Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens (Gesundheitsdatennutzungsgesetz - GDNG)


§ 1 Zweck des Gesetzes; Anwendungsbereich



(1) 1Dieses Gesetz dient der Regelung der Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens als lernendes System. 2Das Ziel der Nutzung von Gesundheitsdaten ist, eine sichere, bessere und qualitätsgesicherte Gesundheitsversorgung und Pflege zu gewährleisten, Forschung und Innovation zu fördern und das digitalisierte Gesundheitssystem auf Grundlage einer soliden Datenbasis weiterzuentwickeln.

(2) Dieses Gesetz gilt für die Verarbeitung von Gesundheitsdaten zu Forschungszwecken, zur Verbesserung der Gesundheitsversorgung und Pflege sowie zu weiteren im Gemeinwohl liegenden Zwecken.

(3) Die Vorschriften dieses Gesetzes gehen jenen des Fünften und Elften Buches Sozialgesetzbuch vor, soweit Gesundheitsdaten für wissenschaftliche Forschungszwecke und zu weiteren in diesem Gesetz genannten, im Gemeinwohl liegenden Zwecken verarbeitet werden.


§ 2 Begriffsbestimmungen



Im Sinne dieses Gesetzes sind oder ist

1.
„Gesundheitsdaten" Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 74 vom 4.3.2021, S. 35) in der jeweils geltenden Fassung, einschließlich Gesundheitsdaten, die zugleich Sozialdaten nach § 67 des Zehnten Buches Sozialgesetzbuch sind;

2.
„personenbezogene Daten" personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679;

3.
„datenhaltende Stelle" natürliche und juristische Personen einschließlich deren Zusammenschlüsse im Sinne von Datenplattformen oder Dateninfrastrukturen, die berechtigt oder verpflichtet sind, Gesundheitsdaten für Forschungszwecke und weitere in diesem Gesetz genannte Zwecke Dritten zur Verfügung zu stellen; dazu gehören insbesondere gesetzlich geregelte datenhaltende Stellen wie das Forschungsdatenzentrum Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch, das Zentrum für Krebsregisterdaten beim Robert Koch-Institut und die Plattform nach § 64e Absatz 9 des Fünften Buches Sozialgesetzbuch;

4.
„Datennutzende" natürliche und juristische Personen, die Zugang zu Gesundheitsdaten zu Forschungszwecken und weiteren in diesem Gesetz genannten Zwecken begehren oder erhalten haben;

5.
„Forschungsvorhaben" Vorhaben, bei denen Gesundheitsdaten zu den in Artikel 9 Absatz 2 Buchstabe j und Artikel 89 Absatz 1 Satz 1 und Absatz 2 der Verordnung (EU) 2016/679 genannten wissenschaftlichen Forschungszwecken verarbeitet werden; diese Gesundheitsdaten können auch Sozialdaten nach § 67 des Zehnten Buches Sozialgesetzbuch sein;

6.
„Gesundheits- und Versorgungsforschung" Forschungsvorhaben mit dem Ziel, die Gesundheit zu fördern, Krankheiten vorzubeugen, zu heilen und ihre Folgen zu vermindern, die Gesundheitsversorgung und -prävention zu verbessern sowie das Gesundheitswesen weiterzuentwickeln;

7.
„datenverarbeitende Gesundheitseinrichtung" Einrichtungen, in denen für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik oder für Zwecke der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich Daten von oder unter der Verantwortung von Angehörigen eines Heilberufs verarbeitet werden, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert;

8.
„Sekundärdatennutzung" die Weiterverarbeitung von Gesundheitsdaten zu anderen Zwecken als denjenigen, für die die Daten ursprünglich erhoben wurden.


§ 3 Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten; Verordnungsermächtigung



(1) Beim Bundesinstitut für Arzneimittel und Medizinprodukte wird eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten eingerichtet.

(2) 1Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten unterstützt und berät Datennutzende beim Zugang zu Gesundheitsdaten. 2Sie hat insbesondere die Aufgabe,

1.
einen öffentlichen Metadaten-Katalog barrierefrei zu führen und zu pflegen, in dem zu Transparenzzwecken Informationen über die im deutschen Gesundheitswesen vorhandenen und öffentlich zugänglichen Gesundheitsdaten und über die jeweiligen Halter dieser Daten gesammelt werden,

2.
Datennutzende bei der Identifizierung und bei der Lokalisierung der für ihre Zwecke benötigten Gesundheitsdaten zu beraten,

3.
bei einer Antragstellung von Datennutzenden auf Zugang zu Gesundheitsdaten bei datenhaltenden Stellen zu beraten,

4.
Anträge auf Zugang zu Gesundheitsdaten bei den nach Absatz 3 Satz 1 Nummer 4 zu spezifizierenden datenhaltenden Stellen entgegenzunehmen und im Wege der Weiterleitung an die zuständigen datenhaltenden und mittelnden Stellen zu übermitteln,

5.
bei der für die in den Nummern 3 und 4 genannten Antragstellung die erforderliche Kommunikation zwischen den Antragstellenden und den zuständigen Stellen zu unterstützen,

6.
die Öffentlichkeit über die Aktivitäten der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zu informieren,

7.
ein öffentliches Antragsregister mit Informationen zu den über die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten gestellten Anträgen auf Zugang zu Gesundheitsdaten, zu den Datennutzenden, zu den Vorhaben, für die Daten beantragt wurden, und zu deren Ergebnissen aufzubauen und zu pflegen,

8.
die Bundesregierung im Rahmen von Vorhaben und in Gremien zur Steigerung der Verfügbarkeit von Gesundheitsdaten und beim Aufbau einer vernetzten Gesundheitsdateninfrastruktur auf Bundesebene und in der Europäischen Union zu unterstützen,

9.
Konzepte zu erstellen

a)
zur Nutzung von sicheren Verarbeitungsumgebungen als Maßnahme zur Verbesserung des Datenschutzes und der Datensicherheit im Rahmen der Weiterverarbeitung von Gesundheitsdaten zu Forschungszwecken und weiteren im Gemeinwohl liegenden Zwecken,

b)
zur Weiterentwicklung der zentralen Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten als eigenständige Institution unter Einbindung bestehender Dateninfrastrukturen unter Berücksichtigung europäischer Entwicklungen und unter Beteiligung der maßgeblichen Akteure des Gesundheitswesens und der Gesundheitsforschung,

c)
zur Verknüpfung und gemeinsamen Verarbeitung von pseudonymisierten Gesundheitsdaten verschiedener datenhaltender Stellen,

10.
die in § 4 für die zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten vorgesehenen Aufgaben im Antragsverfahren bei der Verknüpfung von Daten des Forschungsdatenzentrums Gesundheit mit Daten der klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch und bei der Verarbeitung dieser Daten wahrzunehmen.

(3) 1Das Bundesministerium für Gesundheit wird ermächtigt, im Benehmen mit dem Bundesministerium für Bildung und Forschung ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zu regeln zu

1.
der Einrichtung und zur Organisation der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten,

2.
den Einzelheiten der Wahrnehmung der Aufgaben der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach Absatz 2 sowie zu den hierbei anzuwendenden Verfahren,

3.
den zur Übermittlung der Anträge an die datenhaltenden und datenmittelnden Stellen gemäß Absatz 2 Satz 2 Nummer 4 jeweils notwendigen Arbeitsstrukturen der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten,

4.
Kriterien für die Eignung von datenhaltenden und datenmittelnden Stellen zur Einbeziehung in die Sekundärdatennutzung über die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten sowie zur Bereitstellung transparenter Informationen über diese Kriterien.

2Geplante Regelungen sind im Benehmen mit den Vertretern der jeweiligen datenhaltenden Stellen zu treffen. 3Soweit die datenhaltenden Stellen dem Recht des Sozialgesetzbuchs unterliegen, ergehen die Regelungen im Benehmen mit dem Bundesministerium für Arbeit und Soziales.

(4) 1Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis zur Gesundheitsdatennutzung ein. 2Der Arbeitskreis setzt sich aus Vertretern der datenhaltenden Stellen, aus Vertretern der Patientenorganisationen, die in der Patientenbeteiligungsverordnung genannt oder nach dieser Verordnung anerkannt sind, aus Vertretern von Leistungserbringern, aus Vertretern der Gesundheitsforschung sowie aus Vertretern weiterer betroffener Gruppen und Institutionen zusammen. 3Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation der Aufgabenwahrnehmung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten mit.

(5) Dieser Paragraph gilt nicht für in § 137a Absatz 10 des Fünften Buches Sozialgesetzbuch genannte Anträge auf Auswertung von bei den verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 des Fünften Buches Sozialgesetzbuch erhobenen Daten.


§ 4 Verknüpfung von Daten des Forschungsdatenzentrums Gesundheit mit Daten der klinischen Krebsregister der Länder; Verordnungsermächtigung



(1) Die Verknüpfung von pseudonymisierten Daten des Forschungsdatenzentrums Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch mit pseudonymisierten Daten der klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch sowie die Verarbeitung dieser Daten für Forschungsvorhaben ist nach Maßgabe der folgenden Absätze zulässig.

(2) 1Für die Verknüpfung und für die Verarbeitung der pseudonymisierten Daten nach Absatz 1 bedarf es einer vorherigen Genehmigung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach § 3. 2Die Genehmigung ist auf Antrag zu erteilen, sofern

1.
die Verknüpfung der in Absatz 1 genannten Daten für die zu untersuchende Forschungsfrage erforderlich ist,

2.
die erforderlichen Anträge auf Zugang zu den zu verknüpfenden Daten in pseudonymisierter Form beim Forschungsdatenzentrum Gesundheit nach § 303e Absatz 3 des Fünften Buches Sozialgesetzbuch sowie bei den zuständigen klinischen Krebsregistern der Länder nach § 65c des Fünften Buches Sozialgesetzbuch nach dem geltenden Landesrecht für den Zugang zu den zu verknüpfenden Daten in pseudonymisierter Form bewilligt worden sind und

3.
schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden oder das öffentliche Interesse an der Forschung das Geheimhaltungsinteresse der betroffenen Person überwiegt und das spezifische Reidentifikationsrisiko in Bezug auf die beantragten Daten bewertet und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen minimiert worden ist.

(3) In dem Antrag haben die Antragstellenden nachvollziehbar darzulegen, dass Umfang und Struktur der zu verknüpfenden Daten geeignet und erforderlich sind, um die zu untersuchende Forschungsfrage zu beantworten.

(4) Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten

1.
unterstützt die Antragstellenden im Rahmen des Verfahrens zur Erteilung der Genehmigung nach Absatz 2 Satz 1 bei der Kommunikation mit dem Forschungsdatenzentrum Gesundheit und mit den beteiligten klinischen Krebsregistern der Länder nach § 65c des Fünften Buches Sozialgesetzbuch sowie bei der Stellung der in Absatz 2 Satz 2 Nummer 2 genannten Anträge,

2.
stellt für den Antrag auf Genehmigung nach Absatz 2 Satz 1 und für die in Absatz 2 Satz 2 Nummer 2 genannten Anträge einen einheitlichen Antragsprozess im Benehmen mit zwei von den klinischen Krebsregistern der Länder nach § 65c des Fünften Buches Sozialgesetzbuch benannten Vertretern und dem Zentrum für Krebsregisterdaten beim Robert Koch-Institut nach § 1 Absatz 1 des Bundeskrebsregisterdatengesetzes bereit und

3.
leitet die in Absatz 2 Satz 2 Nummer 2 genannten Anträge an die zuständigen Stellen weiter.

(5) 1Wird die Genehmigung nach Absatz 2 Satz 1 erteilt, so werden die im Antrag benannten Daten mit einer von der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten für den jeweiligen Antrag festzulegenden sicheren Verarbeitungsumgebung einer öffentlich-rechtlichen Stelle verknüpft und den Antragstellenden als pseudonymisierte Einzeldatensätze, ohne Sichtbarmachung von Pseudonymen, verfügbar gemacht. 2In einer sicheren Verarbeitungsumgebung muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein, dass die Verarbeitung durch die Antragstellenden auf das für den jeweiligen Nutzungszweck erforderliche Maß beschränkt ist und insbesondere ein Kopieren der Daten verhindert werden kann.

(6) 1Wird die Genehmigung nach Absatz 2 Satz 1 erteilt, übermitteln die klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch an die durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten festgelegte sichere Verarbeitungsumgebung die beantragten Daten in pseudonymisierter Form zusammen mit einer auf Grundlage der Krankenversichertennummer anlassbezogen zu erstellenden Forschungskennziffer unter Mitwirkung der Vertrauensstelle nach § 303c des Fünften Buches Sozialgesetzbuch und nach den Vorgaben der Rechtsverordnung nach Absatz 9. 2Zur Sicherstellung einer qualitätsgesicherten Datenzusammenführung soll bei der Übermittlung der Daten der klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch ein Datenbereinigungsverfahren genutzt werden.

(7) Wird die Genehmigung nach Absatz 2 Satz 1 erteilt, übermittelt das Forschungsdatenzentrum Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch an die durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten festgelegte sichere Verarbeitungsumgebung die beantragten Daten in pseudonymisierter Form zusammen mit einer anlassbezogen zu erstellenden Forschungskennziffer unter Mitwirkung der Vertrauensstelle nach § 303c des Fünften Buches Sozialgesetzbuch und nach den Vorgaben der Rechtsverordnung nach Absatz 9.

(8) 1Die Datennutzenden dürfen die nach Absatz 5 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden, und

2.
nicht an Dritte weitergeben.

2Die Datennutzenden haben bei der Verarbeitung darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. 3Im Fall einer unabsichtlichen Herstellung eines Personenbezugs ist die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten zu informieren. 4Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten leitet die enthaltene Information an das Forschungsdatenzentrum Gesundheit und an die zuständigen klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch weiter.

(9) 1Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates das Nähere zu regeln zu

1.
dem technischen Verfahren zur Verknüpfung der Daten anhand einer anlassbezogen zu erstellenden Forschungskennziffer, einschließlich der hierzu erforderlichen Datenverarbeitung durch

a)
das Forschungsdatenzentrum Gesundheit,

b)
die klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch,

c)
das Zentrum für Krebsregisterdaten beim Robert Koch-Institut nach § 1 des Bundeskrebsregisterdatengesetzes,

d)
die zentrale Antrags- und Registerstelle nach § 10 des Bundeskrebsregisterdatengesetzes sowie

e)
die beteiligten Vertrauensstellen dieser Einrichtungen,

2.
den Anforderungen an sichere Verarbeitungsumgebungen nach Absatz 5 und den Kriterien für die Auswahl der Verarbeitungsumgebung durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten,

3.
dem einheitlichen Antragsprozess und den weiteren in Absatz 4 genannten unterstützenden Maßnahmen der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten,

4.
dem in Absatz 6 genannten Datenbereinigungsverfahren.

2Hinsichtlich des Satzes 1 Nummer 2 erfolgt der Erlass der Rechtsverordnung im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und mit dem Bundesamt für Sicherheit in der Informationstechnik.


§ 5 Datenschutzaufsicht bei länderübergreifenden Gesundheitsforschungsvorhaben



(1) Sind an einem Vorhaben der Versorgungs- oder Gesundheitsforschung, bei dem Gesundheitsdaten verarbeitet werden, eine oder mehrere öffentliche oder nicht öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Datenschutzaufsichtsbehörde des Bundes oder der Länder nach Kapitel VI der Verordnung (EU) 2016/679 zuständig ist, und sind diese Stellen nicht gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679, so kann dieses Vorhaben den Datenschutzaufsichtsbehörden zur federführenden Datenschutzaufsicht angezeigt werden.

(2) 1Durch eine Anzeige nach Absatz 1, die von allen Stellen gemeinsam gegenüber allen zuständigen Datenschutzaufsichtsbehörden abzugeben ist, wird die Datenschutzaufsichtsbehörde federführend zuständig, in deren Zuständigkeitsbereich die am Vorhaben nach Absatz 1 beteiligte Stelle fällt, die in dem vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. 2In dem Fall, dass nicht alle am Vorhaben nach Absatz 1 beteiligten Stellen einen Jahresumsatz aufweisen, wird stattdessen diejenige Datenschutzaufsichtsbehörde federführend zuständig, in deren Zuständigkeitsbereich die am Vorhaben nach Absatz 1 beteiligte Stelle fällt, die die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten. 3Der Anzeige nach Absatz 1 sind die entsprechenden nachweisenden Unterlagen beizufügen.

(3) 1Die federführend zuständige Datenschutzaufsichtsbehörde hat die Aufgabe, die Tätigkeiten und Aufsichtsmaßnahmen der zuständigen Datenschutzaufsichtsbehörden zu koordinieren; sie fördert eine Zusammenarbeit der zuständigen Aufsichtsbehörden beim Vorhaben nach Absatz 1 und wirkt auf eine gemeinsame Entscheidung hin. 2Die aufsichtsrechtlichen Befugnisse aller nach Absatz 1 zuständigen Datenschutzaufsichtsbehörden bleiben unberührt. 3Die zuständigen Datenschutzaufsichtsbehörden stimmen sich untereinander ab, wenn sie in ihrem Zuständigkeitsbereich tätig werden.

(4) 1Sind an einem Vorhaben der Gesundheits- und Versorgungsforschung, bei dem Gesundheitsdaten verarbeitet werden, eine oder mehrere nicht öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Datenschutzaufsichtsbehörde der Länder zuständig ist, und sind die beteiligten nicht öffentlichen Stellen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679, können diese gemeinsam anzeigen, dass sie gemeinsam Verantwortliche sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Datenschutzaufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich die nicht öffentliche Stelle fällt, die in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. 2Die gemeinsame Anzeige ist an alle Datenschutzaufsichtsbehörden zu richten, die für die gemeinsam Verantwortlichen zuständig sind, und muss die die umsatzstärkste nicht öffentliche Stelle nachweisenden Unterlagen enthalten. 3Ab dem Zeitpunkt, zu dem die in den Sätzen 1 und 2 genannte Anzeige bei der für die umsatzstärkste nicht öffentliche Stelle zuständigen Behörde eingegangen ist, wird diese die allein zuständige Datenschutzaufsichtsbehörde. 4Für nichtöffentliche Stellen, die gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 sind, jedoch keinen Jahresumsatz erzielen, gelten die Sätze 1 bis 3 entsprechend mit der Maßgabe, dass die Behörde allein zuständig ist, die für den Verantwortlichen zuständig ist, der die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten. 5§ 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.


§ 6 Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu Forschungszwecken



(1) 1Datenverarbeitende Gesundheitseinrichtungen dürfen die bei ihnen gemäß Artikel 9 Absatz 2 Buchstabe h und i der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Daten weiterverarbeiten, soweit dies erforderlich ist

1.
zur Qualitätssicherung und zur Förderung der Patientensicherheit,

2.
zur medizinischen, zur rehabilitativen und zur pflegerischen Forschung oder

3.
zu statistischen Zwecken, einschließlich der Gesundheitsberichterstattung.

2Die nach Satz 1 weiterverarbeiteten, personenbezogenen Daten sind zu pseudonymisieren; sie sind zu anonymisieren, sobald dies im Rahmen der Weiterverarbeitung für den jeweiligen Zweck nach Satz 1 möglich ist. 3Sind mehrere natürliche Personen in der datenverarbeitenden Gesundheitseinrichtung tätig, hat die Gesundheitseinrichtung ein Rechte- und Rollenkonzept zu erstellen, das gewährleistet, dass nur befugte Personen die in Satz 1 genannten Daten weiterverarbeiten können sowie Weiterverarbeitungen protokolliert und unbefugte Verarbeitungen geahndet werden können. 4Daten, die nach Absatz 1 Satz 1 weiterverarbeitet werden, sind spätestens 30 Jahre nach Beginn der Weiterverarbeitung nach Absatz 1 Satz 1 zu löschen. 5§ 14 des Transplantationsgesetzes ist zu beachten.

(2) Die Ergebnisse der Weiterverarbeitung von Gesundheitsdaten nach Absatz 1 sind zu anonymisieren, sobald dies nach dem jeweiligen Zweck nach Absatz 1 Satz 1 möglich ist.

(3) 1Die Weitergabe der personenbezogenen Daten an Dritte ist im Rahmen der Weiterverarbeitung nach Absatz 1 untersagt. 2Abweichend von Satz 1 ist die Weitergabe von personenbezogenen Daten im Rahmen der Weiterverarbeitung nach Absatz 1 zulässig, soweit die betroffene Person eingewilligt hat oder eine andere gesetzliche Vorschrift des Bundesrechts, des Landesrechts oder unmittelbar geltender Rechtsakte der Europäischen Union dies vorsieht. 3Die datenverarbeitenden Gesundheitseinrichtungen dürfen die gemäß Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Gesundheitsdaten anonymisieren, um die anonymisierten Daten zu den in Absatz 1 Satz 1 genannten Zwecken an Dritte zu übermitteln. 4Abweichend von Satz 1 ist eine gemeinsame Nutzung und Verarbeitung der in Absatz 1 Satz 1 genannten Daten zu den in Absatz 1 Satz 1 genannten Zwecken durch öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken zulässig, wenn

1.
die Verarbeitung zu den in Absatz 1 Satz 1 genannten Zwecken erforderlich ist,

2.
die Anforderungen nach den Absätzen 1, 2 und 4 hinsichtlich der Verarbeitung eingehalten werden,

3.
die Interessen des datenschutzrechtlich Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen und

4.
die zuständige Datenschutzaufsichtsbehörde der gemeinsamen Nutzung und Verarbeitung der Daten zugestimmt hat.

5Die Datenschutzaufsichtsbehörde soll innerhalb eines Monats über die Zustimmung nach Satz 4 Nummer 4 entscheiden.

(4) 1Datenverarbeitende Gesundheitseinrichtungen, die nach Absatz 1 Daten verarbeiten, sind verpflichtet, öffentlich und allgemein in präziser, transparenter, leicht verständlicher und zugänglicher Form in einer klaren und einfachen Sprache über die Zwecke, für die nach Absatz 1 Daten weiterverarbeitet werden, zu informieren. 2Dabei ist auch über laufende Forschungsvorhaben und veröffentlichte Forschungsergebnisse zu informieren, die nach § 8 registriert oder veröffentlicht wurden. 3Auf Verlangen einer von der Verarbeitung zu den in Absatz 1 Satz 1 Nummer 2 oder 3 genannten Zwecken betroffenen Person ist die datenverarbeitende Gesundheitseinrichtung verpflichtet, über die Art, den Umfang und den konkreten Zweck der Verarbeitung der Daten zu den in Absatz 1 Satz 1 Nummer 2 oder Nummer 3 genannten Zwecken in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.


§ 7 Geheimhaltungspflichten



(1) 1Datennutzende dürfen Gesundheitsdaten, die ihnen für wissenschaftliche Forschungszwecke verfügbar gemacht wurden,

1.
nur für die Zwecke nutzen, für die sie ihnen zugänglich gemacht wurden, und

2.
nicht an Dritte weitergeben, wenn dies nicht nach Absatz 3 oder Absatz 4 zulässig ist.

2Satz 1 gilt auch für Gesundheitsdaten einer Person, die bereits verstorben ist.

(2) 1Bereitgestellte Daten dürfen nicht zum Zwecke der Herstellung eines Personenbezugs oder zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern verarbeitet werden. 2Dies gilt auch für Gesundheitsdaten einer Person, die bereits verstorben ist.

(3) 1Personen, denen fremde Gesundheitsdaten zu Forschungszwecken anvertraut oder sonst bekanntgeworden sind, dürfen diese Gesundheitsdaten den bei ihr berufsmäßig tätigen Gehilfen oder den bei ihr zur Vorbereitung auf den Beruf tätigen Personen zum Zwecke der Forschung zugänglich machen. 2Die Person, der fremde Gesundheitsdaten zu Forschungszwecken anvertraut oder sonst bekanntgeworden sind, darf diese fremden Gesundheitsdaten gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist. 3Satz 2 gilt entsprechend für die dort genannten mitwirkenden Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit mitwirken.

(4) Entgegen Absatz 1 dürfen Datennutzende Gesundheitsdaten, die ihnen für wissenschaftliche Forschungszwecke verfügbar gemacht wurden, für andere Zwecke weiterverarbeiten oder an Dritte weitergeben, soweit ihnen dies durch Rechtsvorschriften des Bundes oder der Länder oder unmittelbar geltender Rechtsakte der Europäischen Union gestattet ist.

(5) Wenn die zuständige Datenschutzaufsichtsbehörde eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber den Datennutzenden ergriffen hat, informiert sie den Träger der datenhaltenden Stelle.


§ 8 Registrierungspflicht; Publikationspflicht von Forschungsergebnissen bei Verarbeitung von Gesundheitsdaten im öffentlichen Interesse



1Sofern in einem Forschungsvorhaben Gesundheitsdaten auf Grundlage dieses Gesetzes ohne die Einwilligung der betroffenen Personen zu Forschungszwecken verarbeitet werden, sind die für das Forschungsvorhaben Verantwortlichen verpflichtet, das Forschungsvorhaben vor Beginn der Datenverarbeitung in einem von der Weltgesundheitsorganisation anerkannten Primärregister für klinische Studien zu registrieren, sofern ein solches Primärregister die Registrierung des Forschungsvorhabens gestattet. 2Eine Registrierung nach Satz 1 ist entbehrlich, wenn das Forschungsvorhaben auf Grundlage eines Gesetzes bereits an anderer Stelle registriert wurde. 3Die für das Forschungsvorhaben Verantwortlichen sind verpflichtet, die Forschungsergebnisse innerhalb von 24 Monaten nach Abschluss des Forschungsvorhabens in anonymisierter Form und in einer für die Allgemeinheit zugänglichen Weise zu veröffentlichen und, sofern das Forschungsvorhaben nach Satz 1 registriert wurde, im jeweiligen Primärregister zu hinterlegen. 4Behörden können bestimmen, dass Forschungsvorhaben, die sie in Auftrag gegeben haben oder die unter ihrer Rechts- oder Fachaufsicht durchgeführt werden, abweichend von Satz 1 oder Satz 3 nicht registriert werden müssen oder deren Ergebnisse nicht oder erst zu einem späteren Zeitpunkt veröffentlicht werden müssen, sofern dies zum Schutz von besonderen öffentlichen Belangen gemäß § 3 des Informationsfreiheitsgesetzes erforderlich ist.


§ 9 Strafvorschriften



(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer

1.
entgegen § 7 Absatz 1 Gesundheitsdaten nutzt, weitergibt oder

2.
entgegen § 7 Absatz 2 die bereitgestellten Daten verarbeitet.

(2) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer in den Fällen des Absatzes 1 gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

(3) 1Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind der oder die Betroffene, der oder die nach der Verordnung (EU) 2016/679 Verantwortliche, der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die zuständige Datenschutzaufsichtsbehörde.