- 50 -           Bearbeitungsstand: 22.08.2023 21:14

Daten, fehlende Verknüpfungsmöglichkeiten sowie fehlende Transparenz über laufende o-
der abgeschlossene Forschungsprojekte, deren Erkenntnisse eine Grundlage für neue Pro-
jekte bilden könnten.

Zu Absatz 2

Dieser Absatz definiert den Anwendungsbereich des Gesetzes. Die Verarbeitung von Ge-
sundheitsdaten soll für solche Zwecke ermöglicht werden, die der Forschung, der Verbes-
serung der Gesundheitsversorgung sowie der Pflege und weiteren, im Gemeinwohl liegen-
den Interessen dienen. Dabei ist neben der gesundheitlichen Versorgung auch explizit im-
mer die pflegerische Versorgung vom Anwendungsbereich des Gesetzes umfasst. Eine
Verbesserung der Versorgung kann dabei sowohl die Verbesserung der Behandlungsqua-
lität, eine Steigerung von Lebenserwartung oder Lebensqualität, eine Erhöhung der Patien-
tensicherheit, die Entlastung des medizinischen und pflegerischen Personals bei gleichblei-
bender Versorgungsqualität oder Effizienzsteigerungen umfassen. Eine solche Verbesse-
rung der Gesundheitsversorgung kann durch die Entwicklung neuer Behandlungsmetho-
den, einschließlich der personalisierten Medizin, durch die Entwicklung neuer Arzneimittel
und Medizinprodukte oder von digitalen Hilfsmitteln sowie durch Prozessveränderungen
ermöglicht werden. Hier kann explizit auch die Entwicklung von Produkten, die Technolo-
gien der künstlichen Intelligenz nutzen, einen Beitrag leiten. Auch die Aus-, Fort- und Wei-
terbildung von medizinischem Fachpersonal kann einer Versorgungsverbesserung dienen.

Im Bereich der Forschung findet das Gesetz insbesondere Anwendung auf den Bereich der
Gesundheitsforschung inklusive der Grundlagenforschung, der Versorgungsforschung, der
klinischen und Verhaltensforschung, der biologischen und medizinischen Forschung, der
Gesundheitssystemforschung und der Gesundheitsökonomie, der Public Health-Forschung
sowie der epidemiologischen Forschung.

Im Gemeinwohl liegende Interessen umfassen insbesondere die Wahrnehmung öffentlicher
Aufgaben im Bereich der Gesundheitspolitik sowie der Gesundheitssystemsteuerung. Dazu
gehören u.a. Aufgaben der Gesundheitsberichterstattung, der Evaluation und Gesundheits-
systemüberwachung, der Versortungssteuerung sowie die Wahrnehmung von Aufgaben im
Bereich Public Health.

Zu Absatz 3

Dieser Absatz gilt der Klarstellung des Verhältnisses zum Fünften Buch Sozialgesetzbuch.

Zu Absatz 4

Dieser Absatz berücksichtigt, dass der Verordnung (EU) 2016/679 im Rahmen ihres An-
wendungsbereichs unmittelbare Geltung im Sinne des Artikels 288 Absatz 2 AEUV zu-
kommt. Insoweit in diesem Kapitel punktuelle Wiederholungen von sowie Verweise auf
Bestimmungen aus der Verordnung (EU) 2016/679 erfolgen, so geschieht dies aus Grün-
den der Verständlichkeit und Kohärenz und lässt die unmittelbare Geltung der Verordnung
(EU) 2016/679 unberührt.



Zu § 2 (Begriffsbestimmungen)

Im Absatz werden bisher unbestimmte Rechtsbegriffe legal definiert.

- 51 -           Bearbeitungsstand: 22.08.2023 21:14

Zu § 3 (Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten;
Verordnungsermächtigung)

Zu Absatz 1

Im dezentral organisierten deutschen Gesundheitssystem sind Datenquellen derzeit
schlecht auffindbar und insbesondere die Nutzung von Daten aus mehreren Quellen erfor-
dert ein hohes Maß an Aufwand bei der Beantragung. Durch die Einrichtung einer zentralen
Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten soll ein zentraler Ansprech-
partner für Datennutzende geschaffen werden. Dabei wird bereits die funktionale und insti-
tutionelle Weiterentwicklung der Stelle vorgesehen, um den schrittweisen Ausbau einer ver-
netzten Gesundheitsdateninfrastruktur abbilden und die Leistungen der Stelle sukzessive
weiteren Datenhaltern zur Verfügung stellen zu können. Als ersten Schritt soll die zentrale
Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten beim Bundesinstitut für Arz-
neimittel und Medizinprodukte (BfArM) aufgebaut werden. Das BfArM hat hier bereits vor-
bereitende Arbeiten durch den Aufbau des Forschungsdatenzentrums Gesundheit und die
Gemeinsame Aktion für den europäischen Gesundheitsdatenraum, genannt TEHDAS (To-
wards the European Health Data Space, https://tehdas.eu/) geleistet. Das BfArM vertritt
zudem die deutsche Perspektive im Pilotprojekt EHDS2 zur Erprobung grenzüberschreiten-
der Zugänge zu Sekundärzwecken (https://www.ehds2pilot.eu/) und bekommt ab 2023 EU-
Mittel zum Aufbau nationaler Zugangsstellen für Gesundheitsdaten. Die zentralen Daten-
zugangs- und Koordinierungsstelle für Gesundheitsdaten soll als eigene Organisationsein-
heit örtlich und organisatorisch getrennt vom Forschungsdatenzentrum Gesundheit aufge-
baut werden, um mögliche Interessenskonflikte zu verhindern. Bestehende Institutionen in-
nerhalb der dezentralen Gesundheitsdateninfrastruktur werden beim Aufbau und Aufga-
benwahrnehmung adäquat eingebunden, sodass Synergien genutzt und Doppelstrukturen
vermieden werden.

Für die Weiterentwicklung der zentralen Datenzugangs- und Koordinierungsstelle für Ge-
sundheitsdaten ist es vorgesehen, die Aufgaben, die aus der Verordnung des Europäischen
Gesundheitsdatenraums (European Health Data Space – EHDS) ergeben werden, wahr-
zunehmen.

Die Gewährung der sekundären Nutzung der bei den verpflichtenden Maßnahmen der Qua-
litätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 SGB V erhobenen Daten gemäß §
137a Absatz 10 SGB V bleibt von den Regelungen des GDNG unberührt.

Zu Absatz 2

Der Datenzugangs- und Koordinierungsstelle werden die in Absatz 2 benannten Aufgaben
übertragen.

Zu Nummer 1 und Nummer 2

Die zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten soll Informati-
onen und Antragsvoraussetzungen zu potenziell verfügbaren Datenquellen so bündeln und
aufbereiten, dass sie Datennutzende zu geplanten Vorhaben und der notwendigen Antrag-
stellung beraten kann. Dadurch soll die Auffindbarkeit und Nutzbarkeit von Daten erhöht,
Hürden bei der Antragstellung abgebaut und der Aufwand der Antragstellenden reduziert
werden.

Zu Nummer 3 und Nummer 4

Bei Anträgen auf Datennutzung aus verschiedenen Quellen müssen derzeit Anträge oft bei
verschiedenen Institutionen gestellt werden. Um den Aufwand für Forschende bei Anträgen
auf eine Datenverknüpfung zu reduzieren, übernimmt die Datenzugangs- und Koordinie-
rungsstelle für Gesundheitsdaten die Funktion eines Mittlers zwischen Antragstellenden

- 52 -           Bearbeitungsstand: 22.08.2023 21:14

und datenhaltenden Stellen. Antragstellende müssen somit nur mit einer Stelle in Kontakt
treten, diese übernimmt die Weiterleitung an die für die Antragsbearbeitung zuständigen
Stellen und die weitere Kommunikation mit dem oder der Antragstellenden bzw. unterstützt
bei der direkten Kommunikation. Zunächst übernimmt die Datenzugangs- und Koordinie-
rungsstelle für Gesundheitsdaten diese Aufgaben bei Anträgen auf Datenverknüpfung von
Daten des Forschungsdatenzentrums Gesundheit mit Daten der klinischen Krebsregister
der Länder nach § 65c Sozialgesetzbuch Fünftes Buch.

Zu Nummer 5

Derzeit existiert keine Übersicht über vorhandene und durch Dritte nutzbare Gesundheits-
datenbestände. Durch den Aufbau eines Metadatenkatalogs soll für Datennutzende, daten-
haltende Stellen und die interessierte Öffentlichkeit Transparenz über die in Deutschland
verfügbaren Datenquellen im Gesundheitswesen hergestellt werden. Dadurch wird die Kon-
zeption und Durchführung neuer Vorhaben erleichtert und der fachliche Austausch zwi-
schen datenhaltenden Stellen gefördert.

Zu Nummer 6

Um Transparenz über die Nutzung der Daten herzustellen, wird ein öffentlich einsehbares
Antragsregister eingerichtet. Dort werden die von der Datenzugangs- und Koordinierungs-
stelle entgegengenommenen und bearbeiteten Anträge aufgenommen. Ziel ist es, die inte-
ressierte Öffentlichkeit zu informieren und so auch die Arbeit der Datenzugangs- und Koor-
dinierungsstelle nachvollziehbar und kontrollierbar gemacht werden. Zudem kann über das
Antragsregister der fachliche Austausch zwischen Forschenden über Projekte der Gesund-
heitsforschung gefördert werden.

Zu Nummer 7

Um Transparenz gegenüber der Öffentlichkeit herzustellen, soll die Datenzugangs- und Ko-
ordinierungsstelle für Gesundheitsdaten über ihre Aktivitäten informieren. Dabei sollen die
Information auch dazu beitragen, das Verständnis über die Grundsätze der Datenverarbei-
tung im Gesundheitswesen sowie den Sinn einer Datennutzung im Gesundheitswesen zu
erhöhen.

Zu Nummer 8

Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten unterstützt die Bundes-
regierung bei der Weiterentwicklung von Dateninfrastrukturen im europäischen und inter-
nationalen Kontext, um einerseits eine Ausrichtung der eigenen Aufgabenwahrnehmung
insbesondere an europäischen Vorgaben sicherzustellen und andererseits nationale Inte-
ressen und Erfahrungen im Bereich der Datennutzung in den entsprechenden Gremien und
Prozessen zu vertreten.

Zu Nummer 9

Um die Angebote und Leistungen der Datenzugangs- und Koordinierungsstelle für Gesund-
heitsdaten schrittweise weiteren Datenhaltern zur Verfügung stellen zu können, wird die
Stelle mit der Erarbeitung von Konzepten zur institutionellen und funktionalen Weiterent-
wicklung beauftragt. Dies umfasst auch die Erstellung eines Konzepts zur Nutzung sicherer
Verarbeitungsumgebungen bei der Datenauswertung. Dabei sollen auch Anforderungen
aus dem europäischen Raum frühzeitig aufgegriffen und konzeptionell abgebildet werden.

- 53 -           Bearbeitungsstand: 22.08.2023 21:14

Zu Nummer 10

Der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten werden die in § 2
GDNG festgelegten Aufgaben bei der Zusammenführung von Daten aus dem Forschungs-
datenzentrum Gesundheit und den Daten der klinischen Krebsregister der Länder nach §
65c SGB V übertragen.

Zu Absatz 3

Die Vorschrift enthält eine Verordnungsermächtigung des Bundesministeriums für Gesund-
heit zur Regelung der dort genannten Einzelheiten. Bei der Erarbeitung der Rechtsverord-
nung sind die betroffenen Datenhalter zu beteiligen und Benehmen herzustellen. Dies gilt
insbesondere für die Krebsregister im Kompetenzbereich der Bundesländer. Zur Gewähr-
leistung des für die Verarbeitung sensibler Gesundheitsdaten erforderlichen hohen Daten-
schutz- und Datensicherheitsniveaus ist Benehmen mit dem Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informa-
tionstechnik herzustellen. Eine Zustimmung des Bundesrates zur Rechtsverordnung ist
nicht erforderlich, da nur Regelungen zur Datenzugangs- und Koordinierungsstelle für Ge-
sundheitsdatengetroffen werden. Regelungen, die die Datenverknüpfung mit den Krebsre-
gistern im Zuständigkeitsbereich der Länder betreffen sind ausschließlich in der Rechtsver-
ordnung nach § 4 zu treffen.

Zu Absatz 4

Zur Beratung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten bei ihrer
Aufgabenwahrnehmung sowie zur Koordinierung mit existierenden Datenhaltern und Ge-
sundheitsdateninfrastrukturen wird ein Arbeitskreis eingerichtet. Ziel ist, effiziente Struktu-
ren und Arbeitsweisen zu etablieren und insbesondere den Aufbau von Doppelstrukturen
zu vermeiden. Um auch die Belange der Forschenden, der Leistungserbringer sowie der
Patientinnen und Patienten angemessen zu berücksichtigen, werden auch Vertreter dieser
Gruppen zur Teilnahme am Arbeitskreis eingeladen.

Zu § 4 (Verknüpfung von Daten des Forschungsdatenzentrums Gesundheit und der
klinischen Krebsregister der Länder nach § 65c SGB V)

Zu Absatz 1

Um Fragen zu Krebserkrankungen umfassend beantworten zu können, muss die Verknüp-
fung von Daten der klinischen Krebsregister der Länder nach § 65c SGB V mit Daten des
Forschungsdatenzentrums Gesundheit rechtlich und technisch geregelt werden. Denn viele
Forschungsfragen lassen sich erst durch das Zusammenführen von Daten aus beiden
Quellen beantworten. So bieten zum Beispiel Abrechnungsdaten einen breiten Blick über
Patientenpfade durch die unterschiedlichen Versorgungsbereiche und für diverse Krank-
heitsbilder im Zeitablauf, während Daten der klinischen Krebsregister der Länder nach §
65c SGB V tiefgehende Informationen zu spezifischen Behandlungen eines Krankheitsbil-
des erlauben. Nur die Verknüpfung erlaubt ein vollständiges Bild des Behandlungsverlaufs
und der Kontextfaktoren, die Analyse von Früherkennungsmerkmalen oder die Identifika-
tion von gesundheitsbedingten Risikofaktoren für bestimmte Krebserkrankungen.

Die im Rahmen dieser Datenverknüpfung gewonnen Erkenntnisse dienen auch als erste
Grundlage für eine zukünftige Datenverknüpfung zwischen dem Forschungsdatenzentrum
Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch und dem Forschungsda-
tenzentrum Gesundheit der gesetzlichen Rentenversicherung.

Zu Absatz 2

In Absatz 2 werden Voraussetzungen für die Datenverknüpfung geregelt.

- 54 -           Bearbeitungsstand: 22.08.2023 21:14

Für die Verknüpfung nach Absatz 1 ist eine Genehmigung der Datenzugangs- und Koordi-
nierungsstelle für Gesundheitsdaten erforderlich. Zusätzlich müssen vom Forschungsda-
tenzentrum Gesundheit und den zuständigen klinischen Krebsregistern der Länder nach §
65c SGB V als datenhaltenden Stellen ebenfalls die erforderlichen Genehmigungen für den
Zugang zu den jeweiligen Daten erteilt werden. Diese Genehmigungen stellen sicher, dass
sowohl die Voraussetzungen für den Zugang zu den Daten des Forschungsdatenzentrums
Gesundheit bzw. der klinischen Krebsregister der Länder nach § 65c SGB V nach den je-
weiligen Voraussetzungen im Einzelfall gegeben sind. Die zusätzliche Genehmigung der
Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten ist nötig, da durch die Zu-
sammenführung der Daten zusätzliche Informationen zu den Versicherten generiert wer-
den, die in Abwägung zur Notwendigkeit für die Beantwortung der Forschungsfrage erneut
bewertet werden müssen.

Zu Absatz 3

Absatz 3 regelt, dass die Antragsteller nachzuweisen haben, dass die Zusammenführung
der Daten für den verfolgten Forschungszweck geeignet und erforderlich ist.

Zu Absatz 4

Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten übernimmt die Funktion
als Mittler zwischen Antragstellenden und datenhaltenden Stellen und ermöglicht so ein
effizientes und schlankes Antragsverfahren. Im Benehmen mit Vertretern der klinischen
Krebsregister der Länder nach § 65c SGB V und dem Zentrum für Krebsregisterdaten am
Robert Koch-Institut soll ein einheitlicher Antragsprozess für die drei erforderlichen Geneh-
migungen erstellt werden.

Für die Antragstellenden ergibt sich eine Vereinfachung der Kommunikation im Zuge des
Antragsverfahrens.

Zu Absatz 5

Pseudonymisierte, personenbezogene Einzeldaten werden den Antragstellenden in siche-
ren Verarbeitungsumgebungen bereitgestellt, da so die Verarbeitung lediglich in kontrollier-
ter Umgebung stattfindet und insbesondere keine Daten kopiert werden können. Um sicher-
zustellen, dass Daten nur an vertrauenswürdige sichere Verarbeitungsumgebungen aus-
geleitet werden, liegt die Entscheidung darüber bei der Datenzugangs- und Koordinierungs-
stelle für Gesundheitsdaten. Pseudonymisierte Einzeldaten sind für Forschungsfragen mit
verknüpften Daten regulär nötig. Es können anonymisierte Daten bereitgestellt werden,
wenn dies dem Antragszweck genügt.

Die technischen Vorgaben des Verfahrens zur Verknüpfung werden in Rechtsverordnun-
gen geregelt. Insbesondere wird eine anlassbezogene Forschungskennziffer geschaffen.
Eine einheitliche Forschungskennziffer ist nötig, damit Daten des Forschungsdatenzent-
rums Gesundheit und der klinischen Krebsregister der Länder nach § 65c SGB V auf Per-
sonenebene verknüpft werden können.



Zu Absatz 6

Die Regelung schafft die für die klinischen Krebsregister nach § 65c Fünftes Buch Sozial-
gesetzbuch. erforderliche Datenverarbeitungsbefugnis gemäß Artikel 6 Absatz 1 Buchstabe
c) in Verbindung mit Artikel 9 Absatz 2 Buchstabe j) der DSGVO zur Übermittlung von
Krebsregisterdaten mit dem Zweck der Verknüpfung mit Daten des Forschungsdatenzent-
rums Gesundheit.

- 55 -          Bearbeitungsstand: 22.08.2023 21:14

Zu Absatz 7

Die Regelung schafft die für das Forschungsdatenzentrum Gesundheit nach § 303d Sozi-
algesetzbuch Fünftes Buch erforderliche Datenverarbeitungsbefugnis gemäß Artikel 6 Ab-
satz 1 Buchstabe c) in Verbindung mit Artikel 9 Absatz 2 Buchstabe j) der DSGVO zur
Übermittlung von Daten des Forschungsdatenzentrums Gesundheit mit dem Zweck der
Verknüpfung mit Daten der klinischen Krebsregister der Länder nach § 65c SGB V.

Zu Absatz 8

Zur Verbesserung des Datenschutzes gelten die Vorgaben zum Datentransparenzverfah-
ren analog. Die Datenweitergabe an Dritte wird verboten, ebenso wie die Nutzung zu Zwe-
cken, die nicht durch die Genehmigung durch die Datenzugangs- und Koordinierungsstelle
für Gesundheitsdaten abgedeckt sind. Zudem wird geregelt, dass kein Bezug zu Personen,
Leistungserbringern oder Leistungsträgern hergestellt werden sollte. Im Fall des unbeab-
sichtigten Herstellens eines solchen Bezugs ist unverzüglich die Datenzugangs- und Koor-
dinierungsstelle für Gesundheitsdaten zu informieren, die diese Information an die daten-
haltenden Stellen zur Einleitung weiterer Maßnahmen übermittelt.

Zu Absatz 9

Es werden bestehende Strukturen bei den klinischen Krebsregistern der Länder nach § 65c
SGB V und dem Forschungsdatenzentrum Gesundheit, insbesondere vorhandene Vertrau-
ensstellen genutzt.

Das Verfahren der Verknüpfung wird so aufgebaut, dass es auf weitere Datenhalter ausge-
weitet werden kann, insofern diese auch Krankenversichertennummern halten. Eine Ver-
knüpfung der Daten ist vorerst in der Sicheren Verarbeitungsumgebung des Forschungs-
datenzentrums Gesundheit vorgesehen und kann auf weitere Sichere Verarbeitungsumge-
bungen ausgeweitet werden, soweit diese die in einer Rechtsverordnung zu definierenden
Kriterien nachweisen.

Zu § 5 (Datenschutzaufsicht bei länderübergreifenden
Gesundheitsforschungsvorhaben)

Die Regelung dient der im Koalitionsvertrag vorgesehenen „besseren Durchsetzung und
Kohärenz des Datenschutzes“.

Die Regelung des bisherigen § 287a SGBV, die im Rahmen des Gesetzes zum Schutz der
Bevölkerung bei einer epidemischen Lage von nationaler Tragweite im März 2020, einge-
führt wurden, werden in das neue Gesundheitsdatennutzungsgesetz überführt und erwei-
tert. Der § 287a SGB V wurden bislang oft zu eng ausgelegt und entsprechend selten an-
gewandt. So wurde vertreten, dieser gelte nur für Sozialdaten, ohne dass sich dies aus dem
Wortlaut bzw. der Begründung des Gesetzes ergeben hätte. Aufgrund dieser verengten
Auslegung konnte die beabsichtigte Beschleunigung der datenschutzrechtlichen Prüfung
bei länderübergreifenden Vorhaben der Versorgungs- und Gesundheitsforschung im Ge-
sundheitsbereich nicht erfolgen. Die Regelung wird daher in das Gesundheitsdatennut-
zungsgesetz überführt.

Zu Absatz 1

Der Anwendungsbereich der Regelung ist für Forschungsvorhaben aus dem Bereich der
Versorgungs- und Gesundheitsforschung, die personenbezogene Gesundheitsdatenverar-
beiten. Dieser Bereich ist insofern eng begrenzt, dass Forschungsvorhaben, die nicht aus
dem Bereich der Gesundheit oder Versorgung stammen, ausgeschlossen sind. Genauso
fallen unter diese Regelung keine Forschungsvorhaben, die mit statistischen oder aggre-
gierten Daten arbeiten.

- 56 -           Bearbeitungsstand: 22.08.2023 21:14

Das Verfahren ist nur für Forschungsvorhaben anwendbar, bei denen die beteiligten For-
schenden Stellen nicht gemeinsam Verantwortliche für die Datenverarbeitung sind. Gerade
bei Forschungsvorhaben von öffenlichen Institutionen, wie Universitätskliniken, ist dies häu-
fig der Fall, wenn die Datenverarbeitung zwischen den Partnern aufgeteilt wird.

Es handelt sich bei dieser Regelung um eine Option. Wenn diese Option von den forschen-
den Stellen in Anspruch genommen wird, muss diese angezeigt werden.

Zu Absatz 2

Die Federführung wird erst durch eine Anzeige der beteiligten Stellen eingeleitet. Es werden
objektive Kriterien festgelegt, wie die federführende Datenschutzaufsichtsbehörde zu be-
stimmen ist. So wird verhindert, dass die forschenden Stellen sich die Aufsichtsbehörde
selbst aussuchen können.

Zu Absatz 3

Die Aufgabe der federführenden Datenschutzaufsichtsbehörde besteht aus einer reinen
Koordinierung und Förderung der Zusammenarbeit, mit dem Ziel auf eine gemeinsame Ein-
schätzung hinzuwirken. Die federführende Datenschutzaufsichtsbehörde trifft keine Ent-
scheidung ohne die anderen beteiligten Behörden, kann diese nicht überstimmen oder ei-
nen Streit beilegen. Die aufsichtsrechtlichen Befugnisse aller Aufsichtsbehörden sind inso-
fern nicht eingeschränkt. Um in einer schnellen und effizienten Art und Weise zu einer ko-
härenten Entscheidung zu kommen, sollen sich die Behörden untereinander abstimmen,
wenn sie bezüglich des Forschungsvorhabens eine Entscheidung treffen.

Zu Absatz 4

Die Norm knüpft an die in Artikel 26 der Verordnung (EU) 2016/679 geregelten gemeinsam
Verantwortlichen an. In der Rechtsanwendungspraxis ist die gemeinsame Verantwortlich-
keit ein Rechtsinstitut mit großen praktischen Auswirkungen. Nach der Rechtsprechung des
Europäischen Gerichtshofs (siehe Urteile vom 5.6.2018 – C-210/16 „Facebook-Fanpages“,
10.7.2018 – C-25/17 „Zeugen Jehovas“, 29.7.2019 – C-40/17 „Fashion ID“) ist der Anwen-
dungsbereich der gemeinsamen Verantwortlichkeit sehr weit gefasst. Als Anwendungsfälle
gemeinsamer Verantwortlichkeit kommen zum Beispiel in Betracht: Datenplattformen, Un-
ternehmenspräsenz in sozialen Medien (wie Facebook, Twitter, Instagram, XING), Stamm-
datenverwaltung im Unternehmensverbund, konzernweites Customer-Relationship-Ma-
nagement oder Nutzung eigener Datenbestände für Werbezwecke Dritter.

Das Anknüpfungskriterium des Jahresumsatzes für nicht-öffentliche Institutionen ist im Da-
tenschutzrecht bereits im Zusammenhang mit der Verhängung von Geldbußen (Artikel 83
der Verordnung (EU) 2016/679) bekannt.

Es wird auch nicht-öffentlichen Stellen ohne Jahresumsatz, die Möglichkeit gegeben, ihre
gemeinsame Verantwortlichkeit anzuzeigen und als Rechtsfolge der Anzeige per Gesetz
die alleinige Zuständigkeit nur einer Aufsichtsbehörde herbeizuführen.

Das Anknüpfungskriterium der ständigen Beschäftigung von Personen, die personenbezo-
gene Daten verarbeiten, ist im Datenschutzrecht bereits im Zusammenhang mit der Benen-
nung von Datenschutzbeauftragten (§ 38) bekannt.

- 57 -          Bearbeitungsstand: 22.08.2023 21:14

Zu § 6 (Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, zur
Förderung der Patientensicherheit und zu Forschungszwecken)

Es ist die Pflicht und das Anliegender Angehörigen der Heilberufe, die Gesundheit, das
Wohlergehen und die Rechte der Patienten (bzw. im Falle der Arbeitsmedizin der Proban-
den) zu fördern und zu erhalten. In ihrem Einsatz für das Wohl ihrer Patienten sind die
Angehörigen dabei auf sichere, wirksame und genaue Mittel der Therapie, Diagnose, Be-
urteilung und Prävention zurückgreifen zudem. Zudem wird die Qualität und Effizienz maß-
geblich nicht bloß von der Kompetenz und der Einsatzbereitschaft der einzelnen Angehöri-
gen der Heilberufe bestimmt, sondern auch von den Arbeitsprozessen und –strukturen, in
denen sie gemeinsam wirken. Der Bericht des US-amerikanischen Institute of Medicine „To
Err is Human: Building a Safer Health System“ (dt. “Zu irren ist menschlich: Ein sichereres
Gesundheitssystem aufbauen“) aus dem Jahre 1999 und die darauf Bezug nehmende
Fachliteratur, die seitdem erschienen ist, veranschaulicht dies deutlich. Entsprechend muss
ein Gesundheitssystem den Angehörigen der Heilberufe nicht bloß ermöglichen, sich um
ihre Patienten nach bestem Wissen und Gewissen zu kümmern. Es muss ihnen, den An-
gehörigen der Heilberufe, auch ermöglichen ihr eigenes Handeln kritisch zu reflektieren, die
Wirksamkeit und Effizienz ihrer Maßnahmen und der Strukturen, in denen sie wirken, zu
analysieren und auf der Basis eigener Erfahrung forschend die Möglichkeiten der Therapie,
Prävention, Diagnostik und Beurteilung zu erweitern. Nur so kann erreicht werden, dass
Patienten eine am neuesten Stand der Wissenschaft ausgerichtete Versorgung zuteilwer-
den kann. Folglich ist es geboten, das Gesundheitssystem verstärkt zu einem lernenden
System zu wandeln. Ein lernendes Gesundheitssystem erkennt an, dass Maßnahmen zur
Qualitätssicherung, zur Förderung der Patientensicherheit und zur Forschung nicht lediglich
ein Überbau der heilberuflichen Berufsausübung sind, sondern essentieller Bestandteil ei-
ner humanen Versorgung sind. Folglich besteht ein großes öffentliches Interesse dafür, die
Lernfähigkeit des Gesundheitssystems zu fördern.

§ 6 des GDNG leistet einen Beitrag für diesen Wandel hin zu einem lernenden Gesund-
heitssystem. Er regelt, dass Datenverarbeitende Gesundheitseinrichtungen, d.h. solche in
denen den Angehörigen der Heilberufe zum Zwecke der Gesundheitsversorgung Informa-
tionen anvertraut werden, die dem Berufsgeheimnis unterliegen, die ihnen anvertrauten In-
formationen nicht bloß zum Zwecke der unmittelbaren Versorgung nutzen dürfen, sondern
auch um aus ihnen zu lernen. § 6 GDNG nutzt daher die dem Gesetzgeber in Artikel 6
Absatz 1 e) Verordnung (EU) 2016/679 gegebenen Gestaltungsspielraum, eine in der Ver-
ordnung (EU) 2016/679 vorgesehene Datenverarbeitungsgrundlage zu konkretisieren.

Es handelt sich dabei um eine mit den ursprünglichen Zwecken nach Artikel 9 Absatz 2
Buchstabe h der Verordnung (EU) 2016/679 erhobenen Daten kompatible Weiterverarbei-
tung zu den Zwecken nach Artikel 9 Absatz 2 Buchstaben i) und j) der Verordnung (EU)
2016/679.

§ 6 GDNG erkennt zudem an, dass Maßnahmen der Qualitätssicherung, zur Verbesserung
der Patientensicherheit und die Forschung nur in seltenen Einzelfällen die Arbeit von ein-
zelnen natürlichen Personen ist, sondern vielmehr ein Zusammenwirken mehrerer Perso-
nen und fachlicher Disziplinen erfordern kann (Teamwork). Entsprechend stellt § GDNG
nicht auf den einzelnen Angehörigen eines Heilberufs ab, sondern auf die Einrichtung, in
der sie oder er wirkt.

Der § 6 GNDG schafft sowohl eine Ausnahme vom Verbot nach Artikel 9 Absatz 1 der
Verordnung (EU) 2016/679 als auch eine Rechtsgrundlage für die Datenverarbeitung nach
Artikel 6 Absatz 3 b) der Verordnung (EU) 2016/679. Er schränkt bestehende Rechtsgrund-
lagen für die Datenverarbeitung von personenbezogenen Daten nicht ein. Sofern nicht an-
derweitig erlaubt durch eine gesetzliche Vorschrift oder die Einwilligung der betroffenen
Personen, bleiben Verarbeitungen von Gesundheitsdaten nach Artikel 9 Absatz 1 der Ver-
ordnung (EU) 2016/679 untersagt. Die Bestimmungen des § 203 des Strafgesetzbuches
bleiben unberührt.

- 58 -          Bearbeitungsstand: 22.08.2023 21:14

Zu Absatz 1

Satz 1 konkretisiert dabei, zu welchen Zwecken Daten weiterverarbeitet werden dürfen, um
im Sinne des lernenden Gesundheitssystems aus ihnen zu lernen, um in der Gegenwart
die Patientensicherheit gewährleisten zu können sowie den Aufgaben der Gesundheitsbe-
richterstattung nachzukommen, und um in der Zukunft die Versorgung zu verbessern.

Satz 1 stellt zudem klar, dass § 6 GDNG eine Rechtsgrundlage für die Weiterverarbeitung
nur solcher Daten schafft, die der Einrichtung zum Zwecke der Versorgung anvertraut wur-
den und ohnehin bereits vorliegen. Insbesondere berechtigt der § 6 GDNG also nicht dazu,
dass eine Datenverarbeitende Gesundheitseinrichtung nicht Daten, die nicht unmittelbar für
den Versorgungsanlass benötigt werden, zu einem Patienten (bzw. Probanden) erhebt oder
speichert (bspw. aus der elektronischen Patientenakte).

Die Sätze 2 bis 4 nennen angemessene und spezifische Maßnahmen zur Wahrung der
Grundrechte und Interessen der betroffenen Personen, wie es Artikel 6 Absatz 3, Artikel 9
Absatz 2 j) und Artikel 89 Absatz 1 der Verordnung (EU) 2016/679 vorsehen.

In Satz 5 wird klargestellt, dass die spezialgesetzlichen Regelungen des Transplantations-
gesetzes (TPG) unberührt bleiben. Nach § 14 Absatz 2 Satz 3 TPG gilt für das TPG der
enge Zweckbindungsgrundsatz. Die im Rahmen des TPG erhobenen personenbezogenen
Daten dürfen für andere als in diesem Gesetz genannte Zwecke nicht verarbeitet werden.
§ 14 Absatz 2a TPG enthält daher eine spezialgesetzliche Forschungsklausel, der die Ver-
arbeitung personenbezogene Daten, die im Rahmen der Organ- und Spendercharakterisie-
rung oder der Übertragung beim Organ- oder Gewebeempfänger erhoben worden sind, für
wissenschaftliche Forschungsvorhaben regelt.

Zu Absatz 2

Die Leistungserbringer haben als Verantwortliche für die Datenverarbeitung sicherzustel-
len, dass die Rechte der betroffenen Personen respektiert und die Risiken minimiert wer-
den. Um diese zu gewährleisten werden sie per Gesetz verpflichtet, die Ergebnisse zu ano-
nymisieren, sobald dies nach dem medizinischen Forschungszweck möglich ist oder be-
rechtigte Interessen der betroffenen Person dies erfordern. Dies könnte zum Beispiel im
Fall eines erhöhten Re-Identifizierungsrisikos bei besonders seltenen Erkrankungen der
Fall sein. Sollte der Forschungszweck nicht mit anonymisierten Daten erzielt werden kön-
nen, dürfen pseudonymisierte Daten verarbeitet werden. Hierfür sind die entsprechenden
identifizierenden Merkmale getrennt von den medizinischen Daten aufzubewahren. Im Üb-
rigen sind die Vorgaben aus der Verordnung (EU) 2016/679 nicht eingeschränkt. Soweit
nach Artikel 35 der Verordnung (EU) 2016/679 erforderlich, ist eine Datenschutzfolgeab-
schätzung zu erstellen.

Zu Absatz 3

Eine Weitergabe von personenbezogenen Daten ist zur Wahrung der Rechte der betroffe-
nen Personen untersagt. Die Verarbeitungsbefugnis ist bewusst auf die Verarbeitung der
selbst erhobenen und im Rahmen der Leistungserbringung verarbeiteten Gesundheitsda-
ten beschränkt, um ein mögliches Abfließen an Dritte zu vermeiden. Die Verarbeitung bleibt
daher in der Verantwortung des Leistungserbringers, der die betroffene Person aus dem
Versorgungskontext kennt und sich auch auf das Arzt-Patienten-Verhältnis berufen kann.
Zur Weitergabe an Dritte wäre eine ausdrückliche Einwilligung oder sonstige Rechtsgrund-
lage nach Artikel 6 Absatz 1 in Verbindung mit Artikel 9 Absatz 2 der Verordnung (EU)
2016/679 erforderlich.

Anonyme Daten sind nicht schutzbedürftig und unterliegen nicht der Verordnung (EU)
2016/679. Nicht unumstritten ist jedoch, ob die Verarbeitung von personenbezogenen Da-

- 59 -          Bearbeitungsstand: 22.08.2023 21:14

ten zu anonymen Daten (Anonymisierung) eine Datenverarbeitung ist, die eine Rechts-
grundlage erfordert. Satz 2 stellt klar, dass die Anonymisierung von Daten ohne Einwilligung
der betroffenen Personen erfolgen kann, sofern die personenbezogenen Daten rechtmäßig
gehalten werden. Dadurch wird es Forschungsverbünden ermöglicht, Daten von mehreren
Datenverarbeitende Gesundheitseinrichtungen auszuwerten, ohne dass für die betroffenen
Personen ein weiteres Risiko entsteht.

Zu Absatz 4

In Absatz 4 werden den Datenverarbeitenden Gesundheitseinrichtung, die Daten nach § 6
verarbeiten, Informationspflichten vorgeschrieben. Die Anforderung an die Ausgestaltung
dieser Informationen dienen der Barrierefreiheit.

§ 6 GDNG basiert auf Artikel 6 Absatz 1 e) in Verbindung mit Absatz 3 b) der Verordnung
(EU) 2016/679. Er schafft damit eine Rechtsgrundlage dafür, sehr sensible Daten ohne die
Einwilligung der betroffenen Personen weiterzuverarbeiten, und ohne den betroffenen Per-
sonen eine Möglichkeit zum Widerspruch zu geben. Zudem erfolgt die Verarbeitung zu ei-
nem anderen Zweck als die Daten ursprünglich erhoben wurden. Um eine Kontrollmöglich-
keit zu schaffen, dass die Datenverarbeitungen nach Absatz 1 nur im öffentlichen Interesse
erfolgen und dafür auch erforderlich und geeignet sind, werden den Datenverarbeitenden
Gesundheitseinrichtungen Informationspflichten auferlegt in Anlehnung an die Grundsätze
und Pflichten, die in Artikel 12,13 und 15 der Verordnung (EU) 2016/679 festgehalten wer-
den. Auch § 7 GDNG ist als Maßnahme zu verstehen, Transparenz über die Datenverar-
beitung nach Absatz 1 zu schaffen.

Abweichend von Artikeln 12 und 13 obliegt es der Datenverarbeitenden Gesundheitsein-
richtung jedoch nicht bloß den betroffenen Personenkreis zu informieren, wobei Satz 3 die-
sem Personenkreis besondere Rechte zuspricht. Die Informationspflicht besteht auch ge-
genüber der Öffentlichkeit. Der betroffene Personenkreis wird in vielen Fällen aus beson-
ders vulnerablen Personengruppen bestehen oder Personen, die zum Zeitpunkt der Daten-
erhebung in besonderem Maße vulnerabel und hilfsbedürftig sind. Entsprechend würde die
Kontrollmöglichkeit nicht ausreichend gewährleistet sein, wenn nur dieser Personenkreis
informiert werden würde. § 6 GDNG erkennt an, dass für die Zwecke nach Absatz 1 die
Verarbeitung von personenbezogenen Daten von mehr Personen erforderlich ist, als ab-
sehbar informiert werden könnten. Beispielsweise wäre der Erfüllungsaufwand dafür, Per-
sonen zu informieren, deren Daten vor in Kraft treten dieses Gesetzes von der Datenverar-
beitenden Gesundheitseinrichtung zu Zwecken gemäß Artikel 9 Absatz 2 h) der Verordnung
(EU) 2016/679 erhoben wurden, unverhältnismäßig hoch und würde die Verwirklichung der
Zwecke unmöglich machen. Die Daten dieses Personenkreises ermöglichen jedoch ver-
gleichende Analysen, die unablässig sind, um die Sicherheit oder Wirksamkeit beispiels-
weise von neuen klinischen Arbeitsprozessen beurteilen zu können.

Datenverarbeitungen zum Zwecke der Qualitätssicherung und der Verbesserung der Pati-
entensicherheit (Absatz 1 Satz 1 Nr. 1) sind von diesem Erfordernis ausgenommen, damit
den Datenverarbeitenden Einrichtungen kein Erfüllungsaufwand für Maßnahmen entste-
hen, deren Unterlassen oder deren Verzögerung eine Gefährdung für den betroffenen Per-
sonenkreis (beispielsweise Patienten eines Krankenhauses) darstellen könnte.



Zu § 7 (Geheimhaltungspflichten)

§ 7 regelt bewehrende Pflichten als konkrete Handlungsgebote oder konkrete Handlungs-
verbote, auf die § 9 (Strafvorschriften) Bezug nimmt.

Zu Absatz 1