Ein regulatorischer Paradigmenwechsel für Forschung, Innovation und den europäischen Datenraum. Wie mittelständische Unternehmen, Health-Tech-Anbieter und Kliniken jetzt strategisch handeln müssen.
Das GDNG (National)
Seit dem 26. März 2024 in Kraft. Ziel: Gesundheitsdaten für gemeinwohlorientierte Forschung und datenbasierte Weiterentwicklung der Versorgung nutzbar machen.
Der EHDS (Europa)
Am 26. März 2025 in Kraft getreten. Der European Health Data Space schafft einen einheitlichen Daten- und Governance-Rahmen über nationale Grenzen hinweg.
Von Datensilos zu regulierter Datennutzung
Über Jahre war die Nutzung sensibler Gesundheitsdaten in Deutschland durch Einzelfallprüfungen, föderale Zuständigkeiten und hohen Einwilligungsaufwand geprägt. Das GDNG und der EHDS verschieben diesen Schwerpunkt signifikant: weg von zersplitterten Zugangswegen, hin zu strukturierten gesetzlichen Erlaubnistatbeständen und der gemeinwohlorientierten Sekundärnutzung.
Kein Wegfall des Datenschutzes
Daten werden nicht einfach freigegeben, sondern in ein eng überwachtes Nutzungsmodell überführt. Der Fokus verlagert sich von der reinen Zulässigkeitsfrage auf Governance, Transparenz, Nachweisfähigkeit und technisch saubere Umsetzung. Datenschutz ist die Grundvoraussetzung für das Vertrauen der Patienten.
Die Kernparagraphen im Fokus
§ 5 GDNG: Weniger Reibung bei föderaler Aufsicht
Eine zentrale Erleichterung für komplexe Forschungskonsortien. Wenn mehrere Stellen beteiligt sind, kann unter bestimmten Voraussetzungen eine federführende Datenschutzaufsicht bestimmt werden. Bei gemeinsam Verantwortlichen (Art. 26 DSGVO) kann nach § 5 Abs. 4 GDNG sogar eine alleinige Zuständigkeit entstehen.
- Erfordert ein echtes Forschungsvorhaben und gemeinsame Verwertung.
- Reine Auftragsverarbeitung reicht nicht aus.
- Bemessungsgrundlage für die Federführung ist meist der größte Jahresumsatz.
- Strategische Bedeutung: Konsortialprojekte müssen von Beginn an sauber strukturiert werden.
§ 6 GDNG: Forschung ohne klassische Einwilligung
Gesundheitsdaten können unter strengen Vorgaben ohne gesonderte Einwilligung verarbeitet werden. Dies schafft jedoch keinen „freien Forschungsraum“.
- Antragsberechtigt sind nur datenverarbeitende Gesundheitseinrichtungen.
- Die Verarbeitung bleibt rechtlich anspruchsvoll und erfordert belastbare Rechtsgrundlagen und Zweckbeschreibungen.
- Die Interessen- und Risikoabwägung zur Absicherung der Betroffenen steht im Zentrum.
Die Rolle des BfArM
Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) agiert als zentrale Datenzugangs- und Koordinierungsstelle. Das Ziel ist eine Standardisierung der Verfahren und die Anbindung an den europäischen EHDS. Unternehmen müssen ihre Datenhaushalte und Metadaten zwingend anschlussfähig gestalten.
Chancen und Risiken für Unternehmen
Innovationspotenziale
- Bessere Nutzbarkeit hochwertiger Gesundheitsdaten.
- Leistungsfähigere KI-Modelle und präzisere Produktentwicklung.
- Verkürzte Innovationszyklen in Medizintechnik und digitaler Diagnostik.
- Neue Märkte für IT-Anbieter (Compliance-Infrastruktur, Pseudonymisierungskonzepte).
Operationelle Risiken
- Rechtliche Fehlqualifikation von Rollen und Verarbeitungsprozessen.
- Überforderung durch unzureichende Dokumentation.
- Mangelnde Interoperabilität der Datenbestände.
- Massiver Reputationsverlust bei ungenügender Transparenz gegenüber Betroffenen.
Was Unternehmen jetzt konkret tun sollten
Gesundheitsdatenprojekte gehören ab sofort auf die strategische Agenda der Geschäftsleitung. Bevor der erste Datenaustausch stattfindet, muss eine belastbare Governance etabliert sein:
- Strategische Positionierung: Definieren Sie Ihre künftige Rolle (Datenhalter, Datennutzer, Plattformanbieter).
- Rollenklärung: Etablieren Sie rechtssichere Verträge und klare Verantwortlichkeiten (z.B. Joint Controllership).
- Prozesse & Dokumentation: Setzen Sie belastbare Informations- und Widerspruchslogiken auf.
- IT & Sicherheit: Implementieren Sie ein realistisches Sicherheitskonzept und technisch anschlussfähige Datenstrukturen.
Häufig gestellte Fragen (FAQ)
Ersetzt das GDNG die Vorgaben der DSGVO?
Nein. Das GDNG agiert im Rahmen der DSGVO und konkretisiert die Erlaubnistatbestände für die Verarbeitung von Gesundheitsdaten. Die Grundprinzipien der DSGVO, wie Transparenz, Datensicherheit und Zweckbindung, bleiben vollumfänglich bestehen und werden durch das GDNG um spezifische Governance-Anforderungen ergänzt.
Können wir als KMU nun frei auf klinische Daten für unsere KI-Forschung zugreifen?
Nein, es gibt keinen „freien Datenraum“. Der Zugang wird über zentrale Stellen wie das BfArM koordiniert. Sie müssen nachweisen, dass Ihr Forschungsvorhaben gemeinwohlorientiert ist, und hohe Anforderungen an Datensicherheit, Pseudonymisierung und technische Infrastruktur erfüllen. Die formelle Antragsstellung bleibt anspruchsvoll.
Was bedeutet § 5 GDNG für unser Kooperationsprojekt mit einer Uniklinik?
§ 5 GDNG ermöglicht es, dass bei verbundübergreifenden Forschungsprojekten nicht mehr alle beteiligten Landesdatenschutzbehörden einzeln prüfen müssen. Unter bestimmten Voraussetzungen kann eine federführende Behörde benannt werden. Dies erfordert jedoch von Beginn an eine saubere juristische Strukturierung des Konsortiums und der Verantwortlichkeiten.
Ab wann müssen wir die Vorgaben des EHDS erfüllen?
Der European Health Data Space ist im März 2025 in Kraft getreten, die operative Umsetzung erfolgt jedoch gestuft über mehrere Jahre. Es ist strategisch entscheidend, bereits jetzt Datenformate, Schnittstellen und Compliance-Prozesse an die kommenden europäischen Standards anzupassen, um später nicht von regulatorischen Deadlines überrollt zu werden.
