Artikel aus dem Handelsblatt Journal „Cybersecurity & Datenschutz“
Der deutsche Gesundheitssektor steht vor einem fundamentalen Dilemma. Einerseits verfügt er über einen großen und wertvollen Fundus an Gesundheitsdaten, der große Fortschritte für die medizinische Forschung und, nachgelagert, auch für die Versorgung bringen könnte. Andererseits ist dieser Fundus in Tausenden von „Datensilos“ eingeschlossen und wird bislang nur unzureichend genutzt.
Die Gründe für die häufig unterbliebene Nutzung sind vielfältig. Zu ihnen gehören nicht nur technische Herausforderungen wie inkompatible Systeme und Datenformate, sondern auch eine Vielzahl unterschiedlicher Akteure, Interessen und Vorgehensweisen, ein heterogenes und komplexes Gesundheitssystem sowie mitunter fehlende Anreize zur Datennutzung. Hinzu kommt der berüchtigte gesetzliche Flickenteppich aus EU-, Bundes-, Länder- und sogar Kirchenrecht. Dieser führt zu Unsicherheiten in der Rechtsanwendung und erschwert und verlangsamt eine effiziente und sichere Nutzung von Gesundheitsdaten.
Sicher ist allerdings auch: Die effiziente Nutzung sensibler Gesundheitsdaten geht nur in Einklang mit einem verständlichen und praxistauglichen Datenschutz. Er ist essenziell für die (verfassungs-)rechtliche Zulässigkeit der Nutzung sensibler Gesundheitsdaten und nicht zuletzt für die Akzeptanz in der Bevölkerung. Der Datenschutz darf jedoch zugleich nicht dazu führen, dass in Deutschland eine Nutzung von Gesundheitsdaten für Forschungszwecke (nahezu) unmöglich gemacht wird. Denn die Entwicklung personalisierter Medizin, die Beschleunigung von Arzneimittelzulassungen und ein besseres Verständnis von Krankheitsverläufen hängen entscheidend von der Möglichkeit ab, Daten sicher und effizient, idealerweise automatisiert, zu analysieren.
Datenschutz als Hürde?
Die Auslegung von Datenschutzgesetzen ist oft uneinheitlich und bislang tendenziell restriktiv. Dies resultiert nicht zuletzt aus den rechtlichen Unsicherheiten kombiniert mit den (theoretisch) hohen Bußgeldern der DSGVO ab Mai 2018.
Ein Beispiel für bestehende Unsicherheiten ist die Abgrenzung zwischen pseudonymisierten Daten, die noch als personenbeziehbar gelten und anonymisierten Daten, bei denen kein Personenbezug mehr besteht. Mit dem Urteil des Europäischen Gerichtshofs vom 04.09.2025 (C-413/23 P) ist insofern zwar eine gewisse Klärung zugunsten eines eher pragmatischen, relativen Ansatzes des Personenbezugs eingetreten. Doch stehen Forschende bei der Beurteilung, ob Daten hinreichend anonymisiert sind, auch weiterhin vor großen Herausforderungen und damit einhergehenden Unsicherheiten.
Gleichwohl ist es angesichts der eingangs genannten, zahlreichen Herausforderungen zu kurz gegriffen, „dem Datenschutz” die Hauptschuld für das bestehende Dilemma zu geben. So ermöglicht die DSGVO – gerade im Bereich der Forschung – eine weitreichende Datennutzung unter Abwägung mit den Interessen der betroffenen Personen. Rechtsgrundlage für die Nutzung von Gesundheitsdaten muss gerade nicht stets die Einwilligung sein. Diese unterliegt nämlich nicht nur hohen Anforderungen, sondern bringt einige Nachteile wie potenzielle Einwilligungsmüdigkeit, eine möglicherweise entstehende Verzerrung (Bias) in den Daten, hohe Aufwände etc. mit sich.
So enthält das Bundesdatenschutzgesetz (BDSG) jedenfalls für private Stellen eine Rechtsgrundlage zur einwilligungsfreien Nutzung sensibler Daten für Forschungszwecke. Durch das Erfordernis eines erheblichen Überwiegens (statt eines einfachen Überwiegens) der Forschungsinteressen gegenüber den Interessen der betroffenen Personen hat sich Deutschland bislang allerdings dafür entschieden, eine höhere Schwelle einzuführen, als es nach EU-Recht nötig wäre.
Aber gerade (forschende) Krankenhäuser konnten sich – jedenfalls bislang – nicht ohne Weiteres auf eine rechtliche Grundlage zur Nutzung von Gesundheitsdaten stützen. Daher bleibt die aufwendige einwilligungsbasierte Erhebung und Verarbeitung von Gesundheitsdaten, etwa im Rahmen von Studien, nach wie vor führend bei der Forschung mit Gesundheitsdaten – mit allen Vor- und Nachteilen.
Neue Gesetze als Beschleuniger?
Die deutschen Gesetzgeber haben zuletzt reagiert und planen – im europarechtlich vorgegebenen Rahmen – weitere Erleichterungen für die Nutzung von Gesundheitsdaten zu Forschungszwecken. So ermöglicht das Gesundheitsdatennutzungsgesetz (GDNG) seit März 2024 bundesweit Kliniken die gemeinwohlorientierte Eigenforschung mit bereits erhobenen Gesundheitsdaten (sog. Versorgungsdaten), ohne dass die Patient:innen einwilligen müssen.
Dieser aus Sicht der Forschung begrüßenswerte Trend von Opt-In zu Opt-Out zeigt sich etwa auch in der derzeit flächendeckend eingeführten elektronischen Patientenakte, die ebenfalls eine Sekundärnutzung von Daten zu Forschungszwecken vorsieht. In diesem Zusammenhang sei auch das im Oktober 2025 eröffnete Forschungsdatenzentrum Gesundheit beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) genannt, in das die Abrechnungsdaten aller gesetzlich Krankenversicherten in Deutschland fließen.
Bislang ist allerdings nicht erkennbar, dass die neu geschaffenen Rechtsgrundlagen in größerem Umfang genutzt werden. Dies mag, etwa mit Blick auf das GDNG, daran liegen, dass eine Weitergabe nicht-anonymisierter Daten an Dritte zu Forschungszwecken vom GDNG selbst nicht abgedeckt ist. Vielmehr wird auf das Landesrecht verwiesen, das aber bislang nur vereinzelt entsprechende Regelungen vorsieht (z. B. Landeskrankenhausgesetz Mecklenburg-Vorpommern). Manche Bundesländer planen jedoch ebenfalls, entsprechende Rechtsgrundlagen zur Datenweitergabe an Dritte zu schaffen (z. B. der Gesetzentwurf zum Landeskrankenhausgesetz in Baden-Württemberg).
Nicht zuletzt deshalb sind weitere Gesetze in Planung, auf nationaler Ebene etwa Überarbeitungen des GDNG und das Medizin-Registergesetz. Als wesentlicher Beschleuniger und große Chance könnte sich aber insbesondere die EHDS-Verordnung der EU erweisen. Diese zielt, zusammengefasst, darauf ab, einen europäischen Gesundheitsdatenraum zu schaffen, der eine Nutzung von Gesundheitsdaten innerhalb der EU sowohl zu Versorgungs- als auch zu Forschungszwecken, entscheidend voranbringen soll. Auch hier wird es aber entscheidend auf die konkrete Ausgestaltung ankommen.
Gesetze allein werden die Datensilos daher nicht aufbrechen können. Wie also könnten sonst weitere Puzzleteile für eine verbesserte Nutzung von Gesundheitsdaten aussehen?
Mögliche Beschleuniger: Schaffung von Daten-Ökosystemen
Was es neben einer effizienten Implementierung des EHDS braucht, sind von neuen Herangehensweisen geprägte Initiativen, welche auf die Konvergenz der Infrastrukturen und digitalen Modelle und Prozesse hinwirken – ein Wandel von einer Sammlung an Silos zu einem echten Gesundheitsdatenökosystem. Genau hier setzen neue Initiativen wie der sphin-X e. V. mit dem kollaborativen Datenraumvorhaben sphin-X an.
sphin-X e. V., ein Zusammenschluss von über 35 Unternehmen, Verbänden und Institutionen aus dem deutschen Gesundheitswesen, strebt an, die Vision eines defragmentierten, interoperablen, vernetzten, offenen Gesundheitsdatenökosystems mit einem Beitrag aus der Gesundheitswirtschaft im Dialog mit allen systemrelevanten Partnern und Politik entscheidend voranzubringen.
Der Ansatz von sphin-X ist nicht die Schaffung einer weiteren zentralen Datenbank, Erschaffung neuer individueller Lösungen oder konkurrierender Produkte ohne Differenzierungspotenzial, die alle das System nur noch weiter überfrachten und fragmentieren würden. Stattdessen soll eine sichere Blaupause für die gemeinsame Nutzung von Daten etabliert werden, welche für ein breites Spektrum an Anwendungen aus dem klinischen sowie dem sogenannten Real-World-Data-Bereich dient. Es geht darum, Datenhalter (z. B. Kliniken) und Datennutzer (z. B. Forschende) gezielt, rechtssicher, schneller und skalierbarer zusammenzubringen (perfektes Matchmaking) und so als Innovationsplattform für neue, datengetriebene Lösungen und Geschäftsmodelle zu dienen. Dieses Modell adressiert direkt die von der Industrie beklagten Defizite bei Interoperabilität und Datensilos.
Solche Ökosysteme können aber auch den Datenschutz entscheidend stärken und effizienter gestalten. Zu denken ist etwa an Allgemeine Vertragsbedingungen, welche den Abschluss individueller Datenschutz-Verträge und entsprechende Verhandlungen obsolet werden lassen. Ein anderer Vorteil dürfte sein, dass sich sogenannte Privacy-Enhancing-Technologies (PETs) effizienter integrieren lassen. Dazu zählen etwa Verfahren wie das sogenannte Federated Learning, bei dem ein Algorithmus mit Hilfe verschiedener Datensätze trainiert wird, ohne dass die Datensätze an den Inhaber des Algorithmus weitergegeben werden müssen. Derartige Technologien für einzelne Forschungsprojekte immer wieder erneut aufzusetzen, ist insgesamt deutlich aufwändiger, als diese direkt im Ökosystem vorzusehen.
Vom Wollen zum Können Der Weg von den isolierten Datensilos zu einem funktionierenden, sicheren Datenökosystem ist komplex. Er erfordert auch, aber nicht nur neue Gesetze. Er bringt eine Notwendigkeit mit sich, die in der Praxis oft am schwierigsten ist: eine echte Kollaboration und ein gemeinsames Verständnis zwischen Behörden, Universitäten, der Wirtschaft und den Patient:innen.
Die Gesetzgebung muss den Rahmen für Forschung klar und förderlich gestalten und darf nicht durch unklare Begriffe oder unrealistische Fristen neue Blockaden schaffen. Gleichzeitig müssen technische Standards für Interoperabilität konsequent vorangetrieben werden. Initiativen wie sphin-X zeigen, wie die Architektur für einen solchen souveränen und sicheren Datenaustausch aussehen kann. Nur wenn Regulierung, Technologie und der Wille zur Zusammenarbeit Hand in Hand gehen, kann der deutsche Gesundheitsdatenschatz sicher gehoben werden.
„Cybersecurity & Datenschutz“ erschienen. Das vollständige Journal können Sie sich hier kostenlos herunterladen: