Reform

Gesetz zur verbesserten Nutzung von Gesundheitsdaten – Gesundheitsdatennutzungsgesetz (GDNG)

In Kraft getreten: 26.03.2024 15 Min. Lesedauer

Das Gesundheitsdatennutzungsgesetz (GDNG) soll „bürokratische und organisatorische Hürden bei der Datennutzung“ verringern und die Nutzbarkeit von Gesundheitsdaten im Sinne eines „ermöglichenden Datenschutzes“ verbessern.

Auswirkungen auf Versicherte

  • Für die qualitative Weiterentwicklung der medizinischen Versorgung in Deutschland spielt die Nutzung von hochwertigen und repräsentativen Gesundheitsdaten (Big Data) eine wichtige Rolle. Um der Forschung den Zugang zu solchen Gesundheitsdaten von Patientinnen und Patienten zu erleichtern und dabei einen sicheren Datenschutz zu gewährleisten, wird beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten eingerichtet.
  • Die neue Datenzugangs- und Koordinierungsstelle unterstützt und berät Forschende bei der Identifizierung der benötigten Daten sowie bei der Antragstellung auf Datenzugang. Sie führt einen öffentlich einsehbaren Metadaten-Katalog, um die im deutschen Gesundheitssystem vorhandenen und zugänglichen Daten transparent zu machen. Die Koordinierungsstelle unterstützt die Bundesregierung zudem beim Aufbau einer vernetzten Gesundheitsdateninfrastruktur auf Bundesebene und in der Europäischen Union.
  • Das bereits bestehende Forschungsdatenzentrum (FDZ) Gesundheit beim BfArM wird weiterentwickelt und bekommt neue Aufgaben. Um die medizinische Versorgung mithilfe von Gesundheitsdaten zu verbessern, stellt das FDZ Gesundheit auf Antrag Forschenden die benötigten Daten zur Verfügung. Das FDZ Gesundheit kann künftig Forschenden auf Antrag sowohl pseudonymisierte Abrechnungsdaten der Krankenkassen als auch Behandlungsdaten aus den elektronischen Patientenakten zur Verfügung stellen. Diese können vom FDZ auch mit anderen Daten, etwa aus den klinischen Krebsregistern der Länder, zusammengeführt werden, wenn dies für die zu untersuchende Forschungsfrage erforderlich ist. Hierfür ist die Genehmigung der Datenzugangs- und Koordinierungsstelle erforderlich. Liegt von den betroffenen Patientinnen und Patienten des Krebsregisters keine Einwilligung zur Nutzung ihrer Daten vor, muss die Koordinierungsstelle bewerten, ob das öffentliche Interesse an den Forschungsergebnissen das Geheimhaltungsinteresse der Betroffenen überwiegt.
  • Alle natürlichen wie juristischen Personen mit einem Forschungsanliegen haben das Recht, beim FDZ einen Antrag auf Datennutzung zustellen, wenn sie einen im Gemeinwohl aller Patientinnen und Patienten liegenden Nutzungszweck nachweisen können (bisher gab es eine fest definierte Liste von Nutzungsberechtigten).
  • Zu den im Gemeinwohl liegenden Nutzungszwecken gehören etwa: Gesundheitsförderung verbessern; Krankheiten vorbeugen, heilen und ihre Folgen vermindern; Sicherheitsstandards in Prävention, Versorgung und Pflege verbessern; das Gesundheitswesen weiterentwickeln; Planung von Leistungsressourcen (etwa Krankenhausplanung oder Pflegestrukturplanungsempfehlungen); Analysen zur Wirksamkeit sektorenübergreifender Versorgungsformen oder von Einzelverträgen der Kranken- und Pflegekassen; Verbesserung der Arzneimittelsicherheit oder Nutzenbewertung von Arzneimitteln und Hilfsmitteln sowie auch eine rein statistische Datenerhebung, etwa für die Gesundheitsberichterstattung. Ausdrücklich ausgeschlossen von der Antragsberechtigung werden Nutzungszwecke für die Marktforschung, die Werbung, die Entwicklung gesundheitsschädlicher Produkte oder für Vertriebstätigkeiten sowie für die Ausgestaltung von Versicherungsverträgen werden.
  • Um Patientinnen und Patienten den größtmöglichen Datenschutz zu gewährleisten, werden Gesundheitsdaten nicht zentral gespeichert. Die Datenhaltung erfolgt weiterhin dezentral – die beantragten Daten werden vom FDZ jeweils nur für den entsprechenden Forschungsantrag zusammengeführt und den Forschenden in einer sicheren Verarbeitungsumgebung des FDZ pseudonymisiert zugänglich gemacht. Das FDZ stellt sicher, dass ein Kopieren oder Transferieren dieser Daten von dort nicht möglich ist.
  • Die datennutzenden Forscherinnen und Forscher sind verpflichtet, mit den vom FDZ bereitgestellten Daten keine Versuche zu unternehmen, einen Personenbezug wiederherzustellen oder einen Leistungserbringer anhand der Datensätze zu identifizieren. Für den Fall einer unabsichtlichen Herstellung eines Personenbezugs werden sie verpflichtet, die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zu informieren. Diese muss die Information an das FDZ sowie die zuständigen Krebsregister weiterleiten.
  • Um den Missbrauch von Patientendaten zu verhindern, soll ein neu eingeführtes Forschungsgeheimnis bei der Nutzung von Gesundheitsdaten sicherstellen, dass Wissenschaftlerinnen und Wissenschaftler die Datensätze nur im gesetzlich vorgegebenen Rahmen für ihre Forschung nutzen. Diese werden zudem verpflichtet, die Daten geheim zu halten und sie nicht an Dritte weiterzugeben – das gilt auch für Gesundheitsdaten bereits verstorbener Personen. Verletzungen dieser Geheimhaltungspflicht werden strafrechtlich verfolgt, es drohen eine Geldstrafe oder – je nach Schwere des Verstoßes – eine Freiheitsstrafe von bis zu drei Jahren.
  • Das Thema Datenschutz bleibt in der Verantwortung der Bundesländer. Auch für   Gesundheitsforschungsvorhaben, die länderübergreifend geplant sind, wird nun eine federführende Datenschutzaufsicht durch eine/n Landesdatenschutzbeauftragte/n eingeführt (bisher gab es eine solche Regelung nur für den Austausch von Sozialdaten). Welches Bundesland die Federführung übernimmt, hängt beim Austausch von Gesundheitsdaten davon ab, wo der Unternehmenssitz des umsatzstärksten Forschungspartners liegt. Die federführende Behörde ist verpflichtet, die Tätigkeiten und Aufsichtsmaßnahmen aller beteiligten Aufsichtsbehörden zu koordinieren.
  • Um ärztliche Behandlungsdaten von Patientinnen und Patienten für die Forschung nutzbar machen zu können, sollen Daten aus der elektronischen Patientenakte standardmäßig verwendet werden können. Bisher mussten die Versicherten ihre Gesundheitsdaten aus der Akte explizit für die Forschung freigeben. Mit dem GNDG wird die Freigabe der Daten in ein Opt-out-Verfahren geändert. Versicherte müssen also explizit der Datenübermittlung widersprechen – tun sie das nicht, dürfen die Daten in pseudonymisierter Form für die Forschung genutzt werden. Versicherte müssen auf die Widerspruchsmöglichkeit explizit hingewiesen werden.
  • Verarbeitet ein Forschungsteam im öffentlichen Auftrag Gesundheitsdaten ohne Einwilligung der Betroffenen, gilt der Veröffentlichungszwang. Die Verantwortlichen müssen das Vorhaben noch vor Beginn der Forschung in einem anerkannten Primärregister für klinische Studien registrieren lassen. Anschließend müssen die Forschungsergebnisse anonymisiert und innerhalb von 12 Monaten nach Abschluss der Forschungen für die Allgemeinheit veröffentlicht werden (open Data).
  • Versicherte, die einer Verwendung ihrer Daten durch die Krankenkasse zugestimmt oder widersprochen haben, dürfen dafür weder bevorzugt noch benachteiligt werden.
  • Das bereits beim BfArM angesiedelte Forschungs-Modellprojekt zur Genomsequenzierung erhält dort eine eigene Datenplattform. Die dort gesammelten Daten können durch das FDZ ebenfalls nutzbar gemacht werden.

Auswirkungen auf Ärzte/ambulante Pflege

  • Arztnetze dürfen die bei ihnen rechtmäßig gespeicherten Gesundheitsdaten pseudonymisiert zu Forschungszwecken weiterverarbeiten, soweit dies erforderlich ist zur Qualitätssicherung und zur Förderung der Patientensicherheit, zur medizinischen, zur rehabilitativen und zur pflegerischen Forschung oder zu statistischen Zwecken. Dabei ist sicherzustellen, dass nur befugte Personen die Daten weiterverarbeiten können sowie Weiterverarbeitungen protokolliert und unbefugte Verarbeitungen geahndet werden können. Die Datenauswertung ist nach spätestens 30 Jahren zu löschen.
  • Vertragsärztinnen und -ärzte haben bei der Verarbeitung ihrer selbst erhobenen Daten sicherzustellen, dass Rechte der betroffenen Personen respektiert und Risiken minimiert werden. Um das zu gewährleisten, werden sie per Gesetz verpflichtet, die Ergebnisse zu anonymisieren, soweit das berechtigte Interesse der betroffenen Person dies erfordert. Die Entscheidung darüber liegt in der rechtlichen und berufsethischen Verantwortung des Leistungserbringers. Eine Weitergabe der Daten ohne ausdrückliche Einwilligung des Patienten ist untersagt.
  • Die Verpflichtung der Vertragsärzte zur Fortbildung wird ergänzt. Neben den bislang erforderlichen Fachkenntnissen werden künftig auch die notwendigen Fähigkeiten und Fertigkeiten für eine erforderliche Methodenkompetenz eingefordert. Damit soll eine Angleichung an die Kompetenzorientierung im Rahmen des Nationalen Kompetenzbasierten Lernzielkatalogs erfolgen

Auswirkungen auf Krankenhäuser/stationäre Pflege

  • Gesundheitseinrichtungen wie Krankenhäuser oder Pflegeeinrichtungen sowie Zusammen-schlüsse von datenverarbeitenden Gesundheitseinrichtungen werden in ihrer Eigenforschung gestärkt. Sie dürfen die bei ihnen rechtmäßig gespeicherten Gesundheitsdaten pseudonymisiert zu Forschungszwecken weiterverarbeiten, soweit dies erforderlich ist zur Qualitätssicherung und zur Förderung der Patientensicherheit, zur medizinischen, zur rehabilitativen und zur pflegerischen Forschung oder zu statistischen Zwecken, einschließlich der Gesundheitsberichterstattung. Die Gesundheitseinrichtung hat sicherzustellen, dass nur befugte Personen die Daten weiterverarbeiten können sowie Weiterverarbeitungen protokolliert und unbefugte Verarbeitungen geahndet werden können. Die Datenauswertung ist nach spätestens 30 Jahren zu löschen.
  • Stationäre Leistungserbringer haben bei der Verarbeitung ihrer selbst erhobenen Daten sicherzustellen, dass Rechte der betroffenen Personen respektiert und Risiken minimiert werden. Um das zu gewährleisten, werden sie per Gesetz verpflichtet, die Ergebnisse zu anonymisieren, soweit das berechtigte Interesse der betroffenen Person dies erfordert. Die Entscheidung darüber liegt in der rechtlichen und berufsethischen Verantwortung des Leistungserbringers. Eine Weitergabe der Daten ohne ausdrückliche Einwilligung des Patienten ist untersagt.

Auswirkungen auf Krankenkassen

  • Gesetzliche Kranken- und Pflegekassen dürfen die bei ihnen gespeicherten, versichertenindividuellen Abrechnungsdaten künftig auswerten, wenn dies nachweislich dem individuellen Gesundheitsschutz der Versicherten dient. Erlaubt ist eine solche Auswertung etwa zur datengestützten Erkennung eines individuell erhöhten Krebsrisikos. Hier dürfen Kassen ihre Versicherten auf das Risiko aufmerksam machen und beispielsweise über die Möglichkeiten der Früherkennung oder über gesetzlich verankerte Vorsorgeleistungen informieren. Auch der personalisierte Hinweis auf eine mögliche seltene Krankheit, empfohlene Schutzimpfungen oder schwerwiegende Gesundheitsgefahren, etwa in der Arzneimitteltherapie durch Polymedikation, gehören zu den möglichen Verwendungszwecken der Datenauswertung. Ebenfalls erlaubt ist der individuelle Hinweis auf den möglichen Anspruch auf Leistungen aus der Pflegeversicherung, sofern noch kein Pflegegrad beantragt wurde.   
  • Erkennt eine Krankenkasse bei der Auswertung von Gesundheitsdaten bei einem Versicherten eine konkrete Gesundheitsgefährdung, ist sie verpflichtet, darüber den betroffenen Versicherten unverzüglich zu informieren und die Kontaktaufnahme mit einem geeigneten Leistungserbringer zu empfehlen. In besonders dringenden Fällen sollte die Kontaktaufnahme telefonisch erfolgen.
  • Gesetzliche Kranken- und Pflegekassen dürfen die Daten ihrer Versicherten auch ohne deren ausdrückliche Zustimmung auswerten. Versicherte haben aber – ähnlich wie bei der Datenauswertung aus der ePA – ein Widerspruchsrecht, worüber die Kassen sie zu informieren haben.
  • Kranken- und Pflegekassen werden verpflichtet, Ziele und Datengrundlagen vor einer Datenauswertung dem jeweiligen Verwaltungsrat der Kasse anzuzeigen. 
  • Hat eine Kranken- und Pflegekasse entgegen den vorstehenden Absätzen Daten verarbeitet und hat ein Vorstandsmitglied hiervon gewusst oder hätte hiervon wissen müssen, kann das Vorstandsmitglied in Regress genommen werden.
  • Kranken- und Pflegekassen werden verpflichtet, Versicherte, die einer Verwendung ihrer Daten zugestimmt oder widersprochen haben, dafür weder zu bevorzugen noch zu benachteiligen.
  • Für die Freigabe von Behandlungsdaten aus der elektronischen Patientenakte (ePA) gilt künftig ein Opt-Out-Verfahren. Krankenkassen sollen in der ePA eine digitale Verwaltung der Widersprüche einrichten, damit Patientinnen und Patienten möglichst einfach über die Freigabe ihrer Daten an das FDZ entscheiden können. Versicherte können ihren Widerspruch aber auch bei den Ombudsstellen der Krankenkassen erklären, wenn sie die ePA nicht nutzen oder ihren Widerspruch nicht digital erklären können oder möchten.
  • Kranken- und Pflegekassen werden verpflichtet, ihre Abrechnungsdaten jeweils innerhalb von sechs Wochen nach Ende des Quartals an das FDZ zu übertragen. Vor der Übermittlung an das FDZ müssen die Patienten- bzw. Versicherteninformationen mit dem öffentlichen Schlüssel der Vertrauensstelle pseudonymisiert werden.

Auswirkungen auf Finanzierung

  • Für den Aufbau und Betrieb einer Dateninfrastruktur zur Bereitstellung von Genomdaten beim Bundesinstitut für Arzneimittel und Medizinprodukte und beim Robert Koch-Institut werden jährlich rund zehn Millionen Euro an Sach- und Personalkosten veranschlagt.
  • Für die Einrichtung einer zentralen Datenzugangs- und Koordinierungsstelle beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) werden jährlich ca. 1,2 Millionen Euro an Personalkosten veranschlagt sowie rund 100.000 Euro an jährlichen Sachkosten für die Pflege der Infrastruktur. Für den einmaligen Aufbau der Infrastruktur fallen geschätzte 300.000 Euro an.
  • Der gestiegene Personalaufwand in der unabhängigen Vertrauensstelle (für die Pseudonymisierung) sowie beim Zentrum für Krebsregisterdaten im Robert Koch-Institut (für die Bereitstellung der Daten) wird mit zusätzlichen Personalkosten in Höhe von 300.000 Euro kalkuliert.
  • Beim Forschungsdatenzentrum (FDZ) entsteht durch den erwartbaren Anstieg der eingehenden Anträge zusätzlicher Personalaufwand. Ebenso entsteht zusätzlicher Aufwand durch die notwendige Erhöhung der technischen Kapazitäten für die Datenbereitstellung und datenschutzrechtliche Prüfung. Die zusätzlichen Kosten werden auf rund 700.000 Euro im Jahr 2024, auf eineinhalb Millionen im Jahr 2025 und auf zwei Millionen Euro in den Folgejahren geschätzt.
  • Durch die Erweiterung des Datensatzes im FDZ um die Daten aus den Pflegekassen entsteht dort ein einmaliger Mehraufwand in Höhe von zehn Millionen Euro für die Bereitstellung der Infrastruktur. Hinzu kommen zusätzliche jährliche Kosten für Personal und Infrastrukturpflege in Höhe von 2,5 Millionen Euro. Diese Kosten werden vollständig von der sozialen Pflegeversicherung getragen.

Beitragssatz

14,6 +Zusatzbeitrag Seit 2009 erhalten die gesetzlichen Krankenkassen zur Deckung ihrer Ausgaben Zuweisungen aus dem…