(1)

Ziel dieser Verordnung ist es, den europäischen Gesundheitsdatenraum (European Health Data Space, im Folgenden „EHDS“) einzurichten, um den Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten im Zusammenhang mit der Gesundheitsversorgung zu verbessern und andere Zwecke, die mit der Verwendung elektronischer Gesundheitsdaten im Gesundheitswesen und im Pflegesektor verbunden sind und der Gesellschaft zugutekämen, wie etwa Forschung, Innovation, Politikgestaltung, Vorbereitung und Reaktion auf Gesundheitsbedrohungen, auch zur Prävention und Bewältigung künftiger Pandemien, Patientensicherheit, personalisierte Medizin, amtliche Statistik oder Regulierungstätigkeiten, besser zu erreichen. Darüber hinaus ist es Ziel dieser Verordnung, das Funktionieren des Binnenmarkts zu verbessern, indem im Einklang mit den Werten der Union ein einheitlicher Rechtsrahmen und technischer Rahmen insbesondere für die Entwicklung, Vermarktung und Verwendung von Systemen für elektronische Gesundheitsaufzeichnungen (electronic health records, EHR) (im Folgenden „EHR-Systeme“) festgelegt wird. Der EHDS wird ein wesentliches Element bei der Schaffung einer starken und widerstandsfähigen Europäischen Gesundheitsunion sein.

(2)

Die COVID-19-Pandemie hat deutlich gemacht, dass ein zeitnaher Zugang zu hochwertigen elektronischen Gesundheitsdaten für die Vorsorge und Reaktion bei Gesundheitsbedrohungen und für die Prävention, Diagnose und Behandlung sowie für die Sekundärnutzung von diesen elektronischen Gesundheitsdaten unerlässlich ist. Ein solcher zeitnaher Zugang könnte durch eine effiziente Überwachung und Beobachtung der öffentlichen Gesundheit möglicherweise zu einer wirksameren Bewältigung künftiger Pandemien, geringeren Kosten und einer besseren Reaktion auf Gesundheitsbedrohungen beitragen und letztlich dabei helfen, mehr Leben zu retten. Im Jahr 2020 passte die Kommission ihr mit dem Durchführungsbeschluss (EU) 2019/1269 der Kommission (4) eingerichtetes System für das klinische Patientenmanagement im Eilverfahren an, um es den Mitgliedstaaten zu ermöglichen, elektronische Gesundheitsdaten von COVID-19-Patienten auszutauschen, die während des Höhepunkts dieser Pandemie den Gesundheitsdienstleister wechselten oder sich von einem Mitgliedstaat in einen anderen begaben. Diese Anpassung war jedoch nur eine Notfalllösung, die verdeutlichte, dass ein struktureller und kohärenter Ansatz auf Ebene der Mitgliedstaaten und der Union erforderlich ist, um die Verfügbarkeit elektronischer Gesundheitsdaten für die Gesundheitsversorgung zu verbessern und den Zugang zu elektronischen Gesundheitsdaten zu erleichtern und so wirksame politische Maßnahmen zu steuern und zu hohen Standards für die menschliche Gesundheit beizutragen.

(3)

Durch die COVID-19-Krise wurde die Arbeit des Netzwerks für elektronische Gesundheitsdienste (e-Health-Netzwerk), eines freiwilligen Netzwerks von für digitale Gesundheit zuständigen Stellen, zur tragenden Säule für die Entwicklung mobiler Kontaktnachverfolgungs- und Kontaktwarn-Apps für mobile Geräte und der technischen Aspekte der digitalen COVID-Zertifikate der EU. In der Pandemie hat sich auch gezeigt, wie wichtig die gemeinsame Nutzung elektronischer Gesundheitsdaten ist, die auffindbar (Findable), zugänglich (Accessible), interoperabel (Interoperable) und wiederverwendbar (Resuable) sind (im Folgenden „FAIR-Prinzipien“), und dass sichergestellt werden muss, dass elektronische Gesundheitsdaten so offen wie möglich sind, wobei der Grundsatz der Datenminimierung gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (5) zu achten ist. Es sollte sichergestellt werden, dass Synergien zwischen dem EHDS, der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) und den europäischen Forschungsinfrastrukturen und Erkenntnisse aus Lösungen für den Datenaustausch, die im Rahmen der Europäischen COVID-19-Datenplattform entwickelt wurden, gewonnen werden.

(4)

Angesichts der Sensibilität personenbezogener elektronischer Gesundheitsdaten soll diese Verordnung sowohl auf Unionsebene als auch auf nationaler Ebene ausreichende Schutzmaßnahmen bieten, um ein hohes Maß an Datenschutz, Sicherheit, Vertraulichkeit und ethischer Nutzung sicherzustellen. Solche Schutzmaßnahmen sind notwendig, um das Vertrauen in den sicheren Umgang mit elektronischen Gesundheitsdaten natürlicher Personen zur Primär- und Sekundärnutzung im Sinne dieser Verordnung zu fördern.

(5)

Die Verarbeitung personenbezogener elektronischer Gesundheitsdaten unterliegt den Bestimmungen der Verordnung (EU) 2016/679 und — für die Organe, Einrichtungen und sonstigen Stellen der Union — der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (6). Bezugnahmen auf die Bestimmungen der Verordnung (EU) 2016/679 sind gegebenenfalls auch als Bezugnahmen auf die entsprechenden Bestimmungen der Verordnung (EU) 2018/1725 für die Organe, Einrichtungen und sonstigen Stellen der Union zu verstehen.

(6)

Immer mehr in der Union lebende Menschen überqueren nationale Grenzen, um zu arbeiten, zu studieren, Verwandte zu besuchen oder aus anderen Gründen. Um den Austausch von Gesundheitsdaten zu erleichtern und die Bürgerinnen und Bürger zu unterstützen, sollten sie in einem elektronischen Format auf ihre Gesundheitsdaten zugreifen können, das in der gesamten Union anerkannt und akzeptiert werden kann. Solche personenbezogenen elektronischen Gesundheitsdaten könnten personenbezogene Daten über die körperliche oder geistige Gesundheit einer natürlichen Person beinhalten, auch in Bezug auf die Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über den Gesundheitszustand dieser natürlichen Person hervorgehen, personenbezogene Daten zu den ererbten oder erworbenen genetischen Merkmalen einer natürlichen Person, die eindeutige Informationen über den körperlichen Zustand oder die Gesundheit dieser natürlichen Person liefern und sich insbesondere aus der Analyse einer Probe von biologischem Material der betreffenden natürlichen Person ergeben, sowie Datendeterminanten für die Gesundheit wie Verhalten, Umwelt- und physische Einflüsse, medizinische Versorgung, und soziale Faktoren oder erziehungs-/bildungsbezogene Faktoren umfassen. Elektronische Gesundheitsdaten schließen auch Daten ein, die ursprünglich für Zwecke der Forschung, der Statistik, der Bewertung von Gesundheitsbedrohungen, der Politikgestaltung oder der Regulierung erhoben wurden, und es sollte möglich sein, sie gemäß den in dieser Verordnung festgelegten Vorschriften zur Verfügung zu stellen. Die elektronischen Gesundheitsdaten bestehen aus allen Kategorien dieser Daten, unabhängig davon, ob diese Daten von der betroffenen Person oder anderen natürlichen oder juristischen Personen wie Angehörigen der Gesundheitsberufe bereitgestellt oder im Zusammenhang mit der Gesundheit oder dem Wohlbefinden einer natürlichen Person verarbeitet werden, und sollten auch gefolgerte und abgeleitete Daten, etwa zu Diagnosen, Tests und medizinischen Untersuchungen, sowie automatisch erfasste und aufgezeichnete Daten umfassen.

(7)

In Gesundheitssystemen werden personenbezogene elektronische Gesundheitsdaten in der Regel in EHR gesammelt, die üblicherweise die Krankengeschichte, Diagnosen und Behandlungen, Medikationen, Allergien und Impfungen sowie radiologische Bilder, Laborergebnisse und andere medizinische Daten einer natürlichen Person enthalten, die auf verschiedene Akteure des Gesundheitssystems wie etwa Hausärzte, Krankenhäuser, Apotheken oder Pflegedienste verteilt sind. Um natürlichen Personen oder Angehörigen der Gesundheitsberufe den Zugang zu elektronischen Gesundheitsdaten sowie deren gemeinsame Nutzung und deren Änderung zu ermöglichen, haben einige Mitgliedstaaten die erforderlichen rechtlichen und technischen Maßnahmen ergriffen und eine zentrale Infrastruktur eingerichtet, mit der die von Gesundheitsdienstleistern und natürlichen Personen genutzten EHR-Systeme miteinander verbunden werden. Darüber hinaus unterstützen einige Mitgliedstaaten öffentliche und private Gesundheitsdienstleister bei der Einrichtung von Räumen für personenbezogene elektronische Gesundheitsdaten, um die Interoperabilität zwischen verschiedenen Gesundheitsdienstleistern zu ermöglichen. Mehrere Mitgliedstaaten unterstützen auch Zugangsdienste für elektronische Gesundheitsdaten für Patienten und Angehörige der Gesundheitsberufe oder stellen sie bereit, z. B. über Portale für Patienten oder Angehörige der Gesundheitsberufe. Diese Mitgliedstaaten haben ferner Maßnahmen ergriffen, um sicherzustellen, dass von EHR-Systemen oder Wellness-Anwendungen elektronische Gesundheitsdaten an das zentrale EHR-System übermittelt werden können, z. B. indem sie ein Zertifizierungssystem zur Verfügung stellen. Allerdings haben nicht alle Mitgliedstaaten solche Systeme eingerichtet, und diejenigen Mitgliedstaaten, die sie umgesetzt haben, haben dies auf fragmentierte Weise getan. Um den freien Verkehr personenbezogener elektronischer Gesundheitsdaten in der gesamten Union zu erleichtern und negative Folgen für Patienten zu vermeiden, die eine grenzüberschreitende Gesundheitsversorgung in Anspruch nehmen, muss die Union tätig werden, um den Zugang von Einzelpersonen zu ihren eigenen personenbezogenen elektronischen Gesundheitsdaten zu verbessern und sie in die Lage zu versetzen, diese Daten weiterzugeben. In diesem Zusammenhang sollten angemessene Maßnahmen auf Unionsebene und auf nationaler Ebene ergriffen werden, um die Fragmentierung, Heterogenität und Zerteilung zu verringern und ein benutzerfreundliches und intuitives System in allen Mitgliedstaaten zu schaffen. Jeder digitale Wandel im Bereich des Gesundheitswesens sollte möglichst inklusiv sein und auch jenen natürlichen Personen zugutekommen, die nur begrenzte Zugangs- und Nutzungsmöglichkeiten im Hinblick auf digitale Dienste haben, einschließlich Menschen mit Behinderungen.

(8)

Die Verordnung (EU) 2016/679 enthält besondere Bestimmungen über die Rechte natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Der EHDS baut auf diesen Rechten auf und ergänzt einige von ihnen im Fall der Anwendung auf personenbezogene elektronische Gesundheitsdaten. Diese Rechte gelten unabhängig von dem Mitgliedstaat, in dem die personenbezogenen elektronischen Gesundheitsdaten verarbeitet werden, der Art des Gesundheitsdienstleisters, den Datenquellen oder dem Versicherungsmitgliedstaat der natürlichen Person. Die Rechte und Vorschriften im Zusammenhang mit der Primärnutzung personenbezogener elektronischer Gesundheitsdaten gemäß der vorliegenden Verordnung betreffen alle Kategorien dieser Daten, unabhängig davon, wie sie erhoben wurden oder von wem sie zur Verfügung gestellt wurden, auf welcher Rechtsgrundlage die Verarbeitung im Rahmen der Verordnung (EU) 2016/679 erfolgt oder ob der Verantwortliche den Status einer öffentlichen oder privaten Organisation hat. Die in der vorliegenden Verordnung vorgesehenen zusätzlichen Rechte auf Zugang zu und Übertragbarkeit von personenbezogenen elektronischen Gesundheitsdaten sollten die in der Verordnung (EU) 2016/679 festgelegten Rechte auf Zugang und Übertragbarkeit unberührt lassen. Natürliche Personen haben diese Rechte weiterhin unter den in jener Verordnung festgelegten Bedingungen.

(9)

Während die durch die Verordnung (EU) 2016/679 verliehenen Rechte weiterhin gelten sollten, sollte das in der Verordnung (EU) 2016/679 verankerte Recht einer natürlichen Person auf Datenzugang im Gesundheitswesen weiter ergänzt werden. Nach den Bestimmungen jener Verordnung sind die Verantwortlichen nicht verpflichtet, unverzüglich Zugang zu gewähren. Das Recht auf Zugang zu Gesundheitsdaten wird an vielen Orten nach wie vor dadurch umgesetzt, dass die angeforderten Gesundheitsdaten in Papierform oder als gescannte Dokumente zur Verfügung gestellt werden, was zeitaufwendig für den Verantwortlichen, etwa ein Krankenhaus oder einen anderen Gesundheitsdienstleister, der den Zugang gewährt, ist. Dies verlangsamt den Zugang natürlicher Personen zu Gesundheitsdaten und kann negative Folgen für sie haben, wenn sie diesen Zugang aufgrund dringender Umstände im Zusammenhang mit ihrem Gesundheitszustand unverzüglich benötigen. Es ist daher notwendig, natürlichen Personen einen effizienteren Zugang zu ihren eigenen personenbezogenen elektronischen Gesundheitsdaten zu bieten. Sie sollten ein Recht auf kostenlosen und unmittelbaren Zugang zu bestimmten prioritären Kategorien personenbezogener elektronischer Gesundheitsdaten haben, wie etwa der Patientenkurzakte, wobei die technische Umsetzbarkeit über einen Zugangsdienst für elektronische Gesundheitsdaten zu berücksichtigen ist. Dieses Recht sollte unabhängig von dem Mitgliedstaat, in dem die personenbezogenen elektronischen Gesundheitsdaten verarbeitet werden, der Art des Gesundheitsdienstleisters, den Datenquellen oder dem Versicherungsmitgliedstaat der natürlichen Person gelten. Der Geltungsbereich dieses ergänzenden Rechts gemäß der vorliegenden Verordnung und die Bedingungen für seine Ausübung unterscheiden sich in gewisser Weise vom Auskunftsrecht gemäß der Verordnung (EU) 2016/679, das alle personenbezogenen Daten umfasst, die sich im Besitz eines Verantwortlichen befinden, und gegenüber einem einzelnen Verantwortlichen geltend gemacht wird, der bis zu einen Monat Zeit hat, eine Anfrage zu beantworten. Das Recht auf Zugang zu personenbezogenen elektronischen Gesundheitsdaten gemäß der vorliegenden Verordnung sollte auf die Kategorien von Daten beschränkt sein, die in seinen Geltungsbereich fallen, über einen Zugangsdienst für elektronische Gesundheitsdaten ausgeübt werden und umgehend eine Antwort liefern. Die Rechte gemäß der Verordnung (EU) 2016/679 sollten weiterhin gelten, sodass natürliche Personen die Rechte beider Rechtsrahmen in Anspruch nehmen können, insbesondere das Recht auf Erhalt einer Papierfassung der elektronischen Gesundheitsdaten.

(10)

Es sollte berücksichtigt werden, dass der unmittelbare Zugang natürlicher Personen zu bestimmten Kategorien ihrer personenbezogenen elektronischen Gesundheitsdaten die Sicherheit dieser natürlicher Personen gefährden oder unethisch sein könnte. Beispielsweise könnte es unethisch sein, einem Patienten die Diagnose einer unheilbaren, wahrscheinlich tödlich verlaufenden Krankheit, auf elektronischem Wege mitzuteilen, anstatt zunächst im Patientengespräch. Daher sollte es in derartigen Situationen möglich sein, den Zugang zu personenbezogenen elektronischen Gesundheitsdaten erst mit begrenztem zeitlichen Aufschub zu gewähren, zum Beispiel bis zu dem Moment, an dem der Angehörige eines Gesundheitsberufs dem Patienten die Situation erklären kann. Die Mitgliedstaaten sollten die Möglichkeit haben, im Einklang mit in Artikel 23 der Verordnung (EU) 2016/679 vorgesehenen Einschränkungen eine derartige Ausnahme festzulegen, wenn es sich dabei um eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme handelt.

(11)

Die vorliegende Verordnung berührt nicht die Zuständigkeiten der Mitgliedstaaten in Bezug auf die erstmalige Erfassung personenbezogener elektronischer Gesundheitsdaten, etwa die Verpflichtung, die Erfassung genetischer Daten von der Einwilligung der natürlichen Person oder anderen Schutzmaßnahmen abhängig zu machen. Die Mitgliedstaaten können verlangen, dass Daten bereits vor der Anwendung dieser Verordnung in elektronischer Form zur Verfügung gestellt werden. Die Verpflichtung, personenbezogene elektronische Gesundheitsdaten, die nach dem Geltungsbeginn dieser Verordnung erfasst werden, in elektronischem Format zur Verfügung zu stellen, sollte davon unberührt bleiben.

(12)

Um die ihnen zur Verfügung stehenden Informationen zu ergänzen, sollten natürliche Personen die Möglichkeit haben, ihren EHR elektronische Gesundheitsdaten hinzuzufügen oder zusätzliche Informationen in ihren eigenen persönlichen Gesundheitsaufzeichnungen zu speichern, zu denen Angehörige der Gesundheitsberufe Zugang haben könnten. Informationen, die von natürlichen Personen hinzugefügt werden, sind jedoch möglicherweise weniger verlässlich als elektronische Gesundheitsdaten, die von Angehörigen der Gesundheitsberufe eingegeben und überprüft werden, und haben nicht den gleichen klinischen oder rechtlichen Wert wie die von Angehörigen der Gesundheitsberufe zur Verfügung gestellten Informationen. Daher sollten die von natürlichen Personen in ihre EHR eingegebenen Daten von den von Angehörigen der Gesundheitsberufe bereitgestellten Daten eindeutig unterscheidbar sein. Diese Möglichkeit für natürliche Personen personenbezogene elektronische Gesundheitsdaten hinzuzufügen und zu ergänzen, sollte sie nicht dazu berechtigen, personenbezogene elektronische Gesundheitsdaten zu ändern, die von Angehörigen der Gesundheitsberufe zur Verfügung gestellt wurden.

(13)

Indem natürliche Personen leichteren und schnelleren Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten erhalten, können sie mögliche Fehler wie falsche Angaben oder falsch zugeordnete Patientenakten erkennen. In solchen Fällen sollten natürliche Personen die Möglichkeit haben, online die Berichtigung unrichtiger personenbezogener elektronischer Gesundheitsdaten unverzüglich und kostenlos über einen Zugangsdienst für elektronische Gesundheitsdaten zu verlangen. Derartige Berichtigungsersuchen sollten von den einschlägigen Verantwortlichen im Einklang mit der Verordnung (EU) 2016/679 bearbeitet werden, erforderlichenfalls unter Einbeziehung von Angehörigen der Gesundheitsberufe mit einschlägiger Spezialisierung, die für die Behandlung der natürlichen Personen verantwortlich sind.

(14)

Im Rahmen der Verordnung (EU) 2016/679 ist das Recht auf Datenübertragbarkeit auf Daten beschränkt, die auf der Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden und die die betroffene Person einem Verantwortlichen zur Verfügung stellt. Außerdem haben natürliche Personen im Rahmen jener Verordnung nur insoweit Anspruch auf direkte Übermittlung der personenbezogenen Daten von einem Verantwortlichen an einen anderen, als dies technisch machbar ist. Die Verordnung (EU) 2016/679 sieht jedoch keine Verpflichtung vor, die Machbarkeit dieser direkten Übertragung technisch möglich zu machen. Das Recht auf Datenübertragbarkeit sollte im Rahmen der vorliegenden Verordnung ergänzt werden, sodass natürliche Personen in die Lage versetzt werden, den von ihnen gewählten Angehörigen der Gesundheitsberufe Zugang zumindest zu den prioritären Kategorien ihrer personenbezogenen elektronischen Gesundheitsdaten zu gewähren, diese Gesundheitsdaten mit diesen Angehörigen der Gesundheitsberufe auszutauschen und diese Gesundheitsdaten herunterzuladen. Darüber hinaus sollten natürliche Personen das Recht haben, von einem Gesundheitsdienstleister zu verlangen, einen Teil ihrer elektronischen Gesundheitsdaten an einen eindeutig bestimmten Empfänger aus dem Bereich der sozialen Sicherheit oder der Erstattungsdienste zu übermitteln. Eine solche Übertragung sollte nur in eine Richtung erfolgen.

(15)

Der in der vorliegenden Verordnung festgelegte Rahmen sollte auf dem in der Verordnung (EU) 2016/679 verankerten Recht auf Datenübertragbarkeit aufbauen, indem sichergestellt wird, dass natürliche Personen als betroffene Personen ihre personenbezogenen elektronischen Gesundheitsdaten, einschließlich abgeleiteter Daten, im europäischen Austauschformat für EHR unabhängig von der Rechtsgrundlage der Verarbeitung der elektronischen Gesundheitsdaten übermitteln können. Angehörige der Gesundheitsberufe sollten davon absehen, die Ausübung der Rechte natürlicher Personen zu behindern, beispielsweise indem sie sich weigern, personenbezogene elektronische Gesundheitsdaten aus einem anderen Mitgliedstaat zu berücksichtigen, die im interoperablen und verlässlichen europäischen Austauschformat für EHR zur Verfügung gestellt werden.

(16)

Der Zugang zu EHR durch Gesundheitsdienstleister oder andere Einzelpersonen sollte für die betroffenen natürlichen Personen transparent sein. Zugangsdienste für elektronische Gesundheitsdaten sollten detaillierte Informationen über den Datenzugang zur Verfügung stellen, etwa darüber, wann welche Stelle oder natürliche Person auf die Daten zugegriffen hat und auf welche Daten zugegriffen wurde. Natürliche Personen sollten auch die Möglichkeit haben, automatische Benachrichtigungen über Zugriffe auf sie betreffende personenbezogene elektronische Gesundheitsdaten über die Zugangsdienste für Angehörige der Gesundheitsberufe zu aktivieren oder zu deaktivieren.

(17)

Es könnte sein, dass natürliche Personen Zugriff nur auf Teile ihrer personenbezogenen elektronischen Gesundheitsdaten gewähren wollen, auf andere Teile hingegen nicht. Dies könnte insbesondere bei sensiblen gesundheitlichen Angelegenheiten von Bedeutung sein, wie etwa solchen, die mit der psychischen oder sexuellen Gesundheit, mit sensiblen Prozeduren wie Abtreibungen oder mit Daten zu bestimmten Medikamenten zusammenhängen, durch die andere sensible Sachverhalte offengelegt werden könnten. Eine solche selektive Weitergabe personenbezogener elektronischer Gesundheitsdaten sollte daher unterstützt und dadurch umgesetzt werden, dass die betroffene natürliche Person gleichermaßen innerhalb des Hoheitsgebiets eines bestimmten Mitgliedstaats wie für die grenzüberschreitende Weitergabe von Daten Beschränkungen festlegen kann. Diese Beschränkungen sollten eine ausreichende Detailliertheit ermöglichen, sodass Teile von Datensätzen, etwa Bestandteile der Patientenkurzakten, beschränkt werden können. Vor der Festlegung der Beschränkungen sollten natürliche Personen über die Risiken für die Patientensicherheit informiert werden, die mit der Beschränkung des Zugangs zu Gesundheitsdaten verbunden sind. Da sich die Nichtverfügbarkeit der beschränkten personenbezogenen elektronischen Gesundheitsdaten auf die Bereitstellung oder Qualität der der natürlichen Person erbrachten Gesundheitsdienstleistungen auswirken kann, sollten natürliche Personen, die von solchen Beschränkungen des Zugangs Gebrauch machen, die Verantwortung dafür übernehmen, dass der Gesundheitsdienstleister die Daten bei der Erbringung von Gesundheitsdienstleistungen nicht berücksichtigen kann. Die Beschränkungen des Zugangs zu personenbezogenen elektronischen Gesundheitsdaten könnten lebensbedrohliche Folgen haben, daher sollte der Zugang zu diesen Daten nichtsdestotrotz möglich sein, wenn dies in Notfallsituationen zum Schutz lebenswichtiger Interessen erforderlich ist. Die Mitgliedstaaten können in ihrem nationalen Recht spezifischere Rechtsvorschriften zu den Beschränkungsmechanismen vorsehen, die natürliche Personen für Teile ihrer personenbezogenen elektronischen Gesundheitsdaten festlegen, insbesondere in Bezug auf die medizinische Haftung in Fällen, in denen die betroffene natürliche Person Beschränkungen festgelegt hat.

(18)

Darüber hinaus sollten die Mitgliedstaaten aufgrund der dort bestehenden unterschiedlichen Befindlichkeiten in Bezug auf den Grad der Kontrolle von Patienten über ihre Gesundheitsdaten die Möglichkeit haben, ein absolutes Recht zum Widerspruch gegen den Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten durch andere Personen als den ursprünglichen Verantwortlichen vorzusehen, ohne die Möglichkeit, diesen Widerspruch in Notfällen außer Kraft zu setzen. In diesem Fall sollten die Mitgliedstaaten Vorschriften und besondere Schutzmaßnahmen für derartige Mechanismen zum Widerspruch festlegen. Diese Vorschriften und besonderen Schutzmaßnahmen könnten sich auch auf bestimmte Kategorien personenbezogener elektronischer Gesundheitsdaten beziehen, etwa auf genetische Daten. Das Recht zum Widerspruch bedeutet, dass personenbezogene elektronische Gesundheitsdaten in Bezug auf die natürliche Person, die von diesem Recht Gebrauch macht, über den Gesundheitsdienstleister, der die Behandlung erbracht hat, hinaus nicht über die im Rahmen des EHDS eingerichteten Dienste verfügbar gemacht werden. Die Mitgliedstaaten sollten die Möglichkeit haben, die Erfassung und Speicherung personenbezogener elektronischer Gesundheitsdaten in einem EHR-System vorzuschreiben, das von dem Gesundheitsdienstleister, der die Gesundheitsdienstleistungen erbracht hat, genutzt wird und das nur für diesen Gesundheitsdienstleister zugänglich ist. Hat eine natürliche Person von dem Recht zum Widerspruch Gebrauch gemacht, so werden Gesundheitsdienstleister durchgeführte Behandlungen weiterhin im Einklang mit den geltenden Vorschriften dokumentieren und weiterhin auf die von ihnen erfassten Daten zugreifen können. Natürliche Personen, die von dem Recht zum Widerspruch Gebrauch machen, sollten ihre Entscheidung rückgängig machen können. In diesem Fall sind personenbezogene elektronische Gesundheitsdaten, die während des Zeitraums des Widerspruchs generiert wurden, möglicherweise nicht über die Zugangsdienste und MyHealth@EU verfügbar.

(19)

Ein rascher und umfassender Zugang von Angehörigen der Gesundheitsberufe zu den Krankenakten ist von grundlegender Bedeutung, um eine kontinuierliche Versorgung sicherzustellen, Doppelarbeit und Fehler zu vermeiden und die Kosten zu senken. Aufgrund mangelnder Interoperabilität können Angehörige der Gesundheitsberufe jedoch in vielen Fällen nicht auf die vollständigen Krankenakten zugreifen und daher bei der Diagnose und Behandlung keine optimalen medizinischen Entscheidungen treffen, was sowohl für die Gesundheitssysteme als auch für natürliche Personen mit erheblichen Kosten verbunden ist und zu schlechteren Gesundheitsergebnissen für natürliche Personen führen kann. Elektronische Gesundheitsdaten, die in interoperablem Format vorliegen und zwischen Gesundheitsdienstleistern ausgetauscht werden können, verringern auch den Verwaltungsaufwand für die Angehörigen der Gesundheitsberufe, der entsteht, wenn Gesundheitsdaten manuell in elektronische Systeme eingegeben oder kopiert werden müssen. Daher sollten für Angehörige der Gesundheitsberufe geeignete elektronische Mittel, wie elektronische Geräte und Portale für Angehörige der Gesundheitsberufe oder andere Zugangsdienste für Angehörige der Gesundheitsberufe eingerichtet werden, damit diese bei der Wahrnehmung ihrer Aufgaben auf personenbezogene elektronische Gesundheitsdaten zurückgreifen können. Da es schwierig ist, im Voraus abschließend zu bestimmen, welche der vorhandenen Daten in prioritären Kategorien während einer bestimmten Behandlungsphase medizinisch relevant sind, sollten die Angehörigen der Gesundheitsberufe einen umfangreichen Zugang zu den Daten haben. Beim Zugang zu Daten über ihre Patienten sollten Angehörige der Gesundheitsberufe die geltenden Rechtsvorschriften, Verhaltenskodizes, deontologische Leitlinien oder andere Bestimmungen über ethisches Verhalten in Bezug auf den Austausch von Informationen oder den Zugang dazu, insbesondere in lebensbedrohlichen oder extremen Situationen, einhalten. Im Einklang mit der Verordnung (EU) 2016/679 sollten Gesundheitsdienstleister beim Zugriff auf personenbezogene elektronische Gesundheitsdaten den Grundsatz der Datenminimierung befolgen, um den Zugang auf das in der konkreten Behandlungsphase relevante Maß zu beschränken, die für eine bestimmte Dienstleistung unbedingt notwendig und gerechtfertigt sind. Die Bereitstellung von Zugangsdiensten für Angehörige der Gesundheitsberufe ist eine Aufgabe, die durch die vorliegende Verordnung im öffentlichen Interesse zugewiesen wird und die Erfüllung dieser Aufgabe die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 erfordert. Die vorliegende Verordnung sieht Bedingungen und Schutzmaßnahmen für die Verarbeitung elektronischer Gesundheitsdaten über den Zugangsdienst für Angehörige der Gesundheitsberufe im Einklang mit Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 vor, beispielsweise detaillierte Bestimmungen über die Protokollierung des Zugangs zu personenbezogenen elektronischen Gesundheitsdaten, um den betroffenen Personen Transparenz zu bieten. Die vorliegende Verordnung sollte jedoch das nationale Recht über die Verarbeitung von Gesundheitsdaten für die Gesundheitsversorgung unberührt lassen, einschließlich des nationalen Rechts, in dem die Kategorien von Angehörigen der Gesundheitsberufe, die verschiedene Kategorien elektronischer Gesundheitsdaten verarbeiten können, festgelegt sind.

(20)

Um die Ausübung der ergänzenden Zugangs- und Übertragbarkeitsrechte, die im Rahmen dieser Verordnung geschaffen werden, zu erleichtern, sollten die Mitgliedstaaten einen Zugangsdienst für elektronische Gesundheitsdaten oder mehrere solcher Zugangsdienste einrichten. Diese Dienste könnten auf nationaler, regionaler oder lokaler Ebene oder von Gesundheitsdienstleistern in Form eines Online-Patientenportals, einer Anwendung für mobile Geräte oder auf andere Weise zur Verfügung gestellt werden. Sie sollten barrierefrei gestaltet sein, insbesondere für Menschen mit Behinderungen. Die Bereitstellung eines solchen Dienstes, der natürlichen Personen einen einfachen Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten gewährt, ist von wesentlichem öffentlichen Interesse. Die Verarbeitung personenbezogener elektronischer Gesundheitsdaten über diese Dienste ist für die Wahrnehmung der mit der vorliegenden Verordnung übertragenen Aufgabe im Sinne von Artikel 6 Absatz 1 Buchstabe e und Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 erforderlich. Die vorliegende Verordnung legt die erforderlichen Bedingungen und Schutzmaßnahmen für die Verarbeitung elektronischer Gesundheitsdaten über die Zugangsdienste für elektronische Gesundheitsdaten fest, wie die elektronische Identifizierung natürlicher Personen, die auf diese Dienste zugreifen.

(21)

Natürliche Personen sollten die Möglichkeit haben, anderen natürlichen Personen ihrer Wahl, etwa Angehörigen oder anderen ihnen nahestehenden Personen, eine Berechtigung für den Zugang oder die Kontrolle des Zugangs zu den personenbezogenen elektronischen Gesundheitsdaten der natürlichen Person, die diese Berechtigung erteilen, oder für die Nutzung digitaler Gesundheitsdienste in ihrem Namen zu erteilen. Solche Berechtigungen könnten auch für eine andere Nutzung durch natürliche Personen geeignet sein, denen eine solche Berechtigung erteilt wurde. Zur Ermöglichung und Umsetzung dieser Berechtigungen sollten von den Mitgliedstaaten digitale Vertreterdienste eingerichtet werden, die mit Zugangsdiensten für personenbezogene elektronische Gesundheitsdaten, wie Patientenportalen oder patientenseitigen Anwendungen für mobile Geräte, verknüpft sein sollten. Diese digitalen Vertreterdienste sollten es auch Vormunden ermöglichen, im Namen ihrer Mündel, einschließlich Minderjähriger, zu handeln; in solchen Fällen könnten Berechtigungen automatisch erteilt werden. Zusätzlich zu diesen digitalen Vertreterdiensten sollten die Mitgliedstaaten auch leicht zugängliche Dienste zur Unterstützung einrichten, die von angemessen geschultem Personal bereitgestellt werden, das natürlichen Personen bei der Wahrnehmung ihrer Rechte behilflich ist. Für Fälle, in denen es den Interessen oder dem Willen ihrer Mündel, einschließlich von Minderjährigen zuwiderlaufen könnte, wenn ihre Vormunde Einsicht in bestimmte personenbezogene elektronische Gesundheitsdaten über sie erhalten, sollten die Mitgliedstaaten die Möglichkeit haben, im nationalen Recht Beschränkungen und Schutzmaßnahmen sowie Mechanismen für deren technische Umsetzung vorzusehen. Bei den Zugangsdiensten für personenbezogene elektronische Gesundheitsdaten, wie Portalen für Patienten oder patientenseitigen Anwendungen für mobile Geräte für Patienten, sollten solche Berechtigungen akzeptiert werden, sodass natürliche Personen mit Vertretungsbefugnis Zugang zu den personenbezogenen elektronischen Gesundheitsdaten im Geltungsbereich der Berechtigung erhalten. Um eine horizontale Lösung mit erhöhter Benutzerfreundlichkeit zu bieten, sollten digitale Lösungen für Vertreter mit der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (7) und den technischen Spezifikationen der Brieftasche für die Europäische Digitale Identität im Einklang stehen. Diese Angleichung würde dazu beitragen, sowohl den administrativen als auch den finanziellen Aufwand für die Mitgliedstaaten zu verringern, indem das Risiko der Entwicklung paralleler Systeme, die nicht in der gesamten Union interoperabel sind, verringert wird.

(22)

In einigen Mitgliedstaaten wird die Gesundheitsversorgung von Teams für die Verwaltung der medizinischen Grundversorgung erbracht, bei denen es sich um Gruppen von Angehörigen der Gesundheitsberufe mit Schwerpunkt auf der Grundversorgung, d. h. Allgemeinmedizinern, handelt, die ihre Tätigkeiten im Bereich der Grundversorgung auf der Grundlage eines von ihnen erstellten Plans für die Gesundheitsversorgung ausführen. In mehreren Mitgliedstaaten gibt es auch andere Arten von Gesundheitsversorgungsteams für andere Behandlungszwecke. Im Zusammenhang mit der Primärnutzung des EHDS sollte Angehörigen der Gesundheitsberufe, die derartigen Teams angehören, Zugang gewährt werden.

(23)

Die gemäß der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden sind für die Überwachung und Durchsetzung der Anwendung jener Verordnung zuständig, insbesondere für die Überwachung der Verarbeitung personenbezogener elektronischer Gesundheitsdaten und für die Bearbeitung von Beschwerden betroffener natürlicher Personen. Mit der vorliegenden Verordnung werden zusätzliche Rechte für natürliche Personen in Bezug auf die Primärnutzung eingeführt, die über die in der Verordnung (EU) 2016/679 verankerten Rechte auf Zugang und Übertragbarkeit hinausgehen und diese Rechte ergänzen. Da diese zusätzlichen Rechte ebenfalls von den gemäß der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden durchgesetzt werden sollten die Mitgliedstaaten sicherstellen, dass diese Aufsichtsbehörden mit den finanziellen und personellen Ressourcen, Räumlichkeiten und der Infrastruktur ausgestattet werden, die sie benötigen, um diese zusätzlichen Aufgaben wahrnehmen zu können. Die Aufsichtsbehörde oder die Behörden, die für die Überwachung und Durchsetzung der Verarbeitung personenbezogener elektronischer Gesundheitsdaten für die Primärnutzung im Einklang mit der Verordnung zuständig sind, sollten für die Verhängung von Geldbußen zuständig sein. Nach der Rechtsordnung Dänemarks sind die in dieser Verordnung vorgesehenen Geldbußen nicht zulässig. Die Vorschriften über Geldbußen können so angewandt werden, dass die Geldbußen in Dänemark von den zuständigen nationalen Gerichten als strafrechtliche Sanktion verhängt werden, sofern eine solche Anwendung der Vorschriften die gleiche Wirkung hat wie von Aufsichtsbehörden verhängte Geldbußen. In jedem Fall sollten die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein.

(24)

Die Mitgliedstaaten sollten sich darum bemühen, ethische Grundsätze wie die vom eHealth-Netzwerk am 26. Januar 2022 angenommenen europäischen Ethikgrundsätze für das digitale Gesundheitswesen und den Grundsatz der Vertraulichkeit zwischen Angehörigen der Gesundheitsberufe und Patienten bei der Anwendung dieser Verordnung einzuhalten. In Anerkennung der Bedeutung der ethischen Grundsätze bieten die europäischen Ethikgrundsätze für das digitale Gesundheitswesen Behandelnden, Forschern, Innovatoren, politischen Entscheidungsträgern und Regulierungsbehörden Orientierungshilfen.

(25)

Die verschiedenen Kategorien elektronischer Gesundheitsdaten sind für die verschiedenen Szenarien der Gesundheitsversorgung unterschiedlich relevant. Die verschiedenen Kategorien weisen auch unterschiedliche Grade von Standardisierung auf, weshalb die Umsetzung von Mechanismen für ihren Austausch je nach Kategorie unterschiedlich komplex ist. Daher sollten die Interoperabilität und der Datenaustausch schrittweise verbessert werden, und für bestimmte Kategorien elektronischer Gesundheitsdaten bedarf es einer Priorisierung. Kategorien elektronischer Gesundheitsdaten wie etwa Patientenkurzakten, elektronische Verschreibungen und Abgaben von Arzneimitteln, Medizinische Bildgebung und damit zusammenhängende, auf Bildgebung gestützte Befunde, Ergebnisse medizinischer Untersuchungen wie Laborergebnisse und damit zusammenhängende Berichte sowie Entlassungsberichte wurden vom eHealth-Netzwerk als besonders relevant für die meisten Fälle von Gesundheitsversorgung ermittelt und sollten von den Mitgliedstaaten daher als prioritäre Kategorien bei der Ermöglichung des Zugangs und der Übermittlung betrachtet werden. Wenn solche prioritären Datenkategorien Gruppen elektronischer Gesundheitsdaten entsprechen, sollte diese Verordnung sowohl für die Gruppen als Ganzes als auch für einzelne Dateneinträge in diesen Gruppen gelten. Da beispielsweise der Impfstatus Teil einer Patientenkurzakte ist, sollten die mit der Patientenkurzakte verbundenen Rechte und Anforderungen auch für einen solchen Impfstatus gelten, auch wenn dieser getrennt von der gesamten Patientenkurzakte verarbeitet wird. Wird Bedarf am Austausch von zusätzlichen Kategorien elektronischer Gesundheitsdaten für Zwecke der Gesundheitsversorgung festgestellt, sollten der Zugang zu diesen zusätzlichen Kategorien und deren Austausch im Rahmen dieser Verordnung ermöglicht werden. Die zusätzlichen Kategorien sollten zunächst auf Ebene der Mitgliedstaaten umgesetzt werden, und der freiwillige Austausch dieser Datenkategorien in grenzüberschreitenden Situationen zwischen den zusammenarbeitenden Mitgliedstaaten sollte in dieser Verordnung festgelegt werden. Besondere Aufmerksamkeit sollte dem Datenaustausch in Grenzregionen benachbarter Mitgliedstaaten gelten, in denen häufiger grenzüberschreitende Gesundheitsdienste erbracht werden und noch schnellere Verfahren erfordern als in der Union allgemein.

(26)

Der Umfang der Verfügbarkeit personenbezogener Gesundheitsdaten und genetischer Daten in elektronischem Format variiert zwischen den Mitgliedstaaten. Der EHDS sollte es natürlichen Personen erleichtern, diese Daten in elektronischer Form zur Verfügung gestellt zu bekommen, und den Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten und deren Weitergabe besser zu kontrollieren. Dies würde auch zur Verwirklichung des in Beschluss (EU) 2022/2481 des Europäischen Parlaments und des Rates (8) genannten Ziels beitragen, dass bis 2030 100 % der Unionsbürger Zugang zu ihren EHR haben. Um elektronische Gesundheitsdaten zugänglich und übertragbar zu machen, sollten diese Daten — zumindest für bestimmte Kategorien elektronischer Gesundheitsdaten wie Patientenkurzakten, elektronische Verschreibungen und Abgaben von Arzneimitteln, Medizinische Bildgebung und damit zusammenhängende, auf Bildgebung gestützte Befunde, Ergebnisse medizinischer Untersuchungen und Entlassungsberichte — vorbehaltlich der Übergangsfristen — in einem interoperablen gemeinsamen europäischen Austauschformat für EHR abgerufen und übermittelt werden. Werden personenbezogene elektronische Gesundheitsdaten einem Gesundheitsdienstleister oder einer Apotheke von einer natürlichen Person zur Verfügung gestellt oder von einem anderen Verantwortlichen im europäischen Austauschformat für EHR übermittelt, so sollte dieses Format akzeptiert werden, und der Empfänger sollte in der Lage sein, die Daten zu lesen und sie für die Erbringung von Gesundheitsversorgung oder die Abgabe eines Arzneimittels zu nutzen, damit sie die Erbringung der Gesundheitsdienstleistungen oder die Abgabe des Arzneimittels auf elektronische Verschreibung unterstützen können. Das europäische Austauschformat für EHR sollte so gestaltet sein, dass die Übersetzung der in diesem Format übermittelten elektronischen Gesundheitsdaten in die Amtssprachen der Union so weit wie möglich erleichtert wird. Die Empfehlung (EU) 2019/243 der Kommission (9) liefert die Grundlage für ein solches gemeinsames europäisches Austauschformat für EHR. Die Interoperabilität des EHDS sollte zu einer hohen Qualität der europäischen Gesundheitsdatensätze beitragen. Die Verwendung des europäischen Austauschformats für EHR sollte auf Unionsebene und auf nationaler Ebene stärker verbreitet werden. Das europäische Austauschformat für EHR könnte für die Verwendung auf Ebene der EHR-Systeme und auf Ebene der nationalen Kontaktstellen für digitale Gesundheit in MyHealth@EU für den grenzüberschreitenden Datenaustausch unterschiedliche Profile zulassen.

(27)

Während EHR-Systeme weit verbreitet sind, variiert der Digitalisierungsgrad der Gesundheitsdaten in den Mitgliedstaaten abhängig von den Datenkategorien und vom Anteil der Gesundheitsdienstleister, die Gesundheitsdaten in elektronischer Form erfassen. Um die Anwendung der Rechte betroffener Personen auf Zugang zu elektronischen Gesundheitsdaten und deren Austausch zu unterstützen, muss die Union tätig werden, damit eine weitere Fragmentierung vermieden wird. Als Beitrag zu einer hohen Qualität und Kontinuität der Gesundheitsversorgung sollten bestimmte Kategorien von Gesundheitsdaten systematisch in elektronischer Form und unter Einhaltung spezifischer Datenqualitätsanforderungen erfasst werden. Das europäische Austauschformat für EHR sollte die Grundlage für Spezifikationen bilden, die die Erfassung und den Austausch elektronischer Gesundheitsdaten betreffen.

(28)

Die Telemedizin wird zu einem immer wichtigeren Instrument, mit dem Patienten Zugang zu Versorgung erhalten und Ungerechtigkeiten beseitigt werden können. Sie hat das Potenzial, Ungleichheiten im Gesundheitsbereich abzubauen und die Freizügigkeit der Bürgerinnen und Bürger der Union über Grenzen hinweg zu stärken. Digitale und andere technologische Instrumente können die medizinische Versorgung in abgelegenen Gebieten erleichtern. Wenn digitale Dienstleistungen mit der physischen Erbringung einer Gesundheitsdienstleistung im Zusammenhang stehen, sollte die digitale Dienstleistung als Teil der gesamten Behandlung berücksichtigt werden. Nach Artikel 168 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) sind die Mitgliedstaaten für ihre Gesundheitspolitik zuständig, insbesondere für die Organisation des Gesundheitswesens und die medizinische Versorgung, einschließlich der Regulierung von Tätigkeiten wie jenen von Online-Apotheken, Telemedizin und anderen Dienstleistungen, die im Einklang mit ihren nationalen Rechtsvorschriften erbracht und erstattet werden. Unterschiede in der Gesundheitspolitik sollten jedoch keine Hindernisse für den freien Verkehr elektronischer Gesundheitsdaten im Zusammenhang mit der grenzüberschreitenden Gesundheitsversorgung, zum Beispiel der Telemedizin und Dienstleistungen von Online-Apotheken, darstellen.

(29)

In der Verordnung (EU) Nr. 910/2014 sind die Bedingungen, unter denen die Mitgliedstaaten natürliche Personen in grenzüberschreitenden Situationen mithilfe von elektronischen Identifizierungsmitteln, die von einem anderen Mitgliedstaat ausgestellt wurden, identifizieren, sowie Vorschriften für die gegenseitige Anerkennung solcher elektronischen Identifizierungsmittel festgelegt. Der EHDS erfordert einen sicheren Zugang zu elektronischen Gesundheitsdaten, einschließlich in grenzüberschreitenden Szenarien. Bei Zugangsdiensten für elektronische Gesundheitsdaten und telemedizinischen Diensten sollten die Rechte natürlicher Personen unabhängig von ihrem Versicherungsmitgliedstaat ausgeübt werden können, weshalb die Identifizierung natürlicher Personen mithilfe elektronischer Identifizierungsmittel, die gemäß der Verordnung (EU) Nr. 910/2014 anerkannt wurden, unterstützt werden sollte. Angesichts der Möglichkeit von Herausforderungen beim Identitätsabgleich in grenzüberschreitenden Situationen, könnte es erforderlich sein, dass in Behandlungsmitgliedstaaten für natürliche Personen, die aus anderen Mitgliedstaaten kommen und Gesundheitsversorgung erhalten, möglicherweise zusätzliche Zugangsmechanismen wie Token oder Codes ausgeben. Der Kommission sollte die Befugnis übertragen werden, Durchführungsrechtsakte für die Festlegung der Anforderungen an die interoperable und grenzüberschreitende Identifizierung und Authentifizierung von natürlichen Personen und Angehörigen der Gesundheitsberufe zu erlassen, einschließlich etwaiger zusätzlicher Mechanismen, die erforderlich sind, um sicherzustellen, dass natürliche Personen ihre Rechte in Bezug auf personenbezogene elektronische Gesundheitsdaten in grenzüberschreitenden Situationen ausüben können.

(30)

Die Mitgliedstaaten sollten einschlägige Stellen für digitale Gesundheit benennen, die mit der Planung und Umsetzung von Standards für den Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung sowie mit der Durchsetzung der Rechte von natürlichen Personen und Angehörigen der Gesundheitsberufe betraut werden, entweder als gesonderte Einrichtungen oder als Teil bestehender Behörden. Die Bediensteten der Stelle für digitale Gesundheit sollten keine finanziellen oder sonstigen Interessen an Branchen oder wirtschaftlichen Tätigkeiten haben, die ihre Unparteilichkeit beeinträchtigen könnten. In den meisten Mitgliedstaaten gibt es bereits Stellen für digitale Gesundheit, die sich mit EHR, Interoperabilität, Sicherheit oder Standardisierung befassen. Bei der Wahrnehmung ihrer Aufgaben sollten die Stellen für digitale Gesundheit insbesondere mit den gemäß der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden und den gemäß der Verordnung (EU) Nr. 910/2014 eingerichteten Aufsichtsstellen zusammenarbeiten. Die Stellen für digitale Gesundheit können auch mit dem gemäß der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates (10) eingerichteten Europäischen Ausschuss für künstliche Intelligenz, der gemäß der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates (11) eingerichteten Koordinierungsgruppe Medizinprodukte, dem gemäß der Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates (12) eingerichteten Europäischen Dateninnovationsrat und den gemäß der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates (13) zuständigen Behörden zusammenarbeiten. Darüber hinaus sollten die Mitgliedstaaten die Beteiligung nationaler Akteure an der Zusammenarbeit auf Unionsebene, die Weitergabe von Fachwissen und die Beratung bei der Konzeption von Lösungen, die zur Erreichung der Ziele des EHDS erforderlich sind, erleichtern.

(31)

Jede natürliche oder juristische Person sollte unbeschadet anderweitiger verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen sie betreffende rechtsverbindliche Entscheidungen einer Stelle für digitale Gesundheit haben oder wenn eine Stelle für digitale Gesundheit eine Beschwerde nicht bearbeitet oder die natürliche oder juristische Person nicht innerhalb von drei Monaten über den Fortschritt oder das Ergebnis der Beschwerde unterrichtet. Für Gerichtsverfahren gegen eine Stelle für digitale Gesundheit sollten die Gerichte des Mitgliedstaats zuständig sein, in dem die Stelle für digitale Gesundheit ihren Sitz hat.

(32)

Die Stellen für digitale Gesundheit sollten über ausreichende technische Kompetenzen verfügen, möglicherweise indem sie Sachverständige verschiedener Organisationen zusammenbringen. Die Tätigkeiten der Stellen für digitale Gesundheit sollten sorgfältig geplant und überwacht werden, um ihre Effizienz sicherzustellen. Die Stellen für digitale Gesundheit sollten die erforderlichen Maßnahmen ergreifen, um die Rechte natürlicher Personen zu schützen, indem sie nationale, regionale und lokale technische Lösungen wie Vermittlungslösungen für nationale EHR und Patientenportale einrichten. Bei der Ergreifung dieser notwendigen Schutzmaßnahmen sollten die Stellen für digitale Gesundheit gemeinsame Standards und Spezifikationen für solche Lösungen anwenden, die Anwendung der Standards und Spezifikationen bei Auftragsvergabeverfahren fördern sowie andere innovative Mittel einsetzen, einschließlich der Kostenerstattung für Lösungen, die den Interoperabilitäts- und Sicherheitsanforderungen des EHDS entsprechen. Die Mitgliedstaaten sollten sicherstellen, dass geeignete Schulungsinitiativen umgesetzt werden. Insbesondere sollten die Angehörigen der Gesundheitsberufe über ihre Rechte und Pflichten im Rahmen dieser Verordnung informiert und diesbezüglich geschult werden. Zur Wahrnehmung ihrer Aufgaben sollten die Stellen für digitale Gesundheit auf Unionsebene und nationaler Ebene mit anderen Stellen zusammenarbeiten, darunter Versicherer, Gesundheitsdienstleister, Angehörige der Gesundheitsberufe, Hersteller von EHR-Systemen und Wellness-Anwendungen sowie mit sonstigen Interessenträgern aus dem Gesundheits- oder Informationstechnologiesektor, Stellen für die Abwicklung von Erstattungen, Stellen für die Bewertung von Gesundheitstechnologien, Regulierungsbehörden und Agenturen für Arzneimittel, Behörden für Medizinprodukte, Beschaffer sowie Behörden für Cybersicherheit oder elektronische Identifizierung.

(33)

Der Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung sind in Fällen grenzüberschreitender Gesundheitsversorgung von Bedeutung, da dies die Kontinuität der Gesundheitsversorgung fördern kann, wenn natürliche Personen in andere Mitgliedstaaten reisen oder ihren Wohnort wechseln. Noch wichtiger ist die Kontinuität der Versorgung und der rasche Zugang zu personenbezogenen elektronischen Gesundheitsdaten für die Bewohner von Grenzregionen, die regelmäßig die Grenze überqueren, um Gesundheitsversorgung in Anspruch zu nehmen. In vielen Grenzregionen könnten bestimmte spezialisierte Gesundheitsdienstleistungen auf der anderen Grenzseite besser erreichbar sein als im eigenen Mitgliedstaat. Für Situationen, in denen eine natürliche Person die Dienste eines in einem anderen Mitgliedstaat niedergelassenen Gesundheitsdienstleisters in Anspruch nimmt, ist eine Infrastruktur für die grenzüberschreitende Übermittlung personenbezogener elektronischer Gesundheitsdaten erforderlich. Der schrittweise Ausbau dieser Infrastruktur und ihre Finanzierung sollten berücksichtigt werden. Eine freiwillige Infrastruktur für diesen Zweck — MyHealth@EU — wurde als Teil der Maßnahmen zur Erreichung der in der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (14) festgelegten Ziele eingerichtet. Mit MyHealth@EU haben die Mitgliedstaaten natürlichen Personen erstmals die Möglichkeit gegeben, ihre personenbezogenen elektronischen Gesundheitsdaten während Auslandsaufenthalten an Gesundheitsdienstleister weiterzugeben. Aufbauend auf dieser Erfahrung sollte die Beteiligung an MyHealth@EU gemäß der vorliegenden Verordnung für die Mitgliedstaaten verpflichtend sein. Durch technische Spezifikationen für MyHealth@EU sollte der Austausch prioritärer Kategorien elektronischer Gesundheitsdaten sowie zusätzlicher Kategorien, unterstützt durch das europäische Austauschformat für EHR, ermöglicht werden. Diese Spezifikationen sollten im Wege von Durchführungsrechtsakten festgelegt werden und auf den grenzüberschreitenden Spezifikationen des europäischen Austauschformats für EHR beruhen, ergänzt durch weitere Spezifikationen zur Cybersicherheit, zur technischen und semantischen Interoperabilität, zum Betrieb und zur Verwaltung von Dienstleistungen. Die Mitgliedstaaten sollten verpflichtet werden, sich an MyHealth@EU anzuschließen, die technischen Spezifikationen für MyHealth@EU einzuhalten und Gesundheitsdienstleister, einschließlich Apotheken, daran anzubinden, da dies erforderlich ist, um die mit dieser Verordnung geschaffenen Rechte natürlicher Personen auf Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten und deren Nutzung unabhängig vom Mitgliedstaat ausüben zu können.

(34)

MyHealth@EU bietet eine gemeinsame Infrastruktur für die Mitgliedstaaten, damit auf effiziente und sichere Weise Konnektivität und Interoperabilität sichergestellt werden, um die grenzüberschreitende Gesundheitsversorgung zu unterstützen, ohne dass die Zuständigkeiten der Mitgliedstaaten vor und nach der Übermittlung personenbezogener elektronischer Gesundheitsdaten über MyHealth@EU berührt werden. Die Mitgliedstaaten sind für die Organisation ihrer nationalen Kontaktstellen für digitale Gesundheit und für die Verarbeitung personenbezogener Daten zum Zweck der Gesundheitsversorgung vor und nach der Übermittlung dieser Daten über MyHealth@EU zuständig. Die Kommission sollte die Einhaltung der erforderlichen Anforderungen an die technische Entwicklung von MyHealth@EU sowie der detaillierten Vorschriften über die Sicherheit, Vertraulichkeit und den Schutz personenbezogener elektronischer Gesundheitsdaten durch die nationalen Kontaktstellen für digitale Gesundheit im Rahmen von Konformitätsüberprüfungen überwachen. Im Falle eines schwerwiegenden Verstoßes einer nationalen Kontaktstelle für digitale Gesundheit sollte die Kommission die Möglichkeit haben, die vom Verstoß betroffenen Dienste, die von dieser nationalen Kontaktstelle für digitale Gesundheit bereitgestellt werden, auszusetzen. Die Kommission sollte im Namen der Mitgliedstaaten innerhalb von MyHealth@EU als Auftragsverarbeiterin für die Mitgliedstaaten auftreten und zentrale Dienste für diese Infrastruktur erbringen. Um die Einhaltung der Datenschutzvorschriften sicherzustellen und einen Rahmen für das Risikomanagement bei der Übermittlung personenbezogener elektronischer Gesundheitsdaten zu schaffen, sollten die spezifischen Zuständigkeiten der Mitgliedstaaten als gemeinsam Verantwortliche und die Pflichten der Kommission als Auftragsverarbeiterin im Wege von Durchführungsrechtsakten festgelegt werden. Für die Daten und Dienstleistungen in einem Mitgliedstaat ist allein dieser Mitgliedstaat zuständig. Die vorliegende Verordnung bildet die Rechtsgrundlage für die Verarbeitung personenbezogener elektronischer Gesundheitsdaten im Rahmen dieser Infrastruktur als Aufgabe, die im öffentlichen Interesse gemäß Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 ausgeführt wird. Diese Verarbeitung ist für die Gesundheitsversorgung in grenzüberschreitenden Situationen gemäß Artikel 9 Absatz 2 Buchstabe h der genannten Verordnung erforderlich.

(35)

Zusätzlich zu den Diensten in MyHealth@EU für den Austausch personenbezogener elektronischer Gesundheitsdaten auf der Grundlage des europäischen Austauschformats für EHR könnten andere Dienste oder ergänzende Infrastrukturen beispielsweise dann erforderlich sein, wenn Notlagen im Bereich der öffentlichen Gesundheit eintreten oder die Architektur von MyHealth@EU für bestimmte Anwendungsfälle nicht geeignet ist. Beispiele für solche Anwendungsfälle sind die Unterstützung von Impfpassfunktionen, einschließlich des Austauschs von Informationen über Impfkalender oder der Überprüfung von Impfzertifikaten oder anderen gesundheitsbezogenen Zertifikaten. Diese zusätzlichen Anwendungsfälle wären auch wichtig, um zusätzliche Funktionen für die Bewältigung von Krisen im Bereich der öffentlichen Gesundheit einzuführen, wie z. B. die Unterstützung der Kontaktnachverfolgung zwecks Eindämmung von Infektionskrankheiten. Über MyHealth@EU sollte der Austausch personenbezogener elektronischer Gesundheitsdaten mit nationalen Kontaktstellen für digitale Gesundheit einschlägiger Drittländer und mit auf internationaler Ebene von internationalen Organisationen eingerichteten Systemen unterstützt werden, um zur Kontinuität der Gesundheitsversorgung beizutragen. Dies gilt insbesondere für Personen, die in und aus benachbarten Drittländern reisen, für Bewerberländer und für die assoziierten überseeischen Länder und Gebiete. Die Anbindung solcher nationalen Kontaktstellen für digitale Gesundheit in Drittländern an MyHealth@EU und die Interoperabilität mit auf internationaler Ebene von internationalen Organisationen eingerichteten digitalen Systemen sollte einer Überprüfung unterzogen werden, um sicherzustellen, dass diese Kontaktstellen und digitalen Systeme die technischen Spezifikationen, Datenschutzvorschriften und anderen Anforderungen von MyHealth@EU einhalten. Da mit der Anbindung an MyHealth@EU auch die Übermittlung personenbezogener elektronischer Gesundheitsdaten in Drittländer verbunden ist, etwa die Weitergabe einer Patientenkurzakte, wenn der Patient in diesem Drittland Gesundheitsversorgung in Anspruch nimmt, sollten darüber hinaus einschlägige Übermittlungsinstrumente gemäß Kapitel V der Verordnung (EU) 2016/679 geschaffen werden. Der Kommission sollte die Befugnis übertragen werden, Durchführungsrechtsakte zu erlassen, um die Anbindung dieser nationalen Kontaktstellen für digitale Gesundheit von Drittländern und der auf internationaler Ebene von internationalen Organisationen eingerichteten Systemen mit MyHealth@EU zu erleichtern. Bei der Ausarbeitung dieser Durchführungsrechtsakte sollte die Kommission die nationalen Sicherheitsinteressen der Mitgliedstaaten berücksichtigen.

(36)

Zur Ermöglichung des reibungslosen Austauschs elektronischer Gesundheitsdaten und zur Wahrung der Rechte von natürlichen Personen und Angehörigen der Gesundheitsberufe sollten EHR-Systeme, die im Binnenmarkt in Verkehr gebracht werden, in der Lage sein, hochwertige elektronische Gesundheitsdaten sicher zu speichern und zu übermitteln. Es ist ein wesentliches Ziel des EHDS, den sicheren und freien Verkehr elektronischer Gesundheitsdaten in der gesamten Union sicherzustellen. Zu diesem Zweck sollte für EHR-Systeme, mit denen eine oder mehrere prioritäre Kategorien elektronischer Gesundheitsdaten verarbeitet werden, eine verbindliche Regelung zur Selbstbewertung der Konformität eingeführt werden, um die Marktfragmentierung zu überwinden und gleichzeitig einen verhältnismäßigen Ansatz sicherzustellen. Mithilfe der Selbstbewertung wird für EHR-Systeme die Einhaltung der Anforderungen in Bezug auf die Interoperabilität, Sicherheit und Protokollierung für die Übermittlung personenbezogener elektronischer Gesundheitsdaten nachgewiesen, die durch die beiden obligatorischen, durch die vorliegende Verordnung harmonisierten EHR-Softwarekomponenten, nämlich die europäische Interoperabilitätssoftwarekomponente für EHR-Systeme und die europäische Protokollierungssoftwarekomponente für EHR-Systeme (im Folgenden „harmonisierte Softwarekomponenten für EHR-Systeme“), festgelegt wurden. Die harmonisierten Softwarekomponenten für EHR-Systeme betreffen hauptsächlich die Datenumwandlung, auch wenn sie den Bedarf an indirekten Anforderungen an das Datenerfassung und die Datendarstellung in EHR-Systemen beinhalten können. Die technischen Spezifikationen für die harmonisierten Softwarekomponenten von EHR-Systemen sollten im Wege von Durchführungsrechtsakten festgelegt werden und auf der Grundlage der Verwendung des europäischen Austauschformats für EHR beruhen. Die harmonisierten Softwarekomponenten von EHR-Systemen sollten so konzipiert sein, dass sie wiederverwendbar sind und nahtlos mit anderen Komponenten in ein größeres Softwaresystem integriert werden können. Die Sicherheitsanforderungen dieser harmonisierten Softwarekomponenten von EHR-Systemen sollten spezifische Elemente von EHR-Systemen abdecken, da ihre allgemeineren Sicherheitseigenschaften bereits durch andere Mechanismen, wie etwa denjenigen im Rahmen der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates (15), unterstützt werden sollten. Zur Unterstützung dieses Prozesses sollten europäische digitale Prüfumgebungen eingerichtet werden, mit denen automatisierte Mittel bereitgestellt werden, um zu prüfen, ob die harmonisierten Softwarekomponenten eines EHR-Systems die Anforderungen der vorliegenden Verordnung erfüllen. Zu diesem Zweck sollten der Kommission Durchführungsbefugnisse zur Festlegung der gemeinsamen Spezifikationen für diese Umgebungen übertragen werden. Die Kommission sollte die für die Prüfumgebung erforderliche Software entwickeln und quelloffen zur Verfügung stellen. Die Mitgliedstaaten sollten für die digitalen Prüfumgebungen verantwortlich sein, da sie näher an den Herstellern und besser in der Lage sind, diese zu unterstützen. Die Hersteller sollten diese digitalen Prüfungsumgebungen nutzen, um ihre Produkte zu prüfen, bevor sie sie in Verkehr bringen, wobei sie weiterhin die volle Verantwortung für die Konformität ihrer Produkte tragen. Die Ergebnisse der Prüfung sollten in die technische Dokumentation des Produkts aufgenommen werden. Entspricht das EHR-System oder ein Teil davon europäischen Standards oder gemeinsamen Spezifikationen, so sollte in der technischen Dokumentation auch die Liste der einschlägigen europäischen Standards und gemeinsamen Spezifikationen angegeben werden. Um die Vergleichbarkeit von EHR-Systemen zu fördern, sollte die Kommission ein einheitliches Muster für die technische Dokumentation erstellen.

(37)

Den EHR-Systemen sollte ein Informationsblatt, das Informationen für berufliche Nutzer enthält, sowie eine klare und vollständige Gebrauchsanweisung beigefügt werden, auch in einem für Menschen mit Behinderungen zugänglichen Format. Liegen einem EHR-System keine derartigen Informationen bei, so sollten der Hersteller des betreffenden EHR-Systems, sein Bevollmächtigter und alle anderen einschlägigen Wirtschaftsakteure verpflichtet sein, dem EHR-System dieses Informationsblatt und diese Gebrauchsanweisung beizufügen.

(38)

Während EHR-Systeme, die vom Hersteller speziell zur Verarbeitung einer oder mehrerer bestimmter Kategorien elektronischer Gesundheitsdaten bestimmt sind, einer verbindlichen Selbstzertifizierung unterliegen sollten, sollte für allgemeine Zwecke bestimmte Software, auch wenn sie im Bereich der Gesundheitsversorgung eingesetzt wird, nicht als ein EHR-System betrachtet werden und daher nicht den Bestimmungen in dieser Verordnung unterliegen. Dies betrifft Fälle wie Textverarbeitungssoftware, die für das Verfassen von Berichten verwendet wird, die den schriftlichen EHR beigefügt werden sollen, Middleware für allgemeine Zwecke oder Software für die Datenbankverwaltung, die als Teil von Datenspeicherlösungen verwendet wird.

(39)

Mit dieser Verordnung wird für die harmonisierten EHR-Softwarekomponenten von EHR-Systemen eine verbindliche Regelung zur Selbstbewertung der Konformität eingeführt, um sicherzustellen, dass über die in der Union in Verkehr gebrachten EHR-Systeme Daten im europäischen Austauschformat für EHR ausgetauscht werden können und dass sie über die erforderlichen Protokollierungskapazitäten verfügen. Diese obligatorische Selbstbewertung der Konformität, welche in Form einer EU-Erklärung der Konformität durch den Hersteller vorgenommen würde, sollte sicherstellen, dass die Einhaltung dieser Anforderungen auf verhältnismäßige Weise erfüllt wird, wobei eine übermäßige Belastung der Mitgliedstaaten und der Hersteller zu vermeiden ist.

(40)

Die Hersteller sollten in den Begleitdokumenten des EHR-Systems und gegebenenfalls auf der Verpackung eine CE-Konformitätskennzeichnung anbringen, aus der hervorgeht, dass das EHR-System mit dieser Verordnung und, in Bezug auf Aspekte, die nicht von dieser Verordnung erfasst werden, mit anderen geltenden Rechtsvorschriften der Union, die ebenfalls diese Kennzeichnung vorschreiben, konform ist. Die Mitgliedstaaten sollten auf bestehenden Mechanismen aufbauen, um eine ordnungsgemäße Durchführung der Bestimmungen über die CE-Konformitätskennzeichnung nach dem einschlägigen Unionsrecht sicherzustellen, und im Fall einer missbräuchlichen Verwendung dieser Kennzeichnung angemessene Maßnahmen einleiten.

(41)

Die Mitgliedstaaten sollten weiterhin zuständig sein, Anforderungen in Bezug auf andere Softwarekomponenten von EHR-Systemen und die Bedingungen für die Verbindung von Gesundheitsdienstleistern mit ihrer jeweiligen nationalen Infrastruktur festzulegen, die auf nationaler Ebene einer Bewertung durch Dritte unterzogen werden könnten. Um das reibungslose Funktionieren des Binnenmarkts für EHR-Systeme, digitale Gesundheitsprodukte und entsprechende Dienstleistungen zu erleichtern, ist es erforderlich größtmögliche Transparenz in Bezug auf nationales Recht zur Festlegung von Anforderungen an EHR-Systeme und von Bestimmungen über deren Konformitätsbewertung in Bezug auf andere Aspekte als die harmonisierten Softwarekomponenten von EHR-Systemen sicherzustellen. Daher sollten die Mitgliedstaaten die Kommission über diese nationalen Anforderungen informieren, damit diese über die erforderlichen Informationen verfügt, um sicherzustellen, dass diese Anforderungen sich nicht negativ auf die harmonisierten Softwarekomponenten von EHR-Systemen auswirken.

(42)

Bestimmte Softwarekomponenten von EHR-Systemen könnten im Sinne der Verordnung (EU) 2017/745 als Medizinprodukte oder im Sinne der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates (16) als In-vitro-Diagnostika gelten. Software oder Softwaremodule, die unter die Definition eines Medizinprodukts, eines In-vitro-Diagnostikums oder eines Systems der künstlichen Intelligenz (KI) fallen, das als Hochrisiko gilt (die „Hochrisiko-KI-Systeme“), sollten im Einklang mit den Verordnungen (EU) 2017/745, (EU) 2017/746 und (EU) 2024/1689 zertifiziert werden. Während derartige Produkte die Anforderungen der jeweiligen Verordnung für diese Produkte erfüllen müssen, sollten die Mitgliedstaaten angemessene Maßnahmen ergreifen, um sicherzustellen, dass die jeweilige Konformitätsbewertung im Rahmen eines gemeinsamen bzw. koordinierten Verfahrens durchgeführt wird, um den Verwaltungsaufwand für Hersteller und andere Wirtschaftsakteure zu begrenzen. Die in der vorliegenden Verordnung vorgesehenen grundlegenden Anforderungen an die Interoperabilität sollten soweit gelten, wie der Hersteller eines Medizinprodukts, eines In-vitro-Diagnostikums oder eines Hochrisiko-KI-Systems, mit dem elektronische Gesundheitsdaten zur Verarbeitung im Rahmen des EHR-Systems bereitgestellt werden, die Interoperabilität mit diesem EHR-System behauptet. In diesem Fall sollten die Bestimmungen über gemeinsame Spezifikationen für EHR-Systeme auf diese Medizinprodukte, In-vitro-Diagnostika und Hochrisiko-KI-Systeme Anwendung finden.

(43)

Zur weiteren Förderung der Interoperabilität und Sicherheit sollten die Mitgliedstaaten spezifische Vorschriften für die Beschaffung, Erstattung oder Finanzierung von EHR-Systemen auf nationaler Ebene im Zusammenhang mit der Organisation, Erbringung oder Finanzierung von Gesundheitsdiensten beibehalten oder festlegen können. Solche spezifischen Vorschriften sollten den freien Verkehr von EHR-Systemen in der Union nicht behindern. Einige Mitgliedstaaten haben eine verbindliche Zertifizierung von EHR-Systemen oder eine verbindliche Interoperabilitätsprüfung für deren Verbindung mit nationalen digitalen Gesundheitsdiensten eingeführt. Solche Anforderungen kommen in der Regel bei Beschaffungsverfahren zum Tragen, die von Gesundheitsdienstleistern und nationalen oder regionalen Behörden organisiert werden. Die verbindliche Zertifizierung von EHR-Systemen auf Unionsebene sollte eine Ausgangsbasis bilden, die bei Beschaffungsverfahren auf nationaler Ebene genutzt werden kann.

(44)

Damit die Patienten ihre Rechte aus dieser Verordnung wirksam wahrnehmen können, sollten Gesundheitsdienstleister die Bestimmungen dieser Verordnung auch dann einhalten, wenn sie ein eigenes EHR-System für ihre internen Tätigkeiten entwickeln und verwenden, ohne es gegen Bezahlung oder Vergütung in Verkehr zu bringen. In solchen Fällen sollten diese Gesundheitsdienstleister alle für die Hersteller geltenden Anforderungen in Bezug auf von ihnen in Betrieb genommene, intern entwickelte EHR-Systeme erfüllen. Da diese Gesundheitsdienstleister jedoch möglicherweise zusätzliche Zeit zur Vorbereitung der Einhaltung der vorliegenden Verordnung benötigen, sollten diese Anforderungen für solche Systeme erst nach einem verlängerten Übergangszeitraum gelten.

(45)

Es ist notwendig, für eine klare und verhältnismäßige Aufteilung der Pflichten zu sorgen, die der Rolle jedes Wirtschaftsakteurs im Liefer- und Vertriebsprozess für EHR-Systeme entsprechen. Die Wirtschaftsakteure sollten für die Einhaltung ihrer jeweiligen Rolle in diesem Prozess verantwortlich sein und sicherstellen, dass alle EHR-Systeme, die sie auf dem Markt bereitstellen, die einschlägigen Anforderungen erfüllen.

(46)

Die Einhaltung der grundlegenden Anforderungen an die Interoperabilität und Sicherheit sollte von den Herstellern von EHR-Systemen durch die Umsetzung gemeinsamer Spezifikationen nachgewiesen werden. Zu diesem Zweck sollte die Kommission Durchführungsbefugnisse erhalten, um solche gemeinsamen Spezifikationen für Datensätze, Kodiersysteme, technische Spezifikationen, Standards, Spezifikationen und Profile für den Datenaustausch, sowie Anforderungen und Grundsätze in Bezug auf Patientensicherheit und die Sicherheit, Vertraulichkeit, Integrität und Schutz personenbezogener Daten und Spezifikationen und Anforderungen im Zusammenhang mit dem Identifizierungsmanagement und der Nutzung der elektronischen Identifizierung festzulegen. Die Stellen für digitale Gesundheit sollten zur Entwicklung solcher gemeinsamen Spezifikationen beitragen. Die gemeinsamen Spezifikationen sollten gegebenenfalls auf bestehenden harmonisierten Standards für die harmonisierten Softwarekomponenten von EHR-Systemen beruhen und mit dem sektorspezifischen Recht vereinbar sein. Wenn gemeinsame Spezifikationen im Zusammenhang mit Anforderungen an den Schutz personenbezogener Daten für EHR-Systeme von besonderer Bedeutung sind, sollten sie gemäß Artikel 42 Absatz 2 der Verordnung (EU) 2018/1725 vor ihrer Annahme einer Konsultation mit dem Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) unterliegen.

(47)

Um eine angemessene und wirksame Durchsetzung der vorliegenden Verordnung festgelegten Anforderungen und Verpflichtungen sicherzustellen, sollte das mit der Verordnung (EU) 2019/1020 des Europäischen Parlaments und des Rates (17) eingeführte System der Marktüberwachung und der Konformität von Produkten gelten. Je nach der auf nationaler Ebene festgelegten Organisation könnten solche Marktüberwachungstätigkeiten entweder von den Stellen für digitale Gesundheit, die für die ordnungsgemäße Umsetzung von Kapitel II der vorliegenden Verordnung sorgen, oder von einer gesonderten Marktüberwachungsbehörde mit Zuständigkeit für EHR-Systeme durchgeführt werden. Die Benennung von Stellen für digitale Gesundheit als Marktüberwachungsbehörden könnte zwar erhebliche praktische Vorteile für Tätigkeiten im Bereich Gesundheit und Pflege mit sich bringen, doch sollten Interessenkonflikte vermieden werden, indem z. B. verschiedene Aufgaben getrennt werden.

(48)

Die Mitarbeiter der Marktüberwachungsbehörden sollten weder direkt noch indirekt in wirtschaftliche, finanzielle oder persönliche Interessenkonflikte geraten, die als Beeinträchtigung ihrer Unabhängigkeit angesehen werden könnten, und sie sollten sich insbesondere nicht in einer Situation befinden, die die Unparteilichkeit ihres beruflichen Verhaltens direkt oder indirekt beeinträchtigen könnte. Die Mitgliedstaaten sollten das Auswahlverfahren für Marktüberwachungsbehörden festlegen und veröffentlichen. Sie sollten sicherstellen, dass das Verfahren transparent ist und Interessenkonflikte verhindert werden.

(49)

Nutzer von Wellness-Anwendungen, einschließlich Anwendungen für mobile Geräte, sollten über die Fähigkeit dieser Anwendungen informiert werden, mit EHR-Systemen oder nationalen elektronischen Gesundheitslösungen verbunden zu werden und Daten an sie zu übertragen, wenn Daten, die von den Wellness-Anwendungen erzeugt werden, für Zwecke der Gesundheitsversorgung nützlich sind. Die Fähigkeit dieser Anwendungen, Daten in einem interoperablen Format zu exportieren, ist auch für die Zwecke der Datenübertragbarkeit relevant. Gegebenenfalls sollten die Nutzer über die Konformität solcher Wellness-Anwendungen mit den Interoperabilitäts- und Sicherheitsanforderungen informiert werden. Allerdings wäre angesichts der großen Zahl von Wellness-Anwendungen und des Umstands, dass bei vielen von ihnen die erstellten Daten für Zwecke der Gesundheitsversorgung nur begrenzt relevant sind, ein Zertifizierungssystem für diese Anwendungen nicht verhältnismäßig. Daher sollte eine verpflichtende Kennzeichnungsregelung für Wellness-Anwendungen, für die Interoperabilität mit EHR-Systemen behauptet wird, als geeigneter Mechanismus eingeführt werden, um die Einhaltung der Anforderungen im Rahmen der vorliegenden Verordnung für die Nutzer von Wellness-Anwendungen transparent zu machen und sie bei der Wahl geeigneter Wellness-Anwendungen mit hohen Interoperabilitäts- und Sicherheitsstandards zu unterstützen. Die Kommission sollte im Wege von Durchführungsrechtsakten Einzelheiten zu Form und Inhalt einer solchen Kennzeichnung festlegen.

(50)

Den Mitgliedstaaten sollte es freistehen, andere Aspekte der Verwendung von Wellness-Anwendungen zu regulieren, sofern die entsprechenden Vorschriften mit dem Unionsrecht im Einklang stehen.

(51)

Die Verbreitung von Informationen über zertifizierte EHR-Systeme und mit einer Kennzeichnung versehene Wellness-Anwendungen ist erforderlich, damit Beschaffer und Nutzer solcher Produkte interoperable Lösungen für ihre spezifischen Bedürfnisse finden können. Daher sollte auf Unionsebene eine Datenbank zu interoperablen EHR-Systemen und Wellness-Anwendungen, die nicht in den Anwendungsbereich der Verordnungen (EU) 2017/745 und (EU) 2024/1689 fallen, eingerichtet werden, die mit der durch die Verordnung (EU) 2017/745 eingerichteten Europäischen Datenbank für Medizinprodukte (Eudamed) vergleichbar ist. Die Ziele der EU-Datenbank für die Registrierung von EHR-Systemen und Wellness-Anwendungen sollten darin bestehen, die Transparenz insgesamt zu erhöhen, die Überschneidung von Berichtsanforderungen zu vermeiden und den Informationsfluss zu straffen und zu erleichtern. Medizinprodukte und KI-Systeme sollten weiterhin in den bestehenden Datenbanken, die mit der Verordnung (EU) 2017/745 bzw. (EU) 2024/1689 eingerichtet wurden, registriert werden, aber zusätzlich sollte die Einhaltung der Interoperabilitätsanforderungen vom Hersteller angegeben werden, wenn sie eine solche Einhaltung behauptet, um die Beschaffer darüber zu informieren.

(52)

Ohne bestehende vertragliche Vereinbarungen oder andere bestehende Mechanismen zu behindern oder zu ersetzen, zielt die vorliegende Verordnung darauf ab, einen gemeinsamen Mechanismus für den Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung in der gesamten Union einzurichten. Im Rahmen dieses Mechanismus sollten Gesundheitsdateninhaber die Daten, über die sie verfügen, auf der Grundlage einer Datengenehmigung oder einer Gesundheitsdatenanfrage zur Verfügung stellen. Für die Zwecke der Verarbeitung elektronischer Gesundheitsdaten für die Sekundärnutzung ist eine Rechtsgrundlage gemäß Artikel 6 Absatz 1 Buchstaben a, c, e oder f der Verordnung (EU) 2016/679 in Verbindung mit Artikel 9 Absatz 2 jener Verordnung erforderlich. Die vorliegende Verordnung bildet daher eine Rechtsgrundlage für die Sekundärnutzung personenbezogener elektronischer Gesundheitsdaten, einschließlich der Schutzmaßnahmen, die die Verarbeitung besonderer Datenkategorien nach Artikel 9 Absatz 2 Buchstaben g bis j der Verordnung (EU) 2016/679 um die Verarbeitung besonderer Datenkategorien in Bezug auf rechtmäßige Zwecke, vertrauenswürdige Governance für die Gewährung des Zugangs zu Gesundheitsdaten durch die Einbeziehung von Zugangsstellen für Gesundheitsdaten und die Verarbeitung in einer sicheren Umgebung sowie die in der Datengenehmigung festgelegten Modalitäten für die Datenverarbeitung zu ermöglichen. Folglich sollten die Mitgliedstaaten keine weiteren Bedingungen gemäß Artikel 9 Absatz 4 der Verordnung (EU) 2016/679 für die Verarbeitung personenbezogener elektronischer Gesundheitsdaten für die Sekundärnutzung im Rahmen der vorliegenden Verordnung beibehalten oder einführen, einschließlich Beschränkungen und spezifischer Bestimmungen, die die Einwilligung natürlicher Personen erfordern, mit Ausnahme der Einführung strengerer Maßnahmen und zusätzlicher Schutzmaßnahmen auf nationaler Ebene, die darauf abzielen, die Sensibilität und den Wert bestimmter Daten zu schützen, wie in der vorliegenden Verordnung festgelegt. Antragsteller für Gesundheitsdaten sollten auch eine Rechtsgrundlage nach Artikel 6 der Verordnung (EU) 2016/679 nachweisen, auf der sie gemäß der vorliegenden Verordnung Zugang zu elektronischen Gesundheitsdaten beantragen können, und die in Kapitel IV festgelegten Bedingungen erfüllen. Darüber hinaus sollte die Zugangsstelle für Gesundheitsdaten die vom Antragsteller für Gesundheitsdaten bereitgestellten Informationen prüfen und auf dieser Grundlage in der Lage sein, eine Datengenehmigung zur Verarbeitung personenbezogener elektronischer Gesundheitsdaten im Einklang mit der vorliegenden Verordnung zu erteilen, die die in Kapitel IV der vorliegenden Verordnung festgelegten Anforderungen und Bedingungen erfüllt. Die vorliegende Verordnung begründet für die Verarbeitung elektronischer Gesundheitsdaten, die sich im Besitz der Gesundheitsdateninhaber befinden, die rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 im Einklang mit Artikel 9 Absatz 2 Buchstaben i und j jener Verordnung für Gesundheitsdateninhaber, die personenbezogenen elektronischen Gesundheitsdaten Zugangsstellen für Gesundheitsdaten zur Verfügung zu stellen, während die Rechtsgrundlage für die ursprüngliche Verarbeitung, beispielsweise die Gesundheitsversorgung, unberührt bleibt. Mit der vorliegenden Verordnung werden den Zugangsstellen für Gesundheitsdaten auch Aufgaben im öffentlichen Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 übertragen und, soweit zutreffend, die Anforderungen des Artikels 9 Absatz 2 Buchstaben g bis j der vorliegenden erfüllt. Stützt sich der Gesundheitsdatennutzer auf eine Rechtsgrundlage gemäß Artikel 6 Absatz 1 Buchstabe e oder f der Verordnung (EU) 2016/679, sollten die entsprechenden Schutzmaßnahmen nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 in der vorliegenden Verordnung vorgesehen werden.

(53)

Für die Sekundärnutzung verwendete elektronische Gesundheitsdaten können großen gesellschaftlichen Nutzen mit sich bringen. Die Nutzung von Realdaten und von Erkenntnissen aus der Praxis, einschließlich der von Patienten gemeldeten Ergebnisse, für evidenzbasierte regulatorische und politische Zwecke sowie für Forschung, Bewertung von Gesundheitstechnologien und klinische Ziele sollte gefördert werden. Realdaten und Erkenntnisse aus der Praxis verfügen über das Potenzial, die derzeit zur Verfügung gestellten Gesundheitsdaten zu ergänzen. Um dieses Ziel zu erreichen, ist es wichtig, dass die Datensätze, die gemäß der vorliegenden Verordnung für die Sekundärnutzung zur Verfügung gestellt werden, so vollständig wie möglich sind. Die vorliegende Verordnung enthält die erforderlichen Schutzmaßnahmen, um bestimmte Risiken, die mit der Erzielung dieser Vorteile verbunden sind, zu mindern. Die Sekundärnutzung elektronischer Gesundheitsdaten erfolgt auf der Grundlage pseudonimisierter oder anonymisierter Daten, um die Identifizierung der betroffenen Personen auszuschließen.

(54)

Um das Bedürfnis der Gesundheitsdatennutzer, über umfassende und repräsentative Datensätze zu verfügen, mit der Autonomie natürlicher Personen in Bezug auf ihre personenbezogenen elektronischen Gesundheitsdaten, die als besonders sensibel gelten, in Einklang zu bringen, sollten natürliche Personen entscheiden können, ob ihre personenbezogenen elektronischen Gesundheitsdaten für die Sekundärnutzung gemäß dieser Verordnung verarbeitet werden können, und zwar in Form eines Rechts zum Widerspruch gegen die Bereitstellung dieser Daten für die Sekundärnutzung. Im Hinblick darauf sollte ein leicht verständlicher und zugänglicher benutzerfreundlicher Mechanismus für die Ausübung dieses Rechts zum Widerspruch vorgesehen werden. Darüber hinaus ist es unerlässlich, natürlichen Personen ausreichende und vollständige Informationen über ihr Recht zum Widerspruch, einschließlich der Vor- und Nachteile bei der Ausübung dieses Rechts, zur Verfügung zu stellen. Natürliche Personen sollten nicht verpflichtet sein, Gründe für den Widerspruch anzugeben, und sie sollten die Möglichkeit haben, ihre Entscheidung jederzeit zu überdenken. Für bestimmte Zwecke, die in engem Zusammenhang mit dem öffentlichen Interesse stehen, wie z. B. Tätigkeiten zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder wissenschaftliche Forschung aus wichtigen Gründen des öffentlichen Interesses, sollte den Mitgliedstaaten jedoch die Möglichkeit eingeräumt werden, unter Berücksichtigung ihres nationalen Kontexts Mechanismen für den Zugang zu personenbezogenen elektronischen Gesundheitsdaten natürlicher Personen einzurichten, die von ihrem Recht zum Widerspruch Gebrauch gemacht haben, um sicherzustellen, dass in diesen Situationen vollständige Datensätze zur Verfügung gestellt werden können. Diese Mechanismen sollte den Anforderungen für die Sekundärnutzung gemäß dieser Verordnung entsprechen. Wissenschaftliche Forschung aus wichtigen Gründen des öffentlichen Interesses könnte beispielsweise Forschungsarbeiten umfassen, die sich mit einem ungedeckten medizinischen Bedarf, auch für seltene Krankheiten, oder entstehende Gesundheitsbedrohungen befassen. Die Vorschriften über solche Außerkraftsetzungen sollten den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen, um das öffentliche Interesse in Bezug auf legitime wissenschaftliche und gesellschaftliche Ziele zu verwirklichen. Eine solche Außerkraftsetzung sollte nur Gesundheitsdatennutzern, bei denen es sich um öffentliche Stellen handelt, oder um einschlägige Organe, Einrichtungen und sonstige Stellen der Union, die mit der Wahrnehmung von Aufgaben im Bereich der öffentlichen Gesundheit betraut sind, oder einer anderen Einrichtung, die mit der Wahrnehmung öffentlicher Aufgaben im Bereich der öffentlichen Gesundheit betraut ist oder im Auftrag einer Behörde handelt, zur Verfügung stehen, und nur wenn die Daten auf alternative Weise nicht rechtzeitig und wirksam erlangt werden können. Diese Gesundheitsdatennutzer sollten begründen, dass die Außerkraftsetzung für einen individuellen Antrag auf Zugang zu Gesundheitsdaten oder eine individuelle Gesundheitsdatenanfrage erforderlich ist. Wird eine solche Außerkraftsetzung durchgeführt, so sollten weiterhin die Schutzmaßnahmen nach Kapitel IV von den Gesundheitsdatennutzern angewandt werden, insbesondere das Verbot der Re-Identifizierung oder des Versuchs der Re-Identifizierung der betroffenen natürlichen Personen.

(55)

Im Zusammenhang mit dem EHDS sind die elektronischen Gesundheitsdaten bereits vorhanden und werden unter anderem von Gesundheitsdienstleistern, Berufsverbänden, öffentlichen Einrichtungen, Regulierungsbehörden, Forschungseinrichtungen und Versicherern im Rahmen ihrer Tätigkeiten erhoben. Diese Daten sollten auch für die Sekundärnutzung verfügbar gemacht werden, d. h. für die Verarbeitung von Daten für andere Zwecke als diejenigen, für die sie erhoben oder erzeugt wurde; allerdings werden viele dieser Daten nicht für die Verarbeitung für solche Zwecke verfügbar gemacht. Ein Großteil der vorhandenen gesundheitsbezogenen Daten ist jedoch nicht für andere Zwecke nutzbar als für den ursprünglichen Zweck ihrer Erhebung. Dies schränkt Akteure aus Forschung und Innovation, politische Entscheidungsträger, Regulierungsbehörden und Ärzte in ihren Möglichkeiten ein, diese Daten für andere Zwecke wie Forschung, Innovation, Politikgestaltung, Regulierung, Patientensicherheit oder personalisierte Medizin zu verwenden. Damit die Vorteile der Sekundärnutzung voll ausgeschöpft werden können, sollten alle Gesundheitsdateninhaber daran mitwirken, indem sie verschiedene Kategorien elektronischer Gesundheitsdaten, deren Inhaber sie sind, für die Sekundärnutzung zur Verfügung stellen, unter der Voraussetzung, dass diese Anstrengungen stets unter Anwendung wirksamer und sicherer Verfahren und unter gebührender Beachtung von Berufspflichten, zu denen auch Geheimhaltungspflichten gehören, erfolgen.

(56)

Die Kategorien elektronischer Gesundheitsdaten, die für die Sekundärnutzung verarbeitet werden können, sollten allgemein und flexibel genug sein, um den sich wandelnden Bedürfnissen der Gesundheitsdatennutzer gerecht zu werden, aber auf Daten zu Gesundheit oder gesundheitsrelevanten Einflussfaktoren beschränkt bleiben. Sie können auch einschlägige Daten aus dem Gesundheitssystem, zum Beispiel EHR, Daten zu Krankenversicherungsleistungen, Daten zur Abgabe von Arzneimitteln, Daten aus Krankheitsregistern oder Genomdaten, sowie Daten zu gesundheitsrelevanten Einflussfaktoren einschließen, zum Beispiel Daten über den Konsum bestimmter Substanzen, den sozioökonomischer Status oder das Verhalten, und Daten über Umweltfaktoren wie etwa Verschmutzung, Strahlung, Umgang mit bestimmten chemischen Stoffen. Die Kategorien elektronischer Gesundheitsdaten für sekundäre Zwecke umfassen auch einige Kategorien von Daten, die ursprünglich für andere Zwecke wie Forschung, Statistiken, Patientensicherheit, Regulierungstätigkeiten oder Politikgestaltung erhoben wurden, zum Beispiel Register für die Politikgestaltung, Register über Nebenwirkungen von Arzneimitteln oder Medizinprodukten. So stehen in einigen Bereichen, etwa für Krebserkrankungen (Europäisches Krebsinformationssystem) oder seltene Krankheiten (beispielsweise die Europäische Plattform für die Registrierung seltener Krankheiten sowie ERN-Register) europäische Datenbanken zur Verfügung, die die Verwendung und Weiterverwendung von Daten erleichtern. Auch automatisch mithilfe von Medizinprodukten generierte Daten und von Personen selbst erzeugte Daten, z. B. Daten von Wellness-Anwendungen, sollten in die Kategorien der elektronischen Gesundheitsdaten, die für Sekundärnutzung verarbeitet werden können, aufgenommen werden. Daten über klinische Prüfungen und klinische Untersuchungen sollten nach Abschluss der klinischen Prüfung oder klinischen Untersuchung ebenfalls in die Kategorien der elektronischen Gesundheitsdaten für die Sekundärnutzung aufgenommen werden, ohne dass die freiwillige Weitergabe von Daten durch die Sponsoren laufender Prüfungen und Untersuchungen beeinträchtigt wird. Elektronische Gesundheitsdaten für die Sekundärnutzung sollten vorzugsweise in einem strukturierten elektronischen Format zur Verfügung gestellt werden, das ihre Verarbeitung durch Computersysteme erleichtert. Beispiele für strukturierte elektronische Formate sind Datensätze in einer relationalen Datenbank, XML-Dokumente oder CSV-Dateien sowie Freitext, Audios, Videos und Bilder, die als computerlesbare Dateien bereitgestellt werden.

(57)

Der Gesundheitsdatennutzer, der nach den Bestimmungen der vorliegenden Verordnung Zugang zu Datensätzen erhält, könnte die Daten in diesen Datensätzen durch verschiedene Korrekturen, Anmerkungen und andere Verbesserungen anreichern, z. B. durch Ergänzung fehlender oder unvollständiger Daten, wodurch die Genauigkeit, Vollständigkeit oder Qualität der Daten in den Datensätzen verbessert werden würde. Gesundheitsdatennutzer sollten dazu ermutigt werden, den Zugangsstellen für Gesundheitsdaten kritische Fehler in Datensätzen zu melden. Um die Verbesserung der ursprünglichen Datenbank und die anschließende Nutzung der angereicherten Datensätze zu unterstützen, sollten die Mitgliedstaaten in der Lage sein, Vorschriften für die Verarbeitung und die Verwendung von elektronischen Gesundheitsdaten, die Verbesserungen im Zusammenhang mit der Verarbeitung dieser Daten enthalten. Der verbesserte Datensatz sollte dem ursprünglichen Gesundheitsdateninhaber zusammen mit einer Beschreibung der Änderungen kostenlos zur Verfügung gestellt werden. Der Gesundheitsdateninhaber sollte den neuen Datensatz verfügbar machen oder, wenn dies nicht erfolgt, der Zugangsstelle für Gesundheitsdaten eine Begründung dafür mitteilen, z. B. wenn die Anreicherung durch den Gesundheitsdatennutzer von geringer Qualität ist. Es sollte sichergestellt werden, dass nicht personenbezogene elektronische Gesundheitsdaten für die Sekundärnutzung zur Verfügung stehen. Insbesondere Genomdaten zu Krankheitserregern haben einen erheblichen Wert für die menschliche Gesundheit, wie sich während der COVID-19-Pandemie gezeigt hat, bei der sich der zeitnahe Zugang zu solchen Daten und ihr frühzeitiger Austausch als wesentlich für die rasche Entwicklung von Nachweismethoden, medizinischen Gegenmaßnahmen und Reaktionen auf Bedrohungen der öffentlichen Gesundheit erwiesen haben. Der größte Nutzen aus der Arbeit an der Genomik von Krankheitserregern wird erzielt, wenn in den Arbeitsbereichen öffentliche Gesundheit und Forschung Datensätze gemeinsam genutzt werden und sie zur gegenseitigen Information und Verbesserung zusammenarbeiten.

(58)

Um die Wirksamkeit der Sekundärnutzung personenbezogener elektronischer Gesundheitsdaten zu erhöhen und die durch die vorliegende Verordnung gebotenen Möglichkeiten in vollem Umfang zu nutzen, sollte die Verfügbarkeit der in Kapitel IV beschriebenen elektronischen Gesundheitsdaten im EHDS derart sein, dass die Daten möglichst zugänglich, hochwertig, bereit und geeignet sind, einen wissenschaftlichen, innovativen und gesellschaftlichen Wert und eine hohe Qualität zu schaffen. Bei den Arbeiten an der Umsetzung des EHDS und weiteren Verbesserungen der Datensätze sollte Datensätzen Vorrang eingeräumt werden, die am besten geeignet sind, einen solchen Wert und eine solche Qualität zu schaffen.

(59)

Öffentliche oder private Einrichtungen erhalten häufig Unterstützung aus öffentlichen Mitteln der Mitgliedstaaten oder der Union für die Erhebung und Verarbeitung elektronischer Gesundheitsdaten für Forschung, für amtliche oder nicht amtliche Statistiken oder für ähnliche Zwecke, auch in Bereichen, in denen die Erhebung solcher Daten fragmentiert oder schwierig ist, wie in Bezug auf seltene Krankheiten oder Krebs. Diese Daten, die von Gesundheitsdateninhabern mit Unterstützung aus öffentlichen Mitteln der Union oder der Mitgliedstaaten erhoben und verarbeitet werden, sollten den Zugangsstellen für Gesundheitsdaten zur Verfügung gestellt werden, um die Wirkung der öffentlichen Investitionen zu maximieren und Forschung, Innovation, Patientensicherheit oder Politikgestaltung zum Nutzen der Gesellschaft zu unterstützen. In einigen Mitgliedstaaten spielen private Einrichtungen, darunter private Gesundheitsdienstleister und Berufsverbände, eine zentrale Rolle im Gesundheitswesen. Die Gesundheitsdaten, deren Inhaber solche Einrichtungen sind, sollten ebenfalls für die Sekundärnutzung zur Verfügung gestellt werden. Bei den Gesundheitsdateninhabern im Zusammenhang mit der Sekundärnutzung sollte es sich daher um Einrichtungen handeln, die Gesundheits- oder Pflegedienstleister sind oder Forschungsarbeiten in Bezug auf das Gesundheitswesen oder den Pflegesektor durchführen oder Produkte oder Dienstleistungen entwickeln, die für das Gesundheitswesen oder den Pflegesektor bestimmt sind. Bei solchen Einrichtungen kann es sich um öffentliche, nicht gewinnorientierte oder private Einrichtungen handeln. Im Einklang mit dieser Definition sollten Pflegeheime, Tagesbetreuungszentren, Einrichtungen, die Dienstleistungen für Menschen mit Behinderungen anbieten oder Einrichtungen, die geschäftliche und technologische Tätigkeiten im Zusammenhang mit der Pflege wie orthopädische Leistungen erbringen, und Unternehmen, die Pflegedienste erbringen, als Gesundheitsdateninhaber gelten. Juristische Personen, die Wellness-Anwendungen entwickeln, sollten ebenfalls als Gesundheitsdateninhaber angesehen werden. Die Organe, Einrichtungen und sonstigen Stellen der Union, die diese Kategorien von Gesundheits- und Gesundheitsversorgungsdaten sowie Sterblichkeitsregister verarbeiten, sollten ebenfalls als Gesundheitsdateninhaber gelten. Um eine unverhältnismäßige Belastung zu vermeiden, sollten natürliche Personen und Kleinstunternehmen in der Regel von den Pflichten als Gesundheitsdateninhaber ausgenommen werden. Die Mitgliedstaaten sollten jedoch die Möglichkeit haben, die Pflichten der Gesundheitsdateninhaber in ihrem nationalen Recht auf natürliche Personen und Kleinstunternehmen auszuweiten. Zur Verringerung des Verwaltungsaufwands und im Lichte der Grundsätze der Wirksamkeit und Effizienz sollten die Mitgliedstaaten in ihrem nationalen Recht vorschreiben können, dass Vermittlungsstellen für Gesundheitsdaten die Pflichten bestimmter Kategorien von Gesundheitsdateninhabern wahrnehmen. Diese Vermittlungsstellen für Gesundheitsdaten sollten juristische Personen sein, die in der Lage sind, von Gesundheitsdateninhabern bereitgestellte elektronische Gesundheitsdaten für die Sekundärnutzung zur Verfügung zu stellen, zu erfassen, bereitzustellen, zu verarbeiten, den Zugang dazu zu beschränken und sie auszutauschen. Diese Vermittlungsstellen für Gesundheitsdaten nehmen Aufgaben wahr, die sich von jenen der Datenvermittlungsdienste im Rahmen der Verordnung (EU) 2022/868 unterscheiden.

(60)

Elektronische Gesundheitsdaten, die durch Rechte am geistigen Eigentum oder Geschäftsgeheimnisse geschützt sind, einschließlich Daten über klinische Prüfungen, Untersuchungen und Studien, können für die Sekundärnutzung sehr nützlich sein und Innovationen innerhalb der Union zum Nutzen der Patienten in der Union fördern. Um Anreize für eine kontinuierliche Führungsrolle der Union in diesem Bereich zu schaffen, ist es wichtig den Austausch von Daten klinischer Prüfungen und klinischer Untersuchungen über den EHDS für die Sekundärnutzung zu fördern. Die Daten klinischer Prüfungen und klinischer Untersuchungen sollten so weit wie möglich zur Verfügung gestellt werden, wobei alle erforderlichen Maßnahmen zum Schutz der Rechte am geistigem Eigentum und von Geschäftsgeheimnissen zu ergreifen sind. Die vorliegende Verordnung sollte nicht dazu verwendet werden, einen solchen Schutz zu verringern oder zu umgehen, und sie sollte mit den einschlägigen Transparenzbestimmungen des Unionsrechts, einschließlich für Daten zu klinischen Prüfungen und klinischen Untersuchungen, im Einklang stehen. Die Zugangsstellen für Gesundheitsdaten sollten bewerten, wie dieser Schutz gewahrt werden und gleichzeitig den Gesundheitsdatennutzern der Zugang zu diesen Daten so weit wie möglich gewährt werden kann. Wenn eine Zugangsstelle für Gesundheitsdaten nicht dazu in der Lage ist, den Zugang zu solchen Daten zu gewähren, sollte sie den Gesundheitsdatennutzerinformieren und erläutern, warum es nicht möglich ist, diesen Zugang zu gewähren. Rechtliche, organisatorische und technische Maßnahmen zum Schutz der Rechte am geistigen Eigentum oder von Geschäftsgeheimnissen könnten gemeinsame vertragliche Vereinbarungen über den Zugang zu elektronischen Gesundheitsdaten, spezifische Verpflichtungen innerhalb der Datengenehmigung in Bezug auf diese Rechte, die Vorverarbeitung der Daten zur Generierung abgeleiteter Daten, durch die ein Geschäftsgeheimnis geschützt wird, die für den Gesundheitsdatennutzer aber dennoch nutzbar sind, oder die Konfiguration der sicheren Verarbeitungsumgebung, sodass diese Daten für den Gesundheitsdatennutzer nicht zugänglich sind, umfassen.

(61)

Die Sekundärnutzung von Gesundheitsdaten im Rahmen des EHDS sollte es öffentlichen, privaten, nicht gewinnorientierten Einrichtungen sowie einzelnen Forschenden ermöglichen, für die in der vorliegenden Verordnung festgelegten Zwecke Zugang zu Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Bildung, Patientensicherheit, Regulierungstätigkeiten oder personalisierte Medizin zu erhalten. Der Datenzugang für die Sekundärnutzung sollte dem allgemeinen Interesse der Gesellschaft dienen. Insbesondere mit der Sekundärnutzung von Gesundheitsdaten für Forschungs- und Entwicklungszwecke sollte dazu beigetragen werden, dass der Gesellschaft neue Arzneimittel, Medizinprodukte und Gesundheitsversorgungsprodukte und -dienstleistungen zu erschwinglichen und fairen Preisen für die Bürgerinnen und Bürger der Union zur Verfügung stehen und dass der Zugang und die Verfügbarkeit dieser Produkte und Dienstleistungen in allen Mitgliedstaaten verbessert werden. Zu den Tätigkeiten, für die der Zugang im Rahmen dieser Verordnung rechtmäßig ist, könnte die Nutzung elektronischer Gesundheitsdaten durch öffentliche Stellen für die Wahrnehmung ihrer Aufgaben gehören, darunter öffentliche Aufgaben wie Gesundheitsüberwachung, Planung und Berichterstattung, Gestaltung der Gesundheitspolitik sowie Sicherstellung der Patientensicherheit, der Qualität der Versorgung und der Nachhaltigkeit der Gesundheitssysteme. Für öffentliche Einrichtungen und Organe, Einrichtungen und sonstige Stellen der Union könnte der regelmäßige Zugang zu elektronischen Gesundheitsdaten über einen längeren Zeitraum erforderlich sein, auch zur Erfüllung ihres Mandats nach Maßgabe dieser Verordnung. Öffentliche Stellen könnten solche Forschungstätigkeiten unter Einbeziehung von Dritten, einschließlich Unterauftragnehmern, durchführen, solange die öffentliche Stelle jederzeit die Aufsicht über diese Tätigkeiten ausübt. Mit der Bereitstellung der Daten sollten auch Tätigkeiten unterstützt werden, die mit wissenschaftlicher Forschung zusammenhängen. Der Begriff der Zwecke wissenschaftlicher Forschung sollte weit ausgelegt werden und die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und privat finanzierte Forschung einschließen. Zu den Tätigkeiten im Zusammenhang mit der wissenschaftlichen Forschung zählen Innovationstätigkeiten, wie etwa das Trainieren von KI-Algorithmen, die in der Gesundheitsversorgung oder in der Pflege natürlicher Personen eingesetzt werden könnten, sowie die Bewertung und Weiterentwicklung bestehender Algorithmen und Produkte für solche Zwecke. Es ist erforderlich, dass der EHDS auch zur Grundlagenforschung beiträgt, und auch wenn die Vorteile für Endnutzer und Patienten in der Grundlagenforschung weniger unmittelbar sein könnten, ist diese Forschung für den langfristigen gesellschaftlichen Nutzen von entscheidender Bedeutung. In einigen Fällen könnten die Informationen zu bestimmten natürlicher Personen, zum Beispiel Genomdaten natürlicher Personen mit einer bestimmten Krankheit die Diagnose oder Behandlung anderer natürlicher Personen beitragen. Für öffentliche Stellen ist es erforderlich, über den für außergewöhnliche Notwendigkeit ausgelegten Geltungsbereich von Kapitel V der Verordnung (EU) 2023/2854 hinauszugehen. Den Zugangsstellen für Gesundheitsdaten sollte es jedoch gestattet sein, öffentlichen Stellen bei der Verarbeitung oder Verlinkung von Daten Unterstützung zu leisten. Die vorliegende Verordnung sieht zwar einen Kanal vor, über den öffentliche Stellen Zugang zu Informationen erhalten können, die sie zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben benötigen, erweitert jedoch nicht das Mandat dieser öffentlichen Stellen.

(62)

Jedes Bestreben, elektronische Gesundheitsdaten für Maßnahmen zum Nachteil der betroffenen natürlichen Personen zu verwenden, beispielsweise, um Versicherungsbeiträge zu erhöhen, Handlungen durchzuführen, die möglicherweise zum Nachteil der natürlichen Personen in Verbindung mit Beschäftigung, Rente oder Bankwesen wären, einschließlich bei der Vergabe von Hypotheken, Produkte oder Behandlungen zu bewerben, Entscheidungen im Einzelfall zu automatisieren, natürliche Personen zu re-identifizieren oder schädliche Produkte zu entwickeln, sollte verboten werden. Dieses Verbot sollte auch für Tätigkeiten gelten, die gegen ethische Bestimmungen des nationalen Rechts verstoßen, mit Ausnahme ethischer Bestimmungen im Zusammenhang mit Einwilligung in die Verarbeitung personenbezogener Daten und ethischen Bestimmungen im Zusammenhang mit dem Recht zum Widerspruch, da in Anwendung des allgemeinen Grundsatzes des Vorrangs des Unionsrechts die vorliegende Verordnung Vorrang vor dem nationalen Recht hat. Es sollte auch verboten sein, Dritten, die nicht in der Datengenehmigung genannt sind, Zugang zu den elektronischen Gesundheitsdaten zu gewähren oder diese anderweitig bereitzustellen. Die Identität der befugten Personen, insbesondere des Hauptprüfers, die gemäß dieser Verordnung das Recht auf Zugang zu den elektronischen Gesundheitsdaten in der sicheren Verarbeitungsumgebung haben, sollte in der Datengenehmigung angegeben werden. Die Hauptprüfer sind die Personen, die hauptsächlich für die Beantragung des Zugangs zu den elektronischen Gesundheitsdaten und die Verarbeitung der angeforderten Daten in der sicheren Verarbeitungsumgebung im Auftrag des Gesundheitsdatennutzers zuständig sind.

(63)

Mit dieser Verordnung wird keine Ermächtigung zur Sekundärnutzung von Gesundheitsdaten zum Zwecke der Strafverfolgung geschaffen. Die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung durch die zuständigen Behörden sollte nicht zu den Zwecken der Sekundärnutzung gehören, die unter die vorliegende Verordnung fallen. Daher sollten Gerichte und andere Einrichtungen des Justizwesens nicht als Gesundheitsdatennutzer bei der Sekundärnutzung von Gesundheitsdaten im Rahmen dieser Verordnung betrachtet werden. Darüber hinaus sollten Gerichte und andere Einrichtungen des Justizwesens nicht unter die Definition des Begriffs „Gesundheitsdateninhaber“ fallen und daher nicht Adressaten der Verpflichtungen sein, die den Gesundheitsdateninhabern gemäß dieser Verordnung obliegen. Darüber hinaus bleiben die Befugnisse der zuständigen Behörden, für die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten gemäß den gesetzlichen Bestimmungen elektronische Gesundheitsdaten zu erhalten, von dieser Verordnung unberührt. Ebenso fallen elektronische Gesundheitsdaten, die sich zum Zwecke von Gerichtsverfahren im Besitz von Gerichten befinden, nicht in den Anwendungsbereich dieser Verordnung.

(64)

Die Einrichtung einer oder mehrerer Zugangsstellen für Gesundheitsdaten, die den Zugang zu elektronischen Gesundheitsdaten in den Mitgliedstaaten unterstützen, ist wesentlich zur Förderung der Sekundärnutzung gesundheitsbezogener Daten. Die Mitgliedstaaten sollten daher eine oder mehrere Zugangsstellen für Gesundheitsdaten einrichten, um unter anderem ihrer verfassungsrechtlichen, organisatorischen und administrativen Struktur Rechnung zu tragen. Bei mehr als einer Zugangsstelle für Gesundheitsdaten sollte jedoch eine von ihnen als Koordinierungsstelle benannt werden. Richtet ein Mitgliedstaat mehrere Zugangsstellen für Gesundheitsdaten ein, so sollte er auf nationaler Ebene Vorschriften festlegen, die die koordinierte Beteiligung dieser Stellen am Ausschuss für den europäischen Gesundheitsdatenraum (im Folgenden „EHDS-Ausschuss“) sicherstellen. Insbesondere sollte der betreffende Mitgliedstaat eine Zugangsstelle für Gesundheitsdaten bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Stellen fungiert, und für eine rasche und reibungslose Zusammenarbeit mit den anderen Zugangsstellen für Gesundheitsdaten, dem EHDS-Ausschuss und der Kommission sorgen. Die Zugangsstellen für Gesundheitsdaten könnten sich hinsichtlich Organisation und Größe unterscheiden, von einer speziell für den Zweck eingerichteten eigenständigen Organisation bis zu einem Referat oder einer Abteilung in einer bestehenden Organisation. Zugangsstellen für Gesundheitsdaten sollten ihre Entscheidungen über den Zugang zu elektronischen Daten für die Sekundärnutzung unbeeinflusst treffen und jegliche Interessenkonflikte vermeiden. Daher sollten die Mitglieder der Governance- und Entscheidungsstellen jeder Zugangsstelle für Gesundheitsdaten und deren Personal von jeder nicht mit ihren Aufgaben zu vereinbarenden Handlung absehen und keine nicht vereinbare Tätigkeit ausüben. Die Unabhängigkeit von Zugangsstellen für Gesundheitsdaten sollte jedoch nicht bedeuten, dass sie keinen Kontroll- oder Überwachungsmechanismen in Bezug auf ihre finanziellen Ausgaben unterliegen oder einer gerichtlichen Überprüfung unterzogen werden können. Jede Zugangsstelle für Gesundheitsdaten sollte mit Finanzmitteln, technischen Ressourcen, Personal, Räumlichkeiten und einer Infrastruktur so ausgestattet werden, wie es für die wirksame Wahrnehmung ihrer Aufgaben, einschließlich der Zusammenarbeit mit anderen Zugangsstellen für Gesundheitsdaten in der Union, erforderlich ist. Die Mitglieder der Governance- und Entscheidungsstellen der Zugangsstellen für Gesundheitsdaten und deren Personal sollten über die erforderlichen Qualifikationen, Erfahrungen und Kompetenzen verfügen. Jede Zugangsstelle für Gesundheitsdaten sollte über einen eigenen, öffentlichen Jahreshaushalt verfügen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein könnte. Für einen besseren Zugang zu Gesundheitsdaten und ergänzend zu Artikel 7 Absatz 2 der Verordnung (EU) 2022/868 sollten die Mitgliedstaaten den Zugangsstellen für Gesundheitsdaten die Befugnis übertragen, Entscheidungen über den Zugang zu Gesundheitsdaten und deren Sekundärnutzung zu treffen. Dies könnte dadurch geschehen, dass den von den Mitgliedstaaten nach Artikel 7 Absatz 1 der Verordnung (EU) 2022/868 benannten zuständigen Stellen neue Aufgaben zugewiesen werden oder dass bestehende oder neue sektorale Stellen bestimmt werden, die für die genannten Aufgaben im Zusammenhang mit dem Zugang zu Gesundheitsdaten zuständig sind.

(65)

Die Zugangsstellen für Gesundheitsdaten sollten die Anwendung von Kapitel IV der vorliegenden Verordnung überwachen und zu seiner einheitlichen Anwendung in der gesamten Union beitragen. Zu diesem Zweck sollten die Zugangsstellen für Gesundheitsdaten untereinander und mit der Kommission zusammenarbeiten. Die Zugangsstellen für Gesundheitsdaten sollten auch mit Interessenträgern, einschließlich Patientenorganisationen, zusammenarbeiten. Die Zugangsstellen für Gesundheitsdaten sollten Gesundheitsdateninhaber, bei denen es sich um kleine Unternehmen gemäß der Empfehlung 2003/361/EG der Kommission (18) handelt, insbesondere Ärzte und Apotheken, unterstützen. Da die Sekundärnutzung von Gesundheitsdaten die Verarbeitung personenbezogener Gesundheitsdaten einschließt, finden die einschlägigen Bestimmungen der Verordnungen (EU) 2016/679 und (EU) 2018/1725 Anwendung, und die Aufsichtsbehörden gemäß diesen Verordnungen sollten weiterhin die einzigen für die Durchsetzung dieser Vorschriften zuständigen Behörden sein. Die Zugangsstellen für Gesundheitsdaten sollten die Datenschutzbehörden über alle verhängten Sanktionen und alle möglichen Probleme im Zusammenhang mit der Datenverarbeitung für die Sekundärnutzung informieren und alle ihnen zur Verfügung stehenden einschlägigen Informationen austauschen, um die Durchsetzung der einschlägigen Vorschriften sicherzustellen. Zusätzlich zu den Aufgaben, die zur Sicherstellung einer wirksamen Sekundärnutzung von Gesundheitsdaten erforderlich sind, sollte die Zugangsstelle für Gesundheitsdaten darauf hinarbeiten, die Verfügbarkeit zusätzlicher Gesundheitsdatensätze auszuweiten und die Entwicklung gemeinsamer Standards zu fördern. Sie sollten erprobte, dem Stand der Technik entsprechende Verfahren nutzen, die sicherstellen, dass die elektronischen Gesundheitsdaten in einer Weise verarbeitet werden, bei der die Privatsphäre in Bezug auf die Informationen in den Daten, deren Sekundärnutzung erlaubt wird, gewahrt bleibt; dazu gehören auch Techniken zur Pseudonymisierung, Anonymisierung, Generalisierung, Unterdrückung und Randomisierung personenbezogener Daten. Die Zugangsstellen für Gesundheitsdaten können Datensätze für den Gesundheitsdatennutzer so bearbeiten, dass sie die Anforderungen der Datennutzer entsprechend der erteilten Datengenehmigung erfüllen. In diesem Zusammenhang sollten die Zugangsstellen für Gesundheitsdaten grenzüberschreitend zusammenarbeiten, um bewährte Verfahren und Techniken zu erarbeiten und auszutauschen. Dazu gehören auch Vorschriften für die Pseudonymisierung und Anonymisierung von Mikrodatensätzen. Soweit relevant, sollte die Kommission die Verfahren und Anforderungen sowie die technischen Instrumente für ein einheitliches Verfahren zur Pseudonymisierung und Anonymisierung der elektronischen Gesundheitsdaten festlegen.

(66)

Die Zugangsstellen für Gesundheitsdaten sollten sicherstellen, dass die Sekundärnutzung transparent ist, indem sie die Öffentlichkeit über die erteilten Datengenehmigungen und ihre Begründungen, die Maßnahmen zum Schutz der Rechte natürlicher Personen, die Art und Weise, wie natürliche Personen ihre Rechte in Bezug auf die Sekundärnutzung ausüben können, und die Ergebnisse der Sekundärnutzung informieren, auch durch Links zu wissenschaftlichen Veröffentlichungen. Diese Informationen über die Ergebnisse der Sekundärnutzung sollten gegebenenfalls auch eine vom Gesundheitsdatennutzerbereitzustellende Zusammenfassung für Laien umfassen. Diese Transparenzpflichten ergänzen die in Artikel 14 der Verordnung (EU) 2016/679 festgelegten Verpflichtungen. Die in Artikel 14 Absatz 5 jener Verordnung vorgesehenen Ausnahmen könnten angewendet werden. Gelten solche Ausnahmen, so sollten die in der vorliegenden Verordnung festgelegten Transparenzpflichten dazu beitragen, eine faire und transparente Verarbeitung gemäß Artikel 14 Absatz 2 der Verordnung (EU) 2016/679 sicherzustellen, indem zum Beispiel Informationen über den Zweck der Verarbeitung und die verarbeiteten Datenkategorien bereitgestellt werden, sodass natürliche Personen verstehen können, ob ihre Daten gemäß Datengenehmigungen für die Sekundärnutzung bereitgestellt werden.

(67)

Natürliche Personen sollten von den Gesundheitsdateninhabern über wesentliche Befunde im Zusammenhang mit ihrer Gesundheit informiert werden, die von Gesundheitsdatennutzern festgestellt wurden. Natürliche Personen sollten das Recht haben, zu beantragen, dass sie nicht über solche Erkenntnisse informiert werden. Die Mitgliedstaaten könnten Bedingungen für die Modalitäten festlegen, nach denen die Gesundheitsdateninhaber den betroffenen natürlichen Personen solche Informationen zur Verfügung stellen und das Recht auf Nichtinformation ausüben. Die Mitgliedstaaten sollten gemäß Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679 den Umfang der Verpflichtung zur Unterrichtung natürlicher Personen einschränken können, wenn dies zu ihrem Schutz auf der Grundlage der Patientensicherheit und der Ethik erforderlich ist, indem sie die Übermittlung ihrer Informationen solange aufschieben, bis ein Angehöriger der Gesundheitsberufe den natürlichen Personen Informationen mitteilen und erläutern kann, die sich möglicherweise auf ihre Gesundheit auswirken können.

(68)

Im Sinne der Transparenz sollten Zugangsstellen für Gesundheitsdaten auch alle zwei Jahre Tätigkeitsberichte veröffentlichen, die einen Überblick über ihre Tätigkeiten enthalten. Hat ein Mitgliedstaat mehr als eine Zugangsstelle für Gesundheitsdaten benannt, sollte die Koordinierungsstelle einen gemeinsamen Zweijahresbericht erstellen und veröffentlichen. Die Tätigkeitsberichte sollten einer im EHDS-Ausschuss vereinbarten Struktur folgen und einen Überblick über die Tätigkeiten bieten, einschließlich Informationen über Entscheidungen über Anträge, Prüfungen und die Zusammenarbeit mit einschlägigen Interessenträgern. Zu diesen Interessenträgern können Vertreter natürlicher Personen, Patientenorganisationen, Angehörige der Gesundheitsberufe, Forscher und Ethikausschüsse gehören.

(69)

Um die Sekundärnutzung zu unterstützen, sollten die Gesundheitsdateninhaber davon absehen, die Daten zurückzuhalten, ungerechtfertigte Gebühren zu verlangen, die nicht transparent sind oder in keinem angemessenen Verhältnis zu den Kosten für die Bereitstellung von Daten oder gegebenenfalls zu den Grenzkosten für die Datenerhebung stehen, von den Gesundheitsdatennutzern zu verlangen, sie als Mitherausgeber ihrer Forschungsarbeiten zu nennen, oder andere Praktiken anzuwenden, die Gesundheitsdatennutzer von Datenanfragen abhalten könnten. Handelt es sich bei einem Gesundheitsdateninhaber um eine öffentliche Stelle, so sollte der mit seinen Kosten verbundene Teil der Gebühren nicht die Kosten der erstmaligen Erhebung der Daten abdecken. Ist für die Erteilung einer Datengenehmigung eine Ethikprüfung erforderlich, so sollte diese Prüfung einzelfallbezogen erfolgen.

(70)

Zugangsstellen für Gesundheitsdaten sollten für ihre Arbeit Gebühren unter Berücksichtigung der in der Verordnung (EU) 2022/868 vorgesehenen horizontalen Vorschriften erheben dürfen. Bei der Höhe dieser Gebühren können die Situation und die Interessen von kleinen und mittleren Unternehmen (KMU), einzelnen Forschern oder öffentlichen Einrichtungen berücksichtigt werden. Insbesondere sollten die Mitgliedstaaten in der Lage sein Maßnahmen für die Zugangsstellen für Gesundheitsdaten in ihrem Hoheitsgebiet festlegen, die ermäßigte Gebühren für bestimmte Kategorien von Gesundheitsdatennutzern ermöglichen. Die Zugangsstellen für Gesundheitsdaten sollten in der Lage sein, die Kosten ihrer Tätigkeiten durch Gebühren zu decken, die auf verhältnismäßige, gerechtfertigte und transparente Weise festgelegt werden. Dies könnte zu höheren Gebühren für einige Gesundheitsdatennutzer führen, wenn die Bearbeitung ihrer Anträge auf Zugang zu Gesundheitsdaten und Gesundheitsdatenanfragen mehr Arbeit erfordert. Die Gesundheitsdateninhaber sollten auch Gebühren für die Bereitstellung von Daten, die ihren Kosten entsprechen, erheben dürfen. Die Zugangsstellen für Gesundheitsdaten sollten über die Höhe dieser Gebühren entscheiden, die auch die vom Gesundheitsdateninhaber verlangten Gebühren umfassen könnten. Dem Gesundheitsdatennutzer sollten solche Gebühren durch die Zugangsstellen für Gesundheitsdaten in einer einzigen Rechnung in Rechnung gestellt werden. Die Zugangsstelle für Gesundheitsdaten sollte dann den einschlägigen Teil der entrichteten Gebühren an den Gesundheitsdateninhaber übermitteln. Um ein harmonisiertes Konzept für die Gebührenpolitik und -struktur sicherzustellen, sollte der Kommission Durchführungsbefugnisse übertragen werden. Für die nach der vorliegenden Verordnung erhobenen Gebühren sollte Artikel 10 der Verordnung (EU) 2023/2854 gelten.

(71)

Um die Durchsetzung der Vorschriften über die Sekundärnutzung zu verbessern, sollten geeignete Maßnahmen vorgesehen werden, die für den Fall, dass Gesundheitsdatennutzer oder Gesundheitsdateninhaber ihren Verpflichtungen nicht nachkommen, Geldbußen oder Durchsetzungsmaßnahmen durch die Zugangsstellen für Gesundheitsdaten oder den vorübergehenden oder endgültigen Ausschluss dieser Gesundheitsdatennutzer oder Gesundheitsdateninhaber aus dem EHDS-Rahmen nach sich ziehen können. Die Zugangsstellen für Gesundheitsdaten sollten befugt sein, die Einhaltung der Vorschriften durch die Gesundheitsdatennutzer und Gesundheitsdateninhabern zu überprüfen, und diesen die Möglichkeit einräumen, auf etwaige Feststellungen zu antworten und Verstöße abzustellen. Bei der Entscheidung über die Höhe der Geldbußen oder das Ausmaß einer Durchsetzungsmaßnahme in jedem Einzelfall sollten die Zugangsstellen für Gesundheitsdaten die in dieser Verordnung festgelegten Kostenspielräume und Kriterien berücksichtigen und sicherstellen, dass diese Geldbußen oder Maßnahmen verhältnismäßig sind.

(72)

Angesichts der Sensibilität elektronischer Gesundheitsdaten ist es erforderlich, die Risiken für die Privatsphäre natürlicher Personen durch Anwendung des Grundsatzes der Datenminimierung zu verringern. Daher sollten in allen Fällen, in denen die Bereitstellung dieser Daten ausreicht, nicht personenbezogene elektronische Gesundheitsdaten zur Verfügung gestellt werden. Wenn der Gesundheitsdatennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, sollte er die Verwendung dieser Art von Daten in seinem Antrag eindeutig begründen, und die Zugangsstelle für Gesundheitsdaten sollte prüfen, ob diese Begründung gültig ist. Die personenbezogenen elektronischen Gesundheitsdaten sollten nur in pseudonymisiertem Format zur Verfügung gestellt werden. Unter Berücksichtigung der spezifischen Zwecke der Verarbeitung sollten die personenbezogenen elektronischen Gesundheitsdaten so früh wie möglich in den Prozess der Bereitstellung von Daten für die Sekundärnutzung pseudonymisiert oder anonymisiert werden. Es sollte möglich sein, dass, die Pseudonymisierung und Anonymisierung von den Zugangsstellen für Gesundheitsdaten oder von den Gesundheitsdateninhabern vorgenommen werden. Als Verantwortliche sollten Zugangsstellen für Gesundheitsdaten und Gesundheitsdateninhaber diese Aufgaben an Auftragsverarbeiter delegieren können. Wenn eine Zugangsstelle für Gesundheitsdaten Zugang zu einem pseudonymisierten oder anonymisierten Datensatz gewährt, sollte sie dem neuesten Stand entsprechende Pseudonymisierungs- oder Anonymisierungstechnologien und -standards anwenden und dadurch so weit wie möglich sicherstellen, dass natürliche Personen nicht seitens Gesundheitsdatennutzern re-identifiziert werden kann. Solche Technologien und Standards für die Anonymisierung von Daten sollten weiterentwickelt werden. Gesundheitsdatennutzer dürfen nicht versuchen, natürliche Personen aus den nach dieser Verordnung bereitgestellten Datensätzen zu re-identifizieren, und wenn sie dies dennoch tun, dann sollten den in dieser Verordnung festgelegten Geldbußen und Durchsetzungsmaßnahmen oder möglicher strafrechtlicher Sanktionen unterworfen werden, sofern dies im nationalen Recht vorgesehen ist. Darüber hinaus sollte ein Antragsteller für Gesundheitsdaten die für den Zugang zu Gesundheitsdaten zuständigen Stellen ersuchen können, eine Gesundheitsdatenanfrage in einem anonymisierten oder aggregierten statistischen Format zu beantworten. In solchen Fällen wird der Gesundheitsdatennutzer nur nicht personenbezogene Daten verarbeiten, und die Zugangsstelle für Gesundheitsdaten bleibt alleiniger Verantwortlicher für alle personenbezogenen Daten, die für die Antwort auf die Gesundheitsdatenanfrage erforderlich sind.

(73)

Um sicherzustellen, dass alle Zugangsstellen für Gesundheitsdaten Datengenehmigungen in ähnlicher Weise ausstellen, ist es erforderlich, für ähnliche Anfragen in verschiedenen Mitgliedstaaten ein einheitliches Standardverfahren für die Erteilung von Datengenehmigungen festzulegen. Der Antragsteller für Gesundheitsdaten sollte den Zugangsstellen für Gesundheitsdaten verschiedene Informationen zur Verfügung stellen, die der Stelle bei der Bewertung des Antrags auf Zugang zu den Gesundheitsdaten und bei der Entscheidung helfen, ob der Antragsteller für Gesundheitsdaten eine Datengenehmigung erhalten kann und es ist zwischen den verschiedenen Zugangsstellen für Gesundheitsdaten für Kohärenz zu sorgen ist. Die im Rahmen des Antrags auf Zugang zu Gesundheitsdaten bereitgestellten Informationen sollten den Anforderungen dieser Verordnung entsprechen, um eine gründliche Prüfung zu ermöglichen, da eine Datengenehmigung nur erteilt werden sollte, wenn alle in dieser Verordnung festgelegten Voraussetzungen erfüllt sind. Darüber hinaus sollten diese Informationen gegebenenfalls eine Erklärung des Antragstellers für Gesundheitsdaten enthalten, dass die beabsichtigte Verwendung der angeforderten Gesundheitsdaten nicht die Gefahr einer Stigmatisierung oder einer Schädigung der Würde von natürlichen Personen oder Gruppen, auf die sich der angeforderte Datensatz bezieht, birgt. Eine Ethikprüfung könnte auf der Grundlage des nationalen Rechts verlangt werden. In diesem Fall, sollten bestehende Ethikgremien solche Bewertungen für die Zugangsstelle für Gesundheitsdaten durchführen können. Die bestehenden Ethikgremien der Mitgliedstaaten sollten der Zugangsstelle für Gesundheitsdaten zu diesem Zweck ihr Fachwissen zur Verfügung stellen. Alternativ sollten die Mitgliedstaaten vorsehen können, dass Ethikgremien Bestandteil der Zugangsstelle für Gesundheitsdaten sind. Die Zugangsstelle für Gesundheitsdaten und gegebenenfalls die Gesundheitsdateninhaber sollten die Gesundheitsdatennutzer bei der Auswahl der geeigneten Datensätze oder Datenquellen für den vorgesehenen Zweck der Sekundärnutzung unterstützen. Benötigt der Antragsteller für Gesundheitsdaten Daten in einem anonymisierten und aggregierten statistischen Format, so sollte er eine Gesundheitsdatenanfrage stellen, in der die Zugangsstelle für Gesundheitsdaten ersucht wird, direkt das Ergebnis zu übermitteln. Eine Verweigerung einer Datengenehmigung durch die Zugangsstelle für Gesundheitsdaten sollte den Antragsteller für Gesundheitsdaten nicht daran hindern, einen neuen Antrag auf Zugang zu Gesundheitsdaten einzureichen. Um ein harmonisiertes Vorgehen der verschiedenen Zugangsstellen für Gesundheitsdaten sicherstellen und den Verwaltungsaufwand für die Antragsteller für Gesundheitsdaten begrenzen, sollte die Kommission die Harmonisierung der Anträge auf Zugang zu Gesundheitsdaten sowie der Gesundheitsdatenanfragen unterstützen, unter anderem durch die Erstellung einschlägiger Vorlagen. In begründeten Fällen, z. B. bei einem komplexen und aufwendigen Antrag, sollte die Zugangsstelle für Gesundheitsdaten die Möglichkeit haben, die Frist verlängern, innerhalb deren die Gesundheitsdateninhaber ihr die angeforderten elektronischen Gesundheitsdaten zur Verfügung stellen müssen.

(74)

Angesichts ihrer begrenzten Ressourcen sollten die Zugangsstellen für Gesundheitsdaten Priorisierungsregeln anwenden dürfen, z. B. die Priorisierung öffentlicher Einrichtungen gegenüber privaten Einrichtungen; innerhalb derselben Prioritätskategorie sollten sie jedoch nicht zwischen nationalen Einrichtungen und Einrichtungen aus anderen Mitgliedstaaten unterscheiden. Ein Gesundheitsdatennutzer sollte in der Lage sein, die Dauer der Datengenehmigung zu verlängern, um beispielsweise Prüfern wissenschaftlicher Veröffentlichungen Zugang zu den Datensätzen zu gewähren oder eine zusätzliche Analyse des Datensatzes auf der Grundlage der ersten Erkenntnisse zu ermöglichen. Dafür sollte eine Änderung der Datengenehmigung erforderlich sein und könnte eine Zusatzgebühr unterliegen. Allerdings sollten solche zusätzlichen Verwendungen des Datensatzes in allen Fällen aus der Datengenehmigung hervorgehen. Vorzugsweise sollte der Gesundheitsdatennutzer sie in seinem Erstantrag auf Zugang zu Gesundheitsdaten angeben. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Zugangsstellen für Gesundheitsdaten sicherstellen, indem sie die Harmonisierung der Datengenehmigungen unterstützt.

(75)

Wie die COVID-19-Krise gezeigt hat, benötigen die Organe, Einrichtungen und sonstigen Stellen der Union mit einem gesetzlichen Mandat im Bereich der öffentlichen Gesundheit, insbesondere die Kommission, längerfristig und wiederkehrend Zugang zu Gesundheitsdaten. Dies kann nicht nur unter besonderen, durch Unionsrecht oder nationales Recht festgelegten Umständen in Krisenzeiten zutreffen, sondern auch, wenn es darum geht, regelmäßig wissenschaftliche Erkenntnisse und technische Unterstützung für die Politik der Union bereitzustellen. Der Zugang zu diesen Daten könnte in bestimmten Mitgliedstaaten oder im gesamten Gebiet der Union erforderlich sein. Die jeweiligen Organe, Einrichtungen und sonstigen Stellen sollten von einem beschleunigten Verfahren profitieren können, bei dem die Daten in der Regel in weniger als zwei Monaten bereitgestellt werden, wobei die Frist in komplexeren Fällen um einen Monat verlängert werden kann.

(76)

Den Mitgliedstaaten sollten vertrauenswürdige Dateninhaber benennen können, für die das Datengenehmigungsverfahren in vereinfachter Weise durchgeführt werden kann, um den Verwaltungsaufwand für die Zugangsstellen für Gesundheitsdaten bei der Verwaltung von Anträgen auf die von ihnen verarbeiteten Daten zu verringern. Vertrauenswürdigen Gesundheitsdateninhaber sollten die im Rahmen dieses vereinfachten Verfahrens eingereichten Anträge auf Zugang zu Gesundheitsdaten auf Grundlage ihres Fachwissens im Umgang mit der Art der von ihnen verarbeiteten Gesundheitsdaten prüfen und eine Empfehlung in Bezug auf eine Datengenehmigung abgeben können. Die Zugangsstelle für Gesundheitsdaten sollte weiterhin für die Erteilung der endgültigen Datengenehmigung zuständig sein und nicht an die Empfehlung des vertrauenswürdigen Gesundheitsdateninhabers gebunden sein. Vermittlungsstellen für Gesundheitsdaten sollten nicht als vertrauenswürdige Gesundheitsdateninhaber benannt werden.

(77)

Angesichts der Sensibilität elektronischer Gesundheitsdaten sollten die Gesundheitsdatennutzer keinen uneingeschränkten Zugang zu diesen Daten haben. Der Zugang zu den angeforderten elektronischen Gesundheitsdaten für die Sekundärnutzung sollte über eine sichere Verarbeitungsumgebung erfolgen. Um strenge technische Vorkehrungen und Sicherheitsgarantien für die elektronischen Gesundheitsdaten sicherzustellen, sollte die Zugangsstelle für Gesundheitsdaten oder, wo zutreffend, der vertrauenswürdige Gesundheitsdateninhaber den Zugang zu diesen Daten in einer sicheren Verarbeitungsumgebung gewähren, wobei die hohen technischen und sicherheitsbezogenen Standards gemäß der vorliegenden Verordnung einzuhalten sind. Die Verarbeitung personenbezogener Daten in einer solchen sicheren Verarbeitungsumgebung sollte mit der Verordnung (EU) 2016/679 im Einklang stehen, einschließlich — wenn die sichere Verarbeitungsumgebung von einem Dritten verwaltet wird — der Anforderungen in Artikel 28 der vorliegenden Verordnung und gegebenenfalls in Kapitel V. Eine solche sichere Verarbeitungsumgebung sollte die mit den Verarbeitungstätigkeiten verbundenen Datenschutzrisiken verringern und verhindern, dass elektronische Gesundheitsdaten direkt an die Gesundheitsdatennutzer übermittelt werden. Die Zugangsstelle für Gesundheitsdaten oder der Gesundheitsdateninhaber, der diesen Dienst erbringt, sollte jederzeit die Kontrolle über den Zugang zu den elektronischen Gesundheitsdaten behalten, und der den Gesundheitsdatennutzern gewährte Zugang sollte entsprechend den Bedingungen der erteilten Datengenehmigung bestimmt werden. Nur nicht personenbezogene elektronische Gesundheitsdaten, die keine personenbezogenen elektronischen Gesundheitsdaten enthalten, sollten von den Gesundheitsdatennutzern aus einer solchen sicheren Verarbeitungsumgebung heruntergeladen werden. Somit stellt diese sichere Verarbeitungsumgebung eine wesentliche Schutzmaßnahme dar, die Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer elektronischen Gesundheitsdaten zu Zwecken der Sekundärnutzung zu wahren. Die Kommission sollte die Mitgliedstaaten bei der Entwicklung gemeinsamer Sicherheitsstandards unterstützen, um die Sicherheit und Interoperabilität der verschiedenen sicheren Verarbeitungsumgebungen zu fördern.

(78)

In der Verordnung (EU) 2022/868 sind die allgemeinen Vorschriften für den Umgang mit Datenaltruismus festgelegt. Da im Gesundheitswesen mit sensiblen Daten umgegangen wird, sollten im Wege des in jener Verordnung (EU) 2022/868 vorgesehenen Regelwerks zusätzliche Kriterien festgelegt werden. Sehen solche Vorschriften die Nutzung einer sicheren Verarbeitungsumgebung für diesen Sektor vor, so sollte diese sichere Verarbeitungsumgebung den in der vorliegenden Verordnung festgelegten Kriterien entsprechen. Die Zugangsstellen für Gesundheitsdaten sollten mit den gemäß der Verordnung (EU) 2022/868 benannten zuständigen Behörden zusammenarbeiten, um die Tätigkeit datenaltruistischer Organisationen im Gesundheitswesen oder im Pflegesektor zu überwachen.

(79)

Für die Verarbeitung elektronischer Gesundheitsdaten im Rahmen einer erteilten Datengenehmigung oder einer Gesundheitsdatenanfrage sollten die Gesundheitsdateninhaber, einschließlich vertrauenswürdiger Gesundheitsdateninhaber, die Zugangsstellen für Gesundheitsdaten und die Gesundheitsdatennutzer der Reihe nach für einen bestimmten Teil des Prozesses und gemäß ihren entsprechenden Rollen im Prozess als Verantwortliche gelten. Die Gesundheitsdateninhaber sollten als Verantwortlicher für die Offenlegung der angefragten personenbezogenen elektronischen Gesundheitsdaten für die Zugangsstellen für Gesundheitsdaten gelten, wogegen die Zugangsstellen für Gesundheitsdaten als Verantwortlicher für die Verarbeitung der personenbezogenen elektronischen Gesundheitsdaten bei der Aufbereitung der Daten und deren Bereitstellung für die Gesundheitsdatennutzer gelten sollten. Die Gesundheitsdatennutzer sollten als Verantwortliche für die Verarbeitung der personenbezogenen elektronischen Gesundheitsdaten in pseudonymisierter Form in der sicheren Verarbeitungsumgebung gemäß ihrer Datengenehmigung gelten. Die Zugangsstellen für Gesundheitsdaten sollten als Auftragsverarbeiter im Namen des Gesundheitsdatennutzers für die vom Gesundheitsdatennutzer durchgeführte Verarbeitung gemäß einer Datengenehmigung in der sicheren Verarbeitungsumgebung sowie für eine Verarbeitung, um die Antwort auf eine Gesundheitsdatenanfrage zu erzeugen, gelten. Gleichermaßen sollten vertrauenswürdige Gesundheitsdateninhaber als Verantwortliche für ihre Verarbeitung personenbezogener elektronischer Gesundheitsdaten im Zusammenhang mit der Bereitstellung elektronischer Gesundheitsdaten für den Gesundheitsdatennutzer aufgrund einer Datengenehmigung oder einer Gesundheitsdatenanfrage gelten. Die vertrauenswürdigen Gesundheitsdateninhaber sollten als Auftragsverarbeiter für die Gesundheitsdatennutzer gelten, wenn er Daten über eine sichere Verarbeitungsumgebung bereitstellt.

(80)

Um einen inklusiven und nachhaltigen Rahmen für die länderübergreifende Sekundärnutzung zu schaffen, sollte eine grenzüberschreitende Infrastruktur eingerichtet werden (im Folgenden „HealthData@ EU“). HealthData@EU sollte die Sekundärnutzung beschleunigen und gleichzeitig die Rechtssicherheit erhöhen, die Privatsphäre natürlicher Personen wahren und interoperabel sein. Aufgrund der Sensibilität von Gesundheitsdaten sollten nach Möglichkeit Grundsätze wie „Datenschutz durch Technikgestaltung“, „Datenschutz durch Voreinstellung“ und das Konzept „Besser die Fragen zu den Daten bringen, statt die Daten selbst zu übertragen“ eingehalten werden. Die Mitgliedstaaten sollten nationale Kontaktstellen für die Sekundärnutzung als organisatorische und technische Zugangstore für Zugangsstellen für Gesundheitsdaten benennen und diese Kontaktstellen an HealthData@EU anzubinden. Der Zugangsdienst der Union für Gesundheitsdaten sollte auch an HealthData@EU angebunden sein. Darüber hinaus könnten Forschungsinfrastrukturen, die gemäß der Verordnung (EG) Nr. 723/2009 des Rates (19) als Konsortium für eine europäische Forschungsinfrastruktur (European Research Infrastructure Consortium, ERIC) oder gemäß dem Beschluss (EU) 2022/2481 als Konsortium für eine europäische Forschungsinfrastruktur (ERIC) gegründet wurden, oder ähnliche Infrastrukturen, die durch andere Rechtsakte der Union geschaffen wurden, sowie andere Arten von Einrichtungen, einschließlich Infrastrukturen im Rahmen des Europäischen Strategieforums für Forschungsinfrastrukturen (European Strategy Forum on Research Infrastructures, ESFRI) oder Infrastrukturen unter dem Dach der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) befugte Teilnehmer von HealthData@EU befugt werden. Drittländer und internationale Organisationen könnten ebenfalls befugte Teilnehmer von HealthData@EU werden, sofern sie die Anforderungen dieser Verordnung erfüllen. Die Mitteilung der Kommission vom 19. Februar 2020 mit dem Titel „Eine europäische Datenstrategie“ fördert die Verknüpfung der verschiedenen gemeinsamen europäischen Datenräume. HealthData@EU sollte daher die Sekundärnutzung verschiedener Kategorien elektronischer Gesundheitsdaten ermöglichen, einschließlich der Verknüpfung der Gesundheitsdaten mit Daten aus anderen Datenräumen wie Umwelt, Landwirtschaft und Sozialwesen. Eine solche Interoperabilität zwischen dem Gesundheitswesen und den anderen Bereichen wie Umwelt, Landwirtschaft und Sozialwesen könnte für zusätzliche Erkenntnisse über Gesundheitsdeterminanten von Bedeutung sein. Die Kommission könnte im Rahmen von HealthData@EU eine Reihe von Diensten bereitstellen, einschließlich der Unterstützung des Informationsaustauschs zwischen den Zugangsstellen für Gesundheitsdaten und befugten Teilnehmern von HealthData@EU bei der Bearbeitung von Anträgen auf grenzüberschreitenden Zugang, der Pflege von Katalogen der über die Infrastruktur verfügbaren elektronischen Gesundheitsdaten, der Auffindbarkeit von Netzen und Abfragen von Metadaten sowie von Konnektivitäts- und Compliance-Diensten. Die Kommission könnte auch eine sichere Verarbeitungsumgebung einrichten, die es ermöglicht, auf Antrag der Verantwortlichen Daten aus verschiedenen nationalen Infrastrukturen zu übermitteln und zu analysieren. Im Interesse der IT-Effizienz, der Rationalisierung und der Interoperabilität des Datenaustauschs sollten die bestehenden Systeme für die gemeinsame Datennutzung so weit wie möglich weiterverwendet werden, z. B. das technische System, das für den Austausch von Nachweisen nach dem Grundsatz der einmaligen Erfassung („Once Only Principle“) im Rahmen der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates (20) eingerichtet wurde.

(81)

Da die Anbindung an HealthData@EU auch die Übermittlung personenbezogener Daten des Antragstellers oder des Gesundheitsdatennutzers in Drittländer mit sich bringen könnte, müssen für eine solche Weitergabe einschlägige Übermittlungsinstrumente gemäß Kapitel V der Verordnung (EU) 2016/679 vorhanden sein.

(82)

Bei grenzüberschreitenden Registern oder Datenbanken wie den Registern der Europäischen Referenznetzwerke für seltene Krankheiten, die Daten von verschiedenen Gesundheitsdienstleistern in mehreren Mitgliedstaaten erhalten, sollte die Zugangsstelle für Gesundheitsdaten des Mitgliedstaats, in dem die Koordinierungsstelle des Registers sich befindet, für die Gewährung des Datenzugangs zuständig sein.

(83)

Das Genehmigungsverfahren für den Zugang zu personenbezogenen elektronischen Gesundheitsdaten in verschiedenen Mitgliedstaaten kann für Gesundheitsdatennutzer repetitiv und umständlich sein. Soweit möglich sollten Synergieeffekte geschaffen werden, um den Aufwand und die Hindernisse für die Gesundheitsdatennutzer zu verringern. Dieses Ziel lässt sich unter anderem dadurch erreichen, dass der Grundsatz der einmaligen Antragstellung („Single Application Principle“) befolgt wird, d. h. der Gesundheitsdatennutzer kann mit einem einzigen Antrag die Genehmigung mehrerer Zugangsstellen für Gesundheitsdaten in verschiedenen Mitgliedstaaten oder von verschiedenen befugten Teilnehmern von HealthData@EU einholen.

(84)

Die Zugangsstellen für Gesundheitsdaten sollten Informationen über die verfügbaren Datensätze und deren Merkmale bereitstellen, damit die Gesundheitsdatennutzer grundlegende Fakten über den Datensatz in Erfahrung bringen und deren mögliche Relevanz für ihre Zwecke bewerten können. Aus diesem Grund sollte jeder Datensatz zumindest Informationen über die Quelle und die Art der Daten und die Bedingungen für die Bereitstellung der Daten enthalten. Der Gesundheitsdateninhaber sollte mindestens jährlich überprüfen, ob seine Beschreibung des Datensatzes im nationalen Datensatzkatalog korrekt und aktuell ist. Dementsprechend sollte ein EU-Datensatzkatalog erstellt werden, um die Auffindbarkeit der im EHDS verfügbaren Datensätze zu erleichtern, Gesundheitsdateninhaber bei der Veröffentlichung ihrer Datensätze zu unterstützen, alle Interessenträger, einschließlich der breiten Öffentlichkeit, unter Berücksichtigung der besonderen Bedürfnisse von Menschen mit Behinderungen, über die im EHDS abgelegten Datensätze zu informieren (z. B. Datenqualitäts- und -nutzbarkeitskennzeichnung, Datensatz-Auskunftsblätter) und für die Gesundheitsdatennutzer aktuelle Informationen über Datenqualität und -nutzbarkeit der Datensätze bereitzustellen.

(85)

Informationen über die Qualität und die Nutzbarkeit von Datensätzen erhöhen den Wert der Ergebnisse datenintensiver Forschung und Innovation erheblich und fördern gleichzeitig eine faktengestützte Entscheidungsfindung in Regulierung und Politik. Die Verbesserung der Qualität und die Nutzbarkeit von Datensätzen durch fundierte Entscheidungen der Kunden sowie die Harmonisierung der diesbezüglichen Anforderungen auf Unionsebene unter Berücksichtigung der auf Unions- und internationaler Ebene bestehenden Standards, Leitlinien und Empfehlungen für die Datenerhebung und den Datenaustausch, wie etwa FAIR-Prinzipien, kommt auch Gesundheitsdateninhabern, Angehörigen der Gesundheitsberufe, natürlichen Personen und der Wirtschaft der Union insgesamt zugute. Eine Datenqualitäts- und -nutzbarkeitskennzeichnung für Datensätze würde die Gesundheitsdatennutzer über die qualitäts- und nutzbarkeitsbezogenen Merkmale eines Datensatzes informieren und es ihnen ermöglichen, die für ihre Bedürfnisse am besten geeigneten Datensätze auszuwählen. Die Datenqualitäts- und -nutzbarkeitskennzeichnung soll nicht verhindern, dass Datensätze über den EHDS bereitgestellt werden, sondern einen Mechanismus für Transparenz zwischen Gesundheitsdateninhabern und Gesundheitsdatennutzern bieten. So sollte beispielsweise ein Datensatz, der keinerlei Anforderung an Datenqualität und -nutzbarkeit erfüllt, trotzdem zur Verfügung gestellt, aber mit der Klasse gekennzeichnet werden, die der niedrigsten Qualität und der geringsten Nutzbarkeit entspricht. Die Erwartungen, die in dem gemäß Artikel 10 der Verordnung (EU) 2024/1689 geschaffenen Rahmen und der einschlägigen technischen Dokumentation gemäß Anhang IV der genannten Verordnung festgelegt sind, sollten bei der Entwicklung des Rahmens für Datenqualität und -nutzbarkeit berücksichtigt werden. Die Mitgliedstaaten sollten durch Kommunikationsmaßnahmen den Bekanntheitsgrad der Datenqualitäts- und -nutzbarkeitskennzeichnung erhöhen. Die Kommission könnte diese Tätigkeiten unterstützen. Die Verwendung von Datensätzen könnte von ihren Nutzern entsprechend ihrem Nutzen und ihrer Qualität priorisiert werden.

(86)

Der EU-Datensatzkatalog sollte für Gesundheitsdateninhaber und andere Datenbanknutzer mit möglichst geringem Verwaltungsaufwand verbunden, benutzerfreundlich, zugänglich und kosteneffizient sein, nationale Datensatzkataloge miteinander verbinden und eine redundante Erfassung von Datensätzen verhindern. Unbeschadet der Anforderungen der Verordnung (EU) 2022/868 könnte der EU-Datensatzkatalog mit der Initiative data.europa.eu abgestimmt werden. Die Interoperabilität zwischen dem EU-Datensatzkatalog, den nationalen Datensatzkatalogen und den Datensatzkatalogen in europäischen Forschungsinfrastrukturen und anderen einschlägigen Infrastrukturen für die gemeinsame Datennutzung sollte sichergestellt werden.

(87)

Derzeit arbeiten verschiedene Berufsverbände, die Kommission und andere Institutionen gemeinsam an der Festlegung von Mindestdatenfeldern und anderen Merkmalen bestimmter Datensätze, z. B. Register. In Bereichen wie Krebs, seltene Krankheiten, Herz-Kreislauf- und Stoffwechselerkrankungen, Risikobewertung und Statistiken sind diese Arbeiten bereits fortgeschritten und sollten bei der Festlegung neuer Standards und krankheitsspezifischer harmonisierter Vorlagen für strukturierte Datenelemente berücksichtigt werden. Viele Datensätze sind jedoch nicht harmonisiert, was Probleme bezüglich der Vergleichbarkeit verursacht und die grenzüberschreitende Forschung erschwert. Daher sollten in Durchführungsrechtsakten ausführlichere Vorschriften festgelegt werden, mit denen eine harmonisierte Kodierung und Erfassung elektronischer Gesundheitsdaten sichergestellt wird, um die konsistente Bereitstellung dieser Daten für die Sekundärnutzung zu ermöglichen. Solche Datensätze könnten Daten aus Registern für seltene Krankheiten, Datenbanken über Arzneimittel für seltene Leiden, Krebsregister und Register hochrelevanter Infektionskrankheiten umfassen. Die Mitgliedstaaten sollten darauf hinwirken sicherzustellen, dass die europäischen elektronischen Gesundheitssysteme und -dienste und interoperable Anwendungen einen nachhaltigen wirtschaftlichen und sozialen Nutzen erzielen, damit ein hohes Niveau an Vertrauen und Sicherheit erreicht, die Kontinuität der Gesundheitsversorgung gefördert und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt wird. Bestehende Gesundheitsdateninfrastrukturen und -register können Modelle bereitstellen, die zur Festlegung und Umsetzung von Datenstandards und Interoperabilität beitragen und sollten genutzt werden, um für Kontinuität zu sorgen und auf vorhandenem Fachwissen aufzubauen.

(88)

Die Kommission sollte die Mitgliedstaaten beim Ausbau der Kapazitäten und der Steigerung der Leistungsfähigkeit im Bereich der digitalen Gesundheitssysteme für die Primär- und Sekundärnutzung unterstützen. Die Mitgliedstaaten sollten beim Ausbau ihrer Kapazitäten unterstützt werden. In diesem Zusammenhang gehören vergleichende Leistungsbewertungen (Benchmarking) und der Austausch bewährter Verfahren zu den einschlägigen Maßnahmen auf Unionsebene. Diese Tätigkeiten sollten die besonderen Umstände der verschiedenen Kategorien von Interessenträgern wie Vertreter der Zivilgesellschaft, Forschern, medizinischen Gesellschaften und KMU berücksichtigen.

(89)

Die Förderung der digitalen Gesundheitskompetenz sowohl von natürlichen Personen als auch von Angehörigen der Gesundheitsberufe ist von entscheidender Bedeutung, um Vertrauen und Sicherheit sowie eine angemessene Nutzung von Gesundheitsdaten und somit eine erfolgreiche Umsetzung dieser Verordnung zu erreichen. Die Angehörigen der Gesundheitsberufe stehen im Zusammenhang mit der Digitalisierung vor einem tiefgreifenden Wandel und werden im Rahmen der Umsetzung des EHDS weitere digitale Instrumente erhalten. Daher müssen die Angehörigen der Gesundheitsberufe ihre digitale Gesundheitskompetenz im Gesundheitsbereich und ihre digitalen Fähigkeiten weiterentwickeln und die Mitgliedstaaten sollten den Angehörigen der Gesundheitsberufe den Zugang zu Kursen zur digitalen Kompetenz gewähren, um sich auf die Arbeit mit EHR-Systemen. Solche Kurse sollten es Angehörigen der Gesundheitsberufe und IT-Betreibern ermöglichen, ausreichende Schulungen in der Arbeit mit neuen digitalen Infrastrukturen zu erhalten, um die Cybersicherheit und eine ethische Verwaltung von Gesundheitsdaten sicherzustellen. Die Schulungen sollten regelmäßig in Absprache und Zusammenarbeit mit den einschlägigen Sachverständigen entwickelt und überprüft und auf dem neuesten Stand gehalten werden. Die Verbesserung der digitalen Gesundheitskompetenz ist von grundlegender Bedeutung, um natürliche Personen in die Lage zu versetzen, die tatsächliche Kontrolle über ihre Gesundheitsdaten zu übernehmen und ihre Gesundheit und Pflege aktiv zu verwalten, und um zu verstehen, wie sich die Verwaltung dieser Daten sowohl für die Primär- als auch für die Sekundärnutzung auswirkt. Unterschiedliche Bevölkerungsgruppen verfügen über ein unterschiedliches Maß an digitaler Kompetenz, wodurch die Fähigkeit natürlicher Personen, ihr Recht auf Kontrolle ihrer elektronischen Gesundheitsdaten auszuüben, beeinträchtigt werden kann. Die Mitgliedstaaten, einschließlich regionaler und lokaler Behörden, sollten daher die digitale Gesundheitskompetenz im Bereich digitale Gesundheit und das öffentliche Bewusstsein fördern und gleichzeitig sicherstellen, dass die Umsetzung dieser Verordnung zum Abbau von Ungleichheit beiträgt und Menschen mit mangelnden digitalen Fähigkeiten dabei nicht diskriminiert werden. Besondere Aufmerksamkeit sollte Menschen mit Behinderungen und schutzbedürftigen Gruppen, einschließlich Migranten und älteren Menschen, gewidmet werden. Die Mitgliedstaaten sollten gezielte nationale Programme für digitale Kompetenz einrichten, einschließlich Programmen zur Maximierung der sozialen Inklusion und um sicherzustellen, dass alle natürlichen Personen ihre Rechte gemäß dieser Verordnung wirksam ausüben können. Die Mitgliedstaaten sollten natürlichen Personen auch patientenorientierte Leitlinien im Hinblick auf die Verwendung von EHR und die Primärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten zur Verfügung stellen. Die Leitlinien sollten auf die digitalen Gesundheitskompetenz abgestimmt sein, wobei den Bedürfnissen schutzbedürftiger Gruppen besondere Aufmerksamkeit gewidmet werden sollte.

(90)

Auch die Mittelverwendung sollte zur Erreichung der Ziele des EHDS beitragen. Öffentliche Beschaffer, zuständige nationale Behörden in den Mitgliedstaaten, einschließlich Stellen für digitale Gesundheit und Zugangsstellen für Gesundheitsdaten, sowie die Kommission sollten sich bei der Festlegung der Bedingungen für die Vergabe öffentlicher Aufträge, Aufforderungen zur Einreichung von Vorschlägen und die Zuweisung von Unionsmitteln, einschließlich der Struktur- und Kohäsionsfonds, auf die für Interoperabilität, Sicherheit und Datenqualität anwendbaren technischen Spezifikationen, Standards und Profile sowie auf andere im Rahmen dieser Verordnung entwickelte Anforderungen beziehen. Die Unionsmittel müssen unter Berücksichtigung des unterschiedlichen Digitalisierungsgrads der Gesundheitssysteme auf transparente Weise unter den Mitgliedstaaten aufgeteilt werden. Die Bereitstellung von Daten für die Sekundärnutzung erfordert zusätzliche Ressourcen für die Gesundheitssysteme, insbesondere für die öffentlichen Gesundheitssysteme. Diese zusätzliche Belastung sollte während der Umsetzungsphase des EHDS angesprochen und minimiert werden.

(91)

Um das EHDS umzusetzen, sind angemessene Investitionen in den Aufbau von Kapazitäten und Schulungen sowie ein gut finanziertes Engagement für die öffentliche Konsultation und Beteiligung sowohl auf Unionsebene als auch auf nationaler Ebene erforderlich. Die wirtschaftlichen Kosten für die Umsetzung dieser Verordnung müssen sowohl auf Ebene der Union als auch auf Ebene der Mitgliedstaaten getragen werden, und es muss für eine faire Aufteilung dieser Belastung zwischen den Unionsmitteln und den nationalen Mitteln gesorgt werden.

(92)

Bestimmte Kategorien elektronischer Gesundheitsdaten können auch dann noch besonders sensibel sein, wenn sie in anonymisiertem und somit nicht personenbezogenem Format vorliegen, wie es bereits in der Verordnung (EU) 2022/868 ausdrücklich vorgesehen ist. Selbst bei Anwendung von dem Stand der Technik entsprechenden Anonymisierungverfahren besteht nach wie vor ein Restrisiko, dass die Fähigkeit zur Re-Identifizierung über die nach vernünftigem Ermessen wahrscheinlich eingesetzten Mittel hinaus verfügbar sein oder werden könnte. Ein solches Restrisiko besteht im Zusammenhang mit seltenen Krankheiten, d. h. eine lebensbedrohliche oder zu chronischer Invalidität führende Erkrankung, von der höchstens fünf von 10 000 Personen in der Union betroffen sind, bei denen die begrenzte Zahl von Fällen die Möglichkeit einschränkt, die veröffentlichten Daten vollständig zu aggregieren, damit die Privatsphäre natürlicher Personen gewahrt bleibt, und gleichzeitig ein angemessenes Granularitätsniveau und somit die Aussagekraft aufrechtzuerhalten. Dieses Restrisiko kann verschiedene Kategorien von Gesundheitsdaten betreffen, und kann zur Re-Identifizierung von betroffenen Personen führen, die von den voraussichtlich verwendeten Mitteln abweichende Mittel verwenden. Dieses Risiko ist von Folgendem abhängig: Dem Grad der Granularität, der Beschreibung der Merkmale der betroffenen Personen, der Anzahl der betroffenen Personen, beispielsweise wenn Daten in EHR, Krankheitsregistern, Biobanken oder personenbezogene Daten betroffen sind, bei denen das Spektrum der Identifizierungsmerkmale breiter ist, und der mögliche Kombination mit anderen Informationen, z. B. in sehr kleinen geografischen Gebieten, oder durch die technologische Entwicklung von Methoden, die zum Zeitpunkt der Anonymisierung nicht verfügbar waren. Eine solche Re-Identifizierung natürlicher Personen wäre äußerst bedenklich und würde die Akzeptanz der in der vorliegenden Verordnung vorgesehenen Vorschriften für die Sekundärnutzung gefährden. Darüber hinaus sind Aggregationsverfahren für nicht personenbezogene Daten, die beispielsweise Geschäftsgeheimnisse enthalten, wie dies bei der Berichterstattung über klinische Prüfungen und klinische Untersuchungen der Fall ist, weniger erprobt, und die Verfolgung von Verletzungen von Geschäftsgeheimnissen außerhalb der Union ist schwieriger, da es keinen ausreichenden internationalen Schutzstandard gibt. Daher besteht für diese Kategorien von Gesundheitsdaten nach der Anonymisierung oder Aggregierung weiterhin ein Risiko der Re-Identifizierung, das zunächst nicht angemessen gemindert werden kann. Dies fällt unter die in Artikel 5 Absatz 13 der Verordnung (EU) 2022/868 genannten Kriterien. Diese Arten von Gesundheitsdaten würden somit unter die in Artikel 5 Absatz 13 der Verordnung festgelegte Befugnis zur Übermittlung an Drittländer fallen. Die im Rahmen der Ermächtigung gemäß Artikel 5 Absatz 13 der Verordnung (EU) 2022/868 vorgesehenen besonderen Bedingungen werden im Zusammenhang mit dem delegierten Rechtsakt im Rahmen der Befugnisübertragung näher ausgeführt, und müssen in einem angemessenen Verhältnis zum Risiko der Re-Identifizierung stehen und die Besonderheiten verschiedener Datenkategorien oder unterschiedlicher Anonymisierungs- oder Aggregationsverfahren berücksichtigen.

(93)

Die Verarbeitung großer Mengen personenbezogener elektronischer Gesundheitsdaten für die Zwecke des EHDS im Rahmen von Datenverarbeitungstätigkeiten im Zusammenhang mit der Bearbeitung von Anträgen auf Zugang zu Gesundheitsdaten, Datengenehmigungen und Gesundheitsdatenanfragen birgt ein höheres Risiko des unbefugten Zugriffs auf solche personenbezogenen Daten sowie der Möglichkeit von Cybersicherheitsvorfällen. Personenbezogene elektronische Gesundheitsdaten sind besonders sensibel, da sie häufig Informationen enthalten, die unter die ärztliche Schweigepflicht fallen und deren Weitergabe an unbefugte Dritte erhebliches Leid verursachen kann. Unter uneingeschränkter Berücksichtigung der in der Rechtsprechung des Gerichtshofs der Europäischen Union dargelegten Grundsätze wird durch die vorliegende Verordnung die uneingeschränkte Achtung der Grundrechte, des Rechts auf Privatsphäre und des Grundsatzes der Verhältnismäßigkeit sichergestellt. Um die vollständige Integrität und Vertraulichkeit personenbezogener elektronischer Gesundheitsdaten gemäß der vorliegenden Verordnung und ein besonders hohes Maß an Schutz und Sicherheit sicherzustellen und das Risiko eines unrechtmäßigen Zugriffs auf diese personenbezogenen elektronischen Gesundheitsdaten zu verringern, können die Mitgliedstaaten gemäß dieser Verordnung verlangen, dass personenbezogene elektronische Gesundheitsdaten ausschließlich in der Union zur Wahrnehmung der in der vorliegenden Verordnung vorgesehenen Aufgaben gespeichert und verarbeitet werden dürfen, es sei denn, es gilt ein gemäß Artikel 45 der Verordnung (EU) 2016/679 gefasster Angemessenheitsbeschluss.

(94)

Der Zugang zu elektronischen Gesundheitsdaten für Gesundheitsdatennutzer aus Drittländern oder internationale Organisationen sollte nur auf der Grundlage des Gegenseitigkeitsprinzips erfolgen. Die Bereitstellung von elektronischen Gesundheitsdaten an ein Drittland sollte nur erfolgen dürfen, wenn die Kommission mittels eines Durchführungsrechtsakts festgelegt hat, dass das betreffende Drittland den Zugang zu den aus diesem Drittland stammenden elektronischen Gesundheitsdaten durch Einrichtungen der Union unter denselben Bedingungen und mit denselben Schutzmaßnahmen gestattet, wie dies beim Zugang zu elektronischen Gesundheitsdaten innerhalb der Union der Fall wäre. Die Kommission sollte die Lage in diesen Drittländern und in Bezug auf internationale Organisationen überwachen und regelmäßig überprüfen und diese Durchführungsrechtsakte auflisten. Sollte die Kommission feststellen, dass ein Drittland den Zugang nicht mehr zu denselben Bedingungen gewährleistet, sollte es den entsprechenden Durchführungsrechtsakt aufheben.

(95)

Um die einheitliche Anwendung dieser Verordnung, einschließlich in Bezug auf die grenzüberschreitenden Interoperabilität von elektronischen Gesundheitsdaten, zu fördern, sollte ein Ausschuss für den europäischen Gesundheitsdatenraum eingerichtet werden. Die Kommission sollte sich an dessen Tätigkeiten beteiligen und den Ko-Vorsitz führen. Der EHDS-Ausschuss sollte schriftliche Beiträge im Zusammenhang mit der einheitlichen Anwendung dieser Verordnung in der gesamten Union abgeben können, unter anderem, indem er die Mitgliedstaaten bei der Koordinierung der Nutzung elektronischer Gesundheitsdaten für die Gesundheitsversorgung und die Zertifizierung, aber auch im Hinblick auf die Sekundärnutzung und die Finanzierung dieser Tätigkeiten unterstützt. Dies könnte auch den Austausch von Informationen über Risiken und Vorfälle in sicheren Verarbeitungsumgebungen umfassen. Die Art des Informationsaustauschs berührt nicht die Verpflichtungen aus anderen Rechtsakten, wie die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679. Im Allgemeinen lassen die Tätigkeiten des EHDS-Ausschusses die Befugnisse der Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 unberührt. Da auf nationaler Ebene die Stellen für digitale Gesundheit, die mit der Primärnutzung befasst sind, und die Zugangsstellen für Gesundheitsdaten, die mit der Sekundärnutzung befasst sind, unterschiedliche Stellen sein können und daher die Funktionen unterschiedlich sind und in jedem dieser Bereiche eine gesonderte Zusammenarbeit erfolgen muss, sollte der EHDS-Ausschuss in der Lage sein, Untergruppen einzusetzen, die sich mit beiden Funktionen befassen, sowie gegebenenfalls weitere Untergruppen. Im Interesse einer effizienten Arbeitsweise sollten die Stellen für digitale Gesundheit und die Zugangsstellen für Gesundheitsdaten mit anderen Stellen und Behörden auf nationaler Ebene, aber auch auf Unionsebene Netzwerke und Verbindungen aufbauen. Diese Stellen könnten Datenschutzbehörden, Einrichtungen für Cybersicherheit und elektronische Identifizierung, Standardisierungsgremien sowie Einrichtungen und Sachverständigengruppen gemäß den Verordnungen (EU) 2022/868, (EU) 2023/2854 und (EU) 2024/1689 sowie der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates (21) umfassen. Der EHDS-Ausschuss sollte unabhängig, im öffentlichen Interesse und im Einklang mit seinem Verhaltenskodex tätig sein.

(96)

Wenn Fragen erörtert werden, die der EHDS-Ausschuss für besonders relevant hält, sollte er Beobachter einladen können, beispielsweise den EDSB, Vertreter der Organe der Union, einschließlich des Europäischen Parlaments, und andere Interessenträger.

(97)

Es sollte ein Forum der Interessenträger eingerichtet werden, das den EHDS-Ausschuss bei der Erfüllung seiner Aufgaben berät, indem es Beiträge der Interessenträger zu Fragen im Zusammenhang mit dieser Verordnung liefert. Das Forum der Interessenträger sollte sich unter anderem aus Vertretern der Patienten- und Verbraucherorganisationen, der Angehörigen der Gesundheitsberufe, der Industrie, der wissenschaftlichen Forschung und der Hochschulen zusammensetzen. Es sollte ausgewogen zusammengesetzt sein und die Ansichten der verschiedenen einschlägigen Interessenträger sollten vertreten sein. Sowohl kommerzielle als auch nichtkommerzielle Interessen sollten vertreten sein.

(98)

Um eine ordnungsgemäße laufende Verwaltung der grenzüberschreitenden Infrastrukturen für die Primär- und Sekundärnutzung sicherzustellen, ist es erforderlich, Lenkungsgruppen einzurichten, die sich aus Vertretern der Mitgliedstaaten zusammensetzen. Diese Lenkungsgruppen sollten operative Entscheidungen über die laufende technische Verwaltung der grenzüberschreitenden Infrastrukturen und ihre technische Entwicklung treffen, einschließlich technischer Änderungen der Infrastrukturen, der Verbesserung der Funktionen oder Dienste oder der Sicherstellung der Interoperabilität mit anderen Infrastrukturen, digitalen Systemen oder Datenräumen. Ihre Tätigkeiten sollten sich nicht auf einen Beitrag zur Ausarbeitung von Durchführungsrechtsakten erstrecken, die diese Infrastrukturen betreffen. Die Lenkungsgruppen sollten auch Vertreter anderer befugter Teilnehmer von HealthData@EU als Beobachter zu ihren Sitzungen einladen können und bei der Wahrnehmung ihrer Aufgaben einschlägige Sachverständige konsultieren.

(99)

Unbeschadet eines anderweitigen verwaltungsrechtlichen, gerichtlichen oder außergerichtlichen Rechtsbehelfs sollte jede natürliche oder juristische Person das Recht haben, eine Beschwerde bei einer Stelle für digitale Gesundheit oder einer Zugangsstelle für Gesundheitsdaten einzureichen, wenn die natürliche oder juristische Person der Ansicht ist, dass ihre Rechte oder Interessen gemäß dieser Verordnung beeinträchtigt wurden. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich einer gerichtlichen Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Stelle für digitale Gesundheit oder die Zugangsstelle für Gesundheitsdaten sollte die natürliche oder juristische Person innerhalb einer angemessenen Frist über den Verlauf und das Ergebnis der Beschwerde informieren. Erfordert der Fall weitere Ermittlungen oder eine Koordinierung mit einer anderen Stelle für digitale Gesundheit oder einer Zugangsstelle für Gesundheitsdaten, sollte die betroffene natürliche oder juristische Person über Stand der Bearbeitung der Beschwerde informiert werden. Um die Einreichung von Beschwerden zu erleichtern, sollte jede Stelle für digitale Gesundheit und jede Zugangsstelle für Gesundheitsdaten Maßnahmen ergreifen, wie z. B. die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, wobei die Möglichkeit, andere Kommunikationsmittel zu nutzen, nicht ausgeschlossen werden sollte. Betrifft die Beschwerde die Rechte natürlicher Personen im Zusammenhang mit ihren personenbezogenen Daten, so sollte die Stelle für digitale Gesundheit oder die Zugangsstelle für Gesundheitsdaten die Beschwerde gemäß der Verordnung (EU) 2016/679 den Aufsichtsbehörden übermitteln. Die Stellen für digitale Gesundheit oder die Zugangsstellen für Gesundheitsdaten sollten bei der Bearbeitung und Beilegung von Beschwerden zusammen, unter anderem durch den unverzüglichen Austausch aller einschlägigen Informationen auf elektronischem Wege zusammenarbeiten.

(100)

Natürliche Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, eine nach nationalen Rechtgegründete Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde einzureichen.

(101)

Die Stelle für digitale Gesundheit, die Zugangsstelle für Gesundheitsdaten, der Gesundheitsdateninhaber oder der Gesundheitsdatennutzer sollte jeden Schaden ersetzen, der einer natürlichen oder juristischen Person durch einen Verstoß gegen die vorliegende Verordnung entstehet. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs der Europäischen Union weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Bestimmungen des Unionsrechts oder des nationalen Rechts. Natürliche Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.

(102)

Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen die vorliegende Verordnung zusätzlich zu den geeigneten Maßnahmen, die Zugangsstellen für Gesundheitsdaten gemäß dieser Verordnung verhängen, oder anstelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrens Schutzmaßnahmen geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta der Grundrechte der Europäischen Union, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.

(103)

Es sollten Bestimmungen festgelegt werden, die es den Zugangsstellen für Gesundheitsdaten ermöglichen, bei bestimmten Verstößen gegen die vorliegende Verordnung Geldbußen zu verhängen, die gemäß dieser Verordnung als schwerwiegende Verstöße angesehen werden sollten, wie etwa die Re-Identifizierung natürlicher Personen, das Herunterladen personenbezogener elektronischer Gesundheitsdaten außerhalb der sicheren Verarbeitungsumgebung oder die Verarbeitung von Daten für verbotene Verwendung oder nicht von einer Datengenehmigung erfasste Verwendung. In dieser Verordnung sollten diese Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung angegeben werden, wobei diese Geldbußen von der zuständigen Zugangsstelle für Gesundheitsdaten in jedem Einzelfall unter Berücksichtigung aller einschlägigen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen festzusetzen sind, die ergriffen wurden, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen sicherzustellen und die Folgen des Verstoßes abzuwenden oder abzumildern. Zum Zwecke der Verhängung von Geldbußen gemäß der vorliegenden Verordnung sollte der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die Zugangsstellen für Gesundheitsdaten bereits Geldbußen verhängt oder eine Verwarnung erteilt haben, sollten sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe dieser Verordnung verhängen.

(104)

Um sicherzustellen, dass der EHDS seine Zwecke erfüllt, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte hinsichtlich der Änderung, Hinzufügung oder Entfernung der Hauptmerkmale der in Anhang I genannten prioritären Kategorien personenbezogener elektronischer Gesundheitsdaten, der Liste der erforderlichen Daten, die von den Herstellern von EHR-Systemen und Wellness-Anwendungen in die EU-Datenbank für die Registrierung von EHR-Systemen und Wellness-Anwendungen eingegeben werden müssen, der Änderung, Hinzufügung oder der Streichung von Elementen, die von der Datenqualitäts- und -nutzbarkeitskennzeichnung umfasst werden sollen, zu erlassen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen im Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (22) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(105)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der vorliegenden Verordnung sollten der Kommission Durchführungsbefugnisse in Bezug auf folgendes übertragen werden:

Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (23) ausgeübt werden.

(106)

Die Mitgliedstaaten sollten alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Bestimmungen dieser Verordnung eingehalten werden, und dazu u. a. wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen. Bei der Entscheidung über die Höhe der Sanktion in jedem Einzelfall sollten die Mitgliedstaaten die in dieser Verordnung festgelegten Grenzen und Kriterien berücksichtigen. Die Re-Identifizierung natürlicher Personen sollte als schwerer Verstoß gegen die vorliegende Verordnung angesehen werden.

(107)

Die Umsetzung des EHDS wird umfangreiche Entwicklungsarbeiten in den Mitgliedstaaten und zentralen Diensten erfordern. Um die in dieser Hinsicht erzielten Fortschritte zu verfolgen, sollte die Kommission bis zur vollständigen Anwendung dieser Verordnung unter Berücksichtigung der von den Mitgliedstaaten bereitgestellten Informationen jährlich über diese Fortschritte Bericht erstatten. Diese Berichte könnten Empfehlungen für Abhilfemaßnahmen sowie eine Bewertung der erzielten Fortschritte enthalten.

(108)

Die Kommission sollte eine Evaluierung dieser Verordnung vornehmen, um zu bewerten, ob die Ziele der Verordnung wirkungsvoll und effizient erreicht werden, ob sie konsistent und immer noch relevant ist und einen EU-Mehrwert bietet. Die Kommission sollte acht Jahre nach dem Inkrafttreten der Verordnung eine gezielte Bewertung dieser Verordnung und zehn Jahre nach ihrem Inkrafttreten eine Gesamtbewertung vornehmen. Die Kommission sollte dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen nach jeder Bewertung einen Bericht über die wichtigsten Ergebnisse übermitteln.

(109)

Für eine erfolgreiche grenzüberschreitende Umsetzung des EHDS sollte der Europäische Interoperabilitätsrahmen, dessen Umfang durch die Mitteilung der Kommission vom 23. März 2017 mit dem Titel „Europäischer Interoperabilitätsrahmen — Umsetzungsstrategie“ aktualisiert und erweitert wurde, um neuen oder überarbeiteten Interoperabilitätsanforderungen Rechnung zu tragen, als gemeinsamer Bezugspunkt betrachtet werden, um die rechtliche, organisatorische, semantische und technische Interoperabilität sicherzustellen.

(110)

Da die Ziele dieser Verordnung, nämlich die Stärkung der Handlungskompetenz natürlicher Personen, indem die Kontrolle über ihre personenbezogenen Gesundheitsdaten verbessert und ihre Freizügigkeit durch die Sicherstellung der Mitnahmefähigkeit ihrer Gesundheitsdaten unterstützt wird, die Förderung eines echten Binnenmarkts für digitale Gesundheitsprodukte und -dienstleistungen sowie die Sicherstellung eines kohärenten und effizienten Rahmens für die Weiterverwendung von Gesundheitsdaten natürlicher Personen für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten, von den Mitgliedstaaten allein durch Koordinierungsmaßnahmen nicht ausreichend verwirklicht werden können, wie die Bewertung der digitalen Aspekte der Richtlinie 2011/24/EU gezeigt hat, sondern vielmehr durch Maßnahmen zur Harmonisierung der Rechte natürlicher Personen in Bezug auf ihre elektronischen Gesundheitsdaten, die Sicherstellung der Interoperabilität elektronischer Gesundheitsdaten und die Schaffung eines gemeinsamen Rahmens und gemeinsamer Schutzmaßnahmen für die Primär- und Sekundärnutzung auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht die vorliegende Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(111)

Die Bewertung der digitalen Aspekte der Richtlinie 2011/24/EU zeigt, dass das eHealth-Netzwerk nur begrenzt wirksam ist, aber auch großes Potenzial für Tätigkeiten auf Unionsebene im Bereich digitale Gesundheit besteht, wie die Arbeit während der COVID-19 Pandemie verdeutlicht hat. Daher sollte die Richtlinie 2011/24/EU entsprechend geändert werden.

(112)

Die vorliegende Verordnung ergänzt die wesentlichen Cybersicherheitsanforderungen der Verordnung (EU) 2024/2847. EHR-Systeme, bei denen es sich um Produkte mit digitalen Elemente im Sinne der Verordnung (EU) 2024/2847 handelt, sollten daher auch den wesentlichen Cybersicherheitsanforderungen jener Verordnung entsprechen. Die Hersteller dieser EHR-Systeme sollten die Konformität nach Maßgabe dieser Verordnung nachweisen. Zur Erleichterung dieser Konformität sollten die Hersteller einen einzigen Satz technischer Dokumente erstellen dürfen, die die in beiden Rechtsakten vorgeschriebenen Elemente enthält. Es sollte möglich sein, die Konformität von EHR-Systemen mit den wesentlichen Cybersicherheitsanforderungen der Verordnung (EU) 2024/2847 durch den Bewertungsrahmen gemäß der vorliegenden Verordnung nachzuweisen. Allerdings sollten die Teile des Konformitätsbewertungsverfahrens nach der vorliegenden Verordnung, die sich auf die Verwendung von Prüfumgebungen beziehen, nicht angewendet werden, da diese Prüfumgebungen keine Bewertung der Konformität mit den grundlegenden Cybersicherheitsanforderungen nach ermöglichen. Da die Verordnung (EU) 2024/2847 Software as a Service (SaaS) als solche nicht direkt abdeckt, fallen EHR-Systeme, die über das SaaS-Lizenzierungs- und Bereitstellungsmodell angeboten werden, nicht in den Anwendungsbereich der vorliegenden Verordnung. Ebenso fallen EHR-Systeme, die intern entwickelt und verwendet werden, nicht in den Anwendungsbereich der vorliegenden Verordnung, da sie nicht in Verkehr gebracht werden.

(113)

Der EDSB und der EDSA wurden gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 angehört und haben am 12. Juli 2022 ihre gemeinsame Stellungnahme abgegeben.

(114)

Die vorliegende Verordnung sollte die Anwendung der Wettbewerbsvorschriften, insbesondere der Artikel 101 und 102 AEUV, unberührt lassen. Die in dieser Verordnung vorgesehenen Vorschriften dürfen nicht dazu verwendet werden, den Wettbewerb entgegen den Vorschriften des AEUV einzuschränken.

(115)

Da technische Vorbereitungen erforderlich sind, sollte die vorliegende Verordnung ab 26. März 2027 gelten. Um die erfolgreiche Umsetzung des EHDS und die Schaffung wirksamer Bedingungen für die europäische Zusammenarbeit bei Gesundheitsdaten zu unterstützen, sollte die Umsetzung schrittweise erfolgen —