Das Gesundheitsdatennutzungsgesetz (GDNG) – Verbesserung der Gesundheitsforschung durch zentrale Datenzugangsinfrastruktur
Das “Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens”, kurz Gesundheitsdatennutzungsgesetz (GDNG vom 22. März 2024, BGBl. 2024 I Nr. 102), in Kraft seit dem 26. März 2024, markiert eine umfassende Reform zur datengestützten Verbesserung des deutschen Gesundheitssystems und zur Förderung der Forschung. Ziel des Gesetzes ist es, Gesundheitsdaten unter Wahrung des Datenschutzes für gemeinwohlorientierte Zwecke nutzbar zu machen.
Wichtige Aspekte des GDNG
- Zentrale Datenzugangs- und Koordinierungsstelle: Eine zentrale Koordinierungsstelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) unterstützt Forscher bei der Datenbeschaffung, indem sie Anträge bündelt und Prozesse beschleunigt. Zusätzlich sorgt ein transparenter Metadaten-Katalog für einen Überblick über die verfügbaren Gesundheitsdaten und deren Inhaber.
- Erweiterter Zugang durch Widerspruchsregelung: Das Gesetz setzt auf eine Opt-out-Lösung statt einer expliziten Einwilligung. Damit können Gesundheitsdaten für Forschungszwecke genutzt werden, wenn die betroffene Person nicht widerspricht. Diese Erweiterung der Datenbasis soll gemeinwohlorientierte Forschung erleichtern und beschleunigen.
- Federführende Datenschutzaufsicht für länderübergreifende Forschung: Eine zentrale Datenschutzaufsicht koordiniert länderübergreifende Forschungsvorhaben und gleicht unterschiedliche landesspezifische Interpretationen der DSGVO aus. Dies soll rechtliche Hürden verringern und Einheitlichkeit bei der Datenverarbeitung über Bundesländer hinweg schaffen.
- Strenge Geheimhaltungspflichten und Sanktionen: Ein spezielles Forschungsgeheimnis soll dafür sorgen, dass sensible Gesundheitsdaten nur zweckgebunden genutzt werden. Verstöße gegen diese Regelung können mit Geld- oder Freiheitsstrafen geahndet werden, um Missbrauch zu verhindern und das Vertrauen der Öffentlichkeit in die Forschung zu stärken.
Das GDNG soll ein, auf Gesundheitsdaten gestütztes Forschungssystem in Deutschland fördern und dazu beitragen, die Wettbewerbsfähigkeit des Standorts international zu steigern. Dennoch bleibt die Frage, wie sich die Regelungen in der Praxis bewähren und ob der Datenschutz ausreichend ist, um die Rechte der betroffenen Personen umfassend zu schützen.
Kritik und Bedenken
Das Gesundheitsdatennutzungsgesetz (GDNG) stößt auf einige Bedenken und Kritikpunkte, insbesondere seitens Datenschutzexperten und Verbraucherschutzorganisationen. Ein wesentlicher Kritikpunkt betrifft die Opt-out-Regelung, die es erlaubt, Gesundheitsdaten ohne ausdrückliche Einwilligung der betroffenen Personen für Forschungszwecke zu nutzen, sofern kein Widerspruch erfolgt. Datenschützer befürchten, dass diese Praxis die informationelle Selbstbestimmung der Bürger einschränken könnte, da viele Menschen möglicherweise nicht umfassend informiert sind und somit ungewollt in Studien einbezogen werden könnten.
Ein weiteres Problem sehen Kritiker in der zentralen Rolle der Datenzugangs- und Koordinierungsstelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Die zentrale Stelle soll den Zugang zu Gesundheitsdaten vereinfachen und ist für die Verwaltung von Anträgen zuständig. Gegner dieser Struktur befürchten jedoch, dass der damit verbundene zentrale Datenzugang und die dezentralisierte Speicherung Sicherheitsrisiken schaffen könnten. Zudem herrscht Unsicherheit über die genaue Umsetzung des Datenschutzes in Bezug auf Pseudonymisierungen, die potenziell re-identifizierbar sein könnten.
Zusätzliche Bedenken betreffen die fehlende Einführung eines umfassenden „Forschungsgeheimnisses“ und eines Zeugnisverweigerungsrechts für Forscher, wie es ursprünglich im Referentenentwurf angedacht war. Die Datenschutzkonferenz (DSK) fordert auch eine intensivere Folgenabschätzung hinsichtlich der Datenschutzrisiken und die Implementierung technischer Maßnahmen, um die Rechte der betroffenen Personen stärker zu schützen.
Schließlich wird kritisiert, dass die unterschiedlichen Datenschutzvorgaben in den Bundesländern trotz der DSGVO teils variieren, was zu Rechtsunsicherheiten führen kann, da die zentrale Datenschutzaufsicht nur bedingt einheitliche Richtlinien für länderübergreifende Forschungsvorhaben sicherstellen kann.
Zusammenfassung
Das Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens (GDNG) zielt darauf ab, den Zugang zu Gesundheitsdaten für die Forschung und die Verbesserung der Gesundheitsversorgung unter Berücksichtigung des Datenschutzes zu erleichtern und zu fördern.
- Zweck und Anwendungsbereich (§1): Das GDNG stellt die Nutzung von Gesundheitsdaten in den Dienst des Gemeinwohls, um Forschungsprojekte zu unterstützen und das Gesundheitswesen kontinuierlich datenbasiert zu verbessern. Es hebt die Priorität auf sichere und qualitätsgesicherte Gesundheitsversorgung, während die Regelungen den Vorrang vor jenen des Sozialgesetzbuchs haben, wenn es um gemeinwohlorientierte Forschungszwecke geht.
- Begriffsbestimmungen (§2): Das Gesetz definiert Schlüsselbegriffe, darunter „Gesundheitsdaten“, „personenbezogene Daten“ und „datenhaltende Stellen“. Auch werden „Datennutzende“ und „Sekundärdatennutzung“ (Weiterverarbeitung von Daten für andere Zwecke) präzisiert, um klarzustellen, wer und wie Daten genutzt werden dürfen.
- Datenzugangs- und Koordinierungsstelle (§3): Eine zentrale Einrichtung beim Bundesinstitut für Arzneimittel und Medizinprodukte dient als Schnittstelle für Gesundheitsdatenzugang und unterstützt Datennutzer bei der Datenbeschaffung. Zudem sorgt sie für Transparenz durch einen öffentlichen Metadaten-Katalog, ein Antragsregister und eine Informationspflicht über Aktivitäten.
- Datenverknüpfungen (§4): Das GDNG erlaubt unter strengen Vorgaben die Verknüpfung pseudonymisierter Gesundheitsdaten aus unterschiedlichen Quellen wie dem Forschungsdatenzentrum Gesundheit und den klinischen Krebsregistern, insbesondere für die Krebsforschung. Diese Verknüpfung soll nur erfolgen, wenn der Forschungsnutzen das Interesse am Schutz der Daten überwiegt und ein geringes Reidentifikationsrisiko besteht.
- Datenschutzaufsicht bei länderübergreifenden Projekten (§5): Bei Projekten, die mehrere Datenschutzbehörden betreffen, kann eine federführende Behörde für eine koordinierte Aufsicht benannt werden, um einheitliche Aufsichtsmaßnahmen zu gewährleisten.
- Weiterverarbeitung und Qualitätssicherung (§6): Gesundheitsdaten dürfen weiterverarbeitet werden, z. B. zur Patientensicherheit und Qualitätssicherung. Sie müssen pseudonymisiert oder anonymisiert werden, sobald dies zweckmäßig ist. Datenschutzkonzepte wie Rechte- und Rollenkonzepte sind verpflichtend.
- Geheimhaltung und Strafvorschriften (§§7 und 9): Strikte Geheimhaltungspflichten schützen Gesundheitsdaten vor unbefugter Nutzung und Weitergabe. Verstöße gegen diese Vorschriften können mit Geld- oder Freiheitsstrafe geahndet werden, insbesondere bei missbräuchlicher Weiterverarbeitung oder bei kommerziellen Absichten.
Das GDNG verdeutlicht damit die Balance zwischen dem öffentlichen Interesse an der Nutzung von Gesundheitsdaten und den strengen Anforderungen des Datenschutzes, um das Vertrauen in eine datengestützte Gesundheitsforschung und ‑versorgung zu stärken.