Etliche Terabyte (und mehr) an Gesundheitsdaten liegen brach und können mangels gesetzlich transparenter Regelungen zu deren Nutzung für die Forschung nicht verwendet werden. Dies soll sich ändern durch das neue Gesundheitsdatennutzungsgesetz (GDNG). Auch wenn sich das Gesetz noch im Gesetzgebungsverfahren befindet, sollen jetzt schon einige der vorgeschlagenen Regelungen dargestellt werden.

Jede Impfung, jeder Krankenhausaufenthalt, jede Nutzung digitaler Gesundheitsapps – dies alles erzeugt eine Flut an Gesundheitsdaten, die derzeit weitgehend dezentral und in Einzelaspekten gespeichert werden, nur unvollständig verknüpft sind und damit schwer auffindbar und letztlich weder für öffentliche Gesundheitsversorgung noch für Forschung und Innovation verwendbar sind. Für die kommerziell ausgerichtete Forschung sehen zudem datenschutzrechtliche Anforderungen sehr hohe Hürden für die Forschung mit personenbezogenen Gesundheitsdaten vor. Eine Sekundärnutzung dieser Daten war regelmäßig ohne Einwilligung der betroffenen Person nicht datenschutzkonform umsetzbar. Mit der Einführung des neuen Gesundheitsdatennutzungsgesetz (GDNG) soll Abhilfe geschaffen werde. Das wesentliche Anliegen des Gesetzes ist es, die riesige Menge an Gesundheitsdaten zu bündeln und zu strukturieren, leichter auffindbar und – im Einklang mit datenschutzrechtlichen Anforderungen – nutzbar zu machen für die Versorgung, öffentliche Gesundheit, Forschung und Innovation sowie die Weiterentwicklung des Gesundheitssystems. Das Gesetz dient außerdem dazu, einen Beitrag zu dem von der Europäischen Kommission auf den Weg gebrachten europäische Gesundheitsdatenraum (EHDS) zu leisten.

Dazu wird eine dezentrale Gesundheitsdateninfrastruktur mit einer zentralen Datenzugangs- und Koordinierungsstelle für die Nutzung der Daten aufgebaut, in der Gesundheitsdaten aus verschiedenen Datenquellen (z.B. Krankenkassendaten, Daten im nationalen Krebsregister) zu Forschungszwecken miteinander verknüpft werden. Sind mehrere Einrichtungen an einem Vorhaben der Versorgungs- oder Gesundheitsforschung beteiligt, können diese eine federführende Datenschutzaufsichtsbehörde bestimmen, welche die Zusammenarbeit der beteiligten Datenschutzaufsichtsbehörden koordiniert – unterschiedliche Entscheidungen in den Ländern sollen so vermieden werden. Zudem soll das Forschungsdatenzentrum Gesundheit (FDZ) beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) weiterentwickelt werden.

Hinsichtlich der Antragsberechtigung zum Zugang zu Gesundheitsdaten soll allein ausschlaggebend sein, dass die Daten für ein Forschungsvorhaben genutzt werden. Der Begriff der Forschung soll dabei auch privat finanzierte, kommerzielle Forschung erfassen. Entscheidend sollen die im Gemeinwohl liegenden Nutzungszwecke sein, die gesetzlich im GNDG festgelegt. Durch eine Änderung im SGB V wird auch der derzeitige Kreis der berechtigten Nutzer von Gesundheitsdaten erweitert. Zukünftig können damit auch kommerzielle Unternehmen, insbesondere Pharmafirmen, selbst solche mit Sitz außerhalb der EU, Nutzungsberechtigung erhalten und auch eine räumliche Zweckbindung an innereuropäische Forschungsvorhaben ist derzeit nicht geplant.

Für die Datenfreigabe aus der elektronischen Patientenakte soll künftig ein Opt-Out-Verfahren gelten, das heißt, dass eine Nutzung der Patientendaten immer dann erfolgen darf, wenn nicht ausdrücklich widersprochen wurde. Damit Patienten/innen über die Freigabe ihrer Daten entscheiden können, soll eine einfache digitale Verwaltung der Widersprüche eingerichtet werden, bei der der Widerspruch entweder rein digital über ein geeignetes Endgerät oder gegenüber den Ombudsstellen der Krankenkassen erklärt werden kann. Der Widerspruch kann auch nur auf bestimmte Zwecke beschränkt werden und wird in der elektronischen Patientenakte dokumentiert.

Zum Schutz der Patienten/innen wird ein Forschungsgeheimnis bei der Nutzung von Gesundheitsdaten eingeführt. Das bedeutet, dass Forscher/innen Gesundheitsdaten nur so wie gesetzlich gestattet nutzen und weitergeben dürfen und im Übrigen die Daten geheim zu halten haben. Die Verletzung dieser Geheimhaltungspflichten soll strafbar sein.

Das Gesundheitsdatennutzungsgesetz (GDNG) sieht für die Datennutzung für Forschungszwecke umfangreiche rechtliche, technische und organisatorische Maßnahmen vor. Der Zugriff auf die Gesundheitsdaten erfolgt über eine sichere Verarbeitungsumgebung auf der Grundlage der nationalen Regelungen im SGB V. Dabei gehören zu den Schutzmaßnahmen die doppelte Pseudonymisierung unter Einsatz einer Vertrauensstelle, um medizinische Informationsdaten von potenziell identifizierenden Daten zu trennen und das Risiko einer Re-Identifizierung zu minimieren, Datenbereitstellung an Forschende in einer sicheren Verarbeitungsumgebung, Anonymisierungsprüfungen in Bezug auf die zu veröffentlichenden Ergebnisse sowie die bereits erwähnte strafrechtliche Verfolgung und Sanktionierung von Versuchen der Re-Identifizierung von Personen aus Gesundheitsdaten.