2.1 Datenfreigabe (Abs. 1)
Rz. 3
Versicherte können die Daten ihrer elektronischen Patientenakte freiwillig für Forschungszwecke freigeben. Das Forschungsdatenzentrum ist in den Prozess als Datentreuhänder eingebunden. Die Aufgaben des Forschungsdatenzentrums führt das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) als Institut im Geschäftsbereich des Bundesministeriums für Gesundheit mit einem Fachdienst (DaTraV) aus. Die Datenverarbeitung ist zulässig für die
- Verbesserung der Qualität der Versorgung,
- Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
- Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung und
- Wahrnehmung von Aufgaben der Gesundheitsberichterstattung
(§ 303e Abs. 2 Nr. 2, 4, 5 und 7; abschließende Aufzählung). Die Datenfreigabe ist ein Opt-in-Verfahren, bei dem die Versicherten als Datensouverän über die Datenfreigabe aktiv informiert werden und ausdrücklich entscheiden (BT-Drs. 19/18793 S. 130).
2.2 Übermittlung der Daten (Abs. 2)
Rz. 4
Die freigegebenen Daten werden an das Forschungsdatenzentrum (§ 303d) übermittelt (Satz 1). Dazu ist eine informierte Einwilligung des Versicherten erforderlich (Abs. 5). Bevor der Versicherte die Datenfreigabe ausspricht, ist er umfassend über Art und Weise der weiteren Datenverarbeitung zu informieren. Es handelt sich um eine Verarbeitungsbefugnis i. S. d. Art. 6 Abs. 1 Buchst. e, Abs. 2 und Abs. 3 Satz 1 Buchst. b, Satz 2 i. V. m. Art. 9 Abs. 2 Buchst. i und j und Abs. 4 sowie Art. 89 Abs. 1 DSGV. Die informierte Einwilligung des Versicherten stellt eine zusätzliche Verarbeitungsbedingung i. S. v. Art. 9 Abs. 4 DSGVO dar. Sie ist entsprechend der Leitlinien zur Einwilligung der Artikel-29-Datenschutzgruppe der Europäischen Datenschutzaufsichtsbehörden eine zusätzliche Garantie zur Wahrung der Rechte der betroffenen Personen (Artikel-29-Datenschutzgruppe Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, S. 33). Sie entspricht im Übrigen den Anforderungen an die Bestimmtheit der Einwilligung nach Art. 4 Nr. 11 DSGVO. Die Einwilligung erklärt der Versicherte über die Benutzeroberfläche eines geeigneten Endgeräts (z. B. Smartphone; Satz 2). Fehlt es an der informierten Freigabe, kann ein Straftatbestand gegeben sein (§ 203 StGB).
Rz. 5
Den Umfang der Datenfreigabe können Versicherte frei wählen (Satz 3). Die Daten können vollständig freigegeben oder auf bestimmte Kategorien, auf Gruppen von Dokumenten und Datensätzen oder auf spezifische Dokumente und Datensätze beschränkt werden (z. B. Daten nur für medizinische Forschung). Die Freigabe wird in der elektronischen Patientenakte dokumentiert (Satz 4).
2.3 Verfahren (Abs. 3)
Rz. 6
Die für die Datenverarbeitung in der elektronischen Patientenakte verantwortlichen Krankenkassen (§ 341 Abs. 4) pseudonymisieren und verschlüsseln die mit der informierten Einwilligung freigegebenen Daten und versehen sie mit einer Arbeitsnummer (Satz 1). Das Forschungsdatenzentrum erhält die pseudonymisierten und verschlüsselten Daten und die Arbeitsnummer. Die Vertrauensstelle (§ 303c) erhält das Lieferpseudonym zu den freigegebenen Daten und die entsprechende Arbeitsnummer. Die Vertrauensstelle arbeitet getrennt von den anderen datenverarbeitenden Stellen des BfArM, einschließlich des Forschungsdatenzentrums. Dabei ist sichergestellt, dass einem Versicherten oder Leistungserbringer über den gesamten Zeitraum ein eindeutiges Pseudonym zugeordnet wird.
Rz. 7
Die Vertrauensstelle überführt die Lieferpseudonyme in periodenübergreifende Pseudonyme und übermittelt dem Forschungsdatenzentrum eine entsprechende Liste (Satz 2). Das Forschungsdatenzentrum verknüpft die freigegebenen Daten mit den im Forschungsdatenzentrum vorliegenden Daten vorheriger Übermittlungen (Satz 3).
Rz. 8
Das Verfahren entspricht den für die Datentransparenzdaten nach §§ 303a ff. etablierten und bewährten Datenübermittlungsverfahren an die Vertrauensstelle und an das Forschungsdatenzentrum. Die Daten werden unmittelbar aus der elektronischen Patientenakte übermittelt, ohne dass die Krankenkassen als Anbieter der elektronischen Patientenakte auf die gespeicherten Behandlungsdaten zugreifen können. Mit den genannten technischen und organisatorischen Maßnahmen werden geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der DSGVO geschaffen (BT-Drs. 19/18793 S. 131).
2.4 Datenverarbeitung (Abs. 4)
Rz. 9
Das Forschungsdatenzentrum ist berechtigt, die übermittelten Daten im Rahmen seiner Aufgaben zu verarbeiten (Satz 1). Die Daten werden den Nutzungsberechtigten (§ 303e Abs. 1 Nr. 6, 7, 8, 10, 13, 14, 15 und 16) wegen ihrer im öffentlichen Interesse liegenden Aufgaben aufgrund eines Antrags bereitgestellt. Nutzungsberechtigt sind u. a. Institutionen der Gesundheitsberichterstattung des Bundes und der Länder, Institutionen der Gesundheitsversorgungsforschung oder Hochschulen.
Rz. 10
Wesentliche Vorschriften (§ 303a Abs. 3, § 303c Abs. 1 und 2, die §§ 303d, 303e Abs. 3 bis 6 sowie § 303f) über di...