Wird Datennutzung im Gesundheitswesen zum Game-Changer?

In deutschen und europäischen Gesundheitseinrichtungen sind sie allgegenwärtig: Gesundheitsdaten. Die Daten stammen aus Millionen von Untersuchungen, Behandlungen und Medikamentengaben und sie bieten weitreichende Vorteile für Forschung und Versorgung. Politik, Industrie und Rechtsprechung arbeiten daher verstärkt an dem Ziel, die technische und rechtliche Nutzbarkeit von Gesundheitsdaten in Einklang zu bringen. Wir beleuchten die aktuellen Herausforderungen und Chancen durch die Nutzung von Gesundheitsdaten in Softwarelösungen.

Daten, Daten, überall Daten

Die Notwendigkeit der Gewinnung und Nutzung von Gesundheitsdaten durch die Akteure des Gesundheitswesens (insbesondere Ärztinnen und Ärzte, Krankenhäuser, Labore, Krankenversicherungen, pharmazeutische Unternehmen und Medizinproduktehersteller) ist evident. Gesundheitsdaten sind zwingende Voraussetzung für die Durchführung und Abrechnung von Behandlungen, Produkten und Dienstleistungen im Gesundheitswesen. Sie umfassen Informationen über den gesundheitlichen Zustand und das Verhalten von Einzelpersonen oder Gruppen und werden heute in unüberschaubaren Mengen generiert, sei es im klassischen Sinn durch klinische Studien, Behandlungen, die Abgabe von Arzneimitteln oder durch die Nutzung „intelligenter“ Software an Handgelenk, Finger oder auf dem Mobiltelefon.

„Water, water, every where,

And all the boards did shrink;

Water, water, every where,

Nor any drop to drink.“

Wie die Matrosen im Gedicht „The Rime of the Ancient Mariner“ von Samuel Taylor Coleridge von Wasser umgeben sind, waren und sind es die Akteure des Gesundheitswesens von Gesundheitsdaten. Aber so wenig wie die Matrosen dadurch etwas zu trinken hatten, konnten die Akteure des Gesundheitswesens bislang aus den vorhandenen Daten den darin potenziell liegenden Nutzen realisieren.

Denn hierfür müssen die Daten verarbeitet werden, was erst durch die fortlaufende Digitalisierung im Gesundheitswesen im großen Maße möglich wird. Zudem eröffnen die stetig wachsenden Potenziale von KI zur Analyse dieser Daten neue Perspektiven, um Muster zu erkennen, Handlungsempfehlungen abzuleiten und erforderliche Prozesse zu optimieren und zu verschlanken. Für die Versorgung der Versicherten kann dies auf individueller Ebene, etwa bei der Krankheitserkennung, von Bedeutung sein, aber auch auf gesamtgesellschaftlicher Ebene, etwa bei der Vorhersage von Erkrankungswellen. Für die Zulassung und Zertifizierung neuer Arzneimittel oder Medizinprodukte bedeuten diese neuen Anwendungs- und Nutzungsmöglichkeiten das Potenzial enorm verbesserter Markterforschung und sinkender Kosten bspw. durch stark beschleunigte Prozesse. Zudem ist die Erhebung und Verarbeitung von Gesundheitsdaten mittlerweile nicht mehr nur für Akteure des Gesundheitswesens, sondern auch für Dritte, etwa im Bereich der Familienforschung (z. B. Abstammungsanalysen) oder Wellness-Anwendungen (z. B. Fitnesstracker und Smartwatches) relevant.

Deshalb muss, auch wenn ein Akteur des Gesundheitswesens technisch über eine Menge an Daten verfügen kann, sichergestellt werden, dass dieses technische Können auch mit dem rechtlichen Dürfen übereinstimmt. Hierbei sind – je nach Akteur und Verarbeitungszweck – unterschiedliche Hürden zu nehmen, die wir im Folgenden kurz beleuchten.

Erste Hürde: Datenschutz

Die Nutzung von Gesundheitsdaten steht stets in einem potenziellen Konflikt mit dem Datenschutz. Insbesondere bei der Sammlung individueller Gesundheitsdaten besteht die Gefahr, dass umfassende Profile erstellt werden, die zu einem „gläsernen Patienten“ führen. Um dies zu verhindern, haben der europäische und der deutsche Gesetzgeber umfangreiche Vorgaben zum Datenschutz im Gesundheitswesen eingeführt. Die Datenschutz-Grundverordnung (DS-GVO) stellt für die Datennutzung die erste Hürde dar, insbesondere durch ihren Art. 9 DS-GVO, der für Gesundheitsdaten ein grundsätzliches Verarbeitungsverbot enthält. Das bedeutet, die Verarbeitung ist nur in den in Art. 9 DS-GVO detailliert beschriebenen Ausnahmefällen zulässig.

Hinzu kommen für die Akteure des Gesundheitswesens spezielle Regelungen für die Datenverarbeitung und den Datenschutz bei der Teilnahme am System der gesetzlichen Krankenversicherung, in der etwa 90 Prozent der Menschen in Deutschland versichert sind. Diese speziellen Regelungen werden aus dem Fünften Sozialgesetzbuch (SGB V) abgeleitet und betreffen die Erhebung, Verarbeitung und Speicherung von Daten.

Zweite Hürde: Datensicherheit

Die zweite Hürde für die Nutzbarkeit von Gesundheitsdaten liegt in der Gewährleistung der Datensicherheit. Auch hierzu enthält insbesondere das SGB V weitergehende Vorschriften, welche die Datenverarbeitung unter dem Aspekt der IT-Sicherheit regeln. Hierdurch werden auch die Anbieter von Softwarelösungen in den Geltungsbereich des SGB V einbezogen. Ein besonderes Augenmerk liegt aktuell auf der Nutzung von Cloud-Lösungen, die nach § 393 SGB V seit Wirksamwerden des Digital-Gesetzes im Juli 2024 erstmals auch für Gesundheitsdaten genutzt werden können. Voraussetzung dafür ist die Erfüllung umfangreicher IT-Sicherheitsvorgaben, etwa das Vorliegen eines aktuellen C5-Testats. Für die größten Akteure des Gesundheitswesens, die als Betreiber der sog. Kritischen Infrastruktur gelten (z. B. Krankenkassen sowie große Krankenhäuser, Labore und Apotheken), bestehen zusätzliche Sicherheitsanforderungen, die sich aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und der Zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) ergeben.

Dritte Hürde: Abhängigkeit von den USA

Die dritte Hürde ist die Abhängigkeit von US-amerikanischen Technologieunternehmen, gerade im Bereich der IT-Dienstleistungen. Denn sie stellt ein potenzielles Problem dar, das die europäische Politik aber erst mit dem Amtsantritt des amtierenden Präsidenten der USA Donald Trump auch als solches erkannt hat. Zwar verpflichten die vorgenannten Datenschutzvorgaben, insbesondere nach SGB V, zu einem Einsatz europäischer Lösungen – d. h. die Datenverarbeitung darf nur in Deutschland und der EU stattfinden. Allerdings sind vor allem die großen Anbieter häufig Tochtergesellschaften US-amerikanischer Technologieunternehmen. Seit Anfang des Jahres 2025 steht nun die Frage im Raum, ob die amerikanische Regierung über gesellschaftsrechtliche Kontroll- und Einflussrechte versuchen könnte, Zugriff auf Gesundheitsdaten zu erlangen. So kommt zum Beispiel der US CLOUD Act als Eingriffsinstrument infrage – auch wenn aktuell noch keine Hinweise bestehen, dass es zu einem Zugriff mit diesem Instrument gekommen ist. Hier gilt, dass die europäischen Tochtergesellschaften an europäisches und deutsches Datenschutz- und Datensicherheitsrecht gebunden sind und die europäischen Daten deshalb auch gegen einen Zugriff der Muttergesellschaft aus einem Drittstaat verteidigen müssen. Den Nachweis, dass sich die Tochtergesellschaften an ihre dazu ausgesprochenen Versprechen gegenüber ihren Kundinnen und Kunden wirklich halten, müssen diese allerdings jeweils durch tatsächliches Verhalten erbringen. Die Blockade eines E-Mail-Accounts des Chefanklägers des Internationalen Strafgerichtshofs (IStGH) durch einen US-Technologiekonzern kurz nach Erlass von US-Sanktionen hat ein erstes Fragezeichen in diesem Punkt entstehen lassen.

Datennutzungsrecht als Gegengewicht?

Sprechen also die rechtlichen und politischen Hürden dagegen, dass die Datennutzung ein Game-Changer wird? Nein! Der Wert der Gesundheitsdaten, über die die Akteure des Gesundheitswesens bereits verfügen, ist allen Beteiligten bekannt. Es gibt deshalb die klare Zielrichtung in der politischen Diskussion und der daraus resultierenden Gesetzgebung, den Aspekt der Datennutzung stärker in den Fokus zu rücken. Zwar ist das Datennutzungsrecht, das die Interessen zur Schaffung eines Mehrwerts aus Daten umfasst, noch nicht kohärent ausgeprägt. Die Bemühungen um einen Ausbau, etwa durch die europäische Datenstrategie, auf der z. B. der Data Governance Act oder der Europäische Raum für Gesundheitsdaten (European Health Data Space, EHDS) basieren, weisen den Weg in eine Zukunft der Datennutzung, die sowohl die europäischen Interessen bei Datenschutz und Datensicherheit – was auch im Sinne der Betroffenen ist – als auch die Interessen in den Bereichen Forschung, Produktentwicklung und öffentlicher Gesundheitsschutz im Blick behält. Die historische Entwicklung der Rechtsetzung und Rechtsprechung zeigt, dass das gelebte Recht anhand vieler konkreter Anwendungsfälle seine jeweils aktuelle Form und erst hierdurch allgemeine Akzeptanz findet. So war es z. B. bei der Entwicklung der Arzneimittelsicherheit vom Contergan-Fall über die moderne Pharmakovigilanz oder die Entwicklung der apothekergeführten Ortsapotheke bis zum heutigen Netz europäischer Versandapotheken. Die nationalen und europäischen Gesetzgeber haben bereits erste Datennutzungsrechte eingeführt, die als Türöffner für die Akteure des Gesundheitsrechts für eine verstärkte Datennutzung dienen können. Je stärker die bestehenden Nutzungsrechte angewendet werden, desto mehr konkrete Anwendungsfälle werden sich ergeben, die das Datennutzungsrecht für die Gesundheitswirtschaft formen und ausgestalten können. Insofern liegt es an den Akteuren der Gesundheitswirtschaft, die jeweils bestehenden Nutzungsrechte zu kennen und die (Weiter-)Entwicklung des Datennutzungsrechts durch intensive Inanspruchnahme für eine zukunftsfähige Gesundheitswirtschaft (mit) zu formen.

Aus Sicht der Betroffenen (z. B. Patientinnen und Patienten oder Versicherte) kann es durch die steigende Anzahl von Nutzungsberechtigungen jedoch schwieriger werden, die Datennutzung gezielt durch Einwilligungen oder Widerspruch zu steuern. Deshalb besteht die weitere Herausforderung darin, das Datennutzungsrecht so zu gestalten, dass die Akzeptanz der Betroffenen nicht verloren geht.