Die EU plant für Gesundheitsdaten einen neuen, digitalen Datenraum. Der „European Health Data Space“ (EHDS) soll nicht nur die Patientenversorgung verbessern, sondern u. a. auch Innovation fördern. Der dritte Artikel dieser Serie erklärt, warum das für Femtech Unternehmen eine besondere Chance bietet – und warum DSGVO Compliance wichtig ist, um die neuen Möglichkeiten nutzen zu können.
Der Inhalt im Überblick
Was der EHDS für Femtech Unternehmen bedeutet
Die Nutzung und der Austausch von elektronischen Gesundheitsdaten in der EU soll erleichtert werden. Der europäische Gesetzgeber bezweckt damit einerseits, dass Patient:innen auf diese Daten besser zugreifen können und mehr Kontrolle haben. In der Verordnung zum EHDS („EHDS-VO“) ist das im Rahmen der sog. „Primärnutzung“ geregelt. Andererseits sollen die Daten auch weiteren Zwecken dienen, u. a. Forschung und Innovation. Das regelt die sog. „Sekundärnutzung“ – unter strengen Voraussetzungen.
Bei dieser Sekundärnutzung sind gemäß Art. 53 EHDS-VO „Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienstleistungen“ möglicher Zweck für die Verarbeitung von Gesundheitsdaten; außerdem das „Trainieren, Testen und Bewerten von Algorithmen, auch in Medizinprodukten, In-vitro-Diagnostika, KI-Systemen und digitalen Gesundheitsanwendungen“. Das macht den EHDS für Femtech Unternehmen besonders interessant. Femtech ist eine innovationsgetriebene Industrie, deren Ziel es ist, technische Lösungen für Frauengesundheit zu entwickeln. Dabei unterscheidet sich die Datenlage bei Gesundheitsdaten von Frauen und Männern – ein Phänomen, das mit dem Stichwort „Gender Data Gap“ bezeichnet wird und dazu führt, dass Frauen insgesamt mehr Lebenszeit bei schlechter Gesundheit verbringen als Männer – der sog. „Gender Health Gap“.
Femtech Unternehmen können einerseits selbst wichtige Gesundheitsdaten generieren, z. B. wenn Frauen über Zyklustracker Apps ihre Daten zur Verfügung stellen. Andererseits sind sie aber auch darauf angewiesen, Erkenntnisse aus Wissenschaft und Forschung zu nutzen, um neue Angebote auf den Markt bringen zu können. Genau hieran knüpft der EHDS an.
Strenge Voraussetzungen für Datennutzung
Das Gesetz ist dabei aber streng. Die in Art. 53 EHDS-VO genannten Zwecke sind abschließend. So müssen die oben genannten Datenverarbeitungen u. a. im Rahmen wissenschaftlicher Forschung stattfinden. Deren Ziel kann dabei sein, Patient:innen zugute zu kommen. Kommerzielle Interessen sind aber nicht geschützt, ausdrücklich verboten sogar Werbe- und Vermarktungstätigkeiten (Art. 54 EHDS-VO). Außerdem legt Art. 68 der Verordnung fest, dass die Verarbeitung nach Art. 6 Abs. 1 DSGVO rechtmäßig sein muss. Der Zugang zu elektronischen Gesundheitsdaten wird sonst nicht gewährt. Zusätzlich bestimmt der Artikel weitere Anforderungen, die uns bereits aus der DSGVO bekannt sind. Dazu gehören neben Datenminimierung u.a. technische und organisatorische Maßnahmen, um Datenmissbrauch zu vermeiden und (u. a.) die Rechte und Interessen der betroffenen natürlichen Personen zu schützen.
Warum DSGVO Compliance besonders wichtig ist
Die EHDS-VO ist mit der DSGVO verzahnt. Ob Femtech Unternehmen selbst Daten aus dem EHDS anfordern, oder ob sie Kooperationen mit Forschungspartnern eingehen: DSGVO Compliance ist in jedem Fall wichtig. Zum Teil nimmt die EHDS-VO ausdrücklich auf die DSGVO Bezug. Auch so müssen aber die Vorschriften der DSGVO beim Gesundheitsdatenschutz beachtet werden: Dabei gilt es insbesondere, die strengen Anforderungen des Art. 9 DSGVO zu wahren. Auch eine Datenverarbeitung im Rahmen einer Kooperation unterliegt strikten Voraussetzungen. Insbesondere die datenschutzrechtlichen Verantwortlichkeiten müssen hier sauber abgegrenzt und geprüft werden. Die DSGVO ist unter anderem auch deswegen weiterhin so zentral, weil Unternehmen die Potentiale des EHDS noch gar nicht nutzen können. Die Verordnung ist zwar schon in Kraft, gilt aber erst ab Ende März 2027. Dabei ist ihre Anwendbarkeit gestaffelt. Einzelne Vorschriften gelten erst wesentlich später, zum Teil sogar erst 2035.
Datenschutz als Voraussetzung für Innovation
Auch, wenn er für Femtech Unternehmen besonders bedeutsam sein wird: Der EHDS ist noch im Aufbau. Auf den ersten Blick mag das ernüchternd sein. Unternehmen können sich aber bereits jetzt vorbereiten, indem sie Datenschutzcompliance in den Fokus nehmen. Unter anderem sollte es klare Zweckbestimmungen für die Verarbeitung von Gesundheitsdaten geben, die entsprechenden Rechtsgrundlagen sollten sorgfältig geprüft und die erforderlichen technischen und organisatorischen Maßnahmen zuverlässig implementiert werden. Für die Erschließung neuer Potentiale ist damit ein erster, wichtiger Schritt getan.
Benötigen Sie Unterstützung beim Umgang mit Gesundheitsdaten? Wir helfen Ihnen gern mit unserem Spezialwissen im Gesundheitsdatenschutz weiter.
Das eigentliche Gender Health Gap ist, dass die Lebenserwartung bei Frauen in Deutschland 4,8 Jahre höher ist als bei Männern. Man(n) könnte also auch argumentieren, dass bei Männern ein gravierenderer Datenmangel besteht und man die Ressourcen darauf konzentrieren muss, damit das Gender Gap bei der Lebenserwartung nicht noch größer wird.