- 61 -           Bearbeitungsstand: 25.08.2023 20:53

Das Anknüpfungskriterium des Jahresumsatzes für nicht-öffentliche Institutionen ist im Da-
tenschutzrecht bereits im Zusammenhang mit der Verhängung von Geldbußen (Artikel 83
der Verordnung (EU) 2016/679) bekannt.

Es wird auch nicht-öffentlichen Stellen ohne Jahresumsatz, die Möglichkeit gegeben, ihre
gemeinsame Verantwortlichkeit anzuzeigen und als Rechtsfolge der Anzeige per Gesetz
die alleinige Zuständigkeit nur einer Aufsichtsbehörde herbeizuführen.

Das Anknüpfungskriterium der ständigen Beschäftigung von Personen, die personenbezo-
gene Daten verarbeiten, ist im Datenschutzrecht bereits im Zusammenhang mit der Benen-
nung von Datenschutzbeauftragten (§ 38 Bundesdatenschutzgesetz) bekannt.

Zu § 6 (Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, zur
Förderung der Patientensicherheit und zu Forschungszwecken)

Die Regelung dient der Ermöglichung einer bundesweiten Verarbeitungsbefugnis von Ver-
sorgungsdaten zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu For-
schungszwecken für datenverarbeitende Gesundheitseinrichtungen nach § 2 Nummer 7.
Es ist die Pflicht und das Anliegen der Angehörigen der Heilberufe, die Gesundheit, das
Wohlergehen und die Rechte der Patienten (bzw. im Falle der Arbeitsmedizin der Proban-
den) zu fördern und zu erhalten. In ihrem Einsatz für das Wohl ihrer Patienten sind die
Angehörigen der Heilberufe dabei auf sichere, wirksame und genaue Mittel der Therapie,
Diagnose, Beurteilung und Prävention angewiesen. Zudem werden die Qualität und Effizi-
enz maßgeblich nicht bloß von der Kompetenz und der Einsatzbereitschaft der einzelnen
Angehörigen der Heilberufe bestimmt, sondern auch von den Arbeitsprozessen und -struk-
turen, in denen sie gemeinsam wirken. Der Bericht des US-amerikanischen Institute of Med-
icine „To Err is Human: Building a Safer Health System“ (dt. “Zu irren ist menschlich: Ein
sichereres Gesundheitssystem aufbauen“) aus dem Jahre 1999 und die darauf Bezug neh-
mende Fachliteratur, die seitdem erschienen ist, veranschaulicht dies deutlich. Entspre-
chend muss ein Gesundheitssystem den Angehörigen der Heilberufe nicht bloß ermögli-
chen, sich um ihre Patienten nach bestem Wissen und Gewissen zu kümmern. Es muss
ihnen, den Angehörigen der Heilberufe, auch ermöglichen ihr eigenes Handeln kritisch zu
reflektieren, die Wirksamkeit und Effizienz ihrer Maßnahmen und der Strukturen, in denen
sie wirken, zu analysieren und auf der Basis eigener Erfahrung forschend die Möglichkeiten
der Therapie, Prävention, Diagnostik und Beurteilung zu erweitern. Nur so kann erreicht
werden, dass Patienten eine am neuesten Stand der Wissenschaft ausgerichtete Versor-
gung zuteilwerden kann. Folglich ist es geboten, das Gesundheitssystem verstärkt zu ei-
nem lernenden System zu wandeln. Ein lernendes Gesundheitssystem erkennt an, dass
Maßnahmen zur Qualitätssicherung, zur Förderung der Patientensicherheit und zur For-
schung nicht lediglich ein Überbau der heilberuflichen Berufsausübung sind, sondern es-
sentieller Bestandteil einer humanen Versorgung sind. Folglich besteht ein großes öffentli-
ches Interesse dafür, die Lernfähigkeit des Gesundheitssystems zu fördern.

§ 6 des leistet einen Beitrag für diesen Wandel hin zu einem lernenden Gesundheitssystem.
Er regelt, dass Datenverarbeitende Gesundheitseinrichtungen, d.h. solche in denen den
Angehörigen der Heilberufe zum Zwecke der Gesundheitsversorgung Informationen anver-
traut werden, die dem Berufsgeheimnis unterliegen, die ihnen anvertrauten Informationen
nicht bloß zum Zwecke der unmittelbaren Versorgung nutzen dürfen, sondern auch um aus
ihnen zu lernen. § 6 gestattet dabei nicht die Verarbeitung von Sozialdaten (§ 67 Absatz 2
Zehntes Buch Sozialgesetzbuch). Diese Vorschrift nutzt die dem Gesetzgeber in Artikel 6
Absatz 1 e) Verordnung (EU) 2016/679 gegebenen Gestaltungsspielraum, eine in der Ver-
ordnung (EU) 2016/679 vorgesehene Datenverarbeitungsgrundlage zu konkretisieren.

Es handelt sich dabei um eine mit den ursprünglichen Zwecken nach Artikel 9 Absatz 2
Buchstabe h der Verordnung (EU) 2016/679 erhobenen Daten kompatible Weiterverarbei-
tung zu den Zwecken nach Artikel 9 Absatz 2 Buchstaben i) und j) der Verordnung (EU)
2016/679.

- 62 -           Bearbeitungsstand: 25.08.2023 20:53

§ 6 erkennt zudem an, dass Maßnahmen der Qualitätssicherung, zur Verbesserung der
Patientensicherheit und die Forschung nur in seltenen Einzelfällen die Arbeit von einzelnen
natürlichen Personen ist, sondern vielmehr ein Zusammenwirken mehrerer Personen und
fachlicher Disziplinen erfordern kann (Teamwork). Entsprechend stellt § 6 nicht auf den
einzelnen Angehörigen eines Heilberufs ab, sondern auf die Einrichtung, in der sie oder er
wirkt. Den Kranken- und Pflegekassen und vergleichbaren Leistungsträgern, insoweit sie
nicht ausnahmsweise selbst wie ein Leistungserbringer nach dem Fünften Sozialgesetz-
buch agieren, schafft der § 6 keine Datenverarbeitungsgrundlage.

Der § 6 schafft sowohl eine Ausnahme vom Verbot nach Artikel 9 Absatz 1 der Verordnung
(EU) 2016/679 als auch eine Rechtsgrundlage für die Datenverarbeitung nach Artikel 6 Ab-
satz 3 b) der Verordnung (EU) 2016/679. Er schränkt bestehende Rechtsgrundlagen für die
Datenverarbeitung von personenbezogenen Daten nicht ein. Sofern nicht anderweitig er-
laubt durch eine gesetzliche Vorschrift oder die Einwilligung der betroffenen Personen, blei-
ben Verarbeitungen von Gesundheitsdaten nach Artikel 9 Absatz 1 der Verordnung (EU)
2016/679 untersagt. Die Bestimmungen des § 203 des Strafgesetzbuches bleiben unbe-
rührt.

Zu Absatz 1

Satz 1 konkretisiert dabei, zu welchen Zwecken Daten weiterverarbeitet werden dürfen, um
im Sinne des lernenden Gesundheitssystems aus ihnen zu lernen, um in der Gegenwart
die Patientensicherheit gewährleisten zu können sowie den Aufgaben der Gesundheitsbe-
richterstattung nachzukommen, und um in der Zukunft die Versorgung zu verbessern. . Die
Weiterverarbeitung zu statistischen Zwecken knüpft an die Privilegierung der Statistik in der
Verordnung (EU) 2016/679 an. Sie gilt damit auch nur für Statistiken im Sinne der Verord-
nung (EU) 2016/679. Nach Erwägungsgrund 162 der Verordnung (EU) 2016/679 ist unter
dem Begriff „statistische Zwecke“ jeder für die Durchführung statistischer Untersuchungen
und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verar-
beitung personenbezogener Daten zu verstehen. Diese statistischen Ergebnisse können
für verschiedene Zwecke, so auch für wissenschaftliche Forschungszwecke, weiterverwen-
det werden. Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass
die Ergebnisse der Verarbeitung zu statistischen Zwecken keine personenbezogenen Da-
ten, sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten
nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen ver-
wendet werden.

Satz 1 stellt zudem klar, dass § 6 eine Rechtsgrundlage für die Weiterverarbeitung nur sol-
cher Daten schafft, die der Einrichtung zum Zwecke der Versorgung anvertraut wurden und
ohnehin bereits vorliegen. Insbesondere berechtigt der § 6 also nicht dazu, dass eine Da-
tenverarbeitende Gesundheitseinrichtung Daten, die nicht unmittelbar für den Versorgungs-
anlass benötigt werden, zu einem Patienten (bzw. Probanden) erhebt oder speichert (bspw.
aus der elektronischen Patientenakte).

Die Sätze 2 bis 5 nennen angemessene und spezifische Maßnahmen zum Schutz der
Rechte und Interessen der betroffenen Personen, wie es Artikel 6 Absatz 3, Artikel 9 Absatz
2 j) und Artikel 89 Absatz 1 der Verordnung (EU) 2016/679 vorsehen.

In Satz 6 wird klargestellt, dass die spezialgesetzlichen Regelungen des Transplantations-
gesetzes (TPG) unberührt bleiben. Nach § 14 Absatz 2 Satz 3 TPG gilt für das TPG der
enge Zweckbindungsgrundsatz. Die im Rahmen des TPG erhobenen personenbezogenen
Daten dürfen für andere als in diesem Gesetz genannte Zwecke nicht verarbeitet werden.
§ 14 Absatz 2a TPG enthält daher eine spezialgesetzliche Forschungsklausel, der die Ver-
arbeitung personenbezogene Daten, die im Rahmen der Organ- und Spendercharakterisie-
rung oder der Übertragung beim Organ- oder Gewebeempfänger erhoben worden sind, für
wissenschaftliche Forschungsvorhaben regelt.

- 63 -          Bearbeitungsstand: 25.08.2023 20:53

Zu Absatz 2

Die Leistungserbringer haben als Verantwortliche für die Datenverarbeitung sicherzustel-
len, dass die Rechte der betroffenen Personen respektiert und die Risiken minimiert wer-
den. Um diese zu gewährleisten werden sie per Gesetz verpflichtet, die Ergebnisse zu ano-
nymisieren, sobald dies nach dem medizinischen Forschungszweck möglich ist oder be-
rechtigte Interessen der betroffenen Person dies erfordern. Dies könnte zum Beispiel im
Fall eines erhöhten Re-Identifizierungsrisikos bei besonders seltenen Erkrankungen der
Fall sein. Sollte der Forschungszweck nicht mit anonymisierten Daten erzielt werden kön-
nen, dürfen pseudonymisierte Daten verarbeitet werden. Hierfür sind die entsprechenden
identifizierenden Merkmale getrennt von den medizinischen Daten aufzubewahren. Im Üb-
rigen sind die Vorgaben aus der Verordnung (EU) 2016/679 nicht eingeschränkt. Soweit
nach Artikel 35 der Verordnung (EU) 2016/679 erforderlich, ist eine Datenschutzfolgeab-
schätzung zu erstellen.

Zu Absatz 3

Eine Weitergabe von personenbezogenen Daten ist zur Wahrung der Rechte der betroffe-
nen Personen untersagt. Die Verarbeitungsbefugnis ist bewusst auf die Verarbeitung der
selbst erhobenen und im Rahmen der Leistungserbringung verarbeiteten Gesundheitsda-
ten beschränkt, um ein mögliches Abfließen an Dritte zu vermeiden. Die Verarbeitung bleibt
daher in der Verantwortung der datenverarbeitenden Gesundheitseinrichtung bzw. des da-
tenschutzrechtlich verantwortlichen Angehörigen eines Heilberufes, den die betroffene Per-
son aus dem Versorgungskontext kennt und sich auch auf das Arzt-Patienten-Verhältnis
berufen kann. Zur Weitergabe an Dritte wäre eine ausdrückliche Einwilligung oder sonstige
Rechtsgrundlage nach Artikel 6 Absatz 1 in Verbindung mit Artikel 9 Absatz 2 der Verord-
nung (EU) 2016/679 erforderlich.

Anonyme Daten sind nicht schutzbedürftig und unterliegen nicht der Verordnung (EU)
2016/679. Nicht unumstritten ist jedoch, ob die Verarbeitung von personenbezogenen Da-
ten zu anonymen Daten (Anonymisierung) eine Datenverarbeitung ist, die eine Rechts-
grundlage erfordert. Satz 2 stellt klar, dass die Anonymisierung von Daten ohne Einwilligung
der betroffenen Personen erfolgen kann, sofern die personenbezogenen Daten rechtmäßig
gehalten werden. Dadurch wird es Forschungsverbünden ermöglicht, Daten von mehreren
datenverarbeitenden Gesundheitseinrichtungen auszuwerten, ohne dass für die betroffe-
nen Personen ein weiteres Risiko entsteht.

Zu Absatz 4

In Absatz 4 werden den Datenverarbeitenden Gesundheitseinrichtungen, die Daten nach §
6 verarbeiten, Informationspflichten vorgeschrieben. Die Anforderung an die Ausgestaltung
dieser Informationen dienen der Barrierefreiheit. Leicht zugänglich bedeutet daher in die-
sem Zusammenhang insbesondere, dass die Informationen auch für Menschen mit Behin-
derungen auffindbar und wahrnehmbar sein sollen.

§ 6 basiert auf Artikel 6 Absatz 1 e) in Verbindung mit Absatz 3 b) und Artikel 9 Absatz 2
der Verordnung (EU) 2016/679. Er schafft damit eine Rechtsgrundlage dafür, sensible Da-
ten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ohne die Einwilligung der be-
troffenen Personen weiterzuverarbeiten, und ohne den betroffenen Personen eine Möglich-
keit zum Widerspruch zu geben. Zudem erfolgt die Verarbeitung zu einem anderen Zweck
als die Daten ursprünglich erhoben wurden. Um eine Kontrollmöglichkeit zu schaffen, dass
die Datenverarbeitungen nach Absatz 1 nur im öffentlichen Interesse erfolgen und dafür
auch erforderlich und geeignet sind, werden den Datenverarbeitenden Gesundheitseinrich-
tungen Informationspflichten auferlegt in Anlehnung an die Grundsätze und Pflichten, die in
Artikel 12,13 und 15 der Verordnung (EU) 2016/679 festgehalten werden. Auch § 8 ist als
Maßnahme zu verstehen, Transparenz über die Datenverarbeitung nach Absatz 1 zu schaf-
fen.

- 64 -           Bearbeitungsstand: 25.08.2023 20:53

Abweichend von Artikel 12 und 13 der Verordnung (EU) 2016/679 obliegt es der Datenver-
arbeitenden Gesundheitseinrichtung jedoch nicht bloß den betroffenen Personenkreis zu
informieren, wobei Satz 3 diesem Personenkreis besondere Rechte zuspricht. Die Informa-
tionspflicht besteht auch gegenüber der Öffentlichkeit. Der betroffene Personenkreis wird
in vielen Fällen aus besonders vulnerablen Personengruppen bestehen oder Personen, die
zum Zeitpunkt der Datenerhebung in besonderem Maße vulnerabel und hilfsbedürftig sind.
Entsprechend würde die Kontrollmöglichkeit nicht ausreichend gewährleistet sein, wenn nur
dieser Personenkreis informiert werden würde. § 6erkennt an, dass für die Zwecke nach
Absatz 1 die Verarbeitung von personenbezogenen Daten von mehr Personen erforderlich
ist, als absehbar informiert werden könnten. Beispielsweise wäre der Erfüllungsaufwand
dafür, Personen zu informieren, deren Daten vor in Kraft treten dieses Gesetzes von der
Datenverarbeitenden Gesundheitseinrichtung zu Zwecken gemäß Artikel 9 Absatz 2 h) der
Verordnung (EU) 2016/679 erhoben wurden, unverhältnismäßig hoch und würde die Ver-
wirklichung der Zwecke unmöglich machen. Die Daten dieses Personenkreises ermögli-
chen jedoch vergleichende Analysen, die unablässig sind, um die Sicherheit oder Wirksam-
keit beispielsweise von neuen klinischen Arbeitsprozessen beurteilen zu können.

Datenverarbeitungen zum Zwecke der Qualitätssicherung und der Verbesserung der Pati-
entensicherheit (Absatz 1 Satz 1 Nr. 1) sind von diesem Erfordernis ausgenommen, damit
den Datenverarbeitenden Einrichtungen kein Erfüllungsaufwand für Maßnahmen entste-
hen, deren Unterlassen oder deren Verzögerung eine Gefährdung für den betroffenen Per-
sonenkreis (beispielsweise Patienten eines Krankenhauses) darstellen könnte.

Zu § 7 (Geheimhaltungspflichten)

§ 7 regelt bewehrende Pflichten als konkrete Handlungsgebote oder konkrete Handlungs-
verbote, auf die § 9 (Strafvorschriften) Bezug nimmt.

Zu Absatz 1

Absatz 1 Nummer 1 legt den Datennutzenden die Pflicht auf, die Daten nur für die Zwecke
zu nutzen, für die sie ihnen anvertraut oder sonst bekanntgemacht worden sind. Damit soll
ein Missbrauch der Daten zu anderen Zwecken ausgeschlossen werden.

Nach Absatz 1 Nummer 2 besteht das Handlungsverbot, die Daten an Dritte weiterzugeben.
Eingeschränkt wird dieses Verbot durch den Verweis auf Absatz 4.

Satz 2 stellt klar, dass diese Pflicht auch für Daten bereits verstorbener Personen gilt.

Zu Absatz 2

Das Handlungsverbot des Absatzes 2 soll verhindern, dass Daten so verarbeitet werden,
dass ein Personenbezug hergestellt wird oder Leistungserbringer bzw. Leistungsträger
identifiziert werden könnten.

Satz 2 stellt klar, dass diese Pflicht auch für Daten bereits verstorbener Personen gilt.

Zu Absatz 3

Für Forschungsvorhaben müssen Gesundheitsdaten für Forschungsvorhaben auch berufs-
mäßig tätigen Gehilfen, zum Beispiel aus medizinischen und wissenschaftlichen Assistenz-
berufen, oder bei ihnen zur Vorbereitung auf den Beruf tätigen Personen verfügbar gemacht
werden müssen, soweit das für die Inanspruchnahme der Tätigkeit der mitwirkenden Per-
sonen erforderlich ist. Ein Anvertrauen dieser Daten gegenüber beruflich oder dienstlich
tätigen Gehilfen im Rahmen laufender unter Aufsicht durchgeführter Forschungsvorhaben
stellt daher kein Offenbaren im Sinne dieser Regelung dar.

- 65 -           Bearbeitungsstand: 25.08.2023 20:53

Zu Absatz 4

Zu § 8 (Registrierungspflicht; Publikationspflicht von Forschungsergebnissen bei
Verarbeitung von Gesundheitsdaten im öffentlichen Interesse)

§ 8 sieht vor, dass die Ergebnisse von Forschungsprojekten, die auf Grundlage gesetzlicher
Verarbeitungsvorschriften ohne Einwilligung betroffener Personen gemäß dieses Gesetzes
zu Forschungszwecken berechtigt verarbeitet werden, binnen 24 Monaten nach Abschluss
des Forschungsvorhabens zu veröffentlichen sind. Dies erhöht die Transparenz über For-
schungsvorhaben und ist datensparsam, da auf bereits erfolgten Abfragen aufgebaut wer-
den kann.

Diese offenen Forschungsergebnisse können sodann insbesondere von Forschenden wei-
tergenutzt werden. Auch die verschiedenen staatlichen Ebenen als Nutzende der Daten
profitieren von diesem System. Dies schafft sowohl Wissen im Allgemeininteresse als auch
Schutz für die betroffenen Personen.

Artikel 12 bis 14 der Verordnung (EU) 2016/679 sehen die transparente Information, Kom-
munikation und Modalitäten für die Ausübung der Rechte der Betroffenen vor, wobei die
Informationspflichten gemäß Artikel 89 Absatz 2 der Verordnung 2016/679 beschränkt wer-
den können, insbesondere, wenn diese voraussichtlich die Verwirklichung der spezifischen
Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die
Erfüllung dieser Zwecke notwendig sind. Da im Falle der wissenschaftlichen Forschung z.B.
nach § 6 eine umfassende Information der Betroffenen nicht im Einzelfall möglich ist, wird
in § 8 eine Publikationspflicht für die auf Grundlage der Verarbeitung von Gesundheitsdaten
zu wissenschaftlichen Forschungszwecken eingeführt. In beiden Fällen liegt die Veröffent-
lichung der Ergebnisse im erheblichen öffentlichen Interesse und erfolgt in anonymisierter
und allgemeinverständlicher Form. Datenschutzrechtliche Vorgaben sind im Rahmen der
Veröffentlichung einzuhalten. Damit mögliche Rückschlüsse auf einzelne Personen ausge-
schlossen werden, erfolgt die Publikation in anonymisierter Form.

Ziel der Veröffentlichung sind hier insbesondere die Bekanntmachung, Qualitätsprüfung
und Dokumentation wissenschaftlicher Erkenntnisse sowie die Zuschreibung von Urheber-
schaft und Reputation. Zur Wahrung der Wissenschaftsfreiheit, obliegt die freie Wahl von
Publikationsform und -ort, die Sicherung der Verwertungs- bzw. Nutzungsrechte durch die
Publizierenden den Verantwortlichen. Lediglich solche Formen von Veröffentlichungen ge-
nügen den Anforderungen nach § 8 nicht, die den Zugang auf die Ergebnisse für die Öf-
fentlichkeit beschränken, beispielsweise durch Bezahlschranken (engl.: „pay walls“) oder
das Erfordernis einer Mitgliedschaft (Closed Access). Ebenso wie eine Publikation in einem
wissenschaftlichen Fachjournal genügt daher auch die niedrigschwellige und dauerhafte
Veröffentlichung der Forschungsergebnisse über eigene digitalen Medien (bspw. einer
Webseite) des Verantwortlichen oder Datenbanken für Vorabdrucke von Forschungsberich-
ten (engl. „preprint repositories“).

Satz 1 regelt zudem, dass bereits vor der Datenverarbeitung (z.B. nach § 6 Absatz 1 Num-
mer 2) ein Forschungsvorhaben grundsätzlich zu registrieren ist. Über die Anforderungen
des § 6 Absatz 4 und Maßnahmen nach § 3 Absatz 2 Nummer 6 und 7 hinaus, wird damit
gewährleistet, dass der Öffentlichkeit Datenverarbeitungen nach diesem Gesetz transpa-
rent gemacht werden. Zudem ist es nur mit voriger Registrierung möglich, die Erfüllung der
Publikationspflicht nach Satz 3 zu überprüfen. Die Vorab-Registrierung von wissenschaftli-
chen Forschungsvorhaben ist eine anerkannte Maßnahme zur Qualitätssicherung. In der
Vergangenheit bezog sie sich oftmals lediglich auf klinische Studien, im Sinne von interven-
tionellen Studien mit unmittelbarer Auswirkung auf die klinische Versorgung von Patienten.
Das von der Weltgesundheitsregion für deutsche Forschungsvorhaben anerkannte Primär-
register, das Deutsche Register Klinischer Studien, erlaubt jedoch auch die Registrierung
anderer Forschungsvorhaben, beispielsweise Beobachtungs- und Prognosestudien, wie

- 66 -           Bearbeitungsstand: 25.08.2023 20:53

sie voraussichtlich die Mehrzahl der Forschungsvorhaben, die nach diesem Gesetz Daten
verarbeiten, sein werden.

Satz 4 regelt Ausnahmen von Satz 1 und 3. Ein Forschungsvorhaben muss dann nicht
registriert werden beziehungsweise seine Ergebnisse nicht oder erst zu einem späteren
Zeitpunkt veröffentlicht werden, wenn eine Behörde feststellt, dass dies im öffentlichen In-
teresse ist.

Zu § 9 (Strafvorschriften)

Zu Absatz 1

Die Regelung konkretisiert den strafrechtlichen Schutz besonders sensibler und entspre-
chend besonders schützenswerter personenbezogener Gesundheitsdaten im Kontext der
wissenschaftlichen Forschung und vergleichbarer Anwendungsfälle. Vor dem Hintergrund
des großen Schadenspotentials durch die Tatbegehung für die hier zu schützenden Rechts-
güter orientiert sich der Strafrahmen von bis zu einem Jahr Freiheitsstrafe oder Geldstrafe
am Strafrahmen der Berufsgeheimnisträger nach § 203 Strafgesetzbuch.

Nummer 1

§ 9 Absatz 1 Nummer 1 nimmt Bezug auf § 7 Absatz 1. Damit wird die Datennutzung ent-
sprechend eingeschränkt und Zuwiderhandlung unter Strafe gestellt.

Für Forschungsvorhaben müssen Gesundheitsdaten auch berufsmäßig tätigen Gehilfen,
zum Beispiel aus medizinischen und wissenschaftlichen Assistenzberufen, oder bei ihnen
zur Vorbereitung auf den Beruf tätigen Personen verfügbar gemacht werden, soweit das für
die Inanspruchnahme der Tätigkeit der mitwirkenden Personen erforderlich ist. Ein An-ver-
trauen dieser Daten gegenüber beruflich oder dienstlich tätigen Gehilfen im Rahmen lau-
fender unter Aufsicht durchgeführter Forschungsvorhaben stellt daher aufgrund der Rege-
lung in § 7 Abs. 1 Nummer 2 i.V.m. Absatz 3 kein Offenbaren im Sinne dieser Regelung
dar.

§ 9 kann in seinem Anwendungsbereich über Artikel 83 und 84 Verordnung (EU) 2016/679
hinausgehen. Aus den Erwägungsgründen 149-150 zur Verordnung (EU) 2016/679 geht
hervor, dass die Mitgliedstaaten strafrechtliche Sanktionen vorsehen können. Im Hinblick
auf Geldbußen legt die Verordnung (EU) 2016/679 das Mindestmaß fest, vgl. Art. 83 Ver-
ordnung (EU) 2016/679.

Nummer 2

Die Re-Identifizierung von Personen aus pseudonymisierten Datensätzen wird als Unter-
nehmensdelikt ausgestaltet und unter Strafe gestellt. Der Strafgrund liegt hierbei in dem
Versuch der vorsätzlichen Umgehung einer Datenpseudonymisierung als wesentlichem
Schutzmechanismus des Rechtes auf informationelle Selbstbestimmung bei den beson-
ders sensiblen personenbezogenen Gesundheitsdaten beziehungsweise den weiteren in
Satz 3 genannten, ebenfalls schützenswerten Rechtsgütern. Gleiches gilt für die bewusste
Ver-schaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse. Letztere
gel-ten insbesondere bei Forschungsvorhaben mit Industriebeteiligung, zum Beispiel bei
der Entwicklung neuer Impfstoffe, Arzneimittel oder Medizinprodukte.

Zu Absatz 2

Ein Eingriff in die geschützten Rechtsgüter bei Vorliegen der in Absatz 2
genannten Absichten oder gegen Entgelt ist im besonderen Maße verwerflich und

- 67 -           Bearbeitungsstand: 25.08.2023 20:53

wird wegen der hohen Sensibilität der Daten entsprechend stärker sanktioniert.Zu
Absatz 3

Bei § 9 handelt es sich um ein Antragsdelikt, weshalb ein Strafantrag gemäß §§ 77-77d des
Strafgesetzbuches erforderlich ist.

Zu Artikel 2 (Änderung des Gesetzes über Nachfolgeeinrichtungen des
Bundesgesundheitsamtes)

Zu Nummer 1

Es handelt sich um eine redaktionelle Folgeänderung.

Zu Nummer 2

Diese Regelung stellt einen Gleichlauf der sich aus dem § 3 des Gesundheitsdatennut-
zungsgesetzes ergebenden Aufgabenzuwächsen für das Bundesinstitut für Arzneimittel
und Medizinprodukte mit den ihm grundsätzlich zugeordneten Aufgabenbereichen gemäß
§ 1 Absatz 3 des BGA-Nachfolgegesetzes sicher.

Zu Artikel 3 (Änderung des Fünften Buches Sozialgesetzbuch)

Zu Nummer 1 (§ 25a)

Mit den Ergänzungen soll entsprechenden Forderungen des Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit (BfDI) Rechnung getragen werden. Mit der Ergän-
zung in Absatz 4 Satz 1 wird klargestellt, dass die Befugnis der vom Gemeinsamen Bun-
desausschuss (G-BA) bestimmten Stellen zur Verarbeitung der Daten auch die Anonymi-
sierung der Daten vor der Weitergabe zum Zwecke der wissenschaftlichen Forschung nach
Absatz 5 Satz 2 umfasst. In Absatz 4 Satz 2 erfolgt in Anknüpfung an die Begründung zu §
25a SGB V im Gesetz zur Weiterentwicklung der Krebsfrüherkennung und zur Qualitätssi-
cherung durch klinische Krebsregister (Krebsfrüherkennungs- und -registergesetz; BGBl. I
S. 617), wonach die Verwendung von Meldedaten für die Einladungen durch die gesetzliche
Regelung nicht ausgeschlossen ist, vor dem Hintergrund der in Vorbereitung befindlichen
Altersgrenzenerweiterung im Mammographie-Screening-Programm eine klarstellende Re-
gelung im SGB V zur Verwendung von Meldedaten aus den Melderegistern für das Einla-
dungswesen. Derzeit sehen Rechtsvorschriften auf Landesebene bereits die Möglichkeit
vor, dass die Daten von anspruchsberechtigten Frauen zur Einladung zum Früherken-
nungsprogramm an die einladenden Zentralen Stellen übermittelt werden. Mit der Ergän-
zung des Satzes 4 in Absatz 5 soll der Gemeinsame Bundesausschuss das Nähere insbe-
sondere zu einem transparenten Verfahren einschließlich der Datenübermittlung in seiner
Verfahrensordnung unter Beachtung datenschutzrechtlicher Vorgaben und des Gebotes
der Datensicherheit regeln können.

Zu Nummer 2 (§25b)

Die gesetzlichen Krankenkassen haben nach § 1 Satz 4 ihren Versicherten durch Aufklä-
rung, Beratung und Leistungen zu helfen. Mit § 25b wird eine neue solche Leistung hinzu-
gefügt.

Leistungen der Krankenkassen nach § 25b obliegen den Anforderungen nach § 12 (Wirt-
schaftlichkeitsgebot), und dürfen nicht in die ärztliche Therapiefreiheit eingreifen und die
Wahlfreiheit der Versicherten nicht beschränken.

Die Verarbeitung ist zum Zwecke der Gesundheitsvorsorge, der Versorgung oder Behand-
lung im Gesundheitsbereich gemäß Artikel 9 Absatz 2 Buchstaben h) der Verordnung (EU)
679/2016 und zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Ge-
sundheitsversorgung und bei Arzneimitteln und Medizinprodukten gemäß Artikel 9 Absatz

- 68 -           Bearbeitungsstand: 25.08.2023 20:53

2 Buchstabe i) der Verordnung (EU) 679/2016 im öffentlichen Interesse und im Bereich der
öffentlichen Gesundheit erforderlich.

Zu Absatz 1

Bei den gesetzlichen Kranken- und Pflegekassen liegen umfangreiche versichertenindivi-
duelle Daten vor, in denen Informationen über medizinisch und pflegerisch relevante Sach-
verhalte wie Diagnosen und verordnete Arzneimittel von verschiedenen Leistungserbrin-
gern zusammenfließen. Diese Daten können zur Erkennung von potenziell schwerwiegen-
den gesundheitlichen Risiken genutzt werden und liegen sektoren- und akteursübergrei-
fend in dieser Form ausschließlich bei den gesetzlichen Kranken- und Pflegekassen vor.
Die Regelung sieht eine bessere Nutzung dieser Datenbasis zur Verbesserung des indivi-
duellen Gesundheitsschutzes vor: Im neuen § 25b wird den Kranken- und Pflegekassen die
Weiterverarbeitung von Gesundheitsdaten ihrer Versicherten zu eng gefassten Zwecken,
die zuvorderst die Interessen der Versicherten im Auge haben, gestattet.

Zu Nummer 1:

Seltene Erkrankungen werden meist erst spät nach oft mehreren Jahren der „diagnosti-
schen Odyssee“, die für die Patienten belastend ist, identifiziert und korrekt diagnostiziert,
da im Rahmen der Differenzialdiagnose Verdachtsdiagnosen erst sukzessive unter Berück-
sichtigung der Schwere der Erkrankung und der Häufigkeit durch die jeweiligen Leistungs-
erbringer unterschiedlicher Disziplinen ausgeschlossen werden. Durch die Zusammenfüh-
rung der bei den Kassen vorliegenden Daten unterschiedlicher Quellen kann gegebenen-
falls eine Beschleunigung der Erkennung seltener Erkrankungen erreicht werden, indem in
Zusammenschau der vorhandenen Daten zielgerichteter Angebote der Leistungserbringer
zur weiteren Abklärung nahegelegt werden können. Davon profitieren Patientinnen und Pa-
tienten unmittelbar.

Zu Nummer 2:

Auf Grundlage der bei den Krankenkassen zusammenlaufenden Daten können Hinweise
auf ein erhöhtes Krebsrisiko automatisiert erkannt werden. Versicherte können so frühzeitig
und gezielt über die Möglichkeiten der risikoadaptierten Früherkennung und den Anspruch
auf Vorsorgeleistungen informiert werden. Beispielsweise können Krankenkassen gezielt
solche Patienten ansprechen, die bereits wegen Krebs operiert wurden und deren Abrech-
nungsdaten nahelegen, dass keine medizinisch erforderliche Nachsorge zur Erkennung ei-
nes Rezidivs erfolgte. Auch auf Angebote nach §25a kann hierdurch gezielter hingewiesen
werden.

Zu Nummer 3

Wenn wirkstoffgleiche Präparate mit unterschiedlichen Handelsnamen von unterschiedli-
chen Leistungserbringern verschrieben worden sind, schwerwiegende unbeabsichtigte Arz-
neimittelwechselwirkungen naheliegen, oder ein Präparat über die regelmäßig erforderliche
Anwendungsdauer hinaus eingenommen wird, drohen potenziell lebensbedrohliche Kom-
plikationen. Während in den meisten Fällen die Arzneimitteltherapiesicherheit ohne Mitwir-
ken der Krankenkassen gewährleistet werden kann, können von den Krankenkassen aus-
gesprochene Hinweise zum Aufsuchen eines Angebots eines Leistungserbringers insbe-
sondere dann hilfreich sein, wenn der betroffene Versicherte längere Zeit keine ärztliche
Beratung in Anspruch genommen hat oder von mehreren Ärzten beraten wird, die unwis-
send gegenüber den Beratungen und Therapien ihrer Kollegen sind, und die verschriebe-
nen Rezepte in unterschiedlichen Apotheken eingelöst werden. Kein einzelner Leistungs-
erbringer hätte in diesem Fall die Möglichkeit gehabt, den Versicherten adäquat beraten zu
können; dabei nutzen die Versicherten ihre Wahlfreiheit nicht regelmäßig dafür, um eine
sachgerechte Beratung durch die Leistungserbringer zu untergraben.

- 69 -           Bearbeitungsstand: 25.08.2023 20:53

Nur bei den Krankenkassen laufen derzeit automatisch alle Daten zusammen, um die oben
geschilderten Gefährdungen zu erkennen.

Zu Nummer 4

Auch weitere akute Gesundheitsgefährdungen können durch automatisierte Prüfung der
bei den Krankenkassen vorliegenden Daten erkannt werden. Auch hier ist eine frühzeitige
Information und Empfehlung zur Kontaktaufnahme mit einem Leistungserbringer gerecht-
fertigt, wenn sie im überwiegenden Interesse des Versicherten liegt, insbesondere, wenn
schwerwiegende Gesundheitsgefährdungen drohen.

Zu Nummer 5

Schutzimpfungen gehören zu den wirksamsten und auch wirtschaftlichsten medizinischen
Präventionsangeboten. Insbesondere Patienten, die bloß selten Anlass haben aufgrund
von Krankheitsbeschwerden eine ärztliche Behandlung aufzusuchen, könnten unzu-
reichend über Präventionsangebote wie Schutzimpfungen beraten sein. Entsprechend er-
möglicht Nummer 5 den Krankenkassen gezielt solche Versicherten anzusprechen, bei de-
nen höchstwahrscheinlich Schutzimpfungen indiziert sind und die in der Vergangenheit
wahrscheinlich kein Angebot zu Beratung über Schutzimpfungen in Anspruch genommen
haben.

Zu Absatz 2

Absatz 2 regelt Näheres, um mögliche Nachteile für Versicherte zu minimieren, die von
Datenverarbeitungen nach Absatz 1 und den darauf von den Kranken- und Pflegekassen
mitgeteilten Hinweisen entstehen könnten.

So müssen sich die Maßnahmen nach Absatz beschränken auf solche, die erforderlich und
geeignet sind, die Zwecke nach Absatz 1 zu erfüllen. Eine Datenverarbeitung zu anderen
Zwecken, insbesondere solchen, die mehr im Interesse der Kranken- oder Pflegekasse als
dem betroffenen Versicherten sind, sind nach § 25b nicht erlaubt.

Zudem haben die Kranken- und Pflegekassen bei jeder Kontaktaufnahme, die durch eine
Datenverarbeitung nach Absatz 1 veranlasst wurde, den betroffenen Versicherten auf sein
Widerspruchsrecht und sein Recht die Grundlage, auf der die Einschätzung der Gefährdung
beruht, erläutert zu bekommen von der Kranken- oder Pflegekasse, hinzuweisen. Die Aus-
führungen zur Ausgestaltung der Kommunikation dienen der Gewährleistung einer barrie-
refreien Kommunikation zwischen Kranken- oder Pflegekasse und der betroffenen Person.

Zu Absatz 3

Die Versicherten können der Datenverarbeitung nach Absatz 1 widersprechen. Entspre-
chend müssen die Krankenkassen über die Datenverarbeitung und die Möglichkeit des Wi-
derspruchs informieren. Satz 2 gilt als erfüllt, wenn die Kranken- und Pflegekassen in ge-
eigneter Form öffentlich und allgemein auf die vorgesehene Datenverarbeitung und die
Möglichkeit des Widerspruchs in präziser, transparenter, verständlicher und leicht und dau-
erhaft zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei hingewie-
sen haben, und seitdem vier Wochen verstrichen sind. Damit alle Personengruppen die
Möglichkeit haben, einen Widerspruch einzulegen, und um den Belangen von Menschen
mit Behinderungen zu entsprechen, muss die Widerspruchsmöglichkeit barrierefrei ausge-
staltet sein und der Widerspruch jederzeit möglich sein. Um klarzustellen, dass die Ent-
scheidung über den Widerspruch nicht zu einer Bevorzugung oder Benachteiligung führen
darf, müssen die Kranken- und Pflegekassen auch hierüber informieren. Dies ermöglicht
es, der Informationspflicht nachzukommen ohne kostenaufwendig den Kontakt zu allen Ver-
sicherten einzeln aufzusuchen. Wird von dieser Möglichkeit Gebrauch gemacht, wird die
Informationspflicht jedoch erweitert: die Kranken- und Pflegekassen haben nun nicht mehr

- 70 -           Bearbeitungsstand: 25.08.2023 20:53

bloß dem potenziell betroffenen Personenkreis gegenüber Informationen über die Daten-
verarbeitung zu veröffentlichen, sondern auch für die Allgemeinheit einsehbar. Damit wird
gewährleistet, dass nicht bloß der möglicherweise vulnerable Personenkreis, sondern auch
Dritte unabhängig überprüfen können, dass die Datenverarbeitungen nach Absatz 1 nicht
entgegen des mutmaßlichen Interesses der betroffenen Person erfolgen.

Zu Absatz 4

Wenn eine konkrete Gesundheitsgefährdung erkannt wird, sollen Kranken- und Pflegekas-
sen die betroffenen Versicherten auf geeignetem Weg unverzüglich darüber informieren
und die Kontaktaufnahme mit einem geeigneten Leistungserbringer empfehlen. In beson-
ders dringenden Fällen sollte die Kontaktaufnahme telefonisch erfolgen. Dabei dürfen keine
Vorgaben hinsichtlich der Beseitigung der Gefährdung gemacht werden. Die Therapiefrei-
heit der Leistungserbringer wird somit nicht eingeschränkt und die Wahlfreiheit der Versi-
cherten wird damit nicht beschränkt.

Die Kranken- und Pflegekassen haben dafür Sorge zu tragen, dass durch die Information
der Versicherten keine Gefährdung derselben entsteht. So ist etwa darauf zu achten, dass
Versicherte nach einem Hinweis auf mögliche Arzneimittelwechselwirkungen medizini-
schen Rat einholen, anstatt selbständig Medikamente abzusetzen.

Zu Absatz 5

Neben dem Recht auf Nichtwissen sollte auch dem Auskunftsrecht nach Artikel 15 der Ver-
ordnung (EU) 679/2016 entsprochen werden. Kranken- und Pflegekassen sind daher aus-
drücklich verpflichtet auf Nachfrage die konkrete Datengrundlage mitzuteilen, die zu einem
Hinweis nach Absatz 2 oder 4 geführt hat. Dies dient der Transparenz gegenüber den Ver-
sicherten und erleichtert die ärztliche, zahnärztliche, psychotherapeutische, oder pflegeri-
sche Beratung durch beteiligte Leistungserbringer.

Zu Absatz 6

Absatz regelt, dass Versicherte, die einer Datenverarbeitung widersprochen haben weder
bevorzugt noch benachteiligt werden dürfen und damit Versicherte durch ihre Kranken- o-
der Pflegekassen nicht zur Nutzung bestimmter Leistungen gedrängt oder davon abgehal-
ten werden.

Zu Absatz 7

Um die Wirksamkeit der Hinweise nach Absatz 1 und Absatz 4 beurteilen zu können und
auch um unabhängig überprüfen zu können, dass die Datenverarbeitungen nach Absatz 1
nicht entgegen des mutmaßlichen Interesses der betroffenen Person erfolgt ist, haben alle
Kranken- und Pflegekassen über die Datenverarbeitungen und Hinweise nach Absatz 1 und
Absatz 4 den Spitzenverband Bund der Krankenkassen regelmäßig zu informieren. Dieser
hat dem Bundesministerium für Gesundheit hierzu jährlich zu berichten. Im Rahmen der
Evaluierung wird das Bundesministerium für Gesundheit fünf Jahre nach Inkrafttreten des
Gesetzes überprüfen, wie und in welchem Umfang Versicherte über eine automatisierte
Verarbeitung zu Zwecken des Gesundheitsschutzes nach § 25b informiert wurden, wie und
in welchem Umfang solche Maßnahmen durchgeführt wurden und welche Auswirkungen
sie auf die Versorgung haben.

Zu Nummer 3

Zu Buchstabe a

Die – unabhängig von der Genomsequenzierung – durchgeführten Leistungen im Rahmen
des Modellvorhabens sind als medizinische Behandlungen zu qualifizieren. Sie bedürfen
daher der Einwilligung der Versicherten nach § 630d Bürgerliches Gesetzbuch. Diese Norm