EHDS: Zeitplan und Pflichten der EU-Gesundheitsdatenverordnung im Überblick

Der European Health Data Space transformiert grundlegend den Umgang mit Gesundheitsdaten in der EU. Nun beginnt die schrittweise Umsetzung eines einheitlichen Systems für den Austausch und die Nutzung von Gesundheitsdaten. Welche Fristen müssen beachtet werden und welche Änderungen kommen auf Gesundheitsdienstleister zu?

Gesetzgebungsprozess

Der EHDS ist Teil der europäischen Datenstrategie, die erstmals 2020 vorgestellt wurde und soll den digitalen Wandel im Gesundheitswesen beschleunigen. Es handelt sich um den ersten von neun geplanten Fachdatenräumen der EU. Kernanliegen der Verordnung ist die Schaffung eines standardisierten und sicheren Rahmens für die Nutzung elektronischer Gesundheitsakten (EHR) sowie für die Weiterverwendung von Gesundheitsdaten für Forschung und politische Entscheidungsfindung.

Die EU-Kommission legte im Mai 2022 einen ersten Entwurf für die EHDS-Verordnung vor. Nachfolgend stimmten sowohl die zuständigen Ausschüsse des EU-Parlaments als auch der Rat der EU dem Vorschlag zu. Im Frühjahr 2024 erzielten beide Organe eine Einigung über die finale Fassung. Am 21.01.2025 verabschiedete der Rat der EU die Verordnung endgültig. Mit der Veröffentlichung im Amtsblatt der Europäischen Union kann nun die Verordnung in Kraft treten.

Wichtige Eckpunkte der Verordnung

Die EHDS-Verordnung regelt sowohl die primäre Nutzung von Gesundheitsdaten zum unmittelbaren Vorteil für Patienten als auch die sekundäre Nutzung durch Forschungseinrichtungen und Gesundheitsbehörden. Konkret bedeutet dies:

• Besserer Zugang zu Gesundheitsdaten: Patienten erhalten einheitliche digitale Zugriffsrechte auf ihre Gesundheitsdaten und können diese EU-weit abrufen. Es steht ihnen auch das Recht zu, die Patientenakte kostenlos herunterzuladen.
• Verpflichtung zur Interoperabilität: Alle Anbieter von elektronischen Gesundheitsakten müssen kompatible Formate verwenden, um einen nahtlosen Datenaustausch zwischen medizinischen Einrichtungen in der gesamten EU zu ermöglichen. Krankenhäuser, Arztpraxen und andere Gesundheitseinrichtungen können medizinische Informationen so effizienter austauschen.
• Erweiterte Kontrollrechte: Personen können steuern, wer Zugriff auf ihre Gesundheitsdaten hat, und fehlerhafte Angaben berichtigen sowie zusätzliche Informationen eintragen lassen.
• Sekundärnutzung für Forschung und Politik: Bestimmte Gesundheitsdaten können unter gewissen Bedingungen für bestimmte Zwecke, zum Beispiel für die Forschung, genutzt werden.

Umsetzungsfristen für den European Health Data Space

Die EHDS-Verordnung tritt am 26.03.2025 in Kraft und soll laut einem Q&A der EU-Kommission stufenweise umgesetzt werden:

Bis 26.03.2027

• Einrichtung nationaler digitaler Gesundheitsbehörden und Benennung nationaler Kontaktstellen durch die EU-Mitgliedstaaten.

Ab 26.03.2029

• Anwendung der primären Nutzung für die erste Gruppe von Gesundheitsdaten (Patientenzusammenfassungen, elektronische Rezepte, elektronische Verordnungen). 
• Zu diesem Zeitpunkt beginnt auch die Verpflichtung für Gesundheitsdienstleister und medizinisches Fachpersonal, diese Daten in EHR-Systemen zu erfassen.
• Gesundheitsaktenanbieter müssen sicherstellen, dass ihre Systeme den besonderen Anforderungen entsprechen.
• Für die meisten Datenkategorien kann im Rahmen der sekundären Nutzung ein Antrag auf Nutzung gestellt werden. Medizinisches Fachpersonal und Gesundheitsdienstleister müssen die entsprechenden Daten für diese Zwecke bereitstellen.

Ab 26.03.2031

• Erweiterung der primären Nutzung auf weitere Gesundheitsdaten (medizinische Bildgebung, Testergebnisse, Entlassungsberichte). 
• Auch genetische Informationen und weitere besondere Gesundheitsdaten dürfen jetzt sekundär verwendet werden. Medizinisches Fachpersonal und Gesundheitsdienstleister müssen die entsprechenden Daten für diese Zwecke bereitstellen.

Ab 26.03.2034

• Drittstaaten können autorisierte Teilnehmer am HealthData@EU-Netzwerk werden. Hierbei handelt es sich um eine grenzüberschreitende Infrastruktur, die die sekundäre Nutzung ermöglichen soll.

Geldbußen und Sanktionen

Zur Sicherstellung der EHDS-Compliance sind erhebliche Sanktionen vorgesehen. Unternehmen und Organisationen, die gegen die Vorgaben verstoßen, können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes belegt werden. In besonders schweren Fällen können die Strafen auf 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes ansteigen.

Fazit

Mit dem European Health Data Space setzt die EU einen Meilenstein in der Digitalisierung des Gesundheitswesens. Die Verordnung verbessert nicht nur die Interoperabilität von Gesundheitsdaten, sondern stärkt auch die Rechte von Patienten. Gleichzeitig bringt sie umfassende Verpflichtungen für Gesundheitsdienstleister und Unternehmen mit sich. Angesichts der hohen Bußgelder sollten betroffene Organisationen frühzeitig Maßnahmen zur Umsetzung der neuen Vorgaben einleiten. Zudem ist es von höchster Priorität, dass die schützenswerten Gesundheitsdaten mit besonderer Vorsicht behandelt werden, sodass für Betroffene keinerlei Nachteile entstehen.

Wichtige Punkte im Überblick:

• Die EHDS-Verordnung wurde am 05.03.2025 veröffentlicht und tritt am 26.03.2025 in Kraft, mit schrittweiser Anwendung bis 2034. 
• Der EHDS soll den digitalen Austausch von Gesundheitsdaten EU-weit harmonisieren, den Zugang für Patienten verbessern und die Sekundärnutzung für Forschung und Innovation ermöglichen. 
• Gesundheitsdienstleister müssen standardisierte elektronische Gesundheitsakten (EHR) nutzen. 
• Patienten erhalten kostenlosen Zugang zu ihren digitalen Gesundheitsdaten. Sie können Daten korrigieren, ergänzen und deren Zugriff steuern. 
• Verstöße gegen die Verordnung können mit hohen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Vorjahres geahndet werden.

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.