Stellungnahme vom 14. August 2023 zum Referentenentwurf des Bundesministeriums für Gesundheit: Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG – Stand 03.07.2023)

I. Einführung

Das Bundesministerium für Gesundheit (BMG) hat in Umsetzung seiner Digitalisierungsstrategie einen Referentenentwurf für ein Gesundheitsdatennutzungsgesetz (GDNG‐E) erarbeitet. Durch dieses Gesetz soll die Nutzung von Daten aus dem Gesundheitssystem verbessert und die Verknüpfung von Gesundheitsdaten erleichtert werden. Hierzu sind umfassende Neuregelungen mit dem Schwerpunkt der Nutzung von Gesundheitsdaten zu Forschungszwecken geplant.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hält es grundsätzlich für sinnvoll, dass Anforderungen an die Forschung mit Gesundheitsdaten gesetzlich normiert werden. Für einen umfassenden Schutz von Gesundheitsdaten hält sie zusätzlich zu den im Gesetzentwurf vorgesehenen Regelungen ein strafbewehrtes Forschungsgeheimnis sowie ein Zeugnisverweigerungsrecht für Forschende und ein Beschlagnahmeverbot für Forschungsdaten für erforderlich. Dies ist unerlässlich für einen angemessenen Ausgleich zwischen dem Forschungsinteresse auf der einen Seite und dem Persönlichkeitsschutz auf der anderen. Neben effektiven strafrechtlichen Instrumenten gehören hierzu auch angemessene, mit dem bestehenden Datenschutzrecht zu vereinbarende Regelungen und Garantien zur Verarbeitungsbefugnis von Gesundheitsdaten. Strafrechtliche und strafprozessuale Regelungen sind im Gesetzentwurf nicht enthalten; hinsichtlich der Regelungen und Garantien zur Verarbeitungsbefugnis weist der Gesetzentwurf weitreichende Defizite auf.

Im Folgenden werden die wesentlichen Kritikpunkte der DSK im Hinblick auf den Schutz von Gesundheitsdaten näher erläutert. Im Gesetzentwurf ebenfalls enthaltene Vorschläge zur Datenschutzaufsicht sind nicht Gegenstand dieser Stellungnahme. Die DSK behält sich Stellungnahmen hierzu vor.

II. Dringender Korrekturbedarf

Der Referentenentwurf ist aus datenschutzrechtlicher Sicht an einigen Stellen dringend anzupassen.

Bei den vom GDNG‐E betroffenen Gesundheitsdaten handelt es sich um besonders sensible Daten, die eines hohen legislativen Schutzniveaus bedürfen. Mit der angestrebten Regelung zur Nutzung von Gesundheitsdaten sind einerseits Eingriffe in das Grundrecht auf Schutz der personenbezogenen Daten aus Art. 8 Abs. 1 EU‐Grundrechtecharta verbunden. Die unmittelbar in allen Mitgliedstaaten geltende DS‐GVO regelt davon ausgehend umfassend die Verarbeitung personenbezogener Daten, die im Dienste der Menschheit stehen soll.¹ Will der Bundesgesetzgeber eigene Regelungen zur Datenverarbeitung treffen, kann er dies nur im Rahmen einer sogenannten Öffnungsklausel tun. Für das GDNG‐E eröffnet Art. 9 Abs. 2 DS‐GVO grundsätzlich Regelungsspielraum. Danach kann der nationale Gesetzgeber Regelungen zur Verarbeitung von besonderen Kategorien personenbezogener Daten – hier insbesondere von Gesundheitsdaten – treffen, wenn dies zur Wahrung eines erheblichen öffentlichen Interesses erforderlich und im Verhältnis zu dem verfolgten Ziel angemessen ist. Dabei ist der Wesensgehalt des Grundrechts auf Datenschutz zu wahren. Durch angemessene und spezifische gesetzliche Maßnahmen ist den Grundrechten und Interessen der betroffenen Personen Rechnung zu tragen. Dem wird der vorliegende Gesetzentwurf nicht gerecht.

Insbesondere verwässern die im Entwurf vorgesehenen Formulierungen die Pflichten zur Einhaltung der Datenschutzgrundsätze (z. B. durch die Streichung von Speicherhöchstfristen), bestehende Informationspflichten (z. B durch Regelung zur Erteilung konkreter Informationen nur auf Antrag) und Betroffenenrechte (z. B. durch Verweis auf § 27 Abs. 2 BDSG). Auch nennt der GDNG‐E kaum angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen. Hier darf sich der Gesetzgeber nicht auf allgemeine Verweise beschränken oder lediglich wiederholen, was nach der DS‐GVO ohnehin gilt. Vielmehr muss das Gesetz konkrete zusätzliche Maßnahmen und Garantien enthalten, um den mit der jeweiligen Verarbeitung einhergehenden hohen Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen zu begegnen.

Die DSK hat in der Petersberger Erklärung vom 24. November 20222 bereits betont, dass die Menschen im Mittelpunkt der Forschung stehen und nicht zum bloßen Objekt der Datenverarbeitung gemacht werden dürfen. Davon ausgehend hat die DSK in der Petersberger Erklärung ausführlich Anforderungen an eine datenschutzkonforme Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung formuliert, was wirksame Kontroll‐ und Mitwirkungsmöglichkeiten für Patientinnen und Patienten und andere betroffene Personen umfasst. Daher sind Maßnahmen und Garantien für ein hohes Vertrauensniveau zu treffen, die informierte Entscheidungen der betroffenen Personen in dem jeweiligen Verarbeitungszusammenhang unter Wahrung der Sicherheitsanforderungen gewährleisten.

In dieser Stellungnahme weist die DSK auf die wichtigsten datenschutzrechtlichen Kritikpunkte am GDNG‐E hin, ohne dass es sich um eine abschließende Auflistung handelt.

1. Zu Artikel 1 § 2 GDNG‐E

Durch § 2 GDNG‐E soll die Verknüpfung der pseudonymisierten Daten des Forschungsdatenzentrums (FDZ) nach § 303d SGB V und der klinischen Krebsregister legitimiert werden. Hierbei handelt es sich um eine Verarbeitung besonderer Kategorien personenbezogener Daten, die nach Art. 9 Abs. 1 DS‐GVO grundsätzlich untersagt ist. Will der Gesetzgeber hiervon eine Ausnahme zulassen, muss er diese entsprechend einer Spezifizierungsklausel aus Art. 9 Abs. 2 DS‐GVO differenziert ausgestalten. Es genügt nicht, wie in § 2 Abs. 2 Nr. 3 GDNG‐E vorgesehen, den Verantwortlichen aufzuerlegen, angemessene Maßnahmen zur Minimierung der Risiken für die Rechte und Freiheiten der betroffenen Personen zu treffen. Vielmehr muss der GDNG‐E selbst bereits entsprechende Maßnahmen und Garantien (im Sinne des Art. 89 Abs. 1 DS‐GVO) formulieren. Dazu gehören für ein hohes Vertrauens‐ und Sicherheitsniveau eine dezentrale Struktur für die Verarbeitung und Bereitstellung der Forschungsdaten. Um den besonders hohen Risiken bei der Verarbeitung genetischer Daten im Sinne des Art. 4 Nr. 13 DS‐GVO gerecht zu werden, sind für diese zusätzliche Schutzmaßnahmen und Garantien vorzusehen.

Der datenschutzrechtliche Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DS‐GVO steht der Verknüpfung von Datensätzen grundsätzlich entgegen. Sofern für Zwecke der wissenschaftlichen Forschung Datensätze ausnahmsweise verknüpft werden sollen, bedarf es im Hinblick auf das Grundrecht auf Datenschutz und Grundrecht auf informationelle Selbstbestimmung darüber hinaus einer besonderen Rechtfertigung, die sich in der Regel aus einem öffentlichen Interesse und einem gesellschaftlichen Nutzen ergeben soll. Aufgrund des gesteigerten Risikos durch die Zusammenführung für die Rechte und Freiheiten natürlicher Personen bedarf es gesteigerter technischer und organisatorischer Schutzanforderungen in Gestalt von Garantien. Diese Garantien sind in § 2 Abs. 2 GDNG‐E bei den Voraussetzungen an das Forschungsvorhaben zu ergänzen und für die Datenarten zu differenzieren.

Weiterhin bedarf es einer gesetzgeberischen Klarstellung zu der sicheren Verarbeitungsumgebung im Sinne von § 2 Abs. 5 GDNG‐E. Die im Entwurf diesbezüglich lediglich vorgesehene Verordnungsermächtigung genügt angesichts der mit der Datenverknüpfung einhergehenden Risiken für die Rechte und Freiheiten der betroffenen Personen nicht dem deutschen Verfassungsrecht, nach dem wesentliche Entscheidungen über Maßnahmen, die den Schutz des Persönlichkeitsrechts gewährleisten, durch den Gesetzgeber selbst zu regeln sind (Wesentlichkeitstheorie).

Außerdem ist für die Bildung der für die Verknüpfung vorgesehenen Forschungskennziffer (§ 2 Abs. 6 GDNG‐E) eine normenklare gesetzliche Regelung mit hohen Schutzanforderungen zur Vermeidung einer leichten Zuordnung zur natürlichen Person vorzusehen, sodass erweiterte Maßnahmen für die Verschlüsselung, Pseudonymisierung und Anonymisierung gesetzlich zu regeln sind. Eine Regelung ausschließlich per Verordnung ist im Hinblick auf die Wesentlichkeitstheorie des Bundesverfassungsgerichts nicht ausreichend.

Bei dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) soll neben dem FDZ auch eine neu zu schaffende „Datenzugangs‐ und Koordinierungsstelle für Gesundheitsdaten“ mit erheblichen (Genehmigungs‐)Befugnissen entstehen (vgl. u. a. Art. 4 § 75 Abs. 4 SGB X‐E). Diese Bündelung von Zuständigkeiten beim BfArM birgt Risiken hinsichtlich einer durchgehend unabhängigen und neutralen Bewertungskompetenz, die im Referentenentwurf eine eingehende Betrachtung und Berücksichtigung vermissen lassen. Insbesondere auch vor dem Hintergrund, dass zum Beispiel pseudonymisierte Daten aus der ePA über das FDZ an klinische Krebsregister ohne Einwilligung der betroffenen Person (lediglich mit Genehmigung der neu geschaffenen „Datenzugangs‐ und Koordinierungsstelle“, vgl. § 2 Abs. 2 Satz 1 GDNG‐E) weitergegeben werden sollen, hat die Regelung das angemessene Verhältnis zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf informationelle Selbstbestimmung auf der einen Seite und dem Grundrecht auf Forschungsfreiheit auf der anderen Seite im Hinblick auf die mit der Verknüpfung verbundenen Risiken abzubilden. In diesem Zusammenhang erscheint die Durchführung einer Gesetzes‐Datenschutz‐Folgenabschätzung (DSFA) nach Art. 35 Abs. 10 DS‐GVO dringend angezeigt.

2. Zu Artikel 1 § 3 GDNG‐E

Durch Art. 1 § 3 GDNG‐E soll bei Vorhaben der Versorgungs‐ oder Gesundheitsforschung, für die mehr als eine Datenschutzaufsichtsbehörde zuständig ist, eine Aufsichtsbehörde federführend zuständig sein. Für diese Forschungsprojekte soll außerdem § 27 BDSG einheitlich angewandt werden.

An Vorhaben der Versorgungs‐ oder Gesundheitsforschung sind regelmäßig Krankenhäuser und Universitätskliniken beteiligt. Es ist zweifelhaft, inwiefern dem Bundesgesetzgeber eine ausreichende Gesetzgebungskompetenz für materiell‐datenschutzrechtliche Regelungen im Bereich der Forschung durch Krankenhäuser zusteht. Die Gesetzgebungskompetenz für Krankenhäuser liegt grundsätzlich bei den Ländern. Die spezielleren Landeskrankenhausgesetze enthalten eigene Regelungen zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken.

Die Gesetzesbegründung des GDNG‐E verweist lediglich knapp auf die Förderung der wissenschaftlichen Forschung (Art. 74 Abs. 1 Nr. 13 GG) und das Recht der Wirtschaft (Art. 74 Abs. 1 Nr. 11 GG).

Das Verhältnis zu den Forschungsregelungen in den Landeskrankenhausgesetzen, dem GDNG‐E und § 27 BDSG bleibt aber unklar. Die Regelung des § 27 BDSG stellt nach ihrem Wortlaut und dem Willen des historischen Gesetzgebers ausschließlich eine Befreiung vom Verarbeitungsverbot der Art. 9 Absatz 1 DS‐GVO dar und begründet nicht die daneben erforderliche Verarbeitungsbefugnis gemäß Art. 6 Absatz 1 DS‐GVO. Insoweit führt die Regelung ohnehin nicht zum gewünschten Vereinheitlichungseffekt, sondern wirft neue Rechtsfragen auf. Im Sinne der Rechtssicherheit für alle Beteiligten muss das Verhältnis von Art. 1 § 3 GDNG‐E zu den Regelungen der Landeskrankenhausgesetze in Übereinstimmung mit den Öffnungsklauseln der Datenschutz‐Grundverordnung und mit der Kompetenzordnung des Grundgesetzes rechtssicher geregelt werden. Darüber hinaus enthält § 27 Abs. 2 BDSG weitreichende Einschränkungen von Betroffenenrechten, deren Vereinbarkeit mit dem vorrangigen Europarecht zweifelhaft erscheint und die die Landesgesetzgeber zum Teil bewusst nicht übernommen haben.

Außerdem soll das Prinzip einer federführenden Aufsichtsbehörde nach § 3 Abs. 1 S. 3 GDNG‐E auch für Sozialdaten gelten. Auch hier bestehen Unklarheiten, welches Gesetz anwendbar ist, da § 81 SGB X und § 75 Abs. 6 SGB X abweichende Zuständigkeitsregelungen für Sozialdaten treffen.

Aufgrund dieser Unklarheiten hinsichtlich des anwendbaren Rechts sollte das Instrument einer federführenden Datenschutzaufsichtsbehörde für Vorhaben der Versorgungs‐ oder Gesundheitsforschung erst nach rechtssicherer Klärung dieser Gesetzeskonkurrenzen eingeführt werden.

3. Zu Artikel 1 § 4 GDNG‐E

Nachvollziehbar ist das Bedürfnis, Eigenforschung von Leistungserbringern zu ermöglichen. Völlig unklar bleibt aber auch hier das Verhältnis zu den spezielleren Regelungen der Landeskrankenhausgesetze.

Darüber hinaus gilt auch hier, dass die Regelung, die Abweichungen von Art. 9 Abs. 1 DS‐GVO zulassen soll, die Anforderungen der Rechtsgrundlagen und Öffnungsklauseln von Art. 9 Abs. 2 DS‐GVO erfüllen muss.

Die Regelung betrifft nach dem Wortlaut alle Leistungserbringer der Gesundheitsversorgung und damit insbesondere die Krankenhäuser. Angesichts der insoweit den Ländern zustehenden Gesetzgebungskompetenz bestehen erhebliche Bedenken gegen die verfassungsrechtliche Zulässigkeit einer derart umfassenden Regelung auf Bundesebene. Zudem lässt der Gesetzentwurf auch hier das Verhältnis zu den geltenden Landeskrankenhausgesetzen ungeklärt.

Die Norm muss daher ihren Anwendungsbereich klar definieren und im Hinblick auf die Anforderungen der DS‐GVO normenklar geregelt werden und insbesondere deutlich machen, dass sie eine eng begrenzte Ausnahme von Art. 9 Abs. 1 DS‐GVO zulassen möchte.

Die hier anwendbaren Öffnungsklauseln der DS‐GVO (Art. 9 Abs. 2 lit. j und lit. i DS‐GVO) verlangen weiterhin, dass der Gesetzgeber angemessene und spezifische Maßnahmen und geeignete Garantien nach Art. 89 Abs. 1 DS‐GVO zum Schutz der betroffenen Personen vorsieht. Diese spezifischen Maßnahmen und Garantien müssen durch den Gesetzgeber selbst geregelt werden und dürfen nicht an die für die gesetzlich zugelassene Datenverarbeitung Verantwortlichen delegiert werden.

Dies würde differenzierte umfassen, insbesondere zur effektiven Verwirklichung der Rechte der betroffenen Personen.

§ 4 Abs. 1 S. 2 GDNG‐E wiederholt ohne eigenen Regelungsgehalt lediglich die Anforderungen der DS‐GVO, ohne diese mit Leben zu füllen. Hier sollten konkrete Schutzmaßnahmen im Gesetz vorgesehen werden. In diesem Sinne muss insbesondere eine angemessene Speicherhöchstfrist für die Verarbeitung zu Zwecken des Absatzes 1 dringend festgelegt werden.

Das in dem Entwurf derzeit in § 4 Abs. 3 GDNG‐E enthaltene „grundsätzliche“ Weitergabeverbot personenbezogener Daten an Dritte sollte ausnahmslos gelten.

Nach § 4 Abs. 5 GDNG‐E sind Leistungserbringer verpflichtet, über die entsprechenden Verarbeitungen nach dieser Norm allgemein zu informieren. Nur auf Verlangen einer betroffenen Person sollen die Leistungserbringer verpflichtet sein, über Art, Umfang und konkreten Zweck der Verarbeitung zu informieren.

Diese Regelung verkennt den Grundsatz der Transparenz der Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 lit. a DS‐GVO, der vor der Verarbeitung personenbezogener Daten sicherzustellen ist. Erst mit den Informationen über den spezifischen Verarbeitungszusammenhang können die betroffenen Personen ihre Betroffenenrechte ausüben. Das Verhältnis dieser Regelung zu Art. 13 DS‐GVO ist klarzustellen, insbesondere im Hinblick darauf, dass die betroffenen Personen nach Art. 13 Abs. 1 lit. c DS‐GVO auch ohne ihr vorheriges Verlangen über die Zwecke der Verarbeitung zu informieren sind.

4. Zu Artikel 3 Nr. 3 (§ 287a SGB V‐E)

Durch Art. 3 Nr. 3 soll den Kranken‐ und Pflegekassen in § 287a SGB V‐E erlaubt werden, datengestützte Auswertungen ihrer Versicherten zum individuellen Gesundheitsschutz, zur Verbesserung der Versorgung und zur Verbesserung der Patientensicherheit durchzuführen und die Versicherten individuell hierzu anzusprechen.

Einer Einwilligung der Versicherten bedarf es bei Auswertungen zu den in § 287a Abs. 2 SGB V‐E genannten Zwecken (insb. Früherkennung von seltenen Erkrankungen und Krebsrisiken) nicht, sondern die Versicherten können der automatisierten Verarbeitung nur widersprechen (§ 287a Abs. 3 SGB V‐E).

Diese Regelung ist datenschutzrechtlich unzulässig und mit dem Recht auf Nichtwissen als Ausprägung des Rechts auf informationelle Selbstbestimmung nicht vereinbar (vgl. Di Fabio, in: Dürig/Herzog/Scholz, Art. 2 Abs. 1 GG, Rn. 192) und sollte daher ersatzlos gestrichen werden.

Durch diese Neuregelungen dürfen Kranken‐ und Pflegeversicherung ein umfassendes Gesundheitsprofil ihrer Versicherten auf der Basis vorliegender Abrechnungsdaten erstellen, welches das Risiko eines „gläsernen Versicherten“ mit umfassenden Beeinflussungs‐ und Diskriminierungsrisiken birgt. Sowohl die Qualität der Abrechnungsdaten als auch die Expertise der Krankenkassenmitarbeitenden dürften nicht dazu geeignet sein, dass Krankenkassen Aufgaben aus dem Behandlungskontext übernehmen. Diese sind bisher aus guten Gründen den behandelnden Ärztinnen und Ärzten vorbehalten.

Auch die persönliche Ansprache der Versicherten in Form einer unverbindlichen Unterrichtung über Gesundheitsgefährdungen (Verdachtsdiagnosen) ist datenschutzrechtlich in hohem Maße risikobehaftet. Eine ausreichende Auseinandersetzung mit diesen Risiken für die Rechte und Freiheiten natürlicher Personen liefert der GDNG‐E nicht.

5. Zu Artikel 3 Nr. 5 ff. (§§ 303a ff. SGB V)

Durch Art. 3 Nr. 5 ff. GNDG‐E sollen die Datenverarbeitungen beim FDZ erheblich ausgeweitet werden.

Nach Art. 3 Nr. 5 soll in § 303a SGB V gestrichen werden, dass die Daten dem Sozialgeheimnis unterliegen, was damit begründet wird, dass dieser Verweis für die Vertrauensstelle und das Forschungsdatenzentrum entbehrlich sei, da es sich um Behörden handeln würde.

Aus Gründen der Rechtsklarheit und Rechtssicherheit über das zu gewährleistende datenschutzrechtliche Schutzniveau sollte das „Sozialgeheimnis“ beibehalten werden, zumal die Begründung zu Inkonsistenzen zu bestehenden Regelungen führen könnte, die andere Behörden an das Sozialgeheimnis binden.

Außerdem soll durch Art. 3 Nr. 8 GNDG‐E die bisherige 30‐jährige Höchstfrist für die Datenspeicherung beim Forschungsdatenzentrum (§ 303d Abs. 3 SGB V) gestrichen werden.

Dadurch fällt nicht nur eine wesentliche Garantie im Sinne des Art. 9 Abs. 2 lit. j DS‐GVO weg, sondern auch die aus dem grundrechtlichen Datenschutzrecht abgeleitete Zweckbindung, Speicherbegrenzung und Löschpflicht bleiben unbeachtet. Die Dauer der Datenspeicherung im Forschungsdatenzentrum ist daher zeitlich auf das notwendige Maß zu beschränken. Wenn eine unbegrenzte Speicherung von Sozial‐ und Gesundheitsdaten gesetzlich vorgesehen werden sollte, bedürfte es einer spezifischen Begründung und in Anbetracht des Grundrechtseingriffs einer Verhältnismäßigkeitsprüfung, ob der Zweck der wissenschaftlichen Forschung eine dauerhafte Speicherung ausnahmsweise rechtfertigt. Im Falle einer längeren Speicherung (Studien zu Umweltfaktoren, Längsschnittanalysen) sind die Daten zu anonymisieren.

Die Gesetzesbegründung enthält keine Angaben zu den zusätzlichen Risiken für die Rechte und Freiheiten natürlicher Personen und keine Abwägung zur Verhältnismäßigkeit der mit dem Gesetz verbundenen Eingriffe in deren Grundrechte. In Anbetracht des Regelungsgegenstandes der Sozialdaten und Gesundheitsdaten, die in einem hohen Umfang verarbeitet werden, bedarf es zwingend einer Datenschutz‐Folgenabschätzung. Diese müsste sich mit einer objektiven Bewertung auf die Eintrittswahrscheinlichkeit von materiellen, immateriellen und physischen Schäden insbesondere der Diskriminierung, dem Identitätsdiebstahl oder –betrug, finanziellen Verlusten, Rufschädigung und den Verlust der Vertraulichkeit beziehen, vgl. Erwägungsgründe 75 und 76 zur DS‐GVO.

Durch Art. 3 Nr. 9 GDNG‐E soll sich der Kreis der Nutzungsberechtigen vom sog. „Akteursbezug“ zum Zweckbezug in § 303e Abs. 2 SGB V ändern. Diese Ausrichtung, die sich auch im Entwurf der EHDS‐Verordnung findet, entspricht dem Zweckbezug der DS‐GVO und ist grundsätzlich nachvollziehbar.

Vorzugsweise aus den getroffenen Regelungen selbst, zumindest aber aus der Gesetzesbegründung muss erkennbar sein, dass bei allen Zwecken ein Gemeinwohlbezug besteht. Nur für solche Zwecke, an denen ein erhebliches öffentliches Interesse besteht, erlaubt die DS‐GVO dem nationalen Gesetzgeber eigene Regelungen. Insbesondere die Zwecke in § 303e Abs. 2 Nr. 9 SGB V sind noch so offen formuliert, dass sich hierunter auch nicht gemeinwohlorientierte Ziele einer Datennutzung fassen lassen.

Der GDND‐E muss insoweit deutlich präzisiert werden.

6. Zu Artikel 3 Nr. 11 (§ 363 SGB V‐E)

Mit Art. 3 Nr. 11 GDNG‐E soll eine Opt‐out‐Regelung für die Übermittlung pseudonymisierter Gesundheitsdaten aus der elektronischen Patientenakte an das FDZ eingeführt werden (§ 363 Abs. 5 SGB V‐E). Bisher war hierzu eine Datenfreigabe der Versicherten vorgesehen.

Es ist zweifelhaft, ob Garantien und Maßnahmen mit einem hohen Schutz‐ und Vertrauensniveau ausreichend abgebildet sind und für diese umfangreichen Datenübermittlungen zu Forschungszwecken zu dem notwendigen Legitimationsniveau führen. Insofern bedarf es differenzierter zweckbezogener Zugangsberechtigungen zu den personenbezogenen Daten für Forschungszwecke, die die betroffenen Personen mit einer ausdrücklichen freiwilligen Einwilligung erteilen können. Dies entspricht der Ausprägung des informationellen Selbstbestimmungsrechts der betroffenen Personen auf Kontrolle und Mitwirkung über die Verarbeitung der personenbezogenen Daten, vgl. Petersberger Erklärung, Seite 7. Dabei ist den Anforderungen einer datenschutzkonformen Technikgestaltung als „data protection by design“ und „data protection by default“ zu entsprechen.

Keinesfalls kommt – wie bislang vorgesehen – eine undifferenzierte Opt‐out‐Regelung zu sämtlichen nach § 303e Abs. 2 SGB V‐E denkbaren Nutzungszwecken in Betracht. Dies nähme nicht angemessen auf den Schutzbedarf der aus der Gesundheitsversorgung stammenden Daten aus der elektronischen Patientenakte Rücksicht. Diese unterliegen einem besonderen Vertrauensschutz. Eine undifferenzierte Opt‐out‐Regelung zur Weiterleitung von Daten aus der elektronischen Patientenakte an das Forschungsdatenzentrum wäre aus datenschutzrechtlicher Sicht unzulässig, soweit Zwecke verfolgt werden, die nicht wissenschaftliche Forschung im Gemeinwohlinteresse darstellen, wie z. B. die Planung von Leistungsressourcen (§ 303e Abs. 2 Nr. 3 SGB V‐E) oder die Unterstützung politischer Entscheidungsprozesse (§ 303e Abs. 2 Nr. 5 SGB V‐E).

Soweit der Gesetzgeber gleichwohl trotz der aufgezeigten rechtlichen Risiken an einer Widerspruchslösung festhalten sollte, sind zumindest folgende Punkte zu beachten:

Das GDNG‐E muss die Perspektive der betroffenen Personen stärken und entsprechende Garantien und Maßnahmen mit einer wirksamen datenschutzkonformen Technikgestaltung nach der DS‐GVO vorsehen. Sollte der Gesetzgeber tatsächlich daran festhalten, personenbezogene Daten ohne Einwilligung zu übermitteln, muss das Widerspruchsrecht zumindest so ausgestaltet werden, dass betroffene Personen vor der tatsächlichen Verarbeitung der personenbezogenen Daten effektiv über die Verwendung ihrer Daten mitbestimmen können. Wünschenswert wäre eine Klarstellung, dass zusätzlich zu dem ohnehin bestehenden Widerspruch aus Art. 21 DS‐GVO ein voraussetzungsloses Widerspruchsrecht geschaffen werden soll.

Nach § 363 Abs. 5 SGB V‐E kann ein Widerspruch weiterhin lediglich über die Benutzungsoberfläche eines geeigneten Endgeräts erklärt werden. Dies ist zu ändern. Auch für Versicherte, die über kein geeignetes Endgerät verfügen, muss die Erklärung niederschwellig möglich sein.

Zudem muss eine angemessene „Sperrfrist“ sicherstellen, dass betroffene Personen tatsächlich hinreichend Gelegenheit haben, ihr Widerspruchsrecht zur Kenntnis zu nehmen und ausüben zu können, bevor Daten verarbeitet werden. Die aktuelle Regelung birgt die Gefahr, dass vor allem von betroffenen Personen, die bereits die ePA nutzen, Daten übermittelt werden, ohne dass diese rechtzeitig über ihr Widerspruchsrecht informiert wurden. Auf diese „Sperrfrist“ ist die betroffene Person ebenso wie auf ihr Widerspruchsrecht deutlich hinzuweisen.

7. Forschungsgeheimnis, Zeugnisverweigerungsrecht und Beschlagnahmeverbot

Die Einführung eines Forschungsgeheimnisses ist für einen für einen angemessenen Ausgleich zwischen dem Forschungsinteresse auf der einen Seite und dem Persönlichkeitsschutz auf der anderen Seite unerlässlich. Der Gesetzentwurf muss dafür um Regelungen ergänzt werden, durch die die unbefugte Offenbarung von personenbezogenen medizinischen Forschungsdaten unter Strafe gestellt, deren Beschlagnahme verboten und ein Zeugnisverweigerungsrecht für wissenschaftlich Forschende und ihre Berufshelfer geschaffen werden (vgl. Petersberger Erklärung, S. 11). So können das Vertrauen in die Forschung gestärkt und der Schutz der betroffenen Personen erhöht werden.

III. Fazit

Die DSK fordert das Bundesgesundheitsministerium dazu auf, den GDNG‐E anzupassen und dabei insbesondere den oben unter Ziffer II. 1 bis 7. genannten datenschutzrechtlichen Änderungsbedarf einzubeziehen. Angesichts der Risiken für die Rechte und Freiheiten natürlicher Personen ist nach Auffassung der DSK die Durchführung einer Gesetzes‐Datenschutz‐Folgenabschätzung geboten. Die gesetzlichen Regelungen sind auf die Zwecke zu beschränken, die in einem erheblichen öffentlichen Interesse liegen und für die damit überhaupt eine Regelungsbefugnis des nationalen Gesetzgebers besteht.

Die Gesetzesbegründung sollte sich intensiver mit den datenschutzrechtlichen Anforderungen an die Verarbeitung von Gesundheitsdaten auseinandersetzen und insbesondere erkennen lassen, wie die Verhältnismäßigkeit der Eingriffe in die Datenschutzrechte begründet und durch begleitende Maßnahmen sichergestellt wird. Nur wenn die Rechte und Freiheiten der betroffenen Personen im Gesetz ausreichend gewürdigt und geschützt werden, kann eine Digitalisierung des Gesundheitswesens mit einer weitergehenden Nutzung von Gesundheitsdaten gelingen und das erforderliche Vertrauen der Bürgerinnen und Bürger schaffen.

Weitergehende Hinweise können sich aus detaillierten Stellungnahmen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und aus Stellungnahmen der Länder ergeben.

¹ Vgl. Erwägungsgrund 4 zur DS‐GVO.

² Online abrufbar unter https://datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf.