einer einzelnen Person zugeordnet werden können^[8]. Nur auf die Kenntnis des Namens der Person kommt es nicht immer an. Die Re-Identifikation, also die Zuordnung von konkreten Namen zu den Daten, die auf der Grundlage des GDNG genutzt werden, ist strafbar (§ 9 Abs. 1 Nr. 2, 7 Abs. 2 GDNG). Wenn Patienten doch kontaktiert werden sollen, zum Beispiel um neueste Forschungsergebnisse in deren Behandlung einfließen zu lassen oder weil von ihnen weitere Informationen benötigt werden (sog. "Rekontaktierung"^[9]), ist das Einholen einer Einwilligung weiter erforderlich^[10].

Anders als im ursprünglichen inoffiziellen Referentenentwurf vorgesehen, wurde kein umfassendes Forschungsgeheimnis eingeführt. Es wurden zwar Strafvorschriften in das GDNG aufgenommen. Die Forderungen nach einem Zeugnisverweigerungsrecht und einem Beschlagnahmeverbot^[11] wurden jedoch nicht umgesetzt^[12]. Der Gesetzentwurf der Bundesregierung erhielt auf Seite 34 noch eine entsprechende Textpassage.^[13] In der Stellungnahme des zuständigen Ausschusses wurde auf das Fehlen der zugehörigen Regelungen hingewiesen (S. 55).^[14]

Das GDNG enthält in § 9 Vorschriften zur Strafbarkeit einer Datennutzung, -weitergabe oder -verarbeitung, die nicht durch das Gesetz erlaubt ist, also einen Verstoß gegen die Geheimhaltungspflicht des § 7. Die Taten werden (anders als bei einer Verletzung der Schweigepflicht für besondere Berufsgruppen) nur auf Antrag verfolgt und mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft (bei Handeln gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht bis zu drei Jahren).

• Dokumentation des Gesetzgebungsverfahrens DIP.
• Forschungsdatenzentrum Gesundheit (datenhaltende Stelle)
• Zentrum für Krebsregisterdaten beim Robert Koch-Institut (datenhaltende Stelle)

1. ↑ Gesundheitsdatennutzungsgesetz (GDNG). Abgerufen am 13. September 2024. 
2. ↑ Daten für die Forschung und Versorgung. Abgerufen am 13. September 2024. 
3. ↑ Improving HealthData@EU-preparedness for Germany - HDP4Germany. Abgerufen am 13. September 2024. 
4. ↑ https://www.bundesgesundheitsministerium.de/themen/digitalisierung/daten-fuer-die-forschung-und-versorgung
5. ↑ vgl. § 8 Satz 1 GDNG
6. ↑ § 363 Abs. 1 SGB V
7. ↑ https://gesundheitsdatenschutz.org/download/praxishilfe_anonymisierung_pseudonymisierung_2024.pdf
8. ↑ Orientierungshilfe: Pseudonymisierung in der medizinischen Forschung. Heinrich-Heine-Universität Düsseldorf, abgerufen am 24. September 2024. 
9. ↑ vgl. z. B. https://www.mri.tum.de/sites/default/files/institutionen/muc_bavarian_genomes_patienten-einwilligung_0.pdf
10. ↑ https://www.medizininformatik-initiative.de/de/gemeinsame-empfehlung-zum-weiteren-einsatz-des-broad-consent-der-mii-nach-inkrafttreten-des-gdng
11. ↑ Entschließung der 103. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. März 2022. Datenschutzkonferenz, abgerufen am 13. September 2024. 
12. ↑ Deutscher Ärzteverlag GmbH, Redaktion Deutsches Ärzteblatt: Gesundheitsdaten: Ministerium streicht Forschungsgeheimnis. 7. August 2023, abgerufen am 13. September 2024. 
13. ↑ https://dserver.bundestag.de/btd/20/090/2009046.pdf
14. ↑ https://dserver.bundestag.de/btd/20/097/2009785.pdf

Bitte den Hinweis zu Rechtsthemen beachten!