EU-Verordnung über den europäischen Gesundheitsdatenraum (EHDS) veröffentlicht

Die Verordnung (EU) 2025/327 über den europäischen Gesundheitsdatenraum (European Health Data Space, EHDS) wurde gestern im Amtsblatt veröffentlicht. Sie tritt damit am 26. März 2025 in Kraft.

Der Europäische Gesundheitsdatenraum (EHDS) zielt darauf ab, den sicheren Austausch und die Nutzung von Gesundheitsdaten in der EU zu standardisieren, um die Gesundheitsversorgung zu verbessern und Innovationen zu fördern. Für Unternehmen ergeben sich daraus zentrale Pflichten, insbesondere in den Bereichen Interoperabilität, Datensicherheit und Compliance.  

Unternehmen, die elektronische Gesundheitsakten (EHR-Systeme) entwickeln oder vertreiben, müssen sicherstellen, dass ihre Systeme das europäische Austauschformat für EHR unterstützen. Dieses Format wird von der Europäischen Kommission im Wege von Durchführungsrechtsakten festgelegt und gewährleistet die maschinelle Lesbarkeit und grenzüberschreitende Kompatibilität von Daten wie Patientenkurzakten, Laborergebnissen oder elektronischen Rezepten. Hersteller müssen sicherstellen, dass ihre EHR-Systeme den technischen Spezifikationen der EU genügen, die Interoperabilität, Sicherheit und Protokollierung von Zugriffen umfassen und hierfür unten anderem eine EU-Konformitätserklärung ausstellen. Für Wellness-Apps (z. B. Fitness-Tracker) gelten Kennzeichnungs- und Informationspflichten, sofern der Hersteller behauptet, dass diese mit EHR-Systemen interoperabel sind.  

Dateninhaber, darunter Krankenhäuser, Arztpraxen oder private Gesundheitsdienstleister, sind verpflichtet, elektronische Gesundheitsdaten in strukturierten, interoperablen Formaten zu erfassen und für die Primär- und Sekundärnutzung bereitzustellen. Für die Sekundärnutzung (z. B. Forschung, Politikgestaltung) müssen Daten pseudonymisiert oder anonymisiert werden, wobei strenge Anforderungen an die Datensicherheit gelten. Unternehmen, die auf diese Daten zugreifen möchten, benötigen eine Genehmigung von nationalen Zugangsstellen für Gesundheitsdaten, die Anträge auf Basis festgelegter Kriterien (z. B. wissenschaftlicher Nutzen, Datenschutz) prüfen.  

Unternehmen, die Gesundheitsdaten nutzen, müssen transparente Nutzungsbedingungen vorlegen und sicherstellen, dass die Daten ausschließlich für zugelassene Zwecke (z. B. medizinische Forschung, KI-Entwicklung) verwendet werden. Kommerzielle Nutzung zu Marketingzwecken oder die Entwicklung gesundheitsschädlicher Produkte ist explizit untersagt. Zudem sind sichere Verarbeitungsumgebung verpflichtend, um unbefugte Zugriffe zu verhindern. Verstöße gegen diese Pflichten können hohe Bußgelder nach sich ziehen.  

Für Telemedizin-Anbieter und Online-Apotheken gelten spezielle Anforderungen: Sie müssen grenzüberschreitende Dienste anbieten und elektronische Identifikationsmittel gemäß der eIDAS-Verordnung unterstützen. Die Integration in die EU-weite Infrastruktur MyHealthEU ist verpflichtend, um Patientenakten länderübergreifend austauschen zu können.  

Unternehmen müssen zudem Datenzugriffe protokollieren und Betroffene über Zugriffe Dritter informieren. Bei der Entwicklung von KI-Systemen oder Medizinprodukten sind ethische Leitlinien zu berücksichtigen, die vom EHDS-Ausschuss vorgegeben werden. Die Zusammenarbeit mit nationalen digitalen Gesundheitsbehörden ist essenziell, um Konformität nachzuweisen und technische Unterstützung zu erhalten.  

Der EHDS erfordert von Unternehmen erhebliche Investitionen in IT-Infrastruktur, Schulungen und Compliance-Management. Gleichzeitig eröffnet er Chancen durch vereinheitlichte Marktzugänge und verbesserte Datenverfügbarkeit für Innovationen. Für die Umsetzung der Pflichten ist eine zweijährige Frist bis zum 26. März 2027 vorgesehen, also ähnlich lange, wie bei der KI-Verordnung, wobei die Mitgliedstaaten nationale Fristen für spezifische Anforderungen setzen können. Unternehmen sollten frühzeitig Prozesse anpassen, um wettbewerbsfähig zu bleiben und regulatorische Risiken zu minimieren.