·

Gesundheitsverwaltung

Gesundheitswesen

Gesundheits-IT / CIO

Datenportabilität: Öffentliches vs. privatärztliches Gesundheitswesen nach EU-Recht

Verstehen Sie, wie DSGVO (GDPR), EHDS und nationales Gesundheitsrecht unterschiedliche Verpflichtungen zur Datenportabilität für öffentliche und private Gesundheitseinrichtungen in Europa schaffen

Patientendatenportabilität zwischen öffentlichen und privaten Gesundheitsanbietern

Gesundheitseinrichtungen, die europaweit tätig sind, unterliegen einer rechtlichen Verpflichtung zur Datenportabilität von Patientendaten. Weniger bekannt ist: Diese Verpflichtung gilt nicht einheitlich. Eine Privatklinik in Amsterdam, ein öffentliches Krankenhaus in Madrid und ein gemischter Anbieter in Berlin können zwar denselben Typ von Patientenakte verwalten, stehen aber vor deutlich unterschiedlichen rechtlichen Anforderungen, wenn ein Patient seine Daten mitnehmen möchte. Der Grund liegt in einem strukturellen Merkmal des EU-Rechts: Datenschutzvorschriften werden auf supranationaler Ebene festgelegt, die Gesundheitsversorgung bleibt jedoch nationale Zuständigkeit. Die Rechtsgrundlage, auf der ein Anbieter Patientendaten verarbeitet, bestimmt, welche Portabilitätsrechte tatsächlich gelten.

Der rechtliche Rahmen: Was das EU-Recht tatsächlich verlangt

Drei verschiedene regulatorische Ebenen regeln die Datenportabilität von Patientendaten in Europa. Sie greifen je nach Anbietertyp unterschiedlich ineinander.

Die erste ist die Datenschutz-Grundverordnung (DSGVO), die das grundlegende Recht auf Datenübertragbarkeit gemäß Artikel 20 festlegt, aber eine entscheidende Einschränkung enthält, die ihre Anwendung im öffentlichen Gesundheitswesen erheblich begrenzt. Die zweite ist die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS), Verordnung (EU) 2025/327, die am 26. März 2025 in Kraft getreten ist. Die dritte Ebene bilden nationale Umsetzungsgesetze, die regeln, wie öffentliche Gesundheitssysteme den Zugang zu und die Übertragung von Akten verwalten.

Diese Ebenen funktionieren nicht unabhängig voneinander. Die DSGVO bleibt der primäre Datenschutzrahmen. Der EHDS führt sektorspezifische Verpflichtungen ein, die ergänzend gelten. Wie die Analyse von Taylor Wessing zur EHDS-DSGVO-Beziehung feststellt, ersetzt der EHDS die DSGVO nicht, sondern baut einen sektoralen Rahmen darauf auf, mit gestaffelter Umsetzung ab März 2027 für allgemeine Bestimmungen und ab März 2029 für Primär- und Sekundärnutzungsregeln.

DSGVO Artikel 20: Wo die Unterscheidung öffentlich/privat erstmals auftritt

DSGVO Artikel 20 gewährt Einzelpersonen das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten und sie an einen anderen Verantwortlichen zu übermitteln. Dieses Recht ist nicht universell. Es gilt nur, wenn die Verarbeitung auf Einwilligung (Artikel 6(1)(a) oder Artikel 9(2)(a)) oder auf einem Vertrag (Artikel 6(1)(b)) beruht. Wenn die Verarbeitung auf einer rechtlichen Verpflichtung oder der Wahrnehmung einer öffentlichen Aufgabe beruht, also auf Artikel 6(1)(c) bzw. 6(1)(e), gilt Artikel 20 nicht.

An diesem Punkt wird die Unterscheidung zwischen öffentlichen und privaten Anbietern erstmals operativ bedeutsam. Die meisten öffentlichen Gesundheitsdienstleister verarbeiten Patientendaten aufgrund eines gesetzlichen Mandats. Ein nationaler Gesundheitsdienst, der einen Patienten behandelt, tut dies nicht auf der Grundlage eines Vertrags mit diesem Patienten und typischerweise auch nicht auf der Grundlage einer Einwilligung. Er erfüllt eine gesetzlich definierte öffentliche Funktion. Das bedeutet, dass das DSGVO-Recht auf Datenübertragbarkeit nicht direkt auf die Mehrheit der Datenverarbeitung öffentlicher Gesundheitssysteme in der EU anwendbar ist.

Patienten, die ihre Akten von einem öffentlichen Krankenhaus zu einem privaten Spezialisten oder von einem nationalen Gesundheitssystem zu einem anderen übertragen möchten, können sich nicht auf DSGVO Artikel 20 berufen. Sie müssen sich stattdessen auf nationale Gesundheitsrechtsbestimmungen verlassen, die zwischen den Mitgliedstaaten erheblich variieren.

Wie öffentliche Gesundheitsdienstleister nach EU- und nationalem Recht behandelt werden

Öffentliche Gesundheitsdienstleister in der gesamten EU setzen Rechte auf Zugang zu und Übertragung von Patientenakten durch sektorspezifische Gesetzgebung um, nicht durch DSGVO-Portabilitätsbestimmungen. Die Verpflichtungen existieren, sind aber in Gesundheitsrechtsrahmen verankert, die sich je nach Rechtsordnung erheblich unterscheiden.

In den wichtigsten europäischen Märkten ist das Bild fragmentiert:

  • Nordische Modelle (Dänemark, Finnland, Schweden) verfügen über relativ ausgereifte nationale Infrastrukturen für Patientenaktensysteme und Patientenportale, mit gesetzlichen Rechten auf Zugang zu Akten, die in der Gesundheitsgesetzgebung verankert sind. Finnlands Kanta-System bietet Patienten beispielsweise einen zentralisierten digitalen Zugangspunkt für Akten, die bei öffentlichen Anbietern geführt werden.

  • Deutschland hat ein gesetzliches Recht für Patienten eingeführt, Kopien ihrer Akten gemäß dem Patientenrechtegesetz zu erhalten, wobei Anbieter verpflichtet sind, unverzüglich zu antworten. Das Land entwickelt zudem seine Telematikinfrastruktur (TI) als nationale Interoperabilitätsplattform.

  • Frankreich hat die Plattform Mon Espace Santé als patientenorientierten Gesundheitsdatenraum implementiert, der Zugang zu Akten öffentlicher Anbieter im Rahmen der nationalen digitalen Gesundheitsgesetzgebung bietet.

  • Südeuropäische öffentliche Systeme (Spanien, Italien, Portugal) haben gesetzliche Zugangsrechte, sehen sich aber größeren regionalen Unterschieden gegenüber, wobei die Implementierungsqualität eng mit der Kapazität der regionalen Gesundheitsbehörden verbunden ist.

Der entscheidende Punkt ist, dass diese Verpflichtungen real und durchsetzbar sind, aber sie werden durch Rahmenwerke der Gesundheitsministerien verwaltet, nicht durch Datenschutzbehörden. Das bedeutet, dass Aufsichtsbehörde, Durchsetzungsmechanismus und anwendbarer Zeitrahmen alle von denen abweichen können, die für einen privaten Anbieter unter der DSGVO gelten.

Wie private Gesundheitsdienstleister unter der DSGVO behandelt werden

Private Gesundheitsdienstleister, die Patientendaten auf der Grundlage von Einwilligung oder Vertrag verarbeiten, unterliegen direkt DSGVO Artikel 20. Dies gilt für die Mehrheit der Privatkliniken, Facharztpraxen und unabhängigen Diagnostikdienste, die in der EU tätig sind, sofern kein gesetzliches Mandat die Verarbeitungsbeziehung regelt.

Gemäß Artikel 20 können Patienten Folgendes anfordern:

  • Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format

  • Direkte Übermittlung dieser Daten an einen anderen Verantwortlichen, sofern technisch machbar

  • Eine Antwort innerhalb eines Monats nach der Anfrage, verlängerbar um weitere zwei Monate bei komplexen oder zahlreichen Anfragen (mit Benachrichtigung des Patienten innerhalb des ersten Monats)

Was als „personenbezogene Daten" für Portabilitätszwecke im klinischen Kontext zählt, ist weiter gefasst, als viele private Anbieter annehmen. Es umfasst Daten, die aktiv vom Patienten bereitgestellt werden (z. B. Registrierungsinformationen, bei der Aufnahme bereitgestellte Krankengeschichte) und Daten, die durch die Dienstleistungsbeziehung generiert werden (Terminaufzeichnungen, Konsultationsnotizen, Testergebnisse). Es umfasst keine vom Anbieter abgeleiteten oder geschlussfolgerten Daten – eine Unterscheidung, die relevant wird, wenn man KI-generierte klinische Codes oder Risiko-Scores betrachtet.

„Maschinenlesbar" bedeutet unter der DSGVO ein Format, das ein Computer automatisch verarbeiten kann, wie JSON, XML oder CSV, und nicht ein gescanntes PDF oder gedrucktes Dokument. Viele private Patientenaktensysteme können Daten in diesen Formaten exportieren, aber die Erstellung eines klinisch aussagekräftigen, strukturierten Exports, der Kodierung, Terminologie und Aktenbeziehungen bewahrt, ist eine separate technische Herausforderung.

Der Europäische Gesundheitsdatenraum: Die Lücke zwischen den Sektoren schließen

Die EHDS-Verordnung ist die bedeutendste Entwicklung in diesem Bereich. Ihr zentrales Ziel ist es, einen konsistenten Rahmen für den Zugang zu und die Portabilität von Gesundheitsdaten zu schaffen, der sowohl für öffentliche als auch für private Anbieter gilt und die durch die Rechtsgrundlagenabhängigkeit der DSGVO entstandene Lücke schließt.

Der EHDS führt mehrere Mechanismen ein, die direkt für die Portabilität relevant sind:

  • Ein verstärktes Recht auf Portabilität bei Primärnutzung gemäß Artikel 3(8), das über DSGVO Artikel 20 hinausgeht, indem es die Rechtsgrundlagenbeschränkung aufhebt und Daten abdeckt, die auf jeder Rechtsgrundlage gemäß Artikel 9 DSGVO verarbeitet werden, nicht nur Einwilligung oder Vertrag. Dieses Recht gilt jedoch nur für Dateninhaber aus dem Gesundheits- und Sozialversicherungssektor. Das bedeutet, dass Patienten die Portabilität ihrer Gesundheitsdaten von öffentlichen Anbietern in diesem Sektor verlangen können, die zuvor außerhalb des Anwendungsbereichs von DSGVO Artikel 20 lagen.

  • Die MyHealth@EU-Infrastruktur, die den grenzüberschreitenden Zugang zu Patientengesundheitsdaten in teilnehmenden Mitgliedstaaten ermöglicht, wobei nationale Kontaktstellen die Interoperabilität koordinieren.

  • Standardisierte Datenformate, wobei HL7 FHIR als Interoperabilitätsstandard für Patientenaktensysteme gemäß EHDS-Anforderungen etabliert wird.

  • Gesundheitsdatenzugangsstellen (HDABs), die die Sekundärnutzung von Gesundheitsdaten durch Forschung, Industrie und öffentliche Stellen regeln werden, vorbehaltlich eines Genehmigungssystems anstelle individueller Einwilligung.

Wie Skaddens rechtliches Briefing zum EHDS bestätigt, unterliegen alle in der EU niedergelassenen Gesundheitsdienstleister, einschließlich Krankenhäuser, Kliniken und Privatpraxen, denselben EHDS-Compliance-Verpflichtungen für Datenaustausch, Interoperabilität und Patientenzugang. Nichteinhaltung führt zu DSGVO-äquivalenten Bußgeldern.

Die akademische Literatur weist auf Unklarheiten im EHDS-Text hin. Eine peer-reviewte Analyse in Computer Law & Security Review stellt eine Spannung zwischen Erwägungsgrund 12, der fordert, dass die Portabilität für jeden privaten oder öffentlichen Datenverantwortlichen gelten soll, und Artikel 3(8) selbst fest, der die Verpflichtungen auf Dateninhaber „aus dem Gesundheits- und Sozialversicherungssektor" beschränkt. Der genaue Umfang, wer in Grenzfällen (Wellness-Apps, betriebliche Gesundheitsdienstleister, Telemedizinplattformen) als Gesundheitsdateninhaber qualifiziert, bleibt interpretationsbedürftig.

Zeitrahmen für Aktenübertragung: Ein Vergleich nach Anbietertyp und Markt

Die Antwortfristen für Portabilitäts- und Aktenübertragungsanfragen variieren erheblich je nach Anbietertyp, anwendbarem Recht und Rechtsordnung.

Kontext

Anwendbarer Rahmen

Zeitrahmen

Privater Anbieter (Einwilligungs-/Vertragsgrundlage)

DSGVO Artikel 20

Ein Monat; verlängerbar um zwei Monate

Öffentlicher Anbieter (öffentliche Aufgabengrundlage)

Nationales Gesundheitsrecht

Variiert nach Mitgliedstaat

Deutschland (privat und öffentlich)

Patientenrechtegesetz

Unverzüglich

Frankreich

Nationale digitale Gesundheitsgesetzgebung

Variiert nach Aktentyp

Nach EHDS (alle Anbieter)

EHDS-Primärnutzungsbestimmungen

In Durchführungsrechtsakten festzulegen

Der EHDS wird voraussichtlich harmonisiertere Fristen in den Mitgliedstaaten einführen, aber die spezifischen Zeitrahmen für patientenorientierte Portabilitätsanfragen im Rahmen der EHDS-Primärnutzung werden durch Durchführungsrechtsakte und die Umsetzung durch die Mitgliedstaaten bestimmt.

Formatanforderungen: strukturierte Daten, Interoperabilität und was Systeme unterstützen müssen

Die DSGVO verlangt, dass portable Daten in einem maschinenlesbaren Format bereitgestellt werden, schreibt aber keinen spezifischen technischen Standard vor. Dies hat zu erheblichen Unterschieden in der Praxis geführt, wobei einige Anbieter JSON- oder XML-Exporte liefern und andere CSV-Dateien anbieten, denen strukturierte Notizen oder Terminologiekontext fehlen.

Der EHDS adressiert dies direkt. Wie durch A&O Shearmans Analyse der EHDS-Anforderungen an Patientenaktensysteme bestätigt, verlangt die Verordnung von Gesundheitsdateninhabern, strukturierte, interoperable Daten in Formaten zu führen, die mit dem technischen EHDS-Rahmen kompatibel sind, wobei HL7 FHIR als aufkommender Standard für den klinischen Datenaustausch gilt.

Für Patientenaktensysteme, die in öffentlichen und privaten Umgebungen betrieben werden, ergeben sich mehrere praktische Anforderungen:

  • Die Fähigkeit, strukturierte klinische Daten in HL7 FHIR-konformen Formaten zu exportieren, wobei SNOMED CT-Codes, ICD-Klassifikationen und Medikamententerminologie erhalten bleiben

  • Patientenorientierte Zugangsportale, die es Einzelpersonen ermöglichen, ihre Akten anzusehen, herunterzuladen und zu übermitteln, ohne administrative Vermittlung zu benötigen

  • Audit-Protokollierung aller Datenzugriffs- und Exportereignisse, um die Einhaltung sowohl der DSGVO-Rechenschaftspflichten als auch der EHDS-Zugriffskontrollen nachzuweisen

  • Interoperabilität mit nationaler Infrastruktur für Patientenaktensysteme (wie Deutschlands TI, Frankreichs Mon Espace Santé oder Finnlands Kanta), wo anwendbar

Altsysteme in öffentlichen Institutionen stellen eine besondere Herausforderung dar. Viele nationale Gesundheitssysteme arbeiten mit Plattformen für Patientenaktensysteme, die nicht für den strukturierten Datenexport konzipiert wurden. Die Kosten und Komplexität der Aufrüstung oder des Ersatzes dieser Systeme sind erheblich. Forschung zu EHDS-konformer sicherer Infrastruktur hebt hervor, dass die Erfüllung der Anforderungen von Artikel 50 für sichere Verarbeitungsumgebungen und Interoperabilitätsstandards erhebliche technische Investitionen erfordert, insbesondere in Institutionen, die historisch isolierte, nicht interoperable Systeme betrieben haben.

Einwilligungsbedingungen und Rechtsgrundlage: Warum sie alles verändern

Die Rechtsgrundlage, auf die sich ein Anbieter für die Verarbeitung von Patientendaten stützt, ist die entscheidende Variable bei der Bestimmung, welche Portabilitätsverpflichtungen gelten. Dies ist kein technisches Detail, sondern die Grundlage der gesamten Compliance-Analyse.

Für öffentliche Gesundheitsdienstleister sind die relevanten Grundlagen typischerweise Artikel 6(1)(c) (rechtliche Verpflichtung) und Artikel 6(1)(e) (öffentliche Aufgabe), kombiniert mit Artikel 9(2)(h) (Gesundheits- oder Sozialfürsorgezwecke) für besondere Kategorien von Daten. Diese Grundlagen schließen den Anbieter von DSGVO Artikel 20 aus, beseitigen aber nicht alle portabilitätsbezogenen Verpflichtungen. Nationales Gesundheitsrecht regelt weiterhin den Zugang zu und die Übertragung von Akten.

Für private Gesundheitsdienstleister ist die Situation komplexer. Viele verarbeiten Daten auf der Grundlage einer Kombination verschiedener Rechtsgrundlagen: Einwilligung für optionale Datennutzungen (z. B. Marketing, Forschungsteilnahme), Vertrag für die Kernbehandlungsbeziehung und in einigen Fällen rechtliche Verpflichtung für obligatorische Meldungen. Das Recht auf Datenübertragbarkeit gemäß DSGVO Artikel 20 gilt nur für Daten, die auf der Grundlage von Einwilligung oder Vertrag verarbeitet werden. Das bedeutet, dass ein privater Anbieter in der Lage sein muss, auf Aktenebene zu identifizieren, welche Daten auf welcher Grundlage verarbeitet wurden.

Anbieter mit gemischtem Modell, wie Privatkliniken, die vertraglich zur Erbringung von Dienstleistungen innerhalb eines öffentlichen Gesundheitssystems verpflichtet sind, oder öffentliche Krankenhäuser mit Privatpatientenstationen, stehen vor der komplexesten Analyse. Arnold & Porters Beratung zum EHDS stellt fest, dass die EHDS-Definition von „Gesundheitsdateninhaber" für jede juristische Person gilt, die das Recht oder die Pflicht zur Verarbeitung personenbezogener Gesundheitsdaten hat, unabhängig davon, ob sie nominell öffentlich oder privat ist. Natürliche Personen und Kleinstunternehmen (weniger als 10 Mitarbeitende und ein Jahresumsatz oder eine Bilanzsumme von höchstens 2 Millionen Euro) sind standardmäßig von den Verpflichtungen als Gesundheitsdateninhaber ausgenommen, obwohl Mitgliedstaaten die Verpflichtungen auf sie ausdehnen können.

Eine in PubMed indexierte Analyse des EHDS-Sekundärnutzungsrahmens stellt fest, dass das Design der Verordnung eine bewusste politische Entscheidung widerspiegelt, sich von der Einwilligung als primärem Mechanismus für die Governance von Gesundheitsdaten zu entfernen und sie durch ein von Gesundheitsdatenzugangsstellen verwaltetes Genehmigungssystem für die Sekundärnutzung zu ersetzen. Für die Primärnutzung umgeht das verstärkte Recht auf Datenübertragbarkeit gemäß Artikel 3(8) die Rechtsgrundlagenabhängigkeit, allerdings erst, wenn die relevanten EHDS-Bestimmungen im März 2029 in Kraft treten.

Grenzüberschreitende Portabilität: Was passiert, wenn Patienten zwischen Mitgliedstaaten wechseln

Die grenzüberschreitende Aktenportabilität ist der Bereich, in dem die Fragmentierung am ausgeprägtesten ist und in dem der EHDS voraussichtlich die größte praktische Auswirkung haben wird. Derzeit hat ein Patient, der von Frankreich in die Niederlande zieht oder ein Grenzgänger, der in einem anderen Mitgliedstaat behandelt wird, keinen zuverlässigen Mechanismus, um sicherzustellen, dass seine Gesundheitsakten mit ihm übertragen werden. Nationale Patientenaktensysteme verwenden unterschiedliche Datenmodelle, Kodierungssysteme und Zugriffsprotokolle.

Der EHDS adressiert dies durch die MyHealth@EU-Infrastruktur, die von den Mitgliedstaaten verlangt, am grenzüberschreitenden Gesundheitsdatenaustausch durch nationale Kontaktstellen teilzunehmen. Die Infrastruktur baut auf dem bestehenden epSOS/eHealth Digital Service Infrastructure (eHDSI)-Rahmen auf, erweitert aber ihren Umfang und ihr rechtliches Mandat erheblich.

Forschung zur Implementierung von EHDS-Gesundheitsdatenzugangsstellen identifiziert mehrere anhaltende Herausforderungen für die grenzüberschreitende Sekundärnutzung von Gesundheitsdaten: inkonsistente Reife digitaler Gesundheitssysteme in den Mitgliedstaaten, variierende Datenqualitätsstandards und das Fehlen harmonisierter Governance-Rahmen für Gesundheitsdatenzugangsstellen. Diese Herausforderungen gelten ebenso oder noch stärker für die grenzüberschreitende Portabilität bei Primärnutzung, da die technische und rechtliche Infrastruktur für nahtlose Aktenübertragung in den meisten Mitgliedstaaten noch unterentwickelt ist.

Für Anbieter, die in Grenzregionen tätig sind, wie an der deutsch-französischen Grenze, im Benelux-Korridor oder im nordischen grenzüberschreitenden Arbeitsmarkt, oder die international mobile Patienten betreuen, besteht der derzeitige praktische Ansatz in vom Patienten gehaltenen Akten (Papier oder digital) als Übergangslösung, bis die EHDS-Infrastruktur betriebsbereit ist.

Praktische Auswirkungen für die IT-Infrastruktur in gemischten öffentlich-privaten Umgebungen

Für Entscheidungsträger, die IT sowohl in öffentlichen als auch in privaten Versorgungseinrichtungen verwalten, ergeben sich aus der obigen rechtlichen Analyse eine Reihe konkreter operativer Anforderungen.

Die Unterstützung mehrerer Rechtsgrundlagen innerhalb einer einzigen Plattform ist die unmittelbarste Herausforderung. Ein Patientenaktensystem, das in einer gemischten Umgebung verwendet wird, muss in der Lage sein, unterschiedliche Verarbeitungsgrundlagen für verschiedene Datenkategorien und Patientenpopulationen zu erfassen und darauf zu reagieren sowie Portabilitätsexporte zu generieren, die korrekt widerspiegeln, welche Daten unter DSGVO Artikel 20 fallen und welche Daten von EHDS Artikel 3(8) abgedeckt werden, sobald diese in Kraft treten.

Audit- und Protokollierungsverpflichtungen gelten für beide Rahmenwerke. DSGVO-Rechenschaftspflichten (Artikel 5(2)) verlangen von Verantwortlichen, die Einhaltung nachzuweisen, was in der Praxis bedeutet, alle Datenzugriffs-, Export- und Übertragungsereignisse zu protokollieren. Der EHDS fügt weitere Protokollierungsanforderungen für Interaktionen mit Gesundheitsdatenzugangsstellen und grenzüberschreitende Austausche hinzu.

Jetzt getroffene Entscheidungen zur Interoperabilitätsarchitektur werden die Compliance-Bereitschaft in den Jahren 2027 bis 2029 bestimmen. Das EU-Datengesetz (Verordnung (EU) 2023/2854), das am 12. September 2025 anwendbar wurde, fügt weitere Datenaustauschverpflichtungen für vernetzte Medizinprodukte und digitale Gesundheitstools hinzu und schafft eine zusätzliche Compliance-Ebene für private Anbieter, die IoT-fähige klinische Geräte oder tragbare Gesundheitsüberwachungsgeräte verwenden. Für einen breiteren Überblick über die regulatorische Landschaft siehe unseren Leitfaden zu EU-Gesundheits-KI-Vorschriften.

Patientenorientierte Zugangsportale sind zunehmend eine Compliance-Anforderung. Sowohl die DSGVO (durch das Auskunftsrecht gemäß Artikel 15) als auch der EHDS (durch das Primärnutzungszugangsrecht) verlangen, dass Patienten zeitnah und barrierefrei auf ihre Daten zugreifen können. Anbieter, die sich auf manuelle Anfrageprozesse verlassen, wie Papierformulare, Verwaltungsteams oder postalische Zustellung, sind sowohl Compliance-Risiken als auch operativer Ineffizienz ausgesetzt, wenn die Anfragevolumina steigen.

Compliance-Lücken, die vor der EHDS-Implementierung zu bewerten sind

Die häufigsten Bereiche, in denen öffentliche und private Anbieter derzeit hinter dem aufkommenden Compliance-Standard zurückbleiben, lassen sich aus der obigen rechtlichen und technischen Analyse ableiten. Für IT- und Compliance-Teams, die Roadmaps vor den gestaffelten EHDS-Fristen erstellen, stellen die folgenden die wichtigsten Lücken dar:

  • Nicht maschinenlesbare Aktenformate: Viele Anbieter, insbesondere in öffentlichen Systemen, erstellen immer noch klinische Dokumentation in Formaten wie gescannten PDFs oder proprietären Legacy-Formaten, die nicht automatisch verarbeitet werden können. Die Erfüllung der EHDS-Formatanforderungen erfordert entweder einen Systemaustausch oder Middleware-Lösungen, die in der Lage sind, Legacy-Ausgaben in HL7 FHIR-konforme Exporte zu transformieren.

  • Fehlen von patientenorientierten Datenzugangsportalen: Anbieter, die noch keine Self-Service-Patientenportale bereitgestellt haben, müssen diese Fähigkeit aufbauen oder beschaffen. Der EHDS-Primärnutzungsrahmen setzt digitalen Zugang als Standard voraus.

  • Unklare Einwilligungsdokumentation in privaten Einrichtungen: Private Anbieter, die sich auf Einwilligung als Rechtsgrundlage für einige Verarbeitungen stützen, müssen nachweisen können, dass die Einwilligung freiwillig, spezifisch, informiert und eindeutig erteilt wurde, und müssen in der Lage sein, Einwilligungsaufzeichnungen mit spezifischen Datenkategorien für Portabilitätszwecke zu verknüpfen.

  • Altsysteme, die keine strukturierten Daten exportieren können: Dies ist die bedeutendste Infrastrukturlücke in öffentlichen Gesundheitssystemen. IMPaCT-Data-Forschung zu EHDS-konformer Infrastruktur zeigt, dass die Erfüllung der Sicherheits- und Interoperabilitätsanforderungen von EHDS Artikel 50 erhebliche technische Investitionen erfordert und dass viele bestehende öffentliche Implementierungen von Patientenaktensystemen nicht über die Architektur verfügen, um dies ohne erhebliche Sanierung zu unterstützen.

  • Unklare Klassifizierung der Verarbeitung mit gemischtem Modell: Anbieter, die über öffentliche und private Modalitäten hinweg tätig sind, ohne eine klare Zuordnung, welche Aktivitäten auf welcher Rechtsgrundlage beruhen, sind sowohl DSGVO- als auch EHDS-Compliance-Risiken ausgesetzt. Eine dokumentierte Zuordnung der Verarbeitungstätigkeiten, aktualisiert um die EHDS-Verpflichtungen als Gesundheitsdateninhaber zu berücksichtigen, ist eine grundlegende Voraussetzung.

Eine wichtige Einschränkung im aktuellen Stand der Evidenz ist erwähnenswert. Akademische Analyse der EHDS-Portabilitätsbestimmungen identifiziert ungelöste Unklarheiten im Text der Verordnung, die nur durch Durchführungsrechtsakte, Umsetzung durch die Mitgliedstaaten und schließlich Leitlinien der Aufsichtsbehörden oder Rechtsprechung geklärt werden. Aktuelle Compliance-Bewertungen sollten als Arbeitshypothesen betrachtet werden, die einer Überarbeitung unterliegen, wenn sich der regulatorische Rahmen weiterentwickelt, und nicht als feste Schlussfolgerungen.

Die Entwicklung des Gesundheitsdatenkonzepts über DSGVO, das Daten-Governance-Gesetz und den EHDS hinweg spiegelt eine bewusste politische Entwicklung hin zu größerem Datenzugang und sektorübergreifender Portabilität wider. Das Tempo der Implementierung und der Grad der in der Praxis erreichten Harmonisierung werden stark von nationalen Umsetzungsentscheidungen abhängen, die in den EU-Mitgliedstaaten noch getroffen werden.

Häufig gestellte Fragen

Gibt die DSGVO Patienten das Recht, ihre Gesundheitsdaten von jedem Anbieter zu übertragen?

Nein. Das Recht auf Datenübertragbarkeit der Datenschutz-Grundverordnung gemäß Artikel 20 gilt nur, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht. Die meisten öffentlichen Gesundheitsdienstleister verarbeiten Patientendaten aufgrund eines gesetzlichen Mandats, was bedeutet, dass Artikel 20 nicht für sie gilt. Patienten, die Akten von einem öffentlichen Krankenhaus übertragen möchten, müssen sich stattdessen auf nationales Gesundheitsrecht verlassen, das zwischen den EU-Mitgliedstaaten erheblich variiert.

Was ist der Europäische Gesundheitsdatenraum und wann gilt er?

Der Europäische Gesundheitsdatenraum (EHDS) ist eine EU-Verordnung (Verordnung (EU) 2025/327), die am 26. März 2025 in Kraft getreten ist. Sie führt einen sektorspezifischen Rahmen für den Zugang zu und die Portabilität von Gesundheitsdaten ein, der neben der Datenschutz-Grundverordnung besteht, anstatt sie zu ersetzen. Allgemeine Bestimmungen gelten ab März 2027, gefolgt von Primär- und Sekundärnutzungsregeln im März 2029. Sie gilt für alle in der EU niedergelassenen Gesundheitsdienstleister, einschließlich öffentlicher Krankenhäuser und Privatkliniken.

Wie verändert der EHDS die Portabilitätsrechte im Vergleich zur DSGVO?

Der EHDS führt ein verstärktes Recht auf Datenübertragbarkeit gemäß Artikel 3(8) ein, das die in DSGVO Artikel 20 enthaltene Rechtsgrundlagenbeschränkung aufhebt. Das bedeutet, dass Patienten die Portabilität ihrer Gesundheitsdaten von öffentlichen Anbietern verlangen können, die zuvor außerhalb des Anwendungsbereichs der DSGVO lagen. Dieses Recht gilt jedoch nur für Dateninhaber aus dem Gesundheits- und Sozialversicherungssektor und tritt erst im März 2029 in Kraft.

Welches Format müssen Anbieter verwenden, wenn sie auf eine Portabilitätsanfrage antworten?

Gemäß der DSGVO müssen portable Daten in einem strukturierten, gängigen, maschinenlesbaren Format wie JSON, XML oder CSV bereitgestellt werden. Ein gescanntes PDF oder gedrucktes Dokument erfüllt diese Anforderung nicht. Der EHDS geht weiter, indem er von Gesundheitsdateninhabern verlangt, strukturierte, interoperable Daten zu führen, die mit dem technischen EHDS-Rahmen kompatibel sind, wobei HL7 FHIR als Standard für den klinischen Datenaustausch etabliert wird.

Wie lange hat ein privater Anbieter Zeit, um auf eine Datenportabilitätsanfrage zu antworten?

Gemäß DSGVO Artikel 20 muss ein privater Anbieter, der Daten auf der Grundlage von Einwilligung oder Vertrag verarbeitet, innerhalb eines Monats nach Erhalt der Anfrage antworten. Bei komplexen oder zahlreichen Anfragen kann dies um weitere zwei Monate verlängert werden, vorausgesetzt, der Anbieter benachrichtigt den Patienten innerhalb des ersten Monats. Öffentliche Anbieter unterliegen nationalem Gesundheitsrecht, und die Zeitrahmen variieren nach Mitgliedstaat.

Welche Portabilitätsverpflichtungen gelten für Anbieter mit gemischtem Modell?

Anbieter mit gemischtem Modell, wie Privatkliniken, die vertraglich zur Erbringung von Dienstleistungen innerhalb eines öffentlichen Gesundheitssystems verpflichtet sind, stehen vor der komplexesten Compliance-Analyse. Der EHDS definiert einen „Gesundheitsdateninhaber" als jede juristische Person mit dem Recht oder der Pflicht zur Verarbeitung personenbezogener Gesundheitsdaten, unabhängig davon, ob sie nominell öffentlich oder privat ist. Das bedeutet, dass Anbieter mit gemischtem Modell eine klare Zuordnung benötigen, welche Aktivitäten auf welcher Rechtsgrundlage beruhen, um ihre Verpflichtungen sowohl unter der DSGVO als auch unter dem EHDS genau zu bewerten.

Wie funktioniert die grenzüberschreitende Portabilität für Patienten, die zwischen EU-Mitgliedstaaten wechseln?

Derzeit gibt es keinen zuverlässigen Mechanismus für Patienten, die zwischen Mitgliedstaaten wechseln, um sicherzustellen, dass ihre Gesundheitsakten mit ihnen übertragen werden. Nationale Patientenaktensysteme verwenden unterschiedliche Datenmodelle, Kodierungssysteme und Zugriffsprotokolle. Der EHDS adressiert dies durch die MyHealth@EU-Infrastruktur, die von den Mitgliedstaaten verlangt, am grenzüberschreitenden Gesundheitsdatenaustausch durch nationale Kontaktstellen teilzunehmen. Bis diese Infrastruktur betriebsbereit ist, bleiben vom Patienten gehaltene Akten die praktische Übergangslösung für international mobile Patienten.

Was sind die häufigsten Compliance-Lücken, die Anbieter vor den EHDS-Fristen beheben sollten?

Die im Artikel identifizierten wichtigsten Lücken sind: klinische Dokumentation, die in nicht maschinenlesbaren Formaten wie gescannten PDFs gespeichert ist; das Fehlen patientenorientierter Self-Service-Datenzugangsportale; unklare Einwilligungsdokumentation in privaten Einrichtungen; Altsysteme, die keine strukturierten Daten in HL7 FHIR-konformen Formaten exportieren können; und das Fehlen einer dokumentierten Zuordnung der Verarbeitungstätigkeiten, die die Verarbeitung öffentlicher Aufgaben von einwilligungs- oder vertragsbasierter Verarbeitung unterscheidet.

Gilt der EHDS für kleine Privatpraxen und Kleinstunternehmen?

Natürliche Personen und Kleinstunternehmen, definiert als Organisationen mit weniger als 10 Mitarbeitenden und einem Jahresumsatz oder einer Bilanzsumme von höchstens 2 Millionen Euro, sind standardmäßig von den Verpflichtungen als Gesundheitsdateninhaber unter dem EHDS ausgenommen. Mitgliedstaaten haben jedoch die Möglichkeit, diese Verpflichtungen durch nationale Umsetzungsgesetzgebung auf sie auszudehnen, sodass Anbieter in dieser Kategorie die Implementierung in ihrer eigenen Rechtsordnung genau verfolgen sollten.

Was bedeutet der EHDS für Patientenaktensysteme in öffentlichen Institutionen?

Öffentliche Institutionen stehen vor einer erheblichen Infrastrukturherausforderung. Viele nationale Gesundheitssysteme arbeiten mit Plattformen für Patientenaktensysteme, die nicht für den strukturierten Datenexport konzipiert wurden. Die Erfüllung der EHDS-Artikel-50-Anforderungen für sichere Verarbeitungsumgebungen und Interoperabilitätsstandards erfordert erhebliche technische Investitionen. Im Artikel zitierte Forschung bestätigt, dass viele bestehende öffentliche Implementierungen nicht über die Architektur verfügen, um EHDS-Compliance ohne erhebliche Sanierungsarbeiten zu unterstützen.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.