Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52022PC0197

    Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über den europäischen Raum für Gesundheitsdaten

    COM/2022/197 final

    Straßburg, den 3.5.2022

    COM(2022) 197 final

    2022/0140(COD)

    Vorschlag für eine

    VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

    über den europäischen Raum für Gesundheitsdaten

    (Text von Bedeutung für den EWR)

    {SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}


    BEGRÜNDUNG

    1.KONTEXT DES VORSCHLAGS

    Gründe und Ziele des Vorschlags

    In der europäischen Datenstrategie 1 wurde die Schaffung bereichsspezifischer gemeinsamer europäischer Datenräume vorgeschlagen. Der europäische Raum für Gesundheitsdaten (European Health Data Space, im Folgenden „EHDS“) ist der erste Vorschlag für einen solchen bereichsspezifischen gemeinsamen europäischen Datenraum. Er wird dazu dienen, gesundheitsbezogene Herausforderungen im Zusammenhang mit dem Zugang zu elektronischen Gesundheitsdaten und ihrem Austausch anzugehen, ist eine der Prioritäten der Europäischen Kommission im Gesundheitsbereich 2 und wird ein integraler Aspekt beim Aufbau einer europäischen Gesundheitsunion sein. Mit dem EHDS wird ein gemeinsamer Raum geschaffen, in dem natürliche Personen ihre elektronischen Gesundheitsdaten leicht kontrollieren können. Außerdem wird es Akteuren aus Forschung und Innovation sowie politischen Entscheidungsträgern ermöglicht, diese elektronischen Gesundheitsdaten auf vertrauenswürdige und sichere Weise unter Wahrung der Privatsphäre zu nutzen.

    Zum jetzigen Zeitpunkt ist es für natürliche Personen schwierig, ihre Rechte bezüglich ihrer elektronischen Gesundheitsdaten auszuüben, einschließlich des Zugangs zu ihren elektronischen Gesundheitsdaten und deren Übermittlung auf nationaler und grenzüberschreitender Ebene. Diese Schwierigkeiten bestehen trotz der Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden „DSGVO“) 3 , mit denen die Rechte natürlicher Personen in Bezug auf ihre Daten, einschließlich Gesundheitsdaten, gewahrt werden sollen. Wie aus der Studie zur Bewertung der Vorschriften der EU-Mitgliedstaaten zu Gesundheitsdaten vor dem Hintergrund der DSGVO 4 hervorgeht, führt die uneinheitliche Umsetzung und Auslegung der DSGVO durch die Mitgliedstaaten zu erheblichen Rechtsunsicherheiten und damit zu Hindernissen für die Sekundärnutzung elektronischer Gesundheitsdaten. Dadurch kommt es zu Situationen, in denen natürliche Personen nicht von innovativen Behandlungen profitieren können und politische Entscheidungsträger nicht wirksam auf eine Gesundheitskrise reagieren können, weil Hindernisse bestehen, die den Zugang von Akteuren aus Forschung und Innovation, Regulierungsbehörden und politischen Entscheidungsträgern zu den benötigten elektronischen Gesundheitsdaten einschränken. Darüber hinaus sind die in einem bestimmten Mitgliedstaat tätigen Hersteller digitaler Gesundheitsprodukte und Anbieter digitaler Gesundheitsdienste, die ihre Produkte oder Dienstleistungen in einem anderen Mitgliedstaat anbieten wollen, aufgrund unterschiedlicher Standards und begrenzter Interoperabilität mit Hindernissen und zusätzlichen Kosten konfrontiert.

    Des Weiteren hat die COVID‑19-Pandemie noch stärker gezeigt, wie wichtig elektronische Gesundheitsdaten für die Entwicklung von Strategien zur Bewältigung von Gesundheitskrisen sind. Sie hat außerdem verdeutlicht, dass es für die Vorbereitung und Reaktion auf Gesundheitsbedrohungen und für Behandlungsverfahren, aber auch für Forschung, Innovation, Patientensicherheit, Regulierungszwecke, Politikgestaltung, statistische Zwecke oder personalisierte Medizin unbedingt erforderlich ist, den frühzeitigen Zugang zu personenbezogenen elektronischen Gesundheitsdaten sicherzustellen. Der Europäische Rat hat die Dringlichkeit anerkannt, auf dem Weg zum EHDS Fortschritte zu erzielen und ihn als Priorität zu behandeln.

    Das allgemeine Ziel besteht darin, sicherzustellen, dass natürliche Personen in der EU in der Praxis mehr Kontrolle über ihre elektronischen Gesundheitsdaten haben. Außerdem soll ein Rechtsrahmen geschaffen werden, der vertrauenswürdige Governance-Mechanismen in der EU und den Mitgliedstaaten und eine sichere Verarbeitungsumgebung umfasst. Dadurch würden Akteure aus Forschung und Innovation, politische Entscheidungsträger und Regulierungsbehörden auf Ebene der EU und der Mitgliedstaaten Zugang zu einschlägigen elektronischen Gesundheitsdaten erhalten, wodurch die Diagnostik und die Behandlung und das Wohlergehen natürlicher Personen verbessert und fundiertere politische Maßnahmen ergriffen werden könnten. Der EHDS soll außerdem durch die Harmonisierung von Vorschriften zu einem echten Binnenmarkt für digitale Gesundheitsprodukte und ‑dienstleistungen beitragen und so die Effizienz der Gesundheitssysteme steigern.

    In Artikel 14 der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (im Folgenden „Patientenrechte-Richtlinie“) 5 wurde erstmals in einer EU-Rechtsvorschrift auf elektronische Gesundheitsdienste (e‑Health) Bezug genommen. Wie jedoch in der Folgenabschätzung zu der vorliegenden EHDS-Verordnung festgestellt wurde, beruhen die maßgeblichen Bestimmungen der Patientenrechte-Richtlinie auf Freiwilligkeit. Das erklärt zum Teil, warum sich dieser Aspekt der Richtlinie für eine verbesserte Kontrolle natürlicher Personen über ihre personenbezogenen elektronischen Gesundheitsdaten auf nationaler und grenzüberschreitender Ebene als nur begrenzt wirksam bzw. bezüglich der Sekundärnutzung elektronischer Gesundheitsdaten als sehr wenig wirksam erwiesen hat. Die COVID‑19-Pandemie hat aufgezeigt, dass es dringend erforderlich ist, unter Nutzung des auf nationaler Ebene vorhandenen Fachwissens für Interoperabilität und Harmonisierung zu sorgen, und dass diesbezüglich ein großes Potenzial besteht. Gleichzeitig sind digitale Gesundheitsprodukte und ‑dienstleistungen, einschließlich der Telemedizin, fester Bestandteil der Gesundheitsversorgung geworden.

    Bei der Bewertung der digitalen Aspekte der Patientenrechte-Richtlinie wurde auf die COVID‑19-Pandemie und die Verordnung (EU) 2021/953 6 über das digitale COVID-Zertifikat der EU eingegangen. In dieser zeitlich begrenzten Verordnung sind Beschränkungen der Freizügigkeit aufgrund von COVID‑19 geregelt. Die Bewertung zeigt, dass Rechtsvorschriften, die die Harmonisierung und ein gemeinsames EU-Konzept für die Nutzung elektronischer Gesundheitsdaten für bestimmte Zwecke unterstützen (im Gegensatz zu freiwilligen Maßnahmen allein), sowie Bemühungen der EU um rechtliche, semantische und technische Interoperabilität 7 nutzbringend sein können. Insbesondere können sie die Freizügigkeit natürlicher Personen maßgeblich unterstützen und dazu beitragen, dass die EU auf globaler Ebene Standards im Bereich der digitalen Gesundheit setzt.

    Der EHDS wird auch den Austausch verschiedener Arten elektronischer Gesundheitsdaten, darunter elektronische Patientenakten, Genomdaten, Patientenregister usw., und den Zugang zu diesen Daten verbessern. Dadurch wird nicht nur die Gesundheitsversorgung (Dienstleistungen und Personal zu deren Erbringung bzw. Primärnutzung elektronischer Gesundheitsdaten) unterstützt, sondern auch die gesundheitsbezogene Forschung, Innovation, Politikgestaltung, Regulierungszwecke und personalisierte Medizin (Sekundärnutzung elektronischer Gesundheitsdaten). Mit dem EHDS werden auch Mechanismen für den Datenaltruismus im Gesundheitswesen geschaffen. Er wird dazu beitragen, die Vision der Kommission für den digitalen Wandel in der EU bis 2030, das im digitalen Kompass 8 formulierte Ziel, 100 % der natürlichen Personen den Zugang zu ihren Patientenakten zu ermöglichen, sowie die Erklärung zu den Digitalgrundsätzen 9 umzusetzen.

    Kohärenz mit den bestehenden Vorschriften in diesem Bereich

    Der grenzüberschreitende Austausch elektronischer Gesundheitsdaten ist in der Patientenrechte-Richtlinie in gewissem Umfang geregelt, insbesondere in Artikel 14 über das Netzwerk für elektronische Gesundheitsdienste (e‑Health). Das Netzwerk wurde 2011 eingerichtet und ist eine freiwillige Einrichtung auf europäischer Ebene, an der sich Sachverständige für digitale Gesundheitsversorgung aus allen Mitgliedstaaten, Island und Norwegen beteiligen. Sie arbeiten daran, die EU-weite Interoperabilität elektronischer Gesundheitsdaten zu fördern und Leitlinien, etwa zu semantischen und technischen Standards, Datensätzen und Infrastrukturbeschreibungen, zu entwickeln. Bei der Bewertung der digitalen Aspekte der Patientenrechte-Richtlinie wurde auf den freiwilligen Charakter dieser Arbeit und der Leitlinien hingewiesen. Die Freiwilligkeit erklärt, warum sie nur in begrenztem Maße dazu beigetragen haben, den Zugang natürlicher Personen zu ihren elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten zu unterstützen. Mit dem EHDS sollen diese Probleme angegangen werden.

    Er baut auf Rechtsvorschriften wie der DSGVO, der Verordnung (EU) 2017/745 über Medizinprodukte (im Folgenden „Medizinprodukte-Verordnung“) 10 und der Verordnung (EU) 2017/746 über In-vitro-Diagnostika (im Folgenden „IVD-Verordnung“) 11 , dem vorgeschlagenen Gesetz über künstliche Intelligenz 12 , dem vorgeschlagenen Daten-Governance-Gesetz 13 und dem vorgeschlagenen Datengesetz 14 , der Richtlinie 2016/1148 über die Sicherheit von Netz- und Informationssystemen (im Folgenden „NIS-Richtlinie“) 15 und der Patientenrechte-Richtlinie auf.

    Da ein erheblicher Teil der elektronischen Daten, auf die im EHDS zugegriffen werden soll, personenbezogene Gesundheitsdaten sind, die sich auf natürliche Personen in der EU beziehen, wurde der Vorschlag in uneingeschränkter Übereinstimmung nicht nur mit der DSGVO, sondern auch mit der Verordnung (EU) 2018/1725 (EU-Datenschutzverordnung) 16 erarbeitet. Die DSGVO sieht für Daten das Recht auf Zugang, auf Übertragbarkeit und auf Zugänglichkeit für/Übermittlung an einen neuen Datenverantwortlichen vor. Außerdem werden Gesundheitsdaten in der DSGVO als „besondere Kategorie von Daten“ eingestuft, die bei der Verarbeitung durch zusätzliche Garantien besonders zu schützen sind. Mit dem EHDS wird die Umsetzung der in der DSGVO verankerten Rechte in Bezug auf elektronische Gesundheitsdaten unterstützt. Dies gilt unabhängig vom Mitgliedstaat, der Art des Gesundheitsdienstleisters, den Quellen der elektronischen Gesundheitsdaten oder dem Versicherungsmitgliedstaat der natürlichen Person. Der EHDS baut auf den Möglichkeiten auf, die die DSGVO für EU-Rechtsvorschriften bietet, die die Nutzung personenbezogener elektronischer Gesundheitsdaten für die medizinische Diagnostik, die medizinische Versorgung oder Behandlung oder die Verwaltung von Gesundheitssystemen und ‑diensten betreffen. Zudem ermöglicht er die Verwendung elektronischer Gesundheitsdaten für die wissenschaftliche oder historische Forschung, für amtliche statistische Zwecke und für das Gemeinwohl im Zusammenhang mit der öffentlichen Gesundheit, etwa zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Sicherstellung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln oder Medizinprodukten. Der EHDS sieht weitere Bestimmungen zur Förderung der Interoperabilität vor und stärkt das Recht natürlicher Personen auf Datenübertragbarkeit im Gesundheitswesen.

    Im Rahmen der Europäischen Gesundheitsunion wird der EHDS die Arbeit der Europäischen Behörde für die Krisenvorsorge und ‑reaktion bei gesundheitlichen Notlagen (HERA) 17 , die EU-Mission zur Krebsbekämpfung 18 des europäischen Plans zur Krebsbekämpfung 19 und die Arzneimittelstrategie für Europa 20 unterstützen. Er wird rechtliche und technische Rahmenbedingungen schaffen, mit denen die Entwicklung innovativer Arzneimittel und Impfstoffe sowie von Medizinprodukten und In-vitro-Diagnostika unterstützt wird. Dies wird dazu beitragen, gesundheitliche Notlagen zu verhindern, zu erkennen und rasch auf sie zu reagieren. Darüber hinaus wird der EHDS dazu beitragen, das Verständnis, die Prävention, Früherkennung, Diagnose, Behandlung und Überwachung von Krebs durch den grenzüberschreitenden sicheren Zugang zu Gesundheitsdaten in der EU, einschließlich krebsbezogene Daten natürlicher Personen, und deren grenzüberschreitenden Austausch zwischen Gesundheitsdienstleistern zu verbessern. Somit wird der EHDS durch die Bereitstellung eines sicheren Zugangs zu einem breiten Spektrum an elektronischen Gesundheitsdaten neue Möglichkeiten für die Prävention und Behandlung von Krankheiten bei natürlichen Personen eröffnen.

    Der Vorschlag zum EHDS baut auch auf den Anforderungen auf, die mit der Medizinprodukte-Verordnung und dem vorgeschlagenen Gesetz über künstliche Intelligenz für Software eingeführt wurden. Softwareanwendungen für Medizinprodukte unterliegen bereits den Zertifizierungsanforderungen der Medizinprodukte-Verordnung, und nach dem Inkrafttreten des Gesetzes über künstliche Intelligenz müssen KI-basierte Medizinprodukte und andere KI-Systeme auch den darin festgelegten Anforderungen genügen. Allerdings wurde eine Regelungslücke in Bezug auf die im Gesundheitsbereich verwendeten Informationssysteme, die auch als Systeme für elektronische Patientenakten (electronic health records, EHR) (im Folgenden „EHR-Systeme“) bezeichnet werden, festgestellt. Der Schwerpunkt liegt daher auf diesen EHR-Systemen, die für die Speicherung und den Austausch der elektronischen Gesundheitsdaten natürlicher Personen vorgesehen sind. Daher werden im EHDS grundlegende Anforderungen speziell für EHR-Systeme festgelegt, um deren Interoperabilität und Datenübertragbarkeit zu fördern, was natürlichen Personen eine wirksamere Kontrolle ihrer elektronischen Gesundheitsdaten ermöglichen würde. Darüber hinaus müssen Medizinprodukte und Hochrisiko-KI-Systeme, für die der Hersteller Interoperabilität mit EHR-Systemen beansprucht, die in der EHDS-Verordnung festgelegten grundlegenden Anforderungen an die Interoperabilität erfüllen.

    Bei der Schaffung eines Rahmens für die Sekundärnutzung elektronischer Gesundheitsdaten baut der EHDS auf dem vorgeschlagenen Daten-Governance-Gesetz und dem vorgeschlagenen Datengesetz auf. Als horizontaler Rahmen legt das Daten-Governance-Gesetz nur allgemeine Bedingungen für die Sekundärnutzung von Daten des öffentlichen Sektors fest, ohne ein wirkliches Recht auf Sekundärnutzung solcher Daten zu begründen. Das vorgeschlagene Datengesetz verbessert die Übertragbarkeit bestimmter nutzergenerierter Daten, was Gesundheitsdaten einschließen kann, enthält aber keine Vorschriften für alle Gesundheitsdaten. Daher ergänzt der EHDS diese vorgeschlagenen Rechtsakte und sieht spezifischere Vorschriften für das Gesundheitswesen vor. Diese spezifischen Vorschriften betreffen den Austausch elektronischer Gesundheitsdaten und könnten sich auf die Anbieter von Diensten für die gemeinsame Datennutzung, auf Formate, die die Übertragbarkeit von Gesundheitsdaten sicherstellen, auf die Regeln für die Zusammenarbeit zwecks Datenaltruismus im Gesundheitsbereich und auf die Komplementarität beim Zugang zu privaten Daten für die Sekundärnutzung auswirken.

    Mit der NIS-Richtlinie wurden die ersten EU-weiten Vorschriften über Cybersicherheit festgelegt. Sie wird derzeit überarbeitet, und der entsprechende Vorschlag (im Folgenden „NIS‑2-Vorschlag“ 21 ) wird derzeit mit den gesetzgebenden Organen verhandelt. Die Überarbeitung zielt darauf ab, die gemeinsamen Zielvorgaben des EU-Rechtsrahmens für die Cybersicherheit durch einen breiteren Anwendungsbereich, klarere Vorschriften und strengere Aufsichtsinstrumente ambitionierter zu gestalten. Im Vorschlag der Kommission werden diese Aspekte in Bezug auf drei Säulen behandelt: 1) Kapazitäten der Mitgliedstaaten, 2) Risikomanagement, 3) Zusammenarbeit und Informationsaustausch. Betreiber im Gesundheitssystem fallen weiterhin in den Anwendungsbereich. Der EHDS stärkt die Sicherheit und das Vertrauen in den technischen Rahmen, mit dem der Austausch elektronischer Gesundheitsdaten sowohl für die Primär- als auch für die Sekundärnutzung erleichtert werden soll.

    Im Jahr 2022 soll von der Kommission auch noch ein Vorschlag für ein Gesetz über Cyberresilienz angenommen werden, mit dem horizontale Anforderungen an die Cybersicherheit digitaler Produkte und Hilfsdienste festgelegt werden. Die im Gesetz über Cyberresilienz vorgesehenen grundlegenden Anforderungen an die Cybersicherheit gelten für alle Sparten und Kategorien digitaler Produkte und müssen von den Herstellern und Verkäufern solcher Produkte vor deren Inverkehrbringen oder, falls zutreffend, bei deren Inbetriebnahme und auch während des gesamten Produktlebenszyklus erfüllt werden. Diese Anforderungen werden allgemeiner Natur und technologieneutral sein. Die für den EHDS festgelegten Sicherheitsanforderungen, insbesondere in Bezug auf die EHR-Systeme, sehen in bestimmten Bereichen – wie der Zugriffskontrolle – spezifischere Anforderungen vor.

    Der EHDS baut auf dem neuen Vorschlag zur europäischen digitalen Identität 22 mit den darin vorgesehenen Verbesserungen im Bereich der elektronischen Identifizierung, einschließlich der EUid-Brieftasche, auf. Dies würde bessere Mechanismen für die Online- und Offline-Identifizierung natürlicher Personen und Angehöriger der Gesundheitsberufe ermöglichen.

    Kohärenz mit der Politik der Union in anderen Bereichen

    Dieser Vorschlag steht im Einklang mit den übergeordneten Zielen der EU. Dazu gehören der Aufbau einer stärkeren europäischen Gesundheitsunion, die Umsetzung der europäischen Säule sozialer Rechte, die Verbesserung der Funktionsweise des Binnenmarkts, die Förderung von Synergien mit der Agenda für den digitalen Binnenmarkt der EU und die Umsetzung einer ehrgeizigen Forschungs- und Innovationsagenda. Darüber hinaus bietet er eine Reihe wichtiger Elemente, die zur Schaffung der Europäischen Gesundheitsunion beitragen, indem Innovation und Forschung gefördert und künftige Gesundheitskrisen besser bewältigt werden.

    Der Vorschlag steht im Einklang mit den Prioritäten der Kommission, Europa für das digitale Zeitalter zu rüsten und eine zukunftsfähige Wirtschaft zu schaffen, die im Dienste des Menschen steht. Er ermöglicht es auch, das Potenzial grenzübergreifender Regionen als Pilotprojekte für innovative Lösungen für die europäische Integration auszuloten, wie im Bericht der Kommission „Grenzregionen in der EU: Reallabors der Europäischen Integration“ 23 angeregt. Der Vorschlag unterstützt den Aufbauplan der Kommission, einschließlich Lehren aus der COVID‑19-Pandemie, und bringt Vorteile durch im Bedarfsfall leichter zugängliche elektronische Gesundheitsdaten.

    2.RECHTSGRUNDLAGE, SUBSIDIARITÄT UND VERHÄLTNISMÄẞIGKEIT

    Rechtsgrundlage

    Der Vorschlag beruht auf den Artikeln 16 und 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Eine solche doppelte Rechtsgrundlage ist möglich, wenn festgestellt wird, dass gleichzeitig mehrere Ziele verfolgt werden, die untrennbar miteinander verbunden sind, ohne dass das eine gegenüber dem anderen nur zweitrangig oder nur mittelbar mit ihm verbunden ist. Dies ist bei dem vorliegenden Vorschlag der Fall, wie im Folgenden erläutert wird. Die für die einzelnen Rechtsgrundlagen festgelegten Verfahren sind miteinander vereinbar.

    Erstens zielt Artikel 114 AEUV darauf ab, das Funktionieren des Binnenmarkts durch Maßnahmen zur Angleichung der nationalen Vorschriften zu verbessern. Einige Mitgliedstaaten haben gesetzgeberische Maßnahmen ergriffen, um die vorstehend dargelegten Probleme durch die Einrichtung nationaler Zertifizierungssysteme für EHR-Systeme zu beheben, andere haben dies nicht getan. Dies kann zu einer Fragmentierung der Rechtsvorschriften im Binnenmarkt und zu unterschiedlichen Vorschriften und Verfahrensweisen in der EU führen. Zudem könnten Kosten für Unternehmen entstehen, da sie unterschiedliche Regelungen einhalten müssten.

    Artikel 114 AEUV ist die geeignete Rechtsgrundlage, da die Mehrheit der Bestimmungen dieser Verordnung auf die Verbesserung der Funktionsweise des Binnenmarktes und des freien Verkehrs von Waren und Dienstleistungen abzielt. In diesem Zusammenhang fordert Artikel 114 Absatz 3 AEUV ausdrücklich, dass bei der Harmonisierung ein hohes Schutzniveau für die menschliche Gesundheit zu gewährleisten ist und dabei insbesondere alle auf wissenschaftliche Ergebnisse gestützten neuen Entwicklungen berücksichtigt werden müssen. Diese Rechtsgrundlage ist daher auch dann angemessen, wenn eine Maßnahme den Bereich des Schutzes der öffentlichen Gesundheit betrifft. Dies steht auch uneingeschränkt mit Artikel 168 im Einklang, wonach in allen Politikbereichen der Union ein hohes Gesundheitsschutzniveau für Menschen zu erreichen ist, wobei die Zuständigkeit der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik sowie für die Organisation des Gesundheitswesens und die medizinische Versorgung gewahrt wird.

    Durch den Gesetzgebungsvorschlag kann die EU von der Größe des Binnenmarkts profitieren, da auf Gesundheitsdaten basierende Produkte und Dienste häufig unter Nutzung elektronischer Gesundheitsdaten aus mehreren Mitgliedstaaten entwickelt und später in der gesamten EU vermarktet werden.

    Die zweite Rechtsgrundlage des Vorschlags ist Artikel 16 AEUV. Die DSGVO bietet wichtige Garantien für die Rechte natürlicher Personen in Bezug auf ihre Gesundheitsdaten. Wie jedoch in Abschnitt 1 dargelegt, können diese Rechte aufgrund mangelnder Interoperabilität und der begrenzten Harmonisierung der auf nationaler und auf EU-Ebene bestehenden Anforderungen und technischen Standards in der Praxis nicht umgesetzt werden. Darüber hinaus ist das Recht auf Übertragbarkeit aufgrund seines Anwendungsbereichs gemäß der DSGVO im Gesundheitsbereich weniger wirksam. 24 Daher ist es erforderlich, zusätzliche rechtsverbindliche Bestimmungen und Garantien einzuführen. Außerdem müssen spezifische Anforderungen und Normen, die auf Garantien im Bereich der elektronischen Verarbeitung von Gesundheitsdaten aufbauen, entwickelt werden, um den Wert von Gesundheitsdaten zum Vorteil der Gesellschaft nutzen zu können. Darüber hinaus zielt der Vorschlag darauf ab, die Verwendung elektronischer Gesundheitsdaten auszuweiten und gleichzeitig die Rechte aus Artikel 16 AEUV zu stärken. Allgemein wird mit dem EHDS die Möglichkeit realisiert, die die DSGVO für eine EU-Vorschrift, die mehreren Zwecken dient, bietet. Diese Zwecke umfassen die medizinische Diagnostik, die medizinische Versorgung oder Behandlung sowie die Verwaltung von Gesundheitssystemen und ‑diensten. Der EHDS ermöglicht auch die Verwendung elektronischer Gesundheitsdaten für das Gemeinwohl im Zusammenhang mit der öffentlichen Gesundheit, etwa zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Sicherstellung hoher Qualitäts- und Sicherheitsstandards im Bereich Gesundheit und Pflege sowie bei Arzneimitteln oder Medizinprodukten. Er kommt auch der wissenschaftlichen oder historischen Forschung und statistischen Zwecken zugute.

    Subsidiarität

    Der vorliegende Vorschlag zielt darauf ab, den Datenverkehr zu harmonisieren, um natürliche Personen dabei zu unterstützen, vom Schutz und vom freien Verkehr elektronischer Gesundheitsdaten, insbesondere personenbezogener Daten, profitieren zu können. Mit dem Vorschlag soll nicht geregelt werden, wie die Gesundheitsversorgung in den Mitgliedstaaten organisiert ist.

    Bei der Bewertung der digitalen Aspekte der Patientenrechte-Richtlinie wurde die derzeitige Situation hinsichtlich Fragmentierung, Unterschieden und Hindernissen für den Zugang zu elektronischen Gesundheitsdaten und deren Nutzung untersucht. Die Bewertung ergab, dass Maßnahmen der Mitgliedstaaten allein nicht ausreichen und die rasche Entwicklung und Einführung digitaler Gesundheitsprodukte und ‑dienstleistungen, auch auf der Grundlage künstlicher Intelligenz, behindern könnten.

    In der genannten Studie über die Umsetzung der DSGVO im Gesundheitswesen wird festgestellt, dass die Verordnung weitreichende Rechte in Bezug auf den Zugang natürlicher Personen zu ihren Daten, einschließlich Gesundheitsdaten, und deren Übermittlung vorsieht. Die praktische Umsetzung dieser Rechte wird jedoch durch die geringe Interoperabilität im Gesundheitswesen behindert, die bisher hauptsächlich durch nicht zwingende Rechtsinstrumente angegangen wurde. Zudem können solche Unterschiede bei den lokalen, regionalen und nationalen Standards und Spezifikationen die Hersteller digitaler Gesundheitsprodukte und die Anbieter digitaler Gesundheitsdienste daran hindern, neue Märkte zu erschließen, in denen sie sich an neue Standards anpassen müssten. Dieser Legislativvorschlag ist daher so konzipiert, dass er die in der DSGVO vorgesehenen Rechte und Garantien ergänzt, damit ihre Ziele tatsächlich erreicht werden können.

    In derselben Studie wurde auch festgestellt, dass von den in der DSGVO vorgesehenen Bestimmungen hinsichtlich fakultativer Spezifikationen auf nationaler Ebene umfassend Gebrauch gemacht wurde. Dies führte sowohl auf nationaler Ebene als auch zwischen den Mitgliedstaaten zu einer Fragmentierung und zu Schwierigkeiten beim Zugang zu elektronischen Gesundheitsdaten. Gleichzeitig wurden Akteure aus Forschung und Innovation, politische Entscheidungsträger und Regulierungsbehörden bei der Wahrnehmung ihre Aufgaben bzw. bei Forschungs- und Innovationstätigkeiten eingeschränkt. Letztlich ergaben sich nachteilige Auswirkungen auf die europäische Wirtschaft.

    In der Folgenabschätzung zeigt die Bewertung von Artikel 14 der Patientenrechte-Richtlinie, dass die bisherigen Ansätze, nach denen die Interoperabilität mit Instrumenten geringer Intensität bzw. nicht zwingenden Instrumenten wie Leitlinien und Empfehlungen gefördert werden sollte, nicht zu den gewünschten Ergebnissen geführt haben. Der Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten sind nach wie vor eingeschränkt, und es bestehen erhebliche Mängel bei der Interoperabilität der im Gesundheitsbereich verwendeten Informationssysteme. Darüber hinaus weisen nationale Problemlösungsansätze nur einen begrenzten Anwendungsbereich auf und werden dem EU-weiten Problem nicht umfassend gerecht. Derzeit ist der grenzüberschreitende Austausch elektronischer Gesundheitsdaten noch sehr begrenzt, was zum Teil darauf zurückzuführen ist, dass in den einzelnen Mitgliedstaaten sehr unterschiedliche Standards für elektronische Gesundheitsdaten verwendet werden. In vielen Mitgliedstaaten bestehen in Bezug auf Interoperabilität und Datenübertragbarkeit auch auf nationaler, regionaler und lokaler Ebene erhebliche Herausforderungen, die die Kontinuität der Gesundheitsversorgung und die Effizienz der Gesundheitssysteme behindern. Selbst dann, wenn Gesundheitsdaten in elektronischer Form verfügbar sind, können sie in der Regel nicht mitgenommen werden, wenn eine natürliche Person die Dienste eines anderen Gesundheitsdienstleisters in Anspruch nimmt. Mit dem Vorschlag zum EHDS sollen diese Herausforderungen auf EU-Ebene angegangen werden, indem Mechanismen zur Verbesserung der auf nationaler, regionaler und lokaler Ebene verwendeten Interoperabilitätslösungen eingeführt und die Rechte natürlicher Personen gestärkt werden.

    Daher sind EU-weite Maßnahmen erforderlich, die inhaltlich und formal den vorstehenden Ausführungen entsprechen, um den grenzüberschreitenden Verkehr elektronischer Gesundheitsdaten und einen echten Binnenmarkt für elektronische Gesundheitsdaten sowie digitale Gesundheitsprodukte und ‑dienstleistungen zu fördern.

    Verhältnismäßigkeit

    Mit der Initiative sollen Maßnahmen ergriffen werden, die zur Erreichung der wesentlichen Ziele erforderlich sind. Mit dem Vorschlag wird ein förderlicher Rahmen geschaffen, der nicht über das zur Erreichung der Ziele erforderliche Maß hinausgeht. Er befasst sich mit den bestehenden Hindernissen für die Verwirklichung des potenziellen Nutzens elektronischer Gesundheitsdaten. Er schafft einen Rahmen, der die Fragmentierung und Rechtsunsicherheit verringert. Die Initiative bezieht die Arbeit der nationalen Behörden ein und stützt sich auf diese und strebt eine starke Beteiligung der einschlägigen Interessenträger an.

    Die vorgeschlagene Verordnung wird zu finanziellen und administrativen Kosten führen, die durch die Zuweisung von Mitteln sowohl auf Ebene der Mitgliedstaaten als auch auf EU-Ebene zu tragen sind. Aus der Folgenabschätzung geht hervor, dass die bevorzugte politische Option den größtmöglichen Nutzen zu den geringsten Kosten bringt. Die bevorzugte politische Option geht nicht über das zur Erreichung der Ziele der Verträge erforderliche Maß hinaus.

    Wahl des Instruments

    Bei dem Vorschlag handelt es sich um eine neue Verordnung. Angesichts der Notwendigkeit eines Rechtsrahmens, der sich unmittelbar mit den Rechten natürlicher Personen befasst und die Fragmentierung im digitalen Binnenmarkt verringert, wird dies als das am besten geeignete Instrument angesehen. Um eine Fragmentierung zu verhindern, die sich aus der uneinheitlichen Anwendung der einschlägigen Klauseln in der DSGVO (z. B. Artikel 9 Absatz 4) ergibt, nutzt der EHDS die in der DSGVO vorgesehenen Optionen für eine EU-Vorschrift über die Verwendung von Gesundheitsdaten für verschiedene Zwecke. Bei der Ausarbeitung des Vorschlags wurden verschiedene nationale rechtliche Rahmenbedingungen, die sich auf die DSGVO stützen, indem nationale Rechtsvorschriften eingeführt wurden, sorgfältig analysiert. Um größere Störungen, aber auch uneinheitliche künftige Entwicklungen zu verhindern, soll mit dem EHDS eine Initiative vorgelegt werden, die den wichtigsten gemeinsamen Elementen der verschiedenen Rahmen Rechnung trägt. Für die Initiative wurde nicht die Form einer Richtlinie gewählt, da dies eine abweichende Umsetzung und einen fragmentierten Markt zur Folge haben könnte, mit möglichen Beeinträchtigungen des Schutzes und des freien Verkehrs personenbezogener Daten im Gesundheitswesen. Der Vorschlag wird die Gesundheitsdatenwirtschaft der EU stärken, indem er die Rechtssicherheit erhöht und einen komplett einheitlichen und kohärenten sektoralen Rechtsrahmen gewährleistet. In der vorgeschlagenen Verordnung wird auch die Einbeziehung der Interessenträger gefordert, um sicherzustellen, dass die Anforderungen den Bedürfnissen der Angehörigen der Gesundheitsberufe, der natürlichen Personen, der Wissenschaft, der Industrie und anderer einschlägiger Interessenträger entsprechen.

    3.ERGEBNISSE DER EX-POST-BEWERTUNG, DER KONSULTATION DER INTERESSENTRÄGER UND DER FOLGENABSCHÄTZUNG

    Ex-post-Bewertung/Eignungsprüfungen bestehender Rechtsvorschriften

    Die Patientenrechte-Richtlinie wurde im Jahr 2011 angenommen und bis 2015 in allen Mitgliedstaaten umgesetzt. Artikel 14 der Richtlinie, der die Einrichtung des Netzwerks für elektronische Gesundheitsdienste betrifft, wurde bewertet, um seine Auswirkungen auf das digitale Gesundheitswesen in der EU besser zu verstehen. In der Bewertung, die der Folgenabschätzung zum EHDS als Anhang beigefügt ist, wird festgestellt, dass diese Auswirkungen eher begrenzt waren. Die Bewertung der in der Richtlinie enthaltenen Bestimmungen über elektronische Gesundheitsdienste ergab, dass ihre Wirksamkeit und Effizienz eher begrenzt waren und dass dies auf den freiwilligen Charakter der Maßnahmen des Netzwerks für elektronische Gesundheitsdienste zurückzuführen ist.

    Bei der Verwendung personenbezogener elektronischer Gesundheitsdaten für Primärzwecke im Zusammenhang mit der grenzüberschreitenden Gesundheitsversorgung wurden nur langsame Fortschritte erzielt. Die Plattform MyHealth@EU wurde nur in zehn Mitgliedstaaten eingeführt und unterstützt derzeit nur zwei Dienste (elektronische Verschreibung und Patientenkurzakte). Die geringe und langsame Einführung ist zum Teil darauf zurückzuführen, dass in der Richtlinie zwar das Recht natürlicher Personen auf Erstellung einer schriftlichen Patientenakte über die durchgeführte Behandlung vorgeschrieben wird, jedoch nicht die Verpflichtung, diese Akte in elektronischer Form bereitzustellen. Für natürliche Personen ist es weiterhin aufwendig, Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten zu erhalten, und sie haben wenig Kontrolle über ihre eigenen Gesundheitsdaten und die Verwendung dieser Gesundheitsdaten für die medizinische Diagnose und Behandlung. Im Zusammenhang mit dem Netzwerk für elektronische Gesundheitsdienste wurde den Mitgliedstaaten empfohlen, bei nationalen Ausschreibungen für Standards und Spezifikationen das europäische Austauschformat für elektronische Patientenakten (European Electronic Health Record Exchange Format, EEHRxF) zu verwenden, um Interoperabilität herzustellen. Das Format wurde jedoch in der Praxis kaum in Anspruch genommen, was zu einer fragmentierten Landschaft und Ungleichheiten beim Zugang zu elektronischen Gesundheitsdaten und deren Übertragbarkeit führte.

    Es wird erwartet, dass die Plattform MyHealth@EU in den meisten Mitgliedstaaten bis 2025 eingeführt wird. Erst wenn noch weitere Mitgliedstaaten die Plattform MyHealth@EU eingeführt und die erforderlichen Instrumente entwickelt haben, werden ihre Nutzung, Entwicklung und Unterhaltung in der gesamten EU effizienter. Die Fortschritte im Bereich der elektronischen Gesundheitsdienste in den letzten Jahren machen es jedoch erforderlich, das Vorgehen auf EU-Ebene besser zu koordinieren.

    Dennoch hat sich das Netzwerk für elektronische Gesundheitsdienste nach dem Ausbruch der COVID‑19-Pandemie in Europa in Zeiten einer Krise im Bereich der öffentlichen Gesundheit als sehr wirksam und effizient erwiesen, was die politische Konvergenz förderte.

    Was die Sekundärnutzung elektronischer Gesundheitsdaten anbelangt, so waren die Aktivitäten des Netzwerks für elektronische Gesundheitsdienste sehr begrenzt und nicht sehr wirksam. Auf die wenigen nicht verbindlichen Dokumente zu Big Data folgten keine weiteren spezifischen Maßnahmen, und ihre Umsetzung in der Praxis ist nach wie vor sehr begrenzt. Auf nationaler Ebene traten im Bereich der Sekundärnutzung elektronischer Gesundheitsdaten andere Akteure auf die Bildfläche als die im e‑Health-Netz vertretenen Interessenträger. Einige Mitgliedstaaten richteten dazu verschiedene Gremien ein, und nahmen an der gemeinsamen Maßnahme für den europäischen Raum für Gesundheitsdaten (Towards the European Health Data Space, TEHDAS) teil. Allerdings wurden weder diese gemeinsame Maßnahme noch die umfassenden Mittel, die die Kommission beispielsweise im Rahmen von Horizont Europa zur Unterstützung der Sekundärnutzung elektronischer Gesundheitsdaten bereitgestellt hat, im Einklang mit den Tätigkeiten des Netzwerks für elektronische Gesundheitsdienste ausreichend in Anspruch genommen.

    Daher wurde der Schluss gezogen, dass die derzeitige Struktur des Netzwerks für elektronische Gesundheitsdienste nicht mehr angemessen ist. Sie ermöglicht lediglich eine unverbindliche Zusammenarbeit bei der Primärnutzung elektronischer Gesundheitsdaten und bei der Interoperabilität, durch die Probleme in Bezug auf den Datenzugang und die Übertragbarkeit von Daten auf nationaler und grenzüberschreitender Ebene aber nicht systematisch gelöst werden konnten. Darüber hinaus bietet das Netzwerk für elektronische Gesundheitsdienste keine Möglichkeit, den Erfordernissen im Zusammenhang mit der Sekundärnutzung elektronischer Gesundheitsdaten wirksam und effizient gerecht zu werden. Die Patientenrechte-Richtlinie sieht Befugnisse zur Durchführung von Rechtsakten über die Verwendung elektronischer Gesundheitsdaten für die Primär- und Sekundärnutzung; diese Befugnisse sind begrenzt.

    Die COVID‑19-Pandemie hat deutlich gemacht, wie wichtig ein sicherer Zugang zu und die Verfügbarkeit von Daten über die öffentliche Gesundheit und die Gesundheitsversorgung über die Grenzen der Mitgliedstaaten hinweg sowie die breite Verfügbarkeit elektronischer Gesundheitsdaten für die öffentliche Gesundheit im Kontext des freien Personenverkehrs innerhalb der EU während der Pandemie sind. Aufbauend auf einem starken Rechtsrahmen hat die EU auf sehr wirkungsvolle Weise EU-weite Standards und Dienste, darunter das digitale COVID-Zertifikat der EU, eingeführt, um den freien Personenverkehr zu erleichtern. Der Gesamtfortschritt scheint jedoch durch das Fehlen EU-weit verbindlicher oder verpflichtender Standards und die daraus folgende eingeschränkte Interoperabilität behindert zu werden. Eine Lösung dieses Problems würde nicht nur natürlichen Personen zugutekommen, sondern auch zur Verwirklichung des digitalen Binnenmarkts und zum Abbau von Hindernissen für den freien Verkehr digitaler Gesundheitsprodukte und ‑dienstleistungen beitragen.

    Konsultation der Interessenträger

    Bei der Ausarbeitung dieses Vorschlags zum EHDS wurden die Interessenträger auf verschiedene Weise konsultiert. Im Rahmen einer öffentlichen Konsultation wurden die Interessenträger zu den Optionen für die Einrichtung des EHDS befragt. 25 Es gingen Rückmeldungen von verschiedenen Interessengruppen ein. Ihre Standpunkte sind im Anhang der Arbeitsunterlage der Kommissionsdienststellen zur Folgenabschätzung ausführlich erläutert.

    Von Mai bis Juli 2021 wurde eine öffentliche Konsultation durchgeführt. Insgesamt gingen 382 gültige Antworten ein. Die Antwortenden befürworteten Maßnahmen auf EU-Ebene mit dem Ziel, die Gesundheitsforschung zu beschleunigen (89 %), die Kontrolle natürlicher Personen über ihre eigenen Gesundheitsdaten zu fördern (88 %) und die grenzüberschreitende Gesundheitsversorgung zu erleichtern (83 %). Breite Zustimmung gab es für die Förderung des Zugangs zu Gesundheitsdaten und deren gemeinsamer Nutzung durch eine digitale Infrastruktur (72 %) oder eine EU-Infrastruktur (69 %). Die meisten Antwortenden sind ferner der Ansicht, dass natürliche Personen in der Lage sein sollten, die im Rahmen von mobilen und telemedizinischen Gesundheitsdiensten erfassten Daten an elektronische Patientendatensysteme zu übermitteln (77 %). Ein Zertifizierungssystem auf EU-Ebene zur Förderung der Interoperabilität wurde von 52 % der Antwortenden unterstützt.

    Bezüglich der Sekundärnutzung von Gesundheitsdaten gaben die meisten Antwortenden an, dass eine EU-Einrichtung den Zugang zu Gesundheitsdaten für sekundäre Zwecke erleichtern könnte (87 %). Die Einführung verbindlicher technischer Anforderungen und Standards wird von 67 % unterstützt.

    Die Ansichten der Interessenträger wurden auch im Rahmen der Studie über die Bewertung der Vorschriften der EU-Mitgliedstaaten zu Gesundheitsdaten vor dem Hintergrund der DSGVO eingeholt. Im Rahmen der Studie fanden fünf Workshops mit Vertretern der Gesundheitsministerien, Sachverständigen, Interessenvertretern und Sachverständigen der nationalen Datenschutzbehörden statt. 26 Außerdem wurde eine Befragung der Interessenträger durchgeführt, um die behandelten und ermittelten Themen zu validieren und zu ergänzen. Insgesamt gingen 543 Antworten auf die Online-Umfrage ein. 73 % der Antwortenden gehen davon aus, dass die Verfügbarkeit von Gesundheitsdaten in einem persönlichen Datenraum oder einem Patientenportal die Datenübertragung zwischen Gesundheitsdienstleistern erleichtert. Darüber hinaus sind 87 % der Ansicht, dass die mangelnde Datenübertragbarkeit die Kosten im Gesundheitswesen erhöht, während 84 % der Ansicht sind, dass mangelnde Datenübertragbarkeit zu Verzögerungen bei der Diagnose und Behandlung führt. Etwa 84 % sind der Ansicht, dass auf EU-Ebene zusätzliche Maßnahmen ergriffen werden sollten, um die Kontrolle natürlicher Personen über ihre Gesundheitsdaten zu stärken. Etwa 81 % sind der Ansicht, dass die Verwendung unterschiedlicher Rechtsgrundlagen aus der DSGVO den Austausch von Gesundheitsdaten erschwert. Nach Ansicht von 81 % der Antwortenden sollte die EU dafür sorgen, dass für die Sekundärnutzung von Gesundheitsdaten eine einzige Rechtsgrundlage zugrunde gelegt wird.

    Eine Studie über Regelungslücken bei der grenzüberschreitenden Bereitstellung digitaler Gesundheitsdienste und ‑produkte, einschließlich künstlicher Intelligenz, und die Bewertung des bestehenden Rahmens für den grenzüberschreitenden Austausch von Gesundheitsdaten. Zwischen September 2020 und August 2021 wurde eine Studie zu Gesundheitsdaten, digitaler Gesundheit und künstlicher Intelligenz in der Gesundheitsversorgung durchgeführt. Diese Studie liefert Erkenntnisse, die für eine fundierte Politikgestaltung in den Bereichen digitale Gesundheitsprodukte und ‑dienstleistungen, künstliche Intelligenz und Governance bei der Nutzung von Gesundheitsdaten sowie für die Bewertung von Artikel 14 der Patientenrechte-Richtlinie erforderlich sind. Die Konsultationstätigkeiten umfassten Befragungen, Fokusgruppen und Online-Umfragen. Die Interessenträger unterstützen Maßnahmen in einer Reihe von Bereichen, die von Leitlinien zur Qualität digitaler Gesundheitsdienste und ‑produkte, Interoperabilität, Kostenerstattung, Identifizierung und Authentifizierung bis hin zu digitalen Kenntnissen und Fähigkeiten reichen. In Bezug auf die Primärnutzung befürworten es die Interessenträger, nationale digitale Gesundheitsbehörden mit Aufgaben zu betrauen, mit denen die grenzüberschreitende Bereitstellung digitaler Gesundheitsdienste und der Zugang zu elektronischen Gesundheitsdaten unterstützt werden. Darüber hinaus unterstützen sie die Ausweitung des Diensteangebots von MyHealth@EU. Befürwortet wird auch das Vorhaben, natürlichen Personen das Recht auf Übertragbarkeit ihrer elektronischen Patientenakten in einem interoperablen Format einzuräumen. Hinsichtlich der Sekundärnutzung wird befürwortet, rechtliche Rahmenbedingungen und Governance-Strukturen zu schaffen, die sich an den in einigen Mitgliedstaaten eingerichteten Stellen für den Zugang zu Gesundheitsdaten orientieren, und dabei auf EU-Ebene im Rahmen eines Netzwerks oder einer Beratungsgruppe zusammenzuarbeiten. Zum Abbau von Hindernissen würden Spezifikationen und Standards unterstützt werden.

    Begleitend zu der Folgenabschätzung zum EHDS wurde zwischen April 2021 und Dezember 2021 eine Studie über Infrastrukturen und Datenökosysteme 27 durchgeführt. Mit dieser Studie sollten faktengestützte Erkenntnisse gewonnen werden, die die Folgenabschätzung zu den Optionen für eine europäische digitale Gesundheitsinfrastruktur unterstützen werden. In der Studie werden Optionen für eine digitale Infrastruktur ermittelt, charakterisiert und bewertet, die Kosteneffizienz umrissen und Daten zu den erwarteten Auswirkungen sowohl der Primärnutzung als auch der Sekundärnutzung elektronischer Gesundheitsdaten bereitgestellt. Es wurden interaktive Workshops mit 65 Interessenträgern durchgeführt, die aktiv an der Nutzung von Gesundheitsdaten beteiligt sind. Ihr Hintergrund umfasst Gesundheitsministerien, digitale Gesundheitsbehörden, nationale Kontaktstellen für digitale Gesundheit, Infrastrukturen für die Gesundheitsdatenforschung, Regulierungsbehörden, Stellen für den Zugang zu Gesundheitsdaten, Gesundheitsdienstleister, Patienten und Interessenverbände. Des Weiteren wurde eine Umfrage zu den Kosten entwickelt, die Fragen zu Wert, Nutzen, Auswirkungen und Kosten der verschiedenen Optionen umfasste.

    Die Studie zur Folgenabschätzung wurde schließlich zwischen Juni 2021 und Dezember 2021 durchgeführt. Mit ihr sollen faktengestützte Erkenntnisse gewonnen werden, die in die Folgenabschätzung zu den Optionen für den europäischen Raum für Gesundheitsdaten einfließen. In der Studie werden die allgemeinen politischen Optionen für den EHDS dargelegt und bewertet, wobei auf den in früheren Studien gesammelten Erkenntnissen aufgebaut wird. Die öffentliche Konsultation zum Thema der Überwindung grenzübergreifender Hindernisse 28 zeigt auch, dass natürliche Personen im Kontext von Grenzregionen mit ähnlichen Hindernissen konfrontiert sind. Weitere Einzelheiten zu diesen Studien sind dem Anhang der Arbeitsunterlage der Kommissionsdienststellen zu entnehmen.

    Einholung und Nutzung von Expertenwissen

    Die Arbeit am EHDS wurde durch mehrere Studien und Beiträge unterstützt, darunter:

    eine Studie über die Bewertung der Vorschriften der EU-Mitgliedstaaten zu Gesundheitsdaten vor dem Hintergrund der DSGVO 29 ,

    eine Studie über Regelungslücken bei der grenzüberschreitenden Bereitstellung digitaler Gesundheitsdienste und produkte, einschließlich künstlicher Intelligenz, und die Bewertung des bestehenden Rahmens für den grenzüberschreitenden Austausch von Gesundheitsdaten (in Vorbereitung),

    eine Studie über ein Infrastruktur- und Datenökosystem zur Unterstützung der Folgenabschätzung zum europäischen Raum für Gesundheitsdaten (in Vorbereitung),

    eine unterstützende Studie zu der Folgenabschätzung der politischen Optionen für eine EU-Initiative zum EHDS (in Vorbereitung),

    eine Studie über die Interoperabilität elektronischer Patientenakten in der Europäischen Union (MonitorEHR) 30 ,

    eine Studie über die Nutzung von Realdaten für Forschung, klinische Versorgung, Regulierungsentscheidungen, die Bewertung von Gesundheitstechnologien und die Politikgestaltung und deren Zusammenfassung 31 ,

    eine Marktstudie zu Telemedizin 32 ,

    die vorläufige Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) zum EHDS 33 .

    Folgenabschätzung

    Für diesen Vorschlag wurde eine Folgenabschätzung durchgeführt. Am 26. November 2021 gab der Ausschuss für Regulierungskontrolle eine ablehnende Stellungnahme zur ersten Vorlage ab. Nachdem die Folgenabschätzung unter Berücksichtigung der Kommentare gründlich überarbeitet und erneut vorgelegt wurde, gab der Ausschuss am 26. Januar 2022 eine befürwortende Stellungnahme ohne Vorbehalte ab. Die Stellungnahmen des Ausschusses, die Empfehlungen und eine Erläuterung dazu, inwiefern diese Berücksichtigung gefunden haben, sind Anhang 1 des Arbeitsdokuments der Kommissionsdienststellen zu entnehmen.

    Die Kommission untersuchte verschiedene politische Optionen zur Erreichung der allgemeinen Ziele des Vorschlags. Diese allgemeinen Ziele bestehen darin, dafür zu sorgen, dass natürliche Personen ihre eigenen elektronischen Gesundheitsdaten kontrollieren und eine Reihe gesundheitsbezogener Produkte und Dienstleistungen in Anspruch nehmen können und dass Akteure aus Forschung und Innovation, politische Entscheidungsträger und Regulierungsbehörden größtmöglichen Nutzen aus den verfügbaren elektronischen Gesundheitsdaten ziehen können.

    Es wurden drei politische Optionen mit unterschiedlichem Regulierungsgrad und zwei zusätzliche Varianten dieser Optionen bewertet:

    Option 1: Regulierungsmaßnahme mit niedriger Intensität: Sie stützt sich auf einen verstärkten Kooperationsmechanismus und freiwillige Instrumente, die digitale Gesundheitsprodukte und ‑dienstleistungen sowie die Sekundärnutzung elektronischer Gesundheitsdaten abdecken würden. Unterstützt würde dies durch Verbesserungen bei den Governance-Strukturen und der digitalen Infrastruktur.

    Optionen 2 und 2+: Regulierungsmaßnahme mit mittlerer Intensität: Sie würde die Rechte natürlicher Personen hinsichtlich der digitalen Kontrolle ihrer Gesundheitsdaten stärken und einen EU-Rahmen für die Sekundärnutzung elektronischer Gesundheitsdaten bieten. Die Governance würde sich auf nationale Stellen für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten stützen, die die Maßnahmen auf nationaler Ebene umsetzen und auf EU-Ebene die Entwicklung geeigneter Anforderungen unterstützen würden. Zwei digitale Infrastrukturen würden den grenzüberschreitenden Austausch und die Sekundärnutzung elektronischer Gesundheitsdaten unterstützen. Die Umsetzung würde durch eine obligatorische Zertifizierung von EHR-Systemen und eine freiwillige Kennzeichnung für Wellness-Apps unterstützt werden, was Transparenz für Behörden, Beschaffer und Nutzer schaffen würde.

    Optionen 3 und 3+: Regulierungsmaßnahme mit hoher Intensität: Sie würde über Option 2 hinausgehen, indem einer bestehenden oder neuen EU-Einrichtung die Aufgabe übertragen würde, die Anforderungen auf EU-Ebene festzulegen und den Zugang zu grenzüberschreitenden elektronischen Gesundheitsdaten zu verwalten. Außerdem würde der Anwendungsbereich der Zertifizierung erweitert werden.

    Die bevorzugte Option ist Option 2+, die auf Option 2 aufbaut. Sie würde eine Zertifizierung von EHR-Systemen, eine freiwillige Kennzeichnung für Wellness-Apps und einen Kaskadeneffekt bei Medizinprodukten, die mit EHR-Systemen interoperabel sein sollen, sicherstellen. Mit ihr würde ein optimales Gleichgewicht zwischen Wirksamkeit und Effizienz bei der Erreichung der Ziele sichergestellt werden. Option 1 würde das Basisszenario nur geringfügig verbessern, da auch sie auf Freiwilligkeit beruht. Option 3 wäre ebenfalls wirksam, würde aber höhere Kosten verursachen, hätte möglicherweise stärkere Auswirkungen auf KMU und wäre politisch weniger machbar.

    Die bevorzugte Option würde sicherstellen, dass natürliche Personen auf digitalem Wege und unabhängig vom Gesundheitsdienstleister und von der Datenquelle auf ihre elektronischen Gesundheitsdaten zugreifen und diese übermitteln können. MyHealth@EU würde obligatorisch werden und natürliche Personen könnten ihre personenbezogenen elektronischen Gesundheitsdaten grenzüberschreitend in einer Fremdsprache austauschen. Verbindliche Anforderungen und Zertifizierungen (bei EHR-Systemen und bei Medizinprodukten, für die Interoperabilität mit EHR-Systemen beansprucht wird) sowie eine freiwillige Kennzeichnung für Wellness-Apps würden für Transparenz gegenüber Nutzern und Beschaffern sorgen und grenzüberschreitende Markthindernisse für Hersteller abbauen.

    Die verbindlichen Anforderungen wurden beibehalten, aber die Zertifizierung durch Dritte wurde in eine Selbstzertifizierung verbunden mit einer Klausel zur vorgezogenen Überprüfung umgewandelt, wodurch ein etwaiger späterer Übergang zur Zertifizierung durch Dritte ermöglicht wird. In Anbetracht der Neuartigkeit der Zertifizierung wurde ein schrittweises Vorgehen beschlossen, das den weniger vorbereiteten Mitgliedstaaten und Herstellern mehr Zeit für die Einführung des Zertifizierungssystems und den Kapazitätsaufbau einräumt. Gleichzeitig haben Mitgliedstaaten, die schon weiter vorangekommen sind, die Möglichkeit, auf nationaler Ebene spezifische Kontrollen im Zusammenhang mit der Beschaffung, Finanzierung und Erstattung von EHR-Systemen vorzuschreiben. Diese Änderung würde die geschätzten Kosten, die dem Hersteller eines EHR-Systems für die Zertifizierung entstehen, von 20 000 EUR bis 50 000 EUR auf 12 000 EUR bis 38 000 EUR senken, wodurch sich die Gesamtkosten für die Hersteller um etwa 30 % verringern könnten (von 0,3–1,7 Mrd. EUR auf 0,2–1,2 Mrd. EUR).

    Dieses System dürfte für die Hersteller im Hinblick auf den Verwaltungsaufwand und die möglicherweise bestehenden Kapazitätsgrenzen der benannten Stellen für die Zertifizierung durch Dritte das angemessenste sein. Der tatsächliche Nutzen für die Mitgliedstaaten, die Patienten und die Beschaffer muss jedoch bei der Bewertung des Rechtsrahmens nach fünf Jahren erst noch sorgfältig analysiert werden.

    Hinsichtlich der Sekundärnutzung elektronischer Gesundheitsdaten wären Akteure aus Forschung und Innovation, politische Entscheidungsträger und Regulierungsbehörden in der Lage, Zugang zu hochwertigen Daten für ihre Arbeit auf sichere Weise, mit verlässlicher Governance und zu geringeren Kosten als bei einer Option auf der Grundlage von Einwilligung zu erhalten. Der gemeinsame Rahmen für die Sekundärnutzung würde die Fragmentierung und die Hindernisse für den grenzüberschreitenden Zugang verringern. Die bevorzugte Option sieht vor, dass die Mitgliedstaaten aufbauend auf dem Daten-Governance-Gesetz eine oder mehrere Stellen für den Zugang zu Gesundheitsdaten (mit einer Koordinierungsstelle) einrichten, die Dritten Zugang zu elektronischen Gesundheitsdaten gewähren können und entweder eine neue Organisation oder Teil einer bestehenden Organisation sind. Ein Teil der Kosten wird durch Gebühren ausgeglichen, die von den Stellen für den Zugang zu Gesundheitsdaten erhoben werden. Es wird erwartet, dass die Einrichtung solcher Stellen für den Zugang zu Gesundheitsdaten die von den Regulierungsbehörden und politischen Entscheidungsträgern zu tragenden Kosten für den Zugang zu elektronischen Gesundheitsdaten senken wird, und zwar dank einer größeren Transparenz bezüglich der Wirksamkeit von Arzneimitteln, was zu Kosteneinsparungen bei den Regulierungsverfahren und der öffentlichen Auftragsvergabe im Gesundheitswesen führt. Durch die Digitalisierung können auch unnötige Tests reduziert und die Kosten transparenter gemacht werden, was Einsparungen bei den Gesundheitsausgaben ermöglicht. Die Digitalisierung wird mit EU-Mitteln unterstützt werden.

    Die Informationen über Datensätze sollen für die Datennutzer transparent gemacht werden, wofür ebenfalls ein schrittweiser Ansatz gewählt wurde. Dies würde bedeuten, dass eine Datensatzbeschreibung für alle Datensätze, mit Ausnahme von Datensätzen im Besitz von Kleinstunternehmen, verbindlich vorgeschrieben wäre, während das auf Eigenerklärung beruhende Datenqualitätslabel nur für Dateninhaber mit öffentlich finanzierten Datensätzen obligatorisch und für alle anderen freiwillig wäre. Durch diese nach der Folgenabschätzung eingeführten geringfügigen Anpassungen ändern sich für die Dateninhaber die in der Folgenabschätzung errechneten Kosten nur unwesentlich.

    Der wirtschaftliche Gesamtnutzen dieser Option dürfte sich über einen Zeitraum von zehn Jahren auf über 11 Mrd. EUR belaufen und damit über dem Basiswert liegen. Dieser Betrag würde sich fast gleichmäßig auf den Nutzen durch Maßnahmen zur Primärnutzung (5,6 Mrd. EUR) und Maßnahmen zur Sekundärnutzung (5,4 Mrd. EUR) von Gesundheitsdaten verteilen.

    Bei der Primärnutzung von Gesundheitsdaten liegt der Nutzen für Patienten und Gesundheitsdienstleister bei etwa 1,4 Mrd. EUR bzw. 4,0 Mrd. EUR, die die Gesundheitsdienste durch eine stärkere Verbreitung der Telemedizin und einen effizienteren, auch grenzüberschreitenden Austausch von Gesundheitsdaten einsparen können.

    Bei der Sekundärnutzung von Gesundheitsdaten würde der Nutzen, der sich für Akteure aus Forschung und Innovation in den Bereichen digitale Gesundheit, Medizinprodukte und Arzneimittel durch eine effizientere Datennutzung ergibt, bei über 3,4 Mrd. EUR liegen. Patienten und Gesundheitsdienstleister würden aufgrund des Zugangs zu innovativeren medizinischen Produkten und einer besseren Entscheidungsfindung von Einsparungen in Höhe von 0,3 Mrd. EUR bzw. 0,9 Mrd. EUR profitieren. Die intensivere Nutzung von Realdaten bei der Gestaltung der Gesundheitspolitik würde für politische Entscheidungsträger und Regulierungsbehörden zusätzliche Einsparungen in Höhe von schätzungsweise 0,8 Mrd. EUR bringen.

    Die Gesamtkosten für die bevorzugte Option werden über einen Zeitraum von zehn Jahren auf einen Betrag von 0,7–2,0 Mrd. EUR über dem Basiswert geschätzt. Der Großteil der Kosten würde auf Maßnahmen zur Primärnutzung (0,3–1,3 Mrd. EUR) und zur Sekundärnutzung (0,4–0,7 Mrd. EUR) von Gesundheitsdaten entfallen.

    Im Bereich der Primärnutzung von Gesundheitsdaten würden die Hersteller von EHR-Systemen und Produkten, die zur Anbindung an EHR-Systeme vorgesehen sind, die meisten Kosten tragen. Diese Kosten in Höhe von etwa 0,2–1,2 Mrd. EUR würden sich aus der schrittweisen Einführung von Zertifizierungen für EHR-Systeme, Medizinprodukte und Hochrisiko-KI-Systeme sowie der freiwilligen Kennzeichnung von Wellness-Apps ergeben. Der verbleibende Teil (weniger als 0,1 Mrd. EUR) wäre von den öffentlichen Behörden auf nationaler und EU-Ebene für die Vervollständigung des Anwendungsbereichs von MyHealth@EU zu tragen.

    Im Bereich der Sekundärnutzung von Gesundheitsdaten würden die Behörden, einschließlich Regulierungsbehörden und politischen Entscheidungsträgern auf Ebene der Mitgliedstaaten und der EU, die Kosten (0,4–0,7 Mrd. EUR) für die Einrichtung von Stellen für den Zugang zu Gesundheitsdaten und die erforderliche digitale Infrastruktur zur Verbindung dieser Stellen mit Forschungsinfrastrukturen und EU-Einrichtungen sowie für die Förderung der Interoperabilität und der Datenqualität tragen.

    Die bevorzugte Option beschränkt sich auf Aspekte, die die Mitgliedstaaten allein nicht zufriedenstellend verwirklichen können, wie in der Bewertung von Artikel 14 der Patientenrechte-Richtlinie dargelegt. Die bevorzugte Option ist angesichts der mittleren Intensität des Vorschlags und des erwarteten Nutzens für natürliche Personen und die Industrie verhältnismäßig.

    Die Bewertung der Umweltauswirkungen im Einklang mit dem Europäischen Klimagesetz 34 zeigt, dass dieser Vorschlag nur begrenzte Auswirkungen auf Klima und Umwelt haben würde. Während neue digitale Infrastrukturen und die Zunahme des Datenverkehrs und der Datenspeicherung die digitale Umweltverschmutzung erhöhen können, würde eine größere Interoperabilität im Gesundheitsbereich diese negativen Auswirkungen weitgehend dadurch ausgleichen, dass die reisebedingte Umweltverschmutzung und der Energie- und Papierverbrauch verringert würden.

    Effizienz der Rechtsetzung und Vereinfachung

    Entfällt.

    Grundrechte

    Da bei der Nutzung elektronischer Gesundheitsdaten auch sensible personenbezogene Daten verarbeitet werden, fallen einige Elemente der vorgeschlagenen Verordnung in den Anwendungsbereich der EU-Datenschutzvorschriften. Die Bestimmungen dieses Vorschlags stehen im Einklang mit den EU-Datenschutzvorschriften. Sie sind so ausgelegt, dass sie die in den EU-Datenschutzvorschriften vorgesehenen Rechte ergänzen, indem sie die Kontrolle natürlicher Personen über ihre elektronischen Gesundheitsdaten und ihren Zugang zu diesen Daten verbessern. Der Vorschlag wird voraussichtlich erhebliche positive Auswirkungen auf die Grundrechte in Bezug auf den Schutz personenbezogener Daten und die Freizügigkeit haben. Diese positiven Auswirkungen ergeben sich daraus, dass natürliche Personen im Rahmen von MyHealth@EU in der Lage sein werden, ihre personenbezogenen elektronischen Gesundheitsdaten bei Auslandsreisen in der Sprache des Ziellandes bereitzustellen und beim Umzug in ein anderes Land mitzunehmen. Aufbauend auf den Bestimmungen der DSGVO werden natürliche Personen zusätzliche Möglichkeiten für den digitalen Zugang zu ihren elektronischen Gesundheitsdaten und deren Übermittlung erhalten. Marktteilnehmer im Gesundheitswesen (entweder Gesundheitsdienstleister oder Anbieter digitaler Dienstleistungen und Produkte) werden verpflichtet, elektronische Gesundheitsdaten mit vom Nutzer angegebenen Dritten im Gesundheitswesen zu teilen. Durch den Vorschlag wird die Durchsetzung dieser Rechte ermöglicht (durch gemeinsame Standards, Spezifikationen und Kennzeichnungen), ohne dass die erforderlichen Sicherheitsmaßnahmen zum Schutz der Rechte natürlicher Personen gemäß der DSGVO beeinträchtigt würden. Er würde zu einem besseren Schutz von die Gesundheit betreffenden personenbezogenen Daten und zum freien Verkehr solcher Daten beitragen, wie dies in Artikel 16 AEUV und in der DSGVO verankert ist.

    Hinsichtlich der Sekundärnutzung elektronischer Gesundheitsdaten, z. B. für Innovation, Forschung, öffentliche Politik, Patientensicherheit, Regulierungszwecke oder personalisierte Medizin, wird der Vorschlag den einschlägigen EU-Datenschutzvorschriften folgen und diese einhalten. Es werden strenge Garantien und Sicherheitsvorkehrungen eingeführt, um sicherzustellen, dass die Grundrechte im Bereich Datenschutz nach Artikel 8 der EU-Grundrechtecharta umfassend geschützt werden. Der Vorschlag legt einen EU-Rahmen für den Zugang zu elektronischen Gesundheitsdaten für Zwecke der wissenschaftlichen und historischen Forschung sowie für statistische Zwecke fest und baut dabei auf den Möglichkeiten auf, die die DSGVO und – für die Organe und Einrichtungen der EU – die EU-Datenschutzverordnung diesbezüglich bieten. Er umfasst geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und der Interessen natürlicher Personen nach Artikel 9 Absatz 2 Buchstaben h, i und j der DSGVO und nach Artikel 10 Absatz 2 Buchstaben h, i und j der EU-Datenschutzverordnung. Die Einrichtung von Stellen für den Zugang zu Gesundheitsdaten wird einen planbaren und vereinfachten Zugang zu elektronischen Gesundheitsdaten sowie ein höheres Maß an Transparenz, Rechenschaftspflicht und Sicherheit bei der Datenverarbeitung sicherstellen. Durch die Koordinierung dieser Stellen auf EU-Ebene und die Verankerung ihrer Tätigkeiten in einem gemeinsamen Rahmen wird für gleiche Rahmenbedingungen gesorgt. Dies wird die grenzüberschreitende Analyse elektronischer Gesundheitsdaten für Zwecke der Forschung, Innovation, amtlichen Statistik, Politikgestaltung und Regulierung unterstützen. Die Förderung der Interoperabilität elektronischer Gesundheitsdaten und ihrer Sekundärnutzung wird zur Förderung eines EU-Binnenmarktes für elektronische Gesundheitsdaten im Einklang mit Artikel 114 AEUV beitragen.

    4.AUSWIRKUNGEN AUF DEN HAUSHALT

    Dieser Vorschlag enthält eine Reihe von Verpflichtungen für die Behörden der Mitgliedstaaten und die Kommission und schreibt spezifische Maßnahmen zur Förderung der Einrichtung und des Funktionierens des EHDS vor. Diese betreffen insbesondere die Entwicklung, Einführung und Unterhaltung von Infrastrukturen für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten. Der EHDS ist eng mit mehreren anderen Maßnahmen der Union in den Bereichen Gesundheitsversorgung und Sozialfürsorge, Digitalisierung, Forschung, Innovation und Grundrechte verknüpft.

    In den Arbeitsprogrammen von EU4Health für 2021 und 2022 ist bereits vorgesehen, dass die Entwicklung und Einrichtung des EHDS mit einem beträchtlichen Anfangsbeitrag von fast 110 Mio. EUR unterstützt wird. Dies schließt das Funktionieren der bestehenden Infrastruktur für die Primärnutzung elektronischer Gesundheitsdaten (MyHealth@EU) und die Sekundärnutzung elektronischer Gesundheitsdaten (HealthData@EU), die Übernahme internationaler Standards durch die Mitgliedstaaten, Maßnahmen zum Kapazitätsaufbau und andere vorbereitende Maßnahmen sowie ein Infrastruktur-Pilotprojekt zur Sekundärnutzung von Gesundheitsdaten, ein Pilotprojekt für den Zugang von Patienten zu ihren Gesundheitsdaten über MyHealth@EU und dessen Ausweitung sowie die Entwicklung der zentralen Dienste für die Sekundärnutzung von Gesundheitsdaten ein.

    Für die Erfüllung der Verpflichtungen der Kommission und die damit verbundenen Unterstützungsmaßnahmen im Rahmen dieses Legislativvorschlags werden zwischen 2023 und 2027 220 Mio. EUR benötigt, die direkt aus dem EU4Health-Programm (170 Mio. EUR) finanziert und zusätzlich aus dem Programm „Digitales Europa“ (50 Mio. EUR) 35 unterstützt werden. In beiden Fällen werden die Ausgaben im Zusammenhang mit diesem Vorschlag durch die in der Programmplanung für diese Programme vorgesehenen Beträge gedeckt.

    Für die Durchführung von Maßnahmen, die der Kontrolle natürlicher Personen über ihre personenbezogenen elektronischen Gesundheitsdaten und ihrem Zugang zu diesen Daten für die Erbringung von Gesundheitsdienstleistungen dienen (Kapitel II), sind 110 Mio. EUR erforderlich. Zu diesen Maßnahmen gehören die über die europäische Plattform für digitale Gesundheit bereitgestellten Dienste für MyHealth@EU, Audits der Mitgliedstaaten bei den nationalen Kontaktstellen für digitale Gesundheit im Rahmen von MyHealth@EU, Unterstützung bei der Übernahme internationaler Standards und Unterstützung beim Zugang von Patienten zu Gesundheitsdaten über MyHealth@EU.

    Die Umsetzung des Selbstzertifizierungssystems für EHR-Systeme (Kapitel III) verursacht Kosten von mehr als 14 Mio. EUR für die Entwicklung und Unterhaltung einer europäischen Datenbank für interoperable EHR-Systeme und Wellness-Apps. Darüber hinaus müssen die Mitgliedstaaten Marktüberwachungsbehörden benennen, die für die Umsetzung der rechtlichen Anforderungen zuständig sind. Ihre Aufsichtsfunktion für die Selbstzertifizierung von EHR-Systemen könnte auf bestehenden Regelungen, z. B. im Bereich der Marktüberwachung, aufbauen, würde jedoch ausreichendes Fachwissen sowie ausreichende personelle und finanzielle Ressourcen erfordern. Für Maßnahmen im Zusammenhang mit der Sekundärnutzung elektronischer Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Regulierungsentscheidungen, Patientensicherheit oder personalisierte Medizin (Kapitel IV) sind Mittel in Höhe von 96 Mio. EUR erforderlich. Mit diesen Mitteln werden die europäische Plattform und die Audits der Mitgliedstaaten für die Verbindungsknoten als Teile der Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten (HealthData@EU) finanziert.

    Darüber hinaus werden die Kosten für die Anbindung der Mitgliedstaaten an die europäischen Infrastrukturen im EHDS teilweise durch EU-Finanzierungsprogramme gedeckt, die EU4Health ergänzen. Über Instrumente wie die Aufbau- und Resilienzfazilität und den Europäischen Fonds für regionale Entwicklung (EFRE) kann die Anbindung der Mitgliedstaaten an die europäischen Infrastrukturen unterstützt werden.

    Die Umsetzung der Ziele und Bestimmungen dieser Verordnung wird durch weitere Maßnahmen im Rahmen des Programms „Digitales Europa“, der Fazilität „Connecting Europe“ und des Programms „Horizont Europa“ ergänzt. Ziele dieser Programme sind unter anderem der „Aufbau und die Stärkung hochwertiger Datenressourcen und entsprechender Austauschverfahren“ 36 (im Rahmen des spezifischen Ziels „Künstliche Intelligenz“) und die „Entwicklung, Förderung und Erhöhung wissenschaftlicher Exzellenz“ 37 , auch im Gesundheitsbereich. Beispiele für solche Komplementaritäten sind horizontale Unterstützungsmaßnahmen für die Entwicklung und großmaßstäbliche Testung einer intelligenten Middleware-Plattform für gemeinsame Datenräume, denen für den Zeitraum 2021–2022 ein Betrag von 105 Mio. EUR aus dem Programm „Digitales Europa“ zugewiesen wurde, bereichsspezifische Investitionen zur Erleichterung des sicheren grenzüberschreitenden Zugangs zu Bildgebungs- und Genomikdaten im Zusammenhang mit Krebserkrankungen, im Zeitraum 2021–2022, unterstützt mit 38 Mio. EUR aus dem Programm „Digitales Europa“, sowie Forschungs- und Innovationsprojekte und Koordinierungs- und Unterstützungsmaßnahmen zugunsten der Qualität und Interoperabilität von Gesundheitsdaten, die bereits im Rahmen von Horizont Europa (Cluster 1) mit 108 Mio. EUR in den Jahren 2021 und 2022 sowie mit 59 Mio. EUR aus dem Programm für Forschungsinfrastrukturen unterstützt werden. Im Rahmen von Horizont Europa wurde in den Jahren 2021 und 2022 auch zusätzliche Unterstützung für die Sekundärnutzung von Gesundheitsdaten im Zusammenhang mit COVID‑19 (42 Mio. EUR) und Krebserkrankungen (3 Mio. EUR) bereitgestellt. 

    Darüber hinaus wird die Fazilität „Connecting Europe“ in Fällen, in denen es im Gesundheitswesen an physischer Konnektivität mangelt, auch einen „Beitrag zur Entwicklung von Vorhaben von gemeinsamem Interesse in Bezug auf die Einführung von und Zugang zu sicheren und geschützten digitalen Netzen mit sehr hoher Kapazität, einschließlich 5G-Systemen, und zur Steigerung der Widerstandsfähigkeit und der Kapazität digitaler Backbone-Netze in den Gebieten der Union“ 38 leisten. Für die Zusammenschaltung von Cloud-Infrastrukturen, auch im Gesundheitswesen, sind in den Jahren 2022 und 2023 130 Mio. EUR vorgesehen.

    Die Verwaltungskosten der Kommission werden auf etwa 17 Mio. EUR geschätzt, einschließlich der Kosten für Personal und sonstige Verwaltungsausgaben.

    Der diesem Vorschlag beigefügte „Finanzbogen für Rechtsakte“ erläutert die Auswirkungen auf Haushalt, Personal und Verwaltung.

    5.WEITERE ANGABEN

    Durchführungspläne sowie Überwachungs-, Bewertungs- und Berichterstattungsmodalitäten

    Aufgrund des dynamischen Charakters der digitalen Umgestaltung im Gesundheitsbereich wird die Überwachung der Entwicklungen, die aus den Auswirkungen des EHDS resultieren, ein wesentlicher Bestandteil der Maßnahmen in diesem Bereich sein. Um sicherzustellen, dass die ausgewählten politischen Maßnahmen tatsächlich zu den angestrebten Ergebnissen führen, und um etwaige künftige Überarbeitungen zu ermöglichen, ist es erforderlich, die Durchführung dieses Vorschlags zu überwachen und zu bewerten.

    Die Überwachung der Einzelziele und der rechtlichen Verpflichtungen wird in erster Linie durch die Berichterstattung der digitalen Gesundheitsbehörden und der Stellen für den Zugang zu Gesundheitsdaten erreicht. Darüber hinaus wird eine Überwachung der Indikatoren für MyHealth@EU und der Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten erfolgen.

    Die Einrichtung der Infrastrukturen, insbesondere der Aufbau der europäischen Plattform der neuen Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten, erfolgt im Einklang mit dem allgemeinen IT-Governance-Rahmen der Kommission. Daher werden die Entscheidungen in Bezug auf IT-Entwicklung und ‑Auftragsvergabe vor der Genehmigung einer Prüfung durch den Informationstechnik- und Cybersicherheitsbeirat der Europäischen Kommission unterzogen.

    Ausführliche Erläuterung einzelner Bestimmungen des Vorschlags

    In Kapitel I werden der Gegenstand und der Anwendungsbereich der Verordnung und die Begriffsbestimmungen für den gesamten Rechtsakt festgelegt und die Verknüpfungen mit anderen EU-Instrumenten erläutert.

    In Kapitel II werden die zusätzlichen Rechte und Mechanismen dargelegt, mit denen die in der DSGVO vorgesehenen Rechte natürlicher Personen in Bezug auf ihre elektronischen Gesundheitsdaten ergänzt werden sollen. Darüber hinaus werden die Pflichten der verschiedenen Angehörigen der Gesundheitsberufe in Bezug auf elektronische Gesundheitsdaten beschrieben. Einige Arten elektronischer Gesundheitsdaten werden als Priorität für die Integration in den EHDS festgelegt, die in einem stufenweisen Prozess mit einer Übergangszeit erfolgt. Die Mitgliedstaaten müssen eine digitale Gesundheitsbehörde einrichten, die dafür zuständig ist, diese Rechte und Mechanismen zu überwachen und sicherzustellen, dass diese zusätzlichen Rechte natürlicher Personen ordnungsgemäß umgesetzt werden. Dieses Kapitel enthält Bestimmungen über die Interoperabilität bestimmter gesundheitsbezogener Datensätze. Die Mitgliedstaaten müssen auch nationale Kontaktstellen benennen, die mit der Durchsetzung der Verpflichtungen und Anforderungen dieses Kapitels betraut werden. Schließlich soll eine gemeinsame Infrastruktur – MyHealth@EU – dazu dienen, den grenzüberschreitenden Austausch elektronischer Gesundheitsdaten zu erleichtern.

    Kapitel III befasst sich mit der Umsetzung einer verbindlichen Regelung für die Selbstzertifizierung von EHR-Systemen in Situationen, in denen solche Systeme grundlegende Anforderungen in Bezug auf Interoperabilität und Sicherheit erfüllen müssen. Dieser Ansatz ist erforderlich, um sicherzustellen, dass die elektronischen Patientenakten zwischen den einzelnen Systemen kompatibel sind und eine einfache Übermittlung elektronischer Gesundheitsdaten zwischen diesen Systemen ermöglichen. In diesem Kapitel werden die Pflichten aller mit EHR-Systemen befassten Wirtschaftsakteure, die Anforderungen an die Konformität solcher EHR-Systeme sowie die Pflichten der für EHR-Systeme zuständigen Marktüberwachungsbehörden im Rahmen ihrer Marktüberwachungstätigkeiten festgelegt. Dieses Kapitel enthält auch Bestimmungen über die freiwillige Kennzeichnung von Wellness-Apps, die mit EHR-Systemen interoperabel sind, und Festlegungen zur Einrichtung einer EU-Datenbank, in der zertifizierte EHR-Systeme und mit einer Kennzeichnung (Label) versehene Wellness-Apps registriert werden.

    Kapitel IV erleichtert die Sekundärnutzung elektronischer Gesundheitsdaten, z. B. für Forschung, Innovation, Politikgestaltung, Patientensicherheit oder Regulierungstätigkeiten. Darin wird eine Reihe von Datenarten definiert, die für bestimmte Zwecke verwendet werden können, und es werden unzulässige Zwecke festgelegt (z. B. Nutzung von Daten gegen Personen, kommerzielle Werbung, Erhöhung der Versicherung, Entwicklung gefährlicher Produkte). Die Mitgliedstaaten müssen eine Stelle für den Zugang zu Gesundheitsdaten zwecks Sekundärnutzung elektronischer Gesundheitsdaten einrichten und sicherstellen, dass die Dateninhaber den Datennutzern die elektronischen Daten zur Verfügung stellen. Dieses Kapitel enthält auch Bestimmungen zur Umsetzung des Datenaltruismus im Gesundheitswesen. Die Aufgaben und Pflichten der Stelle für den Zugang zu Gesundheitsdaten, der Dateninhaber und der Datennutzer sind ebenfalls festgelegt. Insbesondere sollten die Dateninhaber mit der Stelle für den Zugang zu Gesundheitsdaten zusammenarbeiten, um die Verfügbarkeit elektronischer Gesundheitsdaten für Datennutzer sicherzustellen. Darüber hinaus werden die Zuständigkeiten der Stellen für den Zugang zu Gesundheitsdaten und der Datennutzer als gemeinsam für die verarbeiteten elektronischen Gesundheitsdaten Verantwortliche festgelegt.

    Die Sekundärnutzung elektronischer Gesundheitsdaten kann Kosten verursachen. Dieses Kapitel enthält allgemeine Bestimmungen zur Transparenz der Gebührenberechnung. Auf praktischer Ebene werden insbesondere Anforderungen an die Sicherheit der sicheren Verarbeitungsumgebung festgelegt. Eine solche sichere Verarbeitungsumgebung ist erforderlich, um im Einklang mit diesem Kapitel auf elektronische Gesundheitsdaten zuzugreifen und sie zu verarbeiten. Die Bedingungen für den Zugang zu elektronischen Gesundheitsdaten und die im Datenanfrageformular anzugebenden Informationen sind in Abschnitt 3 aufgeführt. Die mit der Erteilung der Datengenehmigung verbundenen Bedingungen werden ebenfalls beschrieben.

    Abschnitt 4 dieses Kapitels enthält hauptsächlich Bestimmungen über die Einrichtung und Förderung des grenzüberschreitenden Zugangs zu elektronischen Gesundheitsdaten, sodass ein Datennutzer in einem Mitgliedstaat für sekundäre Zwecke Zugang zu elektronischen Gesundheitsdaten aus anderen Mitgliedstaaten erhalten kann, ohne bei jedem dieser Mitgliedstaaten eine Datengenehmigung beantragen zu müssen. Die grenzüberschreitende Infrastruktur, die einen solchen Prozess ermöglichen soll, und ihr Betrieb werden ebenfalls beschrieben.

    Schließlich enthält dieses Kapitel Bestimmungen über Datensatzbeschreibungen und deren Qualität. Dies würde es Datennutzern ermöglichen, den Inhalt und die potenzielle Qualität der genutzten Datensätze zu ermitteln und einzuschätzen, ob sie für den Zweck geeignet sind.

    In Kapitel V werden weitere Maßnahmen zur Förderung des Kapazitätsaufbaus durch die Mitgliedstaaten vorgeschlagen, die die Entwicklung des EHDS begleiten sollen. Dazu gehören der Austausch von Informationen über digitale öffentliche Dienste, Finanzierung usw. Darüber hinaus regelt dieses Kapitel den internationalen Zugang zu nicht personenbezogenen Daten im EHDS.

    Mit Kapitel VI wird der Ausschuss für den europäischen Raum für Gesundheitsdaten (European Health Data Space Board, im Folgenden „EHDS-Ausschuss“) eingerichtet, der die Zusammenarbeit zwischen den digitalen Gesundheitsbehörden und den Stellen für den Zugang zu Gesundheitsdaten erleichtern wird, insbesondere im Hinblick auf die Verbindung zwischen Primär- und Sekundärnutzung von elektronischen Gesundheitsdaten. Gegebenenfalls können spezielle Untergruppen, beispielsweise zur Primärnutzung elektronischer Gesundheitsdaten oder zur Sekundärnutzung elektronischer Gesundheitsdaten, gebildet werden, die sich gezielt mit spezifischen Fragen oder Verfahren befassen. Der Ausschuss wird mit der Aufgabe betraut, die Zusammenarbeit zwischen den digitalen Gesundheitsbehörden und den Stellen für den Zugang zu Gesundheitsdaten zu fördern. In diesem Kapitel werden auch die Zusammensetzung des Ausschusses und seine Arbeitsweise geregelt.

    Darüber hinaus enthält dieses Kapitel Bestimmungen in Bezug auf Gruppen der gemeinsam Verantwortlichen für die EU-Infrastruktur, die mit Entscheidungen über die grenzüberschreitende digitale Infrastruktur, die sowohl für die Primär- als auch für die Sekundärnutzung elektronischer Gesundheitsdaten erforderlich ist, betraut werden sollen.

    Kapitel VII sieht für die Kommission die Befugnis vor, delegierte Rechtsakte zum EHDS zu erlassen. Nach der Annahme des Vorschlags beabsichtigt die Kommission, im Einklang mit dem Beschluss C(2016) 3301 eine Expertengruppe einzusetzen, die sie bei der Ausarbeitung delegierter Rechtsakte sowie bei Fragen im Zusammenhang mit der Durchführung der Verordnung in folgenden Bereichen berät und unterstützt:

    Schaffung eines nachhaltigen wirtschaftlichen und sozialen Nutzens der europäischen digitalen Gesundheitssysteme und ‑dienste und der interoperablen Anwendungen, sodass ein hohes Niveau an Vertrauen und Sicherheit erzielt wird, die Kontinuität der Behandlung gefördert wird und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt ist,

    Verbesserung der Interoperabilität elektronischer Gesundheitsdaten für die Gesundheitsversorgung, aufbauend auf bestehenden europäischen, internationalen oder nationalen Normen und Erfahrungen mit anderen Datenräumen,

    harmonisierte Umsetzung des Zugangs zu elektronischen Gesundheitsdaten und ihres Austauschs für die Primärnutzung auf nationaler und EU-Ebene,

    Interoperabilität von EHR-Systemen und anderen Produkten, die Daten an elektronische Patientenakten übertragen, einschließlich Medizinprodukten, KI-Systemen und Wellness-Apps. Gegebenenfalls soll die Expertengruppe mit der Koordinierungsgruppe Medizinprodukte und dem Europäischen Ausschuss für künstliche Intelligenz zusammenarbeiten,

    Mindestkategorien von zur Sekundärnutzung bestimmten elektronischen Gesundheitsdaten,

    harmonisierte Umsetzung des Zugangs zu elektronischen Gesundheitsdaten für die Sekundärnutzung auf nationaler und EU-Ebene,

    den Datenaltruismus betreffende Aktivitäten im Gesundheitswesen,

    harmonisierte Gebührenpolitik für die Sekundärnutzung elektronischer Gesundheitsdaten,

    von den Stellen für den Zugang zu Gesundheitsdaten angewandte Sanktionen,

    Mindestanforderungen und technische Spezifikationen für HealthData@EU und sichere Verarbeitungsumgebungen,

    Anforderungen und technische Spezifikationen für das Datenqualitäts- und ‑nutzenlabel,

    Mindestdatensätze,

    technische Anforderungen zur Unterstützung des Datenaltruismus im Gesundheitswesen,

    sonstige Elemente im Zusammenhang mit der Primär- und Sekundärnutzung elektronischer Gesundheitsdaten.

    Die Expertengruppe kann gegebenenfalls mit der Koordinierungsgruppe Medizinprodukte und dem Europäischen Ausschuss für künstliche Intelligenz zusammenarbeiten und sie konsultieren.

    Kapitel VIII enthält Bestimmungen zu Zusammenarbeit und Sanktionen sowie Schlussbestimmungen.

    2022/0140 (COD)

    Vorschlag für eine

    VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

    über den europäischen Raum für Gesundheitsdaten

    (Text von Bedeutung für den EWR)

    DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

    gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf die Artikel 16 und 114,

    auf Vorschlag der Europäischen Kommission,

    nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

    nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses, 39  

    nach Stellungnahme des Ausschusses der Regionen, 40

    gemäß dem ordentlichen Gesetzgebungsverfahren,

    in Erwägung nachstehender Gründe:

    (1)Mit dieser Verordnung wird der europäische Raum für Gesundheitsdaten (European Health Data Space, im Folgenden „EHDS“) eingerichtet, um den Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten im Zusammenhang mit der Gesundheitsversorgung (Primärnutzung elektronischer Gesundheitsdaten) und für andere Zwecke mit gesellschaftlichem Nutzen wie Forschung, Innovation, Politikgestaltung, Patientensicherheit, personalisierte Medizin, amtliche Statistik oder Regulierungstätigkeiten (Sekundärnutzung elektronischer Gesundheitsdaten) zu verbessern. Darüber hinaus soll das Funktionieren des Binnenmarkts verbessert werden, indem ein einheitlicher Rechtsrahmen insbesondere für die Entwicklung, Vermarktung und Verwendung von Systemen für elektronische Patientenakten (electronic health records, EHR) (im Folgenden „EHR-Systeme“) im Einklang mit den Werten der Union festgelegt wird.

    (2)Die COVID19-Pandemie hat deutlich gemacht, dass ein zeitnaher Zugang zu elektronischen Gesundheitsdaten für die Vorsorge und Reaktion bei Gesundheitsbedrohungen und für die Diagnose und Behandlung sowie für die Sekundärnutzung von Gesundheitsdaten unerlässlich ist. Ein solcher zeitnaher Zugang hätte durch eine effiziente Überwachung und Beobachtung der öffentlichen Gesundheit zu einer wirksameren Bewältigung der Pandemie beigetragen und letztlich Leben gerettet. Im Jahr 2020 passte die Kommission ihr mit dem Durchführungsbeschluss (EU) 2019/1269 der Kommission 41 eingerichtetes System für das klinische Patientenmanagement im Eilverfahren an, um es den Mitgliedstaaten zu ermöglichen, elektronische Gesundheitsdaten von COVID19-Patienten auszutauschen, die während des Höhepunkts der Pandemie den Gesundheitsdienstleister wechselten oder sich von einem Mitgliedstaat in einen anderen begaben; dies war jedoch nur eine Notfalllösung, die verdeutlichte, dass ein struktureller Ansatz auf Ebene der Mitgliedstaaten und der Union erforderlich ist.

    (3)Durch die COVID19-Krise wurde die Arbeit des Netzwerks für elektronische Gesundheitsdienste (eHealth), eines freiwilligen Netzwerks von digitalen Gesundheitsbehörden, zur tragenden Säule für die Entwicklung mobiler Kontaktnachverfolgungs- und Warn-Apps und der technischen Aspekte der digitalen COVID-Zertifikate der EU. In der Pandemie hat sich auch gezeigt, wie wichtig die gemeinsame Nutzung elektronischer Gesundheitsdaten ist, die auffindbar (Findable), zugänglich (Accessible), interoperabel (Interoperable) und wiederverwendbar (Resuable) sind („FAIR-Prinzipien“), und dass sichergestellt werden muss, dass elektronische Gesundheitsdaten so offen wie möglich und so geschlossen wie nötig sind. Es sollte sichergestellt werden, dass Synergien zwischen dem EHDS, der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) 42 und den europäischen Forschungsinfrastrukturen sowie die Erkenntnisse aus Lösungen für den Datenaustausch, die im Rahmen der Europäischen COVID19-Datenplattform entwickelt wurden, genutzt werden.

    (4)Die Verarbeitung personenbezogener elektronischer Gesundheitsdaten unterliegt den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates 43 und – für die Organe und Einrichtungen der Union – der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates 44 . Bezugnahmen auf die Bestimmungen der Verordnung (EU) 2016/679 sind gegebenenfalls auch als Bezugnahmen auf die entsprechenden Bestimmungen der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der Union zu verstehen.

    (5)Immer mehr Menschen in Europa überschreiten nationale Grenzen, um zu arbeiten, zu studieren, Verwandte zu besuchen oder zu reisen. Um den Austausch von Gesundheitsdaten zu erleichtern und den Bürgerinnen und Bürgern die benötigte Handlungskompetenz zu verleihen, sollten sie auf ihre Gesundheitsdaten in einem elektronischen Format zugreifen können, das in der gesamten Union anerkannt und akzeptiert werden kann. Solche personenbezogenen elektronischen Gesundheitsdaten könnten personenbezogene Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdiensten, aus denen Informationen über ihren Gesundheitszustand hervorgehen, personenbezogene Daten zu den ererbten oder erworbenen genetischen Merkmalen einer natürlichen Person, die eindeutige Informationen über den körperlichen Zustand oder die Gesundheit dieser natürlichen Person liefern und speziell das Ergebnis einer Analyse einer Probe von biologischem Material der betreffenden natürlichen Person sind, sowie Datendeterminanten für die Gesundheit wie Verhalten, Umwelt, physische Einflüsse, medizinische Versorgung, soziale Faktoren oder erziehungs-/bildungsbezogene Faktoren umfassen. Elektronische Gesundheitsdaten schließen auch Daten ein, die ursprünglich für Zwecke der Forschung, der Statistik, der Politikgestaltung oder der Regulierung erhoben wurden und nach den Vorschriften in Kapitel IV zur Verfügung gestellt werden können. Die elektronischen Gesundheitsdaten betreffen alle Kategorien dieser Daten, unabhängig davon, ob diese Daten von der betroffenen Person oder anderen natürlichen oder juristischen Personen wie Angehörigen der Gesundheitsberufe bereitgestellt oder im Zusammenhang mit der Gesundheit oder dem Wohlbefinden einer natürlichen Person verarbeitet werden, und sollten auch gefolgerte und abgeleitete Daten, etwa zu Diagnosen, Tests und medizinischen Untersuchungen, sowie automatisch erfasste und aufgezeichnete Daten umfassen.

    (6)Kapitel III der Verordnung (EU) 2016/679 enthält besondere Bestimmungen über die Rechte natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Der EHDS baut auf diesen Rechten auf und entwickelt einige von ihnen weiter. Der EHDS sollte die kohärente Umsetzung dieser Rechte in Bezug auf elektronische Gesundheitsdaten unterstützen, unabhängig von dem Mitgliedstaat, in dem die personenbezogenen elektronischen Gesundheitsdaten verarbeitet werden, der Art des Gesundheitsdienstleisters, den Datenquellen oder dem Versicherungsmitgliedstaat der natürlichen Person. Die Rechte und Vorschriften im Zusammenhang mit der Primärnutzung personenbezogener elektronischer Gesundheitsdaten nach den Kapiteln II und III dieser Verordnung betreffen alle Kategorien dieser Daten, unabhängig davon, wie sie erhoben wurden oder von wem sie bereitgestellt wurden, auf welcher Rechtsgrundlage die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt oder ob der Verantwortliche den Status einer öffentlichen oder privaten Organisation hat.

    (7)In Gesundheitssystemen werden personenbezogene elektronische Gesundheitsdaten in der Regel in elektronischen Patientenakten erfasst, die üblicherweise die Krankengeschichte, Diagnosen und Behandlungen, Medikationen, Allergien und Immunisierungen einer natürlichen Person sowie ihre Radiologiebilder und Laborergebnisse enthalten, die auf verschiedene Einrichtungen des Gesundheitssystems (Hausärzte, Krankenhäuser, Apotheken, Pflegedienste) verteilt sind. Um natürlichen Personen oder Angehörigen der Gesundheitsberufe den Zugang zu elektronischen Gesundheitsdaten sowie deren gemeinsame Nutzung und Änderung zu ermöglichen, haben einige Mitgliedstaaten die erforderlichen rechtlichen und technischen Maßnahmen ergriffen und zentrale Infrastrukturen eingerichtet, die die von Gesundheitsdienstleistern und natürlichen Personen genutzten EHR-Systeme miteinander verbinden. Alternativ unterstützen einige Mitgliedstaaten öffentliche und private Gesundheitsdienstleister bei der Einrichtung von Räumen für personenbezogene Gesundheitsdaten, um die Interoperabilität zwischen verschiedenen Gesundheitsdienstleistern zu ermöglichen. Mehrere Mitgliedstaaten haben auch Zugangsdienste für Gesundheitsdaten für Patienten und Angehörige der Gesundheitsberufe unterstützt oder bereitgestellt (z. B. über Portale für Patienten oder Angehörige der Gesundheitsberufe). Sie haben auch Maßnahmen ergriffen, um sicherzustellen, dass EHR-Systeme oder Wellness-Apps in der Lage sind, elektronische Gesundheitsdaten an das zentrale EHR-System zu übermitteln (einige Mitgliedstaaten nutzen dafür z. B. ein Zertifizierungssystem). Allerdings haben nicht alle Mitgliedstaaten solche Systeme eingerichtet, und wo sie umgesetzt wurden, erfolgte dies auf fragmentierte Weise. Um den freien Verkehr personenbezogener Gesundheitsdaten in der gesamten Union zu erleichtern und negative Folgen für Patienten zu vermeiden, die eine grenzüberschreitende Gesundheitsversorgung in Anspruch nehmen, muss die Union tätig werden, um sicherzustellen, dass der Zugang von Einzelpersonen zu ihren eigenen elektronischen Gesundheitsdaten verbessert wird und sie in die Lage versetzt werden, sie weiterzugeben.

    (8)Das in Artikel 15 der Verordnung (EU) 2016/679 verankerte Recht einer natürlichen Person auf Datenzugang sollte im Gesundheitswesen ausgeweitet werden. Nach den Bestimmungen der Verordnung (EU) 2016/679 sind die Verantwortlichen nicht verpflichtet, sofortigen Zugang zu gewähren. Zwar gibt es vielerorts Patientenportale, mobile Anwendungen und andere Zugangsdienste für personenbezogene Gesundheitsdaten, darunter nationale Lösungen in einigen Mitgliedstaaten, aber in der Regel wird das Recht auf Zugang zu Gesundheitsdaten an vielen Orten nach wie vor dadurch umgesetzt, dass die angeforderten Gesundheitsdaten in Papierform oder als gescannte Dokumente bereitgestellt werden, was ein zeitaufwendiges Verfahren ist. Dies kann den zeitnahen Zugang natürlicher Personen zu Gesundheitsdaten erheblich einschränken und negative Folgen für natürliche Personen haben, die aufgrund dringender Umstände im Zusammenhang mit ihrem Gesundheitszustand diesen Zugang unmittelbar benötigen. 

    (9)Gleichzeitig sollte berücksichtigt werden, dass der unmittelbare Zugang zu bestimmten Arten personenbezogener elektronischer Gesundheitsdaten die Sicherheit natürlicher Personen gefährden oder unethisch oder unangemessen sein kann. Beispielsweise könnte es unethisch sein, einem Patienten die Diagnose einer unheilbaren Krankheit, die vermutlich zum baldigen Tod führen wird, auf elektronischem Wege mitzuteilen, anstatt zunächst im Patientengespräch. Daher sollte die Möglichkeit begrenzter Ausnahmen bei der Umsetzung dieses Rechts sichergestellt werden. Solche Ausnahmen könnten von den Mitgliedstaaten in Fällen auferlegt werden, in denen sie im Einklang mit den Anforderungen des Artikels 23 der Verordnung (EU) 2016/679 in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen. Derartige Beschränkungen sollten umgesetzt werden, indem die betreffenden personenbezogenen elektronischen Gesundheitsdaten der natürlichen Person mit begrenzter zeitlicher Verzögerung angezeigt werden. In Fällen, in denen Gesundheitsdaten nur in Papierform verfügbar sind und die Bereitstellung der Daten in elektronischer Form unverhältnismäßig aufwendig wäre, sollten die Mitgliedstaaten nicht verpflichtet werden, diese Gesundheitsdaten in ein elektronisches Format umwandeln zu müssen. Jedes Element des digitalen Wandels im Gesundheitswesen sollte möglichst inklusiv sein und auch jenen natürlichen Personen zugutekommen, die nur begrenzte Möglichkeiten für den Zugang zu digitalen Diensten und für deren Nutzung haben. Natürliche Personen sollten die Möglichkeit haben, anderen natürlichen Personen ihrer Wahl, etwa Angehörigen oder anderen Nahestehenden, eine Genehmigung für den Zugang oder die Kontrolle des Zugangs zu ihren personenbezogenen elektronischen Gesundheitsdaten oder für die Nutzung digitaler Gesundheitsdienste in ihrem Namen zu erteilen. Solche Genehmigungen können auch in anderen Situationen aus praktischen Gründen sinnvoll sein. Zur Umsetzung dieser Genehmigungen sollten von den Mitgliedstaaten Dienste für Vertretungsbevollmächtigte eingerichtet werden, die mit Zugangsdiensten für personenbezogene Gesundheitsdaten, wie Patientenportalen auf patientenseitigen mobilen Anwendungen, verknüpft sein sollten. Die Dienste für Vertretungsbevollmächtigte sollten es auch Vormunden ermöglichen, im Namen ihrer Mündel zu handeln; in solchen Fällen könnten Genehmigungen automatisch erteilt werden. In Fällen, in denen es den Interessen oder dem Willen von Minderjährigen zuwiderlaufen könnte, wenn ihre Vormunde Einsicht in bestimmte personenbezogene elektronische Gesundheitsdaten über sie erhalten, sollten die Mitgliedstaaten die Möglichkeit haben, entsprechende Einschränkungen und Schutzbestimmungen im nationalen Recht vorzusehen und für die erforderliche technische Umsetzung zu sorgen. Bei den Zugangsdiensten für personenbezogene Gesundheitsdaten, wie Portalen oder mobilen Anwendungen für Patienten, sollten solche Genehmigungen akzeptiert werden, sodass bevollmächtigte natürliche Personen Zugang zu den personenbezogenen elektronischen Gesundheitsdaten im Geltungsbereich der Genehmigung erhalten, damit diese die gewünschte Wirkung erzielen kann.

    (10)Einige Mitgliedstaaten ermöglichen es natürlichen Personen, ihren elektronischen Patientenakten elektronische Gesundheitsdaten hinzuzufügen oder zusätzliche Informationen in ihrer eigenen persönlichen Patientenakte zu speichern, auf die Angehörige der Gesundheitsberufe zugreifen können. Dies ist jedoch nicht in allen Mitgliedstaaten gängige Praxis und sollte daher im Rahmen des EHDS in der gesamten EU eingeführt werden. Informationen, die von natürlichen Personen hinzugefügt werden, sind möglicherweise weniger zuverlässig als elektronische Gesundheitsdaten, die von Angehörigen der Gesundheitsberufe eingegeben und überprüft werden; daher sollte eindeutig angegeben werden, aus welchen Quellen solche zusätzlichen Daten stammen. Indem natürliche Personen leichteren und schnelleren Zugang zu ihren elektronischen Gesundheitsdaten erhalten, können sie auch mögliche Fehler wie falsche Angaben oder falsch zugeordnete Patientenakten erkennen und sie unter Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 berichtigen lassen. In solchen Fällen sollte es natürlichen Personen ermöglicht werden, die Berichtigung unrichtiger elektronischer Gesundheitsdaten unverzüglich und kostenlos online zu beantragen, beispielsweise über den Zugangsdienst für personenbezogene Gesundheitsdaten. Anträge auf Berichtigung von Daten sollten von den Datenverantwortlichen im Einzelfall geprüft und gegebenenfalls umgesetzt werden, erforderlichenfalls unter Einbeziehung von Angehörigen der Gesundheitsberufe.

    (11)Natürliche Personen sollten auch in die Lage versetzt werden, personenbezogene elektronische Gesundheitsdaten weiterzugeben und Angehörigen der Gesundheitsberufe ihrer Wahl zugänglich zu machen, was über das Recht auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 hinausgeht. Dies ist notwendig, um beim derzeitigen Stand der Dinge objektive Schwierigkeiten und Hindernisse zu beseitigen. Nach der Verordnung (EU) 2016/679 ist die Übertragbarkeit auf Daten beschränkt, die auf der Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, was Daten ausschließt, die basierend auf anderen Rechtsgrundlagen verarbeitet werden, etwa wenn die Verarbeitung auf Rechtsvorschriften beruht, beispielsweise wenn ihre Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Übertragbarkeit betrifft nur Daten, die die betroffene Person einem Verantwortlichen zur Verfügung stellt, was viele abgeleitete oder indirekte Daten wie Diagnosen oder Tests ausschließt. Außerdem hat die natürliche Person gemäß der Verordnung (EU) 2016/679 nur insoweit Anspruch auf direkte Übermittlung der personenbezogenen Daten von einem Verantwortlichen an einen anderen, als dies technisch machbar ist. Die besagte Verordnung sieht jedoch keine Verpflichtung vor, die technische Machbarkeit dieser direkten Übertragung zu ermöglichen. All diese Elemente beschränken die Datenübertragbarkeit und können ihre Vorteile für die Erbringung hochwertiger, sicherer und effizienter Gesundheitsdienste für die natürliche Person einschränken.

    (12)Natürliche Personen sollten die Übermittlung personenbezogener elektronischer Gesundheitsdaten an andere Gesundheitsdienstleister kontrollieren können. Gesundheitsdienstleister und andere Organisationen, die elektronische Patientenakten bereitstellen, sollten die Ausübung dieses Rechts erleichtern. Akteure wie Gesundheitsdienstleister, Anbieter digitaler Gesundheitsdienste, Hersteller von EHR-Systemen oder Medizinprodukten sollten die Ausübung des Rechts auf Übertragbarkeit nicht dadurch behindern, dass sie proprietäre Standards oder andere Maßnahmen zur Beschränkung der Übertragbarkeit nutzen. Aus diesen Gründen baut der in dieser Verordnung festgelegte Rahmen auf dem in der Verordnung (EU) 2016/679 verankerten Recht auf Datenübertragbarkeit auf, indem sichergestellt wird, dass natürliche Personen als betroffene Personen ihre elektronischen Gesundheitsdaten, einschließlich abgeleiteter Daten, unabhängig von der Rechtsgrundlage der Verarbeitung der elektronischen Gesundheitsdaten übermitteln können. Dieses Recht sollte für elektronische Gesundheitsdaten gelten, die von öffentlichen oder privaten Verantwortlichen verarbeitet werden, unabhängig von der Rechtsgrundlage für die Verarbeitung der Daten gemäß der Verordnung (EU) 2016/679. Dieses Recht sollte für alle elektronischen Gesundheitsdaten gelten.

    (13)Es könnte sein, dass natürliche Personen nur bestimmte Teile ihrer personenbezogenen elektronischen Gesundheitsdaten zugänglich machen wollen, andere Teile hingegen nicht. Eine solche selektive Weitergabe personenbezogener elektronischer Gesundheitsdaten sollte unterstützt werden. Da solche Beschränkungen jedoch lebensbedrohliche Folgen haben können, sollte der Zugang zu personenbezogenen elektronischen Gesundheitsdaten im Notfall auch ohne Einwilligung möglich sein, wenn dadurch lebenswichtige Interessen geschützt werden. Im Sinne der Verordnung (EU) 2016/679 liegen lebenswichtige Interessen vor, wenn ohne ihren Schutz das Leben der betroffenen Person oder einer anderen natürlichen Person gefährdet wäre. Personenbezogene elektronische Gesundheitsdaten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Spezifischere Rechtsvorschriften über die Mechanismen für Beschränkungen, die natürliche Personen für Teile ihrer personenbezogenen elektronischen Gesundheitsdaten auferlegen, sollten von den Mitgliedstaaten im nationalen Recht vorgesehen werden. Da sich die Nichtfreigabe bestimmter personenbezogener elektronischer Gesundheitsdaten auf die Bereitstellung oder Qualität der für die natürliche Person erbrachten Gesundheitsdienstleistungen auswirken kann, sollte die natürliche Person die Verantwortung dafür übernehmen, dass der Gesundheitsdienstleister die Daten bei der Erbringung von Gesundheitsdienstleistungen nicht berücksichtigen kann.

    (14)Im Zusammenhang mit dem EHDS sollten natürliche Personen ihre in der Verordnung (EU) 2016/679 verankerten Rechte ausüben können. Die nach Artikel 51 der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden sollten weiterhin zuständig sein, insbesondere für die Überwachung der Verarbeitung personenbezogener elektronischer Gesundheitsdaten und für die Bearbeitung von Beschwerden natürlicher Personen. Um ihre Aufgaben im Gesundheitswesen wahrzunehmen und die Rechte natürlicher Personen zu wahren, sollten die digitalen Gesundheitsbehörden mit den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 zusammenarbeiten.

    (15)Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 sieht Ausnahmen vor, in denen die Verarbeitung von sensiblen Daten für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die medizinische Versorgung oder Behandlung oder die Verwaltung der Gesundheitssysteme und dienste auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich ist. Die vorliegende Verordnung sollte Bedingungen und Garantien für die Verarbeitung elektronischer Gesundheitsdaten durch Gesundheitsdienstleister und Angehörige der Gesundheitsberufe im Einklang mit Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 zwecks Zugriff auf personenbezogene elektronische Gesundheitsdaten vorsehen, die von der natürlichen Person bereitgestellt oder von anderen Gesundheitsdienstleistern übermittelt werden. Die vorliegende Verordnung sollte jedoch die nationalen Rechtsvorschriften über die Verarbeitung von Gesundheitsdaten unberührt lassen, einschließlich der Rechtsvorschriften, in denen die Kategorien von Angehörigen der Gesundheitsberufe, die verschiedene Kategorien elektronischer Gesundheitsdaten verarbeiten können, festgelegt sind.

    (16)Der zeitnahe und uneingeschränkte Zugang der Angehörigen der Gesundheitsberufe zu den Patientenakten ist von grundlegender Bedeutung, um eine kontinuierliche Versorgung sicherzustellen sowie Doppelarbeit und Fehler zu vermeiden. Aufgrund mangelnder Interoperabilität können Angehörige der Gesundheitsberufe jedoch in vielen Fällen nicht auf die vollständigen Patientenakten zugreifen und daher bei der Diagnose und Behandlung keine optimalen medizinischen Entscheidungen treffen, was sowohl für die Gesundheitssysteme als auch für natürliche Personen mit erheblichen Kosten verbunden ist und zu schlechteren Gesundheitsergebnissen für natürliche Personen führen kann. Elektronische Gesundheitsdaten, die in interoperablem Format vorliegen und zwischen Gesundheitsdienstleistern ausgetauscht werden können, verringern auch den Verwaltungsaufwand für die Angehörigen der Gesundheitsberufe, der entsteht, wenn Gesundheitsdaten manuell in elektronische Systeme eingegeben oder kopiert werden müssen. Daher sollten für Angehörige der Gesundheitsberufe geeignete elektronische Mittel, wie Portale für Angehörige der Gesundheitsberufe, eingerichtet werden, damit sie personenbezogene elektronische Gesundheitsdaten bei der Wahrnehmung ihrer Aufgaben nutzen können. Darüber hinaus sollte der Zugriff auf ihre persönliche Patientenakte für natürliche Personen transparent sein, und sie sollten in der Lage sein, die uneingeschränkte Kontrolle über diesen Zugriff auszuüben, unter anderem dadurch, dass sie den Zugang zu allen oder einem Teil der personenbezogenen elektronischen Gesundheitsdaten in ihrer Akte beschränken können. Angehörige der Gesundheitsberufe sollten die Ausübung der Rechte natürlicher Personen nicht behindern, etwa indem sie sich weigern, elektronische Gesundheitsdaten aus einem anderen Mitgliedstaat zu berücksichtigen, die im interoperablen und zuverlässigen europäischen Austauschformat für elektronische Patientenakten bereitgestellt werden.

    (17)Die verschiedenen Kategorien elektronischer Gesundheitsdaten sind für die verschiedenen Szenarien der Gesundheitsversorgung unterschiedlich relevant. Die verschiedenen Kategorien weisen auch unterschiedliche Grade der Standardisierung auf, weshalb die Umsetzung von Mechanismen für ihren Austausch je nach Kategorie unterschiedlich komplex ist. Daher sollten die Interoperabilität und der Datenaustausch schrittweise verbessert werden, und für die verschiedenen Kategorien elektronischer Gesundheitsdaten bedarf es einer Priorisierung. Das Netzwerk für elektronische Gesundheitsdienste hat unter anderem Patientenkurzakten, elektronische Verschreibungen und Abgaben, Laborergebnisse und berichte, Krankenhausentlassungsberichte, medizinische Bilder und Bildberichte als die Kategorien elektronischer Gesundheitsdaten mit der größten Relevanz für die meisten Situationen der Gesundheitsversorgung ermittelt, die von den Mitgliedstaaten daher als vorrangige Kategorien bei der Ermöglichung des Zugangs und der Übermittlung betrachtet werden sollten. Wird festgestellt, dass noch andere Kategorien elektronischer Gesundheitsdaten für Zwecke der Gesundheitsversorgung ausgetauscht werden müssen, sollte die Liste der vorrangigen Kategorien erweitert werden. Die Kommission sollte die Befugnis erhalten, die Liste der vorrangigen Kategorien zu erweitern, nachdem sie relevante Aspekte im Zusammenhang mit der Notwendigkeit und Möglichkeit des Austauschs neuer Datensätze analysiert hat, wie etwa die Frage, ob sie von den in den Mitgliedstaaten auf nationaler oder regionaler Ebene eingerichteten Systemen unterstützt werden. Besondere Aufmerksamkeit sollte dem Datenaustausch in Grenzregionen benachbarter Mitgliedstaaten gelten, in denen grenzüberschreitende Gesundheitsdienste häufiger erbracht werden und noch schnellere Verfahren erfordern als in der Union allgemein.

    (18)Der Zugang zu elektronischen Gesundheitsdaten und deren gemeinsame Nutzung sollten für alle Daten, die in der elektronischen Patientenakte einer natürlichen Person enthalten sind, ermöglicht werden, sofern dies technisch machbar ist. Es kann jedoch Fälle geben, in denen einige elektronische Gesundheitsdaten nicht strukturiert oder kodiert sind und die Übermittlung zwischen Gesundheitsdienstleistern eingeschränkt ist oder nur in Formaten erfolgen kann, die keine Übersetzung zulassen (wenn Daten grenzüberschreitend ausgetauscht werden). Damit die Zeit für die Vorbereitung auf die Umsetzung ausreicht, sollten Zeitpunkte für die spätere Anwendung festgelegt werden, sodass die rechtliche, organisatorische, semantische und technische Bereitschaft für die Übermittlung verschiedener Kategorien elektronischer Gesundheitsdaten erreicht werden kann. Wird festgestellt, dass neue Kategorien elektronischer Gesundheitsdaten ausgetauscht werden müssen, sollten für den Anwendungsbeginn Fristen festgelegt werden, die die Umsetzung des Austauschs ermöglichen.

    (19)Der Umfang der Verfügbarkeit personenbezogener Gesundheitsdaten und genetischer Daten in elektronischem Format variiert zwischen den Mitgliedstaaten. Der EHDS sollte es natürlichen Personen erleichtern, diese Daten in elektronischer Form zur Verfügung gestellt zu bekommen. Dies würde auch zur Verwirklichung des im Politikprogramm „Weg in die digitale Dekade“ genannten Ziels beitragen, dass bis 2030 100 % der Unionsbürger Zugang zu ihren elektronischen Patientenakten haben. Um elektronische Gesundheitsdaten zugänglich und übertragbar zu machen, sollten diese Daten – zumindest für bestimmte Kategorien elektronischer Gesundheitsdaten wie Patientenkurzakten, elektronische Verschreibungen und Abgaben, medizinische Bilder und Bildberichte, Laborergebnisse und Entlassungsberichte – vorbehaltlich Übergangsfristen in einem interoperablen gemeinsamen europäischen Austauschformat für elektronische Patientenakten abgerufen und übermittelt werden. Werden personenbezogene elektronische Gesundheitsdaten einem Gesundheitsdienstleister oder einer Apotheke von einer natürlichen Person zur Verfügung gestellt oder von einem anderen Datenverantwortlichen im europäischen Austauschformat für elektronische Patientenakten übermittelt, so sollten die elektronischen Gesundheitsdaten vor der Erbringung von Gesundheitsdienstleistungen oder der Abgabe eines Arzneimittels gelesen und bestätigt werden, damit sie die Erbringung der Gesundheitsdienstleistungen oder die Abgabe des Arzneimittels auf elektronische Verschreibung unterstützen können. Die Empfehlung (EU) 2019/243 der Kommission 45 liefert die Grundlage für ein solches gemeinsames europäisches Austauschformat für elektronische Patientenakten. Die Verwendung des europäischen Austauschformats für elektronische Patientenakten sollte auf EU-Ebene und auf nationaler Ebene stärker verbreitet werden. Obwohl den Mitgliedstaaten im Zusammenhang mit dem Netzwerk für elektronische Gesundheitsdienste nach Artikel 14 der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates 46 empfohlen wurde, bei der Auftragsvergabe das europäische Austauschformat für elektronische Patientenakten zu verwenden, um die Interoperabilität zu verbessern, verbreitete sich das Format in der Praxis nur begrenzt, was eine fragmentierte Landschaft und ungleiche Bedingungen beim Zugang zu elektronischen Gesundheitsdaten und ihrer Übertragbarkeit zur Folge hatte.

    (20)Während EHR-Systeme weit verbreitet sind, variiert der Digitalisierungsgrad der Gesundheitsdaten in den Mitgliedstaaten abhängig von den Datenkategorien und vom Anteil der Gesundheitsdienstleister, die Gesundheitsdaten in elektronischer Form erfassen. Um die Umsetzung der Rechte betroffener Personen auf Zugang zu elektronischen Gesundheitsdaten und deren Austausch zu unterstützen, muss die Union tätig werden, damit eine weitere Fragmentierung vermieden wird. Als Beitrag zu einer hohen Qualität und Kontinuität der Gesundheitsversorgung sollten bestimmte Kategorien von Gesundheitsdaten systematisch in elektronischer Form und unter Einhaltung spezifischer Datenqualitätsanforderungen erfasst werden. Das europäische Austauschformat für elektronische Patientenakten sollte die Grundlage für Spezifikationen bilden, die die Registrierung und den Austausch elektronischer Gesundheitsdaten betreffen. Die Kommission sollte die Befugnis erhalten, Durchführungsrechtsakte zur Festlegung zusätzlicher Aspekte im Zusammenhang mit der Registrierung elektronischer Gesundheitsdaten zu erlassen, wie etwa Kategorien von Gesundheitsdienstleistern, die Gesundheitsdaten elektronisch erfassen müssen, Kategorien von Daten, die elektronisch zu erfassen sind, oder Datenqualitätsanforderungen.

    (21)Nach Artikel 168 des Vertrags sind die Mitgliedstaaten für ihre Gesundheitspolitik zuständig, insbesondere für Entscheidungen darüber, welche Leistungen (einschließlich der Telemedizin) erbracht und erstattet werden. Unterschiedliche Kostenerstattungsregelungen sollten jedoch keine Hindernisse für den freien Verkehr digitaler Gesundheitsdienste wie Telemedizin, einschließlich Online-Apotheken, darstellen. Wenn digitale Dienstleistungen mit der physischen Erbringung einer Gesundheitsdienstleistung im Zusammenhang stehen, sollten sie als Teil dieser Gesundheitsdienstleistung berücksichtigt werden.

    (22)In der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates 47 sind die Bedingungen, unter denen die Mitgliedstaaten natürliche Personen in grenzüberschreitenden Situationen mithilfe von elektronischen Identifizierungsmitteln, die von einem anderen Mitgliedstaat ausgestellt wurden, identifizieren, sowie Vorschriften für die gegenseitige Anerkennung solcher elektronischen Identifizierungsmittel festgelegt. Zur Vermeidung von Fällen eines unberechtigten Zugriffs erfordert der EHDS einen sicheren Zugang zu elektronischen Gesundheitsdaten, einschließlich in grenzüberschreitenden Szenarien, in denen die Angehörigen der Gesundheitsberufe und die natürliche Person aus verschiedenen Mitgliedstaaten stammen. Gleichzeitig sollte das Bestehen unterschiedlicher Möglichkeiten zur elektronischen Identifizierung natürliche Personen und Angehörige der Gesundheitsberufe nicht daran hindern, ihre Rechte auszuüben. Die Einführung interoperabler, grenzüberschreitender Identifizierungs- und Authentifizierungsmechanismen für natürliche Personen und Angehörige der Gesundheitsberufe im gesamten EHDS erfordert eine verstärkte Zusammenarbeit auf Unionsebene im Ausschuss für den europäischen Gesundheitsraum (European Health Data Space Board, im Folgenden „EHDS-Ausschuss“). Da die Rechte natürlicher Personen in Bezug auf den Zugang zu personenbezogenen elektronischen Gesundheitsdaten und deren Übermittlung unionsweit einheitlich umgesetzt werden sollten, sind sowohl auf Unionsebene als auch auf Ebene der Mitgliedstaaten eine starke Governance und Koordinierung erforderlich. Die Mitgliedstaaten sollten einschlägige digitale Gesundheitsbehörden einrichten, die mit der Planung und Umsetzung von Standards für den Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung und mit der Durchsetzung der Rechte von natürlichen Personen und Angehörigen der Gesundheitsberufe betraut werden. Darüber hinaus sind Governance-Elemente in den Mitgliedstaaten erforderlich, um die Beteiligung nationaler Akteure an der Zusammenarbeit auf Unionsebene zu erleichtern, Fachwissen zu lenken und die Konzeption von Lösungen, die zur Erreichung der Ziele des EHDS erforderlich sind, beratend zu begleiten. In den meisten Mitgliedstaaten gibt es digitale Gesundheitsbehörden, die sich mit elektronischen Patientenakten, Interoperabilität, Sicherheit oder Normung befassen. Digitale Gesundheitsbehörden sollten in allen Mitgliedstaaten als separate Organisationen oder als Teil derzeit bestehender Behörden eingerichtet werden.

    (23)Die digitalen Gesundheitsbehörden sollten über ausreichende technische Kompetenzen verfügen und gegebenenfalls Sachverständige verschiedener Organisationen zusammenbringen. Die Tätigkeiten der digitalen Gesundheitsbehörden sollten sorgfältig geplant und überwacht werden, um ihre Effizienz sicherzustellen. Die digitalen Gesundheitsbehörden sollten die erforderlichen Maßnahmen ergreifen, um die Rechte natürlicher Personen sicherzustellen, indem sie nationale, regionale und lokale technische Lösungen wie nationale Patientenakten, Patientenportale und Datenvermittlungssysteme einrichten. Dabei sollten sie gemeinsame Standards und Spezifikationen für solche Lösungen anwenden, die Anwendung der Standards und Spezifikationen bei Auftragsvergaben fördern sowie andere innovative Mittel einsetzen, einschließlich der Kostenerstattung für Lösungen, die den Interoperabilitäts- und Sicherheitsanforderungen des EHDS entsprechen. Zur Wahrnehmung ihrer Aufgaben sollten die digitalen Gesundheitsbehörden auf nationaler Ebene und auf Unionsebene mit anderen Stellen zusammenarbeiten, darunter Versicherer, Gesundheitsdienstleister, Hersteller von EHR-Systemen und Wellness-Apps sowie Akteure aus dem Gesundheits- oder Informationstechnologiesektor, Stellen für die Abwicklung von Erstattungsregelungen, Stellen für die Bewertung von Gesundheitstechnologien, Regulierungsbehörden und Agenturen für Arzneimittel, Behörden für Medizinprodukte, Beschaffer sowie Behörden für Cybersicherheit oder elektronische Identifizierung.

    (24)Der Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung sind in grenzüberschreitenden Gesundheitssituationen von Bedeutung, da dies die Kontinuität der Gesundheitsversorgung fördern kann, wenn natürliche Personen in andere Mitgliedstaaten reisen oder ihren Wohnort wechseln. Noch wichtiger ist die Kontinuität der Versorgung und der rasche Zugang zu personenbezogenen elektronischen Gesundheitsdaten für die Bewohner von Grenzregionen, die regelmäßig die Grenze überqueren, um Gesundheitsleistungen in Anspruch zu nehmen. In vielen Grenzregionen liegt der Fall vor, dass bestimmte spezialisierte Gesundheitsdienste auf der anderen Grenzseite näher gelegen sind als die Gesundheitsdienste im eigenen Mitgliedstaat. Für Situationen, in denen eine natürliche Person die Dienste eines in einem anderen Mitgliedstaat niedergelassenen Gesundheitsdienstleisters in Anspruch nimmt, ist eine Infrastruktur für die grenzüberschreitende Übermittlung personenbezogener elektronischer Gesundheitsdaten erforderlich. Eine freiwillige Infrastruktur für diesen Zweck – MyHealth@EU – wurde als Teil der Maßnahmen nach Artikel 14 der Richtlinie 2011/24/EU eingerichtet. Mit MyHealth@EU haben die Mitgliedstaaten natürlichen Personen erstmals die Möglichkeit gegeben, ihre personenbezogenen elektronischen Gesundheitsdaten während Auslandsaufenthalten an Gesundheitsdienstleister weiterzugeben. Um solche Möglichkeiten weiter zu unterstützen, sollte die Beteiligung an der digitalen Infrastruktur MyHealth@EU für die Mitgliedstaaten obligatorisch werden. Alle Mitgliedstaaten sollten sich an der Infrastruktur beteiligen und Gesundheitsdienstleister und Apotheken an sie anbinden, da dies erforderlich ist, um die Rechte natürlicher Personen auf Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten und deren Nutzung unabhängig vom Mitgliedstaat durchsetzen zu können. Die Infrastruktur sollte schrittweise ausgebaut werden, sodass weitere Kategorien elektronischer Gesundheitsdaten unterstützt werden.

    (25)Im Zusammenhang mit MyHealth@EU sollte über eine zentrale Plattform eine gemeinsame Infrastruktur für die Mitgliedstaaten bereitgestellt werden, damit auf effiziente und sichere Weise Konnektivität und Interoperabilität sichergestellt werden. Um die Einhaltung der Datenschutzvorschriften sicherzustellen und einen Rahmen für das Risikomanagement bei der Übermittlung personenbezogener elektronischer Gesundheitsdaten zu schaffen, sollte die Kommission im Wege von Durchführungsrechtsakten spezifische Zuständigkeiten auf die Mitgliedstaaten als gemeinsam Verantwortliche verteilen und ihre eigenen Pflichten als Verarbeiter festlegen.

    (26)Zusätzlich zu den Diensten in MyHealth@EU für den Austausch personenbezogener elektronischer Gesundheitsdaten auf der Grundlage des europäischen Austauschformats für elektronische Patientenakten können andere Dienste oder ergänzende Infrastrukturen beispielsweise dann erforderlich sein, wenn Notlagen im Bereich der öffentlichen Gesundheit eintreten oder die Architektur von MyHealth@EU für bestimmte Anwendungsfälle nicht geeignet ist. Beispiele für solche Anwendungsfälle sind die Unterstützung von Impfpassfunktionen, einschließlich des Austauschs von Informationen über Impfkalender oder der Überprüfung von Impfzertifikaten oder anderen gesundheitsbezogenen Zertifikaten. Dies wäre auch wichtig, um zusätzliche Funktionen für die Bewältigung von Krisen im Bereich der öffentlichen Gesundheit einzuführen, wie z. B. die Unterstützung der Kontaktnachverfolgung zwecks Eindämmung von Infektionskrankheiten. Die Anbindung nationaler Kontaktstellen für digitale Gesundheit in Drittländern oder die Interoperabilität mit auf internationaler Ebene eingerichteten digitalen Systemen sollte einer Überprüfung unterzogen werden, um sicherzustellen, dass die nationale Kontaktstelle die technischen Spezifikationen, Datenschutzvorschriften und anderen Anforderungen von MyHealth@EU einhält. Die Entscheidung, eine nationale Kontaktstelle eines Drittlands anzubinden, sollte von den Datenverantwortlichen in der Gruppe der gemeinsam Verantwortlichen für MyHealth@EU getroffen werden.

    (27)Zur Wahrung der Rechte von natürlichen Personen und Angehörigen der Gesundheitsberufe sollten EHR-Systeme, die im Binnenmarkt der Union in Verkehr gebracht werden, in der Lage sein, hochwertige elektronische Gesundheitsdaten sicher zu speichern und zu übermitteln. Dies ist ein wesentlicher Grundsatz des EHDS, um den sicheren und freien Verkehr elektronischer Gesundheitsdaten in der gesamten Union sicherzustellen. Zu diesem Zweck sollte für EHR-Systeme, mit denen eine oder mehrere vorrangige Kategorien elektronischer Gesundheitsdaten verarbeitet werden, eine verbindliche Regelung zur Selbstzertifizierung eingeführt werden, um die Marktfragmentierung zu überwinden und gleichzeitig einen verhältnismäßigen Ansatz sicherzustellen. Mithilfe dieser Selbstzertifizierung sollte für EHR-Systeme die Einhaltung der auf Unionsebene festgelegten grundlegenden Interoperabilitäts- und Sicherheitsanforderungen nachgewiesen werden. In Bezug auf die Sicherheit sollten die grundlegenden Anforderungen spezifische Elemente von EHR-Systemen abdecken, da ihre allgemeineren Sicherheitseigenschaften bereits durch andere Mechanismen wie Schemata für die Cybersicherheitszertifizierung gemäß der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates 48 unterstützt werden sollten.

    (28)Während EHR-Systeme, die vom Hersteller speziell zur Verarbeitung einer oder mehrerer bestimmter Kategorien elektronischer Gesundheitsdaten bestimmt sind, einer verbindlichen Selbstzertifizierung unterliegen sollten, sollten für allgemeine Zwecke bestimmte Softwareanwendungen, auch wenn sie im Bereich der Gesundheitsversorgung eingesetzt werden, nicht als EHR-Systeme betrachtet werden und daher nicht den Bestimmungen in Kapitel III unterliegen.

    (29)Software oder Softwaremodule, die unter die Definition eines Medizinprodukts oder eines Hochrisikosystems der künstlichen Intelligenz (KI) fallen, sollten im Einklang mit der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates 49 und der Verordnung […] des Europäischen Parlaments und des Rates [KI-Gesetz (COM(2021) 206 final)] zertifiziert werden. Die in der vorliegenden Verordnung vorgesehenen grundlegenden Anforderungen an die Interoperabilität sollten nur dann gelten, wenn der Hersteller eines Medizinprodukts oder eines Hochrisiko-KI-Systems, mit dem elektronische Gesundheitsdaten zur Verarbeitung im Rahmen des EHR-Systems bereitgestellt werden, die Interoperabilität mit diesem EHR-System beansprucht. In diesem Fall sollten die Bestimmungen über gemeinsame Spezifikationen für EHR-Systeme auf diese Medizinprodukte und Hochrisiko-KI-Systeme Anwendung finden.

    (30)Zur weiteren Förderung der Interoperabilität und Sicherheit können die Mitgliedstaaten spezifische Vorschriften für die Beschaffung, Erstattung, Finanzierung oder Nutzung von EHR-Systemen auf nationaler Ebene im Zusammenhang mit der Organisation, Erbringung oder Finanzierung von Gesundheitsdiensten beibehalten oder festlegen. Solche spezifischen Vorschriften sollten den freien Verkehr von EHR-Systemen in der Union nicht behindern. Einige Mitgliedstaaten haben eine verbindliche Zertifizierung von EHR-Systemen oder eine verbindliche Interoperabilitätsprüfung für deren Anbindung an nationale digitale Gesundheitsdienste eingeführt. Solche Anforderungen kommen in der Regel bei Beschaffungen zum Tragen, die von Gesundheitsdienstleistern, nationalen oder regionalen Behörden organisiert werden. Die verbindliche Zertifizierung von EHR-Systemen auf Unionsebene sollte eine Ausgangsbasis bilden, die bei Beschaffungen auf nationaler Ebene genutzt werden kann.

    (31)Damit die Patienten ihre Rechte aus dieser Verordnung wirksam wahrnehmen können, sollten Gesundheitsdienstleister die Bestimmungen dieser Verordnung auch dann einhalten, wenn sie ein eigenes EHR-System für ihre internen Tätigkeiten entwickeln und verwenden, ohne es gegen Bezahlung oder Vergütung in Verkehr zu bringen. In solchen Fällen sollten die betreffenden Gesundheitsdienstleister alle für die Hersteller von EHR-Systemen geltenden Anforderungen erfüllen.

    (32)Es ist notwendig, für eine klare und verhältnismäßige Aufteilung der Pflichten zu sorgen, die der Rolle jedes Akteurs im Liefer- und Vertriebsprozess für EHR-Systeme entsprechen. Die Wirtschaftsakteure sollten für die Einhaltung ihrer jeweiligen Rolle in diesem Prozess verantwortlich sein und sicherstellen, dass alle EHR-Systeme, die sie auf dem Markt bereitstellen, die einschlägigen Anforderungen erfüllen.

    (33)Die Einhaltung der grundlegenden Anforderungen an die Interoperabilität und Sicherheit sollte von den Herstellern von EHR-Systemen durch die Umsetzung gemeinsamer Spezifikationen nachgewiesen werden. Zu diesem Zweck sollte die Kommission Durchführungsbefugnisse erhalten, um solche gemeinsamen Spezifikationen für Datensätze, Kodierungssysteme, technische Spezifikationen, einschließlich Standards, Spezifikationen und Profile für den Datenaustausch, sowie Anforderungen und Grundsätze in Bezug auf Sicherheit, Vertraulichkeit, Integrität, Patientensicherheit und Schutz personenbezogener Daten sowie Spezifikationen und Anforderungen im Zusammenhang mit dem Identifizierungsmanagement und der Nutzung der elektronischen Identifizierung festzulegen. Die digitalen Gesundheitsbehörden sollten zur Entwicklung solcher gemeinsamen Spezifikationen beitragen.

    (34)Um eine angemessene und wirksame Durchsetzung der in Kapitel III dieser Verordnung festgelegten Anforderungen und Verpflichtungen sicherzustellen, sollte das mit der Verordnung (EU) 2019/1020 eingeführte System der Marktüberwachung und der Konformität von Produkten gelten. Je nach der auf nationaler Ebene festgelegten Organisation könnten solche Marktüberwachungstätigkeiten entweder von den digitalen Gesundheitsbehörden, die für die ordnungsgemäße Umsetzung von Kapitel II sorgen, oder von einer gesonderten Marktüberwachungsbehörde mit Zuständigkeit für EHR-Systeme durchgeführt werden. Die Benennung digitaler Gesundheitsbehörden als Marktüberwachungsbehörden könnte zwar wichtige praktische Vorteile für Tätigkeiten im Bereich Gesundheit und Pflege mit sich bringen, doch sollten Interessenkonflikte vermieden werden, indem z. B. verschiedene Aufgaben getrennt werden.

    (35)Nutzer von Wellness-Apps, etwa in Form mobiler Anwendungen, sollten über die Fähigkeit dieser Anwendungen informiert werden, an EHR-Systeme oder nationale elektronische Gesundheitslösungen angeschlossen zu werden und Daten an sie zu übertragen, wenn Daten, die von den Wellness-Apps erzeugt werden, für Gesundheitszwecke nützlich sind. Die Fähigkeit dieser Anwendungen, Daten in einem interoperablen Format zu exportieren, ist auch für die Zwecke der Datenübertragbarkeit relevant. Gegebenenfalls sollten die Nutzer über die Konformität solcher Anwendungen mit den Interoperabilitäts- und Sicherheitsanforderungen informiert werden. Allerdings wäre angesichts der großen Zahl von Wellness-Apps und des Umstands, dass bei vielen von ihnen die erstellten Daten für Gesundheitszwecke nur begrenzt relevant sind, ein Zertifizierungssystem für diese Anwendungen nicht verhältnismäßig. Daher sollte eine freiwillige Kennzeichnungsregelung als geeigneter Mechanismus eingeführt werden, um die Einhaltung der Anforderungen für die Nutzer von Wellness-Apps transparent zu machen und sie bei der Wahl geeigneter Wellness-Apps mit hohen Interoperabilitäts- und Sicherheitsstandards zu unterstützen. Die Kommission kann in Durchführungsrechtsakten Einzelheiten zu Form und Inhalt einer solchen Kennzeichnung festlegen. 

    (36)Die Verbreitung von Informationen über zertifizierte EHR-Systeme und mit einer Kennzeichnung (Label) versehene Wellness-Apps ist erforderlich, damit Beschaffer und Nutzer solcher Produkte interoperable Lösungen für ihre spezifischen Bedürfnisse finden können. Daher sollte auf Unionsebene eine Datenbank zu interoperablen EHR-Systemen und Wellness-Apps, die nicht in den Anwendungsbereich der Verordnungen (EU) 2017/745 und […] [KI-Gesetz (COM(2021) 206 final)] fallen, eingerichtet werden, die mit der durch die Verordnung (EU) 2017/745 eingerichteten Europäischen Datenbank für Medizinprodukte (Eudamed) vergleichbar ist. Die Ziele der EU-Datenbank für interoperable EHR-Systeme und Wellness-Apps sollten darin bestehen, die Transparenz insgesamt zu erhöhen, die Überschneidung von Berichtsanforderungen zu vermeiden und den Informationsfluss zu straffen und zu erleichtern. Medizinprodukte und KI-Systeme sollten weiterhin in den bestehenden Datenbanken, die mit der Verordnung (EU) 2017/745 bzw. der Verordnung (EU) Nr. […] [KI-Gesetz (COM(2021) 206 final)] eingerichtet wurden, registriert werden, aber zusätzlich sollte die Einhaltung der Interoperabilitätsanforderungen, soweit vom Hersteller beansprucht, angegeben werden, damit die Beschaffer darüber informiert sind.

    (37)Für die Sekundärnutzung klinischer Daten für Forschung, Innovation, Politikgestaltung, Regulierungszwecke, Patientensicherheit oder die Behandlung anderer natürlicher Personen sollten die durch die Verordnung (EU) 2016/679 für eine Unionsvorschrift gebotenen Möglichkeiten als Grundlage mit Vorschriften und Mechanismen, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen vorsehen, genutzt werden. Die vorliegende Verordnung bildet nach Artikel 9 Absatz 2 Buchstaben g, h, i und j der Verordnung (EU) 2016/679 die Rechtsgrundlage für die Sekundärnutzung von Gesundheitsdaten und legt Garantien für die Verarbeitung von Gesundheitsdaten in Bezug auf rechtmäßige Zwecke, eine vertrauenswürdige Governance für die Gewährung des Zugangs zu Gesundheitsdaten (über Stellen für den Zugang zu Gesundheitsdaten) und die Verarbeitung in einer sicheren Umgebung sowie die in der Datengenehmigung festgelegten Modalitäten für die Datenverarbeitung fest. Gleichzeitig sollte der Datenantragsteller eine Rechtsgrundlage nach Artikel 6 der Verordnung (EU) 2016/679 nachweisen, auf der er gemäß der vorliegenden Verordnung Zugang zu Daten beantragen könnte, und die in Kapitel IV festgelegten Bedingungen erfüllen. Konkreter formuliert begründet die vorliegende Verordnung für die Verarbeitung elektronischer Gesundheitsdaten, die sich gemäß der vorliegenden Verordnung im Besitz des Dateninhabers befinden, die rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 zur Offenlegung der Daten durch den Dateninhaber an Stellen für den Zugang zu Gesundheitsdaten, während die Rechtsgrundlage für die ursprüngliche Verarbeitung (z. B. Durchführung einer Behandlung) unberührt bleibt. Die vorliegende Verordnung erfüllt auch die Bedingungen für eine solche Verarbeitung nach Artikel 9 Absatz 2 Buchstaben h, i und j der Verordnung (EU) 2016/679. Die vorliegende Verordnung überträgt den Stellen für den Zugang zu Gesundheitsdaten Aufgaben im öffentlichen Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 (Betrieb der sicheren Verarbeitungsumgebung, Verarbeitung von Daten vor ihrer Verwendung usw.) und erfüllt die Anforderungen des Artikels 9 Absatz 2 Buchstaben h, i und j der Verordnung (EU) 2016/679. Somit begründet die vorliegende Verordnung in diesem Fall die Rechtsgrundlage nach Artikel 6 der genannten Verordnung und erfüllt die in deren Artikel 9 festgelegten Anforderungen bezüglich der Bedingungen, unter denen elektronische Gesundheitsdaten verarbeitet werden können. Hat der Datennutzer Zugang zu elektronischen Gesundheitsdaten (für die Sekundärnutzung von Daten für einen der in dieser Verordnung festgelegten Zwecke), so sollte er bei seinem Antrag auf Zugang zu elektronischen Gesundheitsdaten gemäß der vorliegenden Verordnung die dafür anwendbare Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe e oder f der Verordnung (EU) 2016/679 nachweisen und erläutern, auf welche spezifische Rechtsgrundlage er sich stützt: auf die geltenden Rechtsvorschriften, wenn die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 ist, oder auf Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679. Stützt sich der Nutzer auf eine Rechtsgrundlage nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e, sollte er auf eine andere Rechtsvorschrift auf EU-Ebene oder nationaler Ebene verweisen, die nicht die vorliegende Verordnung ist und den Nutzer dazu verpflichtet, personenbezogene Gesundheitsdaten zur Erfüllung seiner Aufgaben zu verarbeiten. In Fällen, in denen der Rechtsgrund der Verarbeitung durch den Nutzer Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 ist, sind die entsprechenden Garantien in der vorliegenden Verordnung festgelegt. In diesen Fällen handelt es sich bei den von den Stellen für den Zugang zu Gesundheitsdaten erteilten Datengenehmigungen um Verwaltungsentscheidungen, in denen die Bedingungen für den Datenzugang festgelegt werden.

    (38)Im Zusammenhang mit dem EHDS sind die elektronischen Gesundheitsdaten bereits vorhanden und werden von Gesundheitsdienstleistern, Berufsverbänden, öffentlichen Einrichtungen, Regulierungsbehörden, Forschungseinrichtungen, Versicherern usw. im Rahmen ihrer Tätigkeiten erhoben. Einige Kategorien von Daten werden in erster Linie für die Erbringung von Gesundheitsdienstleistungen erhoben (z. B. elektronische Patientenakten, genetische Daten, Daten zu Krankenversicherungsleistungen usw.), während andere auch für andere Zwecke wie Forschung, Statistik, Patientensicherheit, Regulierungstätigkeiten oder Politikgestaltung erhoben werden (z. B. Krankheitsregister, Register für die Politikgestaltung, Register über Nebenwirkungen von Arzneimitteln oder Medizinprodukten usw.). So stehen beispielsweise in einigen Bereichen, etwa für Krebserkrankungen (Europäisches Krebsinformationssystem) oder seltene Krankheiten (Europäische Plattform für die Registrierung seltener Krankheiten, ERN-Register usw.) europäische Datenbanken zur Verfügung, die die (Weiter-)Verwendung von Daten erleichtern. Diese Daten sollten auch für die Sekundärnutzung verfügbar gemacht werden. Ein Großteil der vorhandenen gesundheitsbezogenen Daten ist jedoch nicht für andere Zwecke nutzbar als für den ursprünglichen Zweck ihrer Erhebung. Dies schränkt Akteure aus Forschung und Innovation, politische Entscheidungsträger, Regulierungsbehörden und Ärzte in ihren Möglichkeiten ein, diese Daten für andere Zwecke wie Forschung, Innovation, Politikgestaltung, Regulierung, Patientensicherheit oder personalisierte Medizin zu verwenden. Damit die Vorteile der Sekundärnutzung elektronischer Gesundheitsdaten voll ausgeschöpft werden können, sollten alle Dateninhaber daran mitwirken, indem sie verschiedene Kategorien elektronischer Gesundheitsdaten, deren Inhaber sie sind, für die Sekundärnutzung zur Verfügung stellen.

    (39)Die Kategorien elektronischer Gesundheitsdaten, die für die Sekundärnutzung verarbeitet werden können, sollten allgemein und flexibel genug sein, um den sich wandelnden Bedürfnissen der Datennutzer gerecht zu werden, aber auf Daten zu Gesundheit oder gesundheitsrelevanten Einflussfaktoren beschränkt bleiben. Dies kann auch einschlägige Daten aus dem Gesundheitssystem (elektronische Patientenakten, Daten zu Krankenversicherungsleistungen, Krankheitsregister, Genomdaten usw.) sowie Daten zu gesundheitsrelevanten Einflussfaktoren einschließen (z. B. Konsum bestimmter Substanzen, Obdachlosigkeit, Krankenversicherung, Mindesteinkommen, beruflicher Status, Verhalten, einschließlich Umweltfaktoren wie Verschmutzung, Strahlung, Umgang mit bestimmten chemischen Stoffen). Auch von Personen selbst erzeugte Daten, z. B. Daten von Medizinprodukten, Wellness-Apps oder anderen tragbaren Geräten und digitalen Gesundheitsanwendungen, können dazugehören. Der Datennutzer, der nach den Bestimmungen der vorliegenden Verordnung Zugang zu Datensätzen erhält, könnte die Daten durch verschiedene Korrekturen, Anmerkungen und andere Verbesserungen anreichern, z. B. durch Ergänzung fehlender oder unvollständiger Daten, wodurch die Genauigkeit, Vollständigkeit oder Qualität der Daten im Datensatz verbessert würde. Um die Verbesserung der ursprünglichen Datenbank und die anschließende Nutzung der angereicherten Datensätze zu unterstützen, sollten die so verbesserten Datensätze dem ursprünglichen Dateninhaber zusammen mit einer Beschreibung der Änderungen kostenlos zur Verfügung gestellt werden. Der Dateninhaber sollte den neuen Datensatz verfügbar machen oder, wenn dies nicht erfolgt, der Stelle für den Zugang zu Gesundheitsdaten eine Begründung dafür mitteilen, z. B. wenn die Anreicherung von geringer Qualität ist. Auch für nicht personenbezogene elektronische Daten sollte die Sekundärnutzung sichergestellt werden. Insbesondere Genomdaten zu Krankheitserregern haben einen erheblichen Wert für die menschliche Gesundheit, wie sich während der COVID19-Pandemie gezeigt hat. Der zeitnahe Zugang zu solchen Daten und ihr frühzeitiger Austausch haben sich als wesentlich für die rasche Entwicklung von Nachweismethoden, medizinischen Gegenmaßnahmen und Reaktionen auf Bedrohungen der öffentlichen Gesundheit erwiesen. Der größte Nutzen aus der Arbeit an der Genomik von Krankheitserregern wird erzielt, wenn in den Arbeitsbereichen öffentliche Gesundheit und Forschung Datensätze gemeinsam genutzt und Informationen und Verbesserungsvorschläge ausgetauscht werden.

    (40)Bei den Dateninhabern kann es sich um öffentliche, nicht gewinnorientierte oder private Gesundheits- oder Pflegedienstleister, um öffentliche, nicht gewinnorientierte oder private Organisationen, Verbände oder andere Einrichtungen oder um öffentliche und private Forschungseinrichtungen im Gesundheitsbereich handeln, die die oben genannten Kategorien von Gesundheitsdaten und gesundheitsbezogenen Daten verarbeiten. Um eine unverhältnismäßige Belastung für kleine Unternehmen zu vermeiden, werden Kleinstunternehmen von der Verpflichtung ausgenommen, ihre Daten für die Sekundärnutzung im Rahmen des EHDS zur Verfügung zu stellen. Die öffentlichen oder privaten Einrichtungen erhalten häufig Unterstützung aus öffentlichen Mitteln der Mitgliedstaaten oder der Union für die Erhebung und Verarbeitung elektronischer Gesundheitsdaten für Forschung, Statistik (amtlich und nicht amtlich) oder ähnliche Zwecke, auch in Bereichen, in denen die Erhebung solcher Daten fragmentiert oder schwierig ist, wie seltene Krankheiten, Krebs usw. Diese Daten, die von Dateninhabern mit Unterstützung aus öffentlichen Mitteln der Union oder der Mitgliedstaaten erhoben und verarbeitet werden, sollten den Stellen für den Zugang zu Gesundheitsdaten von den Dateninhabern zur Verfügung gestellt werden, um die Wirkung der öffentlichen Investitionen zu maximieren und Forschung, Innovation, Patientensicherheit oder Politikgestaltung zum Nutzen der Gesellschaft zu unterstützen. In einigen Mitgliedstaaten spielen private Einrichtungen, darunter private Gesundheitsdienstleister und Berufsverbände, eine zentrale Rolle im Gesundheitswesen. Die Gesundheitsdaten, deren Inhaber solche Einrichtungen sind, sollten ebenfalls für die Sekundärnutzung zur Verfügung gestellt werden. Gleichzeitig sind Daten, die besonderen rechtlichen Schutz genießen, wie etwa geistiges Eigentum von Medizinprodukte- oder Pharmaunternehmen, häufig durch urheberrechtliche oder gleichwertige Bestimmungen geschützt. Behörden und Regulierungsstellen sollten jedoch Zugang zu solchen Daten haben, beispielsweise im Falle von Pandemien, um fehlerhafte Geräte überprüfen und die menschliche Gesundheit schützen zu können. Bei früheren Vorfällen, aus denen sich schwerwiegende Risiken für die öffentliche Gesundheit ergaben (z. B. der Brustimplantatebetrug des Unternehmens PIP), erwies es sich als sehr schwierig für die Behörden, Zugang zu solchen Daten zu erhalten, um zu ermitteln, welche Ursachen zu den Mängeln bei einigen Produkten geführt hatten und was die Hersteller darüber wussten. Die COVID19-Pandemie hat verdeutlicht, dass auch für politische Entscheidungsträger Schwierigkeiten beim Zugang zu Gesundheitsdaten und anderen gesundheitsbezogenen Daten bestehen. Diese Daten sollten für öffentliche und regulatorische Tätigkeiten zur Verfügung gestellt werden, um öffentliche Stellen bei der Erfüllung ihres rechtlichen Auftrags zu unterstützen, während, soweit erforderlich und möglich, der Schutz kommerzieller Daten gewahrt wird. Hinsichtlich der Sekundärnutzung von Gesundheitsdaten sollten spezifische Vorschriften festgelegt werden. Den Datenaltruismus betreffende Tätigkeiten können von verschiedenen Stellen im Rahmen der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] und unter Berücksichtigung der Besonderheiten des Gesundheitswesens durchgeführt werden.

    (41)Die Sekundärnutzung von Gesundheitsdaten im Rahmen des EHDS sollte es öffentlichen, privaten, nicht gewinnorientierten Einrichtungen sowie einzelnen Forschern ermöglichen, für die in der vorliegenden Verordnung festgelegten Zwecke Zugang zu Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Bildung, Patientensicherheit, Regulierungstätigkeiten oder personalisierte Medizin zu erhalten. Der Zugang zu Daten für die Sekundärnutzung sollte dem allgemeinen Interesse der Gesellschaft dienen. Zu den Tätigkeiten, für die der Zugang im Rahmen dieser Verordnung rechtmäßig ist, kann die Nutzung elektronischer Gesundheitsdaten durch öffentliche Stellen für die Wahrnehmung ihrer Aufgaben gehören, darunter öffentliche Aufgaben wie Gesundheitsüberwachung, Planung und Berichterstattung, Gestaltung der Gesundheitspolitik sowie Sicherstellung der Patientensicherheit, der Qualität der Versorgung und der Nachhaltigkeit der Gesundheitssysteme. Für öffentliche Einrichtungen und Organe, Einrichtungen und sonstige Stellen der Union kann der regelmäßige Zugang zu elektronischen Gesundheitsdaten über einen längeren Zeitraum erforderlich sein, auch zur Erfüllung ihres Mandats nach Maßgabe dieser Verordnung. Öffentliche Stellen können solche Forschungstätigkeiten unter Einbeziehung von Dritten, einschließlich Unterauftragnehmern, durchführen, solange die öffentliche Stelle jederzeit die Aufsicht über diese Tätigkeiten ausübt. Mit der Bereitstellung der Daten sollten auch Tätigkeiten unterstützt werden, die mit wissenschaftlicher Forschung (einschließlich privater Forschung), Entwicklung und Innovation oder der Herstellung von Waren und Dienstleistungen für den Gesundheits- oder Pflegesektor zusammenhängen, wie Innovationstätigkeiten oder das Trainieren von KI-Algorithmen, die die Gesundheit natürlicher Personen schützen oder Pflegetätigkeiten unterstützen könnten. In einigen Fällen könnten die Informationen zu bestimmten natürlicher Personen (z. B. Genomdaten natürlicher Personen mit einer bestimmten Krankheit) die Diagnose oder Behandlung anderer natürlicher Personen unterstützen. Für öffentliche Stellen ist es erforderlich, über den für Notlagen ausgelegten Geltungsbereich von Kapitel V der Verordnung […] [Datengesetz (COM(2022) 68 final)] hinauszugehen. Die öffentlichen Stellen können jedoch die Stellen für den Zugang zu Gesundheitsdaten um Unterstützung bei der Verarbeitung oder Verlinkung von Daten ersuchen. Die vorliegende Verordnung sieht zwar einen Kanal vor, über den öffentliche Stellen Zugang zu Informationen erhalten können, die sie zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben benötigen, erweitert jedoch nicht das Mandat dieser öffentlichen Stellen. Jedes Bestreben, die Daten für Maßnahmen zum Nachteil der betroffenen natürlichen Person zu verwenden, Versicherungsbeiträge zu erhöhen, Produkte oder Behandlungen zu bewerben oder schädliche Produkte zu entwickeln, sollte verboten werden.

    (42)Die Einrichtung einer oder mehrerer Stellen für den Zugang zu Gesundheitsdaten, die den Zugang zu elektronischen Gesundheitsdaten in den Mitgliedstaaten unterstützen, ist ein wesentliches Element zur Förderung der Sekundärnutzung gesundheitsbezogener Daten. Die Mitgliedstaaten sollten daher eine oder mehrere Stellen für den Zugang zu Gesundheitsdaten einrichten, um beispielsweise ihrer verfassungsrechtlichen, organisatorischen und administrativen Struktur Rechnung zu tragen. Bei mehr als einer Stelle für den Zugang zu Gesundheitsdaten sollte jedoch eine von ihnen als Koordinierungsstelle benannt werden. Richtet ein Mitgliedstaat mehrere Stellen für den Zugang zu Gesundheitsdaten ein, so sollte er auf nationaler Ebene Vorschriften festlegen, die die koordinierte Beteiligung dieser Stellen am EHDS-Ausschuss sicherstellen. Insbesondere sollte der betreffende Mitgliedstaat eine Stelle für den Zugang zu Gesundheitsdaten bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Stellen fungiert, und für eine rasche und reibungslose Zusammenarbeit mit den anderen Stellen für den Zugang zu Gesundheitsdaten, dem EHDS-Ausschuss und der Kommission sorgen. Die Stellen für den Zugang zu Gesundheitsdaten können sich hinsichtlich Organisation und Größe unterscheiden (von einer speziell für den Zweck eingerichteten eigenständigen Organisation bis zu einem Referat oder einer Abteilung in einer bestehenden Organisation), sollten aber dieselben Funktionen, Zuständigkeiten und Fähigkeiten haben. Stellen für den Zugang zu Gesundheitsdaten sollten ihre Entscheidungen über den Zugang zu elektronischen Daten für die Sekundärnutzung unbeeinflusst treffen. Die Unabhängigkeit von Stellen für den Zugang zu Gesundheitsdaten sollte jedoch nicht bedeuten, dass sie keinen Kontroll- oder Überwachungsmechanismen in Bezug auf ihre finanziellen Ausgaben unterliegen oder einer gerichtlichen Überprüfung unterzogen werden können. Jede Stelle für den Zugang zu Gesundheitsdaten sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur so ausgestattet werden, wie es für die wirksame Wahrnehmung ihrer Aufgaben, einschließlich der Zusammenarbeit mit anderen Stellen für den Zugang zu Gesundheitsdaten in der Union, erforderlich ist. Jede Stelle für den Zugang zu Gesundheitsdaten sollte über einen eigenen, öffentlichen Jahreshaushalt verfügen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein kann. Für einen besseren Zugang zu Gesundheitsdaten und ergänzend zu Artikel 7 Absatz 3 der Verordnung […] des Europäischen Parlaments und des Rates [Daten-Governance-Gesetz (COM(2020) 767 final)] sollten die Mitgliedstaaten den Stellen für den Zugang zu Gesundheitsdaten die Befugnis übertragen, Entscheidungen über den Zugang zu Gesundheitsdaten und deren Sekundärnutzung zu treffen. Dies könnte dadurch geschehen, dass den von den Mitgliedstaaten nach Artikel 7 Absatz 1 der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] benannten zuständigen Stellen neue Aufgaben zugewiesen werden oder dass bestehende oder neue sektorale Stellen bestimmt werden, die für die genannten Aufgaben im Zusammenhang mit dem Zugang zu Gesundheitsdaten zuständig sind.

    (43)Die Stellen für den Zugang zu Gesundheitsdaten sollten die Anwendung von Kapitel IV der vorliegenden Verordnung überwachen und zu seiner einheitlichen Anwendung in der gesamten Union beitragen. Zu diesem Zweck sollten die Stellen für den Zugang zu Gesundheitsdaten untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit getroffen werden muss. Die Stellen für den Zugang zu Gesundheitsdaten sollten auch mit Interessengruppen, einschließlich Patientenorganisationen, zusammenarbeiten. Da die Sekundärnutzung von Gesundheitsdaten die Verarbeitung personenbezogener Gesundheitsdaten einschließt, finden die einschlägigen Bestimmungen der Verordnung (EU) 2016/679 Anwendung, und die Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 sollten mit der Durchsetzung dieser Vorschriften beauftragt werden. Darüber hinaus sollten die Stellen für den Zugang zu Gesundheitsdaten – da Gesundheitsdaten sensible Daten darstellen und im Sinne einer Mitwirkungspflicht – die Datenschutzbehörden über alle Probleme im Zusammenhang mit der Datenverarbeitung für die Sekundärnutzung, einschließlich Sanktionen, informieren. Zusätzlich zu den Aufgaben, die zur Sicherstellung einer wirksamen Sekundärnutzung von Gesundheitsdaten erforderlich sind, sollte die Stelle für den Zugang zu Gesundheitsdaten darauf hinarbeiten, die Verfügbarkeit zusätzlicher Gesundheitsdatensätze auszuweiten, die Entwicklung von KI im Gesundheitswesen zu unterstützen und die Entwicklung gemeinsamer Standards zu fördern. Sie sollten erprobte Techniken nutzen, die sicherstellen, dass die elektronischen Gesundheitsdaten in einer Weise verarbeitet werden, bei der die Privatsphäre in Bezug auf die Informationen in den Daten, deren Sekundärnutzung erlaubt wird, gewahrt bleibt; dazu gehören auch Techniken zur Pseudonymisierung, Anonymisierung, Generalisierung, Unterdrückung und Randomisierung personenbezogener Daten; Die Stellen für den Zugang zu Gesundheitsdaten können Datensätze so bearbeiten, dass sie die Anforderungen der Datennutzer entsprechend der erteilten Datengenehmigung erfüllen. Dazu gehören auch Vorschriften für die Anonymisierung von Mikrodatensätzen.

    (44)Angesichts des Verwaltungsaufwands, der den Stellen für den Zugang zu Gesundheitsdaten mit der Unterrichtung der natürlichen Personen, deren Daten in Datenprojekten in einer sicheren Verarbeitungsumgebung verwendet werden, entstehen würde, sollten die in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 vorgesehenen Ausnahmen gelten. Demzufolge sollten die für den Zugang zu Gesundheitsdaten zuständigen Stellen allgemeine Informationen über die Bedingungen für die Sekundärnutzung ihrer Gesundheitsdaten bereitstellen, einschließlich der in Artikel 14 Absatz 1 aufgeführten Informationen, und, falls dies zur Sicherstellung einer fairen und transparenten Verarbeitung erforderlich ist, der Informationen nach Artikel 14 Absatz 2 der Verordnung (EU) 2016/679, z. B. Informationen über den Zweck und die verarbeiteten Datenkategorien. Ausnahmen von dieser Vorschrift sollten gelten, wenn die Forschungsergebnisse die Behandlung der betreffenden natürlichen Person unterstützen könnten. In diesem Fall sollte der Datennutzer die Stelle für den Zugang zu Gesundheitsdaten informieren, die ihrerseits die betroffene Person oder die zuständigen Angehörigen der Gesundheitsberufe informieren sollte. Natürliche Personen sollten über die Website der Stelle für den Zugang zu Gesundheitsdaten auf die Ergebnisse verschiedener Forschungsprojekte zugreifen können, idealerweise in einer leicht durchsuchbaren Umgebung. Die Liste der Datengenehmigungen sollte ebenfalls veröffentlicht werden. Im Sinne der Transparenz ihrer Arbeit sollte jede Stelle für den Zugang zu Gesundheitsdaten einen jährlichen Tätigkeitsbericht veröffentlichen, der einen Überblick über ihre Tätigkeiten enthält.

    (45)In der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] sind die allgemeinen Vorschriften für den Umgang mit Datenaltruismus festgelegt. Gleichzeitig sollten, da im Gesundheitswesen mit sensiblen Daten umgegangen wird, im Wege des in der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] vorgesehenen Regelwerks zusätzliche Kriterien festgelegt werden. Sieht ein solches Regelwerk die Nutzung einer sicheren Verarbeitungsumgebung für diesen Sektor vor, so sollte diese Umgebung den in der vorliegenden Verordnung festgelegten Kriterien entsprechen. Die Stellen für den Zugang zu Gesundheitsdaten sollten mit den gemäß der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] benannten Stellen zusammenarbeiten, um die Tätigkeit datenaltruistischer Organisationen im Gesundheits- oder Pflegesektor zu überwachen.

    (46)Um die Sekundärnutzung elektronischer Gesundheitsdaten zu unterstützen, sollten die Dateninhaber davon absehen, die Daten zurückzuhalten, ungerechtfertigte Gebühren zu verlangen, die nicht transparent sind oder in keinem angemessenen Verhältnis zu den Kosten für die Bereitstellung von Daten (und gegebenenfalls zu den Grenzkosten für die Datenerhebung) stehen, von den Datennutzern zu verlangen, sie als Mitherausgeber ihrer Forschungsarbeiten zu nennen, oder andere Praktiken anzuwenden, die Datennutzer von Datenanfragen abhalten könnten. Ist für die Erteilung einer Datengenehmigung eine Ethikprüfung erforderlich, so sollte diese Prüfung einzelfallbezogen erfolgen. Andererseits verfügen die Organe, Einrichtungen und sonstigen Stellen der Union, einschließlich der EMA, des ECDC und der Kommission, über sehr wichtige und aufschlussreiche Daten. Der Zugang zu den Daten dieser Organe, Einrichtungen und sonstigen Stellen sollte über die für den Zugang zu Gesundheitsdaten verantwortliche Stelle, der der Verantwortliche angehört, gewährt werden.

    (47)Stellen für den Zugang zu Gesundheitsdaten und einzelne Dateninhaber sollten für ihre Arbeit Gebühren auf der Grundlage der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] erheben dürfen. Bei der Höhe dieser Gebühren kann der Situation und den Interessen von KMU, einzelnen Forschern oder öffentlichen Einrichtungen Rechnung getragen werden. Die Dateninhaber sollten auch Gebühren für die Bereitstellung von Daten erheben dürfen. Diese Gebühren sollten sich an den Kosten für die Erbringung dieser Dienstleistungen orientieren. Private Dateninhaber können auch Gebühren für die Erfassung von Daten erheben. Um ein harmonisiertes Konzept für die Gebührenpolitik und struktur sicherzustellen, kann die Kommission Durchführungsrechtsakte erlassen. Für die nach der vorliegenden Verordnung erhobenen Gebühren sollten die Bestimmungen des Artikels 10 der Verordnung [Datengesetz (COM(2022) 68 final)] gelten.

    (48)Um die Durchsetzung der Vorschriften über die Sekundärnutzung elektronischer Gesundheitsdaten zu verbessern, sollten geeignete Maßnahmen getroffen werden, die für den Fall, dass Datennutzer oder inhaber ihren Verpflichtungen nicht nachkommen, Sanktionen oder den vorübergehenden oder endgültigen Ausschluss dieser Datennutzer oder inhaber aus dem EHDS-Rahmen nach sich ziehen können. Die Stelle für den Zugang zu Gesundheitsdaten sollte befugt sein, die Einhaltung der Vorschriften zu überprüfen, und den Datennutzern und inhabern die Möglichkeit einräumen, auf etwaige Feststellungen zu antworten und Verstöße abzustellen. Für die Verhängung von Sanktionen sollte es angemessene Verfahrensgarantien geben, die mit den allgemeinen Grundsätzen des Rechts des betreffenden Mitgliedstaats, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, im Einklang stehen.

    (49)Angesichts der Sensibilität elektronischer Gesundheitsdaten ist es erforderlich, die Risiken für die Privatsphäre natürlicher Personen durch Anwendung des Grundsatzes der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 zu verringern. Daher sollte, soweit machbar, auf Anfrage des Datennutzers die Verwendung anonymisierter elektronischer Gesundheitsdaten, die keine personenbezogenen Daten enthalten, ermöglicht werden. Wenn der Datennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, sollte er in seinem Antrag eindeutig begründen, warum für die geplante Datenverarbeitung diese Art von Daten erforderlich ist. Die personenbezogenen elektronischen Gesundheitsdaten sollten nur in pseudonymisiertem Format zur Verfügung gestellt werden, und der Kodierungsschlüssel darf sich nur bei der Stelle für den Zugang zu Gesundheitsdaten befinden. Datennutzer dürfen nicht versuchen, die Identität natürlicher Personen aus den nach dieser Verordnung bereitgestellten Datensätzen zu rekonstruieren, vorbehaltlich verwaltungsrechtlicher oder möglicher strafrechtlicher Sanktionen, sofern dies in den nationalen Rechtsvorschriften vorgesehen ist. Dies sollte jedoch nicht verhindern, dass die Datennutzer in Fällen, in denen die Ergebnisse eines Projekts, das auf der Grundlage einer Datengenehmigung durchgeführt wird, einen Nutzen für oder Auswirkungen auf die Gesundheit einer betroffenen natürlichen Person haben (z. B. Entdeckung von Therapien oder von Risikofaktoren für die Entwicklung einer bestimmten Krankheit), die Stelle für den Zugang zu Gesundheitsdaten darüber informieren, die ihrerseits die betreffende(n) natürliche(n) Person(en) informiert. Darüber hinaus kann der Datenantragsteller die für den Zugang zu Gesundheitsdaten zuständigen Stellen ersuchen, auf eine Datenanfrage zu antworten, auch in statistischer Form. In diesem Fall würden die Datennutzer keine Gesundheitsdaten verarbeiten, und die Stelle für den Zugang zu Gesundheitsdaten bliebe alleiniger Verantwortlicher für die Daten, die zur Beantwortung der Datenanfrage erforderlich sind.

    (50)Um sicherzustellen, dass alle für den Zugang zu Gesundheitsdaten zuständigen Stellen Genehmigungen in ähnlicher Weise ausstellen, ist es erforderlich, für ähnliche Anfragen in verschiedenen Mitgliedstaaten ein einheitliches Standardverfahren für die Erteilung von Datengenehmigungen festzulegen. Der Antragsteller sollte den Stellen für den Zugang zu Gesundheitsdaten verschiedene Informationen zur Verfügung stellen, die der Stelle bei der Bewertung des Antrags und bei der Entscheidung helfen, ob der Antragsteller eine Datengenehmigung für die Sekundärnutzung von Daten erhalten kann, wobei auch zwischen den verschiedenen Stellen für den Zugang zu Gesundheitsdaten für Kohärenz zu sorgen ist. Diese Informationen umfassen: die Rechtsgrundlage für den Antrag auf Zugang zu Daten gemäß der Verordnung (EU) 2016/679 (Erfüllung einer gesetzlich übertragenen Aufgabe im öffentlichen Interesse oder Bestehen eines berechtigten Interesses), die Zwecke der Datenverwendung, eine Beschreibung der benötigten Daten und möglicher Datenquellen, eine Beschreibung der für die Verarbeitung der Daten erforderlichen Tools sowie die erforderlichen Merkmale der sicheren Umgebung. Werden Daten in pseudonymisiertem Format angefordert, sollte der Datenantragsteller erläutern, warum dies notwendig ist und warum anonyme Daten nicht ausreichen würden. Eine Ethikprüfung kann auf der Grundlage des nationalen Rechts verlangt werden. Die Stellen für den Zugang zu Gesundheitsdaten und gegebenenfalls die Dateninhaber sollten die Datennutzer bei der Auswahl der geeigneten Datensätze oder Datenquellen für den vorgesehenen Zweck der Sekundärnutzung unterstützen. Benötigt der Antragsteller anonymisierte statistische Daten, so sollte er eine Datenanfrage stellen, in der die Stelle für den Zugang zu Gesundheitsdaten ersucht wird, direkt das Ergebnis zu übermitteln. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Stellen für den Zugang zu Gesundheitsdaten sicherstellen, indem sie die Harmonisierung der Anträge auf Datenzugang sowie der Datenanfragen unterstützt.

    (51)Angesichts ihrer begrenzten Ressourcen können die Stellen für den Zugang zu Gesundheitsdaten Priorisierungsregeln anwenden, z. B. die Priorisierung öffentlicher Einrichtungen gegenüber privaten Einrichtungen; innerhalb derselben Prioritätskategorie sollten sie jedoch weder bestimmte Einrichtungen im eigenen Land noch Einrichtungen aus anderen Mitgliedstaaten bevorzugen oder benachteiligen. Der Datennutzer sollte in der Lage sein, die Dauer der Datengenehmigung zu verlängern, um beispielsweise Prüfern wissenschaftlicher Veröffentlichungen Zugang zu den Datensätzen zu gewähren oder eine zusätzliche Analyse des Datensatzes auf der Grundlage der ersten Erkenntnisse zu ermöglichen. Dafür wäre eine Änderung der Datengenehmigung erforderlich und kann eine Zusatzgebühr erhoben werden. Allerdings sollten diese zusätzlichen Verwendungen des Datensatzes in allen Fällen aus der Datengenehmigung hervorgehen. Vorzugsweise sollte der Datennutzer sie in seinem Erstantrag auf Erteilung der Datengenehmigung angeben. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Stellen für den Zugang zu Gesundheitsdaten sicherstellen, indem sie die Harmonisierung der Datengenehmigungen unterstützt.

    (52)Wie die COVID19-Krise gezeigt hat, benötigen die Organe, Einrichtungen und sonstigen Stellen der Union, insbesondere die Kommission, längerfristig und wiederkehrend Zugang zu Gesundheitsdaten. Dies trifft nicht nur unter besonderen Umständen in Krisenzeiten zu, sondern auch, wenn es darum geht, regelmäßig wissenschaftliche Erkenntnisse und technische Unterstützung für die Politik der Union bereitzustellen. Der Zugang zu diesen Daten kann in bestimmten Mitgliedstaaten erforderlich sein oder im gesamten Gebiet der Union.

    (53)Bei Anträgen auf Zugang zu elektronischen Gesundheitsdaten, die von einem einzigen Dateninhaber in einem einzigen Mitgliedstaat gestellt werden, und zur Verringerung des Verwaltungsaufwands für die Stellen für den Zugang zu Gesundheitsdaten sollte der Datennutzer diese Daten direkt vom Dateninhaber anfordern können, und der Dateninhaber sollte in der Lage sein, bei der Ausstellung einer Datengenehmigung alle Anforderungen und Garantien im Zusammenhang mit einer solchen Anfrage und einer solchen Genehmigung einzuhalten. Länderübergreifende Anfragen und Anfragen, die die Zusammenstellung von Datensätzen mehrerer Dateninhaber erfordern, sollten immer über Stellen für den Zugang zu Gesundheitsdaten erfolgen. Der Dateninhaber sollte die Stellen für den Zugang zu Gesundheitsdaten über alle von ihm erteilten Datengenehmigungen oder beantworteten Datenanfragen informieren.

    (54)Angesichts der Sensibilität elektronischer Gesundheitsdaten sollten die Datennutzer keinen uneingeschränkten Zugang zu diesen Daten haben. Der Zugang zu den angeforderten elektronischen Gesundheitsdaten für die Sekundärnutzung sollte über eine sichere Verarbeitungsumgebung erfolgen. Um strenge technische Vorkehrungen und Sicherheitsgarantien für die elektronischen Gesundheitsdaten sicherzustellen, sollte die Stelle für den Zugang zu Gesundheitsdaten oder, wo zutreffend, der einzige Dateninhaber den Zugang zu diesen Daten in einer sicheren Verarbeitungsumgebung gewähren, wobei die hohen technischen und sicherheitsbezogenen Standards gemäß dieser Verordnung einzuhalten sind. Einige Mitgliedstaaten haben Maßnahmen ergriffen, um solche sicheren Umgebungen in Europa einzurichten. Die Verarbeitung personenbezogener Daten in einer solchen sicheren Umgebung sollte mit der Verordnung (EU) 2016/679 im Einklang stehen, einschließlich – wenn die sichere Umgebung von einem Dritten verwaltet wird – der Anforderungen in Artikel 28 und gegebenenfalls in Kapitel V. Eine solche sichere Verarbeitungsumgebung sollte die mit den Verarbeitungstätigkeiten verbundenen Datenschutzrisiken verringern und verhindern, dass elektronische Gesundheitsdaten direkt an die Datennutzer übermittelt werden. Die Stelle für den Zugang zu Gesundheitsdaten oder der Dateninhaber, der diesen Dienst erbringt, sollte jederzeit die Kontrolle über den Zugang zu den elektronischen Gesundheitsdaten behalten, der den Datennutzern entsprechend den Bedingungen der erteilten Datengenehmigung gewährt wird. Nur nicht personenbezogene elektronische Gesundheitsdaten, die keine elektronischen Gesundheitsdaten enthalten, sollten von den Datennutzern aus einer solchen sicheren Verarbeitungsumgebung extrahiert werden. Somit stellt es eine wesentliche Schutzmaßnahme dar, die Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer elektronischen Gesundheitsdaten zu Zwecken der Sekundärnutzung zu wahren. Die Kommission sollte die Mitgliedstaaten bei der Entwicklung gemeinsamer Sicherheitsstandards unterstützen, um die Sicherheit und Interoperabilität der verschiedenen sicheren Umgebungen zu fördern.

    (55)Für die Verarbeitung elektronischer Gesundheitsdaten im Rahmen einer erteilten Genehmigung sollten die für den Zugang zu Gesundheitsdaten zuständigen Stellen und die Datennutzer gemeinsam Verantwortliche im Sinne des Artikels 26 der Verordnung (EU) 2016/679 sein, was bedeutet, dass die Pflichten der gemeinsam Verantwortlichen gemäß der genannten Verordnung gelten. Um die für den Zugang zu Gesundheitsdaten zuständigen Stellen und Datennutzer zu unterstützen, sollte die Kommission im Wege eines Durchführungsrechtsakts ein Muster für die zwischen ihnen als gemeinsam Verantwortliche zu treffende Vereinbarung bereitstellen. Um einen inklusiven und nachhaltigen Rahmen für die länderübergreifende Sekundärnutzung elektronischer Gesundheitsdaten zu schaffen, sollte eine grenzüberschreitende Infrastruktur eingerichtet werden. HealthData@EU sollte die Sekundärnutzung elektronischer Gesundheitsdaten beschleunigen und gleichzeitig die Rechtssicherheit erhöhen, die Privatsphäre natürlicher Personen wahren und interoperabel sein. Aufgrund der Sensibilität von Gesundheitsdaten sollten nach Möglichkeit Grundsätze wie „Datenschutz durch Technikgestaltung“ und „Besser die Fragen zu den Daten bringen, statt die Daten selbst zu übertragen“ eingehalten werden. Zur Teilnahme an HealthData@EU könnten Stellen für den Zugang zu Gesundheitsdaten, Forschungsinfrastrukturen, die gemäß der Verordnung (EG) Nr. 723/2009 des Rates 50 als Konsortium für eine europäische Forschungsinfrastruktur (European Research Infrastructure Consortium, ERIC) gegründet wurden, oder ähnliche Strukturen, die durch andere Rechtsvorschriften der Union geschaffen wurden, sowie andere Arten von Einrichtungen, einschließlich Infrastrukturen im Rahmen des Europäischen Strategieforums für Forschungsinfrastrukturen (European Strategy Forum on Research Infrastructures, ESFRI) und Infrastrukturen unter dem Dach der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) befugt werden. Andere befugte Teilnehmer sollten für die Teilnahme an HealthData@EU die Genehmigung der Gruppe der gemeinsam Verantwortlichen einholen. Andererseits sollte HealthData@EU die Sekundärnutzung verschiedener Kategorien elektronischer Gesundheitsdaten ermöglichen, einschließlich der Verknüpfung der Gesundheitsdaten mit Daten aus anderen Datenräumen wie Umwelt, Landwirtschaft, Soziales usw. Die Kommission könnte im Rahmen von HealthData@EU eine Reihe von Diensten bereitstellen, einschließlich der Unterstützung des Informationsaustauschs zwischen den für den Zugang zu Gesundheitsdaten zuständigen Stellen und befugten Teilnehmern bei der Bearbeitung von Anträgen auf grenzüberschreitenden Zugang, der Pflege von Katalogen der über die Infrastruktur verfügbaren elektronischen Gesundheitsdaten, der Auffindbarkeit von Netzen und Abfragen von Metadaten sowie von Konnektivitäts- und Compliance-Diensten. Die Kommission kann auch eine sichere Umgebung einrichten, die es ermöglicht, auf Antrag der Verantwortlichen Daten aus verschiedenen nationalen Infrastrukturen zu übermitteln und zu analysieren. Die digitale Strategie der Kommission fördert die Verknüpfung der verschiedenen gemeinsamen europäischen Datenräume. Im Zusammenhang mit dem Gesundheitswesen kann die Interoperabilität mit Bereichen wie Umwelt, Soziales und Landwirtschaft für zusätzliche Erkenntnisse über Gesundheitsdeterminanten von Bedeutung sein. Im Interesse der IT-Effizienz, der Rationalisierung und der Interoperabilität des Datenaustauschs sollten die bestehenden Systeme für die gemeinsame Datennutzung so weit wie möglich weiterverwendet werden, z. B. das technische System, das für den Austausch von Nachweisen nach dem Grundsatz der einmaligen Erfassung („Once Only Principle“) im Rahmen der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates 51 eingerichtet wurde.

    (56)Bei grenzüberschreitenden Registern oder Datenbanken wie den Registern der Europäischen Referenznetzwerke für seltene Krankheiten, die Daten von verschiedenen Gesundheitsdienstleistern in mehreren Mitgliedstaaten erhalten, sollte die für den Zugang zu Gesundheitsdaten verantwortliche Stelle, der der Koordinator des Registers angehört, für die Gewährung des Zugangs zu den Daten zuständig sein.

    (57)Das Genehmigungsverfahren für den Zugang zu personenbezogenen Gesundheitsdaten in verschiedenen Mitgliedstaaten kann für Datennutzer repetitiv und umständlich sein. Soweit möglich sollten Synergien geschaffen werden, um den Aufwand und die Hindernisse für die Datennutzer zu verringern. Dieses Ziel lässt sich unter anderem dadurch erreichen, dass der Grundsatz der einmaligen Antragstellung („Single Application Principle“) befolgt wird, d. h. der Datennutzer holt mit einem einzigen Antrag die Genehmigung mehrerer Stellen für den Zugang zu Gesundheitsdaten in verschiedenen Mitgliedstaaten ein.

    (58)Die Stellen für den Zugang zu Gesundheitsdaten sollten Informationen über die verfügbaren Datensätze und deren Merkmale bereitstellen, damit die Datennutzer grundlegende Fakten über den Datensatz in Erfahrung bringen und deren mögliche Relevanz für ihre Zwecke beurteilen können. Aus diesem Grund sollte jeder Datensatz zumindest Informationen über die Quelle, die Art der Daten und die Bedingungen für die Bereitstellung der Daten enthalten. Dementsprechend sollte ein EU-Datensatzkatalog erstellt werden, um die Auffindbarkeit der im EHDS verfügbaren Datensätze zu erleichtern, Dateninhaber bei der Veröffentlichung ihrer Datensätze zu unterstützen, alle Interessenträger, einschließlich der breiten Öffentlichkeit, auch unter Berücksichtigung von Menschen mit Behinderungen, über die im EHDS abgelegten Datensätze zu informieren (z. B. Datenqualitäts- und nutzenlabels, Datensatz-Auskunftsblätter) und für die Datennutzer aktuelle Informationen über Datenqualität und nutzen der Datensätze bereitzustellen.

    (59)Informationen über die Qualität und den Nutzwert von Datensätzen erhöhen den Wert der Ergebnisse datenintensiver Forschung und Innovation erheblich und fördern gleichzeitig eine faktengestützte Entscheidungsfindung in Regulierung und Politik. Die Verbesserung der Qualität und des Nutzwerts von Datensätzen durch fundierte Entscheidungen der Kunden sowie die Harmonisierung der diesbezüglichen Anforderungen auf Unionsebene unter Berücksichtigung der auf Unions- und internationaler Ebene bestehenden Normen, Leitlinien und Empfehlungen für die Datenerhebung und den Datenaustausch (d. h. FAIR-Prinzipien: Findable, Accessible, Interoperable and Reusable – auffindbar, zugänglich, interoperabel und wiederverwendbar), kommt auch Dateninhabern, Angehörigen der Gesundheitsberufe, natürlichen Personen und der Wirtschaft der Union insgesamt zugute. Ein Datenqualitäts- und nutzenlabel für Datensätze würde die Datennutzer über die qualitäts- und nutzwertbezogenen Merkmale eines Datensatzes informieren und es ihnen ermöglichen, die für ihre Bedürfnisse am besten geeigneten Datensätze auszuwählen. Das Datenqualitäts- und nutzenlabel soll nicht verhindern, dass Datensätze über den EHDS bereitgestellt werden, sondern einen Mechanismus für Transparenz zwischen Dateninhabern und Datennutzern bieten. So sollte beispielsweise ein Datensatz, der keinerlei Anforderung an Datenqualität und nutzen erfüllt, trotzdem zur Verfügung gestellt, aber mit der Klasse gekennzeichnet werden, die der niedrigsten Qualität und dem geringsten Nutzwert entspricht. Die Anforderungen, die in dem in Artikel 10 der Verordnung […] [KI-Gesetz (COM(2021) 206 final)] dargelegten Rahmen und der einschlägigen Dokumentation gemäß Anhang IV festgelegt sind, sollten bei der Entwicklung des Rahmens für Datenqualität und nutzen berücksichtigt werden. Die Mitgliedstaaten sollten durch Kommunikationsmaßnahmen den Bekanntheitsgrad des Datenqualitäts- und nutzenlabels erhöhen. Die Kommission könnte diese Tätigkeiten unterstützen.

    (60)Der EU-Datensatzkatalog sollte für Dateninhaber und andere Datenbanknutzer mit möglichst geringem Verwaltungsaufwand verbunden, benutzerfreundlich, zugänglich und kosteneffizient sein, nationale Datenkataloge miteinander verbinden und eine redundante Registrierung von Datensätzen verhindern. Der EU-Datensatzkatalog könnte mit der Initiative data.europa.eu abgestimmt werden, wobei die Anforderungen der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] davon unberührt bleiben. Die Mitgliedstaaten sollten sicherstellen, dass die nationalen Datenkataloge mit den bestehenden Datensatzkatalogen in europäischen Forschungsinfrastrukturen und anderen einschlägigen Infrastrukturen für die gemeinsame Datennutzung interoperabel sind.

    (61)Derzeit arbeiten verschiedene Berufsverbände, die Kommission und andere Institutionen gemeinsam an der Festlegung von Mindestdatenfeldern und anderen Merkmalen bestimmter Datensätze (z. B. Register). In Bereichen wie Krebs, seltene Krankheiten und Statistiken sind diese Arbeiten bereits fortgeschritten und müssen bei der Festlegung neuer Standards berücksichtigt werden. Viele Datensätze sind jedoch nicht harmonisiert, was Probleme bezüglich der Vergleichbarkeit verursacht und die grenzüberschreitende Forschung erschwert. Daher sollten in Durchführungsrechtsakten ausführlichere Vorschriften festgelegt werden, mit denen eine harmonisierte Bereitstellung, Kodierung und Registrierung elektronischer Gesundheitsdaten sichergestellt wird. Die Mitgliedstaaten sollten darauf hinwirken, mit den europäischen elektronischen Gesundheitssystemen und diensten und interoperablen Anwendungen einen nachhaltigen wirtschaftlichen und sozialen Nutzen zu erzielen, damit ein hohes Niveau an Vertrauen und Sicherheit erreicht, die Kontinuität der Gesundheitsversorgung gefördert und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt wird.

    (62)Die Kommission sollte die Mitgliedstaaten beim Ausbau der Kapazitäten und der Leistungsfähigkeit im Bereich der digitalen Gesundheitssysteme für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten unterstützen. Die Mitgliedstaaten sollten beim Ausbau ihrer Kapazitäten unterstützt werden. In diesem Zusammenhang gehören vergleichende Leistungsbewertungen (Benchmarking) und der Austausch bewährter Verfahren zu den einschlägigen Maßnahmen auf Unionsebene.

    (63)Auch die Mittelverwendung sollte zur Erreichung der Ziele des EHDS beitragen. Öffentliche Beschaffer, zuständige nationale Behörden in den Mitgliedstaaten, einschließlich digitaler Gesundheitsbehörden und Stellen für den Zugang zu Gesundheitsdaten, sowie die Kommission sollten sich bei der Festlegung der Bedingungen für die Vergabe öffentlicher Aufträge, Aufforderungen zur Einreichung von Vorschlägen und die Zuweisung von Unionsmitteln, einschließlich der Struktur- und Kohäsionsfonds, auf die für Interoperabilität, Sicherheit und Datenqualität anwendbaren technischen Spezifikationen, Normen und Profile sowie auf andere im Rahmen dieser Verordnung entwickelte Anforderungen beziehen.

    (64)Bestimmte Kategorien elektronischer Gesundheitsdaten können auch dann noch besonders sensibel sein, wenn sie in anonymisiertem und somit nicht personenbezogenem Format vorliegen, wie es bereits im Daten-Governance-Gesetz ausdrücklich vorgesehen ist. Selbst bei Anwendung modernster Anonymisierungstechniken besteht nach wie vor ein Restrisiko, dass die Fähigkeit zur Rekonstruktion der Identität über die nach vernünftigem Ermessen wahrscheinlich eingesetzten Mittel hinaus verfügbar sein oder werden könnte. Ein solches Restrisiko besteht im Zusammenhang mit seltenen Krankheiten (eine lebensbedrohliche oder zu chronischer Invalidität führende Erkrankung, von der höchstens fünf von 10 000 Personen in der Union betroffen sind), bei denen die begrenzte Zahl von Fällen die Möglichkeit einschränkt, die veröffentlichten Daten vollständig zu aggregieren, damit die Privatsphäre natürlicher Personen gewahrt bleibt, und gleichzeitig ein angemessenes Granularitätsniveau und somit die Aussagekraft aufrechtzuerhalten. Das Restrisiko kann verschiedene Arten von Gesundheitsdaten betreffen, je nach Grad der Granularität und Beschreibung der Merkmale der betroffenen Personen oder der Zahl der betroffenen Personen; es können auch Daten in elektronischen Patientenakten, Krankheitsregistern, Biobanken oder personenbezogene Daten usw. betroffen sein, bei denen die Identifizierungsmerkmale breiter sind und in Kombination mit anderen Informationen (z. B. in sehr kleinen geografischen Gebieten) oder durch die technologische Entwicklung von Methoden, die zum Zeitpunkt der Anonymisierung nicht verfügbar waren, die Möglichkeit besteht, dass die Identität betroffener Personen mit Mitteln, die über die nach vernünftigem Ermessen verwendeten Mittel hinausgehen, rekonstruiert wird. Das Auftreten eines solchen Risikos der Rekonstruktion der Identität natürlicher Personen wäre äußerst bedenklich und würde die Akzeptanz der in dieser Verordnung vorgesehenen Politik und Vorschriften für die Sekundärnutzung gefährden. Darüber hinaus sind Aggregationsverfahren für nicht personenbezogene Daten, die beispielsweise Geschäftsgeheimnisse enthalten, wie bei der Berichterstattung über klinische Prüfungen, weniger erprobt, und die Verfolgung von Verletzungen von Geschäftsgeheimnissen außerhalb der Union ist schwieriger, da es keinen ausreichenden internationalen Schutzstandard gibt. Daher besteht für diese Arten von Gesundheitsdaten nach der Anonymisierung oder Aggregierung weiterhin ein Risiko der Rekonstruktion der Identität, das zunächst nicht angemessen gemindert werden konnte. Dies fällt unter die in Artikel 5 Absatz 13 der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] genannten Kriterien. Diese Arten von Gesundheitsdaten würden somit unter die in Artikel 5 Absatz 13 der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] festgelegte Befugnis zur Übermittlung an Drittländer fallen. Die Schutzmaßnahmen, die in einem angemessenen Verhältnis zum Risiko der Rekonstruktion der Identität stehen sollten, müssten den Besonderheiten verschiedener Datenkategorien oder unterschiedlicher Anonymisierungs- oder Aggregationsverfahren Rechnung tragen und werden im Zusammenhang mit dem delegierten Rechtsakt im Rahmen der Befugnisübertragung nach Artikel 5 Absatz 13 der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] näher ausgeführt.

    (65)Um die einheitliche Anwendung dieser Verordnung zu fördern, sollte ein Ausschuss für den europäischen Raum für Gesundheitsdaten (EHDS-Ausschuss) eingerichtet werden. Die Kommission sollte sich an dessen Tätigkeiten beteiligen und den Vorsitz führen. Der EHDS-Ausschuss sollte zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beitragen, unter anderem indem er die Mitgliedstaaten bei der Koordinierung der Nutzung elektronischer Gesundheitsdaten für die Gesundheitsversorgung, der Zertifizierung, aber auch im Hinblick auf die Sekundärnutzung elektronischer Gesundheitsdaten unterstützt. Da auf nationaler Ebene die digitalen Gesundheitsbehörden, die mit der Primärnutzung elektronischer Gesundheitsdaten befasst sind, und die Stellen für den Zugang zu Gesundheitsdaten, die mit der Sekundärnutzung elektronischer Gesundheitsdaten befasst sind, unterschiedliche Stellen sein können und daher die Funktionen unterschiedlich sind und in jedem dieser Bereiche eine gesonderte Zusammenarbeit erfolgen muss, sollte der EHDS-Ausschuss in der Lage sein, Untergruppen einzusetzen, die sich mit beiden Funktionen befassen, sowie gegebenenfalls weitere Untergruppen. Im Interesse einer effizienten Arbeitsweise sollten die digitalen Gesundheitsbehörden und die für den Zugang zu Gesundheitsdaten zuständigen Stellen mit verschiedenen anderen Stellen und Behörden auf nationaler Ebene, aber auch auf Unionsebene Netzwerke und Verbindungen aufbauen. Diese Stellen könnten Datenschutzbehörden, Einrichtungen für Cybersicherheit und elektronische Identifizierung, Normungsgremien sowie Einrichtungen und Sachverständigengruppen gemäß den Verordnungen […], […], […] und […] [Daten-Governance-Gesetz, Datengesetz, KI-Gesetz und Rechtsakt zur Cybersicherheit] umfassen.

    (66)Zur Verwaltung der grenzüberschreitenden Infrastrukturen für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten ist es erforderlich, eine Gruppe der gemeinsam Verantwortlichen für befugte Teilnehmer einzurichten (z. B. um die Einhaltung der Datenschutzvorschriften und der vorliegenden Verordnung bei den Verarbeitungsvorgängen in solchen Infrastrukturen sicherzustellen).

    (67)Da die Ziele dieser Verordnung – die Stärkung der Handlungskompetenz natürlicher Personen, indem die Kontrolle über ihre personenbezogenen Gesundheitsdaten verbessert und ihre Freizügigkeit durch die Sicherstellung der Mitnahmefähigkeit ihrer Gesundheitsdaten unterstützt wird, die Förderung eines echten Binnenmarkts für digitale Gesundheitsprodukte und dienstleistungen sowie die Sicherstellung eines kohärenten und effizienten Rahmens für die Weiterverwendung von Gesundheitsdaten natürlicher Personen für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten – von den Mitgliedstaaten allein durch Koordinierungsmaßnahmen nicht ausreichend verwirklicht werden können, wie die Bewertung der digitalen Aspekte der Richtlinie 2011/24/EU gezeigt hat, sondern vielmehr durch Maßnahmen zur Harmonisierung der Rechte natürlicher Personen in Bezug auf ihre elektronischen Gesundheitsdaten, die Sicherstellung der Interoperabilität elektronischer Gesundheitsdaten und die Schaffung eines gemeinsamen Rahmens und gemeinsamer Garantien für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

    (68)Um sicherzustellen, dass der EHDS seine Zwecke erfüllt, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte hinsichtlich der Primär- und Sekundärnutzung von elektronischen Gesundheitsdaten zu erlassen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen im Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung 52 niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

    (69)Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der vorliegenden Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates 53 ausgeübt werden.

    (70)Die Mitgliedstaaten sollten alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Bestimmungen dieser Verordnung eingehalten werden, und dazu u. a. wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen. Bei bestimmten Verstößen sollten die Mitgliedstaaten die in dieser Verordnung festgelegten Spielräume und Kriterien berücksichtigen.

    (71)Die Kommission sollte eine Evaluierung dieser Verordnung vornehmen, um zu bewerten, ob die Ziele der Verordnung wirkungsvoll und effizient erreicht werden, ob sie konsistent und immer noch relevant ist und einen EU-Mehrwert bietet. Die Kommission sollte fünf Jahre nach dem Inkrafttreten der Verordnung eine Teilbewertung bezüglich der Selbstzertifizierung von EHR-Systemen vornehmen und sieben Jahre nach ihrem Inkrafttreten eine Gesamtbewertung. Die Kommission sollte dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen nach jeder Bewertung einen Bericht über die wichtigsten Ergebnisse übermitteln.

    (72)Für eine erfolgreiche grenzüberschreitende Umsetzung des EHDS sollte der Europäische Interoperabilitätsrahmen 54 als gemeinsamer Bezugspunkt betrachtet werden, um die rechtliche, organisatorische, semantische und technische Interoperabilität sicherzustellen.

    (73)Die Bewertung der digitalen Aspekte der Richtlinie 2011/24/EU zeigt, dass das Netzwerk für elektronische Gesundheitsdienste nur begrenzt wirksam ist, aber auch großes Potenzial für Maßnahmen der EU in diesem Bereich besteht, wie die Arbeit während der Pandemie verdeutlicht hat. Daher wird Artikel 14 der Richtlinie aufgehoben und durch die geltende Verordnung ersetzt, und die Richtlinie wird entsprechend geändert.

    (74)Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss wurden gemäß Artikel 42 der Verordnung (EU) 2018/1725 angehört und haben am […] eine Stellungnahme abgegeben.

    (75)Diese Verordnung sollte die Anwendung der Wettbewerbsvorschriften, insbesondere der Artikel 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), unberührt lassen. Die in dieser Verordnung vorgesehenen Maßnahmen sollten nicht dazu verwendet werden, den Wettbewerb in einer gegen den AEUV verstoßenden Weise einzuschränken.

    (76)Da technische Vorbereitungen erforderlich sind, sollte diese Verordnung ab dem [12 Monate nach Inkrafttreten] gelten —

    HABEN FOLGENDE VERORDNUNG ERLASSEN:

    Kapitel I

    Allgemeine Bestimmungen

    Artikel 1

    Gegenstand und Anwendungsbereich

    (1)Mit dieser Verordnung wird ein europäischer Raum für Gesundheitsdaten („European Health Data Space – EHDS“) mit Vorschriften, gemeinsamen Standards und Verfahren, Infrastrukturen und einem Governance-Rahmen für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten geschaffen.

    (2)Diese Verordnung

    a)stärkt die Rechte natürlicher Personen in Bezug auf die Verfügbarkeit ihrer elektronischen Gesundheitsdaten und die Kontrolle über diese Daten;

    b)legt Vorschriften für das Inverkehrbringen, die Bereitstellung auf dem Markt und die Inbetriebnahme von Systemen für elektronische Patientenakten (im Folgenden „EHR-Systeme“) in der Union fest;

    c)legt Vorschriften und Mechanismen fest, mit denen die Sekundärnutzung elektronischer Gesundheitsdaten unterstützt wird;

    d)führt eine obligatorische grenzüberschreitende Infrastruktur ein, die die unionsweite Primärnutzung elektronischer Gesundheitsdaten ermöglicht;

    e)richtet eine obligatorische grenzüberschreitende Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten ein.

    (3)Diese Verordnung gilt für

    a)Hersteller und Anbieter von EHR-Systemen und Wellness-Anwendungen, die in der Union in Verkehr gebracht und in Betrieb genommen werden, und Nutzer solcher Produkte;

    b)in der Union niedergelassene Verantwortliche und Auftragsverarbeiter, die elektronische Gesundheitsdaten von Unionsbürgern und Drittstaatsangehörigen mit rechtmäßigem Wohnsitz im Hoheitsgebiet der Mitgliedstaaten verarbeiten;

    c)in einem Drittland niedergelassene Verantwortliche und Auftragsverarbeiter, die sich gemäß Artikel 12 Absatz 5 MyHealth@EU angeschlossen haben oder damit interoperabel sind;

    d)Datennutzer, denen elektronische Gesundheitsdaten von Dateninhabern in der Union zur Verfügung gestellt werden.

    (4)Andere Rechtsakte der Union betreffend den Zugang zu elektronischen Gesundheitsdaten, deren Austausch oder deren Sekundärnutzung sowie die Anforderungen hinsichtlich der Datenverarbeitung im Zusammenhang mit elektronischen Gesundheitsdaten, insbesondere die Verordnungen (EU) 2016/679, (EU) 2018/1725, [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] und [...] [Datengesetz (COM(2022) 68 final)], bleiben von der vorliegenden Verordnung unberührt.

    (5)Die Verordnungen (EU) 2017/745 und [...] [KI-Gesetz (COM(2021) 206 final)] bleiben in Bezug auf die Sicherheit von Medizinprodukten und KI-Systemen, die mit EHR-Systemen interagieren, von der vorliegenden Verordnung unberührt.

    (6)Die vorliegende Verordnung berührt nicht die im Unionsrecht oder im nationalen Recht festgelegten Rechte und Pflichten in Bezug auf die Datenverarbeitung zum Zwecke der Berichterstattung, des Beantwortens von Auskunftsersuchen oder des Nachweises und der Überprüfung der Einhaltung rechtlicher Pflichten.

    Artikel 2

    Begriffsbestimmungen

    (1)Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:

    a)die Begriffsbestimmungen der Verordnung (EU) 2016/679;

    b)die Begriffsbestimmungen für „Gesundheitsversorgung“, „Versicherungsmitgliedstaat“, „Behandlungsmitgliedstaat“, „Angehöriger der Gesundheitsberufe“, „Gesundheitsdienstleister“, „Arzneimittel“ und „Verschreibung“ im Sinne des Artikels 3 Buchstaben a, c, d, f, g, i und k der Richtlinie 2011/24/EU;

    c)die Begriffsbestimmungen für „Daten“, „Zugang“, „Datenaltruismus“, „öffentliche Stelle“ und „sichere Verarbeitungsumgebung“ im Sinne des Artikels 2 Nummern 1, 8, 10, 11 und 14 des [Daten-Governance-Gesetzes (COM(2020) 767 final)];

    d)die Begriffsbestimmungen für „Bereitstellung auf dem Markt“, „Inverkehrbringen“, „Marktüberwachung“, Marktüberwachungsbehörde“, „Nichtkonformität“, „Hersteller“, „Einführer“, „Händler“, „Wirtschaftsakteur“, „Korrekturmaßnahme“, „Risiko“, „Rückruf“ und „Rücknahme vom Markt“ im Sinne des Artikels 2 Nummern 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 18, 22 und 23 der Verordnung (EU) 2019/1020;

    e)die Begriffsbestimmungen für „Medizinprodukt“, „Zweckbestimmung“, „Gebrauchsanweisung“, „Leistung“, „Gesundheitseinrichtung“ und „gemeinsame Spezifikationen“ im Sinne des Artikels 2 Nummern 1, 12, 14, 22, 36, und 71 der Verordnung (EU) 2017/745;

    f)die Begriffsbestimmungen für „elektronische Identifizierung“, „elektronisches Identifizierungsmittel“ und „Personenidentifizierungsdaten“ im Sinne des Artikels 3 Nummern 1, 2 und 3 der Verordnung (EU) Nr. 910/2014.

    (2)Für die Zwecke dieser Verordnung gelten zusätzlich folgende Begriffsbestimmungen:

    a)„personenbezogene elektronische Gesundheitsdaten“ bezeichnet Daten über die Gesundheit und genetische Daten im Sinne der Verordnung (EU) 2016/679 sowie Daten über Gesundheitsfaktoren oder Daten, die im Zusammenhang mit der Erbringung von Gesundheitsdiensten verarbeitet werden, sofern sie in elektronischer Form verarbeitet werden;

    b)„nicht personenbezogene elektronische Gesundheitsdaten“ bezeichnet Daten über die Gesundheit und genetische Daten in elektronischem Format, die nicht unter die Begriffsbestimmung für personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679 fallen;

    c)„elektronische Gesundheitsdaten“ bezeichnet personenbezogene oder nicht personenbezogene elektronische Gesundheitsdaten;

    d)„Primärnutzung elektronischer Gesundheitsdaten“ bezeichnet die Verarbeitung personenbezogener elektronischer Gesundheitsdaten für die Erbringung von Gesundheitsdiensten zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der natürlichen Person, auf die sich die Daten beziehen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten, sowie für die einschlägigen Dienste der Sozialversicherung, Verwaltung oder Kostenerstattung;

    e)„Sekundärnutzung elektronischer Gesundheitsdaten“ bezeichnet die Verarbeitung elektronischer Gesundheitsdaten für die Zwecke des Kapitels IV dieser Verordnung. Die verwendeten Daten können personenbezogene elektronische Gesundheitsdaten, die zunächst im Rahmen der Primärnutzung erhoben wurden, ebenso umfassen wie elektronische Gesundheitsdaten, die für die Zwecke der Sekundärnutzung erhoben wurden;

    f)„Interoperabilität“ bezeichnet die Fähigkeit sowohl von Organisationen als auch von Software-Anwendungen oder Geräten desselben Herstellers oder von unterschiedlichen Herstellern im Interesse der Verfolgung von Zielen von beiderseitigem Nutzen zusammenzuwirken; dies schließt den Austausch von Informationen und Wissen zwischen den beteiligten Organisationen, Software-Anwendungen oder Geräten ohne Veränderung des Dateninhalts durch von ihnen unterstützte Prozesse ein;

    g)„europäisches Austauschformat für elektronische Patientenakten“ bezeichnet ein strukturiertes, gängiges und maschinenlesbares Format, das die Übermittlung personenbezogener elektronischer Gesundheitsdaten zwischen verschiedenen Software-Anwendungen, Geräten und Gesundheitsdienstleistern ermöglicht;

    h)„Registrierung elektronischer Gesundheitsdaten“ bezeichnet die Aufzeichnung von Gesundheitsdaten in einem elektronischen Format, durch manuelle Dateneingabe, durch Erhebung von Daten durch ein Gerät oder durch Umwandlung nicht elektronischer Gesundheitsdaten in ein elektronisches Format, damit sie in einem EHR-System oder einer Wellness-Anwendung verarbeitet werden können;

    i)„Zugangsdienst für elektronische Gesundheitsdaten“ bezeichnet einen Online-Dienst wie ein Portal oder eine mobile Anwendung, der natürlichen Personen, die nicht in beruflicher Funktion handeln, den Zugang zu ihren eigenen elektronischen Gesundheitsdaten oder elektronischen Gesundheitsdaten der natürlichen Personen, auf deren elektronische Gesundheitsdaten sie rechtmäßig zugreifen dürfen, ermöglicht;

    j)„Zugangsdienst für Angehörige der Gesundheitsberufe“ bezeichnet einen von einem EHR-System unterstützten Dienst, der es Angehörigen der Gesundheitsberufe ermöglicht, auf die Daten natürlicher Personen, die sich in ihrer Behandlung befinden, zuzugreifen;

    k)„Datenempfänger“ bezeichnet eine natürliche oder juristische Person, die Daten von einem anderen Verantwortlichen im Zusammenhang mit der Primärnutzung elektronischer Gesundheitsdaten erhält;

    l)„Telemedizin“ bezeichnet die Erbringung von Gesundheitsdienstleistungen, auch durch medizinische Fernversorgung und Online-Apotheken, mithilfe von Informations- und Kommunikationstechnologien in Situationen, in denen sich der Angehörige eines Gesundheitsberufs und der Patient (oder mehrere Angehörige der Gesundheitsberufe) nicht an demselben Ort befinden;

    m)„elektronische Patientenakte (EHR – electronic health record)“ bezeichnet eine Sammlung elektronischer Gesundheitsdaten, die sich auf eine natürliche Person beziehen, im Gesundheitssystem erfasst sind und für Gesundheitszwecke verarbeitet werden;

    n)„EHR-System (System für elektronische Patientenakten)“ bezeichnet jedes Gerät oder jede Software, das bzw. die vom Hersteller dazu bestimmt ist, elektronische Patientenakten zu speichern, zu vermitteln, zu importieren, zu exportieren, zu konvertieren, zu bearbeiten oder anzuzeigen; 

    o)„Wellness-Anwendung“ bezeichnet jedes Gerät oder jede Software, das bzw. die vom Hersteller dazu bestimmt ist, von einer natürlichen Person für die Verarbeitung elektronischer Gesundheitsdaten zu anderen Zwecken als der Gesundheitsversorgung verwendet zu werden, etwa zur Erzeugung von Wohlbefinden und zur Einhaltung einer gesunden Lebensweise;

    p)„CE-Konformitätskennzeichnung“ bezeichnet eine Kennzeichnung, durch die ein Hersteller angibt, dass ein EHR-System den einschlägigen Anforderungen genügt, die in dieser Verordnung oder in anderen Rechtsvorschriften der Union über ihre Anbringung festgelegt sind;

    q)„schwerwiegendes Vorkommnis“ bezeichnet jede Fehlfunktion oder Verschlechterung der Eigenschaften oder der Leistung eines auf dem Markt bereitgestellten EHR-Systems, die direkt oder indirekt eine der nachstehenden Folgen hat, hätte haben können oder haben könnte:

    i)den Tod oder die schwere gesundheitliche Schädigung einer natürlichen Person;

    ii)eine schwerwiegende Störung von Verwaltung und Betrieb kritischer Infrastrukturen im Gesundheitswesen;

    r)„nationale Kontaktstelle für digitale Gesundheit“ bezeichnet ein organisatorisches und technisches Zugangstor für die Erbringung grenzüberschreitender digitaler Gesundheitsinformationsdienste für die Primärnutzung elektronischer Gesundheitsdaten, das unter der Verantwortung der Mitgliedstaaten steht;

    s)„zentrale Plattform für digitale Gesundheit“ bezeichnet eine Interoperabilitätsplattform, die durch ihre Dienste den Austausch elektronischer Gesundheitsdaten zwischen den nationalen Kontaktstellen für digitale Gesundheit unterstützt und erleichtert;

    t)„MyHealth@EU“ bezeichnet die grenzüberschreitende Infrastruktur für die Primärnutzung elektronischer Gesundheitsdaten, die aus der Verbindung der nationalen Kontaktstellen für digitale Gesundheit mit der zentralen Plattform für digitale Gesundheit gebildet wird;

    u)„nationale Kontaktstelle für die Sekundärnutzung elektronischer Gesundheitsdaten“ bezeichnet ein organisatorisches und technisches Zugangstor, das die grenzüberschreitende Sekundärnutzung elektronischer Gesundheitsdaten ermöglicht und unter der Verantwortung der Mitgliedstaaten steht;

    v)„zentrale Plattform für die Sekundärnutzung elektronischer Gesundheitsdaten“ bezeichnet eine von der Kommission eingerichtete Interoperabilitätsplattform, die durch ihre Dienste den Informationsaustausch zwischen den nationalen Kontaktstellen für die Sekundärnutzung elektronischer Gesundheitsdaten unterstützt und erleichtert;

    x)„HealthData@EU“ bezeichnet die Infrastruktur, die die nationalen Kontaktstellen für die Sekundärnutzung elektronischer Gesundheitsdaten und die zentrale Plattform miteinander vernetzt;

    y)„Dateninhaber“ bezeichnet jede natürliche oder juristische Person, bei der es sich um eine Organisation oder Einrichtung im Gesundheits- oder Pflegesektor handelt oder die Forschungstätigkeiten hinsichtlich dieser Sektoren durchführt, sowie Organe, Einrichtungen und sonstige Stellen der Union, die gemäß dieser Verordnung, dem geltenden Unionsrecht oder den nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts dazu berechtigt oder verpflichtet sind – oder im Falle nicht personenbezogener Daten durch Kontrolle der technischen Konzeption eines Produkts und der damit zusammenhängenden Dienste dazu befähigt sind –, bestimmte Daten zur Verfügung zu stellen und sie auch zu registrieren, bereitzustellen, den Zugang zu ihnen einzuschränken oder sie auszutauschen;

    z)„Datennutzer“ bezeichnet eine natürliche oder juristische Person, die rechtmäßig Zugang zu personenbezogenen oder nicht personenbezogenen elektronischen Gesundheitsdaten für die Sekundärnutzung hat;

    aa)„Datengenehmigung“ bezeichnet eine Verwaltungsentscheidung, die von einer Zugangsstelle für Gesundheitsdaten oder einem Dateninhaber zwecks Verarbeitung der in der Datengenehmigung angegebenen elektronischen Gesundheitsdaten für die in der Datengenehmigung angegebenen Sekundärnutzungszwecke entsprechend den in dieser Verordnung festgelegten Bedingungen an einen Datennutzer ergeht;

    ab)„Datensatz“ bezeichnet eine strukturierte Sammlung elektronischer Gesundheitsdaten;

    ac)„Datensatzkatalog“ bezeichnet eine Sammlung von Datensatzbeschreibungen, die systematisch angeordnet ist und aus einem nutzerorientierten öffentlichen Teil besteht, in dem Informationen über einzelne Datensatzparameter über ein Online-Portal elektronisch zugänglich sind;

    ad)„Datenqualität“ bezeichnet den Umfang, in dem sich die Merkmale elektronischer Gesundheitsdaten für die Sekundärnutzung eignen;

    ae)„Datenqualitäts- und -nutzenlabel“ bezeichnet ein grafisches Diagramm samt einer Skala, in dem die Datenqualität und die Nutzungsbedingungen eines Datensatzes beschrieben werden.

    Kapitel II

    Primärnutzung elektronischer Gesundheitsdaten

    Abschnitt 1

    Zugang zu und Übermittlung von personenbezogenen elektronischen Gesundheitsdaten für die Primärnutzung

    Artikel 3

    Rechte natürlicher Personen hinsichtlich der Primärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten

    (1)Natürliche Personen haben das Recht, auf ihre personenbezogenen elektronischen Gesundheitsdaten, die im Rahmen der Primärnutzung elektronischer Gesundheitsdaten verarbeitet werden, sofort, kostenlos und in einem leicht lesbaren, gängigen und zugänglichen Format zuzugreifen.

    (2)Natürliche Personen haben das Recht, eine elektronische Kopie zumindest ihrer elektronischen Gesundheitsdaten der prioritären Kategorien nach Artikel 5 in dem in Artikel 6 genannten europäischen Austauschformat für elektronische Patientenakten zu erhalten.

    (3)Gemäß Artikel 23 der Verordnung (EU) 2016/679 können die Mitgliedstaaten dieses Recht beschränken, wenn dies angesichts der Patientensicherheit sowie ethischer Grundsätze zum Schutz der natürlichen Person erforderlich ist, indem sie deren Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten für einen begrenzten Zeitraum hinauszögern, bis ein Angehöriger der Gesundheitsberufe der natürlichen Person die unter Umständen folgenreichen Informationen bezüglich ihrer Gesundheit auf angemessene Weise mitteilen und erläutern kann.

    (4)Wurden personenbezogene Gesundheitsdaten vor der Anwendung dieser Verordnung nicht elektronisch registriert, so können die Mitgliedstaaten vorschreiben, dass solche Daten gemäß diesem Artikel in einem elektronischen Format zur Verfügung gestellt werden. Die Verpflichtung, personenbezogene elektronische Gesundheitsdaten, die nach der Anwendung dieser Verordnung registriert wurden, gemäß diesem Artikel in einem elektronischen Format zur Verfügung zu stellen, bleibt davon unberührt.

    (5)Die Mitgliedstaaten

    a)richten einen oder mehrere Zugangsdienste für elektronische Gesundheitsdaten auf nationaler, regionaler oder lokaler Ebene ein, um die Ausübung der in den Absätzen 1 und 2 genannten Rechte zu ermöglichen;

    b)richten einen oder mehrere Proxy-Dienste ein, damit eine natürliche Person andere natürliche Personen ihrer Wahl bevollmächtigen kann, für sie auf ihre elektronischen Gesundheitsdaten zuzugreifen.

    Eine solche Vollmacht kann über die Proxy-Dienste kostenlos und in elektronischer Form oder in Papierform erteilt werden. Die Proxy-Dienste ermöglichen es Vormunden oder anderen Vertretern, entweder automatisch oder auf Antrag Zugang zu den elektronischen Gesundheitsdaten der natürlichen Personen, deren Angelegenheiten sie verwalten, zu erhalten. Die Mitgliedstaaten können bestimmen, dass eine Vollmacht ungültig ist, wenn dies zum Schutz der natürlichen Person erforderlich ist – insbesondere angesichts der Patientensicherheit sowie ethischer Grundsätze. Die Proxy-Dienste sind zwischen den Mitgliedstaaten interoperabel.

    (6)Über Zugangsdienste für elektronische Gesundheitsdaten oder mit diesen Diensten verknüpfte Anwendungen können natürliche Personen elektronische Gesundheitsdaten in ihre eigene elektronische Patientenakte oder in die der natürlichen Personen, auf deren Gesundheitsinformationen sie zugreifen können, eingeben. Von der natürlichen Person oder ihrem Vertreter eingegebene Informationen werden als solche gekennzeichnet.

    (7)Die Mitgliedstaaten stellen sicher, dass natürliche Personen bei der Ausübung ihres Rechts auf Berichtigung gemäß Artikel 16 der Verordnung (EU) 2016/679 über die in Absatz 5 Buchstabe a des vorliegenden Artikels genannten Zugangsdienste für elektronische Gesundheitsdaten ohne Weiteres online eine Berichtigung beantragen können.

    (8)Natürliche Personen haben das Recht, einem Dateninhaber aus dem Gesundheits- oder Sozialversicherungssektor Zugang zu ihren elektronischen Gesundheitsdaten zu gewähren oder diesen aufzufordern, ihre Daten an einen Datenempfänger ihrer Wahl aus dem Gesundheits- oder Sozialversicherungssektor zu übermitteln, und zwar unverzüglich, kostenlos und ungehindert durch den Dateninhaber oder die Hersteller der von diesem Dateninhaber genutzten Systeme.

    Befinden sich der Dateninhaber und der Datenempfänger in verschiedenen Mitgliedstaaten und fallen die betreffenden Gesundheitsdaten in die Kategorien nach Artikel 5, so haben natürliche Personen Anspruch darauf, dass der Dateninhaber die Daten in dem europäischen Austauschformat für elektronische Patientenakten gemäß Artikel 6 übermittelt und der Datenempfänger diese liest und annimmt.

    Abweichend von Artikel 9 der Verordnung [...] [Datengesetz (COM(2022) 68 final)] ist der Datenempfänger gegenüber dem Dateninhaber nicht dazu verpflichtet, eine Gegenleistung für die Bereitstellung elektronischer Gesundheitsdaten zu erbringen.

    Werden personenbezogene elektronische Gesundheitsdaten der prioritären Kategorien nach Artikel 5 von natürlichen Personen in dem in Artikel 6 genannten europäischen Austauschformat für elektronische Patientenakten übermittelt oder zur Verfügung gestellt, so haben natürliche Personen Anspruch darauf, dass andere Gesundheitsdienstleister diese Daten lesen und annehmen.

    (9)Ungeachtet des Artikels 6 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679 haben natürliche Personen das Recht, den Zugang von Angehörigen der Gesundheitsberufe zu ihren elektronischen Gesundheitsdaten oder Teilen davon zu beschränken. Die Mitgliedstaaten legen die Vorschriften und besonderen Schutzmaßnahmen für solche Beschränkungsmechanismen fest.

    (10)Natürliche Personen haben das Recht, Informationen über die Gesundheitsdienstleister und die Angehörigen der Gesundheitsberufe zu erhalten, die im Rahmen der Gesundheitsversorgung auf ihre elektronischen Gesundheitsdaten zugegriffen haben. Die Informationen werden unverzüglich und kostenlos über Zugangsdienste für elektronische Gesundheitsdaten bereitgestellt.

    (11)Die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständige(n) Aufsichtsbehörde(n) ist bzw. sind auch für die Überwachung der Anwendung dieses Artikels im Einklang mit den einschlägigen Bestimmungen der Kapitel VI, VII und VIII der Verordnung (EU) 2016/679 zuständig. Sie sind befugt, Geldbußen bis zu dem in Artikel 83 Absatz 5 jener Verordnung genannten Betrag zu verhängen. Diese Aufsichtsbehörden und die in Artikel 10 der vorliegenden Verordnung genannten digitalen Gesundheitsbehörden arbeiten gegebenenfalls bei der Durchsetzung dieser Verordnung im Rahmen ihrer jeweiligen Zuständigkeiten zusammen.

    (12)Die Kommission legt im Wege von Durchführungsrechtsakten die Anforderungen für die technische Umsetzung der in diesem Artikel genannten Rechte fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 4

    Zugang von Angehörigen der Gesundheitsberufe zu personenbezogenen elektronischen Gesundheitsdaten

    (1)Wenn Angehörige der Gesundheitsberufe Daten elektronisch verarbeiten,

    a)haben sie unabhängig vom Versicherungs- und Behandlungsmitgliedstaat Zugriff auf die elektronischen Gesundheitsdaten der von ihnen behandelten natürlichen Personen;

    b)stellen sie sicher, dass die personenbezogenen elektronischen Gesundheitsdaten der natürlichen Personen, die sie behandeln, mit Informationen über die erbrachten Gesundheitsdienstleistungen aktualisiert werden.

    (2)Im Einklang mit dem in der Verordnung (EU) 2016/679 vorgesehenen Grundsatz der Datenminimierung können die Mitgliedstaaten Vorschriften dafür festlegen, welche Kategorien personenbezogener elektronischer Gesundheitsdaten in verschiedenen Gesundheitsberufen benötigt werden. Diese Vorschriften richten sich nicht nach der Quelle elektronischer Gesundheitsdaten.

    (3)Die Mitgliedstaaten sorgen dafür, dass den Angehörigen der Gesundheitsberufe über Zugangsdienste für Angehörige der Gesundheitsberufe zumindest Zugriff auf die elektronischen Gesundheitsdaten der prioritären Kategorien nach Artikel 5 eingeräumt wird. Angehörige der Gesundheitsberufe, die im Besitz anerkannter elektronischer Identifizierungsmittel sind, haben das Recht, diese Zugangsdienste für Angehörige der Gesundheitsberufe kostenlos zu nutzen.

    (4)Hat die natürliche Person den Zugang zu den elektronischen Gesundheitsdaten beschränkt, so wird der Gesundheitsdienstleister oder Angehörige der Gesundheitsberufe nur nach Zustimmung der natürlichen Person über den Inhalt der elektronischen Gesundheitsdaten informiert; dies gilt auch dann, wenn der Dienstleister oder Berufsangehörige lediglich über das Vorhandensein und die Art der gesperrten elektronischen Gesundheitsdaten in Kenntnis gesetzt wird. In Fällen, in denen die Datenverarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist, kann der Gesundheitsdienstleister oder Angehörige der Gesundheitsberufe Zugang zu den gesperrten elektronischen Gesundheitsdaten erhalten. Der Gesundheitsdienstleister oder Angehörige der Gesundheitsberufe unterrichtet den Dateninhaber sowie die betroffene natürliche Person oder ihre Vormunde davon, wenn ihm ein solcher Zugang zu elektronischen Gesundheitsdaten gewährt wurde. Die Rechtsvorschriften der Mitgliedstaaten können zusätzliche Schutzmaßnahmen vorsehen.

    Artikel 5

    Prioritäre Kategorien personenbezogener elektronischer Gesundheitsdaten für die Primärnutzung

    (1)Werden Daten elektronisch verarbeitet, so ermöglichen die Mitgliedstaaten den Zugang zu und den Austausch von personenbezogenen elektronischen Gesundheitsdaten für die Primärnutzung, die vollständig oder teilweise unter die folgenden Kategorien fallen:

    a)Patientenkurzakten;

    b)elektronische Verschreibungen;

    c)elektronische Abgaben;

    d)medizinische Bilder und Bildbefunde;

    e)Laborergebnisse;

    f)Entlassungsberichte.

    Die wesentlichen Merkmale der in Unterabsatz 1 genannten Kategorien elektronischer Gesundheitsdaten sind in Anhang I festgelegt.

    Der Zugang zu elektronischen Gesundheitsdaten für die Primärnutzung sowie deren Austausch können auf andere Kategorien personenbezogener elektronischer Gesundheitsdaten, die in der elektronischen Patientenakte natürlicher Personen verfügbar sind, ausgeweitet werden.

    (2)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zu erlassen, um die Liste der prioritären Kategorien elektronischer Gesundheitsdaten nach Absatz 1 zu ändern. Mit diesen delegierten Rechtsakten kann auch Anhang I geändert werden, indem die wesentlichen Merkmale der prioritären Kategorien elektronischer Gesundheitsdaten ergänzt, geändert oder gestrichen werden und gegebenenfalls ein späterer Anwendungsbeginn angegeben wird. Die Kategorien elektronischer Gesundheitsdaten, die durch solche delegierten Rechtsakte hinzugefügt werden, erfüllen die folgenden Kriterien:

    a)Die Kategorie ist in Bezug auf die Erbringung von Gesundheitsdienstleistungen für natürliche Personen relevant.

    b)Aus aktuellen Informationen geht hervor, dass die Kategorie in einer erheblichen Anzahl von nationalen EHR-Systemen verwendet wird.

    c)Für die Kategorie gibt es internationale Normen, die im Hinblick auf eine Anwendung in der Union geprüft wurden.

    Artikel 6

    Europäisches Austauschformat für elektronische Patientenakten

    (1)Die Kommission legt im Wege von Durchführungsrechtsakten die technischen Spezifikationen für die in Artikel 5 genannten prioritären Kategorien personenbezogener elektronischer Gesundheitsdaten und damit auch das europäische Austauschformat für elektronische Patientenakten fest. Das Format umfasst folgende Elemente:

    a)Datensätze mit elektronischen Gesundheitsdaten und definierenden Strukturen wie Datenfeldern und Datengruppen für die inhaltliche Darstellung klinischer Inhalte und anderer Bestandteile der elektronischen Gesundheitsdaten;

    b)Kodierungssysteme und Werte für Datensätze mit elektronischen Gesundheitsdaten;

    c)technische Spezifikationen für den Austausch elektronischer Gesundheitsdaten, einschließlich ihrer inhaltlichen Darstellung, Standards und Profilen.

    (2)Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen. Die Mitgliedstaaten stellen sicher, dass in Fällen, in denen die personenbezogenen elektronischen Gesundheitsdaten der prioritären Kategorien nach Artikel 5 von einer natürlichen Person direkt zur Verfügung gestellt oder einem Gesundheitsdienstleister automatisch in dem in Absatz 1 genannten Format übermittelt werden, diese Daten vom Datenempfänger gelesen und angenommen werden.

    (3)Die Mitgliedstaaten stellen sicher, dass die personenbezogenen elektronischen Gesundheitsdaten der prioritären Kategorien nach Artikel 5 in dem in Absatz 1 genannten Format ausgegeben werden und dass diese Daten vom Datenempfänger gelesen und angenommen werden.

    Artikel 7

    Registrierung personenbezogener elektronischer Gesundheitsdaten

    (1)Die Mitgliedstaaten stellen sicher, dass die Angehörigen der Gesundheitsberufe bei der elektronischen Verarbeitung von Daten die einschlägigen Gesundheitsdaten, die zumindest unter die prioritären Kategorien nach Artikel 5 fallen, in Bezug auf die von ihnen für natürliche Personen erbrachten Gesundheitsdienstleistungen systematisch in einem elektronischen Format in einem EHR-System registrieren.

    (2)Sind die elektronischen Gesundheitsdaten einer natürlichen Person in einem Mitgliedstaat registriert, der nicht der Versicherungsmitgliedstaat dieser Person ist, so stellt der Behandlungsmitgliedstaat sicher, dass die Registrierung anhand der Personenidentifizierungsdaten der natürlichen Person im Versicherungsmitgliedstaat erfolgt.

    (3)Im Wege von Durchführungsrechtsakten bestimmt die Kommission die Anforderungen für die Registrierung elektronischer Gesundheitsdaten durch Gesundheitsdienstleister und gegebenenfalls natürliche Personen. In diesen Durchführungsrechtsakten wird Folgendes festgelegt:

    a)Kategorien von Gesundheitsdienstleistern, die Gesundheitsdaten elektronisch registrieren müssen;

    b)Kategorien von Gesundheitsdaten, die von den unter Buchstabe a genannten Gesundheitsdienstleistern systematisch in einem elektronischen Format zu registrieren sind;

    c)Anforderungen an die Datenqualität im Zusammenhang mit der elektronischen Registrierung von Gesundheitsdaten.

    Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 8

    Telemedizin im Rahmen der grenzüberschreitenden Gesundheitsversorgung

    Akzeptiert ein Mitgliedstaat die Erbringung telemedizinischer Dienste, so akzeptiert er unter denselben Bedingungen die Erbringung gleichartiger Dienste durch Gesundheitsdienstleister, die in anderen Mitgliedstaaten ansässig sind.

    Artikel 9

    Identifizierungsmanagement 

    (1)Nutzt eine natürliche Person telemedizinische Dienste oder Zugangsdienste für elektronische Gesundheitsdaten gemäß Artikel 3 Absatz 5 Buchstabe a, so hat diese natürliche Person das Recht, sich mit allen nach Artikel 6 der Verordnung (EU) Nr. 910/2014 anerkannten elektronischen Identifizierungsmitteln elektronisch auszuweisen.

    (2)Die Kommission legt im Wege von Durchführungsrechtsakten die Anforderungen für den interoperablen, grenzüberschreitenden Identifizierungs- und Authentifizierungsmechanismus für natürliche Personen und Angehörige der Gesundheitsberufe entsprechend der Verordnung (EU) Nr. 910/2014 [geändert durch COM(2021) 281 final] fest. Der Mechanismus erleichtert die Übertragbarkeit elektronischer Gesundheitsdaten im grenzüberschreitenden Kontext. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (3)Die Kommission richtet Dienste, die im Rahmen des in Absatz 2 dieses Artikels genannten interoperablen, grenzüberschreitenden Identifizierungs- und Authentifizierungsmechanismus erforderlich sind, als Teil der grenzüberschreitenden digitalen Gesundheitsinfrastruktur gemäß Artikel 12 Absatz 3 auf Unionsebene ein.

    (4)Die digitalen Gesundheitsbehörden und die Kommission setzen den grenzüberschreitenden Identifizierungs- und Authentifizierungsmechanismus auf Ebene der Mitgliedstaaten bzw. der Union um.

    Artikel 10

    Digitale Gesundheitsbehörde

    (1)Jeder Mitgliedstaat benennt eine digitale Gesundheitsbehörde, die für die Umsetzung und Durchsetzung dieses Kapitels auf nationaler Ebene zuständig ist. Die Mitgliedstaaten teilen der Kommission bis zum Geltungsbeginn dieser Verordnung den Namen der jeweiligen digitalen Gesundheitsbehörde mit. Handelt es sich bei der benannten digitalen Gesundheitsbehörde um eine Einrichtung aus mehreren Organisationen, so übermittelt der Mitgliedstaat der Kommission eine Beschreibung davon, wie die Aufgabentrennung zwischen diesen Organisationen erfolgt. Die Kommission macht diese Angaben öffentlich zugänglich.

    (2)Die digitalen Gesundheitsbehörden werden damit betraut:

    a)die Umsetzung der in den Kapiteln II und III vorgesehenen Rechte und Pflichten durch die Annahme erforderlicher nationaler, regionaler oder lokaler technischer Lösungen und die Festlegung einschlägiger Vorschriften und Mechanismen zu gewährleisten;

    b)dafür zu sorgen, dass natürlichen Personen, Angehörigen der Gesundheitsberufe und Gesundheitsdienstleistern vollständige und aktuelle Informationen über die Umsetzung der in den Kapiteln II und III vorgesehenen Rechte und Pflichten jederzeit zur Verfügung stehen;

    c)sicherzustellen, dass die Umsetzung der unter Buchstabe a genannten technischen Lösungen im Einklang mit den Kapiteln II und III sowie Anhang II erfolgt;

    d)auf Unionsebene zur Entwicklung technischer Lösungen beizutragen, die es natürlichen Personen und Angehörigen der Gesundheitsberufe ermöglichen, ihre in diesem Kapitel festgelegten Rechte und Pflichten auszuüben;

    e)Menschen mit Behinderungen die Ausübung ihrer in Artikel 3 dieser Verordnung aufgeführten Rechte im Einklang mit der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates 55 zu erleichtern;

    f)die nationalen Kontaktstellen für digitale Gesundheit zu beaufsichtigen und mit anderen digitalen Gesundheitsbehörden sowie der Kommission bei der Weiterentwicklung von MyHealth@EU zusammenzuarbeiten;

    g)die Einführung des europäischen Austauschformats für elektronische Patientenakten auf nationaler Ebene in Zusammenarbeit mit den nationalen Behörden und Interessenträgern sicherzustellen;

    h)auf Unionsebene zur Entwicklung des europäischen Austauschformats für elektronische Patientenakten sowie zur Ausarbeitung gemeinsamer Spezifikationen zu Interoperabilitäts-, Sicherheits- und Grundrechtsbelangen gemäß Artikel 23 und der Spezifikationen zur EU-Datenbank für EHR-Systeme und Wellness-Anwendungen gemäß Artikel 32 beizutragen;

    i)gegebenenfalls Marktüberwachungstätigkeiten gemäß Artikel 28 durchzuführen, wobei Interessenkonflikte zu vermeiden sind;

    j)nationale Kapazitäten für die Umsetzung der Interoperabilität und Sicherheit der Primärnutzung elektronischer Gesundheitsdaten aufzubauen und sich am Informationsaustausch und Kapazitätsaufbau auf Unionsebene zu beteiligen;

    k)im Einklang mit den nationalen Rechtsvorschriften telemedizinische Dienste anzubieten und dafür zu sorgen, dass diese Dienste sich einfach nutzen lassen, für verschiedene Gruppen von natürlichen Personen und Angehörigen der Gesundheitsberufe zugänglich sind – auch für natürliche Personen mit Behinderungen, Gleichbehandlung gewährleisten und sowohl persönlich als auch digital in Anspruch genommen werden können;

    l)mit den Marktüberwachungsbehörden zusammenzuarbeiten, sich an den Tätigkeiten zum Umgang mit den Risiken von EHR-Systemen und mit schwerwiegenden Vorkommnissen zu beteiligen und die Durchführung von Abhilfemaßnahmen gemäß Artikel 29 zu überwachen;

    m)mit anderen einschlägigen Einrichtungen und Stellen auf nationaler oder Unionsebene zusammenzuarbeiten, um die Interoperabilität, Datenübertragbarkeit und Sicherheit elektronischer Gesundheitsdaten zu gewährleisten, sowie mit Vertretern der Interessenträger, einschließlich Patientenvertretern, Gesundheitsdienstleistern, Angehörigen der Gesundheitsberufe und Branchenverbänden;

    n)mit den Aufsichtsbehörden gemäß der Verordnung (EU) Nr. 910/2014, der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates 56 sowie mit anderen einschlägigen Behörden zusammenzuarbeiten, darunter die für Cybersicherheit und elektronische Identifizierung zuständigen Behörden, der Europäische Ausschuss für künstliche Intelligenz, die Koordinierungsgruppe Medizinprodukte, der Europäische Dateninnovationsrat und die zuständigen Behörden gemäß der Verordnung [...] [Datengesetz (COM(2022) 68 final)];

    o)gegebenenfalls in Zusammenarbeit mit den Marktüberwachungsbehörden einen jährlichen Tätigkeitsbericht zu erstellen, der einen umfassenden Überblick über ihre Tätigkeiten liefert. Der Bericht wird an die Kommission übermittelt. Der jährliche Tätigkeitsbericht folgt einer Struktur, die auf Unionsebene im EHDS-Ausschuss vereinbart wird, um das Benchmarking gemäß Artikel 59 zu fördern. Der Bericht enthält mindestens die folgenden Angaben:

    i)alle zur Anwendung dieser Verordnung getroffenen Maßnahmen;

    ii)Prozentsatz der natürlichen Personen, die Zugang zu verschiedenen Datenkategorien ihrer elektronischen Patientenakten haben;

    iii)Informationen über die Bearbeitung von Ersuchen natürlicher Personen um die Ausübung ihrer Rechte gemäß dieser Verordnung;

    iv)Zahl der an MyHealth@EU angeschlossenen Gesundheitsdienstleister unterschiedlicher Art, einschließlich Apotheken, Krankenhäusern und anderen Versorgungsstellen, berechnet a) in absoluten Zahlen, b) als Anteil aller Gesundheitsdienstleister derselben Art und c) als Anteil der natürlichen Personen, die die Dienstleistungen in Anspruch nehmen können;

    v)Mengen an elektronischen Gesundheitsdaten verschiedener Kategorien, die über MyHealth@EU grenzüberschreitend ausgetauscht werden;

    vi)Zufriedenheit natürlicher Personen mit den MyHealth@EU-Diensten;

    vii)Zahl der zertifizierten EHR-Systeme und Wellness-Anwendungen mit Kennzeichnung, die in der EU-Datenbank erfasst sind;

    viii)Zahl der Fälle, in denen die verbindlichen Anforderungen nicht eingehalten wurden;

    ix)Beschreibung der Tätigkeiten im Zusammenhang mit der Einbeziehung und Konsultation relevanter Interessenträger, einschließlich Vertretern natürlicher Personen, Patientenorganisationen, Angehörigen der Gesundheitsberufe, Forschern und Ethikausschüssen;

    x)Informationen über die Zusammenarbeit mit anderen zuständigen Stellen, insbesondere in den Bereichen Datenschutz, Cybersicherheit und künstliche Intelligenz.

    (3)Die Kommission ist befugt, gemäß Artikel 67 delegierte Rechtsakte zu erlassen, um diese Verordnung dadurch zu ergänzen, dass den digitalen Gesundheitsbehörden zusätzliche Aufgaben zur Erfüllung der ihnen durch diese Verordnung übertragenen Aufgaben erteilt werden, und um den Inhalt des Jahresberichts zu ändern.

    (4)Jeder Mitgliedstaat stellt sicher, dass jede digitale Gesundheitsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

    (5)Bei der Wahrnehmung ihrer Aufgaben arbeitet die digitale Gesundheitsbehörde aktiv mit Vertretern der Interessenträger, einschließlich Patientenvertretern, zusammen. Die Mitglieder der digitalen Gesundheitsbehörde vermeiden jegliche Interessenkonflikte. 

    Artikel 11

    Recht auf Beschwerde bei einer digitalen Gesundheitsbehörde

    (1)Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben natürliche und juristische Personen das Recht, einzeln oder gegebenenfalls gemeinsam Beschwerde bei einer digitalen Gesundheitsbehörde einzulegen. Betrifft die Beschwerde die Rechte natürlicher Personen gemäß Artikel 3 der vorliegenden Verordnung, so teilt die digitale Gesundheitsbehörde dies den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 mit.

    (2)Die digitale Gesundheitsbehörde, bei der die Beschwerde eingelegt wurde, unterrichtet den Beschwerdeführer über den Stand des Verfahrens und die getroffene Entscheidung.

    (3)Die digitalen Gesundheitsbehörden arbeiten zusammen, um Beschwerden zu bearbeiten und zu lösen, und tauschen dazu unter anderem unverzüglich alle relevanten Informationen auf elektronischem Wege aus.

    Abschnitt 2

    Grenzüberschreitende Infrastruktur für die Primärnutzung elektronischer Gesundheitsdaten

    Artikel 12

    MyHealth@EU

    (1)Die Kommission richtet eine zentrale Plattform für digitale Gesundheit ein, die durch ihre Dienste den Austausch elektronischer Gesundheitsdaten zwischen den nationalen Kontaktstellen für digitale Gesundheit in den Mitgliedstaaten unterstützt und erleichtert.

    (2)Jeder Mitgliedstaat benennt eine nationale Kontaktstelle für digitale Gesundheit, die die Verbindung zu allen anderen nationalen Kontaktstellen für digitale Gesundheit sowie zur zentralen Plattform für digitale Gesundheit gewährleistet. Handelt es sich bei der benannten nationalen Kontaktstelle um eine Einrichtung aus mehreren Organisationen, die für die Durchführung verschiedener Dienste zuständig sind, so übermittelt der Mitgliedstaat der Kommission eine Beschreibung davon, wie die Aufgabentrennung zwischen diesen Organisationen erfolgt. Die nationale Kontaktstelle für digitale Gesundheit gilt als befugter Teilnehmer an der Infrastruktur. Die Mitgliedstaaten teilen der Kommission bis zum [Geltungsbeginn dieser Verordnung] den Namen ihrer nationalen Kontaktstelle mit. Eine solche Kontaktstelle kann innerhalb der digitalen Gesundheitsbehörde gemäß Artikel 10 dieser Verordnung eingerichtet werden. Die Mitgliedstaaten informieren die Kommission über alle späteren Änderungen bezüglich der benannten Kontaktstellen. Die Kommission und die Mitgliedstaaten veröffentlichen diese Informationen.

    (3)Die nationale Kontaktstelle für digitale Gesundheit ermöglicht den Austausch der personenbezogenen elektronischen Gesundheitsdaten gemäß Artikel 5 mit allen anderen nationalen Kontaktstellen. Der Austausch erfolgt auf der Grundlage des europäischen Austauschformats für elektronische Patientenakten.

    (4)Im Wege von Durchführungsrechtsakten erlässt die Kommission die erforderlichen Maßnahmen für die technische Entwicklung von MyHealth@EU sowie detaillierte Vorschriften über die Sicherheit, Vertraulichkeit und den Schutz elektronischer Gesundheitsdaten und legt fest, welche Bedingungen und Konformitätsüberprüfungen für den Anschluss und die weitere Anbindung an MyHealth@EU erforderlich sind und welche Bedingungen für einen vorübergehenden oder endgültigen Ausschluss von MyHealth@EU gegeben sein müssen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (5)Die Mitgliedstaaten sorgen dafür, dass alle Gesundheitsdienstleister mit ihren nationalen Kontaktstellen für digitale Gesundheit verbunden sind und elektronische Gesundheitsdaten wechselseitig mit der nationalen Kontaktstelle für digitale Gesundheit ausgetauscht werden können.

    (6)Die Mitgliedstaaten stellen sicher, dass die in ihrem Hoheitsgebiet tätigen Apotheken, einschließlich Online-Apotheken, in anderen Mitgliedstaaten ausgestellte elektronische Verschreibungen unter den in Artikel 11 der Richtlinie 2011/24/EU festgelegten Bedingungen einlösen können. Die Apotheken haben Zugang zu elektronischen Verschreibungen, die ihnen aus anderen Mitgliedstaaten über MyHealth@EU übermittelt werden, und nehmen diese an. Geben Apotheken Arzneimittel auf der Grundlage einer elektronischen Verschreibung aus einem anderen Mitgliedstaat ab, so melden sie die Abgabe dem Mitgliedstaat, der die Verschreibung ausgestellt hat, über MyHealth@EU.

    (7)Bei den Verarbeitungsvorgängen, an denen sie beteiligt sind, fungieren die nationalen Kontaktstellen für digitale Gesundheit als gemeinsam Verantwortliche für die über MyHealth@EU übermittelten elektronischen Gesundheitsdaten. Die Kommission fungiert als Auftragsverarbeiter.

    (8)Die Kommission teilt im Einklang mit Kapitel IV der Verordnung (EU) 2016/679 im Wege von Durchführungsrechtsakten die Zuständigkeiten zwischen den Verantwortlichen und dem in Absatz 7 des vorliegenden Artikels genannten Auftragsverarbeiter auf. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (9)Die Genehmigung, dass einzelne befugte Teilnehmer sich MyHealth@EU für verschiedene Dienste anschließen dürfen oder dass die Verbindung eines Teilnehmers mit der Infrastruktur getrennt wird, wird von der Gruppe der gemeinsam Verantwortlichen auf der Grundlage der Ergebnisse der Konformitätsüberprüfungen erteilt.

    Artikel 13

    Zusätzliche grenzüberschreitende digitale Gesundheitsdienste und -infrastrukturen

    (1)Die Mitgliedstaaten können über MyHealth@EU zusätzliche Dienste zur Erleichterung der Telemedizin, der mobilen Gesundheitsfürsorge, des Zugriffs natürlicher Personen auf ihre übersetzten Gesundheitsdaten und des Austauschs oder der Überprüfung von Bescheinigungen über den Gesundheitszustand, einschließlich Impfausweisen, sowie Dienste zur Förderung der öffentlichen Gesundheit, der Überwachung der öffentlichen Gesundheit oder zur Förderung digitaler Gesundheitssysteme und -dienste und interoperabler Anwendungen bereitstellen, um ein hohes Maß an Vertrauen und Sicherheit zu erreichen, die Kontinuität der Versorgung zu verbessern und den Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung zu gewährleisten. Die Kommission legt im Wege von Durchführungsrechtsakten die technischen Aspekte einer solchen Bereitstellung fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (2)Die Kommission und die Mitgliedstaaten können den Austausch elektronischer Gesundheitsdaten mit anderen Infrastrukturen wie dem klinischen Patientenmanagementsystem sowie sonstigen Diensten oder Infrastrukturen in den Bereichen Gesundheit, Pflege oder soziale Sicherheit, die befugte Teilnehmer an MyHealth@EU werden können, fördern. Die Kommission legt im Wege von Durchführungsrechtsakten die technischen Aspekte dieses Austauschs fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen. Über die Verknüpfung einer anderen Infrastruktur mit der zentralen Plattform für digitale Gesundheit entscheidet die Gruppe der gemeinsam Verantwortlichen für MyHealth@EU gemäß Artikel 66.

    (3)Die Mitgliedstaaten und die Kommission streben an, die Interoperabilität von MyHealth@EU mit den auf internationaler Ebene für den Austausch elektronischer Gesundheitsdaten eingerichteten technologischen Systemen zu gewährleisten. Die Kommission kann einen Durchführungsrechtsakt erlassen, mit dem festgestellt wird, dass eine nationale Kontaktstelle eines Drittlandes oder ein auf internationaler Ebene eingerichtetes System für die Zwecke des elektronischen Austauschs von Gesundheitsdaten den Anforderungen von MyHealth@EU genügt. Vor dem Erlass eines solchen Durchführungsrechtsakts wird unter Aufsicht der Kommission die Konformität der nationalen Kontaktstelle des Drittlandes bzw. des auf internationaler Ebene eingerichteten Systems überprüft.

    Die in Unterabsatz 1 des vorliegenden Absatzes genannten Durchführungsrechtsakte werden gemäß dem in Artikel 68 genannten Verfahren erlassen. Über die Verbindung der nationalen Kontaktstelle des Drittlandes oder des auf internationaler Ebene eingerichteten Systems mit der zentralen Plattform für digitale Gesundheit sowie über die Trennung der Verbindung entscheidet die Gruppe der gemeinsam Verantwortlichen für MyHealth@EU gemäß Artikel 66.

    Die Kommission macht die Liste der gemäß diesem Absatz erlassenen Durchführungsrechtsakte öffentlich zugänglich.

    Kapitel III

    EHR-Systeme und Wellness-Anwendungen

    Abschnitt 1

    Allgemeine Bestimmungen für EHR-Systeme

    Artikel 14

    Zusammenspiel mit den Rechtsvorschriften über Medizinprodukte und KI-Systeme

    (1)EHR-Systeme, die von ihrem Hersteller zur Primärnutzung von elektronischen Gesundheitsdaten der prioritären Kategorien nach Artikel 5 bestimmt sind, unterliegen den Bestimmungen dieses Kapitels.

    (2)Dieses Kapitel gilt nicht für allgemeine Software, die im Gesundheitswesen verwendet wird.

    (3)Hersteller von Medizinprodukten im Sinne von Artikel 2 Absatz 1 der Verordnung (EU) 2017/745, die geltend machen, dass diese Medizinprodukte mit EHR-Systemen interoperabel sind, weisen die Einhaltung der grundlegenden Anforderungen an die Interoperabilität gemäß Anhang II Abschnitt 2 der vorliegenden Verordnung nach. Für solche Medizinprodukte gilt Artikel 23 dieses Kapitels.

    (4)Anbieter von nicht in den Geltungsbereich der Verordnung (EU) 2017/745 fallenden Hochrisiko-KI-Systemen im Sinne von Artikel 6 der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)], die geltend machen, dass diese KI-Systeme mit EHR-Systemen interoperabel sind, weisen die Einhaltung der grundlegenden Anforderungen an die Interoperabilität gemäß Anhang II Abschnitt 2 der vorliegenden Verordnung nach. Für solche Hochrisiko-KI-Systeme gilt Artikel 23 dieses Kapitels. 

    (5)Die Mitgliedstaaten können bestehende spezifische Vorschriften für die Beschaffung, Erstattung oder Finanzierung von EHR-Systemen im Zusammenhang mit der Organisation, Erbringung oder Finanzierung von Gesundheitsdienstleistungen beibehalten oder neue festlegen.

    Artikel 15

    Inverkehrbringen und Inbetriebnahme

    (1)EHR-Systeme dürfen nur dann in den Verkehr gebracht oder in Betrieb genommen werden, wenn sie den Bestimmungen dieses Kapitels genügen.

    (2)EHR-Systeme, die innerhalb von in der Union ansässigen Gesundheitseinrichtungen hergestellt und verwendet werden, sowie EHR-Systeme, die einer in der Union ansässigen natürlichen oder juristischen Person als Dienst im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates 57 angeboten werden, gelten als in Betrieb genommen. 

    Artikel 16

    Angaben

    In dem Informationsblatt, den Gebrauchsanweisungen oder anderen Begleitinformationen zu EHR-Systemen sowie bei der Bewerbung von EHR-Systemen dürfen keine Texte, Bezeichnungen, Warenzeichen, Abbildungen und andere bildhafte oder nicht bildhafte Zeichen verwendet werden, die den Nutzer hinsichtlich der Zweckbestimmung, Interoperabilität und Sicherheit des Systems irreführen können, indem sie

    a)dem EHR-System Funktionen und Eigenschaften zuschreiben, die es nicht besitzt;

    b)den Nutzer nicht über die zu erwartenden Einschränkungen hinsichtlich der Interoperabilität oder der Sicherheitsfunktionen des EHR-Systems in Bezug auf seine Zweckbestimmung informieren;

    c)andere Verwendungsmöglichkeiten für das EHR-System empfehlen als diejenigen, für die in der technischen Dokumentation angegeben wird, dass sie Teil der Zweckbestimmung sind.

    Abschnitt 2

    Pflichten der Wirtschaftsakteure in Bezug auf EHR-Systeme

    Artikel 17

    Pflichten der Hersteller von EHR-Systemen

    (1)Die Hersteller von EHR-Systemen

    a)stellen sicher, dass ihre EHR-Systeme den grundlegenden Anforderungen gemäß Anhang II und den gemeinsamen Spezifikationen gemäß Artikel 23 genügen;

    b)erstellen die technische Dokumentation zu ihren EHR-Systemen gemäß Artikel 24;

    c)sorgen dafür, dass ihre EHR-Systeme kostenlos für den Nutzer von dem in Artikel 25 vorgesehenen Informationsblatt sowie einer klaren und vollständigen Gebrauchsanweisung begleitet werden;

    d)stellen die in Artikel 26 genannte EU-Konformitätserklärung aus;

    e)bringen die CE-Kennzeichnung gemäß Artikel 27 an;

    f)kommen den in Artikel 32 genannten Registrierungspflichten nach;

    g)ergreifen in Bezug auf ihre EHR-Systeme, die nicht den grundlegenden Anforderungen gemäß Anhang II genügen, unverzüglich alle erforderlichen Korrekturmaßnahmen oder rufen solche Systeme zurück oder nehmen sie vom Markt;

    h)setzen die Händler ihrer EHR-Systeme und gegebenenfalls den Bevollmächtigten und die Einführer über Korrekturmaßnahmen, Rückrufe oder Rücknahmen vom Markt in Kenntnis;

    i)informieren die Marktüberwachungsbehörden der Mitgliedstaaten, in denen sie ihr EHR-System bereitgestellt oder in Betrieb genommen haben, über die Nichtkonformität und bereits ergriffene Korrekturmaßnahmen;

    j)stellen einer Marktüberwachungsbehörde auf deren Verlangen alle Informationen und Unterlagen zur Verfügung, die für den Nachweis der Konformität ihres EHR-Systems mit den grundlegenden Anforderungen gemäß Anhang II erforderlich sind;

    k)arbeiten mit den Marktüberwachungsbehörden auf deren Verlangen bei allen Maßnahmen zusammen, die ergriffen werden, um ihre EHR-Systeme mit den grundlegenden Anforderungen gemäß Anhang II in Einklang zu bringen.

    (2)Die Hersteller von EHR-Systemen sorgen dafür, dass sie über Verfahren verfügen, die gewährleisten, dass die Konzeption, Entwicklung und Einführung eines EHR-Systems weiterhin den grundlegenden Anforderungen gemäß Anhang II und den gemeinsamen Spezifikationen gemäß Artikel 23 genügen. Änderungen an der Konzeption des EHR-Systems oder an seinen Merkmalen werden angemessen berücksichtigt und die technische Dokumentation wird entsprechend aktualisiert.

    (3)Die Hersteller von EHR-Systemen bewahren die technische Dokumentation sowie die EU-Konformitätserklärung noch 10 Jahre lang ab dem Inverkehrbringen des letzten von der EU-Konformitätserklärung erfassten EHR-Systems auf.

    Artikel 18

    Bevollmächtigte

    (1)Hersteller von EHR-Systemen, die außerhalb der Union niedergelassen sind, benennen vor der Bereitstellung des EHR-Systems in der Union schriftlich einen in der Union niedergelassenen Bevollmächtigten.

    (2)Ein Bevollmächtigter nimmt die Aufgaben wahr, die in dem vom Hersteller erteilten Auftrag festgelegt sind. Der Auftrag gestattet dem Bevollmächtigten, mindestens folgende Aufgaben wahrzunehmen:

    a)Bereithaltung der EU-Konformitätserklärung und der technischen Dokumentation für die Marktüberwachungsbehörden während des in Artikel 17 Absatz 3 genannten Zeitraums;

    b)auf begründetes Verlangen einer Marktüberwachungsbehörde: Übermittlung aller Informationen und Unterlagen, die für den Nachweis der Konformität des EHR-Systems mit den grundlegenden Anforderungen gemäß Anhang II erforderlich sind;

    c)auf Verlangen der Marktüberwachungsbehörden: Zusammenarbeit bei allen Korrekturmaßnahmen in Bezug auf EHR-Systeme, die zu ihrem Aufgabenbereich gehören.

    Artikel 19

    Pflichten der Einführer

    (1)Einführer bringen in der Union nur EHR-Systeme in Verkehr, die den grundlegenden Anforderungen gemäß Anhang II genügen.

    (2)Bevor Einführer ein EHR-System auf dem Markt bereitstellen, stellen sie sicher, dass

    a)der Hersteller die technische Dokumentation erstellt und die EU-Konformitätserklärung ausgestellt hat;

    b)das EHR-System mit der CE-Konformitätskennzeichnung versehen ist;

    c)dem EHR-System das in Artikel 25 genannte Informationsblatt sowie geeignete Gebrauchsanweisungen beiliegen.

    (3)Die Einführer geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke und ihre Kontaktanschrift in einem dem EHR-System beiliegenden Dokument an.

    (4)Solange sich ein EHR-System in ihrer Verantwortung befindet, gewährleisten die Einführer, dass das EHR-System nicht derart verändert wird, dass seine Konformität mit den grundlegenden Anforderungen gemäß Anhang II beeinträchtigt wird.

    (5)Ist ein Einführer der Auffassung oder hat er Grund zu der Annahme, dass ein EHR-System nicht den grundlegenden Anforderungen gemäß Anhang II genügt, so stellt er dieses System erst dann auf dem Markt bereit, wenn die Konformität des Systems hergestellt worden ist. Der Einführer setzt den Hersteller des EHR-Systems sowie die Marktüberwachungsbehörden des Mitgliedstaats, in dem er das EHR-System bereitgestellt hat, unverzüglich davon in Kenntnis.

    (6)Die Einführer halten während des in Artikel 17 Absatz 3 genannten Zeitraums eine Kopie der EU-Konformitätserklärung für die Marktüberwachungsbehörden bereit und gewährleisten, dass die technische Dokumentation diesen Behörden auf Verlangen zur Verfügung gestellt werden kann.

    (7)Die Einführer händigen einer Marktüberwachungsbehörde auf deren begründetes Verlangen alle zum Nachweis der Konformität eines EHR-Systems erforderlichen Informationen und Unterlagen in der Amtssprache des Mitgliedstaats aus, in dem sich die Marktüberwachungsbehörde befindet. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zusammen, die ergriffen werden, um ihre EHR-Systeme mit den grundlegenden Anforderungen gemäß Anhang II in Einklang zu bringen.

    Artikel 20

    Pflichten der Händler

    (1)Bevor Händler ein EHR-System auf dem Markt bereitstellen, überprüfen sie, ob

    a)der Hersteller die EU-Konformitätserklärung ausgestellt hat;

    b)das EHR-System mit der CE-Konformitätskennzeichnung versehen ist;

    c)dem EHR-System das in Artikel 25 genannte Informationsblatt sowie geeignete Gebrauchsanweisungen beiliegen;

    d)der Einführer gegebenenfalls die in Artikel 19 Absatz 3 genannten Anforderungen eingehalten hat. 

    (2)Solange sich ein EHR-System in ihrer Verantwortung befindet, gewährleisten die Händler, dass das EHR-System nicht derart verändert wird, dass seine Konformität mit den grundlegenden Anforderungen gemäß Anhang II beeinträchtigt wird.

    (3)Ist ein Händler der Auffassung oder hat er Grund zu der Annahme, dass ein EHR-System nicht den grundlegenden Anforderungen gemäß Anhang II genügt, so stellt er dieses erst dann auf dem Markt bereit, wenn die Konformität des EHS-Systems hergestellt worden ist. Außerdem setzt der Händler den Hersteller oder den Einführer sowie die Marktüberwachungsbehörden der Mitgliedstaaten, in denen das EHR-System auf dem Markt bereitgestellt wurde, unverzüglich davon in Kenntnis.

    (4)Die Händler händigen einer Marktüberwachungsbehörde auf deren begründetes Verlangen alle Informationen und Unterlagen aus, die für den Nachweis der Konformität eines EHR-Systems erforderlich sind. Sie arbeiten mit dieser Behörde auf deren Verlangen bei allen Maßnahmen zusammen, die ergriffen werden, um ihre EHR-Systeme mit den grundlegenden Anforderungen gemäß Anhang II in Einklang zu bringen.

    Artikel 21

    Fälle, in denen die Pflichten des Herstellers eines EHR-Systems auch für Einführer und Händler gelten

    Ein Einführer oder Händler gilt als Hersteller für die Zwecke dieser Verordnung und unterliegt den Verpflichtungen nach Artikel 17, wenn er ein EHR-System unter seinem eigenen Namen oder seiner eigenen Marke auf dem Markt bereitstellt oder ein bereits auf dem Markt befindliches EHR-System derart verändert, dass die Konformität mit den einschlägigen Anforderungen beeinträchtigt werden kann.

    Artikel 22

    Identifizierung der Wirtschaftsakteure

    Während eines Zeitraums von 10 Jahren ab dem Inverkehrbringen des letzten von der EU-Konformitätserklärung erfassten EHR-Systems sind die Wirtschaftsakteure in der Lage, den Marktüberwachungsbehörden gegenüber auf Verlangen Folgendes anzugeben:

    a)sämtliche Wirtschaftsakteure, von denen sie ein EHS-System bezogen haben;

    b)sämtliche Wirtschaftsakteure, denen sie ein EHS-System zur Verfügung gestellt haben.

    Abschnitt 3

    Konformität des EHR-Systems

    Artikel 23

    Gemeinsame Spezifikationen

    (1)Die Kommission erlässt im Wege von Durchführungsrechtsakten gemeinsame Spezifikationen für die in Anhang II aufgeführten grundlegenden Anforderungen, einschließlich einer Frist für die Umsetzung dieser gemeinsamen Spezifikationen. Gegebenenfalls tragen die gemeinsamen Spezifikationen den in Artikel 14 Absätze 3 und 4 genannten Besonderheiten von Medizinprodukten und Hochrisiko-KI-Systemen Rechnung.

    Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (2)Die in Absatz 1 genannten gemeinsamen Spezifikationen umfassen folgende Angaben:

    a)Anwendungsbereich;

    b)Anwendbarkeit auf verschiedene Kategorien von EHR-Systemen oder deren Funktionen;

    c)Version;

    d)Gültigkeitsdauer;

    e)normativer Teil;

    f)erläuternder Teil, einschließlich einschlägiger Durchführungsleitlinien.

    (3)Die gemeinsamen Spezifikationen können Angaben zu Folgendem umfassen:

    a)Datensätze mit elektronischen Gesundheitsdaten und definierenden Strukturen wie Datenfeldern und Datengruppen für die Darstellung klinischer Inhalte und anderer Bestandteile der elektronischen Gesundheitsdaten;

    b)Kodierungssysteme und Werte für Datensätze mit elektronischen Gesundheitsdaten;

    c)sonstige Anforderungen an die Datenqualität, z. B. die Vollständigkeit und Genauigkeit der elektronischen Gesundheitsdaten;

    d)technische Spezifikationen, Standards und Profile für den Austausch elektronischer Gesundheitsdaten;

    e)Anforderungen und Grundsätze in Bezug auf Sicherheit, Vertraulichkeit, Integrität, Patientensicherheit und Schutz elektronischer Gesundheitsdaten;

    f)Spezifikationen und Anforderungen in Bezug auf das Identifizierungsmanagement und die Verwendung der elektronischen Identifizierung.

    (4)EHR-Systeme, Medizinprodukte und Hochrisiko-KI-Systeme gemäß Artikel 14, die den in Absatz 1 genannten gemeinsamen Spezifikationen entsprechen, gelten als konform mit den grundlegenden Anforderungen gemäß Anhang II, für die diese Spezifikationen oder Teile davon gelten. 

    (5)Wenn gemeinsame Spezifikationen zu Interoperabilitäts- und Sicherheitsanforderungen an EHR-Systeme Medizinprodukte oder Hochrisiko-KI-Systeme betreffen, die unter andere Rechtsakte als die Verordnung (EU) 2017/745 oder die Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] fallen, so kann vor der Annahme dieser gemeinsamen Spezifikationen eine Konsultation der Koordinierungsgruppe Medizinprodukte gemäß Artikel 103 der Verordnung (EU) 2017/745 oder des Europäischen Ausschusses für künstliche Intelligenz gemäß Artikel 56 der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] erfolgen.

    (6)Wenn gemeinsame Spezifikationen zu Interoperabilitäts- und Sicherheitsanforderungen an Medizinprodukte oder Hochrisiko-KI-Systeme, die unter andere Rechtsakte als die Verordnung (EU) 2017/745 oder die Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] fallen, EHR-Systeme betreffen, so erfolgt vor der Annahme dieser gemeinsamen Spezifikationen eine Konsultation des EHDS-Ausschusses, insbesondere seiner Untergruppe für die Kapitel II und III der vorliegenden Verordnung.

    Artikel 24

    Technische Dokumentation

    (1)Die technische Dokumentation wird erstellt, bevor das EHR-System in Verkehr gebracht oder in Betrieb genommen wird, und wird stets auf dem neuesten Stand gehalten.

    (2)Die technische Dokumentation wird so erstellt, dass aus ihr der Nachweis hervorgeht, dass das EHR-System die grundlegenden Anforderungen gemäß Anhang II erfüllt, und dass den Marktüberwachungsbehörden alle Informationen zur Verfügung stehen, die erforderlich sind, um zu beurteilen, ob das EHR-System diesen Anforderungen genügt. Sie enthält zumindest die in Anhang III genannten Angaben.

    (3)Die technische Dokumentation wird in einer der Amtssprachen der Union abgefasst. Auf begründetes Verlangen der Marktüberwachungsbehörde eines Mitgliedstaats legt der Hersteller eine Übersetzung der maßgeblichen Teile der technischen Dokumentation in der Amtssprache des jeweiligen Mitgliedstaats vor.

    (4)Wenn eine Marktüberwachungsbehörde die technische Dokumentation oder eine Übersetzung von Teilen davon von einem Hersteller anfordert, so setzt sie für die Vorlage dieser Dokumentation oder Übersetzung eine Frist von 30 Tagen, sofern nicht eine kürzere Frist gerechtfertigt ist, weil ein ernstes und unmittelbares Risiko vorliegt. Erfüllt der Hersteller die Anforderungen der Absätze 1, 2 und 3 nicht, so kann die Marktüberwachungsbehörde verlangen, dass er innerhalb eines bestimmten Zeitraums eine Prüfung durch eine unabhängige Stelle auf eigene Kosten durchführen lässt, um die Konformität mit den grundlegenden Anforderungen gemäß Anhang II und den gemeinsamen Spezifikationen gemäß Artikel 23 zu überprüfen.

    Artikel 25

    Informationsblatt zum EHR-System

    (1)EHR-Systeme werden mit einem Informationsblatt bereitgestellt, das präzise, vollständige, korrekte und eindeutige Informationen in einer für die Nutzer relevanten, zugänglichen und verständlichen Form enthält.

    (2)In dem in Absatz 1 genannten Informationsblatt wird Folgendes angegeben:

    a)Name, eingetragener Handelsname oder eingetragene Handelsmarke und Kontaktangaben des Herstellers sowie gegebenenfalls seines Bevollmächtigten;

    b)Bezeichnung und Version des EHR-Systems sowie sein Erscheinungsdatum;

    c)Zweckbestimmung des EHR-Systems;

    d)Kategorien elektronischer Gesundheitsdaten, die das EHR-System verarbeiten soll;

    e)Standards, Formate und Spezifikationen sowie deren Versionen, die vom EHR-System unterstützt werden.

    (3)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zu erlassen, um diese Verordnung zu ergänzen, indem den Herstellern gestattet wird, die in Absatz 2 genannten Informationen in die EU-Datenbank für EHR-Systeme und Wellness-Anwendungen gemäß Artikel 32 einzugeben, anstatt das Informationsblatt gemäß Absatz 1 mit dem EHR-System bereitzustellen.

    Artikel 26

    EU-Konformitätserklärung

    (1)Aus der EU-Konformitätserklärung geht hervor, dass der Hersteller des EHR-Systems nachgewiesen hat, dass die grundlegenden Anforderungen gemäß Anhang II erfüllt sind.

    (2)Ist für EHR-Systeme in Bezug auf Aspekte, die nicht unter diese Verordnung fallen, aufgrund anderer Rechtsvorschriften der Union ebenfalls eine EU-Konformitätserklärung des Herstellers erforderlich, um nachzuweisen, dass die Anforderungen der betreffenden Rechtsvorschriften eingehalten wurden, so wird eine einzige EU-Konformitätserklärung erstellt, die alle für das EHR-System geltenden Rechtsakte der Union erfasst. Die Erklärung enthält alle erforderlichen Angaben zur Identifizierung der Rechtsvorschriften der Union, auf die sich die Erklärung bezieht.

    (3)Die EU-Konformitätserklärung enthält mindestens die in Anhang IV aufgeführten Angaben und wird in eine oder mehrere Amtssprachen der Union übersetzt, die von dem/den Mitgliedstaat(en) vorgeschrieben wird/werden, in dem/denen das EHR-System bereitgestellt wird.

    (4)Mit der Ausstellung der EU-Konformitätserklärung übernimmt der Hersteller die Verantwortung für die Konformität des EHR-Systems.

    Artikel 27

    CE-Kennzeichnung

    (1)Die CE-Kennzeichnung wird gut sichtbar, leserlich und dauerhaft auf den Begleitunterlagen zum EHR-System und gegebenenfalls auf der Verpackung angebracht.

    (2)Für die CE-Kennzeichnung gelten die allgemeinen Grundsätze nach Artikel 30 der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates 58 .

    Abschnitt 4

    Marktüberwachung von EHR-Systemen

    Artikel 28

    Marktüberwachungsbehörden

    (1)Die Verordnung (EU) 2019/1020 gilt für EHR-Systeme, die unter Kapitel III der vorliegenden Verordnung fallen.

    (2)Die Mitgliedstaaten benennen die Marktüberwachungsbehörde oder die für die Umsetzung dieses Kapitels zuständigen Behörden. Sie statten ihre Marktüberwachungsbehörden mit den erforderlichen Befugnissen, Ressourcen, Ausrüstungen und Kenntnissen zur ordnungsgemäßen Wahrnehmung ihrer sich aus dieser Verordnung ergebenden Aufgaben aus. Die Mitgliedstaaten teilen der Kommission die Namen der Marktüberwachungsbehörden mit; die Kommission veröffentlicht eine Liste dieser Behörden.

    (3)Die gemäß diesem Artikel benannten Marktüberwachungsbehörden können die gemäß Artikel 10 benannten digitalen Gesundheitsbehörden sein. Nimmt eine digitale Gesundheitsbehörde Aufgaben einer Marktüberwachungsbehörde wahr, vermeidet sie jegliche Interessenkonflikte.

    (4)Die Marktüberwachungsbehörden erstatten der Kommission regelmäßig über die Ergebnisse ihrer jeweiligen Marktüberwachungstätigkeiten Bericht.

    (5)Die Marktüberwachungsbehörden der Mitgliedstaaten kooperieren miteinander und mit der Kommission. Die Kommission organisiert den dafür erforderlichen Informationsaustausch.

    (6)Bei Medizinprodukten oder Hochrisiko-KI-Systemen gemäß Artikel 14 Absätze 3 und 4 sind die in Artikel 93 der Verordnung (EU) 2017/745 bzw. Artikel 59 der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] genannten Behörden für die Marktüberwachung zuständig.

    Artikel 29

    Umgang mit den Risiken von EHR-Systemen und mit schwerwiegenden Vorkommnissen

    (1)Stellt eine Marktüberwachungsbehörde fest, dass ein EHR-System ein Risiko für die Gesundheit oder Sicherheit natürlicher Personen oder für andere Aspekte des Schutzes öffentlicher Interessen darstellt, fordert sie den Hersteller des betreffenden EHR-Systems, seinen Bevollmächtigten und alle anderen relevanten Wirtschaftsakteure auf, alle geeigneten Maßnahmen zu treffen, damit das betreffende EHR-System zum Zeitpunkt des Inverkehrbringens dieses Risiko nicht mehr birgt, oder das EHR-System vom Markt zu nehmen oder es innerhalb einer angemessenen Frist zurückzurufen.

    (2)Der in Absatz 1 genannte Wirtschaftsakteur sorgt dafür, dass Korrekturmaßnahmen in Bezug auf die betreffenden EHR-Systeme, die er in der Union in Verkehr gebracht hat, getroffen werden.

    (3)Die Marktüberwachungsbehörde unterrichtet die Kommission sowie die Marktüberwachungsbehörden anderer Mitgliedstaaten unmittelbar über alle von ihr gemäß Absatz 1 angeordneten Maßnahmen. Diese Unterrichtung enthält alle vorliegenden Angaben, insbesondere die für die Identifizierung des betreffenden EHR-Systems notwendigen Daten, den Ursprung und die Lieferkette des EHR-Systems, die Art des sich daraus ergebenden Risikos sowie die Art und Dauer der ergriffenen nationalen Maßnahmen.

    (4)Hersteller von in Verkehr gebrachten EHR-Systemen melden jedes schwerwiegende Vorkommnis im Zusammenhang mit einem EHR-System sowie die vom Hersteller diesbezüglich ergriffenen oder geplanten Korrekturmaßnahmen den Marktüberwachungsbehörden der Mitgliedstaaten, in denen ein solches schwerwiegendes Vorkommnis aufgetreten ist.

    Diese Meldung erfolgt unmittelbar und unbeschadet der Pflicht zur Meldung von Sicherheitsvorfällen gemäß der Richtlinie (EU) 2016/1148, nachdem der Hersteller den kausalen Zusammenhang zwischen dem EHR-System und dem schwerwiegenden Vorkommnis oder die naheliegende Wahrscheinlichkeit eines solchen Zusammenhangs festgestellt hat, oder auf jeden Fall spätestens 15 Tage, nachdem der Hersteller Kenntnis von diesem schwerwiegenden Vorkommnis im Zusammenhang mit dem EHR-System erlangt hat.

    (5)Die in Absatz 4 genannten Marktüberwachungsbehörden unterrichten die anderen Marktüberwachungsbehörden unverzüglich über das schwerwiegende Vorkommnis und die Korrekturmaßnahmen, die der Hersteller ergriffen hat oder plant oder die von ihm verlangt werden, um das Risiko eines Wiederauftretens des schwerwiegenden Vorkommnisses zu minimieren.

    (6)Handelt es sich bei der Marktüberwachungsbehörde nicht um die digitale Gesundheitsbehörde, so arbeitet sie mit der digitalen Gesundheitsbehörde zusammen. Sie informiert die digitale Gesundheitsbehörde über alle schwerwiegenden Vorkommnisse, über EHR-Systeme, die ein Risiko etwa in Bezug auf Interoperabilität, Sicherheit und Patientensicherheit bergen, sowie über alle Korrekturmaßnahmen, Rückrufe oder Rücknahmen solcher EHR-Systeme vom Markt.

    Artikel 30

    Umgang mit Nichtkonformität

    (1)Gelangt eine Marktüberwachungsbehörde zu einer der folgenden Feststellungen, so fordert sie den Hersteller des betreffenden EHR-Systems, seinen Bevollmächtigten und alle anderen relevanten Wirtschaftsakteure auf, die jeweilige Nichtkonformität zu beheben:

    a)das EHR-System genügt nicht den in Anhang II festgelegten grundlegenden Anforderungen;

    b)die technische Dokumentation ist entweder nicht verfügbar oder nicht vollständig; 

    c)die EU-Konformitätserklärung wurde nicht oder nicht ordnungsgemäß ausgestellt;

    d)die CE-Kennzeichnung wurde nicht oder nicht nach Artikel 27 angebracht.

    (2)Besteht die Nichtkonformität nach Absatz 1 weiter, so ergreift der betreffende Mitgliedstaat alle geeigneten Maßnahmen, um das Inverkehrbringen des EHR-Systems zu beschränken oder zu untersagen oder um dafür zu sorgen, dass es zurückgerufen oder vom Markt genommen wird.

    Abschnitt 5

    Sonstige Bestimmungen über die Interoperabilität

    Artikel 31

    Freiwillige Kennzeichnung von Wellness-Anwendungen

    (1)Macht der Hersteller einer Wellness-Anwendung geltend, dass sie mit einem EHR-System interoperabel ist und damit den grundlegenden Anforderungen gemäß Anhang II sowie den gemeinsamen Spezifikationen gemäß Artikel 23 entspricht, kann diese Anwendung mit einem Kennzeichen versehen werden, das deutlich auf die Konformität mit diesen Anforderungen hinweist. Das Kennzeichen wird vom Hersteller der Wellness-Anwendung ausgestellt.

    (2)Das Kennzeichen enthält die folgenden Angaben:

    a)Kategorien elektronischer Gesundheitsdaten, für die die Einhaltung der grundlegenden Anforderungen gemäß Anhang II bestätigt wurde;

    b)Verweis auf gemeinsame Spezifikationen zum Nachweis der Konformität;

    c)Gültigkeitsdauer des Kennzeichens.

    (3)Die Kommission kann im Wege von Durchführungsrechtsakten das Format und den Inhalt des Kennzeichens festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (4)Das Kennzeichen wird in einer oder mehreren Amtssprachen der Union oder in den Sprachen ausgestellt, die von dem/den Mitgliedstaat(en) festgelegt werden, in dem/denen die Wellness-Anwendung in Verkehr gebracht wird. 

    (5)Die Gültigkeitsdauer des Kennzeichens darf 5 Jahre nicht überschreiten.

    (6)Ist die Wellness-Anwendung in ein Produkt eingebettet, so ist das zugehörige Kennzeichen auf dem Produkt anzubringen. Zur Anzeige des Kennzeichens können auch 2D-Barcodes verwendet werden.

    (7)Die Marktüberwachungsbehörden prüfen, ob die Wellness-Anwendungen die in Anhang II festgelegten grundlegenden Anforderungen erfüllen.

    (8)Die Anbieter von Wellness-Anwendungen, für die ein Kennzeichen ausgestellt wurde, gewährleisten, dass jeder einzelnen in Verkehr gebrachten oder in Betrieb genommenen Anwendung das Kennzeichen kostenlos beigefügt ist.

    (9)Die Händler von Wellness-Anwendungen, für die ein Kennzeichen ausgestellt wurde, stellen Kunden in der Verkaufsstelle das Kennzeichen in elektronischer Form oder auf Verlangen in physischer Form bereit.

    (10)Die Anforderungen dieses Artikels gelten nicht für Wellness-Anwendungen, bei denen es sich um Hochrisiko-KI-Systeme im Sinne der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] handelt.

    Artikel 32

    Registrierung von EHR-Systemen und Wellness-Anwendungen

    (1)Die Kommission erstellt und pflegt eine öffentliche Datenbank mit Informationen zu EHR-Systemen, für die eine EU-Konformitätserklärung gemäß Artikel 26 ausgestellt wurde, und zu Wellness-Anwendungen, für die ein Kennzeichen gemäß Artikel 31 ausgestellt wurde.

    (2)Vor dem Inverkehrbringen oder der Inbetriebnahme eines EHR-Systems gemäß Artikel 14 oder einer Wellness-Anwendung gemäß Artikel 31 registriert der Hersteller eines solchen EHR-Systems bzw. einer solchen Wellness-Anwendung oder gegebenenfalls sein Bevollmächtigter die erforderlichen Daten in der in Absatz 1 genannten EU-Datenbank.

    (3)Medizinprodukte oder Hochrisiko-KI-Systeme gemäß Artikel 14 Absätze 3 und 4 dieser Verordnung werden in der gemäß der Verordnung (EU) 2017/745 bzw. der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] eingerichteten Datenbank registriert.

    (4)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zu erlassen, um die Liste der erforderlichen Daten festzulegen, die von den Herstellern von EHR-Systemen und Wellness-Anwendungen gemäß Absatz 2 registriert werden müssen.

    KAPITEL IV

    Sekundärnutzung elektronischer Gesundheitsdaten

    Abschnitt 1

    Allgemeine Bedingungen für die Sekundärnutzung elektronischer Gesundheitsdaten

    Artikel 33

    Mindestkategorien elektronischer Daten für die Sekundärnutzung

    (1)Die Dateninhaber stellen die folgenden Kategorien elektronischer Daten für die Sekundärnutzung gemäß den Bestimmungen dieses Kapitels zur Verfügung:

    a)elektronische Patientenakten;

    b)Daten zu gesundheitsrelevanten Faktoren, einschließlich sozialer, umweltbedingter und verhaltensbezogener Gesundheitsfaktoren;

    c)relevante genomische Daten zu Erregern mit Auswirkungen auf die menschliche Gesundheit;

    d)gesundheitsbezogene Verwaltungsdaten, einschließlich Daten zu Forderungen und Erstattungen;

    e)humangenetische, genomische und proteomische Daten;

    f)personengenerierte elektronische Gesundheitsdaten, einschließlich Medizinprodukten, Wellness-Anwendungen oder sonstiger digitaler Gesundheitsanwendungen;

    g)Daten zur Identifizierung von Angehörigen der Gesundheitsberufe, die an der Behandlung einer natürlichen Person beteiligt sind;

    h)Gesundheitsdaten aus bevölkerungsweiten Registern (Register zur öffentlichen Gesundheit);

    i)elektronische Gesundheitsdaten aus medizinischen Registern für bestimmte Krankheiten;

    j)elektronische Gesundheitsdaten aus klinischen Prüfungen;

    k)elektronische Gesundheitsdaten aus Medizinprodukten und Registern für Arzneimittel und Medizinprodukte;

    l)Forschungskohorten, Fragebögen und Erhebungen zum Thema Gesundheit;

    m)elektronische Gesundheitsdaten aus Biobanken und speziellen Datenbanken;

    n)gesundheitsrelevante elektronische Daten zu Versicherungsstatus, beruflichem Status, Bildung, Lebensstil und Wohlbefinden sowie Verhaltensdaten;

    o)elektronische Gesundheitsdaten mit Verbesserungen verschiedener Art wie Berichtigungen, Anmerkungen oder Anreicherungen, die der Dateninhaber nach einer Verarbeitung auf der Grundlage einer Datengenehmigung erhalten hat.

    (2)Die Anforderung gemäß Absatz 1 gilt nicht für Dateninhaber, die als Kleinstunternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission 59 gelten.

    (3)Die in Absatz 1 genannten elektronischen Gesundheitsdaten umfassen Daten, die für die Bereitstellung von Gesundheitsversorgung oder Pflege oder für die Zwecke der öffentlichen Gesundheit, Forschung, Innovation, Politikgestaltung, amtlichen Statistik, Patientensicherheit oder Regulierung verarbeitet werden und von Organisationen oder Einrichtungen im Gesundheits- oder Pflegesektor, einschließlich öffentlicher und privater Anbieter von Gesundheits- oder Pflegediensten, Organisationen oder Einrichtungen, die Forschungstätigkeiten hinsichtlich dieser Sektoren durchführen, und Organen, Einrichtungen und sonstigen Stellen der Union erhoben werden.

    (4)Elektronische Gesundheitsdaten, die geschütztes geistiges Eigentum und Geschäftsgeheimnisse privater Unternehmen beinhalten, werden für die Sekundärnutzung zur Verfügung gestellt. Werden diese Daten für die Sekundärnutzung zur Verfügung gestellt, so werden alle erforderlichen Maßnahmen ergriffen, um die Vertraulichkeit von Rechten des geistigen Eigentums und von Geschäftsgeheimnissen zu wahren.

    (5)Ist nach nationalem Recht die Einwilligung der natürlichen Person erforderlich, so berufen sich die Zugangsstellen für Gesundheitsdaten bei der Gewährung des Zugangs zu elektronischen Gesundheitsdaten auf die in diesem Kapitel festgelegten Pflichten.

    (6)Erlangt eine öffentliche Stelle Daten in einer Notstandssituation im Sinne des Artikels 15 Buchstabe a oder b der Verordnung [...] [Datengesetz (COM(2022) 68 final)] und gemäß den Bestimmungen der genannten Verordnung, so kann sie von einer Zugangsstelle für Gesundheitsdaten technische Unterstützung bei der Verarbeitung der Daten oder bei deren Kombination mit anderen Daten zur gemeinsamen Analyse erhalten.

    (7)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zur Änderung der Liste in Absatz 1 zu erlassen, um sie an die Entwicklung der verfügbaren elektronischen Gesundheitsdaten anzupassen.

    (8)Die Zugangsstellen für Gesundheitsdaten können Zugang zu elektronischen Gesundheitsdaten weiterer Kategorien gewähren, die ihnen nach nationalem Recht oder auf der Grundlage der freiwilligen Zusammenarbeit mit den einschlägigen Dateninhabern auf nationaler Ebene anvertraut wurden, insbesondere zu elektronischen Gesundheitsdaten im Besitz privater Einrichtungen im Gesundheitssektor.

    Artikel 34

    Zwecke, für die elektronische Gesundheitsdaten zur Sekundärnutzung verarbeitet werden können

    (1)Die Zugangsstellen für Gesundheitsdaten gewähren den Zugang zu den in Artikel 33 genannten elektronischen Gesundheitsdaten nur dann, wenn der Antragsteller mit der Verarbeitung einen der folgenden Zwecke verfolgt: 

    a)Tätigkeiten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und der Gesundheit am Arbeitsplatz, z. B. Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, Überwachung der öffentlichen Gesundheit oder Gewährleistung hoher Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel oder Medizinprodukte;

    b)Unterstützung von öffentlichen Stellen oder Organen, Einrichtungen und sonstigen Stellen der Union, einschließlich Regulierungsbehörden, im Gesundheits- oder Pflegesektor bei der Wahrnehmung ihrer in ihren Mandaten festgelegten Aufgaben;

    c)Erstellung amtlicher Statistiken über den Gesundheits- oder Pflegesektor auf nationaler, multinationaler und Unionsebene;

    d)Bildungs- oder Lehrtätigkeiten im Gesundheits- oder Pflegesektor;

    e)wissenschaftliche Forschung im Bereich des Gesundheits- oder Pflegesektors;

    f)Entwicklungs- und Innovationstätigkeiten für Produkte oder Dienste, die zur öffentlichen Gesundheit oder sozialen Sicherheit beitragen oder hohe Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel oder Medizinprodukte gewährleisten;

    g)Training, Erprobung und Bewertung von Algorithmen, auch in Medizinprodukten, KI-Systemen und digitalen Gesundheitsanwendungen, die zur öffentlichen Gesundheit oder sozialen Sicherheit beitragen oder hohe Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel oder Medizinprodukte gewährleisten;

    h)Bereitstellung einer personalisierten Gesundheitsversorgung, bei der der Gesundheitszustand einer natürlichen Person auf der Grundlage der Gesundheitsdaten anderer natürlicher Personen bewertet, erhalten oder wiederhergestellt wird.

    (2)Entspricht der vom Antragsteller verfolgte Zweck der Verarbeitung einem der in Absatz 1 Buchstaben a bis c genannten Zwecke, so wird der Zugang zu elektronischen Gesundheitsdaten gemäß Artikel 33 nur öffentlichen Stellen sowie Organen, Einrichtungen und sonstigen Stellen der Union gewährt, die die ihnen durch das Unionsrecht oder das nationale Recht übertragenen Aufgaben wahrnehmen; dies gilt auch dann, wenn diese öffentlichen Stellen oder Organe, Einrichtungen und sonstigen Stellen der Union zur Erfüllung dieser Aufgaben einen Dritten mit der Datenverarbeitung beauftragen.

    (3)Im Einklang mit Artikel 15 der Verordnung [...] [Datengesetz (COM(2022) 68 final)] wird Zugang zu in privatem Besitz befindlichen Daten gewährleistet, um einem öffentlichen Notstand vorzubeugen, darauf zu reagieren oder Unterstützung bei dessen Bewältigung zu leisten.

    (4)Öffentliche Stellen oder Organe, Einrichtungen und sonstige Stellen der Union, die bei der Wahrnehmung der ihnen durch das Unionsrecht oder das nationale Recht übertragenen Aufgaben Zugang zu elektronischen Gesundheitsdaten erhalten, die geschütztes geistiges Eigentum und Geschäftsgeheimnisse beinhalten, ergreifen alle notwendigen spezifischen Maßnahmen, um die Vertraulichkeit dieser Daten zu wahren.

    Artikel 35

    Unerlaubte Sekundärnutzung elektronischer Gesundheitsdaten

    Es ist verboten, für die folgenden Zwecke auf elektronische Gesundheitsdaten, die mittels einer Datengenehmigung gemäß Artikel 46 erlangt wurden, zuzugreifen und diese zu verarbeiten:

    a)Treffen von Entscheidungen zum Schaden einer natürlichen Person auf der Grundlage ihrer elektronischen Gesundheitsdaten; unter „Entscheidungen“ sind solche zu verstehen, die Rechtswirkung erzeugen oder die natürliche Person in ähnlich erheblicher Weise betreffen;

    b)Treffen von Entscheidungen in Bezug auf eine natürliche Person oder Gruppen natürlicher Personen, um diese von der Inanspruchnahme eines Versicherungsvertrags auszuschließen oder ihre Beiträge und Versicherungsprämien zu ändern;

    c)Werbe- oder Vermarktungstätigkeiten, die auf Angehörige der Gesundheitsberufe, Organisationen im Gesundheitswesen oder natürliche Personen abzielen;

    d)Gewährung von Zugang zu den elektronischen Gesundheitsdaten oder anderweitige Bereitstellung dieser Daten für Dritte, die nicht in der Datengenehmigung genannt sind;

    e)Entwicklung von Produkten oder Diensten, die Einzelpersonen und Gesellschaften insgesamt schaden können, darunter illegale Drogen, alkoholische Getränke, Tabakerzeugnisse oder Waren oder Dienstleistungen, die so konzipiert sind oder verändert werden, dass sie gegen die öffentliche Ordnung oder die guten Sitten verstoßen.

    Abschnitt 2

    Governance der Sekundärnutzung elektronischer Gesundheitsdaten und ihre Mechanismen

    Artikel 36

    Zugangsstellen für Gesundheitsdaten

    (1)Die Mitgliedstaaten benennen eine oder mehrere Zugangsstellen für Gesundheitsdaten, die dafür zuständig sind, den Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung zu gewähren. Die Mitgliedstaaten können entweder eine oder mehrere neue öffentliche Stellen einrichten oder sich bestehender öffentlicher Stellen oder interner Dienststellen innerhalb öffentlicher Stellen bedienen, die die Bedingungen dieses Artikels erfüllen. Benennt ein Mitgliedstaat mehrere Zugangsstellen für Gesundheitsdaten, so benennt er eine Zugangsstelle für Gesundheitsdaten mit Koordinierungsfunktion, die für die Koordinierung der Anfragen mit den anderen Zugangsstellen für Gesundheitsdaten zuständig ist.

    (2)Die Mitgliedstaaten stellen sicher, dass jede Zugangsstelle für Gesundheitsdaten mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können.

    (3)Bei der Wahrnehmung ihrer Aufgaben arbeiten die Zugangsstellen für Gesundheitsdaten aktiv mit Vertretern der Interessenträger zusammen, insbesondere mit Vertretern von Patienten, Dateninhabern und Datennutzern. Das Personal der Zugangsstellen für Gesundheitsdaten vermeidet Interessenkonflikte. Die Zugangsstellen für Gesundheitsdaten sind in ihren Entscheidungen an keinerlei Weisungen gebunden.

    (4)Die Mitgliedstaaten teilen der Kommission bis zum Geltungsbeginn dieser Verordnung die Namen der nach Absatz 1 benannten Zugangsstellen für Gesundheitsdaten mit. Sie teilen der Kommission auch alle späteren diesbezüglichen Änderungen mit. Die Kommission und die Mitgliedstaaten machen diese Informationen öffentlich zugänglich.

    Artikel 37

    Aufgaben der Zugangsstellen für Gesundheitsdaten

    (1)Die Zugangsstellen für Gesundheitsdaten nehmen folgende Aufgaben wahr:

    a)sie entscheiden über Anträge auf Datenzugang gemäß Artikel 45, erteilen Datengenehmigungen gemäß Artikel 46 für den Zugang zu elektronischen Gesundheitsdaten, die in ihren nationalen Zuständigkeitsbereich für die Sekundärnutzung fallen, und stellen diese aus und sie entscheiden über Datenanfragen gemäß Kapitel II der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] und diesem Kapitel;

    b)sie unterstützen öffentliche Stellen bei der Wahrnehmung der Aufgaben, die in ihrem Mandat auf der Grundlage des nationalen Rechts oder des Unionsrechts festgelegt sind;

    c)sie unterstützen Organe, Einrichtungen und sonstige Stellen der Union bei der Wahrnehmung von Aufgaben, die im Mandat der Organe, Einrichtungen und sonstigen Stellen der Union auf der Grundlage des nationalen Rechts oder des Unionsrechts festgelegt sind;

    d)sie verarbeiten elektronische Gesundheitsdaten für die in Artikel 34 genannten Zwecke, einschließlich der Erhebung, Kombination, Aufbereitung und Offenlegung dieser Daten für die Sekundärnutzung auf der Grundlage einer Datengenehmigung;

    e)sie verarbeiten elektronische Gesundheitsdaten anderer relevanter Dateninhaber auf der Grundlage einer Datengenehmigung oder einer Datenanfrage für einen der in Artikel 34 genannten Zwecke;

    f)sie ergreifen alle erforderlichen Maßnahmen, um die Vertraulichkeit von Rechten des geistigen Eigentums und von Geschäftsgeheimnissen zu wahren;

    g)sie sammeln und kompilieren die erforderlichen elektronischen Gesundheitsdaten von den verschiedenen Dateninhabern, deren elektronische Gesundheitsdaten in den Geltungsbereich dieser Verordnung fallen, und gewähren Zugang zu diesen Daten und stellen sie den Datennutzern in einer sicheren Verarbeitungsumgebung gemäß den Anforderungen des Artikels 50 zur Verfügung;

    h)sie beteiligen sich an den datenaltruistischen Tätigkeiten gemäß Artikel 40;

    i)sie unterstützen die Entwicklung von KI-Systemen, das Trainieren, Testen und Validieren von KI-Systemen und die Entwicklung harmonisierter Normen und Leitlinien gemäß der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] für das Trainieren, Testen und Validieren von KI-Systemen im Gesundheitswesen;

    j)sie arbeiten mit den Dateninhabern zusammen und beaufsichtigen diese, um die kohärente und präzise Umsetzung des Datenqualitäts- und -nutzenlabels gemäß Artikel 56 sicherzustellen;

    k)sie unterhalten ein Managementsystem zur Aufzeichnung und Verarbeitung von Datenzugangsanträgen, Datenanfragen sowie der erteilten Datengenehmigungen und beantworteten Datenanfragen, das mindestens Informationen über den Namen des Datenzugangsantragstellers, den Zweck des Zugangs, das Ausstellungsdatum, die Dauer der Datengenehmigung und eine Beschreibung des Datenzugangsantrags oder der Datenanfrage enthält;

    l)sie unterhalten ein öffentliches Informationssystem, um den Verpflichtungen nach Artikel 38 nachzukommen;

    m)sie kooperieren auf Unionsebene und auf nationaler Ebene bei der Festlegung geeigneter Maßnahmen und Anforderungen für den Zugang zu elektronischen Gesundheitsdaten in einer sicheren Verarbeitungsumgebung;

    n)sie kooperieren auf Unionsebene und nationaler Ebene und beraten die Kommission in Bezug auf Techniken und bewährte Verfahren für die Nutzung und Verwaltung elektronischer Gesundheitsdaten;

    o)sie erleichtern den grenzüberschreitenden Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung, die in anderen Mitgliedstaaten gehostet werden, mithilfe von HealthData@EU und kooperieren eng miteinander und mit der Kommission;

    p)sie übermitteln dem Dateninhaber kostenfrei vor Ablauf der Datengenehmigung eine Kopie des berichtigten, kommentierten oder angereicherten Datensatzes, soweit zutreffend, und eine Beschreibung der am ursprünglichen Datensatz durchgeführten Vorgänge; 

    q)sie veröffentlichen auf elektronischem Wege Folgendes:

    i)einen nationalen Datensatzkatalog, der genaue Angaben über die Quelle und die Art der elektronischen Gesundheitsdaten gemäß den Artikeln 56 und 58 sowie die Bedingungen für die Bereitstellung elektronischer Gesundheitsdaten enthält. Der nationale Datensatzkatalog wird auch den zentralen Informationsstellen gemäß Artikel 8 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] zur Verfügung gestellt;

    ii)alle Datengenehmigungen sowie die entsprechenden Anfragen und Anträge, und zwar innerhalb von 30 Arbeitstagen nach Erteilung der Datengenehmigung oder Beantwortung einer Datenanfrage auf ihren Websites;

    iii)die gemäß Artikel 43 verhängten Sanktionen;

    iv)die von den Datennutzern gemäß Artikel 46 Absatz 11 mitgeteilten Ergebnisse;

    r)sie kommen den Verpflichtungen gegenüber natürlichen Personen gemäß Artikel 38 nach;

    s)sie holen bei den Datennutzern und Dateninhabern alle relevanten Informationen ein, damit sie die Umsetzung dieses Kapitels überprüfen können;

    t)sie nehmen alle weiteren Aufgaben im Zusammenhang mit der Bereitstellung der Sekundärnutzung elektronischer Gesundheitsdaten im Rahmen dieser Verordnung wahr.

    (2)Bei der Wahrnehmung ihrer Aufgaben gehen die Zugangsstellen für Gesundheitsdaten wie folgt vor:

    a)sie arbeiten mit den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 in Bezug auf personenbezogene elektronische Gesundheitsdaten und mit dem EHDS-Ausschuss zusammen;

    b)sie unterrichten die zuständigen Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725, wenn eine Zugangsstelle für Gesundheitsdaten Sanktionen oder andere Maßnahmen gemäß Artikel 43 im Zusammenhang mit einer Verarbeitung personenbezogener elektronischer Gesundheitsdaten verhängt hat und wenn sich diese Verarbeitung auf den Versuch, die Identität einer Person wieder zu rekonstruieren, oder auf die unrechtmäßige Verarbeitung personenbezogener elektronischer Gesundheitsdaten bezieht;

    c)sie arbeitet mit Interessenträgern, einschließlich Patientenorganisationen, mit Vertretern natürlicher Personen, mit Angehörigen der Gesundheitsberufe, Forschern und Ethikausschüssen – gegebenenfalls im Einklang mit dem Unionsrecht und dem nationalen Recht – zusammen;

    d)sie arbeitet mit anderen zuständigen nationalen Stellen, einschließlich der nationalen zuständigen Stellen für die Beaufsichtigung der datenaltruistischen Organisationen gemäß der Verordnung [...] [Daten-Governance-Gesetz (COM/2020/767 final)], den zuständigen Behörden gemäß der Verordnung [...] [Datengesetz (COM(2022) 68 final)] und den für die Verordnung (EU) 2017/745 und die Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] zuständigen nationalen Behörden zusammen.

    (3)Die Zugangsstellen für Gesundheitsdaten können öffentliche Stellen unterstützen, wenn diese auf der Grundlage von Artikel 14 der Verordnung [...] [Datengesetz (COM(2022) 68 final)] auf elektronische Gesundheitsdaten zugreifen.

    (4)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zur Änderung der Liste der Aufgaben nach Absatz 1 zu erlassen, um der Entwicklung der Tätigkeiten der Zugangsstellen für Gesundheitsdaten Rechnung zu tragen.

    Artikel 38

    Pflichten der Zugangsstellen für Gesundheitsdaten gegenüber natürlichen Personen

    (1)Die Zugangsstellen für Gesundheitsdaten machen die Bedingungen, unter denen elektronische Gesundheitsdaten für die Sekundärnutzung zur Verfügung gestellt werden, öffentlich zugänglich und leicht durchsuchbar; dabei geben sie folgende Informationen an:

    a)die Rechtsgrundlage für die Gewährung des Zugangs;

    b)die technischen und organisatorischen Maßnahmen, die zum Schutz der Rechte natürlicher Personen ergriffen werden;

    c)die geltenden Rechte natürlicher Personen hinsichtlich der Sekundärnutzung von elektronischen Gesundheitsdaten;

    d)die Modalitäten, unter denen natürliche Personen ihre Rechte gemäß Kapitel III der Verordnung (EU) 2016/679 wahrnehmen können;

    e)die Ergebnisse oder Resultate der Projekte, für die die elektronischen Gesundheitsdaten verwendet wurden.

    (2)Die Zugangsstellen für Gesundheitsdaten sind nicht verpflichtet, jeder natürlichen Person die spezifischen Informationen gemäß Artikel 14 der Verordnung (EU) 2016/679 über die Verwendung ihrer Daten für Projekte, für die eine Datengenehmigung erteilt wurde, zur Verfügung zu stellen, aber sie machen allgemeine Informationen über alle gemäß Artikel 46 erteilten Datengenehmigungen öffentlich verfügbar.

    (3)Wird eine Zugangsstelle für Gesundheitsdaten von einem Datennutzer über einen Befund informiert, der sich auf die Gesundheit einer natürlichen Person auswirken kann, so kann die Zugangsstelle für Gesundheitsdaten die natürliche Person und ihre behandelnden Angehörigen der Gesundheitsberufe über diesen Befund unterrichten.

    (4)Die Mitgliedstaaten unterrichten die breite Öffentlichkeit regelmäßig über die Aufgaben und den Nutzen der Zugangsstellen für Gesundheitsdaten.

    Artikel 39

    Berichterstattung durch die Zugangsstellen für Gesundheitsdaten

    (1)Jede Zugangsstelle für Gesundheitsdaten veröffentlicht einen jährlichen Tätigkeitsbericht, der mindestens Folgendes enthält:

    a)Informationen über die für den elektronischen Zugang zu Gesundheitsdaten gestellten Datenzugangsanträge, wie die Art der Antragsteller, die Anzahl der erteilten oder verweigerten Datengenehmigungen, die Zwecke des Zugangs und die Kategorien elektronischer Gesundheitsdaten, auf die zugegriffen wird, sowie gegebenenfalls eine Zusammenfassung der Resultate der Verwendung elektronischer Gesundheitsdaten;

    b)eine Liste der Datengenehmigungen, die den Zugang zu elektronischen Gesundheitsdaten betreffen, die von der Zugangsstelle für Gesundheitsdaten auf der Grundlage von Datenaltruismus verarbeitet werden, und gegebenenfalls eine zusammenfassende Beschreibung der verfolgten allgemeinen Interessen, einschließlich der Ergebnisse der erteilten Datengenehmigungen;

    c)Informationen über die Erfüllung rechtlicher und vertraglicher Verpflichtungen durch Datennutzer und Dateninhaber sowie über verhängte Sanktionen;

    d)Informationen über Audits, die bei Datennutzern durchgeführt wurden, um sicherzustellen, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgte;

    e)Informationen über Audits hinsichtlich der Übereinstimmung der sicheren Verarbeitungsumgebungen mit den festgelegten Normen, Spezifikationen und Anforderungen;

    f)Informationen über die Bearbeitung von Anfragen natürlicher Personen betreffend die Wahrnehmung ihrer Datenschutzrechte;

    g)eine Beschreibung der Tätigkeiten im Zusammenhang mit der Einbeziehung und Konsultation relevanter Interessenträger, einschließlich Vertretern natürlicher Personen, Patientenorganisationen, Angehörigen der Gesundheitsberufe, Forschenden und Ethikausschüssen;

    h)Informationen über die Zusammenarbeit mit anderen zuständigen Stellen, insbesondere in den Bereichen Datenschutz, Cybersicherheit, Datenaltruismus und künstliche Intelligenz;

    i)Einnahmen aus Datengenehmigungen und Datenanfragen;

    j)Zufriedenheit der Antragsteller, die Zugang zu Daten beantragen;

    k)durchschnittliche Anzahl der zwischen der Antragstellung und dem Datenzugang verstrichenen Tage;

    l)Anzahl der ausgegebenen Datenqualitätslabel, aufgeschlüsselt nach Qualitätskategorie;

    m)Anzahl der einer Peer-Review unterzogenen Forschungsveröffentlichungen, politischen Papiere und Regulierungsverfahren, für die Daten verwendet wurden, auf die über den EHDS zugegriffen wurde;

    n)Anzahl der digitalen Gesundheitsprodukte und -dienste, einschließlich KI-Anwendungen, die mithilfe von Daten entwickelt wurden, auf die über den EHDS zugegriffen wurde.

    (2)Der Bericht wird an die Kommission übermittelt.

    (3)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zur Änderung des Inhalts des jährlichen Tätigkeitsberichts zu erlassen.

    Artikel 40

    Datenaltruismus im Gesundheitswesen

    (1)Bei der Verarbeitung personenbezogener elektronischer Gesundheitsdaten halten datenaltruistische Organisationen die Vorschriften des Kapitels IV der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] ein. Werden von datenaltruistischen Organisationen personenbezogene elektronische Gesundheitsdaten unter Verwendung einer sicheren Verarbeitungsumgebung verarbeitet, erfüllen diese Umgebungen auch die Anforderungen gemäß Artikel 50.

    (2)Die Zugangsstellen für Gesundheitsdaten unterstützen die gemäß Artikel 23 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] benannten zuständigen Behörden bei der Überwachung von Einrichtungen, die datenaltruistische Tätigkeiten durchführen.

    Artikel 41

    Pflichten der Dateninhaber

    (1)Ist ein Dateninhaber gemäß Artikel 33 oder anderen Rechtsvorschriften der Union oder nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts verpflichtet, elektronische Gesundheitsdaten bereitzustellen, so arbeitet er gegebenenfalls mit den Zugangsstellen für Gesundheitsdaten loyal zusammen.

    (2)Der Dateninhaber übermittelt der Zugangsstelle für Gesundheitsdaten eine allgemeine Beschreibung des Datensatzes, über den er verfügt, gemäß Artikel 55.

    (3)Ist dem Datensatz ein Datenqualitäts- und -nutzenlabel gemäß Artikel 56 beigefügt, so stellt der Dateninhaber der Zugangsstelle für Gesundheitsdaten eine ausreichende Dokumentation zur Verfügung, damit diese die Richtigkeit des Labels bestätigen kann.

    (4)Der Dateninhaber stellt der Zugangsstelle für Gesundheitsdaten die elektronischen Gesundheitsdaten innerhalb von zwei Monaten nach Erhalt des Antrags der Zugangsstelle für Gesundheitsdaten zur Verfügung. In Ausnahmefällen kann diese Frist von der Zugangsstelle für Gesundheitsdaten um zwei Monate verlängert werden.

    (5)Hat ein Dateninhaber nach einer Verarbeitung auf der Grundlage einer Datengenehmigung angereicherte Datensätze erhalten, so stellt er den neuen Datensatz bereit, es sei denn, er hält ihn für ungeeignet und teilt dies der Zugangsstelle für Gesundheitsdaten mit.

    (6)Die Dateninhaber nicht personenbezogener elektronischer Gesundheitsdaten gewährleisten den Zugang zu den Daten mithilfe vertrauenswürdiger offener Datenbanken, um den uneingeschränkten Zugang für alle Nutzer sowie die Speicherung und elektronische Archivierung der Daten zu gewährleisten. Vertrauenswürdige, offene, öffentlich zugängliche Datenbanken führen eine solide, transparente und nachhaltige Governance und ein transparentes Modell für den Zugang der Nutzer ein.

    (7)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zur Änderung der Pflichten der Dateninhaber nach diesem Artikel zu erlassen, um der Entwicklung der durch die Dateninhaber ausgeführten Tätigkeiten Rechnung zu tragen.

    Artikel 42

    Gebühren

    (1)Die Zugangsstellen für Gesundheitsdaten und einzelne Dateninhaber können für die Bereitstellung elektronischer Gesundheitsdaten für die Sekundärnutzung Gebühren erheben. Alle Gebühren enthalten im Einklang mit Artikel 6 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] die Kosten, die im Zusammenhang mit der Durchführung des Verfahrens bei Anforderungen, darunter auch für die Bewertung eines Datenzugangsantrags oder einer Datenanfrage, der Erteilung, Verweigerung oder Änderung einer Datengenehmigung gemäß den Artikeln 45 und 46 oder der Beantwortung einer Datenanfrage gemäß Artikel 47, entstehen, und werden aus ihnen abgeleitet.

    (2)Befinden sich die betreffenden Daten nicht im Besitz der Datenzugangsstelle oder einer öffentlichen Stelle, so können die Gebühren zusätzlich zu den Gebühren, die gemäß Absatz 1 erhoben werden können, auch einen Ausgleich für einen Teil der Kosten für die spezifische Erhebung der elektronischen Gesundheitsdaten gemäß dieser Verordnung umfassen. Der Teil der Gebühren, der mit den Kosten des Dateninhabers zusammenhängt, wird dem Dateninhaber ausgezahlt.

    (3)Die elektronischen Gesundheitsdaten gemäß Artikel 33 Absatz 1 Buchstabe o werden einem neuen Nutzer kostenfrei oder gegen eine Gebühr bereitgestellt, die dem Ausgleich für die Kosten der personellen und technischen Ressourcen entspricht, die für die Anreicherung der elektronischen Gesundheitsdaten eingesetzt wurden. Diese Gebühr wird der Einrichtung ausgezahlt, die die elektronischen Gesundheitsdaten angereichert hat.

    (4)Alle Gebühren, die Datennutzern von den Zugangsstellen für Gesundheitsdaten oder Dateninhabern gemäß diesem Artikel in Rechnung gestellt werden, sind transparent und stehen in einem angemessenen Verhältnis zu den Kosten für die Erhebung und Bereitstellung elektronischer Gesundheitsdaten für die Sekundärnutzung, sind objektiv gerechtfertigt und schränken den Wettbewerb nicht ein. Die Förderung, die der Dateninhaber aus Spenden, öffentlichen nationalen Mitteln oder Unionsmitteln für die Erstellung, Entwicklung oder Aktualisierung dieses Datensatzes erhält, bleibt bei dieser Berechnung unberücksichtigt. Bei der Festlegung der Gebühren werden die spezifischen Interessen und Erfordernisse von KMU, öffentlichen Stellen, Organen, Einrichtungen und sonstigen Stellen der Union, die mit Forschung, Gesundheitspolitik oder -analyse befasst sind, sowie von Bildungseinrichtungen und Gesundheitsdienstleistern dadurch berücksichtigt, dass diese Gebühren proportional zu ihrer Größe oder ihrem Budget gesenkt werden.

    (5)Einigen sich Dateninhaber und Datennutzer nicht innerhalb eines Monats nach Erteilung der Datengenehmigung auf die Höhe der Gebühren, so kann die Zugangsstelle für Gesundheitsdaten die Gebühren proportional zu den Kosten der Bereitstellung elektronischer Gesundheitsdaten für die Sekundärnutzung festsetzen. Ist der Dateninhaber oder der Datennutzer mit der von der Zugangsstelle für Gesundheitsdaten festgesetzten Gebühr nicht einverstanden, so hat er Zugang zu den Streitbeilegungsstellen gemäß Artikel 10 der Verordnung [...] [Datengesetz (COM(2022) 68 final)].

    (6)Die Kommission kann im Wege von Durchführungsrechtsakten Grundsätze und Vorschriften für die Gebührenpolitik und die Gebührenstrukturen festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 43

    Von den Zugangsstellen für Gesundheitsdaten verhängte Sanktionen

    (1)Die Zugangsstellen für Gesundheitsdaten überwachen und beaufsichtigen die Einhaltung der in diesem Kapitel festgelegten Anforderungen durch die Datennutzer und Dateninhaber.

    (2)Wenn die Zugangsstellen für Gesundheitsdaten von den Datennutzern und Dateninhabern die Informationen anfordern, die zur Überprüfung der Einhaltung dieses Kapitels erforderlich sind, so stehen diese in einem angemessenen Verhältnis zur Wahrnehmung ihrer Aufgabe der Überprüfung der Einhaltung.

    (3)Stellen die Zugangsstellen für Gesundheitsdaten fest, dass ein Datennutzer oder Dateninhaber die Anforderungen dieses Kapitels nicht einhält, so teilen sie dem Datennutzer oder Dateninhaber diese Feststellungen unverzüglich mit und geben ihm Gelegenheit, innerhalb von zwei Monaten Stellung zu nehmen.

    (4)Die Zugangsstellen für Gesundheitsdaten sind befugt, die gemäß Artikel 46 erteilte Datengenehmigung zu widerrufen und den betroffenen Verarbeitungsvorgang elektronischer Gesundheitsdaten durch den Datennutzer zu beenden, um sicherzustellen, dass die Nichteinhaltung gemäß Absatz 3 unverzüglich oder innerhalb einer angemessenen Frist beendet wird, und ergreifen geeignete und verhältnismäßige Maßnahmen, um die Einhaltung bei der Verarbeitung durch die Datennutzer sicherzustellen. In diesem Zusammenhang können die Zugangsstellen für Gesundheitsdaten gegebenenfalls die Datengenehmigung widerrufen und den Datennutzer für einen Zeitraum von bis zu fünf Jahren von jeglichem Zugang zu elektronischen Gesundheitsdaten ausschließen.

    (5)Enthalten die Dateninhaber den Zugangsstellen für Gesundheitsdaten elektronische Gesundheitsdaten mit der eindeutigen Absicht vor, die Nutzung elektronischer Gesundheitsdaten zu behindern, oder halten diese die in Artikel 41 festgelegten Fristen nicht ein, ist die Zugangsstelle für Gesundheitsdaten befugt, gegen den Dateninhaber Geldbußen für jeden Tag der Verzögerung zu verhängen, die transparent und verhältnismäßig sind. Die Höhe der Geldbußen wird von der Zugangsstelle für Gesundheitsdaten festgelegt. Bei wiederholten Verstößen des Dateninhabers gegen die Verpflichtung zur loyalen Zusammenarbeit mit der Zugangsstelle für Gesundheitsdaten kann diese Stelle den Dateninhaber für einen Zeitraum von bis zu fünf Jahren von der Teilnahme am EHDS ausschließen. Wurde ein Dateninhaber aufgrund der eindeutigen Absicht, die Sekundärnutzung elektronischer Gesundheitsdaten zu behindern, gemäß diesem Artikel von der Teilnahme am EHDS ausgeschlossen, ist er nicht mehr berechtigt, Zugang zu Gesundheitsdaten gemäß Artikel 49 zu gewähren.

    (6)Die Zugangsstellen für Gesundheitsdaten teilen dem Datennutzer oder dem Dateninhaber unverzüglich die gemäß Absatz 4 verhängten Maßnahmen und die Gründe dafür mit und setzen dem Datennutzer oder dem Dateninhaber eine angemessene Frist, damit er den Maßnahmen nachkommen kann.

    (7)Alle gemäß Absatz 4 verhängten Sanktionen und Maßnahmen werden anderen Zugangsstellen zu Gesundheitsdaten bereitgestellt.

    (8)Die Kommission kann im Wege eines Durchführungsrechtsakts die Architektur eines IT-Instruments festlegen, das dazu dient, die in diesem Artikel genannten Maßnahmen, insbesondere Sanktionen und Ausschlüsse, zu unterstützen und gegenüber anderen Zugangsstellen für Gesundheitsdaten transparent zu machen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (9)Jede natürliche oder juristische Person, die von einer Entscheidung einer Zugangsstelle für Gesundheitsdaten betroffen ist, hat Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf gegen diese Entscheidung.

    (10)Die Kommission kann Leitlinien für Sanktionen herausgeben, die von den Zugangsstellen für Gesundheitsdaten verhängt werden.

    Abschnitt 3

    Datengenehmigung für die Sekundärnutzung elektronischer Gesundheitsdaten

    Artikel 44

    Datenminimierung und Zweckbegrenzung

    (1)Die Zugangsstelle für Gesundheitsdaten stellt sicher, dass der Zugang nur zu den beantragten elektronischen Gesundheitsdaten gewährt wird, die für den Zweck der Verarbeitung relevant sind, den der Datennutzer im Datenzugangsantrag angegeben hat und der mit der erteilten Datengenehmigung übereinstimmt.

    (2)Die Zugangsstellen für Gesundheitsdaten stellen die elektronischen Gesundheitsdaten in einem anonymisierten Format zur Verfügung, wenn der Zweck der Verarbeitung durch den Datennutzer mit diesen Daten erreicht werden kann, wobei die vom Datennutzer angegebenen Informationen berücksichtigt werden.

    (3)Kann der Zweck der Verarbeitung durch den Datennutzer unter Berücksichtigung der vom Datennutzer angegebenen Informationen nicht mit anonymisierten Daten erreicht werden, gewähren die Zugangsstellen für Gesundheitsdaten den Zugang zu elektronischen Gesundheitsdaten in einem pseudonymisierten Format. Die Informationen, die erforderlich sind, um die Pseudonymisierung rückgängig zu machen, stehen nur der Zugangsstelle zu Gesundheitsdaten zur Verfügung. Datennutzer stellen die Identität der ihnen in pseudonymisiertem Format zur Verfügung gestellten elektronischen Gesundheitsdaten nicht wieder her. Bei Nichteinhaltung der von der Zugangsstelle für Gesundheitsdaten zur Gewährleistung der Pseudonymisierung ergriffenen Maßnahmen durch den Datennutzer werden angemessene Sanktionen verhängt.

    Artikel 45

    Anträge auf Datenzugang

    (1)Jede natürliche oder juristische Person kann für die in Artikel 34 genannten Zwecke einen Antrag auf Datenzugang stellen.

    (2)Der Antrag auf Datenzugang enthält Folgendes:

    a)eine ausführliche Erläuterung der beabsichtigten Verwendung der elektronischen Gesundheitsdaten, einschließlich der Angabe, zu welchem der in Artikel 34 Absatz 1 genannten Zwecke der Zugang beantragt wird;

    b)eine Beschreibung der beantragten elektronischen Gesundheitsdaten, ihres Formats und der Datenquellen, soweit möglich, einschließlich der geografischen Abdeckung, falls Daten aus mehreren Mitgliedstaaten beantragt werden;

    c)eine Angabe, ob elektronische Gesundheitsdaten in anonymisierter Form bereitgestellt werden sollen;

    d)gegebenenfalls eine Erläuterung der Gründe für die Beantragung des Zugangs zu elektronischen Gesundheitsdaten in pseudonymisiertem Format;

    e)eine Beschreibung der Sicherungsmaßnahmen, die zur Verhinderung einer anderweitigen Nutzung der elektronischen Gesundheitsdaten geplant sind;

    f)eine Beschreibung der Sicherungsmaßnahmen, die zum Schutz der Rechte und Interessen des Dateninhabers und der betroffenen natürlichen Personen geplant sind;

    g)eine Schätzung des Zeitraums, in dem die elektronischen Gesundheitsdaten für die Verarbeitung benötigt werden;

    h)eine Beschreibung der für ein sicheres Umfeld erforderlichen Instrumente und Rechenressourcen.

    (3)Datennutzer, die Zugang zu elektronischen Gesundheitsdaten aus mehr als einem Mitgliedstaat benötigen, stellen einen einzigen Antrag bei einer der betroffenen Zugangsstellen für Gesundheitsdaten ihrer Wahl, die für die Weiterleitung des Antrags an andere Zugangsstellen für Gesundheitsdaten und die in Artikel 52 genannten befugten Teilnehmer von HealthData@EU zuständig ist, die im Datenzugangsantrag angegeben wurden. Bei Anträgen auf Zugang zu elektronischen Gesundheitsdaten aus mehr als einem Mitgliedstaat unterrichtet die Zugangsstelle für Gesundheitsdaten die anderen Zugangsstellen für Gesundheitsdaten innerhalb von 15 Tagen nach Eingang des Antrags auf Datenzugang über den Eingang eines für sie relevanten Antrags.

    (4)Will der Antragsteller auf die personenbezogenen elektronischen Gesundheitsdaten in einem pseudonymisierten Format zugreifen, werden zusammen mit dem Antrag auf Datenzugang folgende zusätzliche Informationen bereitgestellt:

    a)eine Beschreibung, wie Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 bei der Verarbeitung befolgt würde;

    b)Informationen über die Bewertung ethischer Aspekte der Verarbeitung – soweit zutreffend – gemäß dem nationalen Recht.

    (5)Für die Wahrnehmung der in Artikel 37 Absatz 1 Buchstaben b und c genannten Aufgaben stellen die öffentlichen Stellen und die Organe, Einrichtungen und sonstigen Stellen der Union dieselben Informationen zur Verfügung wie nach Artikel 45 Absatz 2 vorgesehen – mit Ausnahme der Informationen nach Buchstabe g, an deren Stelle sie Informationen über den Zeitraum übermitteln, in dem der Zugang zu den Daten erfolgen kann, die Häufigkeit des Zugangs oder die Häufigkeit der Datenaktualisierungen.

    Beabsichtigen die öffentlichen Stellen und die Organe, Einrichtungen und sonstigen Stellen der Union, auf die elektronischen Gesundheitsdaten in pseudonymisiertem Format zuzugreifen, legen sie zudem eine Beschreibung vor, wie Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 beziehungsweise Artikel 5 Absatz 1 der Verordnung (EU) 2018/1725 bei der Verarbeitung befolgt würden.

    (6)Die Kommission kann im Wege von Durchführungsrechtsakten die Muster für den Antrag auf Datenzugang gemäß diesem Artikel, die Datengenehmigung gemäß Artikel 46 und die Datenanfrage gemäß Artikel 47 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Verfahren erlassen.

    (7)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zur Änderung der Liste der Informationen nach den Absätzen 2, 4, 5 und 6 zu erlassen, um dafür zu sorgen, dass die Liste für die Bearbeitung eines Antrags auf Datenzugang auf nationaler oder grenzüberschreitender Ebene geeignet ist.

    Artikel 46

    Datengenehmigung

    (1)Die Zugangsstellen für Gesundheitsdaten prüfen, ob der Antrag einem der in Artikel 34 Absatz 1 aufgeführten Zwecke dient, ob die verlangten Daten für den im Antrag genannten Zweck erforderlich sind und ob der Antragsteller die Anforderungen dieses Kapitels erfüllt. Ist dies der Fall, stellt die Zugangsstelle für Gesundheitsdaten eine Datengenehmigung aus.

    (2)Die Zugangsstellen für Gesundheitsdaten lehnen jeden Antrag ab, der einen oder mehrere der in Artikel 35 aufgeführten Zwecke umfasst, oder wenn die Anforderungen dieses Kapitels nicht erfüllt sind.

    (3)Eine Zugangsstelle für Gesundheitsdaten erteilt oder verweigert eine Datengenehmigung innerhalb von zwei Monaten nach Eingang des Datenzugangsantrags. Abweichend von der Verordnung [...] [Data-Governance-Gesetz (COM(2020) 767 final)] kann die Zugangsstelle für Gesundheitsdaten die Frist für die Beantwortung eines Antrags auf Datenzugang um zwei Monate verlängern, wenn dies angesichts der Komplexität des Antrags erforderlich ist. In diesem Fall teilt die Zugangsstelle für Gesundheitsdaten dem Antragsteller so rasch wie möglich mit, dass für die Prüfung des Antrags mehr Zeit benötigt wird, und begründet die Verzögerung. Trifft eine Zugangsstelle für Gesundheitsdaten innerhalb der Frist keine Entscheidung, gilt die Datengenehmigung als erteilt.

    (4)Nach Erteilung der Datengenehmigung fordert die Zugangsstelle für Gesundheitsdaten die elektronischen Gesundheitsdaten unverzüglich beim Dateninhaber an. Die Zugangsstelle für Gesundheitsdaten stellt dem Datennutzer die elektronischen Gesundheitsdaten innerhalb von zwei Monaten bereit, nachdem sie diese von den Dateninhabern erhalten hat, es sei denn, die Zugangsstelle für Gesundheitsdaten gibt an, dass sie die Daten innerhalb eines längeren angegebenen Zeitrahmens bereitstellen wird.

    (5)Verweigert die Zugangsstelle für Gesundheitsdaten die Erteilung einer Datengenehmigung, so begründet sie dies gegenüber dem Antragsteller.

    (6)In der Datengenehmigung sind die für den Datennutzer geltenden allgemeinen Bedingungen dargelegt, insbesondere:

    a)Arten und Format der von der Datengenehmigung erfassten elektronischen Gesundheitsdaten, auf die zugegriffen wird, einschließlich ihrer Quellen;

    b)Zweck, für den Daten bereitgestellt werden;

    c)Gültigkeitsdauer der Datengenehmigung;

    d)Informationen über die technischen Merkmale und Instrumente, die dem Datennutzer in der sicheren Verarbeitungsumgebung zur Verfügung stehen;

    e)vom Datennutzer zu entrichtende Gebühren;

    f)etwaige zusätzliche besondere Bedingungen in der erteilten Datengenehmigung.

    (7)Datennutzer haben das Recht, auf die elektronischen Gesundheitsdaten entsprechend der ihnen auf der Grundlage dieser Verordnung erteilten Datengenehmigung zuzugreifen und sie zu verarbeiten.

    (8)Der Kommission wird die Befugnis übertragen, gemäß dem Verfahren des Artikels 67 delegierte Rechtsakte zur Änderung der Liste der Aspekte zu erlassen, die in einer Datengenehmigung nach Absatz 7 zu erfassen sind.

    (9)Eine Datengenehmigung wird so lange erteilt, wie es für die beantragten Zwecke erforderlich ist, längstens jedoch für fünf Jahre. Diese Frist kann auf Antrag des Datennutzers auf der Grundlage von Argumenten und Unterlagen zur Rechtfertigung dieser Verlängerung einen Monat vor Ablauf der Datengenehmigung einmalig um einen Zeitraum von höchstens fünf Jahren verlängert werden. Abweichend von Artikel 42 kann die Zugangsstelle für Gesundheitsdaten steigende Gebühren erheben, um den Kosten und Risiken einer Speicherung der elektronischen Gesundheitsdaten über einen längeren Zeitraum als die ursprünglichen fünf Jahre Rechnung zu tragen. Um diese Kosten und Gebühren zu senken, kann die Zugangsstelle für Gesundheitsdaten dem Datennutzer auch vorschlagen, den Datensatz in einem Speichersystem mit verringerter Kapazität zu speichern. Die in der sicheren Verarbeitungsumgebung befindlichen Daten werden innerhalb von sechs Monaten nach Ablauf der Datengenehmigung gelöscht. Auf Antrag des Datennutzers wird die Formel für die Erstellung des angeforderten Datensatzes von der Zugangsstelle für Gesundheitsdaten gespeichert.

    (10)Muss die Datengenehmigung aktualisiert werden, stellt der Datennutzer einen Antrag auf Änderung der Datengenehmigung.

    (11)Die Datennutzer veröffentlichen spätestens 18 Monate nach Abschluss der Verarbeitung der elektronischen Gesundheitsdaten oder nach Erhalt der Beantwortung der Datenanfrage gemäß Artikel 47 die Resultate oder Ergebnisse der Sekundärnutzung der elektronischen Gesundheitsdaten, einschließlich der für die Gesundheitsversorgung relevanten Informationen. Diese Resultate oder Ergebnisse enthalten nur anonymisierte Daten. Der Datennutzer informiert die Zugangsstellen für Gesundheitsdaten, von denen ihm eine Datengenehmigung erteilt wurde, und unterstützt sie bei der Veröffentlichung der Informationen auf den Websites der Zugangsstellen zu Gesundheitsdaten. Haben die Datennutzer elektronische Gesundheitsdaten gemäß diesem Kapitel genutzt, machen sie die Quellen der elektronischen Gesundheitsdaten ebenso wie die Tatsache bekannt, dass der Zugang zu den elektronischen Gesundheitsdaten im Rahmen des EHDS erfolgte.

    (12)Die Datennutzer unterrichten die Zugangsstelle für Gesundheitsdaten über alle klinisch signifikanten Befunde, die Folgen für den Gesundheitszustand der natürlichen Personen haben können, deren Daten im Datensatz enthalten sind.

    (13)Die Kommission kann im Wege eines Durchführungsrechtsakts ein Logo zur Bekanntmachung des Beitrags des EHDS entwickeln. Ein solcher Durchführungsrechtsakt wird gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (14)Die Haftung der Zugangsstellen für Gesundheitsdaten als gemeinsam Verantwortliche bleibt auf den Umfang der erteilten Datengenehmigung bis zur Beendigung der Verarbeitungstätigkeit begrenzt.

    Artikel 47

    Datenanfrage

    (1)Jede natürliche oder juristische Person kann eine Datenanfrage für die in Artikel 34 genannten Zwecke vorlegen. Eine Zugangsstelle für Gesundheitsdaten beantwortet eine Datenanfrage nur in einem anonymisierten statistischen Format, und der Datennutzer erhält keinen Zugang zu den elektronischen Gesundheitsdaten, die für diese Antwort verwendet wurden.

    (2)Eine Datenanfrage enthält die in Artikel 45 Absatz 2 Buchstaben a und b genannten Elemente, sofern erforderlich jedoch auch Folgendes:

    a)eine Beschreibung des von der Zugangsstelle für Gesundheitsdaten erwarteten Resultats;

    b)eine inhaltliche Beschreibung der Statistik.

    (3)Hat ein Antragsteller auf der Grundlage einer Datenanfrage ein Resultat in anonymisierter Form, einschließlich eines statistischen Formats, verlangt, so bewertet die Zugangsstelle für Gesundheitsdaten dies innerhalb von zwei Monaten und übermittelt dem Datennutzer das Resultat nach Möglichkeit innerhalb von zwei Monaten.

    Artikel 48

    Bereitstellung von Daten ohne Datengenehmigung für öffentliche Stellen sowie Organe, Einrichtungen und sonstige Stellen der Union

    Abweichend von Artikel 46 ist für den Zugang zu elektronischen Gesundheitsdaten nach diesem Artikel eine Datengenehmigung nicht erforderlich. Wenn sie ihre Aufgaben gemäß Artikel 37 Absatz 1 Buchstaben b und c wahrnimmt, unterrichtet die Zugangsstelle für Gesundheitsdaten die öffentlichen Stellen und die Organe, Einrichtungen und sonstigen Stellen der Union über die Verfügbarkeit der Daten innerhalb von zwei Monaten nach dem Antrag auf Datenzugang gemäß Artikel 9 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)]. Abweichend von der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] kann die Zugangsstelle für Gesundheitsdaten diese Frist um zwei Monate verlängern, wenn dies angesichts der Komplexität des Antrags erforderlich ist. Die Zugangsstelle für Gesundheitsdaten stellt dem Datennutzer die elektronischen Gesundheitsdaten innerhalb von zwei Monaten bereit, nachdem sie diese von den Dateninhabern erhalten hat, es sei denn, sie gibt an, dass sie die Daten innerhalb eines längeren angegebenen Zeitrahmens bereitstellen wird.

    Artikel 49

    Zugang zu elektronischen Gesundheitsdaten eines einzigen Dateninhabers

    (1)Beantragt ein Antragsteller nur den Zugang zu den elektronischen Gesundheitsdaten eines einzigen Dateninhabers in einem einzigen Mitgliedstaat, so kann er abweichend von Artikel 45 Absatz 1 einen Antrag auf Datenzugang oder eine Datenanfrage direkt an den Dateninhaber richten. Der Antrag auf Datenzugang erfüllt die Anforderungen des Artikels 45 und die Datenanfrage die Anforderungen des Artikels 47. Mehrere Länder betreffende Anfragen und Anfragen, die eine Kombination von Datensätzen mehrerer Dateninhaber erfordern, werden an die Zugangsstellen für Gesundheitsdaten gerichtet.

    (2)In einem solchen Fall kann der Dateninhaber eine Datengenehmigung gemäß Artikel 46 erteilen oder eine Datenanfrage gemäß Artikel 47 beantworten. Der Dateninhaber gewährt dann Zugang zu den elektronischen Gesundheitsdaten in einer sicheren Verarbeitungsumgebung gemäß Artikel 50 und er kann Gebühren gemäß Artikel 42 erheben.

    (3)Abweichend von Artikel 51 gelten der einzige Datenanbieter und der Datennutzer als gemeinsam Verantwortliche.

    (4)Innerhalb von drei Monaten unterrichtet der Dateninhaber die Zugangsstellen für Gesundheitsdaten auf elektronischem Wege über alle gestellten Anträge auf Datenzugang und alle erteilten Datengenehmigungen sowie über die gemäß diesem Artikel positiv beschiedenen Datenanfragen, damit die Zugangsstelle für Gesundheitsdaten ihren Verpflichtungen gemäß Artikel 37 Absatz 1 und Artikel 39 nachkommen kann.

    Artikel 50

    Sichere Verarbeitungsumgebung

    (1)Die Zugangsstellen für Gesundheitsdaten gewähren den Zugang zu elektronischen Gesundheitsdaten nur über eine sichere Verarbeitungsumgebung mit technischen und organisatorischen Maßnahmen sowie Sicherheits- und Interoperabilitätsanforderungen. Sie treffen insbesondere die folgenden Sicherheitsmaßnahmen:

    a)sie begrenzen den Zugang zur sicheren Verarbeitungsumgebung auf befugte Personen, die in der jeweiligen Datengenehmigung aufgeführt sind;

    b)sie minimieren das Risiko des unbefugten Lesens, Kopierens, Änderns oder Entfernens elektronischer Gesundheitsdaten, die in der sicheren Verarbeitungsumgebung gehostet werden, durch modernste technische Mittel;

    c)sie beschränken die Eingabe elektronischer Gesundheitsdaten und die Inspektion, Änderung oder Löschung elektronischer Gesundheitsdaten in der sicheren Verarbeitungsumgebung auf eine begrenzte Zahl befugter identifizierbarer Personen;

    d)sie stellen sicher, dass Datennutzer nur mittels einer persönlichen und eindeutigen Nutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die von ihrer Datengenehmigung erfassten Daten zugreifen können;

    e)sie führen identifizierbare Protokolle über den Zugang zur sicheren Verarbeitungsumgebung für den Zeitraum, der für die Verifizierung und Prüfung aller Verarbeitungsvorgänge in dieser Umgebung erforderlich ist;

    f)sie gewährleisten die Befolgung und überwachen die in diesem Artikel genannten Sicherheitsmaßnahmen, um potenzielle Sicherheitsbedrohungen zu mindern.

    (2)Die Zugangsstellen für Gesundheitsdaten stellen sicher, dass elektronische Gesundheitsdaten von Dateninhabern hochgeladen und vom Datennutzer in einer sicheren Verarbeitungsumgebung abgerufen werden können. Die Datennutzer können nur elektronische Gesundheitsdaten, die nicht personenbezogen sind, aus der sicheren Verarbeitungsumgebung herunterladen.

    (3)Die Zugangsstellen für Gesundheitsdaten sorgen für regelmäßige Audits der sicheren Verarbeitungsumgebungen.

    (4)Die Kommission legt im Wege von Durchführungsrechtsakten die technischen Anforderungen sowie die Anforderungen an die Informationssicherheit und die Interoperabilität der sicheren Verarbeitungsumgebungen fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 51

    Gemeinsam Verantwortliche

    (1)Die Zugangsstellen für Gesundheitsdaten und die Datennutzer, einschließlich der Organe, Einrichtungen und sonstigen Stellen der Union, gelten als gemeinsam Verantwortliche für elektronische Gesundheitsdaten, die entsprechend der Datengenehmigung verarbeitet werden.

    (2)Die Kommission legt im Wege von Durchführungsrechtsakten ein Muster für die Vereinbarung der gemeinsam Verantwortlichen fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Abschnitt 4

    Grenzüberschreitender Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung

    Artikel 52

    Grenzüberschreitende Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten (HealthData@EU)

    (1)Jeder Mitgliedstaat benennt eine nationale Kontaktstelle für die Sekundärnutzung elektronischer Gesundheitsdaten, die dafür zuständig ist, elektronische Gesundheitsdaten für die grenzüberschreitende Sekundärnutzung bereitzustellen, und teilt der Kommission deren Namen und Kontaktdaten mit. Bei der nationalen Kontaktstelle kann es sich um die Koordinierungsstelle für den Zugang zu Gesundheitsdaten nach Artikel 36 handeln. Die Kommission und die Mitgliedstaaten machen diese Informationen öffentlich zugänglich.

    (2)Die in Absatz 1 genannten nationalen Kontaktstellen sind befugte Teilnehmer der grenzüberschreitenden Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten (HealthData@EU). Die nationalen Kontaktstellen erleichtern den grenzüberschreitenden Zugang zu elektronischen Gesundheitsdaten zur Sekundärnutzung für unterschiedliche befugte Teilnehmer der Infrastruktur und arbeiten eng untereinander und mit der Kommission zusammen.

    (3)Die Organe, Einrichtungen und sonstigen Stellen der Union, die mit Forschung, Gesundheitspolitik oder -analyse befasst sind, sind befugte Teilnehmer von HealthData@EU.

    (4)Gesundheitsbezogene Forschungsinfrastrukturen oder ähnliche Strukturen, deren Arbeit auf dem Unionsrecht beruht und die die Nutzung elektronischer Gesundheitsdaten für Zwecke der Forschung, Politikgestaltung, Statistik, Patientensicherheit oder Regulierung fördern, sind befugte Teilnehmer von HealthData@EU.

    (5)Drittländer oder internationale Organisationen können befugte Teilnehmer werden, sofern sie die Vorschriften des Kapitels IV einhalten und in der Union ansässigen Datennutzern unter gleichwertigen Bedingungen Zugang zu den elektronischen Gesundheitsdaten gewähren, die ihren Zugangsstellen für Gesundheitsdaten zur Verfügung stehen. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen festgestellt wird, dass eine nationale Kontaktstelle eines Drittlands oder ein auf internationaler Ebene eingerichtetes System die Anforderungen von HealthData@EU für die Zwecke der Sekundärnutzung von Gesundheitsdaten erfüllt, Kapitel IV entspricht und in der Union ansässigen Datennutzern zu gleichwertigen Bedingungen Zugang zu den elektronischen Gesundheitsdaten gewährt, zu denen sie/es Zugang hat. Die Einhaltung dieser rechtlichen, organisatorischen, technischen und sicherheitsrelevanten Anforderungen, auch der Normen für sichere Verarbeitungsumgebungen gemäß Artikel 50, wird unter der Kontrolle der Kommission überprüft. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen. Die Kommission macht die Liste der gemäß diesem Absatz erlassenen Durchführungsrechtsakte öffentlich zugänglich.

    (6)Jeder befugte Teilnehmer erwirbt die für den Anschluss und die Teilnahme an HealthData@EU erforderlichen technischen Fähigkeiten. Jeder Teilnehmer erfüllt die Anforderungen und technischen Spezifikationen, die erforderlich sind, damit die grenzüberschreitende Infrastruktur betrieben werden kann und die befugten Teilnehmer sich innerhalb der Infrastruktur miteinander vernetzen können.

    (7)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zur Änderung dieses Artikels zu erlassen, um Kategorien von befugten Teilnehmern von HealthData@EU unter Berücksichtigung der Stellungnahme der Gruppe der gemeinsam Verantwortlichen gemäß Artikel 66 hinzuzufügen oder zu streichen.

    (8)Die Mitgliedstaaten und die Kommission richten HealthData@EU ein, um den grenzüberschreitenden Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung zu fördern und zu erleichtern, indem sie die nationalen Kontaktstellen für die Sekundärnutzung elektronischer Gesundheitsdaten aller Mitgliedstaaten und die befugten Teilnehmer dieser Infrastruktur miteinander vernetzen.

    (9)Die Kommission entwickelt, errichtet und betreibt eine zentrale Plattform für HealthData@EU, indem sie IT-Dienste bereitstellt, die erforderlich sind, um die Verbindung zwischen den Zugangsstellen für Gesundheitsdaten als Teil der grenzüberschreitenden Infrastruktur für die Sekundärnutzung elektronischer Gesundheitsdaten zu ermöglichen. Die Kommission verarbeitet elektronische Gesundheitsdaten nur als Auftragsverarbeiterin im Auftrag der gemeinsam Verantwortlichen.

    (10)Auf Anfrage von zwei oder mehr Zugangsstellen für Gesundheitsdaten kann die Kommission eine sichere Verarbeitungsumgebung für Daten aus mehr als einem Mitgliedstaat bereitstellen, die den Anforderungen des Artikels 50 entspricht. Stellen zwei oder mehr Zugangsstellen für Gesundheitsdaten elektronische Gesundheitsdaten in die von der Kommission verwaltete sichere Verarbeitungsumgebung ein, so gelten sie als gemeinsam Verantwortliche und die Kommission als Auftragsverarbeiterin.

    (11)Die befugten Teilnehmer fungieren als gemeinsam Verantwortliche für die Verarbeitungsvorgänge, die in HealthData@EU abgewickelt werden und an denen sie beteiligt sind, und die Kommission fungiert als Auftragsverarbeiterin.

    (12)Die Mitgliedstaaten und die Kommission wirken darauf hin, die Interoperabilität von HealthData@EU mit anderen einschlägigen, gemeinsamen europäischen Datenräumen gemäß den Verordnungen [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] und [...] [Datengesetz (COM(2022) 68 final)] zu gewährleisten.

    (13)Die Kommission kann im Wege von Durchführungsrechtsakten Folgendes festlegen:

    a)Anforderungen, technische Spezifikationen, die IT-Architektur von HealthData@EU, Bedingungen und Konformitätsüberprüfungen, damit befugte Teilnehmer sich HealthData@EU anschließen und damit verbunden bleiben dürfen, sowie Bedingungen für den vorübergehenden oder endgültigen Ausschluss von HealthData@EU;

    b)die Mindestkriterien, die die befugten Teilnehmer der Infrastruktur erfüllen müssen;

    c)die Zuständigkeiten der gemeinsam Verantwortlichen und der an den grenzüberschreitenden Infrastrukturen beteiligten Auftragsverarbeiter;

    d)die Zuständigkeiten der gemeinsam Verantwortlichen und der Auftragsverarbeiter für die sichere Umgebung, die von der Kommission verwaltet wird;

    e)gemeinsame Spezifikationen für die Architektur von HealthData@EU und dessen Interoperabilität mit anderen gemeinsamen europäischen Datenräumen.

    Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    (14)Die Gruppe der gemeinsam Verantwortlichen entscheidet aufgrund der Ergebnisse der Konformitätsüberprüfungen darüber, ob einzelne befugte Teilnehmer sich HealthData@EU anschließen dürfen oder die Verbindung eines Teilnehmers mit der Infrastruktur getrennt wird.

    Artikel 53

    Zugang zu grenzüberschreitenden Quellen elektronischer Gesundheitsdaten für die Sekundärnutzung

    (1)Bei grenzüberschreitenden Registern und Datenbanken ist die Zugangsstelle für Gesundheitsdaten, in der der Dateninhaber registriert ist, dafür zuständig, über Datenzugangsanträge zu entscheiden und den Zugang zu elektronischen Gesundheitsdaten zu gewähren. Hat das Register gemeinsam Verantwortliche, so handelt es sich bei der Zugangsstelle für Gesundheitsdaten, die den Zugang zu elektronischen Gesundheitsdaten gewährt, um die Stelle in dem Mitgliedstaat, in dem einer der gemeinsam Verantwortlichen ansässig ist.

    (2)Schließen sich Register oder Datenbanken aus mehreren Mitgliedstaaten auf Unionsebene zu einem einzigen Netz von Registern oder Datenbanken zusammen, können die zugehörigen Register eines ihrer Mitglieder als Koordinator benennen, um die Bereitstellung von Daten aus dem Registernetz für die Sekundärnutzung sicherzustellen. Die Zugangsstelle für Gesundheitsdaten des Mitgliedstaats, in dem der Koordinator des Netzes ansässig ist, ist dafür zuständig, über die Datenzugangsanträge zu entscheiden und für das Netz von Registern oder Datenbanken Zugang zu elektronischen Gesundheitsdaten zu gewähren.

    (3)Die Kommission kann im Wege von Durchführungsrechtsakten die erforderlichen Vorschriften erlassen, um die Bearbeitung von Anträgen auf Datenzugang für HealthData@EU zu erleichtern, einschließlich eines einheitlichen Antragsformulars, eines einheitlichen Musters für Datengenehmigungen, Standardformularen für einheitliche vertragliche Vereinbarungen über den Zugang zu elektronischen Gesundheitsdaten und gemeinsamer Verfahren für die Bearbeitung grenzüberschreitender Anträge gemäß den Artikeln 45, 46, 47 und 48. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 54

    Gegenseitige Anerkennung

    (1)Bei der Bearbeitung eines Antrags auf grenzüberschreitenden Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung bleiben die Zugangsstellen für Gesundheitsdaten und die relevanten befugten Teilnehmer für die Entscheidung zuständig, den Zugang zu elektronischen Gesundheitsdaten in ihrem Zuständigkeitsbereich gemäß den in diesem Kapitel festgelegten Zugangsanforderungen zu gewähren oder zu verweigern.

    (2)Eine von einer betroffenen Zugangsstelle für Gesundheitsdaten erteilte Datengenehmigung kann mittels gegenseitiger Anerkennung von den anderen betroffenen Zugangsstellen für Gesundheitsdaten übernommen werden.

    Abschnitt 5

    Qualität und Nutzen von Gesundheitsdaten für die Sekundärnutzung

    Artikel 55

    Beschreibung des Datensatzes

    (1)Die Zugangsstellen für Gesundheitsdaten informieren die Datennutzer mittels eines Metadaten-Katalogs über die verfügbaren Datensätze und deren Eigenschaften. Jeder Datensatz enthält Informationen über die Quelle, den Umfang, die wichtigsten Eigenschaften, die Art der elektronischen Gesundheitsdaten und die Bedingungen für die Bereitstellung elektronischer Gesundheitsdaten.

    (2)Die Kommission legt im Wege von Durchführungsrechtsakten die Mindestinformationen fest, die die Dateninhaber über Datensätze und deren Eigenschaften bereitstellen müssen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 56

    Datenqualitäts- und -nutzenlabel

    (1)Datensätze, die über die Zugangsstellen für Gesundheitsdaten bereitgestellt werden, können von den Dateninhabern mit einem Datenqualitäts- und -nutzenlabel der Union versehen werden.

    (2)Datensätze mit elektronischen Gesundheitsdaten, die mit Unterstützung aus öffentlichen Mitteln der Union oder der Mitgliedstaaten erhoben und verarbeitet wurden, tragen ein Datenqualitäts- und -nutzenlabel entsprechend den in Absatz 3 genannten Grundsätzen.

    (3)Das Datenqualitäts- und -nutzenlabel umfasst folgende Elemente:

    a)für die Datendokumentation: Metadaten, Supportdokumentation, Datenmodell, Datenwörterbuch, verwendete Normen, Herkunft;

    b)technische Qualität, aus der die Vollständigkeit, Eindeutigkeit, Genauigkeit, Validität, Aktualität und Kohärenz der Daten hervorgehen;

    c)für die Prozesse des Datenqualitätsmanagements: Ausgereiftheit der Prozesse des Datenqualitätsmanagements, einschließlich Überprüfungs- und Auditverfahren, Prüfung von Verzerrungen;

    d)Erfassungsbereich: Darstellung multidisziplinärer, elektronischer Gesundheitsdaten, Repräsentativität der Stichprobenpopulation, durchschnittliche Zeitspanne, in der eine natürliche Person in einem Datensatz erscheint;

    e)Informationen über Zugang und Bereitstellung: Zeit zwischen der Erhebung der elektronischen Gesundheitsdaten und ihrer Aufnahme in den Datensatz, Zeit für die Bereitstellung elektronischer Gesundheitsdaten nach Genehmigung eines Antrags auf Zugang zu elektronischen Gesundheitsdaten;

    f)Informationen über Datenanreicherung: Zusammenführung von Daten und Hinzufügung zu einem bestehenden Datensatz, einschließlich Verknüpfungen mit anderen Datensätzen.

    (4)Der Kommission wird die Befugnis übertragen, gemäß Artikel 67 delegierte Rechtsakte zu erlassen, um die Liste der Grundsätze für das Datenqualitäts- und -nutzenlabel zu ändern. In diesen delegierten Rechtsakten kann auch die Liste in Absatz 3 geändert werden, indem Anforderungen an das Datenqualitäts- und -nutzenlabel hinzugefügt, geändert oder gestrichen werden.

    (5)Die Kommission legt auf der Grundlage der in Absatz 3 genannten Elemente im Wege von Durchführungsrechtsakten die visuellen Merkmale und technischen Spezifikationen des Datenqualitäts- und -nutzenlabels fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen. Diese Durchführungsrechtsakte tragen den Anforderungen des Artikels 10 der Verordnung [...] [KI-Gesetz (COM(2021) 206 final)] und gegebenenfalls angenommenen gemeinsamen Spezifikationen oder harmonisierten Normen zur Unterstützung dieser Anforderungen Rechnung.

    Artikel 57

    EU-Datensatzkatalog

    (1)Die Kommission erstellt einen EU-Datensatzkatalog, der die nationalen Kataloge von Datensätzen verbindet, die von den Zugangsstellen für Gesundheitsdaten und anderen befugten Teilnehmern von HealthData@EU erstellt wurden.

    (2)Der EU-Datensatzkatalog und die nationalen Datensatzkataloge werden öffentlich zugänglich gemacht.

    Artikel 58

    Mindestspezifikationen für Datensätze

    Die Kommission kann im Wege von Durchführungsrechtsakten Mindestspezifikationen für grenzüberschreitende Datensätze für die Sekundärnutzung elektronischer Gesundheitsdaten festlegen, wobei sie bestehende Infrastrukturen, Normen, Leitlinien und Empfehlungen der Union berücksichtigt. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Kapitel V

    Zusätzliche Maßnahmen

    Artikel 59

    Kapazitätsaufbau

    Die Kommission fördert den Austausch von bewährten Verfahren und Fachwissen mit dem Ziel, die Kapazitäten der Mitgliedstaaten zur Stärkung der digitalen Gesundheitssysteme für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten aufzubauen. Als Unterstützung des Kapazitätsaufbaus arbeitet die Kommission Benchmarking-Leitlinien für die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten aus.

    Artikel 60

    Zusätzliche Anforderungen an die Vergabe öffentlicher Aufträge und die Finanzierung durch die Union

    (1)Öffentliche Auftraggeber, zuständige nationale Behörden, einschließlich digitaler Gesundheitsbehörden und Zugangsstellen für Gesundheitsdaten, sowie die Kommission verweisen – soweit zutreffend – auf die anwendbaren technischen Spezifikationen, Normen und Profile gemäß den Artikeln 6, 23, 50 und 56 als Orientierungspunkte für die Vergabe öffentlicher Aufträge und bei der Erstellung ihrer Ausschreibungsunterlagen oder Aufforderungen zur Einreichung von Vorschlägen sowie bei der Festlegung der Bedingungen für eine Unionsfinanzierung im Zusammenhang mit dieser Verordnung, einschließlich der grundlegenden Voraussetzungen für die Struktur- und Kohäsionsfonds.

    (2)Bei der Ex-ante-Konditionalität für die Finanzierung durch die Union werden die in den Kapiteln II, III und IV dargelegten Anforderungen berücksichtigt.

    Artikel 61

    Übertragung nicht personenbezogener elektronischer Daten in Drittländer

    (1)Von Zugangsstellen für Gesundheitsdaten bereitgestellte, nicht personenbezogene elektronische Daten, die auf elektronischen Daten einer natürlichen Person beruhen und unter eine der Kategorien von Artikel 33 [Buchstaben a, e, f, i, j, k und m] fallen, gelten als hochsensibel im Sinne von Artikel 5 Absatz 13 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)], sofern ihre Übertragung in Drittländer angesichts der begrenzten Zahl der an diesen Daten beteiligten natürlichen Personen, der geografischen Streuung oder der in naher Zukunft zu erwartenden technologischen Entwicklungen das Risiko einer Rekonstruktion der Identität birgt.

    (2)Die Maßnahmen zum Schutz der in Absatz 1 genannten Datenkategorien hängen von der Art der Daten und den Anonymisierungstechniken ab und werden in dem Delegierten Rechtsakt im Rahmen der Befugnisübertragung gemäß Artikel 5 Absatz 13 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final] näher ausgeführt.

    Artikel 62

    Internationaler Zugang zu nicht personenbezogenen elektronischen Gesundheitsdaten und deren Übertragung

    (1)Unbeschadet des Absatzes 2 oder 3 treffen die digitalen Gesundheitsbehörden, Zugangsstellen für Gesundheitsdaten und befugten Teilnehmer der grenzüberschreitenden Infrastrukturen gemäß den Artikeln 12 und 52 alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen, einschließlich vertraglicher Vereinbarungen, um eine internationale Übertragung von in der Union gespeicherten, nicht personenbezogenen elektronischen Gesundheitsdaten oder einen internationalen staatlichen Zugriff darauf zu verhindern, wenn dies im Widerspruch zum Unionsrecht oder zum nationalen Recht des betreffenden Mitgliedstaats stünde.

    (2)Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einer digitalen Gesundheitsbehörde, einer Zugangsstelle für Gesundheitsdaten oder Datennutzern die Übertragung von oder die Zugangsgewährung zu im Rahmen dieser Verordnung in der Union gespeicherten nicht personenbezogenen elektronischen Gesundheitsdaten verlangt wird, sind jedenfalls nur dann anerkannt oder vollstreckbar, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem antragstellenden Drittland und der Union oder eine solche Übereinkunft zwischen dem antragstellenden Drittland und einem Mitgliedstaat gestützt sind.

    (3)Besteht keine in Absatz 2 genannte internationale Übereinkunft und ergeht an eine digitale Gesundheitsbehörde, eine Zugangsstelle für Gesundheitsdaten oder Datennutzer ein Urteil eines Gerichts eines Drittlands oder eine Entscheidung einer Verwaltungsbehörde eines Drittlands, im Rahmen dieser Verordnung in der Union gespeicherte nicht personenbezogene Daten zu übertragen oder Zugang dazu zu gewähren, und würde die Befolgung eines solchen Urteils oder einer solchen Entscheidung den Adressaten in Widerspruch zum Unionsrecht oder zum nationalen Recht des betreffenden Mitgliedstaats bringen, so erfolgt die Übertragung dieser Daten an die Drittlandsbehörde oder die Zugangsgewährung für diese nur dann,

    a)wenn das Rechtssystem des Drittlands vorschreibt, dass eine solche Entscheidung oder ein solches Urteil zu begründen ist und verhältnismäßig sein muss, und weiter vorsieht, dass eine solche Entscheidung oder ein solches Urteil eine hinreichende Bestimmtheit aufweisen muss, indem z. B. darin eine hinreichende Bezugnahme auf bestimmte verdächtige Personen oder Rechtsverletzungen erfolgt,

    b)wenn der begründete Einwand des Adressaten von einem zuständigen Gericht des Drittlands überprüft wird und

    c)wenn das zuständige Gericht des Drittlands, das die Entscheidung oder das Urteil erlässt oder die Entscheidung einer Verwaltungsbehörde überprüft, nach dem Recht dieses Drittlandes befugt ist, die einschlägigen rechtlichen Interessen des Bereitstellers der durch das Unionsrecht oder das nationale Recht des betreffenden Mitgliedstaats geschützten Daten gebührend zu berücksichtigen.

    (4)Sind die Voraussetzungen des Absatzes 2 oder 3 erfüllt, stellt die digitale Gesundheitsbehörde, eine Zugangsstelle für Gesundheitsdaten oder eine datenaltruistische Stelle aufgrund einer angemessenen Auslegung der Anfrage die zulässige Mindestmenge der darin verlangten Daten bereit.

    (5)Die digitalen Gesundheitsbehörden, Zugangsstellen für Gesundheitsdaten oder Datennutzer teilen dem Dateninhaber mit, dass ein Antrag einer Verwaltungsbehörde eines Drittlands auf Zugang zu seinen Daten vorliegt, bevor sie dem Antrag nachkommen, außer wenn der Antrag Strafverfolgungszwecken dient und solange dies zur Wahrung der Wirksamkeit der Strafverfolgungsmaßnahmen erforderlich ist.

    Artikel 63

    Internationaler Zugang zu personenbezogenen elektronischen Gesundheitsdaten und deren Übertragung

    Im Zusammenhang mit dem internationalen Zugang zu personenbezogenen elektronischen Gesundheitsdaten und deren Übertragung können die Mitgliedstaaten im Einklang mit und unter den Bedingungen von Artikel 9 Absatz 4 der Verordnung (EU) 2016/679 weitere Bedingungen, auch Beschränkungen, beibehalten oder einführen.

    Kapitel VI

    Europäische Governance und Koordinierung

    Artikel 64

    Ausschuss für den europäischen Raum für Gesundheitsdaten (EHDS-Ausschuss)

    (1)Es wird ein Ausschuss für den europäischen Raum für Gesundheitsdaten (im Folgenden „EHDS-Ausschuss“) eingerichtet, der die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten erleichtern soll. Der EHDS-Ausschuss setzt sich aus hochrangigen Vertretern der digitalen Gesundheitsbehörden und der Zugangsstellen für Gesundheitsdaten aller Mitgliedstaaten zusammen. Andere nationale Behörden, einschließlich der in Artikel 28 genannten Marktüberwachungsbehörden, der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte können zu den Sitzungen eingeladen werden, wenn die erörterten Fragen für sie von Belang sind. Der Ausschuss kann auch Sachverständige und Beobachter zu seinen Sitzungen einladen und gegebenenfalls mit anderen externen Sachverständigen zusammenarbeiten. Andere Organe, Einrichtungen und sonstige Stellen der Union, Forschungsinfrastrukturen und andere ähnliche Strukturen haben Beobachterstatus.

    (2)Je nach den Funktionen betreffend die Nutzung elektronischer Gesundheitsdaten kann der EHDS-Ausschuss in Untergruppen arbeiten, in denen digitale Gesundheitsbehörden oder Zugangsstellen zu Gesundheitsdaten für einen bestimmten Bereich vertreten sind. Die Untergruppen können bei Bedarf gemeinsame Sitzungen abhalten.

    (3)Die Zusammensetzung, die Organisation, die Arbeitsweise und die Zusammenarbeit der Untergruppen sind in der von der Kommission vorgelegten Geschäftsordnung festgelegt.

    (4)Interessenträger und relevante Dritte, auch Patientenvertreter, werden je nach den zu erörternden Themen und dem Grad ihrer Sensibilität zu den Sitzungen des EHDS-Ausschusses und zur Mitwirkung an dessen Arbeit eingeladen.

    (5)Der EHDS-Ausschuss arbeitet mit anderen einschlägigen Gremien, Stellen und Sachverständigen zusammen, wie dem Europäischen Dateninnovationsrat gemäß Artikel 26 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)], den gemäß Artikel 7 der Verordnung [...] [Datengesetz (COM(2022) 68 final)] eingerichteten zuständigen Stellen, den gemäß Artikel 17 der Verordnung [...] [eID-Verordnung] eingerichteten Aufsichtsbehörden, dem Europäischen Datenschutzausschuss gemäß Artikel 68 der Verordnung (EU) 2016/679 und den Cybersicherheitsstellen.

    (6)Die Kommission führt den Vorsitz in den Sitzungen des EHDS-Ausschusses.

    (7)Der EHDS-Ausschuss wird von einem Sekretariat unterstützt, das von der Kommission gestellt wird.

    (8)Die Kommission erlässt im Wege von Durchführungsrechtsakten die erforderlichen Maßnahmen für die Einrichtung, die Verwaltung und die Arbeit des EHDS-Ausschusses. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 68 Absatz 2 genannten Beratungsverfahren erlassen.

    Artikel 65

    Aufgaben des EHDS-Ausschusses

    (1)Der EHDS-Ausschuss hat in Bezug auf die Primärnutzung elektronischer Gesundheitsdaten gemäß den Kapiteln II und III folgende Aufgaben:

    a)Unterstützung der Mitgliedstaaten bei der Koordinierung der Praktiken der digitalen Gesundheitsbehörden;

    b)schriftliche Beiträge betreffend Fragen der Koordinierung der Durchführung dieser Verordnung und der auf ihrer Grundlage erlassenen delegierten Rechtsakte und Durchführungsrechtsakte auf Ebene der Mitgliedstaaten und Austausch einschlägiger bewährter Verfahren, insbesondere in Bezug auf 

    i)die Bestimmungen der Kapitel II und III;

    ii)die Entwicklung von Online-Diensten, die Angehörigen der Gesundheitsberufe und natürlichen Personen den sicheren Zugang, samt einer sicheren elektronischen Identifizierung, zu elektronischen Gesundheitsdaten erleichtern;

    iii)sonstige Aspekte der Primärnutzung elektronischer Gesundheitsdaten.

    c)Erleichterung der Zusammenarbeit zwischen den digitalen Gesundheitsbehörden durch Kapazitätsaufbau, Einrichtung der Struktur für die jährliche Tätigkeitsberichterstattung, Peer-Review der jährlichen Tätigkeitsberichte und Informationsaustausch;

    d)Austausch von Informationen über Risiken, die mit EHR-Systemen verbunden sind, und über schwerwiegende Vorfälle sowie deren Handhabung;

    e)Erleichterung des Meinungsaustauschs über die Primärnutzung elektronischer Gesundheitsdaten mit den einschlägigen Interessenträgern, einschließlich Vertretern von Patienten, Angehörigen der Gesundheitsberufe, Forschenden, Regulierungsbehörden und politischen Entscheidungsträgern im Gesundheitswesen.

    (2)Der EHDS-Ausschuss hat in Bezug auf die Sekundärnutzung elektronischer Gesundheitsdaten gemäß Kapitel IV folgende Aufgaben:

    a)Unterstützung der Mitgliedstaaten bei der Koordinierung der Praktiken der Zugangsstellen für Gesundheitsdaten bei der Umsetzung der Bestimmungen des Kapitels IV, um eine einheitliche Anwendung dieser Verordnung zu gewährleisten;

    b)schriftliche Beiträge betreffend Fragen der Koordinierung der Durchführung dieser Verordnung und der auf ihrer Grundlage erlassenen delegierten Rechtsakte und Durchführungsrechtsakte auf Ebene der Mitgliedstaaten und Austausch einschlägiger bewährter Verfahren, insbesondere in Bezug auf

    xi)Durchführung der Vorschriften für den Zugang zu elektronischen Gesundheitsdaten;

    xii)technische Spezifikationen oder bestehende Normen in Bezug auf die Anforderungen des Kapitels IV;

    xiii)Anreizmaßnahmen zur Förderung der Datenqualität und Verbesserung der Interoperabilität;

    xiv)Maßnahmen zu den Gebühren, die durch die Zugangsstellen für Gesundheitsdaten und die Dateninhaber zu erheben sind;

    xv)die Festlegung und Anwendung von Sanktionen;

    xvi)sonstige Aspekte der Sekundärnutzung elektronischer Gesundheitsdaten.

    c)Erleichterung der Zusammenarbeit zwischen den Zugangsstellen für Gesundheitsdaten durch Kapazitätsaufbau, Schaffung der Struktur für die jährliche Tätigkeitsberichterstattung, Peer-Review der jährlichen Tätigkeitsberichte und Informationsaustausch;

    d)Informationsaustausch über Risiken und Datenschutzvorfälle betreffend die Sekundärnutzung elektronischer Gesundheitsdaten und deren Handhabung;

    e)Beitrag zur Arbeit des Europäischen Dateninnovationsrats, der gemäß Artikel 29 der Verordnung [...] [Daten-Governance-Gesetz (COM(2020) 767 final)] eingerichtet wird;

    f)Erleichterung des Meinungsaustauschs über die Sekundärnutzung elektronischer Gesundheitsdaten mit den einschlägigen Interessenträgern, einschließlich Vertretern von Patienten, Angehörigen der Gesundheitsberufe, Forschenden, Regulierungsbehörden und politischen Entscheidungsträgern im Gesundheitswesen.

    Artikel 66

    Gruppen der gemeinsam Verantwortlichen für Infrastrukturen der Union

    (1)Die Kommission richtet zwei Gruppen ein, die mit der gemeinsamen Verantwortlichkeit für die grenzüberschreitenden Infrastrukturen gemäß den Artikeln 12 und 52 befasst sind. Diese Gruppen setzen sich aus Vertretern der nationalen Kontaktstellen und anderen befugten Teilnehmern dieser Infrastrukturen zusammen.

    (2)Die Zusammensetzung, die Organisation, die Arbeitsweise und die Zusammenarbeit der Untergruppen sind in der von diesen Gruppen verabschiedeten Geschäftsordnung festgelegt.

    (3)Interessenträger und maßgebliche Dritte, einschließlich Patientenvertreter, können zur Teilnahme an den Sitzungen der Gruppen und zur Beteiligung an ihrer Arbeit eingeladen werden.

    (4)Die Gruppen wählen den Vorsitz für ihre Sitzungen.

    (5)Die Gruppen werden von einem Sekretariat unterstützt, das von der Kommission gestellt wird.

    (6)Die Gruppen treffen Entscheidungen über die Entwicklung und den Betrieb der grenzüberschreitenden Infrastrukturen gemäß den Kapiteln II und IV sowie über Infrastrukturänderungen, durch die zusätzliche Infrastrukturen oder Dienste hinzugefügt werden oder die Interoperabilität mit anderen Infrastrukturen, digitalen Systemen oder Datenräumen gewährleistet wird. Die Gruppe entscheidet auch, ob einzelne befugte Teilnehmer sich den Infrastrukturen anschließen dürfen oder ob ihre Verbindung getrennt wird.

    KAPITEL VII

    Befugnisübertragung und Ausschuss

    Artikel 67

    Ausübung der Befugnisübertragung

    (1)Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

    (2)Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 5 Absatz 2, Artikel 10 Absatz 3, Artikel 25 Absatz 3, Artikel 32 Absatz 4, Artikel 33 Absatz 7, Artikel 37 Absatz 4, Artikel 39 Absatz 3, Artikel 41 Absatz 7, Artikel 45 Absatz 7, Artikel 46 Absatz 8, Artikel 52 Absatz 7 und Artikel 56 Absatz 4 wird der Kommission mit Wirkung vom Tag des Inkrafttretens der vorliegenden Verordnung auf unbestimmte Zeit übertragen.

    (3)Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 5 Absatz 2, Artikel 10 Absatz 3, Artikel 25 Absatz 3, Artikel 32 Absatz 4, Artikel 33 Absatz 7, Artikel 37 Absatz 4, Artikel 39 Absatz 3, Artikel 41 Absatz 7, Artikel 45 Absatz 7, Artikel 46 Absatz 8, Artikel 52 Absatz 7 und Artikel 56 Absatz 4 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in dem jeweiligen Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

    (4)Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

    (5)Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

    (6)Ein nach Artikel 5 Absatz 2, Artikel 10 Absatz 3, Artikel 25 Absatz 3, Artikel 32 Absatz 4, Artikel 33 Absatz 7, Artikel 37 Absatz 4, Artikel 39 Absatz 3, Artikel 41 Absatz 7, Artikel 45 Absatz 7, Artikel 46 Absatz 8, Artikel 52 Absatz 7 und Artikel 56 Absatz 4 erlassener delegierter Rechtsakt tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung des Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben hat oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert.

    Artikel 68

    Ausschussverfahren

    (1)Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

    (2)Wird auf diesen Absatz Bezug genommen, so gilt Artikel 4 der Verordnung (EU) Nr. 182/2011.

    Kapitel VIII

    Verschiedenes

    Artikel 69

    Sanktionen

    Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zum Geltungsbeginn dieser Verordnung mit und melden ihr unverzüglich alle diesbezüglichen Änderungen.

    Artikel 70

    Bewertung und Überprüfung

    (1)Fünf Jahre nach Inkrafttreten dieser Verordnung nimmt die Kommission eine gezielte Bewertung dieser Verordnung – insbesondere in Bezug auf Kapitel III – vor und legt dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen einen Bericht über ihre wichtigsten Erkenntnisse vor, dem gegebenenfalls ein Vorschlag für eine Änderung dieser Verordnung beigefügt ist. Die Bewertung umfasst eine Analyse der Selbstzertifizierung von EHR-Systemen und enthält eine Abwägung, ob ein von benannten Stellen durchzuführendes Konformitätsbewertungsverfahren eingeführt werden muss.

    (2)Sieben Jahre nach Inkrafttreten dieser Verordnung nimmt die Kommission eine Gesamtbewertung dieser Verordnung vor und legt dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen einen Bericht über ihre wichtigsten Erkenntnisse vor, dem gegebenenfalls ein Vorschlag für eine Änderung dieser Verordnung beigefügt ist.

    (3)Die Mitgliedstaaten übermitteln der Kommission alle zur Ausarbeitung des genannten Berichts erforderlichen Informationen.

    Artikel 71

    Änderung der Richtlinie 2011/24/EU

    Artikel 14 der Richtlinie 2011/24/EU wird gestrichen.

    Kapitel IX

    Aufschub des Geltungsbeginns und Schlussbestimmungen

    Artikel 72

    Inkrafttreten und Geltungsbeginn

    Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

    Sie erlangt 12 Monate nach ihrem Inkrafttreten Geltung.

    Die Artikel 3, 4, 5, 6, 7, 12, 14, 23 und 31 haben jedoch folgenden Geltungsbeginn:

    a)ein Jahr nach Geltungsbeginn für die in Artikel 5 Absatz 1 Buchstaben a, b und c genannten Kategorien personenbezogener elektronischer Gesundheitsdaten und für EHR-Systeme, die vom Hersteller zur Verarbeitung solcher Datenkategorien bestimmt sind;

    b)drei Jahre nach Geltungsbeginn für die in Artikel 5 Absatz 1 Buchstaben d, e und f genannten Kategorien personenbezogener elektronischer Gesundheitsdaten sowie für EHR-Systeme, die vom Hersteller zur Verarbeitung solcher Datenkategorien bestimmt sind;

    c)den in den delegierten Rechtsakten gemäß Artikel 5 Absatz 2 für andere Kategorien personenbezogener elektronischer Gesundheitsdaten festgelegten Zeitpunkt.

    Kapitel III gilt für EHR-Systeme, die gemäß Artikel 15 Absatz 2 in der Union in Betrieb genommen werden, ab drei Jahre nach dem Datum des Inkrafttretens.

    Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

    Geschehen zu Straßburg am […]

    Im Namen des Europäischen Parlaments    Im Namen des Rates

    Die Präsidentin    Der Präsident/Die Präsidentin

    FINANZBOGEN ZU RECHTSAKTEN

    1.RAHMEN DES VORSCHLAGS/DER INITIATIVE

    1.1.Bezeichnung des Vorschlags/der Initiative

    1.2.Politikbereich(e)

    1.3.Der Vorschlag/Die Initiative betrifft

    1.4.Ziel(e)

    1.4.1.Allgemeine(s) Ziel(e)

    1.4.2.Einzelziel(e)

    1.4.3.Erwartete Ergebnisse und Auswirkungen

    1.4.4.Leistungsindikatoren

    1.5.Begründung des Vorschlags/der Initiative

    1.5.1.Kurz- oder langfristig zu deckender Bedarf, einschließlich einer detaillierten Zeitleiste für die Durchführung der Initiative

    1.5.2.Mehrwert aufgrund des Tätigwerdens der Union (kann sich aus unterschiedlichen Faktoren ergeben, z. B. Vorteile durch Koordinierung, Rechtssicherheit, größere Wirksamkeit oder Komplementarität). Für die Zwecke dieser Nummer bezeichnet der Ausdruck „Mehrwert aufgrund des Tätigwerdens der Union“ den Wert, der sich aus dem Tätigwerden der Union ergibt und den Wert ergänzt, der andernfalls allein von den Mitgliedstaaten geschaffen worden wäre.

    1.5.3.Aus früheren ähnlichen Maßnahmen gewonnene Erkenntnisse

    1.5.4.Vereinbarkeit mit dem Mehrjährigen Finanzrahmen sowie mögliche Synergieeffekte mit anderen geeigneten Instrumenten

    1.5.5.Bewertung der verschiedenen verfügbaren Finanzierungsoptionen, einschließlich der Möglichkeiten für eine Umschichtung

    1.6.Laufzeit und finanzielle Auswirkungen des Vorschlags/der Initiative

    1.7.Vorgeschlagene Methode(n) der Mittelverwaltung

    2.VERWALTUNGSMAẞNAHMEN

    2.1.Überwachung und Berichterstattung

    2.2.Verwaltungs- und Kontrollsystem(e)

    2.2.1.Begründung der Methode(n) der Mittelverwaltung, des Durchführungsmechanismus/der Durchführungsmechanismen für die Finanzierung, der Zahlungsmodalitäten und der Kontrollstrategie, wie vorgeschlagen

    2.2.2.Angaben zu den ermittelten Risiken und dem/den zu deren Eindämmung eingerichteten System(en) der internen Kontrolle

    2.2.3.Schätzung und Begründung der Kosteneffizienz der Kontrollen (Verhältnis zwischen den Kontrollkosten und dem Wert der betreffenden verwalteten Mittel) sowie Bewertung des erwarteten Ausmaßes des Fehlerrisikos (bei Zahlung und beim Abschluss)

    2.3.Prävention von Betrug und Unregelmäßigkeiten

    3.GESCHÄTZTE FINANZIELLE AUSWIRKUNGEN DES VORSCHLAGS/DER INITIATIVE

    3.1.Betroffene Rubrik(en) des Mehrjährigen Finanzrahmens und Ausgabenlinie(n) im Haushaltsplan

    3.2.Geschätzte finanzielle Auswirkungen des Vorschlags auf die Mittel

    3.2.1.Übersicht über die geschätzten Auswirkungen auf die operativen Mittel

    3.2.2.Geschätzte Ergebnisse, die mit operativen Mitteln finanziert werden

    3.2.3.Übersicht über die geschätzten Auswirkungen auf die Verwaltungsmittel

    3.2.4.Vereinbarkeit mit dem Mehrjährigen Finanzrahmen

    3.2.5.Finanzierungsbeteiligung Dritter

    3.3.Geschätzte Auswirkungen auf die Einnahmen

    FINANZBOGEN ZU RECHTSAKTEN

    1.RAHMEN DES VORSCHLAGS/DER INITIATIVE 

    1.1.Bezeichnung des Vorschlags/der Initiative

    Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten

    1.2.Politikbereich(e) 

    Rubrik 1: Binnenmarkt, Innovation und Digitales

    Rubrik 2: Zusammenhalt, Resilienz und Werte

    1.3.Der Vorschlag/Die Initiative betrifft 

    eine neue Maßnahme 

     eine neue Maßnahme im Anschluss an ein Pilotprojekt/eine vorbereitende Maßnahme 60  

     die Verlängerung einer bestehenden Maßnahme 

     die Zusammenführung mehrerer Maßnahmen oder die Neuausrichtung mindestens einer Maßnahme 

    1.4.Ziel(e)

    1.4.1.Allgemeine(s) Ziel(e)

    Das allgemeine Ziel der Maßnahme besteht darin, die Vorschriften für den europäischen Raum für Gesundheitsdaten festzulegen, um natürlichen Personen Zugang zu ihren eigenen Gesundheitsdaten und die Kontrolle über diese Daten zu ermöglichen, das Funktionieren des Binnenmarkts für die Entwicklung und Nutzung innovativer Gesundheitsprodukte und ‑dienste auf der Grundlage von Gesundheitsdaten zu verbessern und dafür zu sorgen, dass Akteure aus Forschung und Innovation, politische Entscheidungsträger und Regulierungsbehörden die verfügbaren Gesundheitsdaten für ihre Arbeit unter Wahrung des Vertrauens und der Sicherheit optimal nutzen können.

    1.4.2.Einzelziel(e)

    Einzelziel Nr. 1

    Stärkung der Handlungskompetenz natürlicher Personen, indem der digitale Zugang zu ihren Gesundheitsdaten und ihre Kontrolle über diese Daten verbessert werden, sowie Unterstützung ihrer Freizügigkeit,

    Einzelziel Nr. 2

    Festlegung von spezifischen Anforderungen an Systeme für elektronische Patientenakten (EHR) und von Verpflichtungen, um sicherzustellen, dass in Verkehr gebrachte und genutzte EHR-Systeme interoperabel und sicher sind und die Rechte natürlicher Personen in Bezug auf ihre Gesundheitsdaten wahren,

    Einzelziel Nr. 3 

    Sicherstellung eines kohärenten und effizienten Rahmens für die Sekundärnutzung der Gesundheitsdaten natürlicher Personen für Forschung, Innovation, Politikgestaltung, amtliche Statistiken, Patientensicherheit oder Regulierungstätigkeiten.

    1.4.3.Erwartete Ergebnisse und Auswirkungen

    Bitte geben Sie an, wie sich der Vorschlag/die Initiative auf die Begünstigten/Zielgruppen auswirken dürfte.

    Einzelziel Nr. 1

    Für natürliche Personen dürften sich Vorteile daraus ergeben, dass der Zugang zu ihren eigenen Gesundheitsdaten und ihre Kontrolle über diese Daten erleichtert werden.

    Einzelziel Nr. 2

    Für Lieferanten und Hersteller von EHR-Systemen dürften sich Vorteile daraus ergeben, dass auf eine Mindestanzahl beschränkte, klare Anforderungen an die Interoperabilität und Sicherheit solcher Systeme eingeführt und dadurch die Hindernisse für die Bereitstellung solcher Systeme im gesamten Binnenmarkt abgebaut werden.

    Einzelziel Nr. 3

    Für natürliche Personen dürften sich Vorteile aus einem großen Angebot an innovativen Gesundheitsprodukten und ‑dienstleistungen ergeben, die basierend auf der Primär- und Sekundärnutzung von Gesundheitsdaten bereitgestellt und weiterentwickelt werden, wobei Vertrauen und Sicherheit gewahrt bleiben.

    Für Nutzer von Gesundheitsdaten, d. h. Akteure aus Forschung und Innovation, politische Entscheidungsträger und Regulierungsbehörden, dürften sich Vorteile aus einer effizienteren Sekundärnutzung von Gesundheitsdaten ergeben.

    1.4.4.Leistungsindikatoren

    Bitte geben Sie an, anhand welcher Indikatoren sich die Fortschritte und Ergebnisse verfolgen lassen.

    Einzelziel Nr. 1

    a)Anzahl der unterschiedlichen Gesundheitsdienstleister, die an MyHealth@EU angebunden sind, berechnet a) in absoluten Zahlen, b) als Anteil an der Gesamtheit aller Gesundheitsdienstleister und c) als Anteil an der Gesamtheit der natürlichen Personen, die die über MyHealth@EU angebotenen Dienste in Anspruch nehmen können

    b)Umfang der personenbezogenen elektronischen Gesundheitsdaten verschiedener Kategorien, die über MyHealth@EU grenzüberschreitend weitergegeben werden

    c)Prozentsatz der natürlichen Personen, die Zugang zu ihren elektronischen Patientenakten haben

    d)Grad der Zufriedenheit natürlicher Personen mit den Diensten von MyHealth@EU

    Diese Indikatoren werden im Rahmen jährlicher Berichte der digitalen Gesundheitsbehörden erfasst.

    Einzelziel Nr. 2

    e)Anzahl der zertifizierten EHR-Systeme und gekennzeichneten Wellness-Apps, die in der EU-Datenbank erfasst sind

    f)Anzahl der Fälle von Nichtkonformität bezüglich der verbindlichen Anforderungen

    Diese Indikatoren werden im Rahmen jährlicher Berichte der digitalen Gesundheitsbehörden erfasst.

    Einzelziel Nr. 3

    g)Anzahl der im europäischen Datenkatalog veröffentlichten Datensätze

    h)Anzahl der Anträge auf Datenzugang, aufgeschlüsselt nach nationalen und länderübergreifenden Anträgen, die von den Stellen für den Zugang zu Gesundheitsdaten bearbeitet, angenommen bzw. abgelehnt wurden

    Diese Indikatoren werden im Rahmen jährlicher Berichte der Stellen für den Zugang zu Gesundheitsdaten erfasst.

    1.5.Begründung des Vorschlags/der Initiative 

    1.5.1.Kurz- oder langfristig zu deckender Bedarf, einschließlich einer detaillierten Zeitleiste für die Durchführung der Initiative

    Die Verordnung wird vier Jahre nach ihrem Inkrafttreten, wenn der verschobene Geltungsbeginn eintritt, uneingeschränkt anwendbar sein. Vor diesem Zeitpunkt sollten Bestimmungen über die Rechte natürlicher Personen (Kapitel II), die Zertifizierung von EHR-Systemen (Kapitel III), die Sekundärnutzung von Gesundheitsdaten (Kapitel IV) und die Governance (Kapitel V) eingeführt worden sein. Insbesondere müssen die Mitgliedstaaten bereits bestehende Behörden benannt und/oder neue Behörden eingerichtet haben, die die in den Rechtsvorschriften festgelegten Aufgaben bereits früher wahrnehmen, sodass der EHDS-Ausschuss bereits früher eingerichtet werden und sie unterstützen kann. Auch die Infrastrukturen für die Primär- und Sekundärnutzung von Gesundheitsdaten sollte früher betriebsbereit sein, damit alle Mitgliedstaaten angebunden werden können, bevor diese Verordnung in vollem Umfang anwendbar wird.

    1.5.2.Mehrwert aufgrund des Tätigwerdens der Union (kann sich aus unterschiedlichen Faktoren ergeben, z. B. Vorteile durch Koordinierung, Rechtssicherheit, größere Wirksamkeit oder Komplementarität). Für die Zwecke dieser Nummer bezeichnet der Ausdruck „Mehrwert aufgrund des Tätigwerdens der Union“ den Wert, der sich aus dem Tätigwerden der Union ergibt und den Wert ergänzt, der andernfalls allein von den Mitgliedstaaten geschaffen worden wäre.

    Gründe für Maßnahmen auf europäischer Ebene (ex ante)

    Wie die Bewertung von Artikel 14 der Richtlinie 2011/24/EU über Patientenrechte zeigt, haben die bisherigen Ansätze, die Instrumente mit geringer Intensität bzw. nicht zwingende Instrumente wie Leitlinien und Empfehlungen zur Förderung der Interoperabilität umfassen, nicht zu den gewünschten Ergebnissen geführt. Die nationalen Problemlösungsansätze weisen nur einen begrenzten Anwendungsbereich auf und gehen das EU-weite Problem nicht in vollem Umfang an: Der grenzüberschreitende Austausch elektronischer Gesundheitsdaten ist nach wie vor sehr begrenzt, was zum Teil darauf zurückzuführen ist, dass in den einzelnen Mitgliedstaaten für elektronische Gesundheitsdaten sehr unterschiedliche Standards verwendet werden. In vielen Mitgliedstaaten bestehen in Bezug auf Interoperabilität und Datenübertragbarkeit auch auf nationaler, regionaler und lokaler Ebene erhebliche Herausforderungen, die die Kontinuität der Gesundheitsversorgung und effiziente Gesundheitssysteme behindern. Selbst dann, wenn Gesundheitsdaten in elektronischer Form verfügbar sind, können sie, wenn eine natürliche Person die Dienste eines anderen Gesundheitsdienstleisters in Anspruch nehmen möchte, in der Regel nicht mitgenommen werden.

    Erwarteter Unionsmehrwert (ex post)

    Maßnahmen auf europäischer Ebene im Rahmen dieser Verordnung werden die Wirksamkeit der Maßnahmen erhöhen, die zur Bewältigung dieser Herausforderungen ergriffen werden. Die Festlegung von gemeinsamen Rechten für natürliche Personen beim Zugang zu ihren Gesundheitsdaten und bei der Kontrolle über diese Daten und von gemeinsamen Vorschriften und Verpflichtungen bezüglich der Interoperabilität und Sicherheit von EHR-Systemen wird die Kosten des Gesundheitsdatenverkehrs in der gesamten EU senken. Eine gemeinsame Rechtsgrundlage für die Sekundärnutzung von Gesundheitsdaten wird auch bei den Datennutzern im Gesundheitsbereich zu Effizienzgewinnen führen. Die Schaffung eines gemeinsamen Governance-Rahmens für die Primär- und Sekundärnutzung von Gesundheitsdaten wird die Koordinierung erleichtern.

    1.5.3.Aus früheren ähnlichen Maßnahmen gewonnene Erkenntnisse

    Die Bewertung der Bestimmungen der Patientenrechte-Richtlinie in Bezug auf die digitale Gesundheit ergab, dass die Wirksamkeit und Effizienz des grenzüberschreitenden Austauschs von Gesundheitsdaten angesichts des freiwilligen Charakters der Maßnahmen des Netzwerks für elektronische Gesundheitsdienste eher begrenzt waren. Bei der Umsetzung von MyHealth@EU sind nur langsame Fortschritte zu verzeichnen. Obwohl den Mitgliedstaaten im Zusammenhang mit dem Netzwerk für elektronische Gesundheitsdienste empfohlen wurde, bei der Auftragsvergabe die Standards, Profile und Spezifikationen des europäischen Austauschformats für elektronische Patientenakten zu verwenden, um interoperable Systeme zu schaffen, erfolgte ihre Verbreitung begrenzt, was eine fragmentierte Landschaft und ungleiche Bedingungen beim Zugang zu Gesundheitsdaten und bei ihrer Übertragbarkeit zur Folge hatte. Aus diesem Grund müssen spezifische Vorschriften, Rechte und Pflichten in Bezug auf den Zugang natürlicher Personen zu ihren eigenen Gesundheitsdaten und deren Kontrolle sowie in Bezug auf den grenzüberschreitenden Austausch solcher Daten für die Primär- und Sekundärnutzung festgelegt werden, wobei eine Governancestruktur vorzusehen ist, mit der die Koordinierung der spezifischen zuständigen Stellen auf Unionsebene sichergestellt wird.

    1.5.4.Vereinbarkeit mit dem Mehrjährigen Finanzrahmen sowie mögliche Synergieeffekte mit anderen geeigneten Instrumenten

    Der europäische Raum für Gesundheitsdaten ist eng mit mehreren anderen Maßnahmen der Union in den Bereichen Gesundheitsversorgung und Sozialfürsorge, Digitalisierung, Forschung, Innovation und Grundrechte verknüpft.

    In dieser Verordnung werden die Vorschriften, Rechte und Pflichten für das Funktionieren des europäischen Raums für Gesundheitsdaten sowie die Einführung der erforderlichen Infrastrukturen, Zertifizierungs-/Kennzeichnungssysteme und Governance-Rahmen festgelegt. Diese Maßnahmen ergänzen die horizontalen Bestimmungen des Daten-Governance-Gesetzes, des Datengesetzes und der Datenschutz-Grundverordnung.

    Für die Erfüllung der Pflichten der Kommission und die damit verbundenen Unterstützungsmaßnahmen im Rahmen dieses Legislativvorschlags werden im Zeitraum 2023–2027 220 Mio. EUR erforderlich sein. Der Großteil der Kosten dieser Verordnung (170 Mio. EUR) soll nach Artikel 4 Buchstabe f der Verordnung über EU4Health 61 aus dem EU4Health-Programm finanziert werden. Die vorgesehenen Maßnahmen tragen auch zur Verwirklichung der dort in Artikel 4 Buchstaben a, b und h genannten spezifischen Ziele bei. Das Programm „Digitales Europa“ wird den Zugang der Patienten zu ihren Gesundheitsdaten über MyHealth@EU mit weiteren 50 Mio. EUR unterstützen. In beiden Fällen werden die Ausgaben im Zusammenhang mit diesem Vorschlag durch die in der Programmplanung für diese Programme vorgesehenen Beträge gedeckt.

    In den Arbeitsprogrammen von EU4Health für 2021 und 2022 ist bereits vorgesehen, dass die Entwicklung und Einrichtung des europäischen Raums für Gesundheitsdaten mit einem erheblichen anfänglichen Beitrag von fast 110 Mio. EUR unterstützt wird. Dies schließt das Funktionieren der bestehenden Infrastruktur für die Primärnutzung von Gesundheitsdaten (MyHealth@EU), die Übernahme internationaler Standards durch die Mitgliedstaaten, Maßnahmen zum Kapazitätsaufbau und andere vorbereitende Maßnahmen sowie ein Infrastruktur-Pilotprojekt zur Sekundärnutzung von Gesundheitsdaten, ein Pilotprojekt für den Zugang von Patienten zu ihren Gesundheitsdaten über MyHealth@EU und dessen Ausweitung sowie die Entwicklung der zentralen Dienste für die Sekundärnutzung von Gesundheitsdaten ein.

    Zusätzlich zu den vorstehend erläuterten 330 Mio. EUR im Rahmen der Programme EU4Health und „Digitales Europa“ werden weitere Maßnahmen im Rahmen des Programms „Digitales Europa“, der Fazilität „Connecting Europe“ und des Programms „Horizont Europa“ die Umsetzung des europäischen Raums für Gesundheitsdaten ergänzen und erleichtern. Darüber hinaus kann die Kommission die Mitgliedstaaten auf deren Anfrage bei der Verwirklichung der Ziele dieses Vorschlags unterstützen, indem sie direkte technische Unterstützung aus dem Instrument für technische Unterstützung bereitstellt. Ziel dieser Programme ist unter anderem der „Aufbau und die Stärkung hochwertiger Datenressourcen und entsprechender Austauschverfahren“ 62 bzw. die „Entwicklung, Förderung und Erhöhung wissenschaftlicher Exzellenz“ 63 , auch im Gesundheitsbereich. Beispiele für solche Komplementaritäten sind horizontale Unterstützungsmaßnahmen für die Entwicklung und großmaßstäbliche Testung einer intelligenten Middleware-Plattform für gemeinsame Datenräume, für die bereits im Zeitraum 2021–2022 ein Betrag von 105 Mio. EUR aus dem Programm „Digitales Europa“ zugewiesen wurde, bereichsspezifische Investitionen zur Erleichterung des sicheren grenzüberschreitenden Zugangs zu Bildgebungs- und Genomikdaten für Krebserkrankungen, im Zeitraum 2021–2022, unterstützt mit 38 Mio. EUR aus dem Programm „Digitales Europa“, Forschungs- und Innovationsprojekte und Koordinierungs- und Unterstützungsmaßnahmen zugunsten der Qualität und Interoperabilität von Gesundheitsdaten, die bereits im Rahmen von Horizont Europa (Cluster 1) mit 108 Mio. EUR in den Jahren 2021 und 2022 sowie mit 59 Mio. EUR aus dem Programm für Forschungsinfrastrukturen unterstützt werden. Im Rahmen von Horizont Europa wurde in den Jahren 2021 und 2022 auch zusätzliche Unterstützung für die Sekundärnutzung von Gesundheitsdaten im Zusammenhang mit COVID‑19 (42 Mio. EUR) und Krebserkrankungen (3 Mio. EUR) bereitgestellt.

    Darüber hinaus wird die Fazilität „Connecting Europe“ in Fällen, in denen es im Gesundheitswesen an physischer Konnektivität mangelt, einen „Beitrag zur Entwicklung von Vorhaben von gemeinsamem Interesse in Bezug auf die Einführung von und Zugang zu sicheren und geschützten digitalen Netzen mit sehr hoher Kapazität, einschließlich 5G-Systemen, und zur Steigerung der Widerstandsfähigkeit und der Kapazität digitaler Backbone-Netze in den Gebieten der Union“ 64 leisten. Für die Zusammenschaltung von Cloud-Infrastrukturen, auch im Gesundheitswesen, sind in den Jahren 2022 und 2023 130 Mio. EUR vorgesehen.

    Darüber hinaus werden die Kosten für die Anbindung der Mitgliedstaaten an die europäischen Infrastrukturen im Rahmen des europäischen Raums für Gesundheitsdaten teilweise durch EU-Finanzierungsprogramme gedeckt, die EU4Health ergänzen. Über Instrumente wie die Aufbau- und Resilienzfazilität und den Europäischen Fonds für regionale Entwicklung (EFRE) kann die Anbindung der Mitgliedstaaten an die europäischen Infrastrukturen unterstützt werden.

    1.5.5.Bewertung der verschiedenen verfügbaren Finanzierungsoptionen, einschließlich der Möglichkeiten für eine Umschichtung

    Die Erfüllung der Pflichten der Kommission und die damit verbundenen Unterstützungsmaßnahmen im Rahmen dieses Legislativvorschlags werden direkt aus dem EU4Health-Programm finanziert und aus dem Programm „Digitales Europa“ zusätzlich unterstützt.

    Auch umgeschichtete Maßnahmen im Rahmen des Programms „Digitales Europa“ und des Programms „Horizont Europa“ in den Bereichen Gesundheit und digitale Gesundheit können die Durchführungsmaßnahmen zur Unterstützung dieser Verordnung im Rahmen von EU4Health ergänzen.

    1.6.Laufzeit und finanzielle Auswirkungen des Vorschlags/der Initiative

    befristete Laufzeit

       Laufzeit: [TT.MM.]JJJJ bis [TT.MM.]JJJJ

       Finanzielle Auswirkungen auf die Mittel für Verpflichtungen von JJJJ bis JJJJ und auf die Mittel für Zahlungen von JJJJ bis JJJJ

    unbefristete Laufzeit

    Umsetzung mit einer Anlaufphase ab Januar 2023,

    anschließend reguläre Umsetzung.

    1.7.Vorgeschlagene Methode(n) der Mittelverwaltung 65  

     Direkte Mittelverwaltung durch die Kommission

    durch ihre Dienststellen, einschließlich ihres Personals in den Delegationen der Union

    durch Exekutivagenturen

     Geteilte Mittelverwaltung mit Mitgliedstaaten

     Indirekte Mittelverwaltung durch Übertragung von Haushaltsvollzugsaufgaben an:

    Drittländer oder von diesen benannte Einrichtungen

    internationale Einrichtungen und deren Agenturen (bitte angeben)

    die EIB und den Europäischen Investitionsfonds

    Einrichtungen im Sinne der Artikel 70 und 71 der Haushaltsordnung

    öffentlich-rechtliche Körperschaften

    privatrechtliche Einrichtungen, die im öffentlichen Auftrag tätig werden, sofern sie ausreichende finanzielle Garantien bieten

    privatrechtliche Einrichtungen eines Mitgliedstaats, die mit der Umsetzung einer öffentlich-privaten Partnerschaft betraut werden und denen ausreichende finanzielle Garantien bereitgestellt werden

    Personen, die mit der Durchführung bestimmter Maßnahmen im Bereich der GASP im Rahmen des Titels V EUV betraut und in dem maßgeblichen Basisrechtsakt benannt sind

    Falls mehrere Methoden der Mittelverwaltung angegeben werden, ist dies unter „Bemerkungen“ näher zu erläutern.

    Bemerkungen

    2.VERWALTUNGSMAẞNAHMEN 

    2.1.Überwachung und Berichterstattung 

    Bitte geben Sie an, wie oft und unter welchen Bedingungen diese Tätigkeiten erfolgen.

    Die Verordnung wird sieben Jahre nach ihrem Inkrafttreten überprüft und bewertet. Fünf Jahre nach Inkrafttreten der Verordnung wird eine gezielte Bewertung der Selbstzertifizierung von EHR-Systemen durchgeführt und geprüft, ob ein von den benannten Stellen durchzuführendes Konformitätsbewertungsverfahren eingeführt werden muss. Die Kommission erstattet dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen über die Schlussfolgerungen dieser Bewertungen Bericht.

    Der Vorschlag sieht die Einrichtung und den Ausbau der grenzüberschreitenden digitalen Infrastrukturen für die Primär- und Sekundärnutzung von Gesundheitsdaten vor, was die Überwachung mehrerer Indikatoren erleichtern wird.

    2.2.Verwaltungs- und Kontrollsystem(e) 

    2.2.1.Begründung der Methode(n) der Mittelverwaltung, des Durchführungsmechanismus/der Durchführungsmechanismen für die Finanzierung, der Zahlungsmodalitäten und der Kontrollstrategie, wie vorgeschlagen

    Mit der Verordnung werden eine neue Politik in Bezug auf den Schutz elektronischer Gesundheitsdaten, harmonisierte Vorschriften für Systeme für elektronische Patientenakten (electronic health records, EHR) sowie Vorschriften und Governance-Regelungen für die Weiterverwendung von Gesundheitsdaten festgelegt. Diese neuen Vorschriften erfordern einen gemeinsamen Koordinierungsmechanismus für die grenzüberschreitende Anwendung der Verpflichtungen aus dieser Verordnung in Form einer neuen Beratergruppe, die die Tätigkeiten der nationalen Behörden koordiniert.

    Die durch diese Verordnung vorgesehenen Maßnahmen werden von der Kommission im Rahmen der direkten Mittelverwaltung unter Nutzung der in der Haushaltsordnung vorgesehenen Finanzierungsformen – hauptsächlich Finanzhilfen und öffentliche Aufträge – umgesetzt. Die direkte Mittelverwaltung erlaubt Finanzhilfevereinbarungen und Verträge mit den Begünstigten und Auftragnehmern, die unmittelbar an Tätigkeiten beteiligt sind, die der Politik der Union dienen. Die Kommission wird das direkte Monitoring im Hinblick auf das Ergebnis der finanzierten Maßnahmen sicherstellen. Die Zahlungsmodalitäten der finanzierten Maßnahmen werden an die Risiken der Finanzvorgänge angepasst.

    Um die Wirksamkeit, Effizienz und Wirtschaftlichkeit der Kontrollen der Kommission sicherzustellen, wird eine Kontrollstrategie verfolgt, bei der Ex-ante- und Ex-post-Kontrollen in einem ausgewogenen Verhältnis stehen und sich im Einklang mit der Haushaltsordnung auf drei Hauptphasen der Durchführung von Finanzhilfen/Verträgen konzentrieren:

    a)Auswahl von Vorschlägen/Angeboten, die den politischen Zielen der Verordnung entsprechen,

    b)operative Kontrollen, Monitoring und Ex-ante-Kontrollen, die sich auf die Durchführung des Projekts, die Vergabe öffentlicher Aufträge, Vorfinanzierungen, Zwischen- und Abschlusszahlungen sowie die Verwaltung von Sicherheiten erstrecken.

    Ex-post-Kontrollen an den Standorten der Begünstigten/Auftragnehmer werden anhand einer Stichprobe von Vorgängen ebenfalls durchgeführt. Bei der Auswahl dieser Vorgänge werden Risikobewertung und randomisierte Auswahl kombiniert.

    2.2.2.Angaben zu den ermittelten Risiken und dem/den zu deren Eindämmung eingerichteten System(en) der internen Kontrolle

    Die Durchführung dieser Verordnung konzentriert sich auf die Vergabe öffentlicher Aufträge und Finanzhilfen für bestimmte Tätigkeiten und Organisationen.

    Die öffentlichen Aufträge werden hauptsächlich für die Bereitstellung europäischer Plattformen für digitale Infrastrukturen und zugehörige Dienste sowie für die technische Unterstützung des Governance-Rahmens vergeben.

    Finanzhilfen werden hauptsächlich gewährt, um die Anbindung der Mitgliedstaaten an die europäische Infrastruktur, Interoperabilitätsprojekte sowie die Durchführung gemeinsamer Maßnahmen zu unterstützen. Die Laufzeit der geförderten Projekte und Maßnahmen schwankt meist zwischen einem und drei Jahren.

    Die Hauptrisiken sind folgende:

    a)Risiko, dass die Ziele der Verordnung aufgrund unzureichender Inanspruchnahme oder Qualität/Verzögerungen bei der Durchführung der ausgewählten Projekte oder Verträge nicht vollständig erreicht,

    b)Risiko einer ineffizienten oder unwirtschaftlichen Verwendung der gewährten Mittel, sowohl bei Finanzhilfen (Komplexität der Förderregeln) als auch bei Aufträgen (begrenzte Anzahl von Anbietern mit dem erforderlichen Fachwissen, sodass in einigen Sektoren keine ausreichenden Möglichkeiten zum Vergleich von Preisangeboten bestehen),

    c)Rufschädigungsrisiko für die Kommission, wenn Betrug oder kriminelle Machenschaften aufgedeckt werden; aufgrund der recht hohen Zahl unterschiedlicher Auftragnehmer und Begünstigter, die alle ihre eigenen Kontrollsysteme haben, können die internen Kontrollsysteme dieser Dritten nur zum Teil Sicherheit bieten.

    Die Kommission hat interne Verfahren zur Absicherung gegen die oben genannten Risiken eingeführt. Die internen Verfahren stehen uneingeschränkt mit der Haushaltsordnung im Einklang; sie umfassen Betrugsbekämpfungsmaßnahmen und sind geleitet von Kosten-Nutzen-Erwägungen. Innerhalb dieses Rahmens wird die Kommission weiterhin Möglichkeiten ausloten, um die Verwaltung zu optimieren und Effizienzgewinne zu erzielen. Die wichtigsten Merkmale des Kontrollrahmens sind folgende:

    1)Kontrollen vor und während der Durchführung der Projekte:

    a)Es wird ein geeignetes Projektmanagementsystem eingerichtet, das sich auf die Beiträge der Projekte und Verträge zur Verwirklichung der politischen Ziele konzentriert, eine systematische Einbeziehung aller Akteure sicherstellt, eine regelmäßige Berichterstattung des Projektmanagements einführt, die von Fall zu Fall durch Besuche vor Ort ergänzt wird, einschließlich Risikoberichten für die höhere Führungsebene, und eine angemessene Haushaltsflexibilität gewährleistet.

    b)Die verwendeten Musterfinanzhilfevereinbarungen und Musterverträge werden bei der Kommission entwickelt. Sie sehen eine Reihe von Kontrollmaßnahmen vor, nämlich Prüfbescheinigungen, Finanzsicherheiten, Vor-Ort-Audits sowie Untersuchungen durch das Europäische Amt für Betrugsbekämpfung (OLAF). Die Regeln für die Förderfähigkeit der Kosten werden vereinfacht, beispielsweise durch die Verwendung von Stückkosten, Pauschalbeträgen, nicht an Kosten gebundenen Beiträgen und anderen Möglichkeiten, die die Haushaltsordnung bietet. Dadurch sinken die Kosten für Kontrollen, und der Schwerpunkt wird auf Prüfungen und Kontrollen in Gebieten mit hohem Risiko verlagert.

    c)Das gesamte Personal unterzeichnet den Kodex für gute Verwaltungspraxis. An den Auswahlverfahren oder an der Verwaltung der Finanzhilfevereinbarungen/Verträge beteiligtes Personal unterzeichnet (zusätzlich) eine Erklärung über das Nichtvorliegen von Interessenkonflikten. Das Personal wird regelmäßig geschult und tauscht über Netzwerke bewährte Verfahren aus.

    d)Die technische Durchführung eines Projekts wird in regelmäßigen Abständen im Rahmen von Aktenprüfungen der technischen Fortschrittsberichte der Auftragnehmer und Begünstigten kontrolliert; außerdem finden Treffen mit den Auftragnehmern/Begünstigten und stichprobenartige Kontrollbesuche vor Ort statt.

    2)Kontrolle am Ende der Projekte:

    In Ex-post-Kontrollen vor Ort wird die Förderfähigkeit der erklärten Kosten anhand einer Stichprobe der Vorgänge überprüft. Mit diesen Kontrollen sollen wesentliche Fehler in Bezug auf die Rechtmäßigkeit und Ordnungsmäßigkeit der Finanzvorgänge verhindert, aufgedeckt und korrigiert werden. Um eine hohe Wirksamkeit der Kontrollen zu gewährleisten, erfolgt die Auswahl der zu prüfenden Begünstigten nach risikobasierten Kriterien, kombiniert mit einer Stichprobenauswahl. Nach Möglichkeit werden bei der Vor-Ort-Prüfung operative Aspekte berücksichtigt.

    2.2.3.Schätzung und Begründung der Kosteneffizienz der Kontrollen (Verhältnis zwischen den Kontrollkosten und dem Wert der betreffenden verwalteten Mittel) sowie Bewertung des erwarteten Ausmaßes des Fehlerrisikos (bei Zahlung und beim Abschluss) 

    Im Rahmen des dritten Gesundheitsprogramms 2014–2020 machten die jährlichen Kosten des vorgeschlagenen Kontrollumfangs etwa 4 % bis 7 % des Jahresbudgets der operativen Ausgaben aus. Dies ist angesichts der Vielfalt zu prüfender Vorgänge gerechtfertigt. Im Gesundheitsbereich bedeutet die direkte Mittelverwaltung die Vergabe zahlreicher Verträge und Finanzhilfen für Maßnahmen von sehr geringem bis sehr großem Umfang sowie die Zahlung zahlreicher Betriebskostenzuschüsse an Nichtregierungsorganisationen. Mit diesen Tätigkeiten ist das Risiko verbunden, dass (insbesondere) kleinere Organisationen die Ausgaben möglicherweise nicht wirksam kontrollieren können.

    Die Kommission geht davon aus, dass die durchschnittlichen Kontrollkosten für die im Rahmen dieser Verordnung vorgeschlagenen Maßnahmen wahrscheinlich die gleichen sind.

    Im dritten Gesundheitsprogramm 2014–2020 betrug die Fehlerquote über einen Fünfjahreszeitraum bei den Vor-Ort-Prüfungen der Finanzhilfen im Rahmen der direkten Mittelverwaltung 1,8 %, während sie bei den öffentlichen Aufträgen bei unter 1 % lag. Diese Fehlerquote wird als hinnehmbar angesehen, da sie unter der Erheblichkeitsschwelle von 2 % liegt.

    Die Bewirtschaftung der Mittel in ihrer derzeitigen Form bleibt von den vorgeschlagenen Maßnahmen unberührt. Das bestehende Kontrollsystem hat sich bei der Vermeidung, Aufdeckung und Korrektur von Fehlern und Unregelmäßigkeiten bewährt. Es wird so angepasst, dass es die neuen Maßnahmen einschließt und sichergestellt ist, dass die Restfehlerquoten (nach Korrektur) unter dem Grenzwert von 2 % bleiben.

    2.3.Prävention von Betrug und Unregelmäßigkeiten 

    Bitte geben Sie an, welche Präventions- und Schutzmaßnahmen, z. B. im Rahmen der Betrugsbekämpfungsstrategie, bereits bestehen oder angedacht sind.

    In Bezug auf ihre Tätigkeiten mit direkter Mittelverwaltung trifft die Kommission geeignete Maßnahmen, um sicherzustellen, dass die finanziellen Interessen der Europäischen Union durch die Anwendung von Präventivmaßnahmen gegen Betrug, Korruption und sonstige rechtswidrige Handlungen, durch wirksame Kontrollen und, falls Unregelmäßigkeiten festgestellt werden, durch die Wiedereinziehung der zu Unrecht gezahlten Beträge und gegebenenfalls durch wirksame, verhältnismäßige und abschreckende Sanktionen geschützt werden. Zu diesem Zweck hat die Kommission eine Betrugsbekämpfungsstrategie angenommen, die zuletzt im April 2019 aktualisiert wurde (COM(2019) 196) und insbesondere folgende Präventiv-, Aufdeckungs- und Korrekturmaßnahmen umfasst:

    Die Kommission oder ihre Vertreter und der Rechnungshof sind befugt, bei allen Finanzhilfeempfängern, Auftragnehmern und Unterauftragnehmern, die EU-Mittel erhalten, Aktenprüfungen und Vor-Ort-Audits durchzuführen. Das OLAF ist ermächtigt, bei allen direkt oder indirekt durch Finanzierungen aus Unionsmitteln betroffenen Wirtschaftsteilnehmern Kontrollen und Überprüfungen vor Ort durchzuführen.

    Die Kommission trifft auch eine Reihe von Maßnahmen, zum Beispiel folgende:

    a)Der Kommission, auch dem OLAF, und dem Rechnungshof wird durch Beschlüsse, Vereinbarungen und Verträge, die sich aus der Durchführung der Verordnung ergeben, ausdrücklich die Befugnis erteilt, Rechnungsprüfungen, Kontrollen und Überprüfungen vor Ort durchzuführen, unrechtmäßig gezahlte Beträge zurückzufordern und gegebenenfalls verwaltungsrechtliche Sanktionen zu verhängen.

    b)In der Evaluierungsphase einer Aufforderung zur Einreichung von Vorschlägen bzw. einer Ausschreibung wird auf der Grundlage der abgegebenen Erklärungen und mithilfe des Früherkennungs- und Ausschlusssystems geprüft, ob die veröffentlichten Ausschlusskriterien auf die Antragsteller bzw. Bieter zutreffen.

    c)Die Bestimmungen betreffend die Erstattungsfähigkeit von Kosten werden im Einklang mit der Haushaltsordnung vereinfacht.

    d)Alle am Vertragsmanagement beteiligten Bediensteten sowie die Rechnungsprüfer und Kontrolleure, die die Erklärungen der Begünstigten vor Ort überprüfen, werden regelmäßig zu Themen im Zusammenhang mit Betrug und Unregelmäßigkeiten geschult.

    3.GESCHÄTZTE FINANZIELLE AUSWIRKUNGEN DES VORSCHLAGS/DER INITIATIVE 

    3.1.Betroffene Rubrik(en) des Mehrjährigen Finanzrahmens und Ausgabenlinie(n) im Haushaltsplan 

    ·Bestehende Haushaltslinien

    In der Reihenfolge der Rubriken des Mehrjährigen Finanzrahmens und der Haushaltslinien.

    Rubrik des Mehrjährigen Finanzrahmens

    Haushaltslinie

    Art der
    Ausgaben

    Beitrag

    Nummer  

    GM/NGM 66

    von EFTA-Ländern 67

    von Kandidaten-ländern 68

    von Drittländern

    nach Artikel 21 Absatz 2 Buchstabe b der Haushaltsordnung

    1

    02 04 03 – Programm „Digitales Europa“ – Künstliche Intelligenz

    GM

    JA

    JA

    JA

    NEIN

    2b

    06 06 01 – Programm EU4Health

    GM

    JA

    JA

    JA

    NEIN

    7 

    20 02 06 Verwaltungsausgaben

    NGM 

    NEIN

    NEIN

    NEIN

    NEIN

    3.2.Geschätzte finanzielle Auswirkungen des Vorschlags auf die Mittel 

    3.2.1.Übersicht über die geschätzten Auswirkungen auf die operativen Mittel 

       Für den Vorschlag/die Initiative werden keine operativen Mittel benötigt.

       Für den Vorschlag/die Initiative werden die folgenden operativen Mittel benötigt:

    in Mio. EUR (3 Dezimalstellen)

    Rubrik des 
    Mehrjährigen Finanzrahmens 

    1

    Binnenmarkt, Innovation und Digitales

    GD CNECT

    Jahr 
    2022 69

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027

    Folgejahre (jährlich)

    INSGESAMT 2023–2027

    • Operative Mittel

    02 04 03 – Programm „Digitales Europa“ – Künstliche Intelligenz

    Verpflichtungen

    (1a)

    10,000

    20,000

    20,000

    50,000

    Zahlungen

    (2a)

    5,000

    15,000

    10,000

    10,000

    10,000 70

    50,000

    Aus der Dotation bestimmter spezifischer Programme finanzierte Verwaltungsausgaben 71  

    Haushaltslinie

    (3)

    Mittel INSGESAMT 
    für die GD CNECT

    Verpflichtungen

    =1a+1b+1c+3

    10,000

    20,000

    20,000

    50,000

    Zahlungen

    =2a+2b+2c

    +3

    5,000

    15,000

    10,000

    10,000

    10,000

    50,000

    Die Beiträge aus dem Programm „Digitales Europa“ ab 2023 sind Richtwerte, die bei der Ausarbeitung der jeweiligen Arbeitsprogramme berücksichtigt werden. Die endgültigen Zuweisungen hängen von der Priorisierung der Finanzierung im zugrunde liegenden Annahmeverfahren ab und unterliegen der Zustimmung des jeweiligen Programmausschusses.



    Operative Mittel INSGESAMT

    Verpflichtungen

    (4)

    10,000

    20,000

    20,000

    50,000

    Zahlungen

    (5)

    5,000

    15,000

    10,000

    10,000

    10,000

    50,000

    • Aus der Dotation bestimmter spezifischer Programme finanzierte Verwaltungsausgaben INSGESAMT

    (6)

    Mittel INSGESAMT
    unter RUBRIK 1
     
    des Mehrjährigen Finanzrahmens

    Verpflichtungen

    = 4+6

    10,000

    20,000

    20,000

    50,000

    Zahlungen

    = 5+6

    5,000

    15,000

    10,000

    10,000

    10,000

    50,000

    Rubrik des 
    Mehrjährigen Finanzrahmens 

    2b

    Zusammenhalt, Resilienz und Werte

    GD SANTE

    Jahr 
    2022 72

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027

    Folgejahre (jährlich)

    INSGESAMT 2023–2027

    • Operative Mittel

    06 06 01 – Programm EU4Health

    Verpflichtungen

    (1a)

    26,000

    25,000

    34,000

    35,000

    50,000

    15,000

    170,000

    Zahlungen

    (2a)

    13,000

    25,500

    29,500

    34,500

    67,500

    15,000

    170,000

    Aus der Dotation bestimmter spezifischer Programme finanzierte Verwaltungsausgaben 73  

    Haushaltslinie

    (3)

    Mittel INSGESAMT 
    für die GD SANTE

    Verpflichtungen

    =1a+1b+1c+3

    26,000

    25,000

    34,000

    35,000

    50,000

    15,000

    170,000

    Zahlungen

    =2a+2b+2c

    +3

    13,000

    25,500

    29,500

    34,500

    67,500

    15,000

    170,000



    Operative Mittel INSGESAMT

    Verpflichtungen

    (4)

    26,000

    25,000

    34,000

    35,000

    50,000

    15,000

    170,000

    Zahlungen

    (5)

    13,000

    25,500

    29,500

    34,500

    67,500

    15,000

    170,000

    • Aus der Dotation bestimmter spezifischer Programme finanzierte Verwaltungsausgaben INSGESAMT

    (6)

    Mittel INSGESAMT
    unter RUBRIK 2b
     
    des Mehrjährigen Finanzrahmens

    Verpflichtungen

    = 4+6

    26,000

    25,000

    34,000

    35,000

    50,000

    15,000

    170,000

    Zahlungen

    =5+6

    13,000

    25,500

    29,500

    34,500

    67,500

    15,000

    170,000





    Rubrik des 
    Mehrjährigen Finanzrahmens 

    7

    Verwaltungsausgaben

    Zum Ausfüllen dieses Teils ist die „Tabelle für Verwaltungsausgaben“ zu verwenden, die zuerst in den Anhang des Finanzbogens zu Rechtsakten (Anhang V der Internen Vorschriften), der für die dienststellenübergreifende Konsultation in DECIDE hochgeladen wird, aufgenommen wird.

    in Mio. EUR (3 Dezimalstellen)

    Jahr 
    2022

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027

    Folgejahre (jährlich)

    INSGESAMT 2023–2027

    GD SANTE

    • Personal

    3,289

    3,289

    3,289

    3,289

    3,289

    3,289

    16,445

    • Sonstige Verwaltungsausgaben

    0,150

    0,150

    0,250

    0,250

    0,250

    0,250

    1,050

    Mittel INSGESAMT

    für die GD SANTE

    3,439

    3,439

    3,539

    3,539

    3,539

    3,539

    17,495

    Mittel INSGESAMT 
    unter der RUBRIK 7 
    des Mehrjährigen Finanzrahmens 

    (Verpflichtungen insges. = Zahlungen insges.)

    3,439

    3,439

    3,539

    3,539

    3,539

    3,539

    17,495

    in Mio. EUR (3 Dezimalstellen)

    Jahr 
    2022

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027

    Folgejahre (jährlich)

    INSGESAMT 2023–2027

    Mittel INSGESAMT
    unter den RUBRIKEN 1 bis 7
     
    des Mehrjährigen Finanzrahmens 

    Verpflichtungen

    29,439

    38,439

    57,539

    38,539

    73,539

    18,539

    237,495

    Zahlungen

    16,439

    33,939

    48,039

    48,039

    91,039

    18,539

    237,495

    3.2.2.Geschätzte Ergebnisse, die mit operativen Mitteln finanziert werden 

    Mittel für Verpflichtungen, in Mio. EUR (3 Dezimalstellen)

    Ziele und Ergebnisse angeben

    Jahr 
    2022

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027

    Folgejahre (jährlich)

    INSGESAMT 2023–2027

    ERGEBNISSE

    Art 74

    Durchschnittskosten

    Anzahl

    Kosten

    Anzahl

    Kosten

    Anzahl

    Kosten

    Anzahl

    Kosten

    Anzahl

    Kosten

    Anzahl

    Kosten

    Anzahl

    Kosten

    Gesamtzahl

    Gesamtkosten

    EINZELZIEL Nr. 1

    Entwicklung und Unterhaltung der europäischen zentralen Plattform für MyHealth@EU und Unterstützung der Mitgliedstaaten

    16,400

     

    18,000

     

    28,000

     

    10,000

     

    38,000

     

    8,000

     

    110,400

    Zwischensumme für Einzelziel Nr. 1

    16,400

     

    18,000

     

    28,000

     

    10,000

     

    38,000

     

    8,000

     

    110,400

    EINZELZIEL Nr. 2

    Datenbank für EHR-Systeme und Wellness-Apps

    3,100

     

    3,000

     

    3,000

     

    3,000

     

    2,000

     

    2,000

     

    14,100

    Zwischensumme für Einzelziel Nr. 2

    3,100

     

    3,000

     

    3,000

     

    3,000

     

    2,000

     

    2,000

     

    14,100

    EINZELZIEL Nr. 3

    Entwicklung und Unterhaltung der europäischen zentralen Plattform für HealthData@EU und Unterstützung der Mitgliedstaaten

    6,500

     

    14,000

     

    23,000

     

    22,000

     

    30,000

     

    5,000

     

    95,500

    Zwischensumme für Einzelziel Nr. 3

    6,500

     

    14,000

     

    23,000

     

    22,000

     

    30,000

     

    5,000

     

    95,500

    INSGESAMT

    26,000

     

    35,000

     

    54,000

     

    35,000

     

    70,000

     

    15,000

     

    220,000

    3.2.3.Übersicht über die geschätzten Auswirkungen auf die Verwaltungsmittel 

       Für den Vorschlag/die Initiative werden keine Verwaltungsmittel benötigt.

       Für den Vorschlag/die Initiative werden die folgenden Verwaltungsmittel benötigt:

    in Mio. EUR (3 Dezimalstellen)

    Jahr 
    2022

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027 und Folgejahre

    INSGESAMT

    RUBRIK 7 
    des Mehrjährigen Finanzrahmens

    Personal

    3,289

    3,289

    3,289

    3,289

    3,289

    16,445

    Sonstige Verwaltungsausgaben

    0,150

    0,150

    0,250

    0,250

    0,250

    1,050

    Zwischensumme RUBRIK 7 
    des Mehrjährigen Finanzrahmens

    3,439

    3,439

    3,539

    3,539

    3,539

    17,495

    Jahr 
    2022

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027 und Folgejahre

    INSGESAMT

    Außerhalb der RUBRIK 7 75
    des Mehrjährigen Finanzrahmens
     

    Personal

    Sonstige
    Verwaltungsausgaben

    Zwischensumme
    außerhalb der RUBRIK 7
     
    des Mehrjährigen Finanzrahmens

    Jahr 
    2022

    Jahr 
    2023

    Jahr 
    2024

    Jahr 
    2025

    Jahr 
    2026

    Jahr 
    2027 und Folgejahre

    INSGESAMT

    INSGESAMT

    3,439

    3,439

    3,539

    3,539

    3,539

    17,495

    Der Mittelbedarf für Personal- und sonstige Verwaltungsausgaben wird durch der Verwaltung der Maßnahme zugeordnete Mittel der GD oder GD-interne Personalumschichtung gedeckt. Hinzu kommen etwaige zusätzliche Mittel, die der für die Verwaltung der Maßnahme zuständigen GD nach Maßgabe der verfügbaren Mittel im Rahmen der jährlichen Mittelzuweisung zugeteilt werden.

    3.2.3.1.Geschätzter Personalbedarf

       Für den Vorschlag/die Initiative wird kein Personal benötigt.

       Für den Vorschlag/die Initiative wird folgendes Personal benötigt:

    Schätzung in Vollzeitäquivalenten

    Jahr 
    2022

    Jahr 
    2023

    Jahr 2024

    Jahr 2025

    Jahr 
    2026

    Jahr 2027 und folgende Jahre

    • Im Stellenplan vorgesehene Planstellen (Beamte und Bedienstete auf Zeit)

    20 01 02 01 (am Sitz und in den Vertretungen der Kommission)

    16

    16

    16

    16

    16

    20 01 02 03 (in den Delegationen)

    01 01 01 01 (indirekte Forschung)

    01 01 01 11 (direkte Forschung)

    Sonstige Haushaltslinien (bitte angeben)

    20 02 01 (VB, ANS und LAK der Globaldotation)

    9

    9

    9

    9

    9

    20 02 03 (VB, ÖB, ANS, LAK und JFD in den Delegationen)

    XX 01 xx jj zz 76

    – am Sitz

    – in den Delegationen

    01 01 01 02 (VB, ANS und LAK – indirekte Forschung)

    01 01 01 12 (VB, ANS und LAK – direkte Forschung)

    Sonstige Haushaltslinien (bitte angeben)

    INSGESAMT

    25

    25

    25

    25

    25

    06 steht für den jeweiligen Politikbereich bzw. Haushaltstitel.

    Der Personalbedarf wird durch der Verwaltung der Maßnahme zugeordnetes Personal der GD oder GD-interne Personalumschichtung gedeckt. Hinzu kommen etwaige zusätzliche Mittel, die der für die Verwaltung der Maßnahme zuständigen GD nach Maßgabe der verfügbaren Mittel im Rahmen der jährlichen Mittelzuweisung zugeteilt werden.

    Beschreibung der auszuführenden Aufgaben:

    Beamte und Zeitbedienstete

    12 AD-VZÄ (10 im Politikreferat und 2 im IT-Referat der GD SANTE) und 4 AST-VZÄ (3 im Politikreferat und 1 im IT-Referat der GD SANTE) werden benötigt, um die Aufgaben im Zusammenhang mit der Entwicklung und Funktionsweise des EHDS zu erfüllen, insbesondere im Hinblick auf

    a)die Verwaltung der grenzüberschreitenden digitalen Infrastruktur MyHealth@EU,

    b)die Verwaltung der grenzüberschreitenden digitalen Infrastruktur für Sekundärnutzungen,

    c)die Standardisierung der elektronischen Patientenakten und des Austauschs von Gesundheitsdaten,

    d)die Datenqualität elektronischer Patientenakten und ausgetauschter Gesundheitsdaten,

    e)den Zugang zu Gesundheitsdaten für Sekundärnutzungen,

    f)Beschwerden, Verstöße und Prüfungen bezüglich der Einhaltung der Vorschriften,

    g)logistische Unterstützung für den Governance-Rahmen (Präsenz- und Online-Sitzungen),

    h)horizontale Aufgaben in den Bereichen Kommunikation, Stakeholder-Management und interinstitutionelle Beziehungen,

    i)interne Koordinierung,

    j)Verwaltung der Tätigkeiten.

    6,5 AD-VZÄ und 4 AST-VZÄ werden durch Personal abgedeckt, das derzeit in den Bereichen digitale Gesundheit und Austausch von Gesundheitsdaten nach Artikel 14 der Richtlinie 2011/24/EU sowie Vorbereitung der EHDS-Verordnung tätig ist. Die verbleibenden 5,5 AD-Vollzeitäquivalente werden durch interne Umschichtungen in der GD SANTE abgedeckt.

    Externes Personal

    Bei der Durchführung der oben genannten Aufgaben werden die AD- und AST-Mitarbeiter von 5 AC und 4 ND der GD SANTE unterstützt.

    4 AC-VZÄ und 3 END-VZÄ werden durch Personal abgedeckt, das derzeit in den Bereichen digitale Gesundheit und Austausch von Gesundheitsdaten nach Artikel 14 der Richtlinie 2011/24/EU sowie Vorbereitung der EHDS-Verordnung tätig ist. Die verbleibenden 1 AC-VZÄ und 1 END-VZÄ werden durch interne Umschichtungen in der GD SANTE abgedeckt.

    3.2.4.Vereinbarkeit mit dem Mehrjährigen Finanzrahmen 

    Der Vorschlag/Die Initiative

       kann durch Umschichtungen innerhalb der entsprechenden Rubrik des Mehrjährigen Finanzrahmens (MFR) in voller Höhe finanziert werden.

    Die Mittel werden innerhalb des Finanzrahmens umgeschichtet, der dem EU4Health-Programm und dem Programm „Digitales Europa“ im MFR 2021–2027 zugewiesen ist.

       erfordert die Inanspruchnahme des verbleibenden Spielraums unter der einschlägigen Rubrik des MFR und/oder den Einsatz der besonderen Instrumente im Sinne der MFR-Verordnung.

       erfordert eine Revision des MFR.

    3.2.5.Finanzierungsbeteiligung Dritter 

    Der Vorschlag/Die Initiative

    sieht keine Kofinanzierung durch Dritte vor

       sieht folgende Kofinanzierung durch Dritte vor:

    Mittel in Mio. EUR (3 Dezimalstellen)

    Jahr 
    N 77

    Jahr 
    N+1

    Jahr 
    N+2

    Jahr 
    N+3

    Bei länger andauernden Auswirkungen (siehe 1.6.) bitte weitere Spalten einfügen.

    Insgesamt

    Geldgeber/kofinanzierende Einrichtung 

    Kofinanzierung INSGESAMT

     

    3.3.Geschätzte Auswirkungen auf die Einnahmen 

       Der Vorschlag/Die Initiative wirkt sich nicht auf die Einnahmen aus.

       Der Vorschlag/Die Initiative wirkt sich auf die Einnahmen aus, und zwar

       auf die Eigenmittel

       auf die übrigen Einnahmen

    Bitte geben Sie an, ob die Einnahmen bestimmten Ausgabenlinien zugewiesen sind.    

    in Mio. EUR (3 Dezimalstellen)

    Einnahmenlinie:

    Für das laufende Haushaltsjahr zur Verfügung stehende Mittel

    Auswirkungen des Vorschlags/der Initiative 78

    Jahr 
    N

    Jahr 
    N+1

    Jahr 
    N+2

    Jahr 
    N+3

    Bei länger andauernden Auswirkungen (siehe 1.6.) bitte weitere Spalten einfügen.

    Artikel ….

    Bitte geben Sie für die sonstigen zweckgebundenen Einnahmen die betreffende(n) Ausgabenlinie(n) im Haushaltsplan an.

    Sonstige Anmerkungen (bei der Ermittlung der Auswirkungen auf die Einnahmen verwendete Methode/Formel oder weitere Informationen).

    (1)    Europäische Kommission, Europäische Datenstrategie (2020). https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de .
    (2)    Siehe Mandatsschreiben mission-letter-stella-kyriakides_en.pdf (europa.eu) .
    (3)    Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
    (4)    Europäische Kommission, Assessment of the EU Member States’ rules on health data in the light of the GDPR , 2021.
    (5)    Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
    (6)    Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von COVID‑19-Impfungen und ‑Tests sowie der Genesung von einer COVID‑19-Infektion (digitales COVID-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID‑19-Pandemie (ABl. L 211 vom 15.6.2021, S. 1).
    (7)    Europäische Kommission, Europäischer Interoperabilitätsrahmen .
    (8)    Europäische Kommission, Europas digitale Dekade: digitale Ziele für 2030 .
    (9)    Europäische Kommission, Initiative „ Erklärung zu den Digitalgrundsätzen – der „europäische Weg“ in die digitale Gesellschaft “.
    (10)    Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1).
    (11)    Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission (ABl. L 117 vom 5.5.2017, S. 176).
    (12)    Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) ( COM(2021) 206 final ).
    (13)    Vorschlag für eine Verordnung über europäische Daten-Governance (Data-Governance-Gesetz) ( COM(2020) 767 final ).
    (14)    Vorschlag für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) ( COM(2022) 068 final ).
    (15)    Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).
    (16)    Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).
    (17)     Behörde für die Krisenvorsorge und ‑reaktion bei gesundheitlichen Notlagen | Europäische Kommission (europa.eu) .
    (18)     EU-Mission: Krebs | Europäische Kommission (europa.eu) .
    (19)     Europäischer Plan zur Krebsbekämpfung | Europäische Kommission (europa.eu) .
    (20)     Eine Arzneimittelstrategie für Europa (europa.eu) .
    (21)    Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 (COM(2020) 823 final).
    (22)    Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität ( COM(2021) 281 final ).
    (23)    Europäische Kommission, Bericht „Grenzregionen in der EU: Reallabors der Europäischen Integration“ , 2021.
    (24)    Der Ausschluss „abgeleiteter“ Daten und die Beschränkung auf Daten, die auf der Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, bewirken, dass große Mengen an Gesundheitsdaten nicht unter das Recht auf Übertragbarkeit der DSGVO fallen.
    (25)     Presseraum | Europäische Kommission (europa.eu) .
    (26)    Weitere Einzelheiten siehe Hansen et al. (2021), S. 20.
    (27)    Europäische Kommission (Studie in Vorbereitung), [eine Studie über ein Infrastruktur- und Datenökosystem zur Unterstützung der Folgenabschätzung zum europäischen Raum für Gesundheitsdaten], Trasys.
    (28)     Europäische Kommission, Public consultation on overcoming cross-border obstacles , 2020.
    (29)    Europäische Kommission (2020), Assessment of the EU Member States rules on health data in the light of GDPR (Anhänge hier verfügbar: https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf ).
    (30)     eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the EU, Lot 1 – Interoperability of Electronic Health Records in the EU (2020).
    (31)     Study on the use of real-world data (RWD) for research, clinical care, regulatory decision-making, health technology assessment, and policy-making .
    (32)     Market study on telemedicine .
    (33)     Preliminary Opinion 8/2020 on the European Health Data Space .
    (34)    Artikel 6 Absatz 4 der Verordnung (EU) 2021/1119 des Europäischen Parlaments und des Rates vom 30. Juni 2021 zur Schaffung des Rahmens für die Verwirklichung der Klimaneutralität und zur Änderung der Verordnungen (EG) Nr. 401/2009 und (EU) 2018/1999 (im Folgenden „Europäisches Klimagesetz“).
    (35)    Die Beiträge aus dem Programm „Digitales Europa“ ab 2023 sind Richtwerte, die bei der Ausarbeitung der jeweiligen Arbeitsprogramme berücksichtigt werden. Die endgültigen Zuweisungen hängen von der Priorisierung der Finanzierung im zugrunde liegenden Annahmeverfahren ab und unterliegen der Zustimmung des jeweiligen Programmausschusses.
    (36)    Artikel 5 der Verordnung (EU) 2021/694 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Aufstellung des Programms „Digitales Europa“ und zur Aufhebung des Beschlusses (EU) 2015/2240.
    (37)    Artikel 3 Absatz 2 Buchstabe a der Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates vom 28. April 2021 zur Einrichtung von „Horizont Europa“, dem Rahmenprogramm für Forschung und Innovation, sowie über dessen Regeln für die Beteiligung und die Verbreitung der Ergebnisse und zur Aufhebung der Verordnungen (EU) Nr. 1290/2013 und (EU) Nr. 1291/2013.
    (38)    Artikel 3 Absatz 2 Buchstabe c der Verordnung (EU) 2021/1153 des Europäischen Parlaments und des Rates vom 7. Juli 2021 zur Schaffung der Fazilität „Connecting Europe“ und zur Aufhebung der Verordnungen (EU) Nr. 1316/2013 und (EU) Nr. 283/2014.
    (39)    ABl. C … vom …, S. ….
    (40)    ABl. C … vom …, S. ….
    (41)    Durchführungsbeschluss (EU) 2019/1269 der Kommission vom 26. Juli 2019 zur Änderung des Durchführungsbeschlusses 2014/287/EU der Kommission zur Festlegung von Kriterien für die Einrichtung europäischer Referenznetzwerke, für die Evaluierung dieser Netzwerke und ihrer Mitglieder und zur Erleichterung des Austauschs von Informationen und Fachwissen in Bezug auf die Einrichtung und Evaluierung solcher Netzwerke (ABl. L 200 vom 29.7.2019, S. 35).
    (42)     EOSC-Portal (eosc-portal.eu) .
    (43)    Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
    (44)    Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).
    (45)    Empfehlung (EU) 2019/243 der Kommission vom 6. Februar 2019 über ein europäisches Austauschformat für elektronische Patientenakten (ABl. L 39 vom 11.2.2019, S. 18).
    (46)    Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
    (47)    Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).
    (48)    Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15).
    (49)    Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1).
    (50)    Verordnung (EG) Nr. 723/2009 des Rates vom 25. Juni 2009 über den gemeinschaftlichen Rechtsrahmen für ein Konsortium für eine europäische Forschungsinfrastruktur (ERIC) (ABl. L 206 vom 8.8.2009, S. 1).
    (51)    Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates vom 2. Oktober 2018 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 (ABl. L 295 vom 21.11.2018, S. 1).
    (52)    ABl. L 123 vom 12.5.2016, S. 1.
    (53)    Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
    (54)    Europäische Kommission, Europäischer Interoperabilitätsrahmen .
    (55)    Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (Text von Bedeutung für den EWR) (ABl. L 151 vom 7.6.2019, S. 70).
    (56)    Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).
    (57)    Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).
    (58)    Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).
    (59)    Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).
    (60)    Im Sinne des Artikels 58 Absatz 2 Buchstabe a oder b der Haushaltsordnung.
    (61)    Verordnung (EU) 2021/522 des Europäischen Parlaments und des Rates vom 24. März 2021 zur Einrichtung eines Aktionsprogramms der Union im Bereich der Gesundheit (im Folgenden „EU4Health-Programm“) für den Zeitraum 2021–2027 und zur Aufhebung der Verordnung (EU) Nr. 282/2014.
    (62)    Artikel 5 der Verordnung (EU) 2021/694 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Aufstellung des Programms „Digitales Europa“ und zur Aufhebung des Beschlusses (EU) 2015/2240.
    (63)    Artikel 3 Absatz 2 Buchstabe a der Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates vom 28. April 2021 zur Einrichtung von „Horizont Europa“, dem Rahmenprogramm für Forschung und Innovation, sowie über dessen Regeln für die Beteiligung und die Verbreitung der Ergebnisse und zur Aufhebung der Verordnungen (EU) Nr. 1290/2013 und (EU) Nr. 1291/2013.
    (64)    Artikel 3 Absatz 2 Buchstabe c der Verordnung (EU) 2021/1153 des Europäischen Parlaments und des Rates vom 7. Juli 2021 zur Schaffung der Fazilität „Connecting Europe“ und zur Aufhebung der Verordnungen (EU) Nr. 1316/2013 und (EU) Nr. 283/2014.
    (65)    Erläuterungen zu den Methoden der Mittelverwaltung und Verweise auf die Haushaltsordnung siehe BudgWeb (in französischer und englischer Sprache): https://myintracomm.ec.europa.eu/budgweb/DE/man/budgmanag/Pages/budgmanag.aspx  
    (66)    GM = Getrennte Mittel/NGM = Nichtgetrennte Mittel.
    (67)    EFTA: Europäische Freihandelsassoziation.
    (68)    Kandidatenländer und gegebenenfalls potenzielle Kandidaten des Westbalkans.
    (69)    Das Jahr N ist das Jahr, in dem mit der Umsetzung des Vorschlags/der Initiative begonnen wird. Bitte ersetzen Sie „N“ durch das voraussichtlich erste Jahr der Umsetzung (z. B. 2021). Dasselbe gilt für die folgenden Jahre.
    (70)    Dieser Betrag ergibt sich aus der Verpflichtung im Jahr 2027 und stellt keine wiederkehrende Zahlung dar. Er ist in der Berechnung des Gesamtbetrags für 2023–2027 enthalten.
    (71)    Technische und/oder administrative Unterstützung und Ausgaben zur Unterstützung der Umsetzung von Programmen bzw. Maßnahmen der EU (vormalige BA-Linien), indirekte Forschung, direkte Forschung.
    (72)    Das Jahr N ist das Jahr, in dem mit der Umsetzung des Vorschlags/der Initiative begonnen wird. Bitte ersetzen Sie „N“ durch das voraussichtlich erste Jahr der Umsetzung (z. B. 2021). Dasselbe gilt für die folgenden Jahre.
    (73)    Technische und/oder administrative Unterstützung und Ausgaben zur Unterstützung der Umsetzung von Programmen bzw. Maßnahmen der EU (vormalige BA-Linien), indirekte Forschung, direkte Forschung.
    (74)    Ergebnisse sind Produkte, die geliefert, und Dienstleistungen, die erbracht werden (z. B.: Zahl der Austauschstudenten, gebaute Straßenkilometer …).
    (75)    Technische und/oder administrative Unterstützung und Ausgaben zur Unterstützung der Umsetzung von Programmen bzw. Maßnahmen der EU (vormalige BA-Linien), indirekte Forschung, direkte Forschung.
    (76)    Teilobergrenze für aus operativen Mitteln finanziertes externes Personal (vormalige BA-Linien).
    (77)    Das Jahr N ist das Jahr, in dem mit der Umsetzung des Vorschlags/der Initiative begonnen wird. Bitte ersetzen Sie „N“ durch das voraussichtlich erste Jahr der Umsetzung (z. B. 2021). Dasselbe gilt für die folgenden Jahre.
    (78)    Bei den traditionellen Eigenmitteln (Zölle, Zuckerabgaben) sind die Beträge netto, d. h. abzüglich 20 % für Erhebungskosten, anzugeben.
    Top

    Straßburg, den 3.5.2022

    COM(2022) 197 final

    ANHÄNGE

    der

    VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

    über den europäischen Raum für Gesundheitsdaten

    {SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}


    ANHANG I

    Wesentliche Merkmale der Kategorien elektronischer Gesundheitsdaten

    Kategorie elektronischer Gesundheitsdaten

    Wesentliche Merkmale der in die Kategorie fallenden elektronischen Gesundheitsdaten

    1.Patientenkurzakte

    Elektronische Gesundheitsdaten, die wichtige klinische Fakten in Bezug auf eine bestimmte Person enthalten und für eine sichere und effiziente Gesundheitsversorgung dieser Person unerlässlich sind. Eine Patientenkurzakte enthält folgende Informationen:

    1.Angaben zur Person

    2.Kontaktdaten

    3.Angaben zur Versicherung

    4.Allergien

    5.Medizinische Warnungen

    6.Informationen über Impfungen/Prophylaxen, gegebenenfalls in Form eines Impfausweises

    7.Aktuelle, gelöste, geschlossene oder inaktive Probleme

    8.Informationen in Textform zur medizinischen Vorgeschichte

    9.Medizinprodukte und Implantate

    10.Verfahren

    11.Funktionszustand

    12.Derzeitige und relevante frühere Medikation

    13.Gesundheitsrelevante Beobachtungen zum sozialen Hintergrund

    14.Anamnese bezüglich Schwangerschaften

    15.Vom Patienten bereitgestellte Daten

    16.Beobachteter Gesundheitszustand

    17.Behandlungsplan

    18.Angaben zu seltenen Krankheiten, z. B. Einzelheiten über die Auswirkungen oder Merkmale der Krankheit

    2.Elektronische Verschreibung

    Elektronische Gesundheitsdaten, die eine Verschreibung für ein Arzneimittel im Sinne von Artikel 3 Buchstabe k der Richtlinie 2011/24/EU darstellen.

    3.Elektronische Abgabe

    Informationen über die Abgabe eines Arzneimittels an eine natürliche Person durch eine Apotheke auf der Grundlage einer elektronischen Verschreibung.

    4.Medizinisches Bild und Bildbefund

    Elektronische Gesundheitsdaten, die mit der Verwendung von Technologien zusammenhängen oder mithilfe von Technologien generiert wurden und dazu dienen, den menschlichen Körper zu betrachten, um Krankheiten vorzubeugen, zu diagnostizieren, zu überwachen oder zu behandeln.

    5.Laborergebnis

    Elektronische Gesundheitsdaten, die Ergebnisse von Untersuchungen darstellen, die insbesondere in-vitro-diagnostisch durchgeführt wurden, unter anderem in den Bereichen klinische Biochemie, Hämatologie, Transfusionsmedizin, Mikrobiologie, Immunologie u. a., gegebenenfalls einschließlich Berichten, die die Auswertung der Ergebnisse unterstützen.

    6.Entlassungsbericht

    Elektronische Gesundheitsdaten, die sich auf einen Gesundheitsversorgungsfall oder eine Behandlungsphase beziehen und wesentliche Informationen über Aufnahme, Behandlung und Entlassung einer natürlichen Person enthalten.

    ANHANG II

    Grundlegende Anforderungen an EHR-Systeme und an Produkte, für die Interoperabilität mit EHR-Systemen geltend gemacht wird

    Die in diesem Anhang festgelegten grundlegenden Anforderungen gelten sinngemäß auch für Produkte, für die Interoperabilität mit EHR-Systemen geltend gemacht wird.

    1.Allgemeine Anforderungen

    1.1.Ein System für elektronische Patientenakten (EHR-System) muss die von seinem Hersteller vorgesehene Leistung erbringen und so konzipiert und hergestellt sein, dass es unter üblichen Einsatzbedingungen für den vorgesehenen Zweck geeignet ist und seine Verwendung die Patientensicherheit nicht gefährdet.

    1.2.Ein EHR-System muss so konzipiert und ausgestaltet sein, dass es unter Berücksichtigung der vom Hersteller bereitgestellten Anweisungen und Informationen geliefert und installiert werden kann, ohne dass seine Merkmale und seine Leistung während der vorgesehenen Nutzung beeinträchtigt werden.

    1.3.Ein EHR-System muss so konzipiert und ausgestaltet sein, dass mit seinen Interoperabilitäts-, Sicherheits- und Schutzfunktionen die Rechte natürlicher Personen im Einklang mit dem beabsichtigten Zweck des EHR-Systems, wie in Kapitel II dieser Verordnung dargelegt, gewahrt werden.

    1.4.Ein EHR-System, das dazu bestimmt ist, zusammen mit anderen Produkten, einschließlich Medizinprodukten, betrieben zu werden, muss so konzipiert und hergestellt sein, dass Interoperabilität und Kompatibilität zuverlässig und sicher sind und personenbezogene elektronische Gesundheitsdaten zwischen dem Produkt und dem EHR-System ausgetauscht werden können.

    2.Anforderungen an die Interoperabilität

    2.1.Ein EHR-System muss den Austausch personenbezogener elektronischer Gesundheitsdaten zwischen Angehörigen der Gesundheitsberufe oder anderen Stellen des Gesundheitssystems sowie zwischen Angehörigen der Gesundheitsberufe und Portalen für Patienten oder Angehörige der Gesundheitsberufe in einem allgemein verwendeten interoperablen elektronischen Format ermöglichen – unter anderem bezogen auf Datensatzinhalt, Datenstrukturen, Formate, Vokabulare, Taxonomien, Austauschformate, Standards, Spezifikationen, Profile für den Austausch und Codelisten –, sodass eine Kommunikation zwischen Systemen stattfinden kann.

    2.2.Ein EHR-System muss interoperabel und kompatibel mit den europäischen Infrastrukturen sein, die in dieser Verordnung für den grenzüberschreitenden Austausch von elektronischen Gesundheitsdaten festgelegt sind.

    2.3.Ein EHR-System, das eine Funktion zur Eingabe strukturierter personenbezogener elektronischer Gesundheitsdaten enthält, muss die Eingabe strukturierter Daten ermöglichen, die den Datenaustausch in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format unterstützen, sodass eine Kommunikation zwischen Systemen stattfinden kann.

    2.4.Ein EHR-System darf keine Funktionen enthalten, die den autorisierten Zugang, die gemeinsame Nutzung personenbezogener elektronischer Gesundheitsdaten oder die Verwendung personenbezogener elektronischer Gesundheitsdaten für zulässige Zwecke verbieten, einschränken oder unangemessen erschweren.

    2.5.Ein EHR-System darf keine Funktionen enthalten, die das autorisierte Exportieren personenbezogener elektronischer Gesundheitsdaten zwecks Ersetzung des EHR-Systems durch ein anderes Produkt verbieten, einschränken oder unangemessen erschweren.

    3.Anforderungen an die Sicherheit

    3.1.Ein EHR-System muss so konzipiert und ausgelegt sein, dass es die sichere Verarbeitung elektronischer Gesundheitsdaten sicherstellt und den unbefugten Zugriff auf diese Daten verhindert.

    3.2.Ein EHR-System, das für die Nutzung durch Angehörige der Gesundheitsberufe konzipiert ist, muss zuverlässige Mechanismen zur Identifizierung und Authentifizierung der Angehörigen der Gesundheitsberufe bieten, einschließlich der Überprüfung der beruflichen Rechte und Qualifikationen.

    3.3.Ein EHR-System, das für die Nutzung durch Angehörige der Gesundheitsberufe konzipiert ist, muss die Verwendung von Informationen über berufliche Rechte und Qualifikationen als Teil der Zugangskontrollmechanismen, wie z. B. eine rollenbasierte Zugangskontrolle, unterstützen.

    3.4.Ein EHR-System, das so konzipiert ist, dass es Angehörigen der Gesundheitsberufe oder anderen Personen den Zugriff auf personenbezogene elektronische Gesundheitsdaten ermöglicht, muss über ausreichende Protokollierungsmechanismen verfügen, die zumindest die folgenden Informationen über jedes Zugriffsereignis oder jede Gruppe von Ereignissen aufzeichnen:

    a)Identifizierung des Angehörigen der Gesundheitsberufe oder einer anderen Person, der/die auf elektronische Gesundheitsdaten zugegriffen hat;

    b)Identifizierung der Person;

    c)Kategorien der Daten, auf die zugegriffen wurde;

    d)Uhrzeit und Datum des Zugriffs;

    e)Herkunft der Daten.

    3.5.Ein EHR-System muss Instrumente und Mechanismen umfassen, die es natürlichen Personen ermöglichen, den Zugang von Angehörigen der Gesundheitsberufe zu ihren personenbezogenen elektronischen Gesundheitsdaten zu beschränken. Es muss auch Mechanismen enthalten, die in Notfällen den Zugang zu personenbezogenen elektronischen Gesundheitsdaten ermöglichen, und sicherstellen, dass Zugriffe streng protokolliert werden.

    3.6.Ein EHR-System muss Instrumente oder Mechanismen zur Überprüfung und Analyse der Protokolldaten enthalten, oder es muss den Anschluss und die Verwendung externer Software für diese Zwecke unterstützen.

    3.7.Ein für die Nutzung durch Angehörige der Gesundheitsberufe konzipiertes EHR-System muss digitale Signaturen oder ähnliche Mechanismen für die Nichtabstreitbarkeit unterstützen.

    3.8.Ein für die Speicherung elektronischer Gesundheitsdaten konzipiertes EHR-System muss unterschiedliche Aufbewahrungsfristen und Zugriffsrechte unterstützen, die der Herkunft und den Kategorien der elektronischen Gesundheitsdaten Rechnung tragen.

    3.9.Ein für die Nutzung durch natürliche Personen konzipiertes EHR-System muss deren Identifizierung mithilfe eines anerkannten elektronischen Identifizierungsmittels im Sinne der Verordnung (EU) Nr. 910/2014 ermöglichen, unabhängig davon, welcher Mitgliedstaat das Identifizierungsmittel bereitgestellt hat. Unterstützt der Dienst andere elektronische Identifizierungsmittel, so müssen diese das Sicherheitsniveau „substanziell“ oder „hoch“ aufweisen.

    ANHANG III

    Technische Dokumentation

    Die in Artikel 24 genannte technische Dokumentation muss mindestens die folgenden Informationen enthalten, soweit sie für das betreffende EHR-System von Belang sind:

    1.ausführliche Beschreibung des EHR-Systems einschließlich

    a)Verwendungszweck, Datum und Version des EHR-Systems;

    b)Kategorien elektronischer Gesundheitsdaten, für deren Verarbeitung das EHR-System ausgelegt ist;

    c)Interaktion oder Verwendung des EHR-Systems mit Hardware oder Software, die nicht Teil des EHR-Systems selbst sind;

    d)Versionen der betreffenden Software oder Firmware und etwaige Anforderungen in Bezug auf die Aktualisierung der Versionen;

    e)Beschreibung aller Formen, in denen das EHR-System in Verkehr gebracht oder in Betrieb genommen wird;

    f)Beschreibung der Hardware, auf der das EHR-System betrieben werden soll;

    g)Beschreibung der Systemarchitektur, aus der hervorgeht, wie die Softwarekomponenten aufeinander aufbauen oder ineinandergreifen und in den Gesamtprozess integriert sind, gegebenenfalls einschließlich beschrifteter bildlicher Darstellungen (z. B. Schaubilder und Zeichnungen) mit eindeutiger Benennung der wichtigsten Teile/Komponenten und ausreichenden Erläuterungen zum Verständnis der Zeichnungen und Schaubilder;

    h)der technischen Spezifikationen, wie etwa Funktionen, Abmessungen und Leistungsmerkmale des EHR-Systems sowie etwaige Varianten/Konfigurationen und Zubehörteile, die üblicherweise in der dem Anwender – beispielsweise in Form von Broschüren, Katalogen und ähnlichen Publikationen – verfügbar gemachten Produktspezifikation erscheinen, einschließlich einer ausführlichen Beschreibung der Datenstrukturen und Einzelheiten zur Speicherung und zur Datenein- und ausgabe;

    i)Beschreibung aller an dem System während seines Lebenszyklus vorgenommenen Änderungen;

    j)Gebrauchsanweisungen für die Nutzer und gegebenenfalls Installationsanweisungen;

    2.ausführliche Beschreibung eines etwaigen bestehenden Systems zur Bewertung der Leistung des EHR-Systems;

    3.Verweise auf etwaige gemeinsame Spezifikationen, die im Einklang mit Artikel 23 angewandt werden und deren Einhaltung beansprucht wird;

    4.die Ergebnisse und kritischen Analysen aller Überprüfungs- und Validierungstests, die durchgeführt wurden, um die Konformität des EHR-Systems mit den in Kapitel III dieser Verordnung festgelegten Anforderungen, insbesondere mit den geltenden grundlegenden Anforderungen, nachzuweisen;

    5.eine Kopie des in Artikel 25 genannten Informationsblatts;

    6.eine Kopie der EU-Konformitätserklärung.

    ANHANG IV

    EU-Konformitätserklärung

    Die EU-Konformitätserklärung enthält alle folgenden Angaben:

    1.Bezeichnung des EHR-Systems, die Version und jede weitere eindeutige Angabe zur Identifizierung des EHR-Systems;

    2.Name und Anschrift des Herstellers und gegebenenfalls seines Bevollmächtigten;

    3.eine Erklärung darüber, dass der Hersteller die alleinige Verantwortung für die Ausstellung der EU-Konformitätserklärung trägt;

    4.eine Versicherung, dass das betreffende EHR-System den Bestimmungen in Kapitel III der vorliegenden Verordnung sowie gegebenenfalls weiteren einschlägigen Rechtsvorschriften der EU, in denen die Ausstellung einer EU-Konformitätserklärung vorgesehen ist, entspricht;

    5.Verweise auf einschlägige harmonisierte Normen, die angewandt werden und deren Einhaltung beansprucht wird;

    6.Verweise auf gemeinsame Spezifikationen, die angewandt werden und deren Einhaltung beansprucht wird;

    7.Ort und Datum der Ausstellung der Erklärung, Unterschrift sowie Name und Funktion des Unterzeichners und gegebenenfalls Angabe der Person, in deren Namen die Erklärung unterzeichnet wurde;

    8.gegebenenfalls zusätzliche Informationen.

    Top