Statement

Stellungnahme zum Referenten­entwurf eines Gesetzes für Daten und digitale Innovation im Gesundheits­wesen (GeDIG)

Berlin, 18. Mai 2026. Diese Stellungnahme geht auf Diskussionen innerhalb der „Koordinierungsgruppe Gesundheitsdateninfrastrukturen“ (GFDI) zurück, die von der Medizininformatik-Initiative (MII) und dem Netzwerk Universitätsmedizin (NUM) organisiert wurde.

Ethik & Datenschutz
IT-Infrastruktur
Digitalisierung & E-Health
Genommedizin & Biobanken
Klinische Forschung, Register, Versorgungsforschung

Downloads

Folgende Initiativen und Organisationen haben an der Stellungnahme mitgewirkt und tragen diese mit:

  • Medizininformatik-Initiative (MII)
  • Netzwerk Universitätsmedizin (NUM)
  • AKTIN e.V.
  • Arbeitsgemeinschaft der Wissenschaftlichen Medizinischen Fachgesellschaften e.V. (AWMF)
  • Deutsche Gesellschaft für Anästhesiologie und Intensivmedizin e.V. (DGAI)
  • Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)
  • Deutsche Gesellschaft für Rheumatologie und Klinische Immunologie e.V.
  • Deutsche Hochschulmedizin e.V.
  • Deutsche Zentren der Gesundheitsforschung (DZG)
  • Deutsches Konsortium für Translationale Krebsforschung (DKTK)
  • Deutsches Krebsforschungszentrum (DKFZ)
  • Deutsches Netzwerk Versorgungsforschung e.V.
  • Deutsches Zentrum für Diabetesforschung (DZD)
  • Deutsches Zentrum für Herz-Kreislauf-Forschung e.V.
  • Deutsches Zentrum für Infektionsforschung (DZIF)
  • Deutsches Zentrum für Kinder- und Jugendgesundheit (DZKJ)
  • Deutsches Zentrum für Lungenforschung (DZL)
  • Deutsches Zentrum für Neurodegenerative Erkrankungen e.V. (DZNE)
  • Deutsches Zentrum für Psychische Gesundheit (DZPG)
  • Initiative Deutscher Forschungspraxennetze DEGAM-ForNet
  • KKS-Netzwerk e.V.
  • Klinisches Krebsregister Niedersachsen (KKN)
  • Medizinischer Fakultätentag
  • Nationale Forschungsdateninfrastruktur e.V. (NFDI)
  • TMF – Technologie- und Metho­den­plattform für die ver­netzte medi­zi­nische Forschung e.V.
  • Verband der Universitätsklinika Deutschlands e.V. (VUD)

 

I Zum Gesetzentwurf allgemein

Die Unterzeichnenden begrüßen den Referentenentwurf eines Gesetzes für Daten und digitale Innovation im Gesundheitswesen (GeDIG) in seiner Intention, die Digitalisierung des Gesundheitswesens konsequent voranzutreiben und zentrale Voraussetzungen für ein modernes, datenbasiertes Primärversorgungssystem sowie für die Sekundärnutzung von Gesundheitsdaten für Forschung und Innovation zu schaffen. Damit wird ein Rahmen adressiert, der es ermöglicht, Versorgungsprozesse systematisch zu analysieren, evidenzbasiert weiterzuentwickeln und Innovationen schneller in die Regelversorgung zu überführen. Der Entwurf adressiert dabei wesentliche Handlungsfelder – von der besseren Nutzbarmachung von Gesundheitsdaten über die Umsetzung der EHDS-Verordnung bis hin zur Weiterentwicklung von Interoperabilität, Telematikinfrastruktur und digitaler Kommunikation.

Im Folgenden fokussieren sich die Unterzeichnenden in ihrer gemeinsamen Stellungnahme auf die geplanten Änderungen des SGB V einerseits und auf die Weiterentwicklung des GNDG, einschließlich der Umsetzung der EHDS-Verordnung, andererseits.

Zur Änderung des SGB V sehen wir es als wichtig an, konsequent die Nutzung von Gesundheitsdaten für Versorgung, Forschung und Innovation zu erleichtern und gleichzeitig rechtliche Klarheit sowie praktikable Umsetzungsbedingungen zu schaffen.

Hierzu fehlt im Gesetz eine Regelung zur besseren einwilligungsbasierten Nutzung von Daten der Krankenkassen: Bei Vorliegen einer wirksamen, informierten Einwilligung sollte keine zusätzliche behördliche Genehmigung für die Verarbeitung von Sozialdaten erforderlich sein. Eine solche Klarstellung würde bestehende Rechtsunsicherheiten beseitigen, Bürokratie deutlich reduzieren und den Datenzugang für Forschung beschleunigen. Ergänzend sind standardisierte Einwilligungen, verbindliche Übermittlungsfristen sowie klare Regeln zur Datenverknüpfung notwendig. Empfohlen wird daher eine gesetzliche Regelung, die Datenübermittlungen auf Basis der Einwilligung ausdrücklich ohne Genehmigungsverfahren ermöglicht.

Im Bereich der Telematikinfrastruktur sollte die Weiterentwicklung konsequent auf Interoperabilität, Sicherheit und Praktikabilität ausgerichtet werden. Dazu zählen die perspektivische Einbeziehung digitaler Identitäten auch für Leistungserbringende, die Reduktion paralleler Authentifizierungsverfahren sowie verbindliche Anforderungen an Security-by-Design, risikoadäquate Sicherheitsstandards und abgestimmte Melde- und Sanktionsregime.

Für sichere Kommunikationsverfahren bedarf es klarer und technologieneutraler Regelungen, die Mehrfachumsetzungen vermeiden und reale Betriebsbedingungen berücksichtigen. Die Nutzung privater Endgeräte ist begrüßenswert, sollte aber für vollständige Versorgungsprozesse erweitert werden.

Die erweiterte Nutzung von Gesundheitsdaten ist zu begrüßen, erfordert jedoch eine praktikable Umsetzung, insbesondere bei Einwilligungsprozessen, Studienteilnahme und Vernetzung. Offene Schnittstellen zu bestehenden Registern sowie die Einbindung qualifizierter Beratungsstrukturen sind hierfür zentral.

Für digitale Versorgungssteuerung sind verbindliche Qualitätsanforderungen entscheidend (Validierung, Transparenz, Bias-Kontrolle, Evaluation). Diese müssen wissenschaftlich evaluierbar ausgestaltet und interoperabel in bestehende Systeme integriert werden können.

Schließlich ist die Verpflichtung zur Interoperabilität und Datenbereitstellung ausdrücklich begrüßenswert. Ergänzend sind verbindliche Nutzung internationaler Standards sowie die Einbindung von Forschungsanforderungen und Schnittstellen zu medizinischen Registern erforderlich, wobei Praktikabilität und angemessene Übergangsfristen zu berücksichtigen sind.

Das Gesundheitsdatennutzungsgesetz (GDNG) ist bereits jetzt ein bedeutsamer Schritt auf dem Weg zu besserer Gesundheitsdatennutzung in der medizinischen Forschung zum Wohle von Patientinnen und Patienten in Deutschland. Ergänzend zu der Zielsetzung, die Sekundärdatennutzung in Deutschland national einheitlich und über Länder- und Einrichtungsgrenzen hinweg effektiver zu gestalten, zielt das GDNG nun auch auf die Umsetzung des regulatorischen Rahmens durch den EHDS für den nationalen Raum, die geeignet ist, erkennbare Limitationen des EHDS für den Standort Deutschland überwinden zu helfen und die Wettbewerbsfähigkeit von Wissenschaft und Gesundheitswirtschaft in Deutschland zu stärken. Die wichtigsten Stärken des GDNG im Vergleich zur europäischen EHDS-Verordnung sind insbesondere:

  • Einwilligungsfreie Datennutzung durch ärztliche Einrichtungen (nach §25 Abs. 3 GDNG auch im Verbund) ohne Opt-Out-Vorbehalt, was eine Bias-freie Datenauswertung erlaubt;
  • Verzicht auf eine strikt bindende Vorgabe der Datenbereitstellung nach §25 GDNG ausschließlich in einer sicheren Verarbeitungsumgebung (SPE), was eine wissenschaftlich adäquate Datenbereitstellung je nach Datennutzungsfall erlaubt (verteiltes Rechnen, Datenanalyse beim Antragsteller, aber auch Datennutzung in einer SPE);
  • Szenario zum wissenschaftlichen Datenteilen und Datennutzen nach §25 GDNG ohne zwingende behördliche Bescheide und mit wenig bürokratischen Verfahren und Folgeaufwänden;
  • Bundesweite landesübergreifende Straffung der datenschutzaufsichtsbehördlichen Verfahren und Kompetenzen;
  • Schaffung eines bundeseinheitlichen, transsektoralen Rechtsrahmen für die wissenschaftliche Datennutzung unter freiwilligen datenteilenden und forschenden Einrichtungen, ohne zugleich potentiell problematische Verpflichtungen zur Datenweitergabe vorzunehmen.

Es ist ausgesprochen wertvoll, diese Ansätze im Einklang mit dem European Health Data Space (EHDS), aber auch Nutzungsmöglichkeiten über den EHDS hinaus eröffnend, weiterzuentwickeln. Weiterentwicklungsbedarfe zum jetzigen GDNG zeigen sich in zweierlei Hinsicht: Zum einen sind bestehende Regelungen zwar intentional völlig richtig und begrüßenswert, haben sich aber in der operativen Umsetzung bislang als nicht gängig genug erwiesen und bedürfen der Präzisierung und Ergänzung. Zum anderen sind bisherige Reglungen im GDNG inhaltlich zu kurz gegriffen und sollten erweitert werden (Beispiele: Datenverknüpfung, Krankenkassendaten).

Die Einführung einer einheitlichen Forschungskennziffer ist ausdrücklich begrüßenswert, da sie eine zentrale Voraussetzung für die sektorenübergreifende Nutzung von Gesundheitsdaten und die Umsetzung des EHDS darstellt. Aus Sicht der Gesundheitsforschung ist eine einheitliche, sektorenübergreifende Forschungskennziffer erforderlich, die datenschutzkonforme Verknüpfungen über unterschiedliche Datenbestände, Rechtsgrundlagen und institutionelle Zuständigkeiten hinweg ermöglicht. Gerade für komplexe Fragestellungen – etwa in der Präventionsforschung, Klimafolgenforschung oder bei der Analyse von gesundheitlichen Krisen – ist eine solche übergreifende Verknüpfung von in Deutschland verteilt vorliegenden medizinischen Daten unverzichtbar. Die Umsetzungsaufwände einer Einführung einer Forschungskennziffer für datenhaltenden Stellen sind bislang nicht berücksichtigt. Dies ist umso kritischer, als aktuell parallel in mehreren Gesetzentwürfen (GeDIG, MRG, FDG) unterschiedliche Verfahren für eine solche Forschungskennziffer angelegt sind. Wir empfehlen daher nachdrücklich die Entwicklung eines durchgängigen fachlichen Gesamtkonzepts für eine sektorenübergreifende Forschungskennziffer unter Einbindung von Datenhaltern und Wissenschaft. Zu einem solchen Konzept gehört ebenso das dazugehörige Pseudonymisierungsverfahren wie auch die Spezifikation aller Verfahrensschritte rund um das mit dem Gesetz einzuführende „Register zur Durchführung der Betroffenenrechte“ zur Verwaltung und automatischen Abfragbarkeit von Widersprüchen gegen eine Sekundärnutzung im EHDS. An mehreren Stellen bei den gesetzlichen Vorgaben zum EHDS sollte noch mehr auf Niederschwelligkeit und Bürokratievermeidung geachtet werden.

Die in §§ 25 und 26 GDNG vorgesehenen Zustimmungsvorbehalte durch verteilt zuständige Datenschutzaufsichtsbehörden erscheinen, wie die zweijährige bisherige Erfahrung zeigt, nicht praktikabel, zudem überschneidet sich die vorgesehene Güterabwägung inhaltlich mit Aufgaben der Ethik-Kommissionen und führt bei zusätzlicher Prüfung der Notwendigkeit und des Nutzens der Datenverarbeitung seitens der Datenschutzaufsichtsbehörden zu Doppelbegutachtungen und Verzögerungen ohne erkennbaren Mehrwert. Empfohlen wird daher, ein positives Ethik-Votum als zentrale Voraussetzung zu verankern und die Datenschutzprüfung komplementär auszugestalten und durch Zuständigkeits- und Verfahrensbündelung schneller und unbürokratischer zu machen.

 

Fazit

Insgesamt stellt der Referentenentwurf einen wichtigen weiteren Schritt zur datenbasierten Medizin der Zukunft dar.

Im Bereich der medizinischen Versorgung ist es richtig, die Resilienz der Telematikinfrastruktur zu verbessern und die Datenverfügbarkeit system-unabhängiger zu gestalten. Hierfür wurden notwendige Schritte unternommen, die sich neben einer verbesserten Versorgung auch im Forschungsbereich positiv auszahlen werden.

Es ist hingegen überfällig, die bereits vielfach diskutierte Doppelregelung von Einwilligung und behördlicher Genehmigung zur Nutzung von Krankenkassendaten für medizinische Forschung aufzulösen und die Weitergabe bei Einwilligung auch verbindlich zu machen. Das BMG hatte hierzu in der Vergangenheit bereits probate Lösungen erarbeitet, die wir dringend empfehlen, wiedervorzulegen und umzusetzen.

Die Weiterentwicklung und Stärkung des GDNG, insbesondere die Forschungskennziffer, wenn auch noch nicht sektorübergreifend, die Regelung der Betroffenenpflicht, Beleihungsfähigkeit und die dezentralen Zugangsstellen, sowie die Beteiligung der anderen Ressorts sind sehr positiv zu bewerten. Aus den § 5 (Datenschutzaufsicht) und §25 (Weiterverarbeitung von Versorgungsdaten) hätte man echte Ermöglichungsparagraphen machen können, die Chance ist hier leider nicht ergriffen worden. Insbesondere für Forschungsvorhaben mit mehreren beteiligten Stellen wünschen wir uns einen mutigen Vorschlag mit einheitlichen Regeln und schnelleren Verfahren, um die Versorgungsforschung zu beschleunigen.

 

II Zu den Regelungen im Einzelnen

a) Änderungen des Fünften Buches Sozialgesetzbuch

§ 25b (1) Datengestützte Erkennung individueller Gesundheitsrisiken durch die Kranken- und Pflegekassen

Mit §25b und den geplanten Änderungen hierzu wird ein wichtiges Thema adressiert – die datenbasierte Prävention, an die sich viele Erwartungen für das Gesundheitssystem der Zukunft richten. Gezielte Hinweise an Patientinnen und Patienten – auf Basis der ohnehin bei ihnen vorhandenen Routinedaten – auf diagnostische Möglichkeiten und Bedarfe, aber auch auf geeignete innovative, präzise oder spezialisierte Versorgungsoptionen bieten große Chancen für eine zunehmend effektivere Krankheitsvermeidung, wenn hierfür ein nachvollziehbarer und qualitätsgesicherter medizinischer Anknüpfungspunkt besteht (z. B. Hinweise auf seltene Erkrankungen, seltene Subtypen häufiger Erkrankungen, Therapieversagen/refraktäre Verläufe). Eine individuelle, qualitätsgesicherte Hinweisfunktion, basierend auf algorithmischer Analyse vorhandener Daten, kann hier einen effizienten digitalen Hebel schaffen, um Betroffene erreichbar zu machen und Innovation tatsächlich in die Versorgung zu bringen. Vor diesem Hintergrund erscheint es plausibel, die ePA als Datenquelle für solche Hinweisfunktionen nutzen zu wollen und zugleich auch Evidenz für solche Hinweisfunktionen zu gewinnen.

Zugleich resultieren Fragen aus einem solchen Ansatz: Wie stellt man die Qualität einer solchen Intervention sicher? Wie stellt man sicher, dass es keine Ausweitung des Zugriffs für andere Zwecke (z. B. Abrechnungsprüfung) gibt? Sind die Krankenkassen der einzige plausible Akteur, der mit einem solchen ePA-Zugriff datenbasierte Prävention anbieten kann und sollte – oder können dies perspektivisch auch Akteure mit Behandlungsauftrag und telemedizinischen Angeboten tun? Lässt sich überhaupt eine Hinweisfunktion von einer medizinischen Beratung trennen? Und wie verhindert man ein “Over-Alerting” beim Patienten – und wenn dies erforderlich werden sollte, wie und durch wen wird nach welchen Kriterien eine Priorisierung von Alerts vorgenommen?

Empfehlung: Wir empfehlen statt einer jetzigen gesetzlichen Regelung zunächst einen Fachworkshop mit allen beteiligten Akteuren (Krankenkassen, Leistungserbringer, digitale Gesundheitsdienstleiter und Entwickler von Algorithmen, Regulatoren, Patientenvertretungen, Versorgungsforschung u.a.) zur Klärung aller prozessualen, regulatorischen und ethischen Fragen. Eine breit getragene Konzeption stärkt die Durchsetzung der geplanten Änderungen und beschleunigt so den Transfer digitaler Innovationen und den Zugang zu spezialisierten Angeboten gerade für Patientengruppen mit hohem ungedecktem Versorgungs- und Präventionsbedarf.

 

§ 284a Reallabore der Krankenkassen

Der Entwurf ermöglicht Krankenkassen Reallabore zur befristeten Erprobung innovativer Datennutzung mit Genehmigung der Aufsichtsbehörde einzurichten.

Empfehlung: Der Ergebnisbericht sollte als wissenschaftliche Evaluation mit Mindeststandards (Design, Endpunkte, Bias-Kontrolle, Reproduzierbarkeit) konkretisiert werden, damit „Learning“ nicht verpufft. Zudem braucht es verbindliche Transparenz- und Publikationsanforderungen, damit Ergebnisse nachnutzbar und überprüfbar sind.

Zur Abgrenzung: Ein Reallabor ist an kassenrechtliche Aufgaben gekoppelt (Versorgung, Innovation), sobald Ziel und Design überwiegend dem Erkenntnisgewinn dienen, sollten zusätzlich die einschlägigen Forschungsschutzregime greifen. Das sollte im Genehmigungsprozess klar adressiert werden (Auflagen, Anpassung und Widerruf sind im Entwurf angelegt), um Schutzlücken und Parallelstrukturen zu vermeiden.

 

§ 287 Übermittlungserlaubnis bei Einwilligung

Eine gesetzliche Klarstellung ist dringend erforderlich, damit bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person kein zusätzliches Genehmigungserfordernis für die Verarbeitung von Sozialdaten besteht. Diese Klärung würde den bislang bestehenden Vorbehalt beseitigen, ob auch mit Einwilligung der Versicherten ein Genehmigungsverfahren nach § 75 SGB X notwendig ist. Liegt eine gültige Einwilligungserklärung vor, die die Versichertenautonomie wahrt, ist ein weiterer Genehmigungsschritt weder fachlich noch rechtlich notwendig. Dies gilt umso mehr, als entsprechende Forschungsvorhaben, die eine solche Einwilligung einholen, in der Regel bereits durch eine Ethikkommission überprüft und beraten wurden. Die Prüfaufwände könnten sich dann auf technisch-organisatorische Maßnahmen zur Datensicherung bei der jeweiligen Krankenversicherung beschränken. So würde der Wegfall zusätzlicher Genehmigungen den bürokratischen Aufwand für Forschende, Krankenversicherungen und Aufsichtsbehörden erheblich reduzieren und den Zugang zu den Daten beschleunigen sowie effizienter gestalten. Die Standardisierung der Einwilligungserklärung könnte dabei in enger Abstimmung mit den Datenschutzaufsichtsbehörden auf Landes- und Bundesebene erfolgen. Darüber hinaus sind verbindliche Übermittlungsfristen und die Möglichkeit, Sozialdaten miteinander zu verknüpfen, unverzichtbar und sollten klar geregelt sein.

Empfehlung: Nutzung von Kassendaten ohne Genehmigung bei Vorliegen einer wirksamen Einwilligung.

(3) Abweichend von § 75 Absatz 4 des Zehnten Buches Sozialgesetzbuch sollen Krankenkassen Sozialdaten in angemessener Frist für die in § 75 Absatz 1 Nummer 1 des Zehnten Buches Sozialgesetzbuch genannten Zwecke an Dritte übermitteln, ohne dass es hierfür einer vorherigen Genehmigung durch die oberste Bundes- oder Landesbehörde bedarf, soweit die betroffenen Personen in die Übermittlung eingewilligt haben.

 

§ 291 Abs. 8 Gleichwertigkeit der digitalen Identität sowie der europäischen Brieftasche für die digitale Identität

Ab dem 01. Januar 2027 kann die digitale Identität und ab dem 01. Dezember 2028 die Europäische Brieftasche für die Digitale Identität als Pendant für die elektronische Gesundheitskarte (eGK) als Authentifizierung und Versicherungsnachweis für Patientinnen und Patienten genutzt werden.
Dies ist grundsätzlich zu begrüßen, da somit wichtige Schritte für Hardware-lose Nutzung digitaler Tools ermöglicht wird. Die digitalen Identitäten von Leistungserbringenden wurden hier außen vorgelassen. Die Mehrwerte der digitalen Identitäten werden so zwar für die Versicherten generiert, die Nutzung für die Leistungserbringenden aber bleibt Karten-basiert und damit umständlicher. Zudem führt die Parallelität von den drei unterschiedlichen Authentifizierungs- bzw. Nachweisverfahren, also eGK, nationale Identität und europäische Brieftasche, zu Mehraufwänden bei den Leistungserbringerinstitutionen, da sowohl technisch als auch organisatorisch alle drei Verfahren umgesetzt werden müssen.

Empfehlung: Im Sinne von einem festgelegten einheitlichen Vorgehen sollte die nationale Lösung kurzfristig durch die europäischen Variante substituiert werden können.

 

§ 295 Abs. 1c Verpflichtung der Übertragung von elektronischen Briefen über ein sicheres Übermittlungsverfahren

Es wird eine neue Verpflichtung eingeführt, durch welche Leistungserbringende elektronische Briefe ausschließlich über ein sicheres Übermittlungsverfahren übermitteln dürfen, wenn die technischen Voraussetzungen gegeben sind.

Die vorgesehene Formulierung bildet nicht den Fakt ab, dass es beim Inkrafttreten des Gesetzes bereits zwei sichere Übermittlungsverfahren, Kommunikation im Medizinwesen und Telematikinfrastruktur-Messenger, gibt und weitere dazu kommen können. So ist diese Formulierung missverständlich und bietet falsche Deutungsmöglichkeiten. Für die Leistungserbringenden kann dies zu unverhältnismäßigen Mehraufwänden führen, wenn nicht nur ein notwendiges Übermittlungsverfahren eingesetzt, sondern aufgrund einer falsch verstandenen Verpflichtung alle Verfahren vorgehalten werden müssen. Zudem wird es zu Unklarheiten bei den Leistungserbringenden führen, welches Verfahren gerade zu nutzen ist.

Des Weiteren suggeriert die Formulierung „[…] sobald die technischen Voraussetzungen dafür gegeben sind.“ eine ununterbrochene Verfügbarkeit der Verfahren ab dem erfolgten Rollout bei den Leistungserbringenden. Erfahrungswerte mit anderen Anwendungen der Telematikinfrastruktur zeigen allerdings, dass Dienste auch über einen längeren Zeitraum ausfallen können.

Empfehlung: Die Formulierung „[…] insoweit die technischen Voraussetzungen dafür gegeben sind.“ Würde die intendierte Regelung besser treffen.

 

§ 303e Abs. 2 Erweiterung der Nutzungszwecke der FDZG-Daten

Die Nutzungszwecke der FDZG-Daten werden erweitert. So können diese für die Kontaktherstellung von Leistungserbringenden genutzt werden. Dies wird eingeschränkt auf die folgenden Fälle: Vernetzung von Leistungserbringenden zum fachlichen Austausch, Prüfung geeigneter Teilnehmenden für klinische Prüfungen sowie Anträge des G-BA bzw. IQTIG im Zuge ihrer gesetzlichen Aufgaben.

Die Erweiterungen der Nutzungszwecke der FDZG-Daten sind zu begrüßen. Es bleibt allerdings fraglich, wie die Vernetzung von Leistungserbringenden niedrigschwellig und aufwandsarm über einen Antrag beim FDZG erfolgen kann. Auch die Prüfung nach infrage kommenden Teilnehmenden für klinische Prüfungen birgt Hürden. So kann dies aufgrund von datenschutzrechtlichen Einschränkungen nur bei den Personen nutzbar sein, die einer Ansprache für eine Studienteilnahme aktiv zugestimmt haben. Somit reduziert sich der Teilnehmenden-Pool auf die Personen, die über ihre ePA aktiv eine solche Entscheidung festgehalten haben. Diese Funktionalität muss in der ePA erst noch umgesetzt werden. Die Regelung wird entsprechend frühestens in mehreren Jahren und nur für einen geringen Anteil der vorliegenden Daten greifen können. Es ist daher festzuhalten, dass diese Funktionen zur Unterstützung der Rekrutierung für klinische Studien in der Zukunft hilfreich sein mögen, aber flankiert sein müssen durch andere Maßnahmen und Infrastrukturen zur Studienrekrutierung in der Gesundheitsforschung.

 

§ 306 Telematik-Infrastruktur

Security-by-Design und externe Sicherheitsgutachten sollten verbindlich verankert werden. Zudem braucht es klare Regeln, wie Ergebnisse dokumentiert und transparent gemacht werden. Die Meldepflichten und Sanktionslogik müssen so ausgestaltet sein, dass sie für Hersteller/Betreiber praktikabel sind und sich sauber mit NIS2- und KRITIS-Vorgaben verzahnen (insb. ohne Doppelmeldungen). Für TI-Komponenten und -Dienste sollten Mindeststandards zur Informationssicherheit konsistent nach Risiko definiert werden, statt nur punktuelle Pflichten vorzusehen. Transparenzanforderungen sollten dabei so geregelt werden, dass sie Sicherheitsinteressen wahren, aber dennoch eine nachvollziehbare Rechenschaft über Sicherheitsniveau und Governance für alle Interessierten ermöglichen.

 

§ 312 Abs. 1 Punkt 20 Zugriff auf die ePKA für notfallversorgende Leistungserbringende

Ab dem 01. Januar 2030 sollen alle Maßnahmen abgeschlossen sein, damit Leistungserbringende in der Notfallversorgung Zugriff auf die elektronische Patientenkurzakte (ePKA) erhalten, auch wenn ein aktives Freischalten der versorgten Person nicht möglich ist.

Diese Regelung ist sehr zu begrüßen. Dies passt insbesondere zur neuen Notfallreformgesetzgebung, die Behandlungen in Notfallsituationen aufwertet. Der Zugriff auf diese notfallrelevanten Daten durch notfallversorgende Leistungserbringende ist für eine ePA-zentrierte Gesundheitsversorgung zwingend notwendig. Es stellt sich allerdings die Frage, inwieweit die ePKA übergreifend befüllt und aktualisiert werden kann. Hier muss auf ein möglichst aufwandsarmes und im besten Fall automatisiertes Vorgehen geachtet werden.

 

§ 329 Absatz 3 Gefahrenabwehr durch die gematik

Die Gesellschaft für Telematik erhält das Recht, Komponenten, Dienste und informationstechnische Systeme in der TI zu sperren, wenn Betreibende nicht unverzüglich Maßnahmen zur Behebung von vor allem sicherheitsrelevanten Missständen wahrnehmen.

Grundsätzlich ist es zu begrüßen, der Gesellschaft für Telematik zur Gewährleistung der Einhaltung sicherheitsrelevanter Aspekte diese Möglichkeit zu geben. Klare Verantwortlichkeiten und Verfahren sind elementar für die IT-Sicherheit eines komplexen verteilten Systems wie der TI mit allen angeschlossenen Einrichtungen. Bei den Fristen und angeordneten Maßnahmen müssen auch die Pflichten und Möglichkeiten der Leistungserbringenden berücksichtigt werden. Nicht Sanktionierung, sondern Unterstützung der Leistungserbringenden bei der Umsetzung von Sicherheitsauflagen muss das Ziel sein.

 

§ 332a Unzulässige Beschränkungen durch Anbieter und Hersteller von IT-Systemen für die Versorgung

Es wird die diskriminierungsfreie Einbindung gesetzlich verpflichtender Komponenten und Dienste der TI in die diese Vorgaben umsetzenden informationstechnischen Systeme eingeführt. Diese Einbindung soll ohne zusätzliche Kosten für die Nutzenden erfolgen, direkte und indirekte Kosten für entsprechende Anpassungen für die Nutzenden sind unzulässig.

Die Komponenten und Dienste der Telematikinfrastruktur bilden in einer systemoffenen Umsetzung eine entscheidende Grundlage für ein vernetztes Gesundheitswesen. Durch sie kann eine hohe und schnelle Datenverfügbarkeit in der Versorgung ermöglicht werden. Ein diskriminierungsfreies Angebot kann zu der Erreichung dieser Ziele beisteuern. Gleichzeitig muss die Benutzerfreundlichkeit der Systeme beobachtet werden. Sollte es zu qualitativ schlechter werdenden Umsetzungen dieser Einbindung in den Systemen kommen, könnten Akzeptanzprobleme für den Einsatz der neuen Anwendungen bei den Anwenderinnen und Anwendern folgen. Um dies zu verhindern, sollte bei einer erkennbaren Tendenz entsprechend gegengehandelt werden.

 

§ 345a Digitaler Versorgungseinstieg, Terminplattformen

Hier entstehen neue, standardisierte Datenerhebungen – einschließlich Qualitätsanforderungen (z. B. Sensitivität/Spezifität) und laufender Evaluation – sowie zusätzliche Schnittstellen.

Empfehlung: Erforderlich ist ein interoperabler Datenaustausch mit ePA, eÜberweisung sowie Praxis-/Kliniksystemen, der von Beginn an standardisiert wird. Insellösungen sind zu vermeiden, stattdessen sollten verbindliche Standards die durchgängige Integration in bestehende (Hausarztzentrierte Versorgung) und geplante Versorgungsprozesse sicherstellen. Zur Ressourcenminimierung sollte mitgedacht werden, dass nicht mehrere Fachärztinnen und Fachärzte gleichzeitig genutzt werden. Das Recht auf Zweitmeinung bleibt davon unberührt.

 

§ 345b Datengestützte Informationen zur Teilnahme an klinischen Studien; Verordnungsermächtigung

Versicherte sollen einwilligungsbasiert die Möglichkeit erhalten, sich klinische Studien auf Basis ihrer ePA-Daten anzeigen zu lassen und ggf. teilzunehmen.

Es ist sehr zu begrüßen, dass sich Patientinnen und Patienten über die entsprechende Benutzeroberfläche für sie passende Studien anzeigen, und sich als Teilnehmende einschließen lassen können. Im Rahmen der Verordnung muss aber sichergestellt sein, dass das Verfahren für alle prospektiven Studien, unabhängig von der Rechtgrundlage (AMG, MPDG, Berufsordnung) grundsätzlich offen ist. Bei der Datenquelle müssen auch Schnittstellen zu bestehenden Registern (z.B. CTIS, DRKS,…) genutzt werden bzw. eingefordert werden, um doppelte Datenführung zu vermeiden. Darüber hinaus sollten die Ein- und Ausschlusskriterien der Studien semantisch kodiert sein und maschinenlogisch interpretierbar ausgestaltet sein, um ein belastbares und interoperables Matching zu ermöglichen.

Empfehlung: Vor diesem Hintergrund erscheint es sinnvoll, die hierfür erforderlichen Spezifikationen zunächst in einem von Stakeholdern getriebenen Verfahren konzeptionell zu entwickeln.

Ein Overalerting von Patientinnen und Patienten wäre nicht hilfreich. Beim Matching von Patientinnen und Patienten müssen auch Überführungen zu strukturierten, professionellen Beratungsangeboten (z.B. Patientenorganisationen, staatliche Beratungsstellen) im Auftrag bzw. in Kooperation mit den Studienleitenden möglich sein. Unmittelbare Weiterleitung an Studienleitende wäre in der Regel nicht handhabbar.

Empfehlung: Der Gesetzestext sollte an dieser Stelle so präzisiert werden, dass im Rahmen der Verordnung eine offene, praktikable und rechtssichere Umsetzung tatsächlich gewährleistet ist, die Transparenz und wirksame Patientensouveränität sicherstellt.

 

§ 360 Digitale Bedarfseinschätzung

Für Qualitätsanforderungen an die digitale Bedarfseinschätzung sind Validierung, Transparenz, Interessenneutralität und laufende Evaluation zentral.

Empfehlung: Für faire, verlässliche und effektive Steuerungsentscheidungen sollte vorhandene Evidenz genutzt und die Bedarfseinschätzung wissenschaftlich evaluierbar sein, dafür braucht es Zugang zu Qualitätsdaten. Zudem sollten Anforderungen zur Minimierung von Bias verbindlich vorgesehen werden.

 

§ 363 Sichere Übermittlungsverfahren

Die beiden Dienste Kommunikation im Medizinwesen und Telematikinfrastruktur-Messenger werden als sichere Übermittlungsverfahren festgelegt. Die Benennung weiterer ist über einen gematik-Entscheid möglich. Die KIM-Nutzungspflicht für alle an die TI-angebundenen Leistungserbringenden wird eingeführt. Außerdem ist ein Übertragungsverbot von medizinischen und pflegerischen Daten mittels Telefax ab Jahreswechsel 2026/2027 nach Inkrafttreten des Gesetzes vorgesehen. Des Weiteren soll Datenaustausch für Fachverfahren zukünftig über sichere Übermittlungsverfahren erfolgen, hierzu führt die Gesellschaft für Telematik ein öffentliches Register ein. Es wird die Nutzungserlaubnis privater Endgeräte durch Leistungserbringende zum Austausch medizinischer und pflegerischer Daten in Krankenhäusern ermöglicht.

Es ist zu begrüßen, dass durch diese neuen Vorgaben einheitliche und teils allgemein verfügbare Kommunikationswege festgeschrieben werden. Durch die Zusammenarbeit mit BSI und BfDI wurden die Aspekte Datenschutz und Cybersicherheit adressiert. Mit Blick auf aktuelle Bedrohungslagen und aus diesen erwachsenden Verpflichtungen wie z. B. der Einhaltung der KRITIS-Vorgaben für große Leistungserbringerinstitutionen wie Universitätsklinika oder notwendigen C5-Zertifizierungen (oder äquivalente Prüfungen) für Cloud-Systeme scheinen die Maßnahmen für die Telematikinfrastruktur-Komponenten und -Dienste vergleichsweise gering. Hier sollte geprüft werden, ob die sicheren Übermittlungsverfahren und deren dahinterliegenden Infrastruktur ebenfalls kritisch im Sinne der Resilienz des deutschen Gesundheitswesens sind – was wir annehmen. In diesem Fall fielen sie unter die Regelungen des KRITIS-Dachgesetzes.

Auch die Nutzungserlaubnis privater Endgeräte wird ausdrücklich begrüßt. Allerdings ist die Formulierung sehr eng gefasst und muss inhaltlich um die Nutzung von Funktionsdienste und Unterstützungsdienste erweitert werden. Andernfalls bleibt die Interpretation möglich, dass diese ausgeschlossen sind. Benötigte Funktionalitäten für einen Versorgungsprozess würden so gespalten werden und die Regelung in der Realität nicht wie intendiert in Einsatz kommen.

Empfehlung:

Änderungsvorschlag: (Änderungen sind in roter Farbe und unterstrichen formatiert hervorgehoben)

„Leistungserbringer können innerhalb eines Krankenhauses für den Austausch aller in der Patientenversorgung wichtigen Daten und Informationen im Krankenhaus private Endgeräte nutzen, sofern die folgenden Voraussetzungen zur Übermittlung medizinischer und pflegerischer Daten erfüllt sind: […]“

 

§ 386a Interoperabilitätspflicht

Die Verpflichtung der Hersteller, den Leistungserbringenden die Patientendaten mit Gesundheitsbezug kostenlos und unverzüglich zur Verfügung zur stellen, wird eingeführt. Die Hersteller werden schadensersatzpflichtig, sollte die Bereitstellung nicht rechtzeitig oder nicht in einem interoperablen Format erfolgen.

Es ist zu begrüßen, dass hierdurch Hürden für die Leistungserbringende abgebaut werden, die aktuell noch zu Vendor-Lock-In-Effekten geführt haben. Eine verpflichtende Nutzung internationaler Standards sowie Terminologien ist (u. a. bei der digitalen Bedarfseinschätzung) zentral.

Empfehlung: Die Interoperabilitäts-Festlegungen müssen Forschungsbedarfe und-Schnittstellen, z.B. zu den medizinischen Registern, ausdrücklich mitdenken, damit Datenintegration für Register und Forschungsnetze erleichtert wird. Dabei ist die Angemessenheit zu wahren und Umsetzungsaufwände sind zu berücksichtigen, damit die Pflichten praktikabel und akzeptanzfähig bleiben. Eine regelmäßige Re-Evaluierung von Interoperabiltitätsfestlegungen auch aus Forschungsperspektive erscheint zwingend notwendig, da sich bisherige Festlegungen – auch mit gesetzlichen Verpflichtungen – nicht immer durchgesetzt haben bzw. nicht immer als praktikabel erwiesen haben.

 

b) Änderungen des Gesundheitsdatennutzungsgesetz

§ 1 Abs. 4 Vorzug des GDNG

Der Absatz formuliert den Vorzug der GDNG-Vorschriften vor den Regelungen des SGB V und SGB XI sowie des Gendiagnostikgesetzes. Dieser bezieht sich auf Regelungen des gleichen Sachverhaltes.

Die Klarstellung ist zu begrüßen und bietet zukünftig Deutungssicherheit für Forschungsvorhaben. Fehlinterpretationen können so zukünftig vermieden werden.

 

§ 3 Forschungskennziffer

Für die Sekundärdatennutzung wird eine eindeutige Forschungskennziffer vergeben. Über diese Forschungskennziffer soll Linkage von Daten ermöglicht werden, aber auch die Zuordnung eines Widerspruchs zu personenbezogenen Datenbeständen, die von künftiger Sekundärnutzung auszuschließen sind. Die Einführung einer Forschungskennziffer ist insofern elementar für die Um- und Durchsetzung der Betroffenenrechte innerhalb des EHDS, aber auch ein wichtiges Instrument für die Forschung mit in Deutschland verteilt vorliegenden Bestandsdaten.

Die Einführung einer eindeutigen Forschungskennziffer, die auch für den EHDS gelten soll, ist daher ausdrücklich zu begrüßen. Aktuell sehen drei Gesetzentwürfe hierzu Regelungen vor – neben dem GeDIG auch das Medizinregistergesetz sowie das Forschungsdatengesetz. Eine Abstimmung der Einführung einer Forschungskennziffer insbesondere mit den Regelungen des Forschungsdatengesetzes ist wichtig, um auch die Verknüpfbarkeit mit Daten aus anderen Domänen (z.B. sozialwissenschaftliche Daten, Daten der gesetzlichen Rentenversicherung u.v.a.) zu ermöglichen.

Die bisherigen Regelungen zur Datenverknüpfung, basierend auf der Krankenversicherungsnummer (KVNR) und dem staatlichen Pseudonymisierungs- und Vertrauensstellenverfahren beim RKI greifen für die Bedarfe der medizinischen Forschung in toto (aber auch z.B. für die Umsetzung der Betroffenenrechte im EHDS) viel zu kurz. Aus Sicht der Gesundheitsforschung sollte es einen einheitlichen Identifikator geben, der es möglich macht, Datenverknüpfungen über unterschiedliche Datenbestände und über unterschiedliche Geltungsbereiche gesetzlicher Grundlagen (FDG, GDNG, SGB) und deren staatlich-behördlicher Instanzen (FDZ, RKI, DZM etc.) und Verfahren hinweg für die medizinische Forschung datenschutzkonform herbeizuführen. Beispielweise ist eine wirksame Präventionsforschung, Forschung zur Auswirkung des Klimawandels oder das Verstehen von Krisen wie der Covid-19-pandemie ohne die personenbezogene Datenverknüpfung aus verschiedenen Quellen erst auf der Basis einer übergreifenden Forschungskennziffer möglich. Zu vermeiden wäre ein Zustand, in dem unterschiedliche Gesetze die Einführung unterschiedlicher Unique Identifier (hier KVNR, dort Steuer-ID, sowie digitale Identität der gematik und EU-ID für die Versorgung) und mehrere Pseudonymisierungsverfahren erfordern, was allen Akteuren unnötige Doppelaufwände abverlangen würde. Wie beispielsweise die Erfahrungen aus der Verwaltungsdigitalisierung zeigen, ist die Einführung einer Forschungskennziffer in Datenbestände für die datenhaltenden Stellen ohnehin mit einem erheblichen Aufwand verbunden – dieser muss in Zeit- und Ressourcenplänen der Umsetzung berücksichtigt werden. Entsprechend notwendig ist ein gesamtheitlicher Fahrplan.

Wir empfehlen dringend die Erarbeitung eines möglichst durchgängigen fachlichen Konzepts zur Einführung einer Identifikationsnummer und zur Umsetzung einer darauf basierenden Datenverknüpfung zu Forschungszwecken. Dabei sollten die Erfahrungen aus der Verwaltungsdigitalisierung insbesondere hinsichtlich realistisch anzusetzender Zeitpläne und Ressourcenzuweisungen berücksichtigt werden.

Empfehlung: Erforderlich ist ein fachliches Gesamtkonzept für alle Sektoren, inklusive Definition aller Prozessschritte gemeinsam mit Datenhaltern und Wissenschaft. Die Implementierung sollte anschließend auf Basis dieser fachlichen Spezifikation ausgeschrieben werden, dabei ist die Kompatibilität mit bestehenden Record-Linkage-Ansätzen in Forschungsinfrastrukturen sicherzustellen. Wir empfehlen, die technische Ausgestaltung der Forschungskennziffer (inkl. Schnittstellen/Verfahren) frühzeitig zu präzisieren und verbindlich zu spezifizieren. Die Governance sollte klar geregelt werden (u. a. Benehmen mit BSI/BfDI), um einheitliche Standards und Aufsichtsklarheit sicherzustellen. Zentral sind Maßnahmen zur Vermeidung von Fehlzuordnungen sowie zur Minimierung des Umsetzungsaufwands bei Datenhaltern. In den Folgeaufwänden sollte die Umsetzung der Einführung einer Forschungskennziffer bei den Datenhaltenden berücksichtigt werden.

 

§ 4 Verarbeitung von Daten verstorbener Personen

Daten von Verstorbenen dürfen genutzt werden, wenn die Verarbeitung personenbezogener Daten erlaubt und ihrer Nutzung zu Lebzeiten nicht widersprochen wurde.

Diese Regelung zur Nutzung der Daten Verstorbener ist sehr zu begrüßen und überfällig.

 

§ 5 Datenschutzaufsicht bei länderübergreifenden Gesundheitsforschungsvorhaben

Der Föderalismus der Datenschutzaufsicht ist in seiner prozeduralen Konsequenz für (auch öffentlich geförderte) bundeslandübergreifende Forschungsvorhaben im GDNG (§5) zurecht als Problemfeld adressiert worden. Insbesondere für Forschungsvorhaben mit mehreren beteiligten Stellen kann die Weiterentwicklung des GDNG für einheitliche Regeln, schnellere Verfahren und damit beschleunigte Gesundheits- und Versorgungsforschung sorgen. Wir schlagen daher vor, heterogene Voten der einzelnen Datenschutzaufsichtsbehörden auszuschließen, wissenschaftliche Einrichtungen wie medizinische Fakultäten in den Geltungsbereich explizit aufzunehmen und die Verfahren für Forschungszusammenschlüsse (Bezug zu §25) zu regeln.

Empfehlung: Bei einem federführend koordinierten Anzeigeverfahren müssen heterogene Voten der einzelnen Aufsichtsbehörden vermieden werden. Die Entscheidungen sollen daher als Mehrheitsentscheidungen für alle beteiligten Datenschutzaufsichtsbehörden gelten.

Wenn an einem Vorhaben der Versorgungs- oder Gesundheitsforschung mehrere öffentliche Stellen in gemeinsamer Verantwortung beteiligt sind, sollte die Regelung gelten, die in Abs. 4 bereits für nicht öffentliche Stellen beschrieben ist, sodass auch hier die alleinige Zuständigkeit bei einer Datenschutzaufsichtsbehörde liegt.

 

§ 7 Koordinierende Zugangsstelle

Gemäß (6) soll im Benehmen mit dem BMFTR ein Arbeitskreis für Gesundheitsdaten eingerichtet werden.

Generell ist ein solcher Arbeitskreis für das BfArM zu begrüßen. Aus unserer Sicht wäre es wichtig, dass der Kreis der Teilnehmenden so gestaltet wird, dass das Gremium effizient arbeiten kann und der Arbeitskreis auch ein tatsächliches Mitspracherecht bei der konkreten Ausgestaltung der Gesundheitsdatennutzung haben. Dabei sollten Akteure aus der Gesundheitsforschung der Universitätsmedizin vertreten sein, die sowohl in Datenbereitstellung als auch in der Datennutzung zentrale Aufgaben in diesem Bereich übernehmen und in beiden Bereichen über die entsprechende Expertise verfügen.

 

§ 8 Domänenspezifische Zugangsstellen

Die gesetzliche Verankerung domänenspezifischer Zugangsdaten, die Beleihung juristischer Personen oder die Beauftragung öffentlicher Stellen, sowie die bereichsspezifischen Ausnahmen sind sehr zu begrüßen.

Dabei ist aber sicherzustellen, dass bereits bestehende Prozesse aus etablierten Gesundheitsforschungsdateninfrastrukturen wie z.B. MII/NUM im EHDS verwendet werden können, insbesondere der Zugang zu Daten aus der Versorgung, inklusive versorgungsnahe Forschungs- und Routinedaten in den Hochschulkliniken. Perspektivisch sollte die Möglichkeit eröffnet werden, für zusätzliche Datentypen weitere domänenspezifische Zugangsstellen einzurichten, um die unterschiedlichen fachlichen Anforderungen angemessen erfüllen zu können.

 

§ 10 Verknüpfung, Pseudonymisierung und Bereitstellung

Für Verknüpfung, Pseudonymisierung und Bereitstellung bleibt der konkrete Prozess (Datenflüsse, Verantwortlichkeiten) in der aktuellen Fassung des Gesetzentwurfes unklar. Insbesondere sollte normiert werden, welche personenbezogenen Informationen die Zugangsstelle erhält, zu welchem Zweck und wie lange.

In §64e SGB V und §27 GDNG werden Verfahren zur Datenverknüpfung beschrieben, die vom allgemeinen EHDS-Paragraphen §10 GDNG abweichen. Insbesondere werden zwei unterschiedliche Verfahren zur Re-Pseudonymisierung vor Datenbereitstellung beschrieben. Das Verfahren in §10 erlaubt der Zugangsstelle, die eindeutige Forschungskennziffer gleichzeitig mit den gelieferten Daten zu verarbeiten, während die anderen Verfahren eine Vertrauensstelle dazwischenschalten.

Unterschiedliche Regelungen der Datenverknüpfung sollten so abgeglichen werden, dass Dateninhaber wie Zugangsstellen einen einheitlichen Prozess mit einheitlichen Softwarewerkzeugen etablieren können. Sonderlösungen für bestimmte Kombinationen von Datenquellen führen zu Rechtsunsicherheiten und Zusatzaufwänden und verzögern massiv die Umsetzung. Dies gilt auch für die Einbindung des Registers zur Durchführung der Betroffenenrechte, das in allen Datenbereitstellungen nutzbar (verknüpfbar) sein muss.

Eine einheitliche Forschungskennziffer stellt ein dauerhaftes Pseudonym dar. Wenn Dauerpseudonym und Daten an der gleichen Stelle verarbeitet werden, können bei einem Sicherheitsvorfall hohe Identifikationsrisiken entstehen, die durch die Einschaltung einer unabhängigen (Vertrauens-)stelle für die Verknüpfung und anlassbezogene Re-Pseudonymisierung leicht zu vermeiden sind.

Die Begründung sieht vor, dass Zugangsstellen vor Bereitstellung erneut pseudonymisieren (ggf. unter Hinzuziehung einer Vertrauensstelle) und dass Datensätze für Nutzende keine Forschungskennziffer enthalten dürfen – das erfordert eine verbindliche technische Spezifikation und Governance. Gleichzeitig sollen Pseudonyme aufbewahrt werden, um die für die Bereitstellung pseudonymisierten Datensätze bei Bedarf wieder mit der Forschungskennziffer verbinden zu können (u. a. für Meldungen wesentlicher Befunde) – damit steigen Schutzbedarf, Zugriffskontrollen und Transparenzanforderungen erheblich. Offen bleibt, wie mit Datennutzern umzugehen ist, die eigene Daten verknüpfen und die Forschungskennziffer kennen bzw. rekonstruieren könnten, hierfür braucht es eine klar definierte, rechtssichere Prozedur. Positiv ist die Regelung, den Bias durch Opt-outs transparent zu machen; zugleich muss die Opt-out-Verwaltung und Weitergabe an Dateninhaber praktisch durchsetzbar (Automatisierung, Nachvollziehbarkeit) konkretisiert werden.

Empfehlung: Das vorgesehene komplexe Pseudonymisierungsverfahren sollte Teil des zu §3 empfohlenen Fachkonzepts sein.

 

§ 11 Gesundheitsdateninhaberpflichten

Gesundheitsdateninhaber sind verpflichtet, auf Anforderung der Zugangsstelle erforderliche Informationen (insbesondere Metadaten) sowie personenbezogene Gesundheitsdaten – unter Entfernung direkt identifizierender Merkmale und unter Nutzung der TI soweit möglich – bereitzustellen. Die Bereitstellung erfolgt zusammen mit der Forschungskennziffer. Detailregelungen, insbesondere zur Zuständigkeit bei mehrfach vorliegenden Daten, werden durch eine BMG-Verordnung festgelegt.

Unklar bleibt, wie die Datenbereitstellung praktisch erfolgt (Übermittlung an Zugangsstelle vs. Nutzung von SPE/TRE) und in welchem Grad der De-Identifikation – dies erschwert Umsetzung und Rechtssicherheit. Die Vorgabe „TI-Nutzung soweit möglich“ setzt keine klaren Zuständigkeiten oder Kriterien (z. B. Entscheidungskompetenz der Zugangsstelle) und lässt Dateninhaber operativ allein.

Empfehlung: Erforderlich sind verbindliche technische Mindeststandards, klare Prozesse und Standardisierungsvorgaben, um Realisierbarkeit und interoperable Umsetzung sicherzustellen. Ebenfalls sind die realistischen Umsetzungsaufwände bei den Folgekosten zu berücksichtigen.

 

§ 13 Vertrauenswürdige Dateninhaber

Die Benennung von vertrauenswürdigen Dateninhabern wird sinnvollerweise einer BMG-VO überantwortet. Diese Flexibilität ist zu begrüßen.

 

§ 14 Sichere Verarbeitungsumgebungen (SPE/TRE)

Begrüßenswert ist die Öffnung für unterschiedliche Anbieter von SPEs; zugleich bleibt die Auswahlentscheidung bei der Zugangsstelle, ohne klar definierte Kriterien. Die konkrete Ausgestaltung (insb. Auswahlverfahren, Anforderungen an Betreiber) wird weitgehend auf eine BMG-Verordnung verlagert und ist im Entwurf noch unklar.

Empfehlung: Erforderlich sind verbindliche Vorgaben zu Exportregeln, Auditpflichten sowie Forschungstauglichkeit (Tooling, Reproduzierbarkeit) und eine tragfähige Kosten- und Skalierungslogik.

 

§ 15 Gebühren

Um das Potenzial der EHDS-Verordnung für die öffentlich finanzierte Forschung ausschöpfen zu können, sind ein niederschwelliger Datenzugang sowie eine forschungsfreundliche und realistische Bepreisung erforderlich. Die Mittel für Aufbau und Betrieb der notwendigen Infrastruktur sollten daher im erforderlichen Umfang gesondert über öffentliche Mittel bereitgestellt und nicht vollständig über Nutzungsgebühren refinanziert werden, da deren Finanzierung insbesondere für akademische Forschungseinrichtungen kaum realisierbar wäre.

Empfehlung: Die diesbezügliche BMG-VO sollte eine transparente Gebührenstruktur mit verlässlichen Kostenschätzungen enthalten, die Planungssicherheit schafft und gemeinwohlorientierte Forschung durch Gebührenbefreiungen oder -deckel wirksam schützt.

 

§ 17 Register für Betroffenenrechte

Wir begrüßen die Einführung eines zentralen Opt-out-Registers ausdrücklich, die Vergabe/Grundentscheidung ist aus Nutzenden-Sicht positiv. Das Register ermöglicht den Widerspruch zur Sekundärnutzung ab 14 Jahren sowie die Ausübung des Rechts auf Nichtwissen (unsolicited findings).

Datenschutzrechtlich ist dies anspruchsvoll, zugleich wurde von Datenschutzaufsichtsbehörden signalisiert, dass dies unter bestimmten Voraussetzungen tragfähig sein kann.

Empfehlung: Wesentlich ist eine verständlich gestaltete Widerspruchsausübung (Nutzenden-Perspektive) und eine robuste technische Durchsetzung (automatisierter Abruf). Dafür braucht es klare Regeln zu Authentifizierung sowie Schnittstellen zu Ombudsstellen und ePA-UI, damit die Rechte praktisch wirksam werden.

Zu prüfen ist, ob die gestufte Widerspruchsmöglichkeit wirklich erforderlich ist, zumal sie die EDHS-VO nicht verbindlich vorsieht. Eine Widerspruchsmöglichkeit zu einzelnen Nutzungszwecken verkomplizieren das Widerspruchsverfahren für alle Beteiligten erheblich und werden einer notwendigen Automatisierung von Datennutzungsanfragen empfindlich im Wege stehen. Den Betroffenenrechten ist mit der Möglichkeit, grundsätzlich der Nutzung zu widersprechen, Genüge getan.

 

§ 24 Besondere Regeln für elektronische Gesundheitsdaten nach Artikel 51 Absatz 1 Buchstaben f) und g) der EHDS-Verordnung

Abweichend vom EHDS-Grundsatz der einwilligungsfreien Sekundärnutzung gilt für genetische Daten ein Einwilligungserfordernis — Deutschland nutzt die Öffnungsklausel aus Artikel 51 Abs. 4 der EHDS-Verordnung, für zwei der vier hierfür vorgesehen Datenkategorien nach Artikel 51 Abs. 1, für f) „menschliche genetische, epigenomische und genomische Daten“ sowie g) „“weitere menschliche molekulare Daten wie proteomische, transkriptomische, metabolomische, lipidomische und andere Omik-Daten“.

Grundsätzlich stellt die Nutzung zweier verschiedener Rechtsgrundlagen – neben der Widerspruchslösung auch ein Einwilligungserfordernis für bestimmte Datenkategorien – eine mit großem Aufwand für alle Beteiligten verbundene Komplexitätssteigerung der EHDS-Umsetzung in Deutschland dar.

Die vorgesehene Sonderregelung für genetische Daten im EHDS wird aus wissenschaftlicher Sicht kritisch bewertet. Während für andere Gesundheitsdaten grundsätzlich ein Opt-Out-Modell gilt, soll für genetische Daten eine zusätzliche Einwilligung erforderlich sein. Dies erschwert den Zugang zu besonders forschungsrelevanten Daten erheblich, obwohl der EHDS bereits durch sichere Verarbeitungsumgebungen (SPEs) bereits hohe Datenschutzstandards vorsieht.

Zudem besteht die Gefahr, dass umfangreiche genetische Datenbestände privater Labore der wissenschaftlichen Nutzung dauerhaft entzogen bleiben, da ohne verpflichtende Bereitstellung oder praktikable Einwilligungsregelungen weder ein Datenaustausch noch eine nachträgliche Nutzung für Forschung realistisch erscheint.

Eine besondere Herausforderung stellt der Einwilligungsvorbehalt für Daten nach Art. 51 Abs. 1 lit. g dar. Wegen der Undefiniertheit des Begriffs und der Abgrenzungsschwierigkeiten sollte Einwilligungsvorbehalt für „OMICS“-Daten entfernt werden. Zugleich sollte klargestellt werden, dass die Regelung ausschließlich für den EHDS gilt und die Bereichsausnahme systematisch (inkl. Abgrenzung) geschärft werden. Ergänzend wird angeregt, zu prüfen, ob weitere Datentypen sowie weitere Implementierungsphasen aufzunehmen sind.

Die Unterzeichnenden lehnen eine pauschalen Einwilligungserfordernis für Gesundheitsdaten nach Art. 51 Abs. 1 lit. g EHDS-Verordnung ab, da es sich bei dieser Kategorie um eine Sammlung sehr verschiedener Datentypen handelt. Während Transkriptom- und Proteomdaten durchaus genomischen Daten gleichgestellt werden können, gilt dies -– insbesondere in Bezug auf das Reidentifikationsrisiko –- nicht für Metabolom- und Lipidomdaten. Hinzu kommt, dass die in lit. g abschließend erwähnten „anderen Omik-Daten“ einen unbestimmten Rechtsbegriff darstellen, der potenziell eine große Zahl an modernen molekularen Methoden miteinschließen könnte. Die daraus resultierende Rechtsunsicherheit würde der Verfügbarkeit solcher Daten aus deutschen Institutionen im EHDS stark einschränken.

Empfehlung: Beschränkung der Einwilligungserfordernis auf Datentypen, bei denen ein für genetische Daten inhärentes Risiko für die betroffene Person besteht. Zur Abgrenzung können die Definitionen aus dem Gendiagnostikgesetz herangezogen werden.

Änderungsvorschag: (Änderungen sind in roter Farbe und unterstrichen formatiert hervorgehoben)

Artikel 7 Nr. 7 § 24 Abs. 1 wird wie folgt geändert:

Die Angabe „Artikel 51 Absatz 1 Buchstaben f) und g) der EHDS-Verordnung“ wird durch die Angabe „1. Artikel 51 Absatz 1 Buchstabe f) der EHDS-Verordnung und 2. Artikel 51 Absatz 1 Buchstabe g) der EHDS-Verordnung soweit sie genetische Analysen im Sinne des § 3 Abs. 2 Gendiagnostikgesetz darstellen“ ersetzt.

 

§ 25 Weiterverarbeitung von Versorgungsdaten

Weiterverarbeitung durch datenverarbeitende Gesundheitseinrichtungen zur Eigenforschung bleibt identisch, lediglich die Abkürzung „DSGVO“ wird in den Text aufgenommen.

Hier sollte eine Klarstellung zu offenen Fragen zur Eigenforschung im öffentlich geförderten Verbund nach Abs. (3), zum Prüfauftrag der Aufsicht bei Weitergabe in öffentlich geförderten Zusammenschlüssen (Straffung Genehmigungsverfahren durch DS-Aufsichtsbehörden) und eine Regelung zu Bioproben aufgenommen werden.

 

Geltungsbereich

Empfehlung: Klarstellung, dass Einrichtungen (z.B. Medizinische Fakultäten, die im Kooperationsmodell auf der Basis einer landesgesetzlichen Regelung eng mit den Unikliniken zusammenarbeiten) in den Geltungsbereich des §6 fallen.

Änderungsvorschag: (Änderungen sind in roter Farbe und unterstrichen formatiert hervorgehoben)

(1) Datenverarbeitende Gesundheitseinrichtungen und mit diesen per Gesetz zur gemeinsamen Wahrnehmung von Aufgaben in Forschung, Lehre und Krankenversorgung verbundene wissenschaftliche Einrichtungen dürfen die bei ihnen gemäß Artikel 9 Absatz 2 Buchstabe h und i der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Daten weiterverarbeiten, soweit dies erforderlich ist.

 

Zuständigkeitsbereich der Datenschutzaufsichtsbehörde und Prüfung der Datenschutzaufsichtsbehörden bei Ausnahmen nach § 25 Abs. 3

Wir schließen uns ausdrücklich den Stimmen aus einzelnen Datenschutzbehörden an, aus der Zustimmungspflicht der Datenschutzbehörden eine Anzeigepflicht der datenverarbeitenden Gesundheitseinrichtungen zu machen. Sollte es hingegen bei der Zustimmungspflicht bleiben, sind dennoch Ergänzungen dringend notwendig, damit das GDNG – anders als bislang seit Inkrafttreten – in die Anwendung kommen kann.

Empfehlung:

a) Anzeigepflicht statt Zustimmungspflicht der Datenschutzbehörden

b) Klärung des Prüfauftrags der Datenschutzbehörden

c) Bündelungsmöglichkeit durch Stellvertretung auch auf Seiten des antragstellenden bzw. anzeigenden Forschungszusammenschlusses.

d) Zusammenschlüsse auch unter Einschluss weiterer öffentlich finanzierter gemeinwohlorientierter Forschungseinrichtungen nutzungsberechtigt.

Option 1 Anzeigepflicht (neu, statt Zustimmungslösung)

(3) […] Abweichend von Satz 1 ist eine gemeinsame Nutzung und Verarbeitung der in Absatz 1 Satz 1 genannten Daten zu den in Absatz 1 Satz 1 genannten Zwecken durch öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken auch unter Einschluss weiterer öffentlich finanzierter gemeinwohlorientierter Forschungseinrichtungen zulässig, wenn

  1. die Verarbeitung zu den in Absatz 1 Satz 1 genannten Zwecken erforderlich ist,
  2. die Anforderungen nach den Absätzen 1, 2 und 4 hinsichtlich der Verarbeitung eingehalten werden,
  3. die Interessen des datenschutzrechtlich Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen und
  4. die gemeinsame Nutzung und Verarbeitung der Daten bei der zuständigen Datenschutzaufsichtsbehörde, wie in §5 Absatz 1 und 4 definiert, angezeigt ist.

Die Mitglieder eines Zusammenschlusses nach Abs. 3 Satz 3 können sich von einer koordinierenden Stelle vertreten lassen, die für den gesamten Zusammenschluss die Anzeigepflicht wahrnimmt.

Die Datenschutzaufsichtsbehörde soll innerhalb eines Monats über die Zustimmung nach Satz 4 Nummer 4 entscheiden.

Option 2 Zustimmungspflicht (gleichbleibend wie bisher, kein Wechsel auf Anzeigepflicht)

Änderungsvorschag: (Änderungen sind in roter Farbe und unterstrichen formatiert hervorgehoben)

(3) […] Abweichend von Satz 1 ist eine gemeinsame Nutzung und Verarbeitung der in Absatz 1 Satz 1 genannten Daten zu den in Absatz 1 Satz 1 genannten Zwecken durch öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken auch unter Einschluss weiterer öffentlich finanzierter gemeinwohlorientierter Forschungseinrichtungen zulässig, wenn

  1. die Verarbeitung zu den in Absatz 1 Satz 1 genannten Zwecken erforderlich ist,
  2. die Anforderungen nach den Absätzen 1, 2 und 4 hinsichtlich der Verarbeitung eingehalten werden,
  3. die Interessen des datenschutzrechtlich Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen und
  4. die zuständige Datenschutzaufsichtsbehörde der gemeinsamen Nutzung und Verarbeitung der Daten zugestimmt hat.

Die Datenschutzaufsichtsbehörde soll innerhalb eines Monats über die Zustimmung nach Satz 4 Nummer 4 entscheiden. Diese prüft dabei die datenschutzrechtlichen Aspekte, die sich aus der gemeinsamen Arbeit im Verbund ergeben.

 

Äquivalente Regeln für Bioproben

Empfehlung: Auch für aus sogenannten Restproben gewonnene Daten sollte das Gesetz Anwendung finden.

Änderungsvorschag: (Änderungen sind in roter Farbe und unterstrichen formatiert hervorgehoben)

(5) Die Regelungen nach Abs. 1 bis Abs 4 gelten entsprechend auch für Datengewinnung und Datenverarbeitung aus Bioproben, die aus der Diagnostik und Therapie im Rahmen der Patientenversorgung angefallen sind und für diese Zwecke nicht mehr benötigt werden (sog. Restproben).

 

Transparenzportal

Empfehlung: Für die Transparenzverpflichtungen nach für §25(4) Satz 1f GDNG sollte ein nationales Projekt- und Standort-übergreifendes Transparenzportal (z.B. in Anbindung an künftige dHDABs) mit hoher Reichweite in der Bevölkerung genutzt werden.

Änderungsvorschag: (Änderungen sind in roter Farbe und unterstrichen formatiert hervorgehoben)

(4) Datenverarbeitende Gesundheitseinrichtungen, die nach Absatz 1 Daten verarbeiten, sind verpflichtet, öffentlich und allgemein in präziser, transparenter, leicht verständlicher und zugänglicher Form in einer klaren und einfachen Sprache über die Zwecke, für die nach Absatz 1 Daten weiterverarbeitet werden, zu informieren. Hierzu ist ein projekt- und standortübergreifendes Transparenzportal zu nutzen. Dabei ist auch über laufende Forschungsvorhaben und veröffentlichte Forschungsergebnisse zu informieren, die nach § 8 registriert oder veröffentlicht wurden. Auf Verlangen einer von der Verarbeitung zu den in Absatz 1 Satz 1 Nummer 2 oder 3 genannten Zwecken betroffenen Person ist die datenverarbeitende Gesundheitseinrichtung verpflichtet, über die Art, den Umfang und den konkreten Zweck der Verarbeitung der Daten zu den in Absatz 1 Satz 1 Nummer 2 oder Nummer 3 genannten Zwecken in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.

 

Güterabwägung

Die in §§ 25 und 26 GDNG vorgesehene Güterabwägung – insbesondere die Prüfung, ob Umfang und Struktur der zu verarbeitenden Daten geeignet und erforderlich sind – ist inhaltlich untrennbar mit Studienmethodik, Statistik, medizinischer Notwendigkeit und den Prozessen der Datenerhebung in der Versorgung verbunden. Diese interdisziplinäre Bewertung leisten nach Landesrecht gebildete Ethik-Kommissionen bereits heute verlässlich durch entsprechend zusammengesetzter Gremien. Eine zusätzliche oder parallele inhaltliche Zweitprüfung durch Datenschutzaufsicht/Datenschutzbeauftragte führt zu Doppelbegutachtung, erhöht den administrativen Aufwand – im Zweifel müssen in den Datenschutzbehörden entsprechende interdisziplinäre Gremien wie in den Ethik-Kommissionen aufgebaut werden, um den Sachverhalt beurteilen zu können - und verzögert Forschung ohne erkennbaren Mehrwert für den Schutz der Betroffenen. Das widerspricht dem politischen Ziel des GeDiG, Bürokratie abzubauen und Forschung zu beschleunigen.

Empfehlung: Wir schlagen daher vor, die Regelung so anzupassen, dass für die Datennutzung von Gesundheitsdaten ein positives Ethik-Votum der zuständigen, nach Landesrecht gebildeten Ethik-Kommission als zentrale Voraussetzung formuliert wird und die Datenschutzprüfung davon abgegrenzt und klar komplementär (Rechtmäßigkeit, TOM, Governance) ausgestaltet wird. Um Verfahren zu straffen und dennoch vollständige Kontrolle sicherzustellen, sollte die Entscheidungspraxis ausdrücklich die Parallelisierung der Prüfungen durch wechselseitig auflösende Vorbehalte vorsehen: Die Zustimmung der Datenschutzaufsichtsbehörde(n) kann unter wechselseitig auflösendem Vorbehalt eines positiven Ethik-Votums der zuständigen, nach Landesrecht gebildeten Ethik-Kommission erteilt werden; das Ethik-Votum entsprechend unter wechselseitig auflösendem Vorbehalt der datenschutzaufsichtlichen Zustimmung. So werden Prüfprozesse beschleunigt, Schutzstandards gewahrt und unnötige Doppelstrukturen vermieden.

 

§ 26 Weiterverarbeitung mit Genehmigung der Aufsichtsbehörde

§ 26 adressiert zwar die Verarbeitung von Gesundheitsdaten im Sinne des Art. 9 DSGVO, stellt aber nach der Gesetzesbegründung keine eigenständige Erlaubnisnorm nach Art. 6 DSGVO dar. Für öffentliche Stellen wird § 26 daher vielfach keine Erleichterung bringen, soweit diesen der Rückgriff auf Art. 6 Abs. 1 lit. f) DSGVO nicht möglich ist. Für öffentliche Stellen ergeben sich heute die wesentlichen Rechtsgrundlagen ohnehin aus spezialgesetzlichen Umsetzungsvorschriften nach Art. 6 Abs. 1 lit. c/e DSGVO, die meist sowieso gleichzeitig auch Art. 9 abdecken, sodass § 26 praktisch verdrängt wird. Damit verbleibt faktisch ein relevanter Anwendungsbereich nur für nicht-öffentliche Stellen, die jedoch bereits von § 27 BDSG erfasst sind – dort ohne Genehmigungserfordernis.

Strukturell ähnelt § 26 dem § 27 BDSG, ohne jedoch einen klaren Mehrwert zu bieten. In der aktuellen Fassung drohen daher Doppelregelungen und Abgrenzungsprobleme. Die Norm beschreibt sich selbst als nachrangig gegenüber spezielleren Erlaubnistatbeständen, was ihre eigenständige Bedeutung weiter relativiert. Das Verhältnis zu § 25 bleibt unklar, es spricht vieles dafür, dass § 25 als speziellere Regelung vorrangig greifen würde. Hierdurch entsteht Rechtsunsicherheit statt Klarstellung, insbesondere für Forschungskontexte.

Empfehlung: § 26 sollte entweder klar gegenüber bestehenden Normen abgegrenzt werden oder entfallen, sofern kein eigenständiger Anwendungsbereich begründet werden kann.

 

§ 27 Verknüpfung von Daten des FDZG mit Daten der klinischen Krebsregister

Der Entwurf macht die Verknüpfung von FDZG-Daten und Krebsregisterdaten für Forschungszwecke zulässig, sie bedarf aber einer vorherigen Genehmigung der Zugangsstelle und setzt Erforderlichkeit, bewilligte Datenzugänge sowie eine Interessenabwägung unter Minimierung von Reidentifikationsrisiken voraus. Die Daten werden pseudonymisiert in einer sicheren Verarbeitungsumgebung zusammengeführt und bereitgestellt, mit strikten Nutzungs- und Weitergabebeschränkungen für Antragstellende. Details zu Verfahren, Pseudonymisierung, SPE-Anforderungen und Antragsprozessen werden durch Rechtsverordnung des BMG konkretisiert.

Die Grundlage für das Linkage zwischen FDZ Gesundheit und Landeskrebsregister soll 2029 wieder entfallen (Artikel 10). Es ist fraglich, ob die Befristung des § 27 GDNG ausreichende Anreize für den tatsächlichen Aufbau der Verknüpfungsstruktur setzt, oder eher notwendige Investitionen ausbleiben und der Erprobungszweck nicht vollständig erreicht wird. Es sollte daher sichergestellt werden, dass die aufgeführten Regelungen auch über 2029 hinaus gültig bleiben. Auch Mehraufwände sollten berücksichtigt werden.

 

§ 28 Registrierungs- und Publikationspflicht

Die Registrierung von Forschungsvorgaben vor einer Veröffentlichung bei der koordinierender Zugangsstelle für Gesundheitsdaten wird verpflichtend. Diese gilt für die Fälle, in denen Daten ohne Einwilligung der betroffenen Personen für eine Forschungsvorhaben genutzt wurden. Dies gilt für die Forschungsvorhaben, bei denen nicht bereits eine Registrierung auf Grundlage einer anderen Vorschrift verpflichtend ist.

Es ist zu begrüßen, dass die neuen Regelungen zur Registrierungs- und Publikationspflicht nicht alle Forschungsvorhaben einschließen. So können parallele Strukturen und Meldepflichten vermieden werden. Dies verhindert zusätzlichen bürokratischen Aufwand für die Forschenden.

Die Entwicklung der Inhalte sollte gemeinsam von Patientenorganisationen und Forschungsorganisationen erfolgen und so das Spektrum an Forschungsvorhaben und das Informationsbedürfnis der Patienten abzubilden. Weiter sollte der Aufbau des Transparenzportals wissenschaftlich begleitet und dieses im Betrieb evaluiert werden. Hier ist die Registrierungspflicht, die Transparenzpflicht nach § 25(neu) und die Registrierung nach Medizinregistergesetz zu klären.

Die Registrierungspflicht stellt sich damit wie folgt dar:

 

Damit löst das Register weder die Dopplung auf, noch kann ein Patient an einer Stelle suchen, ob seine Daten wahrscheinlich verwendet wurden, bzw. zukünftig verwendet werden, bzw. welche Datenverarbeitung die Klinik unterstützt, in der behandelt wird.

Darüber hinaus wird es ggf. noch den Eintrag im Registerverzeichnis bei der ZMR gemäß Entwurf des Medizinregistergesetzes geben, da nach entsprechender Autorisierung durch die ZMR Register Gesundheitsdaten ohne Einwilligung verarbeitet können.

Im Sinne einer praktikablen, transparenten und zugleich bürokratiearmen Ausgestaltung der Registrierungs- und Publikationspflichten könnten die bislang nebeneinanderstehenden Registrierungs- und Transparenzanforderungen konsequent zu einer zentralen Meldestelle zusammengeführt werden. Das derzeit vorgesehene Verfahren löst die bestehenden Doppelstrukturen nicht auf; zugleich bleibt für Patientinnen und Patienten unklar, an welcher Stelle sie verlässlich nachvollziehen können, ob und für welche Vorhaben ihre Daten voraussichtlich genutzt wurden bzw. künftig genutzt werden.

Empfehlung:

Eine Stelle, bei der alle Forschungsvorhaben registriert und gemeldet werden: Die Meldung – einschließlich nachträglicher Änderungen – muss dabei durchgängig elektronisch möglich sein; hierfür sollte der Gesetzgeber zudem eine verbindliche Frist zur Errichtung und Inbetriebnahme der elektronischen Meldeinfrastruktur vorsehen. Für Forschungsinfrastrukturen (z. B. Register, NUM-DIZ/MII u. a.) sollte der Eintrag der Infrastruktur stets mit den darauf aufsetzenden Studien bzw. Datennutzungsprojekten verknüpft werden, um die Transparenzanforderungen – insbesondere im Sinne der WMA Declaration of Helsinki – konsistent abzubilden. Aus dem zentralen Register sollten sich sodann abgeleitete Sichten für bestehende bzw. weitere Verzeichnisse (u. a. DRKS, Registerverzeichnis nach MRG sowie eine Transparenzseite für Patientinnen/Bürgerinnen) speisen, statt zusätzliche parallele Meldewege zu etablieren. Schließlich sollte die Historie freigegebener bzw. elektronisch gemeldeter Versionen nachvollziehbar sein (Versionierung), um Transparenz und Prüfbarkeit auch rückwirkend sicherzustellen.

Eine einheitliche Regelung der Publikationsfristen über alle einschlägigen Gesetze (mindestens 24 Monate). Die Frist sollte ab dem Datum der Datenbereitstellung beginnen, im Register verbindlich anzugeben sein und zusammen mit den Registerinformationen veröffentlicht werden. Eine Fristüberschreitung sollte dabei nicht strafbewehrt ausgestaltet werden; als angemessener Anreiz und zur Wahrung der Transparenz halten wir eine klare Sichtbarkeit der Fristeinhaltung auf dem Transparenzportal – einschließlich einer nachvollziehbaren Historie („Wall of Shame“) – für ausreichend.

 

Kontakt für die Stellungnahme

Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (TMF)
Charlottenstraße 42, 10117 Berlin
info@tmf-ev.de
030–22 00 247–0