(1)

Mit dieser Verordnung wird der europäische Raum für Gesundheitsdaten (European Health Data Space, im Folgenden „EHDS“) eingerichtet, um den Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten im Zusammenhang mit der Gesundheitsversorgung (Primärnutzung elektronischer Gesundheitsdaten) und für andere Zwecke mit gesellschaftlichem Nutzen wie Forschung, Innovation, Politikgestaltung, Patientensicherheit, personalisierte Medizin, amtliche Statistik oder Regulierungstätigkeiten (Sekundärnutzung elektronischer Gesundheitsdaten) zu verbessern . Darüber hinaus soll das Funktionieren des Binnenmarkts verbessert werden, indem ein einheitlicher Rechtsrahmen insbesondere für die Entwicklung, Vermarktung und Verwendung von Systemen für elektronische Patientenakten (electronic health records, EHR) (im Folgenden „EHR-Systeme“) im Einklang mit den Werten der Union festgelegt wird.

(1)

Mit dieser Verordnung wird der europäische Raum für Gesundheitsdaten (European Health Data Space, im Folgenden „EHDS“) eingerichtet, um den Zugang natürlicher Personen zu ihren personenbezogenen elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten im Zusammenhang mit der Gesundheitsversorgung (Primärnutzung elektronischer Gesundheitsdaten) zu verbessern und um andere Zwecke im Gesundheitswesen mit gesellschaftlichem Nutzen wie Forschung, Innovation, Politikgestaltung, Vorbereitung und Reaktion auf Gesundheitsbedrohungen und für Behandlungsverfahren, Patientensicherheit, personalisierte Medizin, amtliche Statistik oder Regulierungstätigkeiten (Sekundärnutzung elektronischer Gesundheitsdaten) besser zu erreichen . Darüber hinaus soll das Funktionieren des Binnenmarkts verbessert werden, indem ein einheitlicher Rechtsrahmen und technischer Rahmen insbesondere für die Entwicklung, Vermarktung und Verwendung von Systemen für elektronische Patientenakten (electronic health records, EHR) (im Folgenden „EHR-Systeme“) im Einklang mit den Werten der Union festgelegt wird.

(1a)

Der EHDS soll ein Eckpfeiler für die Schaffung einer starken und widerstandsfähigen Europäischen Gesundheitsunion werden, um die Gesundheit der Bürgerinnen und Bürger der Union besser zu schützen, künftigen Pandemien vorzubeugen und sie zu bekämpfen und die Widerstandsfähigkeit der Gesundheitssysteme der Union zu verbessern.

(1b)

Diese Verordnung sollte andere Programme der Union wie das Programm „EU4Health“, das Programm „Digitales Europa“, die Fazilität „Connecting Europe“ und „Horizont Europa“ ergänzen. Die Kommission sollte sicherstellen, dass andere Unionsprogramme die Umsetzung des europäischen Raums für Gesundheitsdaten ergänzen und erleichtern.

(2)

Die COVID-19-Pandemie hat deutlich gemacht, dass ein zeitnaher Zugang zu elektronischen Gesundheitsdaten für die Vorsorge und Reaktion bei Gesundheitsbedrohungen und für die Diagnose und Behandlung sowie für die Sekundärnutzung von Gesundheitsdaten unerlässlich ist. Ein solcher zeitnaher Zugang hätte durch eine effiziente Überwachung und Beobachtung der öffentlichen Gesundheit zu einer wirksameren Bewältigung der Pandemie beigetragen und letztlich Leben gerettet . Im Jahr 2020 passte die Kommission ihr mit dem Durchführungsbeschluss (EU) 2019/1269 der Kommission (41) eingerichtetes System für das klinische Patientenmanagement im Eilverfahren an, um es den Mitgliedstaaten zu ermöglichen, elektronische Gesundheitsdaten von COVID-19-Patienten auszutauschen, die während des Höhepunkts der Pandemie den Gesundheitsdienstleister wechselten oder sich von einem Mitgliedstaat in einen anderen begaben; dies war jedoch nur eine Notfalllösung, die verdeutlichte, dass ein struktureller Ansatz auf Ebene der Mitgliedstaaten und der Union erforderlich ist.

(2)

Die COVID-19-Pandemie hat deutlich gemacht, dass ein zeitnaher Zugang zu hochwertigen elektronischen Gesundheitsdaten für die Vorsorge und Reaktion bei Gesundheitsbedrohungen und für die Prävention, Diagnose und Behandlung durch die Sekundärnutzung von Gesundheitsdaten unerlässlich ist. Ein solcher zeitnaher Zugang kann durch eine effiziente Überwachung und Beobachtung der öffentlichen Gesundheit zu einer wirksameren Bewältigung der Pandemie , geringeren Kosten und einer besseren Reaktion auf Gesundheitsbedrohungen beitragen und in Zukunft letztlich mehr Leben retten . Im Jahr 2020 passte die Kommission ihr mit dem Durchführungsbeschluss (EU) 2019/1269 der Kommission (41) eingerichtetes System für das klinische Patientenmanagement im Eilverfahren an, um es den Mitgliedstaaten zu ermöglichen, elektronische Gesundheitsdaten von COVID-19-Patienten auszutauschen, die während des Höhepunkts der Pandemie den Gesundheitsdienstleister wechselten oder sich von einem Mitgliedstaat in einen anderen begaben; dies war jedoch nur eine Notfalllösung, die verdeutlichte, dass in Bezug auf den Zugang zu elektronischen Gesundheitsdaten ein struktureller und schlüssiger Ansatz auf Ebene der Mitgliedstaaten und der Union erforderlich ist , um wirksame politische Maßnahmen zu steuern und zu hohen Standards für die menschliche Gesundheit beizutragen .

(3)

Durch die COVID-19-Krise wurde die Arbeit des Netzwerks für elektronische Gesundheitsdienste (e-Health), eines freiwilligen Netzwerks von digitalen Gesundheitsbehörden, zur tragenden Säule für die Entwicklung mobiler Kontaktnachverfolgungs- und Warn-Apps und der technischen Aspekte der digitalen COVID-Zertifikate der EU. In der Pandemie hat sich auch gezeigt, wie wichtig die gemeinsame Nutzung elektronischer Gesundheitsdaten ist, die auffindbar (Findable), zugänglich (Accessible), interoperabel (Interoperable) und wiederverwendbar ( Resuable ) sind („FAIR-Prinzipien“), und dass sichergestellt werden muss, dass elektronische Gesundheitsdaten so offen wie möglich und so geschlossen wie nötig sind. Es sollte sichergestellt werden, dass Synergien zwischen dem EHDS, der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) (42) und den europäischen Forschungsinfrastrukturen sowie die Erkenntnisse aus Lösungen für den Datenaustausch, die im Rahmen der Europäischen COVID-19-Datenplattform entwickelt wurden, genutzt werden.

(3)

Durch die COVID-19-Krise wurde die Arbeit des Netzwerks für elektronische Gesundheitsdienste (e-Health), eines freiwilligen Netzwerks von digitalen Gesundheitsbehörden, zur tragenden Säule für die Entwicklung mobiler Kontaktnachverfolgungs- und Warn-Apps und der technischen Aspekte der digitalen COVID-Zertifikate der EU. In der Pandemie hat sich auch gezeigt, wie wichtig die gemeinsame Nutzung elektronischer Gesundheitsdaten ist, die auffindbar (Findable), zugänglich (Accessible), interoperabel (Interoperable) und wiederverwendbar ( Reusable ) sind („FAIR-Prinzipien“), und dass sichergestellt werden muss, dass die erforderlichen elektronischen Gesundheitsdaten verfügbar sind , wobei der Grundsatz der Datenminimierung gewahrt bleiben muss . Es sollte sichergestellt werden, dass Synergien zwischen dem EHDS, der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) (42) und den europäischen Forschungsinfrastrukturen sowie die Erkenntnisse aus Lösungen für den Datenaustausch, die im Rahmen der Europäischen COVID-19-Datenplattform entwickelt wurden, genutzt werden.

(3a)

Angesichts der Sensibilität personenbezogener Gesundheitsdaten soll diese Verordnung sowohl auf Unionsebene als auch auf nationaler Ebene ausreichende Garantien bieten, um ein hohes Maß an Datenschutz, Sicherheit, Vertraulichkeit und ethischer Nutzung sicherzustellen. Solche Garantien sind notwendig, um das Vertrauen in den sicheren Umgang mit Gesundheitsdaten natürlicher Personen zur Primär- und Sekundärnutzung zu fördern. Um diese Ziele zu erreichen, können die Mitgliedstaaten im Einklang mit Artikel 9 Absatz 4 der Verordnung (EU) 2016/679 weitere Bedingungen, auch Beschränkungen, in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten vorschreiben.

(4)

Die Verarbeitung personenbezogener elektronischer Gesundheitsdaten unterliegt den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (43) und – für die Organe und Einrichtungen der Union – der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (44). Bezugnahmen auf die Bestimmungen der Verordnung (EU) 2016/679 sind gegebenenfalls auch als Bezugnahmen auf die entsprechenden Bestimmungen der Verordnung (EU) 2018/1725 für die Organe und Einrichtungen der Union zu verstehen.

(4)

Die Verarbeitung personenbezogener elektronischer Gesundheitsdaten unterliegt den Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (43) und – mit Blick auf die Organe , Einrichtungen und sonstigen Stellen der Union – der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (44) sowie der Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates  (44a). Bezugnahmen auf die Bestimmungen der Verordnung (EU) 2016/679 sind gegebenenfalls auch als Bezugnahmen auf die entsprechenden Bestimmungen der Verordnung (EU) 2018/1725 für die Organe , Einrichtungen und sonstigen Stellen der Union zu verstehen. In Bezug auf gemischte Datensätze, bei denen personenbezogene und nicht personenbezogene Daten untrennbar miteinander verbunden sind und bei denen eine Unterscheidung zwischen Kategorien personenbezogener und nicht personenbezogener Daten schwierig ist und die Möglichkeit besteht, personenbezogene Daten aus nicht personenbezogenen Daten abzuleiten, sollten die Bestimmungen der Verordnung (EU) 2016/679 und der vorliegenden Verordnung über personenbezogene elektronische Gesundheitsdaten gelten.

(4a)

Bei der Umsetzung des EHDS sollten die europäischen ethischen Grundsätze für die digitale Gesundheit, die am 26. Januar 2022 vom Netzwerk für elektronische Gesundheitsdienste  (1a) angenommen wurden, berücksichtigt werden. Die Überwachung der Anwendung dieser ethischen Grundsätze sollte Teil der Aufgaben des Ausschusses für den europäischen Raum für Gesundheitsdaten sein.

(5)

Immer mehr Menschen in Europa überschreiten nationale Grenzen, um zu arbeiten, zu studieren, Verwandte zu besuchen oder zu reisen. Um den Austausch von Gesundheitsdaten zu erleichtern und den Bürgerinnen und Bürgern die benötigte Handlungskompetenz zu verleihen, sollten sie auf ihre Gesundheitsdaten in einem elektronischen Format zugreifen können, das in der gesamten Union anerkannt und akzeptiert werden kann. Solche personenbezogenen elektronischen Gesundheitsdaten könnten personenbezogene Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdiensten, aus denen Informationen über ihren Gesundheitszustand hervorgehen, personenbezogene Daten zu den ererbten oder erworbenen genetischen Merkmalen einer natürlichen Person, die eindeutige Informationen über den körperlichen Zustand oder die Gesundheit dieser natürlichen Person liefern und speziell das Ergebnis einer Analyse einer Probe von biologischem Material der betreffenden natürlichen Person sind, sowie Datendeterminanten für die Gesundheit wie Verhalten, Umwelt, physische Einflüsse, medizinische Versorgung, soziale Faktoren oder erziehungs-/bildungsbezogene Faktoren umfassen. Elektronische Gesundheitsdaten schließen auch Daten ein, die ursprünglich für Zwecke der Forschung, der Statistik, der Politikgestaltung oder der Regulierung erhoben wurden und nach den Vorschriften in Kapitel IV zur Verfügung gestellt werden können. Die elektronischen Gesundheitsdaten betreffen alle Kategorien dieser Daten, unabhängig davon, ob diese Daten von der betroffenen Person oder anderen natürlichen oder juristischen Personen wie Angehörigen der Gesundheitsberufe bereitgestellt oder im Zusammenhang mit der Gesundheit oder dem Wohlbefinden einer natürlichen Person verarbeitet werden, und sollten auch gefolgerte und abgeleitete Daten, etwa zu Diagnosen, Tests und medizinischen Untersuchungen, sowie automatisch erfasste und aufgezeichnete Daten umfassen.

(5)

Immer mehr Menschen in Europa überschreiten nationale Grenzen, um zu arbeiten, zu studieren, Verwandte zu besuchen oder zu reisen. Um den Austausch von Gesundheitsdaten zu erleichtern und den Bürgerinnen und Bürgern die benötigte Handlungskompetenz zu verleihen, sollten sie auf ihre Gesundheitsdaten in einem elektronischen Format zugreifen können, das in der gesamten Union anerkannt und akzeptiert werden kann. Solche personenbezogenen elektronischen Gesundheitsdaten könnten personenbezogene Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdiensten, aus denen Informationen über ihren Gesundheitszustand hervorgehen, personenbezogene Daten zu den ererbten oder erworbenen genetischen Merkmalen einer natürlichen Person, die eindeutige Informationen über den körperlichen Zustand oder die Gesundheit dieser natürlichen Person liefern und speziell das Ergebnis einer Analyse einer Probe von biologischem Material der betreffenden natürlichen Person sind, sowie Datendeterminanten für die Gesundheit wie Verhalten, Umwelt, physische Einflüsse, medizinische Versorgung, soziale Faktoren oder erziehungs-/bildungsbezogene Faktoren umfassen. Elektronische Gesundheitsdaten schließen auch Daten ein, die ursprünglich für Zwecke der Forschung, der Statistik, der Bewertung von Gesundheitsgefahren, der Politikgestaltung oder der Regulierung erhoben wurden und nach den Vorschriften in Kapitel IV zur Verfügung gestellt werden können. Die elektronischen Gesundheitsdaten betreffen alle Kategorien dieser Daten, unabhängig davon, ob diese Daten von der betroffenen Person oder anderen natürlichen oder juristischen Personen wie Angehörigen der Gesundheitsberufe bereitgestellt oder im Zusammenhang mit der Gesundheit oder dem Wohlbefinden einer natürlichen Person verarbeitet werden, und sollten auch gefolgerte und abgeleitete Daten, etwa zu Diagnosen, Tests und medizinischen Untersuchungen, sowie automatisch erfasste und aufgezeichnete Daten umfassen.

(5a)

Natürliche Personen, die keine Unionsbürger sind, und Drittstaatsangehörige, die sich nicht rechtmäßig im Hoheitsgebiet der Mitgliedstaaten aufhalten, sollten nicht dem Geltungsbereich der vorliegenden Verordnung unterliegen. Wenn die Mitgliedstaaten eine elektronische Registrierung von Gesundheitsdaten vorschreiben oder wenn die Inhaber von Gesundheitsdaten über solche natürlichen Personen Gesundheitsdaten registrieren, dürfen die Auftragsverarbeiter daher die elektronischen Gesundheitsdaten dieser Personen, auch für eine etwaige Sekundärnutzung, nur im Einklang mit Artikel 6 Absatz 1 und Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 verarbeiten.

(7)

In Gesundheitssystemen werden personenbezogene elektronische Gesundheitsdaten in der Regel in elektronischen Patientenakten erfasst, die üblicherweise die Krankengeschichte, Diagnosen und Behandlungen, Medikationen, Allergien und Immunisierungen einer natürlichen Person sowie ihre Radiologiebilder und Laborergebnisse enthalten, die auf verschiedene Einrichtungen des Gesundheitssystems (Hausärzte, Krankenhäuser, Apotheken, Pflegedienste) verteilt sind. Um natürlichen Personen oder Angehörigen der Gesundheitsberufe den Zugang zu elektronischen Gesundheitsdaten sowie deren gemeinsame Nutzung und Änderung zu ermöglichen, haben einige Mitgliedstaaten die erforderlichen rechtlichen und technischen Maßnahmen ergriffen und zentrale Infrastrukturen eingerichtet, die die von Gesundheitsdienstleistern und natürlichen Personen genutzten EHR-Systeme miteinander verbinden. Alternativ unterstützen einige Mitgliedstaaten öffentliche und private Gesundheitsdienstleister bei der Einrichtung von Räumen für personenbezogene Gesundheitsdaten, um die Interoperabilität zwischen verschiedenen Gesundheitsdienstleistern zu ermöglichen. Mehrere Mitgliedstaaten haben auch Zugangsdienste für Gesundheitsdaten für Patienten und Angehörige der Gesundheitsberufe unterstützt oder bereitgestellt (z. B. über Portale für Patienten oder Angehörige der Gesundheitsberufe). Sie haben auch Maßnahmen ergriffen, um sicherzustellen, dass EHR-Systeme oder Wellness-Apps in der Lage sind, elektronische Gesundheitsdaten an das zentrale EHR-System zu übermitteln (einige Mitgliedstaaten nutzen dafür z. B. ein Zertifizierungssystem). Allerdings haben nicht alle Mitgliedstaaten solche Systeme eingerichtet, und wo sie umgesetzt wurden, erfolgte dies auf fragmentierte Weise. Um den freien Verkehr personenbezogener Gesundheitsdaten in der gesamten Union zu erleichtern und negative Folgen für Patienten zu vermeiden, die eine grenzüberschreitende Gesundheitsversorgung in Anspruch nehmen, muss die Union tätig werden, um sicherzustellen, dass der Zugang von Einzelpersonen zu ihren eigenen elektronischen Gesundheitsdaten verbessert wird und sie in die Lage versetzt werden, sie weiterzugeben.

(7)

In Gesundheitssystemen werden personenbezogene elektronische Gesundheitsdaten in der Regel in elektronischen Patientenakten erfasst, die üblicherweise die Krankengeschichte, Diagnosen und Behandlungen, Medikationen, Allergien und Immunisierungen einer natürlichen Person sowie ihre Radiologiebilder und Laborergebnisse und weitere ergänzende Diagnosen und Behandlungen enthalten, die auf verschiedene Einrichtungen des Gesundheitssystems (Hausärzte, Krankenhäuser, Apotheken, Pflegedienste) verteilt sind. Um natürlichen Personen oder Angehörigen der Gesundheitsberufe den Zugang zu elektronischen Gesundheitsdaten sowie deren gemeinsame Nutzung und Änderung zu ermöglichen, haben einige Mitgliedstaaten die erforderlichen rechtlichen und technischen Maßnahmen ergriffen und zentrale Infrastrukturen eingerichtet, die die von Gesundheitsdienstleistern und natürlichen Personen genutzten EHR-Systeme miteinander verbinden. Alternativ unterstützen einige Mitgliedstaaten öffentliche und private Gesundheitsdienstleister bei der Einrichtung von Räumen für personenbezogene Gesundheitsdaten, um die Interoperabilität zwischen verschiedenen Gesundheitsdienstleistern zu ermöglichen. Mehrere Mitgliedstaaten haben auch Zugangsdienste für Gesundheitsdaten für Patienten und Angehörige der Gesundheitsberufe unterstützt oder bereitgestellt (z. B. über Portale für Patienten oder Angehörige der Gesundheitsberufe). Sie haben auch Maßnahmen ergriffen, um sicherzustellen, dass EHR-Systeme oder Wellness-Apps in der Lage sind, elektronische Gesundheitsdaten an das zentrale EHR-System zu übermitteln (einige Mitgliedstaaten nutzen dafür z. B. ein Zertifizierungssystem). Allerdings haben nicht alle Mitgliedstaaten solche Systeme eingerichtet, und wo sie umgesetzt wurden, erfolgte dies auf fragmentierte Weise. Um den freien Verkehr personenbezogener Gesundheitsdaten in der gesamten Union zu erleichtern und negative Folgen für Patienten zu vermeiden, die eine grenzüberschreitende Gesundheitsversorgung in Anspruch nehmen, muss die Union tätig werden, um sicherzustellen, dass der Zugang von Einzelpersonen zu ihren eigenen elektronischen Gesundheitsdaten verbessert wird und sie in die Lage versetzt werden, sie weiterzugeben. Zu diesem Zweck sollten die Mitgliedstaaten dafür sorgen, dass ein gemeinsamer Standard für den Austausch elektronischer Gesundheitsdaten gegeben ist, um den Datenaustausch und die Übersetzung in die Amtssprachen der Union sicherzustellen und zu erleichtern. In diesem Zusammenhang sollte eine angemessene Finanzierung und Unterstützung auf Unions- und nationaler Ebene gerecht aufgeteilt und in Betracht gezogen werden, um Fragmentierung, Heterogenität und Aufteilung zu verringern und ein benutzerfreundliches und intuitives System in allen Mitgliedstaaten zu schaffen.

(9)

Gleichzeitig sollte berücksichtigt werden, dass der unmittelbare Zugang zu bestimmten Arten personenbezogener elektronischer Gesundheitsdaten die Sicherheit natürlicher Personen gefährden oder unethisch oder unangemessen sein kann. Beispielsweise könnte es unethisch sein, einem Patienten die Diagnose einer unheilbaren Krankheit, die vermutlich zum baldigen Tod führen wird, auf elektronischem Wege mitzuteilen, anstatt zunächst im Patientengespräch. Daher sollte die Möglichkeit begrenzter Ausnahmen bei der Umsetzung dieses Rechts sichergestellt werden. Solche Ausnahmen könnten von den Mitgliedstaaten in Fällen auferlegt werden, in denen sie im Einklang mit den Anforderungen des Artikels 23 der Verordnung (EU) 2016/679 in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen. Derartige Beschränkungen sollten umgesetzt werden, indem die betreffenden personenbezogenen elektronischen Gesundheitsdaten der natürlichen Person mit begrenzter zeitlicher Verzögerung angezeigt werden. In Fällen, in denen Gesundheitsdaten nur in Papierform verfügbar sind und die Bereitstellung der Daten in elektronischer Form unverhältnismäßig aufwendig wäre, sollten die Mitgliedstaaten nicht verpflichtet werden, diese Gesundheitsdaten in ein elektronisches Format umwandeln zu müssen . Jedes Element des digitalen Wandels im Gesundheitswesen sollte möglichst inklusiv sein und auch jenen natürlichen Personen zugutekommen, die nur begrenzte Möglichkeiten für den Zugang zu digitalen Diensten und für deren Nutzung haben. Natürliche Personen sollten die Möglichkeit haben, anderen natürlichen Personen ihrer Wahl, etwa Angehörigen oder anderen Nahestehenden, eine Genehmigung für den Zugang oder die Kontrolle des Zugangs zu ihren personenbezogenen elektronischen Gesundheitsdaten oder für die Nutzung digitaler Gesundheitsdienste in ihrem Namen zu erteilen. Solche Genehmigungen können auch in anderen Situationen aus praktischen Gründen sinnvoll sein. Zur Umsetzung dieser Genehmigungen sollten von den Mitgliedstaaten Dienste für Vertretungsbevollmächtigte eingerichtet werden, die mit Zugangsdiensten für personenbezogene Gesundheitsdaten, wie Patientenportalen auf patientenseitigen mobilen Anwendungen, verknüpft sein sollten. Die Dienste für Vertretungsbevollmächtigte sollten es auch Vormunden ermöglichen, im Namen ihrer Mündel zu handeln; in solchen Fällen könnten Genehmigungen automatisch erteilt werden. In Fällen, in denen es den Interessen oder dem Willen von Minderjährigen zuwiderlaufen könnte, wenn ihre Vormunde Einsicht in bestimmte personenbezogene elektronische Gesundheitsdaten über sie erhalten, sollten die Mitgliedstaaten die Möglichkeit haben, entsprechende Einschränkungen und Schutzbestimmungen im nationalen Recht vorzusehen und für die erforderliche technische Umsetzung zu sorgen. Bei den Zugangsdiensten für personenbezogene Gesundheitsdaten, wie Portalen oder mobilen Anwendungen für Patienten, sollten solche Genehmigungen akzeptiert werden, sodass bevollmächtigte natürliche Personen Zugang zu den personenbezogenen elektronischen Gesundheitsdaten im Geltungsbereich der Genehmigung erhalten, damit diese die gewünschte Wirkung erzielen kann.

(9)

Gleichzeitig sollte berücksichtigt werden, dass der unmittelbare Zugang natürlicher Personen zu bestimmten Arten ihrer personenbezogenen elektronischen Gesundheitsdaten die Sicherheit natürlicher Personen gefährden oder unethisch oder unangemessen sein kann. Beispielsweise könnte es unethisch sein, einem Patienten die Diagnose einer unheilbaren Krankheit, die vermutlich zum baldigen Tod führen wird, auf elektronischem Wege mitzuteilen, anstatt zunächst im Patientengespräch. Daher sollte die Möglichkeit begrenzter Ausnahmen bei der Umsetzung dieses Rechts sichergestellt werden. Solche Ausnahmen könnten von den Mitgliedstaaten in Fällen auferlegt werden, in denen sie im Einklang mit den Anforderungen des Artikels 23 der Verordnung (EU) 2016/679 in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen. Derartige Beschränkungen sollten umgesetzt werden, indem die betreffenden personenbezogenen elektronischen Gesundheitsdaten der natürlichen Person mit begrenzter zeitlicher Verzögerung , zum Beispiel bis zu dem Moment, an dem der Patient und der Angehörige der Gesundheitsberufe miteinander in Kontakt treten, angezeigt werden. Die Mitgliedstaaten sollten ermutigt werden, zu verlangen, dass vor der Durchführung dieser Verordnung verfügbare Gesundheitsdaten im Wege eines von den Mitgliedstaaten geförderten Verfahrens in ein elektronisches Format umgewandelt werden . Jedes Element des digitalen Wandels im Gesundheitswesen sollte möglichst inklusiv sein und auch jenen natürlichen Personen zugutekommen, die nur begrenzte Möglichkeiten für den Zugang zu digitalen Diensten und für deren Nutzung haben. Natürliche Personen sollten die Möglichkeit haben, anderen natürlichen Personen ihrer Wahl, etwa Angehörigen oder anderen Nahestehenden, eine Genehmigung für den Zugang oder die Kontrolle des Zugangs zu ihren personenbezogenen elektronischen Gesundheitsdaten oder für die Nutzung digitaler Gesundheitsdienste in ihrem Namen zu erteilen. Solche Genehmigungen können auch in anderen Situationen aus praktischen Gründen sinnvoll sein. Zur Umsetzung dieser Genehmigungen sollten von den Mitgliedstaaten Dienste für Vertretungsbevollmächtigte eingerichtet werden, die mit Zugangsdiensten für personenbezogene Gesundheitsdaten, wie Patientenportalen auf patientenseitigen mobilen Anwendungen, verknüpft sein sollten. Die Dienste für Vertretungsbevollmächtigte sollten es auch Vormunden ermöglichen, im Namen ihrer Mündel zu handeln; in solchen Fällen könnten Genehmigungen automatisch erteilt werden. In Fällen, in denen es den Interessen oder dem Willen von Minderjährigen zuwiderlaufen könnte, wenn ihre Vormunde Einsicht in bestimmte personenbezogene elektronische Gesundheitsdaten über sie erhalten, sollten die Mitgliedstaaten die Möglichkeit haben, entsprechende Einschränkungen und Schutzbestimmungen im nationalen Recht vorzusehen und für die erforderliche technische Umsetzung zu sorgen. Bei den Zugangsdiensten für personenbezogene Gesundheitsdaten, wie Portalen oder mobilen Anwendungen für Patienten, sollten solche Genehmigungen akzeptiert werden, sodass bevollmächtigte natürliche Personen Zugang zu den personenbezogenen elektronischen Gesundheitsdaten im Geltungsbereich der Genehmigung erhalten, damit diese die gewünschte Wirkung erzielen kann.

(10)

Einige Mitgliedstaaten ermöglichen es natürlichen Personen, ihren elektronischen Patientenakten elektronische Gesundheitsdaten hinzuzufügen oder zusätzliche Informationen in ihrer eigenen persönlichen Patientenakte zu speichern, auf die Angehörige der Gesundheitsberufe zugreifen können. Dies ist jedoch nicht in allen Mitgliedstaaten gängige Praxis und sollte daher im Rahmen des EHDS in der gesamten EU eingeführt werden. Informationen, die von natürlichen Personen hinzugefügt werden, sind möglicherweise weniger zuverlässig als elektronische Gesundheitsdaten, die von Angehörigen der Gesundheitsberufe eingegeben und überprüft werden; daher sollte eindeutig angegeben werden, aus welchen Quellen solche zusätzlichen Daten stammen. Indem natürliche Personen leichteren und schnelleren Zugang zu ihren elektronischen Gesundheitsdaten erhalten, können sie auch mögliche Fehler wie falsche Angaben oder falsch zugeordnete Patientenakten erkennen und sie unter Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 berichtigen lassen. In solchen Fällen sollte es natürlichen Personen ermöglicht werden, die Berichtigung unrichtiger elektronischer Gesundheitsdaten unverzüglich und kostenlos online zu beantragen, beispielsweise über den Zugangsdienst für personenbezogene Gesundheitsdaten. Anträge auf Berichtigung von Daten sollten von den Datenverantwortlichen im Einzelfall geprüft und gegebenenfalls umgesetzt werden, erforderlichenfalls unter Einbeziehung von Angehörigen der Gesundheitsberufe.

(10)

Einige Mitgliedstaaten ermöglichen es natürlichen Personen, ihren elektronischen Patientenakten elektronische Gesundheitsdaten hinzuzufügen oder zusätzliche Informationen in ihrer eigenen persönlichen Patientenakte zu speichern, auf die Angehörige der Gesundheitsberufe zugreifen können. Dies ist jedoch nicht in allen Mitgliedstaaten gängige Praxis und sollte daher im Rahmen des EHDS in der gesamten EU eingeführt werden. Informationen, die von natürlichen Personen hinzugefügt werden, sind möglicherweise weniger zuverlässig als elektronische Gesundheitsdaten, die von Angehörigen der Gesundheitsberufe eingegeben und überprüft werden und haben nicht den gleichen klinischen oder rechtlichen Wert wie Informationen, die von Angehörigen der Gesundheitsberufe bereitgestellt werden ; daher sollte eindeutig angegeben werden, aus welchen Quellen solche zusätzlichen Daten stammen , und sie sollten nur von Angehörigen der Gesundheitsberufe validiert werden . Insbesondere sollten die betreffenden Felder in der elektronischen Patientenakte deutlich gekennzeichnet sein. Indem natürliche Personen leichteren und schnelleren Zugang zu ihren elektronischen Gesundheitsdaten erhalten, können sie auch mögliche Fehler wie falsche Angaben oder falsch zugeordnete Patientenakten erkennen und sie unter Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 berichtigen lassen. In solchen Fällen sollte es natürlichen Personen ermöglicht werden, die Berichtigung unrichtiger elektronischer Gesundheitsdaten unverzüglich und kostenlos online zu beantragen, beispielsweise über den Zugangsdienst für personenbezogene Gesundheitsdaten. Anträge auf Berichtigung von Daten sollten von den Datenverantwortlichen im Einzelfall geprüft und gegebenenfalls umgesetzt werden, erforderlichenfalls unter Einbeziehung von Angehörigen der Gesundheitsberufe mit einschlägiger Spezialisierung, die für die Behandlung der natürlichen Person verantwortlich sind .

(11)

Natürliche Personen sollten auch in die Lage versetzt werden, personenbezogene elektronische Gesundheitsdaten weiterzugeben und Angehörigen der Gesundheitsberufe ihrer Wahl zugänglich zu machen, was über das Recht auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 hinausgeht. Dies ist notwendig, um beim derzeitigen Stand der Dinge objektive Schwierigkeiten und Hindernisse zu beseitigen. Nach der Verordnung (EU) 2016/679 ist die Übertragbarkeit auf Daten beschränkt, die auf der Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, was Daten ausschließt, die basierend auf anderen Rechtsgrundlagen verarbeitet werden, etwa wenn die Verarbeitung auf Rechtsvorschriften beruht, beispielsweise wenn ihre Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Übertragbarkeit betrifft nur Daten, die die betroffene Person einem Verantwortlichen zur Verfügung stellt, was viele abgeleitete oder indirekte Daten wie Diagnosen oder Tests ausschließt. Außerdem hat die natürliche Person gemäß der Verordnung (EU) 2016/679 nur insoweit Anspruch auf direkte Übermittlung der personenbezogenen Daten von einem Verantwortlichen an einen anderen, als dies technisch machbar ist. Die besagte Verordnung sieht jedoch keine Verpflichtung vor, die technische Machbarkeit dieser direkten Übertragung zu ermöglichen. All diese Elemente beschränken die Datenübertragbarkeit und können ihre Vorteile für die Erbringung hochwertiger, sicherer und effizienter Gesundheitsdienste für die natürliche Person einschränken.

(11)

Natürliche Personen sollten auch in die Lage versetzt werden, personenbezogene elektronische Gesundheitsdaten weiterzugeben und Angehörigen der Gesundheitsberufe ihrer Wahl zugänglich zu machen, was über das Recht auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 hinausgeht , sowie ihre Gesundheitsdaten herunterzuladen . Dies ist notwendig, um beim derzeitigen Stand der Dinge objektive Schwierigkeiten und Hindernisse zu beseitigen. Nach der Verordnung (EU) 2016/679 ist die Übertragbarkeit auf Daten beschränkt, die auf der Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden, was Daten ausschließt, die basierend auf anderen Rechtsgrundlagen verarbeitet werden, etwa wenn die Verarbeitung auf Rechtsvorschriften beruht, beispielsweise wenn ihre Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde. Die Übertragbarkeit betrifft nur Daten, die die betroffene Person einem Verantwortlichen zur Verfügung stellt, was viele abgeleitete oder indirekte Daten wie Diagnosen oder Tests ausschließt. Außerdem hat die natürliche Person gemäß der Verordnung (EU) 2016/679 nur insoweit Anspruch auf direkte Übermittlung der personenbezogenen Daten von einem Verantwortlichen an einen anderen, als dies technisch machbar ist. Die besagte Verordnung sieht jedoch keine Verpflichtung vor, die technische Machbarkeit dieser direkten Übertragung zu ermöglichen. All diese Elemente beschränken die Datenübertragbarkeit und können ihre Vorteile für die Erbringung hochwertiger, sicherer und effizienter Gesundheitsdienste für die natürliche Person einschränken.

(12)

Natürliche Personen sollten die Übermittlung personenbezogener elektronischer Gesundheitsdaten an andere Gesundheitsdienstleister kontrollieren können. Gesundheitsdienstleister und andere Organisationen, die elektronische Patientenakten bereitstellen, sollten die Ausübung dieses Rechts erleichtern. Akteure wie Gesundheitsdienstleister, Anbieter digitaler Gesundheitsdienste, Hersteller von EHR-Systemen oder Medizinprodukten sollten die Ausübung des Rechts auf Übertragbarkeit nicht dadurch behindern, dass sie proprietäre Standards oder andere Maßnahmen zur Beschränkung der Übertragbarkeit nutzen. Aus diesen Gründen baut der in dieser Verordnung festgelegte Rahmen auf dem in der Verordnung (EU) 2016/679 verankerten Recht auf Datenübertragbarkeit auf, indem sichergestellt wird, dass natürliche Personen als betroffene Personen ihre elektronischen Gesundheitsdaten, einschließlich abgeleiteter Daten, unabhängig von der Rechtsgrundlage der Verarbeitung der elektronischen Gesundheitsdaten übermitteln können. Dieses Recht sollte für elektronische Gesundheitsdaten gelten, die von öffentlichen oder privaten Verantwortlichen verarbeitet werden, unabhängig von der Rechtsgrundlage für die Verarbeitung der Daten gemäß der Verordnung (EU) 2016/679. Dieses Recht sollte für alle elektronischen Gesundheitsdaten gelten.

(12)

Natürliche Personen sollten die Übermittlung personenbezogener elektronischer Gesundheitsdaten an andere Gesundheitsdienstleister kontrollieren können. Gesundheitsdienstleister und andere Organisationen, die elektronische Patientenakten bereitstellen, sollten die Ausübung dieses Rechts erleichtern. Akteure wie Gesundheitsdienstleister, Anbieter digitaler Gesundheitsdienste, Hersteller von EHR-Systemen oder Medizinprodukten sollten die Ausübung des Rechts auf Übertragbarkeit nicht dadurch behindern, dass sie proprietäre Standards oder andere Maßnahmen zur Beschränkung der Übertragbarkeit nutzen . Im Einklang mit der Verordnung (EU) 2016/679 sollten Gesundheitsdienstleister beim Zugriff auf personenbezogene Gesundheitsdaten den Grundsatz der Datenminimierung befolgen und den Zugriff auf solche Daten beschränken, die für eine bestimmte Dienstleistung unbedingt notwendig und gerechtfertigt sind . Aus diesen Gründen baut der in dieser Verordnung festgelegte Rahmen auf dem in der Verordnung (EU) 2016/679 verankerten Recht auf Datenübertragbarkeit auf, indem sichergestellt wird, dass natürliche Personen als betroffene Personen ihre elektronischen Gesundheitsdaten, einschließlich abgeleiteter Daten, unabhängig von der Rechtsgrundlage der Verarbeitung der elektronischen Gesundheitsdaten übermitteln können. Dieses Recht sollte für elektronische Gesundheitsdaten gelten, die von öffentlichen oder privaten Verantwortlichen verarbeitet werden, unabhängig von der Rechtsgrundlage für die Verarbeitung der Daten gemäß der Verordnung (EU) 2016/679. Dieses Recht sollte für alle elektronischen Gesundheitsdaten gelten.

(13)

Es könnte sein, dass natürliche Personen nur bestimmte Teile ihrer personenbezogenen elektronischen Gesundheitsdaten zugänglich machen wollen, andere Teile hingegen nicht. Eine solche selektive Weitergabe personenbezogener elektronischer Gesundheitsdaten sollte unterstützt werden. Da solche Beschränkungen jedoch lebensbedrohliche Folgen haben können, sollte der Zugang zu personenbezogenen elektronischen Gesundheitsdaten im Notfall auch ohne Einwilligung möglich sein, wenn dadurch lebenswichtige Interessen geschützt werden. Im Sinne der Verordnung (EU) 2016/679 liegen lebenswichtige Interessen vor, wenn ohne ihren Schutz das Leben der betroffenen Person oder einer anderen natürlichen Person gefährdet wäre. Personenbezogene elektronische Gesundheitsdaten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Spezifischere Rechtsvorschriften über die Mechanismen für Beschränkungen, die natürliche Personen für Teile ihrer personenbezogenen elektronischen Gesundheitsdaten auferlegen, sollten von den Mitgliedstaaten im nationalen Recht vorgesehen werden. Da sich die Nichtfreigabe bestimmter personenbezogener elektronischer Gesundheitsdaten auf die Bereitstellung oder Qualität der für die natürliche Person erbrachten Gesundheitsdienstleistungen auswirken kann, sollte die natürliche Person die Verantwortung dafür übernehmen, dass der Gesundheitsdienstleister die Daten bei der Erbringung von Gesundheitsdienstleistungen nicht berücksichtigen kann.

(13)

Es könnte sein, dass natürliche Personen nur bestimmte Teile ihrer personenbezogenen elektronischen Gesundheitsdaten zugänglich machen wollen, andere Teile hingegen nicht. Eine solche selektive Weitergabe personenbezogener elektronischer Gesundheitsdaten sollte unterstützt werden . Allerdings werden natürliche Person über die Risiken für die Patientensicherheit informiert, die mit der Beschränkung des Zugangs zu Gesundheitsdaten verbunden sind . Da solche Beschränkungen jedoch lebensbedrohliche Folgen haben können, sollte der Zugang zu personenbezogenen elektronischen Gesundheitsdaten im Notfall auch ohne Einwilligung möglich sein, wenn dadurch lebenswichtige Interessen geschützt werden. Im Sinne der Verordnung (EU) 2016/679 liegen lebenswichtige Interessen vor, wenn ohne ihren Schutz das Leben der betroffenen Person oder einer anderen natürlichen Person gefährdet wäre. Personenbezogene elektronische Gesundheitsdaten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Spezifischere Rechtsvorschriften über die Mechanismen für Beschränkungen, die natürliche Personen für Teile ihrer personenbezogenen elektronischen Gesundheitsdaten auferlegen, sollten von den Mitgliedstaaten im nationalen Recht vorgesehen werden , insbesondere hinsichtlich der ärztlichen Haftung, wenn von der natürlichen Person Beschränkungen festgelegt wurden . Da sich die Nichtfreigabe bestimmter personenbezogener elektronischer Gesundheitsdaten auf die Bereitstellung oder Qualität der für die natürliche Person erbrachten Gesundheitsdienstleistungen auswirken kann, sollte die natürliche Person die Verantwortung dafür übernehmen, dass der Gesundheitsdienstleister die Daten bei der Erbringung von Gesundheitsdienstleistungen nicht berücksichtigen kann.

(14)

Im Zusammenhang mit dem EHDS sollten natürliche Personen ihre in der Verordnung (EU) 2016/679 verankerten Rechte ausüben können. Die nach Artikel 51 der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden sollten weiterhin zuständig sein, insbesondere für die Überwachung der Verarbeitung personenbezogener elektronischer Gesundheitsdaten und für die Bearbeitung von Beschwerden natürlicher Personen. Um ihre Aufgaben im Gesundheitswesen wahrzunehmen und die Rechte natürlicher Personen zu wahren, sollten die digitalen Gesundheitsbehörden mit den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 zusammenarbeiten.

(14)

Im Zusammenhang mit dem EHDS sollten natürliche Personen ihre Rechte gemäß der vorliegenden Verordnung ausüben können , unbeschadet der Verordnung (EU) 2016/679 . Die nach Artikel 51 der Verordnung (EU) 2016/679 eingerichteten Aufsichtsbehörden sollten weiterhin zuständig sein, insbesondere für die Überwachung der Verarbeitung personenbezogener elektronischer Gesundheitsdaten und für die Bearbeitung von Beschwerden natürlicher Personen. Um ihre Aufgaben im Gesundheitswesen wahrzunehmen und die Rechte natürlicher Personen zu wahren, sollten die digitalen Gesundheitsbehörden mit den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 zusammenarbeiten.

(15)

Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 sieht Ausnahmen vor, in denen die Verarbeitung von sensiblen Daten für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die medizinische Versorgung oder Behandlung oder die Verwaltung der Gesundheitssysteme und -dienste auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich ist. Die vorliegende Verordnung sollte Bedingungen und Garantien für die Verarbeitung elektronischer Gesundheitsdaten durch Gesundheitsdienstleister und Angehörige der Gesundheitsberufe im Einklang mit Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 zwecks Zugriff auf personenbezogene elektronische Gesundheitsdaten vorsehen, die von der natürlichen Person bereitgestellt oder von anderen Gesundheitsdienstleistern übermittelt werden. Die vorliegende Verordnung sollte jedoch die nationalen Rechtsvorschriften über die Verarbeitung von Gesundheitsdaten unberührt lassen, einschließlich der Rechtsvorschriften, in denen die Kategorien von Angehörigen der Gesundheitsberufe, die verschiedene Kategorien elektronischer Gesundheitsdaten verarbeiten können, festgelegt sind.

(15)

Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 sieht Ausnahmen vor, in denen die Verarbeitung von sensiblen Daten für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die medizinische Versorgung oder Behandlung oder die Verwaltung der Gesundheitssysteme und -dienste auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich ist. Die vorliegende Verordnung sollte Bedingungen und Garantien für die Verarbeitung elektronischer Gesundheitsdaten durch Gesundheitsdienstleister und Angehörige der Gesundheitsberufe im Einklang mit Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 zwecks Zugriff auf personenbezogene elektronische Gesundheitsdaten vorsehen, die von der natürlichen Person bereitgestellt oder von anderen Gesundheitsdienstleistern übermittelt werden. Die vorliegende Verordnung sollte jedoch die nationalen Rechtsvorschriften über die Verarbeitung von Gesundheitsdaten außerhalb des Geltungsbereichs dieser Verordnung, einschließlich der durch diese Verordnung festgelegten Zwecke der Sekundärnutzung, unberührt lassen, einschließlich der Rechtsvorschriften, in denen die Kategorien von Angehörigen der Gesundheitsberufe, die verschiedene Kategorien elektronischer Gesundheitsdaten verarbeiten können, festgelegt sind.

(16)

Der zeitnahe und uneingeschränkte Zugang der Angehörigen der Gesundheitsberufe zu den Patientenakten ist von grundlegender Bedeutung, um eine kontinuierliche Versorgung sicherzustellen sowie Doppelarbeit und Fehler zu vermeiden. Aufgrund mangelnder Interoperabilität können Angehörige der Gesundheitsberufe jedoch in vielen Fällen nicht auf die vollständigen Patientenakten zugreifen und daher bei der Diagnose und Behandlung keine optimalen medizinischen Entscheidungen treffen, was sowohl für die Gesundheitssysteme als auch für natürliche Personen mit erheblichen Kosten verbunden ist und zu schlechteren Gesundheitsergebnissen für natürliche Personen führen kann. Elektronische Gesundheitsdaten, die in interoperablem Format vorliegen und zwischen Gesundheitsdienstleistern ausgetauscht werden können, verringern auch den Verwaltungsaufwand für die Angehörigen der Gesundheitsberufe, der entsteht, wenn Gesundheitsdaten manuell in elektronische Systeme eingegeben oder kopiert werden müssen. Daher sollten für Angehörige der Gesundheitsberufe geeignete elektronische Mittel, wie Portale für Angehörige der Gesundheitsberufe, eingerichtet werden, damit sie personenbezogene elektronische Gesundheitsdaten bei der Wahrnehmung ihrer Aufgaben nutzen können. Darüber hinaus sollte der Zugriff auf ihre persönliche Patientenakte für natürliche Personen transparent sein, und sie sollten in der Lage sein, die uneingeschränkte Kontrolle über diesen Zugriff auszuüben, unter anderem dadurch, dass sie den Zugang zu allen oder einem Teil der personenbezogenen elektronischen Gesundheitsdaten in ihrer Akte beschränken können. Angehörige der Gesundheitsberufe sollten die Ausübung der Rechte natürlicher Personen nicht behindern, etwa indem sie sich weigern, elektronische Gesundheitsdaten aus einem anderen Mitgliedstaat zu berücksichtigen, die im interoperablen und zuverlässigen europäischen Austauschformat für elektronische Patientenakten bereitgestellt werden.

(16)

Der zeitnahe und uneingeschränkte Zugang der Angehörigen der Gesundheitsberufe zu den Patientenakten ist von grundlegender Bedeutung, um eine kontinuierliche Versorgung sicherzustellen , Doppelarbeit und Fehler zu vermeiden und die Kosten zu senken . Aufgrund mangelnder Interoperabilität können Angehörige der Gesundheitsberufe jedoch in vielen Fällen nicht auf die vollständigen Patientenakten zugreifen und daher bei der Diagnose und Behandlung keine optimalen medizinischen Entscheidungen treffen, was sowohl für die Gesundheitssysteme als auch für natürliche Personen mit erheblichen Kosten verbunden ist und zu schlechteren Gesundheitsergebnissen für natürliche Personen führen kann. Elektronische Gesundheitsdaten, die in interoperablem Format vorliegen und zwischen Gesundheitsdienstleistern ausgetauscht werden können, verringern auch den Verwaltungsaufwand für die Angehörigen der Gesundheitsberufe, der entsteht, wenn Gesundheitsdaten manuell in elektronische Systeme eingegeben oder kopiert werden müssen. Daher sollten für Angehörige der Gesundheitsberufe geeignete elektronische Mittel, wie geeignete elektronische und digitale Geräte und Portale für Angehörige der Gesundheitsberufe, eingerichtet werden, damit sie personenbezogene elektronische Gesundheitsdaten bei der Wahrnehmung ihrer Aufgaben nach dem Grundsatz „Kenntnis nur, wenn nötig“ nutzen können. Darüber hinaus sollte der Zugriff auf ihre persönliche Patientenakte für natürliche Personen transparent sein, und sie sollten in der Lage sein, die uneingeschränkte Kontrolle über diesen Zugriff auszuüben, unter anderem dadurch, dass sie den Zugang zu allen oder einem Teil der personenbezogenen elektronischen Gesundheitsdaten in ihrer Akte beschränken können. Angehörige der Gesundheitsberufe sollten die Ausübung der Rechte natürlicher Personen nicht behindern, etwa indem sie sich weigern, elektronische Gesundheitsdaten aus einem anderen Mitgliedstaat zu berücksichtigen, die im interoperablen und zuverlässigen europäischen Austauschformat für elektronische Patientenakten bereitgestellt werden. Diese Verordnung sollte nicht so verstanden oder ausgelegt werden, dass die Verpflichtung der Angehörigen der Gesundheitsberufe zur Einhaltung von geltendem Recht, Verhaltenskodizes, ethischen Leitlinien oder anderen Bestimmungen über ethisches Verhalten in Bezug auf den Austausch von Informationen oder den Zugriff darauf, insbesondere in lebensbedrohlichen Situationen oder in Extremsituationen, eingeschränkt wird. Zu diesem Zweck sollten die Anbieter elektronischer Patientenakten Aufzeichnungen darüber führen, wer in den letzten 36 Monaten auf welche Daten zugegriffen hat.

(16a)

Im Zusammenhang mit der Digitalisierung und der Einführung des EHDS stehen die Angehörigen der Gesundheitsberufe vor einem tiefgreifenden Wandel. Die Angehörigen der Gesundheitsberufe müssen ihre digitalen Kompetenzen im Gesundheitsbereich und ihre digitalen Fähigkeiten weiterentwickeln. Daher sollten Angehörige der Gesundheitsberufe, die als Kleinstunternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission  (1a) gelten, für eine gewisse Zeit von den in dieser Verordnung festgelegten Bestimmungen ausgenommen werden, um einen unverhältnismäßigen Verwaltungsaufwand für Kleinstunternehmen zu vermeiden. Während des Freistellungszeitraums sollten die Mitgliedstaaten den Angehörigen der Gesundheitsberufe, die als Kleinstunternehmen tätig sind, die Möglichkeit geben, an Kursen zur digitalen Kompetenz teilzunehmen, um sich auf die Arbeit mit elektronischen Patientendatensystemen vorzubereiten.

(17)

Die verschiedenen Kategorien elektronischer Gesundheitsdaten sind für die verschiedenen Szenarien der Gesundheitsversorgung unterschiedlich relevant. Die verschiedenen Kategorien weisen auch unterschiedliche Grade der Standardisierung auf, weshalb die Umsetzung von Mechanismen für ihren Austausch je nach Kategorie unterschiedlich komplex ist. Daher sollten die Interoperabilität und der Datenaustausch schrittweise verbessert werden, und für die verschiedenen Kategorien elektronischer Gesundheitsdaten bedarf es einer Priorisierung. Das Netzwerk für elektronische Gesundheitsdienste hat unter anderem Patientenkurzakten, elektronische Verschreibungen und Abgaben, Laborergebnisse und -berichte, Krankenhausentlassungsberichte, medizinische Bilder und Bildberichte als die Kategorien elektronischer Gesundheitsdaten mit der größten Relevanz für die meisten Situationen der Gesundheitsversorgung ermittelt, die von den Mitgliedstaaten daher als vorrangige Kategorien bei der Ermöglichung des Zugangs und der Übermittlung betrachtet werden sollten. Wird festgestellt, dass noch andere Kategorien elektronischer Gesundheitsdaten für Zwecke der Gesundheitsversorgung ausgetauscht werden müssen, sollte die Liste der vorrangigen Kategorien erweitert werden . Die Kommission sollte die Befugnis erhalten, die Liste der vorrangigen Kategorien zu erweitern , nachdem sie relevante Aspekte im Zusammenhang mit der Notwendigkeit und Möglichkeit des Austauschs neuer Datensätze analysiert hat , wie etwa die Frage, ob sie von den in den Mitgliedstaaten auf nationaler oder regionaler Ebene eingerichteten Systemen unterstützt werden. Besondere Aufmerksamkeit sollte dem Datenaustausch in Grenzregionen benachbarter Mitgliedstaaten gelten, in denen grenzüberschreitende Gesundheitsdienste häufiger erbracht werden und noch schnellere Verfahren erfordern als in der Union allgemein.

(17)

Die verschiedenen Kategorien elektronischer Gesundheitsdaten sind für die verschiedenen Szenarien der Gesundheitsversorgung unterschiedlich relevant. Die verschiedenen Kategorien weisen auch unterschiedliche Grade der Standardisierung auf, weshalb die Umsetzung von Mechanismen für ihren Austausch je nach Kategorie unterschiedlich komplex ist. Daher sollten die Interoperabilität und der Datenaustausch schrittweise verbessert werden, und für die verschiedenen Kategorien elektronischer Gesundheitsdaten bedarf es einer Priorisierung. Das Netzwerk für elektronische Gesundheitsdienste hat unter anderem Patientenkurzakten, elektronische Verschreibungen und Abgaben, Laborergebnisse und -berichte, Krankenhausentlassungsberichte, medizinische Bilder und Bildberichte als die Kategorien elektronischer Gesundheitsdaten mit der größten Relevanz für die meisten Situationen der Gesundheitsversorgung ermittelt, die von den Mitgliedstaaten daher als vorrangige Kategorien bei der Ermöglichung des Zugangs und der Übermittlung betrachtet werden sollten. Wird festgestellt, dass noch andere Kategorien elektronischer Gesundheitsdaten für Zwecke der Gesundheitsversorgung ausgetauscht werden müssen, sollte die Liste der vorrangigen Kategorien erweitert werden, nachdem relevante Aspekte im Zusammenhang mit der Notwendigkeit und Möglichkeit des Austauschs neuer Datensätze analysiert wurden , wie etwa die Frage, ob sie von den in den Mitgliedstaaten auf nationaler oder regionaler Ebene eingerichteten Systemen unterstützt werden. Besondere Aufmerksamkeit sollte dem Datenaustausch in Grenzregionen benachbarter Mitgliedstaaten gelten, in denen grenzüberschreitende Gesundheitsdienste häufiger erbracht werden und noch schnellere Verfahren erfordern als in der Union allgemein.

(19)

Der Umfang der Verfügbarkeit personenbezogener Gesundheitsdaten und genetischer Daten in elektronischem Format variiert zwischen den Mitgliedstaaten. Der EHDS sollte es natürlichen Personen erleichtern, diese Daten in elektronischer Form zur Verfügung gestellt zu bekommen. Dies würde auch zur Verwirklichung des im Politikprogramm „Weg in die digitale Dekade“ genannten Ziels beitragen, dass bis 2030 100 % der Unionsbürger Zugang zu ihren elektronischen Patientenakten haben. Um elektronische Gesundheitsdaten zugänglich und übertragbar zu machen, sollten diese Daten – zumindest für bestimmte Kategorien elektronischer Gesundheitsdaten wie Patientenkurzakten, elektronische Verschreibungen und Abgaben, medizinische Bilder und Bildberichte, Laborergebnisse und Entlassungsberichte – vorbehaltlich Übergangsfristen in einem interoperablen gemeinsamen europäischen Austauschformat für elektronische Patientenakten abgerufen und übermittelt werden. Werden personenbezogene elektronische Gesundheitsdaten einem Gesundheitsdienstleister oder einer Apotheke von einer natürlichen Person zur Verfügung gestellt oder von einem anderen Datenverantwortlichen im europäischen Austauschformat für elektronische Patientenakten übermittelt, so sollten die elektronischen Gesundheitsdaten vor der Erbringung von Gesundheitsdienstleistungen oder der Abgabe eines Arzneimittels gelesen und bestätigt werden, damit sie die Erbringung der Gesundheitsdienstleistungen oder die Abgabe des Arzneimittels auf elektronische Verschreibung unterstützen können. Die Empfehlung (EU) 2019/243 der Kommission (45) liefert die Grundlage für ein solches gemeinsames europäisches Austauschformat für elektronische Patientenakten. Die Verwendung des europäischen Austauschformats für elektronische Patientenakten sollte auf EU-Ebene und auf nationaler Ebene stärker verbreitet werden. Obwohl den Mitgliedstaaten im Zusammenhang mit dem Netzwerk für elektronische Gesundheitsdienste nach Artikel 14 der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (46) empfohlen wurde, bei der Auftragsvergabe das europäische Austauschformat für elektronische Patientenakten zu verwenden, um die Interoperabilität zu verbessern, verbreitete sich das Format in der Praxis nur begrenzt, was eine fragmentierte Landschaft und ungleiche Bedingungen beim Zugang zu elektronischen Gesundheitsdaten und ihrer Übertragbarkeit zur Folge hatte.

(19)

Der Umfang der Verfügbarkeit personenbezogener Gesundheitsdaten und genetischer Daten in elektronischem Format variiert zwischen den Mitgliedstaaten. Der EHDS sollte es natürlichen Personen erleichtern, diese Daten in elektronischer Form zur Verfügung gestellt zu bekommen , und ihnen eine bessere Kontrolle über den Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten und deren Weitergabe ermöglichen . Dies würde auch zur Verwirklichung des im Politikprogramm „Weg in die digitale Dekade“ genannten Ziels beitragen, dass bis 2030 100 % der Unionsbürger Zugang zu ihren elektronischen Patientenakten haben. Um elektronische Gesundheitsdaten zugänglich und übertragbar zu machen, sollten diese Daten – zumindest für bestimmte Kategorien elektronischer Gesundheitsdaten wie Patientenkurzakten, elektronische Verschreibungen und Abgaben, medizinische Bilder und Bildberichte, Laborergebnisse und Entlassungsberichte – vorbehaltlich Übergangsfristen in einem interoperablen gemeinsamen europäischen Austauschformat für elektronische Patientenakten abgerufen und übermittelt werden. Werden personenbezogene elektronische Gesundheitsdaten einem Gesundheitsdienstleister oder einer Apotheke von einer natürlichen Person zur Verfügung gestellt oder von einem anderen Datenverantwortlichen im europäischen Austauschformat für elektronische Patientenakten übermittelt, so sollten die elektronischen Gesundheitsdaten vor der Erbringung von Gesundheitsdienstleistungen oder der Abgabe eines Arzneimittels gelesen und bestätigt werden, damit sie die Erbringung der Gesundheitsdienstleistungen oder die Abgabe des Arzneimittels auf elektronische Verschreibung unterstützen können. Die Empfehlung (EU) 2019/243 der Kommission (45) liefert die Grundlage für ein solches gemeinsames europäisches Austauschformat für elektronische Patientenakten. Die Interoperabilität des EHDS sollte zu einer hohen Qualität der europäischen Gesundheitsdatensätze beitragen. Die Verwendung des europäischen Austauschformats für elektronische Patientenakten sollte auf EU-Ebene und auf nationaler Ebene stärker verbreitet werden. Obwohl den Mitgliedstaaten im Zusammenhang mit dem Netzwerk für elektronische Gesundheitsdienste nach Artikel 14 der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (46) empfohlen wurde, bei der Auftragsvergabe das europäische Austauschformat für elektronische Patientenakten zu verwenden, um die Interoperabilität zu verbessern, verbreitete sich das Format in der Praxis nur begrenzt, was eine fragmentierte Landschaft und ungleiche Bedingungen beim Zugang zu elektronischen Gesundheitsdaten und ihrer Übertragbarkeit zur Folge hatte.

(20)

Während EHR-Systeme weit verbreitet sind, variiert der Digitalisierungsgrad der Gesundheitsdaten in den Mitgliedstaaten abhängig von den Datenkategorien und vom Anteil der Gesundheitsdienstleister, die Gesundheitsdaten in elektronischer Form erfassen. Um die Umsetzung der Rechte betroffener Personen auf Zugang zu elektronischen Gesundheitsdaten und deren Austausch zu unterstützen, muss die Union tätig werden, damit eine weitere Fragmentierung vermieden wird. Als Beitrag zu einer hohen Qualität und Kontinuität der Gesundheitsversorgung sollten bestimmte Kategorien von Gesundheitsdaten systematisch in elektronischer Form und unter Einhaltung spezifischer Datenqualitätsanforderungen erfasst werden. Das europäische Austauschformat für elektronische Patientenakten sollte die Grundlage für Spezifikationen bilden, die die Registrierung und den Austausch elektronischer Gesundheitsdaten betreffen. Die Kommission sollte die Befugnis erhalten, Durchführungsrechtsakte zur Festlegung zusätzlicher Aspekte im Zusammenhang mit der Registrierung elektronischer Gesundheitsdaten zu erlassen , wie etwa Kategorien von Gesundheitsdienstleistern, die Gesundheitsdaten elektronisch erfassen müssen, Kategorien von Daten, die elektronisch zu erfassen sind, oder Datenqualitätsanforderungen .

(20)

Während EHR-Systeme weit verbreitet sind, variiert der Digitalisierungsgrad der Gesundheitsdaten in den Mitgliedstaaten abhängig von den Datenkategorien und vom Anteil der Gesundheitsdienstleister, die Gesundheitsdaten in elektronischer Form erfassen. Um die Umsetzung der Rechte betroffener Personen auf Zugang zu elektronischen Gesundheitsdaten und deren Austausch zu unterstützen, muss die Union tätig werden, damit eine weitere Fragmentierung vermieden wird. Als Beitrag zu einer hohen Qualität und Kontinuität der Gesundheitsversorgung sollten bestimmte Kategorien von Gesundheitsdaten systematisch in elektronischer Form und unter Einhaltung spezifischer Datenqualitätsanforderungen erfasst werden. Das europäische Austauschformat für elektronische Patientenakten sollte die Grundlage für Spezifikationen bilden, die die Registrierung und den Austausch elektronischer Gesundheitsdaten betreffen. Der Kommission sollte die Befugnis erhalten, delegierte Rechtsakte zur Festlegung von Datenqualitätsanforderungen zu erlassen.

(20a)

Um die erfolgreiche Umsetzung des EHDS und die Schaffung effektiver Bedingungen für die europäische Zusammenarbeit im Bereich der Gesundheitsdaten zu unterstützen, sollten sich die Kommission und die Mitgliedstaaten auf zeitbasierte Ziele im Hinblick auf verbesserte Bedingungen für die Interoperabilität von Gesundheitsdaten in der gesamten Europäischen Union einigen, wobei eine Reihe von Zielvorgaben und Etappenzielen, unter anderem in Bezug auf die Interoperabilität von krankheitsspezifischen Registern, in einem Jahresbericht zu überprüfen und bewertet werden sollten.

(21)

Nach Artikel 168 des Vertrags sind die Mitgliedstaaten für ihre Gesundheitspolitik zuständig, insbesondere für Entscheidungen darüber, welche Leistungen (einschließlich der Telemedizin) erbracht und erstattet werden. Unterschiedliche Kostenerstattungsregelungen sollten jedoch keine Hindernisse für den freien Verkehr digitaler Gesundheitsdienste wie Telemedizin, einschließlich Online-Apotheken, darstellen. Wenn digitale Dienstleistungen mit der physischen Erbringung einer Gesundheitsdienstleistung im Zusammenhang stehen, sollten sie als Teil dieser Gesundheitsdienstleistung berücksichtigt werden.

(21)

Nach Artikel 168 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) sind die Mitgliedstaaten für ihre Gesundheitspolitik zuständig, insbesondere für Entscheidungen darüber, welche Leistungen erbracht und erstattet werden. Unterschiedliche Kostenerstattungsregelungen sollten jedoch keine Hindernisse für den freien Verkehr digitaler Gesundheitsdienste wie Telemedizin, einschließlich Online-Apotheken, darstellen. Wenn digitale Dienstleistungen mit der physischen Erbringung einer Gesundheitsdienstleistung im Zusammenhang stehen, sollten sie als Teil dieser Gesundheitsdienstleistung berücksichtigt werden. Die Telemedizin wird zu einem immer wichtigeren Instrument, mit dem Patienten Zugang zur Gesundheitsversorgung erhalten und Ungerechtigkeiten beseitigt werden können, und sie hat das Potenzial, Ungleichheiten im Gesundheitsbereich abzubauen und die Freizügigkeit der Bürgerinnen und Bürger der Union über Grenzen hinweg zu stärken. Digitale und andere technologische Instrumente können die medizinische Versorgung in abgelegenen Regionen erleichtern. Die Telemedizin sollte jedoch nicht als Ersatz für die persönliche medizinische Betreuung betrachtet werden, da es bestimmte Bedingungen und Verfahren gibt, die körperliche Untersuchungen und Eingriffe an der Person erfordern.

(22)

In der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (47) sind die Bedingungen, unter denen die Mitgliedstaaten natürliche Personen in grenzüberschreitenden Situationen mithilfe von elektronischen Identifizierungsmitteln, die von einem anderen Mitgliedstaat ausgestellt wurden, identifizieren, sowie Vorschriften für die gegenseitige Anerkennung solcher elektronischen Identifizierungsmittel festgelegt. Zur Vermeidung von Fällen eines unberechtigten Zugriffs erfordert der EHDS einen sicheren Zugang zu elektronischen Gesundheitsdaten, einschließlich in grenzüberschreitenden Szenarien, in denen die Angehörigen der Gesundheitsberufe und die natürliche Person aus verschiedenen Mitgliedstaaten stammen. Gleichzeitig sollte das Bestehen unterschiedlicher Möglichkeiten zur elektronischen Identifizierung natürliche Personen und Angehörige der Gesundheitsberufe nicht daran hindern, ihre Rechte auszuüben. Die Einführung interoperabler, grenzüberschreitender Identifizierungs- und Authentifizierungsmechanismen für natürliche Personen und Angehörige der Gesundheitsberufe im gesamten EHDS erfordert eine verstärkte Zusammenarbeit auf Unionsebene im Ausschuss für den europäischen Gesundheitsraum (European Health Data Space Board, im Folgenden „EHDS-Ausschuss“). Da die Rechte natürlicher Personen in Bezug auf den Zugang zu personenbezogenen elektronischen Gesundheitsdaten und deren Übermittlung unionsweit einheitlich umgesetzt werden sollten, sind sowohl auf Unionsebene als auch auf Ebene der Mitgliedstaaten eine starke Governance und Koordinierung erforderlich. Die Mitgliedstaaten sollten einschlägige digitale Gesundheitsbehörden einrichten, die mit der Planung und Umsetzung von Standards für den Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung und mit der Durchsetzung der Rechte von natürlichen Personen und Angehörigen der Gesundheitsberufe betraut werden. Darüber hinaus sind Governance-Elemente in den Mitgliedstaaten erforderlich, um die Beteiligung nationaler Akteure an der Zusammenarbeit auf Unionsebene zu erleichtern, Fachwissen zu lenken und die Konzeption von Lösungen, die zur Erreichung der Ziele des EHDS erforderlich sind, beratend zu begleiten. In den meisten Mitgliedstaaten gibt es digitale Gesundheitsbehörden, die sich mit elektronischen Patientenakten, Interoperabilität, Sicherheit oder Normung befassen. Digitale Gesundheitsbehörden sollten in allen Mitgliedstaaten als separate Organisationen oder als Teil derzeit bestehender Behörden eingerichtet werden.

(22)

In der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (47) sind die Bedingungen, unter denen die Mitgliedstaaten natürliche Personen in grenzüberschreitenden Situationen mithilfe von elektronischen Identifizierungsmitteln, die von einem anderen Mitgliedstaat ausgestellt wurden, identifizieren, sowie Vorschriften für die gegenseitige Anerkennung solcher elektronischen Identifizierungsmittel festgelegt. Zur Vermeidung von Fällen eines unberechtigten Zugriffs erfordert der EHDS einen sicheren Zugang zu elektronischen Gesundheitsdaten, einschließlich in grenzüberschreitenden Szenarien, in denen die Angehörigen der Gesundheitsberufe und die natürliche Person aus verschiedenen Mitgliedstaaten stammen. Gleichzeitig sollte das Bestehen unterschiedlicher Möglichkeiten zur elektronischen Identifizierung natürliche Personen und Angehörige der Gesundheitsberufe nicht daran hindern, ihre Rechte auszuüben. Deshalb sollten natürliche Personen und Angehörige der Gesundheitsberufe über das Recht auf elektronische Identifizierung mithilfe anerkannter elektronischer Identifizierungsmittel verfügen, einschließlich eID-Systemen, wenn diese angeboten werden. Die Einführung interoperabler, grenzüberschreitender Identifizierungs- und Authentifizierungsmechanismen für natürliche Personen und Angehörige der Gesundheitsberufe im gesamten EHDS erfordert eine verstärkte Zusammenarbeit auf Unionsebene im Ausschuss für den europäischen Gesundheitsraum (European Health Data Space Board, im Folgenden „EHDS-Ausschuss“). Da die Rechte natürlicher Personen in Bezug auf den Zugang zu personenbezogenen elektronischen Gesundheitsdaten und deren Übermittlung unionsweit einheitlich umgesetzt werden sollten, sind sowohl auf Unionsebene als auch auf Ebene der Mitgliedstaaten eine starke Governance und Koordinierung erforderlich.

(22a)

Die Mitgliedstaaten sollten einschlägige digitale Gesundheitsbehörden einrichten, die mit der Planung und Umsetzung von Standards für den Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung sowie mit der Durchsetzung der Rechte von natürlichen Personen und Angehörigen der Gesundheitsberufe betraut werden. Darüber hinaus sind Governance-Elemente in den Mitgliedstaaten erforderlich, um die Beteiligung nationaler Akteure an der Zusammenarbeit auf Unionsebene zu erleichtern, Fachwissen zu lenken und die Konzeption von Lösungen, die zur Erreichung der Ziele des EHDS erforderlich sind, beratend zu begleiten. In den meisten Mitgliedstaaten gibt es digitale Gesundheitsbehörden, die sich mit elektronischen Patientenakten, Interoperabilität, Sicherheit oder Normung befassen. Digitale Gesundheitsbehörden sollten in allen Mitgliedstaaten als separate Organisationen oder als Teil derzeit bestehender Behörden eingerichtet werden.

(23)

Die digitalen Gesundheitsbehörden sollten über ausreichende technische Kompetenzen verfügen und gegebenenfalls Sachverständige verschiedener Organisationen zusammenbringen. Die Tätigkeiten der digitalen Gesundheitsbehörden sollten sorgfältig geplant und überwacht werden, um ihre Effizienz sicherzustellen. Die digitalen Gesundheitsbehörden sollten die erforderlichen Maßnahmen ergreifen, um die Rechte natürlicher Personen sicherzustellen, indem sie nationale, regionale und lokale technische Lösungen wie nationale Patientenakten, Patientenportale und Datenvermittlungssysteme einrichten. Dabei sollten sie gemeinsame Standards und Spezifikationen für solche Lösungen anwenden, die Anwendung der Standards und Spezifikationen bei Auftragsvergaben fördern sowie andere innovative Mittel einsetzen, einschließlich der Kostenerstattung für Lösungen, die den Interoperabilitäts- und Sicherheitsanforderungen des EHDS entsprechen. Zur Wahrnehmung ihrer Aufgaben sollten die digitalen Gesundheitsbehörden auf nationaler Ebene und auf Unionsebene mit anderen Stellen zusammenarbeiten, darunter Versicherer, Gesundheitsdienstleister, Hersteller von EHR-Systemen und Wellness-Apps sowie Akteure aus dem Gesundheits- oder Informationstechnologiesektor, Stellen für die Abwicklung von Erstattungsregelungen, Stellen für die Bewertung von Gesundheitstechnologien, Regulierungsbehörden und Agenturen für Arzneimittel, Behörden für Medizinprodukte, Beschaffer sowie Behörden für Cybersicherheit oder elektronische Identifizierung.

(23)

Die digitalen Gesundheitsbehörden sollten über ausreichende technische Kompetenzen verfügen und gegebenenfalls Sachverständige verschiedener Organisationen zusammenbringen. Die Tätigkeiten der digitalen Gesundheitsbehörden sollten sorgfältig geplant und überwacht werden, um ihre Effizienz sicherzustellen. Die digitalen Gesundheitsbehörden sollten die erforderlichen Maßnahmen ergreifen, um die Rechte natürlicher Personen sicherzustellen, indem sie nationale, regionale und lokale technische Lösungen wie nationale Patientenakten, Patientenportale und Datenvermittlungssysteme einrichten. Dabei sollten sie gemeinsame Standards und Spezifikationen für solche Lösungen anwenden, die Anwendung der Standards und Spezifikationen bei Auftragsvergaben fördern sowie andere innovative Mittel einsetzen, einschließlich der Kostenerstattung für Lösungen, die den Interoperabilitäts- und Sicherheitsanforderungen des EHDS entsprechen. Die Mitgliedstaaten sollten sicherstellen, dass geeignete Schulungsinitiativen durchgeführt werden. Insbesondere sollten die Angehörigen der Gesundheitsberufe über ihre Rechte und Pflichten im Rahmen dieser Verordnung informiert und geschult werden. Zur Wahrnehmung ihrer Aufgaben sollten die digitalen Gesundheitsbehörden auf nationaler Ebene und auf Unionsebene mit anderen Stellen zusammenarbeiten, darunter Versicherer, Gesundheitsdienstleister, Angehörige der Gesundheitsberufe, Hersteller von EHR-Systemen und Wellness-Apps sowie andere Akteure aus dem Gesundheits- oder Informationstechnologiesektor, Stellen für die Abwicklung von Erstattungsregelungen, Stellen für die Bewertung von Gesundheitstechnologien, Regulierungsbehörden und Agenturen für Arzneimittel, Behörden für Medizinprodukte, Beschaffer sowie Behörden für Cybersicherheit oder elektronische Identifizierung.

(24)

Der Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung sind in grenzüberschreitenden Gesundheitssituationen von Bedeutung, da dies die Kontinuität der Gesundheitsversorgung fördern kann, wenn natürliche Personen in andere Mitgliedstaaten reisen oder ihren Wohnort wechseln. Noch wichtiger ist die Kontinuität der Versorgung und der rasche Zugang zu personenbezogenen elektronischen Gesundheitsdaten für die Bewohner von Grenzregionen, die regelmäßig die Grenze überqueren, um Gesundheitsleistungen in Anspruch zu nehmen. In vielen Grenzregionen liegt der Fall vor, dass bestimmte spezialisierte Gesundheitsdienste auf der anderen Grenzseite näher gelegen sind als die Gesundheitsdienste im eigenen Mitgliedstaat. Für Situationen, in denen eine natürliche Person die Dienste eines in einem anderen Mitgliedstaat niedergelassenen Gesundheitsdienstleisters in Anspruch nimmt, ist eine Infrastruktur für die grenzüberschreitende Übermittlung personenbezogener elektronischer Gesundheitsdaten erforderlich. Eine freiwillige Infrastruktur für diesen Zweck – MyHealth@EU – wurde als Teil der Maßnahmen nach Artikel 14 der Richtlinie 2011/24/EU eingerichtet. Mit MyHealth@EU haben die Mitgliedstaaten natürlichen Personen erstmals die Möglichkeit gegeben, ihre personenbezogenen elektronischen Gesundheitsdaten während Auslandsaufenthalten an Gesundheitsdienstleister weiterzugeben. Um solche Möglichkeiten weiter zu unterstützen, sollte die Beteiligung an der digitalen Infrastruktur MyHealth@EU für die Mitgliedstaaten obligatorisch werden. Alle Mitgliedstaaten sollten sich an der Infrastruktur beteiligen und Gesundheitsdienstleister und Apotheken an sie anbinden, da dies erforderlich ist, um die Rechte natürlicher Personen auf Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten und deren Nutzung unabhängig vom Mitgliedstaat durchsetzen zu können. Die Infrastruktur sollte schrittweise ausgebaut werden, sodass weitere Kategorien elektronischer Gesundheitsdaten unterstützt werden.

(24)

Der Zugang zu elektronischen Gesundheitsdaten und deren Übermittlung sind in grenzüberschreitenden Gesundheitssituationen von Bedeutung, da dies die Kontinuität der Gesundheitsversorgung fördern kann, wenn natürliche Personen in andere Mitgliedstaaten reisen oder ihren Wohnort wechseln. Noch wichtiger ist die Kontinuität der Versorgung und der rasche Zugang zu personenbezogenen elektronischen Gesundheitsdaten für die Bewohner von Grenzregionen, die regelmäßig die Grenze überqueren, um Gesundheitsleistungen in Anspruch zu nehmen. In vielen Grenzregionen liegt der Fall vor, dass bestimmte spezialisierte Gesundheitsdienste auf der anderen Grenzseite näher gelegen sind als die Gesundheitsdienste im eigenen Mitgliedstaat. Für Situationen, in denen eine natürliche Person die Dienste eines in einem anderen Mitgliedstaat niedergelassenen Gesundheitsdienstleisters in Anspruch nimmt, ist eine Infrastruktur für die grenzüberschreitende Übermittlung personenbezogener elektronischer Gesundheitsdaten erforderlich. Eine freiwillige Infrastruktur für diesen Zweck – MyHealth@EU – wurde als Teil der Maßnahmen nach Artikel 14 der Richtlinie 2011/24/EU eingerichtet. Mit MyHealth@EU haben die Mitgliedstaaten natürlichen Personen erstmals die Möglichkeit gegeben, ihre personenbezogenen elektronischen Gesundheitsdaten während Auslandsaufenthalten an Gesundheitsdienstleister weiterzugeben. Um solche Möglichkeiten weiter zu unterstützen, sollte die Beteiligung an der digitalen Infrastruktur MyHealth@EU für die Mitgliedstaaten obligatorisch werden. Alle Mitgliedstaaten sollten sich an der Infrastruktur beteiligen und Gesundheitsdienstleister und Apotheken an sie anbinden, da dies erforderlich ist, um die Rechte natürlicher Personen auf Zugang zu ihren personenbezogenen elektronischen Gesundheitsdaten und deren Nutzung unabhängig vom Mitgliedstaat durchsetzen zu können. Die Infrastruktur sollte schrittweise ausgebaut werden, sodass weitere Kategorien elektronischer Gesundheitsdaten unterstützt werden , und es sollten Finanzmittel sowie andere Mittel zur Unterstützung auf Unionsebene in Erwägung gezogen werden .

(25)

Im Zusammenhang mit MyHealth@EU sollte über eine zentrale Plattform eine gemeinsame Infrastruktur für die Mitgliedstaaten bereitgestellt werden, damit auf effiziente und sichere Weise Konnektivität und Interoperabilität sichergestellt werden. Um die Einhaltung der Datenschutzvorschriften sicherzustellen und einen Rahmen für das Risikomanagement bei der Übermittlung personenbezogener elektronischer Gesundheitsdaten zu schaffen, sollte die Kommission im Wege von Durchführungsrechtsakten spezifische Zuständigkeiten auf die Mitgliedstaaten als gemeinsam Verantwortliche verteilen und ihre eigenen Pflichten als Verarbeiter festlegen.

(25)

Im Zusammenhang mit MyHealth@EU sollte über eine zentrale Plattform eine gemeinsame Infrastruktur für die Mitgliedstaaten bereitgestellt werden, damit auf effiziente und sichere Weise Konnektivität und Interoperabilität sichergestellt werden. Um die Einhaltung der Datenschutzvorschriften sicherzustellen und einen Rahmen für das Risikomanagement bei der Übermittlung personenbezogener elektronischer Gesundheitsdaten zu schaffen, sollte die Kommission im Wege von Durchführungsrechtsakten spezifische Zuständigkeiten mit zeitbasierten Zielen auf die Mitgliedstaaten als gemeinsam Verantwortliche verteilen und ihre eigenen Pflichten als Verarbeiter festlegen.

(26)

Zusätzlich zu den Diensten in MyHealth@EU für den Austausch personenbezogener elektronischer Gesundheitsdaten auf der Grundlage des europäischen Austauschformats für elektronische Patientenakten können andere Dienste oder ergänzende Infrastrukturen beispielsweise dann erforderlich sein, wenn Notlagen im Bereich der öffentlichen Gesundheit eintreten oder die Architektur von MyHealth@EU für bestimmte Anwendungsfälle nicht geeignet ist. Beispiele für solche Anwendungsfälle sind die Unterstützung von Impfpassfunktionen, einschließlich des Austauschs von Informationen über Impfkalender oder der Überprüfung von Impfzertifikaten oder anderen gesundheitsbezogenen Zertifikaten. Dies wäre auch wichtig, um zusätzliche Funktionen für die Bewältigung von Krisen im Bereich der öffentlichen Gesundheit einzuführen, wie z. B. die Unterstützung der Kontaktnachverfolgung zwecks Eindämmung von Infektionskrankheiten. Die Anbindung nationaler Kontaktstellen für digitale Gesundheit in Drittländern oder die Interoperabilität mit auf internationaler Ebene eingerichteten digitalen Systemen sollte einer Überprüfung unterzogen werden, um sicherzustellen, dass die nationale Kontaktstelle die technischen Spezifikationen, Datenschutzvorschriften und anderen Anforderungen von MyHealth@EU einhält. Die Entscheidung, eine nationale Kontaktstelle eines Drittlands anzubinden, sollte von den Datenverantwortlichen in der Gruppe der gemeinsam Verantwortlichen für MyHealth@EU getroffen werden.

(26)

Zusätzlich zu den Diensten in MyHealth@EU für den Austausch personenbezogener elektronischer Gesundheitsdaten auf der Grundlage des europäischen Austauschformats für elektronische Patientenakten können andere Dienste oder ergänzende Infrastrukturen beispielsweise dann erforderlich sein, wenn Notlagen im Bereich der öffentlichen Gesundheit eintreten oder die Architektur von MyHealth@EU für bestimmte Anwendungsfälle nicht geeignet ist. Beispiele für solche Anwendungsfälle sind die Unterstützung von Impfpassfunktionen, einschließlich des Austauschs von Informationen über Impfkalender oder der Überprüfung von Impfzertifikaten oder anderen gesundheitsbezogenen Zertifikaten. Dies wäre auch wichtig, um zusätzliche Funktionen für die Bewältigung von Krisen im Bereich der öffentlichen Gesundheit einzuführen, wie z. B. die Unterstützung der Kontaktnachverfolgung zwecks Eindämmung von Infektionskrankheiten.

(34a)

EHR-Systeme könnten im Sinne der Verordnung (EU) 2017/745 als Medizinprodukte oder im Sinne der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates  (1a) als In-vitro-Diagnostika gelten. Während diese EHR-Systeme die Anforderungen aller geltenden Verordnungen erfüllen müssen, sollten die Mitgliedstaaten angemessene Maßnahmen ergreifen, um sicherzustellen, dass die jeweilige Konformitätsbewertung im Rahmen eines gemeinsamen bzw. koordinierten Verfahrens durchgeführt wird, unter anderem, indem dieselben benannten Stellen darin bestärkt werden, die Zuständigkeit für die Konformitätsbewertung gemäß jeder geltenden Verordnung zu übernehmen.

(35)

Nutzer von Wellness-Apps, etwa in Form mobiler Anwendungen, sollten über die Fähigkeit dieser Anwendungen informiert werden, an EHR-Systeme oder nationale elektronische Gesundheitslösungen angeschlossen zu werden und Daten an sie zu übertragen, wenn Daten, die von den Wellness-Apps erzeugt werden, für Gesundheitszwecke nützlich sind. Die Fähigkeit dieser Anwendungen, Daten in einem interoperablen Format zu exportieren, ist auch für die Zwecke der Datenübertragbarkeit relevant. Gegebenenfalls sollten die Nutzer über die Konformität solcher Anwendungen mit den Interoperabilitäts- und Sicherheitsanforderungen informiert werden. Allerdings wäre angesichts der großen Zahl von Wellness-Apps und des Umstands, dass bei vielen von ihnen die erstellten Daten für Gesundheitszwecke nur begrenzt relevant sind, ein Zertifizierungssystem für diese Anwendungen nicht verhältnismäßig. Daher sollte eine freiwillige Kennzeichnungsregelung als geeigneter Mechanismus eingeführt werden, um die Einhaltung der Anforderungen für die Nutzer von Wellness-Apps transparent zu machen und sie bei der Wahl geeigneter Wellness-Apps mit hohen Interoperabilitäts- und Sicherheitsstandards zu unterstützen. Die Kommission kann in Durchführungsrechtsakten Einzelheiten zu Form und Inhalt einer solchen Kennzeichnung festlegen.

(35)

Nutzer von Wellness-Apps, etwa in Form mobiler Anwendungen, sollten über die Fähigkeit dieser Anwendungen informiert werden, an EHR-Systeme oder nationale elektronische Gesundheitslösungen angeschlossen zu werden und Daten an sie zu übertragen, wenn Daten, die von den Wellness-Apps erzeugt werden, für Gesundheitszwecke nützlich sind. Die Fähigkeit dieser Anwendungen, Daten in einem interoperablen Format zu exportieren, ist auch für die Zwecke der Datenübertragbarkeit relevant. Gegebenenfalls sollten die Nutzer über die Konformität solcher Anwendungen mit den Interoperabilitäts- und Sicherheitsanforderungen informiert werden. Allerdings wäre angesichts der großen Zahl von Wellness-Apps und des Umstands, dass bei vielen von ihnen die erstellten Daten für Gesundheitszwecke nur begrenzt relevant sind, ein Zertifizierungssystem für diese Anwendungen nicht verhältnismäßig. Daher sollte eine verpflichtende Kennzeichnungsregelung für Wellness-Apps, für die Interoperabilität mit EHR-Systemen beansprucht wird, als geeigneter Mechanismus eingeführt werden, um die Einhaltung der Anforderungen für die Nutzer von Wellness-Apps transparent zu machen und sie bei der Wahl geeigneter Wellness-Apps mit hohen Interoperabilitäts- und Sicherheitsstandards zu unterstützen. Die Kommission sollte in Durchführungsrechtsakten Einzelheiten zu Form und Inhalt einer solchen Kennzeichnung festlegen.

(36a)

Die Nutzung von Realdaten und von Erkenntnissen aus der Praxis, einschließlich der von Patienten gemeldeten Ergebnisse, für evidenzbasierte regulatorische und politische Zwecke sowie für Forschung, Bewertung von Gesundheitstechnologien und klinische Ziele sollte gefördert werden. Realdaten und Erkenntnisse aus der Praxis verfügen über das Potenzial, die derzeit zur Verfügung gestellten Gesundheitsdaten zu ergänzen.

(37)

Für die Sekundärnutzung klinischer Daten für Forschung, Innovation, Politikgestaltung, Regulierungszwecke, Patientensicherheit oder die Behandlung anderer natürlicher Personen sollten die durch die Verordnung (EU) 2016/679 für eine Unionsvorschrift gebotenen Möglichkeiten als Grundlage mit Vorschriften und Mechanismen, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen vorsehen, genutzt werden. Die vorliegende Verordnung bildet nach Artikel 9 Absatz 2 Buchstaben g, h, i und j der Verordnung (EU) 2016/679 die Rechtsgrundlage für die Sekundärnutzung von Gesundheitsdaten und legt Garantien für die Verarbeitung von Gesundheitsdaten in Bezug auf rechtmäßige Zwecke, eine vertrauenswürdige Governance für die Gewährung des Zugangs zu Gesundheitsdaten (über Stellen für den Zugang zu Gesundheitsdaten) und die Verarbeitung in einer sicheren Umgebung sowie die in der Datengenehmigung festgelegten Modalitäten für die Datenverarbeitung fest. Gleichzeitig sollte der Datenantragsteller eine Rechtsgrundlage nach Artikel 6 der Verordnung (EU) 2016/679 nachweisen, auf der er gemäß der vorliegenden Verordnung Zugang zu Daten beantragen könnte, und die in Kapitel IV festgelegten Bedingungen erfüllen. Konkreter formuliert begründet die vorliegende Verordnung für die Verarbeitung elektronischer Gesundheitsdaten, die sich gemäß der vorliegenden Verordnung im Besitz des Dateninhabers befinden, die rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 zur Offenlegung der Daten durch den Dateninhaber an Stellen für den Zugang zu Gesundheitsdaten, während die Rechtsgrundlage für die ursprüngliche Verarbeitung (z. B. Durchführung einer Behandlung) unberührt bleibt. Die vorliegende Verordnung erfüllt auch die Bedingungen für eine solche Verarbeitung nach Artikel 9 Absatz 2 Buchstaben h, i und j der Verordnung (EU) 2016/679 . Die vorliegende Verordnung überträgt den Stellen für den Zugang zu Gesundheitsdaten Aufgaben im öffentlichen Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 (Betrieb der sicheren Verarbeitungsumgebung, Verarbeitung von Daten vor ihrer Verwendung usw.) und erfüllt die Anforderungen des Artikels 9 Absatz 2 Buchstaben  h, i und j der Verordnung (EU) 2016/679. Somit begründet die vorliegende Verordnung in diesem Fall die Rechtsgrundlage nach Artikel 6 der genannten Verordnung und erfüllt die in deren Artikel 9 festgelegten Anforderungen bezüglich der Bedingungen, unter denen elektronische Gesundheitsdaten verarbeitet werden können. Hat der Datennutzer Zugang zu elektronischen Gesundheitsdaten (für die Sekundärnutzung von Daten für einen der in dieser Verordnung festgelegten Zwecke), so sollte er bei seinem Antrag auf Zugang zu elektronischen Gesundheitsdaten gemäß der vorliegenden Verordnung die dafür anwendbare Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe e oder f der Verordnung (EU) 2016/679 nachweisen und erläutern, auf welche spezifische Rechtsgrundlage er sich stützt: auf die geltenden Rechtsvorschriften, wenn die Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 ist, oder auf Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679. Stützt sich der Nutzer auf eine Rechtsgrundlage nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e, sollte er auf eine andere Rechtsvorschrift auf EU-Ebene oder nationaler Ebene verweisen, die nicht die vorliegende Verordnung ist und den Nutzer dazu verpflichtet, personenbezogene Gesundheitsdaten zur Erfüllung seiner Aufgaben zu verarbeiten. In Fällen, in denen der Rechtsgrund der Verarbeitung durch den Nutzer Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 ist, sind die entsprechenden Garantien in der vorliegenden Verordnung festgelegt. In diesen Fällen handelt es sich bei den von den Stellen für den Zugang zu Gesundheitsdaten erteilten Datengenehmigungen um Verwaltungsentscheidungen, in denen die Bedingungen für den Datenzugang festgelegt werden.

(37)

Für die Sekundärnutzung personenbezogener elektronischer Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Regulierungszwecke, Patientensicherheit oder die Behandlung anderer natürlicher Personen sollten die durch die Verordnung (EU) 2016/679 für eine Unionsvorschrift gebotenen Möglichkeiten als Grundlage für Vorschriften und Mechanismen, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen vorsehen, genutzt werden. Für die Zwecke der Verarbeitung elektronischer Gesundheitsdaten für die Sekundärnutzung sollte eine Rechtsgrundlage gemäß Artikel 6 Absatz 1 Buchstaben a, c, e oder f in Kombination mit Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 erforderlich sein. Die wichtigsten Verarbeitungsbedingungen, die in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 aufgeführt sind, betreffen in diesem Zusammenhang das wichtige öffentliche Interesse, die Bereitstellung von Gesundheits- oder Sozialfürsorge, das öffentliche Interesse im Bereich der öffentlichen Gesundheit und die Forschung. Die vorliegende Verordnung bildet daher nach Artikel 6 und Artikel 9 Absatz 2 Buchstaben g, h, i und j der Verordnung (EU) 2016/679 die Rechtsgrundlage für die Sekundärnutzung von Gesundheitsdaten und legt Garantien für die Verarbeitung von Gesundheitsdaten in Bezug auf rechtmäßige Zwecke, eine vertrauenswürdige Governance für die Gewährung des Zugangs zu Gesundheitsdaten (über Stellen für den Zugang zu Gesundheitsdaten) und die Verarbeitung in einer sicheren Umgebung sowie die in der Datengenehmigung festgelegten Modalitäten für die Datenverarbeitung fest. Konkreter formuliert begründet die vorliegende Verordnung für die Verarbeitung elektronischer Gesundheitsdaten, die sich gemäß der vorliegenden Verordnung im Besitz des Gesundheitsdateninhabers befinden, die rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 zur Offenlegung der Daten durch den Gesundheitsdateninhaber an Stellen für den Zugang zu Gesundheitsdaten, während die Rechtsgrundlage für die ursprüngliche Verarbeitung (z. B. Durchführung einer Behandlung) unberührt bleibt. Die vorliegende Verordnung überträgt den Stellen für den Zugang zu Gesundheitsdaten Aufgaben im öffentlichen Interesse im Sinne von Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 (Betrieb der sicheren Verarbeitungsumgebung, Verarbeitung von Daten vor ihrer Verwendung usw.) und erfüllt die Anforderungen des Artikels 9 Absatz 2 Buchstaben  g bis j der Verordnung (EU) 2016/679. Gleichzeitig sollte die Zugangsstelle für Gesundheitsdaten die Übereinstimmung mit Artikel 6 in Kombination mit Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 überprüfen und auf dieser Grundlage eine Datengenehmigung zur Verarbeitung personenbezogener elektronischer Gesundheitsdaten im Einklang mit dieser Verordnung erteilen, die die in Kapitel IV dieser Verordnung festgelegten Anforderungen und Bedingungen erfüllt.

(37a)

Hat der Datennutzer Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung von Daten für einen der in dieser Verordnung festgelegten Zwecke, so sollte er bei seinem Antrag auf Zugang zu elektronischen Gesundheitsdaten gemäß der vorliegenden Verordnung die dafür anwendbare Rechtsgrundlage nachweisen, wenn Artikel 6 Absatz 1 Buchstabe e oder f der Verordnung (EU) 2016/679 als Rechtsgrundlage gemäß dieser Verordnung dient. Stützt sich der Nutzer auf die Rechtsgrundlage nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e, sollte er auf eine andere Rechtsvorschrift auf EU-Ebene oder nationaler Ebene verweisen, die den Nutzer dazu verpflichtet, personenbezogene Gesundheitsdaten zur Erfüllung seiner Aufgaben zu verarbeiten. In Fällen, in denen die Grundlage für die Verarbeitung durch den Nutzer von Gesundheitsdaten Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 ist, sollten angemessene und notwendige Garantien gemäß der vorliegenden Verordnung festgelegt werden. In diesen Fällen sollte es sich bei den von den Stellen für den Zugang zu Gesundheitsdaten erteilten Datengenehmigungen um Verwaltungsentscheidungen handeln, in denen die Bedingungen für den Datenzugang festgelegt werden.

(38)

Im Zusammenhang mit dem EHDS sind die elektronischen Gesundheitsdaten bereits vorhanden und werden von Gesundheitsdienstleistern, Berufsverbänden, öffentlichen Einrichtungen, Regulierungsbehörden, Forschungseinrichtungen, Versicherern usw. im Rahmen ihrer Tätigkeiten erhoben. Einige Kategorien von Daten werden in erster Linie für die Erbringung von Gesundheitsdienstleistungen erhoben (z. B. elektronische Patientenakten, genetische Daten, Daten zu Krankenversicherungsleistungen usw.), während andere auch für andere Zwecke wie Forschung, Statistik, Patientensicherheit, Regulierungstätigkeiten oder Politikgestaltung erhoben werden (z. B. Krankheitsregister, Register für die Politikgestaltung, Register über Nebenwirkungen von Arzneimitteln oder Medizinprodukten usw.). So stehen beispielsweise in einigen Bereichen, etwa für Krebserkrankungen (Europäisches Krebsinformationssystem) oder seltene Krankheiten (Europäische Plattform für die Registrierung seltener Krankheiten, ERN-Register usw.) europäische Datenbanken zur Verfügung, die die (Weiter-)Verwendung von Daten erleichtern. Diese Daten sollten auch für die Sekundärnutzung verfügbar gemacht werden. Ein Großteil der vorhandenen gesundheitsbezogenen Daten ist jedoch nicht für andere Zwecke nutzbar als für den ursprünglichen Zweck ihrer Erhebung. Dies schränkt Akteure aus Forschung und Innovation, politische Entscheidungsträger, Regulierungsbehörden und Ärzte in ihren Möglichkeiten ein, diese Daten für andere Zwecke wie Forschung, Innovation, Politikgestaltung, Regulierung, Patientensicherheit oder personalisierte Medizin zu verwenden. Damit die Vorteile der Sekundärnutzung elektronischer Gesundheitsdaten voll ausgeschöpft werden können, sollten alle Dateninhaber daran mitwirken, indem sie verschiedene Kategorien elektronischer Gesundheitsdaten, deren Inhaber sie sind, für die Sekundärnutzung zur Verfügung stellen.

(38)

Im Zusammenhang mit dem EHDS sind die elektronischen Gesundheitsdaten bereits vorhanden und werden von Gesundheitsdienstleistern, Berufsverbänden, öffentlichen Einrichtungen, Regulierungsbehörden, Forschungseinrichtungen, Versicherern usw. im Rahmen ihrer Tätigkeiten erhoben. Einige Kategorien von Daten werden in erster Linie für die Erbringung von Gesundheitsdienstleistungen erhoben (z. B. elektronische Patientenakten, genetische Daten, Daten zu Krankenversicherungsleistungen usw.), während andere auch für andere Zwecke wie Forschung, Statistik, Patientensicherheit, Regulierungstätigkeiten oder Politikgestaltung erhoben werden (z. B. Krankheitsregister, Register für die Politikgestaltung, Register über Nebenwirkungen von Arzneimitteln oder Medizinprodukten usw.). So stehen beispielsweise in einigen Bereichen, etwa für Krebserkrankungen (Europäisches Krebsinformationssystem) oder seltene Krankheiten (Europäische Plattform für die Registrierung seltener Krankheiten, ERN-Register usw.) europäische Datenbanken zur Verfügung, die die (Weiter-)Verwendung von Daten erleichtern. Diese Daten sollten auch für die Sekundärnutzung verfügbar gemacht werden. Ein Großteil der vorhandenen gesundheitsbezogenen Daten ist jedoch nicht für andere Zwecke nutzbar als für den ursprünglichen Zweck ihrer Erhebung. Dies schränkt Akteure aus Forschung und Innovation, politische Entscheidungsträger, Regulierungsbehörden und Ärzte in ihren Möglichkeiten ein, diese Daten für andere Zwecke wie Forschung, Innovation, Politikgestaltung, Regulierung, Patientensicherheit oder personalisierte Medizin zu verwenden. Damit die Vorteile der Sekundärnutzung elektronischer Gesundheitsdaten voll ausgeschöpft werden können, sollten alle Gesundheitsdateninhaber daran mitwirken, indem sie verschiedene Kategorien elektronischer Gesundheitsdaten, deren Inhaber sie sind, für die Sekundärnutzung zur Verfügung stellen , unter der Voraussetzung, dass diese Anstrengungen stets unter Anwendung wirksamer und sicherer Verfahren wie Aggregation und Randomisierung und unter gebührender Beachtung von Berufspflichten, zu denen auch Geheimhaltungspflichten gehören, erfolgen .

(39)

Die Kategorien elektronischer Gesundheitsdaten, die für die Sekundärnutzung verarbeitet werden können, sollten allgemein und flexibel genug sein, um den sich wandelnden Bedürfnissen der Datennutzer gerecht zu werden, aber auf Daten zu Gesundheit oder gesundheitsrelevanten Einflussfaktoren beschränkt bleiben. Dies kann auch einschlägige Daten aus dem Gesundheitssystem (elektronische Patientenakten, Daten zu Krankenversicherungsleistungen, Krankheitsregister, Genomdaten usw.) sowie Daten zu gesundheitsrelevanten Einflussfaktoren einschließen (z. B. Konsum bestimmter Substanzen, Obdachlosigkeit, Krankenversicherung, Mindesteinkommen, beruflicher Status, Verhalten, einschließlich Umweltfaktoren wie Verschmutzung, Strahlung, Umgang mit bestimmten chemischen Stoffen). Auch von Personen selbst erzeugte Daten, z. B. Daten von Medizinprodukten, Wellness-Apps oder anderen tragbaren Geräten und digitalen Gesundheitsanwendungen , können dazugehören. Der Datennutzer , der nach den Bestimmungen der vorliegenden Verordnung Zugang zu Datensätzen erhält, könnte die Daten durch verschiedene Korrekturen, Anmerkungen und andere Verbesserungen anreichern, z. B. durch Ergänzung fehlender oder unvollständiger Daten, wodurch die Genauigkeit, Vollständigkeit oder Qualität der Daten im Datensatz verbessert würde. Um die Verbesserung der ursprünglichen Datenbank und die anschließende Nutzung der angereicherten Datensätze zu unterstützen, sollten die so verbesserten Datensätze dem ursprünglichen Dateninhaber zusammen mit einer Beschreibung der Änderungen kostenlos zur Verfügung gestellt werden. Der Dateninhaber sollte den neuen Datensatz verfügbar machen oder, wenn dies nicht erfolgt, der Stelle für den Zugang zu Gesundheitsdaten eine Begründung dafür mitteilen, z. B. wenn die Anreicherung von geringer Qualität ist. Auch für nicht personenbezogene elektronische Daten sollte die Sekundärnutzung sichergestellt werden. Insbesondere Genomdaten zu Krankheitserregern haben einen erheblichen Wert für die menschliche Gesundheit, wie sich während der COVID-19-Pandemie gezeigt hat. Der zeitnahe Zugang zu solchen Daten und ihr frühzeitiger Austausch haben sich als wesentlich für die rasche Entwicklung von Nachweismethoden, medizinischen Gegenmaßnahmen und Reaktionen auf Bedrohungen der öffentlichen Gesundheit erwiesen. Der größte Nutzen aus der Arbeit an der Genomik von Krankheitserregern wird erzielt, wenn in den Arbeitsbereichen öffentliche Gesundheit und Forschung Datensätze gemeinsam genutzt und Informationen und Verbesserungsvorschläge ausgetauscht werden.

(39)

Die Kategorien elektronischer Gesundheitsdaten, die für die Sekundärnutzung verarbeitet werden können, sollten allgemein und flexibel genug sein, um den sich wandelnden Bedürfnissen der Gesundheitsdatennutzer gerecht zu werden, aber auf Daten zu Gesundheit oder gesundheitsrelevanten Einflussfaktoren beschränkt bleiben. Dies kann auch einschlägige Daten aus dem Gesundheitssystem (elektronische Patientenakten, Daten zu Krankenversicherungsleistungen, Krankheitsregister, Genomdaten usw.) sowie Daten zu gesundheitsrelevanten Einflussfaktoren einschließen (z. B. Konsum bestimmter Substanzen, sozioökonomischer Status, Verhalten, einschließlich Umweltfaktoren wie Verschmutzung, Strahlung, Umgang mit bestimmten chemischen Stoffen). Auch automatisch mithilfe von Medizinprodukten generierte Daten und von Personen selbst erzeugte Daten, z. B. Daten von Wellness-Apps, können dazugehören. Der Gesundheitsdatennutzer , der nach den Bestimmungen der vorliegenden Verordnung Zugang zu Datensätzen erhält, könnte die Daten durch verschiedene Korrekturen, Anmerkungen und andere Verbesserungen anreichern, z. B. durch Ergänzung fehlender oder unvollständiger Daten, wodurch die Genauigkeit, Vollständigkeit oder Qualität der Daten im Datensatz verbessert würde. Gesundheitsdatennutzer sollten dazu ermutigt werden, den Zugangsstellen für Gesundheitsdaten kritische Fehler in Datensätzen zu melden. Um die Verbesserung der ursprünglichen Datenbank und die anschließende Nutzung der angereicherten Datensätze zu unterstützen, sollten die so verbesserten Datensätze dem ursprünglichen Dateninhaber zusammen mit einer Beschreibung der Änderungen kostenlos zur Verfügung gestellt werden. Der Dateninhaber sollte den neuen Datensatz verfügbar machen oder, wenn dies nicht erfolgt, der Stelle für den Zugang zu Gesundheitsdaten eine Begründung dafür mitteilen, z. B. wenn die Anreicherung von geringer Qualität ist. Auch für nicht personenbezogene elektronische Daten sollte die Sekundärnutzung sichergestellt werden. Insbesondere Genomdaten zu Krankheitserregern haben einen erheblichen Wert für die menschliche Gesundheit, wie sich während der COVID-19-Pandemie gezeigt hat. Der zeitnahe Zugang zu solchen Daten und ihr frühzeitiger Austausch haben sich als wesentlich für die rasche Entwicklung von Nachweismethoden, medizinischen Gegenmaßnahmen und Reaktionen auf Bedrohungen der öffentlichen Gesundheit erwiesen. Der größte Nutzen aus der Arbeit an der Genomik von Krankheitserregern wird erzielt, wenn in den Arbeitsbereichen öffentliche Gesundheit und Forschung Datensätze gemeinsam genutzt und Informationen und Verbesserungsvorschläge ausgetauscht werden.

(39a)

Um das Vertrauen innerhalb von Arzt-Patienten-Beziehungen sicherzustellen, sollten bei der Digitalisierung von Gesundheitsdienstleistungen der Grundsatz des Berufsgeheimnisses und das Recht des Patienten auf Vertraulichkeit gewahrt werden. Ein Vertrauensverhältnis zwischen Patienten und Anbietern von Gesundheitsleistungen und anderen Inhabern von personenbezogenen Gesundheitsdaten ist bei der Bereitstellung von Gesundheits- oder Sozialleistungen oder Behandlungen von überragender Bedeutung. In diesem Kontext sollten Patienten oder die rechtmäßigen gesetzlichen Vertreter der Patienten ein Mitspracherecht in Form eines Opt-out-Rechts bezüglich der Verarbeitung aller oder von Teilen ihrer Gesundheitsdaten für die sekundäre Nutzung zu bestimmten oder allen Zwecken haben. Im Hinblick darauf sollte ein leicht verständlicher und zugänglicher Opt-out-Mechanismus in einem benutzerfreundlichen Format vorgesehen werden. Aufgrund des sensiblen Charakters von humangenetischen, genomischen und proteomischen Daten, Daten von Biobanken und der Art der Nutzung von Daten aus Wellness-Anwendungen ist es angemessen vorzuschreiben, dass die sekundäre Nutzung solcher Daten nur nach Zustimmung der betroffenen natürlichen Person gemäß Artikel 4 Absatz 11 der Verordnung (EU) 2016/679 möglich ist. Es sollte ein Opt-in-Mechanismus ins Auge gefasst werden, im Rahmen dessen die betroffenen Personen der Verarbeitung eines Teils oder der Gesamtheit dieser Daten für einige oder alle Zwecke der Sekundärnutzung ausdrücklich zustimmen oder ihre Genehmigung erteilen. Wenn die betroffenen Personen ausdrücklich in die Verwendung von Teilen oder der Gesamtheit dieser Daten für einige oder alle Zwecke der Sekundärnutzung einwilligen, sollten sie auf den sensiblen Charakter der Daten, die sie weitergeben, hingewiesen werden. Darüber hinaus ist es zwingend erforderlich, natürlichen Personen ausreichende Informationen über ihr Opt-out-Recht zu geben, einschließlich über die Möglichkeit, ihre Entscheidung zum Opt-out zu überdenken und der Verarbeitung aller oder eines Teils ihrer Gesundheitsdaten für die sekundäre Nutzung zu einem späteren Zeitpunkt zuzustimmen.

(40)

Bei den Dateninhabern kann es sich um öffentliche, nicht gewinnorientierte oder private Gesundheits- oder Pflegedienstleister, um öffentliche, nicht gewinnorientierte oder private Organisationen, Verbände oder andere Einrichtungen oder um öffentliche und private Forschungseinrichtungen im Gesundheitsbereich handeln, die die oben genannten Kategorien von Gesundheitsdaten und gesundheitsbezogenen Daten verarbeiten. Um eine unverhältnismäßige Belastung für kleine Unternehmen zu vermeiden, werden Kleinstunternehmen von der Verpflichtung ausgenommen, ihre Daten für die Sekundärnutzung im Rahmen des EHDS zur Verfügung zu stellen. Die öffentlichen oder privaten Einrichtungen erhalten häufig Unterstützung aus öffentlichen Mitteln der Mitgliedstaaten oder der Union für die Erhebung und Verarbeitung elektronischer Gesundheitsdaten für Forschung, Statistik (amtlich und nicht amtlich) oder ähnliche Zwecke, auch in Bereichen, in denen die Erhebung solcher Daten fragmentiert oder schwierig ist, wie seltene Krankheiten, Krebs usw. Diese Daten, die von Dateninhabern mit Unterstützung aus öffentlichen Mitteln der Union oder der Mitgliedstaaten erhoben und verarbeitet werden, sollten den Stellen für den Zugang zu Gesundheitsdaten von den Dateninhabern zur Verfügung gestellt werden, um die Wirkung der öffentlichen Investitionen zu maximieren und Forschung, Innovation, Patientensicherheit oder Politikgestaltung zum Nutzen der Gesellschaft zu unterstützen. In einigen Mitgliedstaaten spielen private Einrichtungen, darunter private Gesundheitsdienstleister und Berufsverbände, eine zentrale Rolle im Gesundheitswesen. Die Gesundheitsdaten, deren Inhaber solche Einrichtungen sind, sollten ebenfalls für die Sekundärnutzung zur Verfügung gestellt werden. Gleichzeitig sind Daten, die besonderen rechtlichen Schutz genießen, wie etwa geistiges Eigentum von Medizinprodukte- oder Pharmaunternehmen, häufig durch urheberrechtliche oder gleichwertige Bestimmungen geschützt. Behörden und Regulierungsstellen sollten jedoch Zugang zu solchen Daten haben, beispielsweise im Falle von Pandemien, um fehlerhafte Geräte überprüfen und die menschliche Gesundheit schützen zu können. Bei früheren Vorfällen, aus denen sich schwerwiegende Risiken für die öffentliche Gesundheit ergaben (z. B. der Brustimplantatebetrug des Unternehmens PIP), erwies es sich als sehr schwierig für die Behörden, Zugang zu solchen Daten zu erhalten, um zu ermitteln, welche Ursachen zu den Mängeln bei einigen Produkten geführt hatten und was die Hersteller darüber wussten. Die COVID-19-Pandemie hat verdeutlicht, dass auch für politische Entscheidungsträger Schwierigkeiten beim Zugang zu Gesundheitsdaten und anderen gesundheitsbezogenen Daten bestehen. Diese Daten sollten für öffentliche und regulatorische Tätigkeiten zur Verfügung gestellt werden, um öffentliche Stellen bei der Erfüllung ihres rechtlichen Auftrags zu unterstützen, während, soweit erforderlich und möglich, der Schutz kommerzieller Daten gewahrt wird. Hinsichtlich der Sekundärnutzung von Gesundheitsdaten sollten spezifische Vorschriften festgelegt werden. Den Datenaltruismus betreffende Tätigkeiten können von verschiedenen Stellen im Rahmen der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] und unter Berücksichtigung der Besonderheiten des Gesundheitswesens durchgeführt werden.

(40)

Bei den Gesundheitsdateninhabern kann es sich im Zusammenhang mit der sekundären Nutzung elektronischer Gesundheitsdaten um öffentliche, nicht gewinnorientierte oder private Gesundheits- oder Pflegedienstleister, um öffentliche, nicht gewinnorientierte oder private Organisationen, Verbände oder andere Einrichtungen oder um öffentliche und private Forschungseinrichtungen im Gesundheitsbereich handeln, die die oben genannten Kategorien von Gesundheitsdaten und gesundheitsbezogenen Daten verarbeiten . Soweit sie personenbezogene elektronische Gesundheitsdaten verarbeiten, handelt es sich bei den Gesundheitsdateninhabern um Verantwortliche im Gesundheits- oder Pflegesektor im Sinne der Verordnung (EU) 2016/679 . Um eine unverhältnismäßige Belastung für kleine Unternehmen zu vermeiden, werden Kleinstunternehmen von der Verpflichtung ausgenommen, ihre Daten für die Sekundärnutzung im Rahmen des EHDS zur Verfügung zu stellen . Die Zugangsstellen für Gesundheitsdaten sollten kleine Unternehmen, insbesondere Ärzte und Apotheken, bei der Erfüllung ihrer Verpflichtungen, Daten für die sekundäre Nutzung zur Verfügung zu stellen, spezifisch unterstützen . Die öffentlichen oder privaten Einrichtungen erhalten häufig Unterstützung aus öffentlichen Mitteln der Mitgliedstaaten oder der Union für die Erhebung und Verarbeitung elektronischer Gesundheitsdaten für Forschung, Statistik (amtlich und nicht amtlich) oder ähnliche Zwecke, auch in Bereichen, in denen die Erhebung solcher Daten fragmentiert oder schwierig ist, wie seltene Krankheiten, Krebs usw. Diese Daten, die von Gesundheitsdateninhabern mit Unterstützung aus öffentlichen Mitteln der Union oder der Mitgliedstaaten erhoben und verarbeitet werden, könnten den Stellen für den Zugang zu Gesundheitsdaten von den Gesundheitsdateninhabern zur Verfügung gestellt werden, um die Wirkung der öffentlichen Investitionen zu maximieren und Forschung, Innovation, Patientensicherheit oder Politikgestaltung zum Nutzen der Gesellschaft zu unterstützen. In einigen Mitgliedstaaten spielen private Einrichtungen, darunter private Gesundheitsdienstleister und Berufsverbände, eine zentrale Rolle im Gesundheitswesen. Die Gesundheitsdaten, deren Inhaber solche Einrichtungen sind, sollten ebenfalls für die Sekundärnutzung zur Verfügung gestellt werden. Gleichzeitig sind Daten, die besonderen rechtlichen Schutz genießen, wie etwa geistiges Eigentum von Medizinprodukte- oder Pharmaunternehmen, häufig durch urheberrechtliche oder gleichwertige Bestimmungen geschützt und sollten zur Verfügung gestellt werden, wobei alle erforderlichen Maßnahmen zum Schutz solcher Rechte zu ergreifen sind . Behörden und Regulierungsstellen sollten jedoch Zugang zu solchen Daten haben, beispielsweise im Falle von Pandemien, um fehlerhafte Geräte überprüfen und die menschliche Gesundheit schützen zu können. Bei früheren Vorfällen, aus denen sich schwerwiegende Risiken für die öffentliche Gesundheit ergaben (z. B. der Brustimplantatebetrug des Unternehmens PIP), erwies es sich als sehr schwierig für die Behörden, Zugang zu solchen Daten zu erhalten, um zu ermitteln, welche Ursachen zu den Mängeln bei einigen Produkten geführt hatten und was die Hersteller darüber wussten. Die COVID-19-Pandemie hat verdeutlicht, dass auch für politische Entscheidungsträger Schwierigkeiten beim Zugang zu Gesundheitsdaten und anderen gesundheitsbezogenen Daten bestehen. Diese Daten sollten für öffentliche und regulatorische Tätigkeiten zur Verfügung gestellt werden, um öffentliche Stellen bei der Erfüllung ihres rechtlichen Auftrags zu unterstützen, während, soweit erforderlich und möglich, der Schutz kommerzieller Daten gewahrt wird. Hinsichtlich der Sekundärnutzung von Gesundheitsdaten sollten spezifische Vorschriften festgelegt werden. Den Datenaltruismus betreffende Tätigkeiten können von verschiedenen Stellen im Rahmen der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] und unter Berücksichtigung der Besonderheiten des Gesundheitswesens durchgeführt werden.

(40a)

Unterschiedliche Bevölkerungsgruppen verfügen über ein unterschiedliches Maß an digitaler Kompetenz, wodurch die Fähigkeit natürlicher Personen, ihr Recht auf Kontrolle ihrer elektronischen Gesundheitsdaten auszuüben, beeinträchtigt werden kann. Zusätzlich zu dem Recht natürlicher Personen, eine andere natürliche Person ihrer Wahl zu bevollmächtigen, in ihrem Namen auf ihre elektronischen Gesundheitsdaten zuzugreifen oder die Kontrolle über diese auszuüben, sollten die Mitgliedstaaten gezielte nationale Programme zur Förderung der digitalen Kompetenz erstellen, um unter anderem die soziale Inklusion zu maximieren und sicherzustellen, dass alle natürlichen Personen ihre Rechte gemäß dieser Verordnung wirksam ausüben können. Die Mitgliedstaaten sollten natürlichen Personen auch patientenorientierte Leitlinien im Hinblick auf die Verwendung elektronischer Patientenakten und die Primärnutzung ihrer personenbezogenen elektronischen Gesundheitsdaten zur Verfügung stellen. Die Leitlinien sollten auf das Niveau der Patienten in Bezug auf die digitale Gesundheitskompetenz abgestimmt sein, wobei den Bedürfnissen schutzbedürftiger Gruppen besondere Aufmerksamkeit gewidmet werden sollte.

(40b)

Klinische Prüfungen und Studien sind von größter Bedeutung für die Förderung von Innovationen in der Union zum Nutzen der Patienten in der Union. Um Anreize für eine kontinuierliche Führungsrolle der Union in diesem Bereich zu schaffen, sollte die gemeinsame Nutzung von Daten aus klinischen Prüfungen durch den EHDS für sekundäre Zwecke mit den im Unionsrecht (einschließlich der Verordnung (EU) .../...) festgelegten einschlägigen Transparenzvorschriften übereinstimmen. [Vorschlag für eine Verordnung über Blut, Gewebe, Zellen und Organe (SoHO) COM(2022)338 final], Verordnungen (EG) Nr. 726/2004  (1a) und (EU) 2019/6  (1b) des Europäischen Parlaments und des Rates und Richtlinie 2001/83/EG des Europäischen Parlaments und des Rates  (1c) über Human- und Tierarzneimittel und zur Einrichtung der EMA, Verordnung (EG) Nr. 141/2000 des Europäischen Parlaments und des Rates  (1d) über Arzneimittel für seltene Leiden, Verordnung (EG) Nr. 1901/2006 des Europäischen Parlaments und des Rates  (1e) über Arzneimittel für Kinder, Verordnung (EG) Nr. 1394/2007 des Europäischen Parlaments und des Rates  (1f) über Arzneimittel für neuartige Therapien, Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates  (1g) über klinische Prüfungen, Verordnung (EU) Nr. 2017/745 und Verordnung (EU) Nr. 2017/746.

(41)

Die Sekundärnutzung von Gesundheitsdaten im Rahmen des EHDS sollte es öffentlichen, privaten, nicht gewinnorientierten Einrichtungen sowie einzelnen Forschern ermöglichen, für die in der vorliegenden Verordnung festgelegten Zwecke Zugang zu Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Bildung, Patientensicherheit, Regulierungstätigkeiten oder personalisierte Medizin zu erhalten. Der Zugang zu Daten für die Sekundärnutzung sollte dem allgemeinen Interesse der Gesellschaft dienen. Zu den Tätigkeiten, für die der Zugang im Rahmen dieser Verordnung rechtmäßig ist, kann die Nutzung elektronischer Gesundheitsdaten durch öffentliche Stellen für die Wahrnehmung ihrer Aufgaben gehören, darunter öffentliche Aufgaben wie Gesundheitsüberwachung, Planung und Berichterstattung, Gestaltung der Gesundheitspolitik sowie Sicherstellung der Patientensicherheit, der Qualität der Versorgung und der Nachhaltigkeit der Gesundheitssysteme. Für öffentliche Einrichtungen und Organe, Einrichtungen und sonstige Stellen der Union kann der regelmäßige Zugang zu elektronischen Gesundheitsdaten über einen längeren Zeitraum erforderlich sein, auch zur Erfüllung ihres Mandats nach Maßgabe dieser Verordnung. Öffentliche Stellen können solche Forschungstätigkeiten unter Einbeziehung von Dritten, einschließlich Unterauftragnehmern, durchführen, solange die öffentliche Stelle jederzeit die Aufsicht über diese Tätigkeiten ausübt. Mit der Bereitstellung der Daten sollten auch Tätigkeiten unterstützt werden, die mit wissenschaftlicher Forschung (einschließlich privater Forschung), Entwicklung und Innovation oder der Herstellung von Waren und Dienstleistungen für den Gesundheits- oder Pflegesektor zusammenhängen, wie Innovationstätigkeiten oder das Trainieren von KI-Algorithmen , die die Gesundheit natürlicher Personen schützen oder Pflegetätigkeiten unterstützen könnten. In einigen Fällen könnten die Informationen zu bestimmten natürlicher Personen (z. B. Genomdaten natürlicher Personen mit einer bestimmten Krankheit) die Diagnose oder Behandlung anderer natürlicher Personen unterstützen. Für öffentliche Stellen ist es erforderlich, über den für Notlagen ausgelegten Geltungsbereich von Kapitel V der Verordnung […] [Datengesetz (COM(2022) 68 final)] hinauszugehen. Die öffentlichen Stellen können jedoch die Stellen für den Zugang zu Gesundheitsdaten um Unterstützung bei der Verarbeitung oder Verlinkung von Daten ersuchen. Die vorliegende Verordnung sieht zwar einen Kanal vor, über den öffentliche Stellen Zugang zu Informationen erhalten können, die sie zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben benötigen, erweitert jedoch nicht das Mandat dieser öffentlichen Stellen. Jedes Bestreben, die Daten für Maßnahmen zum Nachteil der betroffenen natürlichen Person zu verwenden, Versicherungsbeiträge zu erhöhen, Produkte oder Behandlungen zu bewerben oder schädliche Produkte zu entwickeln, sollte verboten werden.

(41)

Die Sekundärnutzung von Gesundheitsdaten im Rahmen des EHDS sollte es öffentlichen, privaten, nicht gewinnorientierten Einrichtungen sowie einzelnen Forschern mit einer nachgewiesenen Verbindung zum Bereich der öffentlichen Gesundheit ermöglichen, für die in der vorliegenden Verordnung festgelegten Zwecke Zugang zu Gesundheitsdaten für Forschung, Innovation, Politikgestaltung, Bildung, Patientensicherheit, Regulierungstätigkeiten oder personalisierte Medizin zu erhalten. Der Zugang zu Daten für die Sekundärnutzung sollte dem allgemeinen Interesse der Gesellschaft dienen . Insbesondere mit der Sekundärnutzung von Gesundheitsdaten für Forschungs- und Entwicklungszwecke sollte dazu beigetragen werden, dass der Gesellschaft neue Arzneimittel, Medizinprodukte, Gesundheitsprodukte und -dienstleistungen zu erschwinglichen und fairen Preisen für die Bürgerinnen und Bürger der Union zur Verfügung stehen und dass der Zugang und die Verfügbarkeit dieser Produkte und Dienstleistungen in allen Mitgliedstaaten verbessert werden . Zu den Tätigkeiten, für die der Zugang im Rahmen dieser Verordnung rechtmäßig ist, kann die Nutzung elektronischer Gesundheitsdaten durch öffentliche Stellen für die Wahrnehmung ihrer Aufgaben gehören, darunter öffentliche Aufgaben wie Gesundheitsüberwachung, Planung und Berichterstattung, Gestaltung der Gesundheitspolitik sowie Sicherstellung der Patientensicherheit, der Qualität der Versorgung und der Nachhaltigkeit der Gesundheitssysteme. Für öffentliche Einrichtungen und Organe, Einrichtungen und sonstige Stellen der Union kann der regelmäßige Zugang zu elektronischen Gesundheitsdaten über einen längeren Zeitraum erforderlich sein, auch zur Erfüllung ihres Mandats nach Maßgabe dieser Verordnung. Öffentliche Stellen können solche Forschungstätigkeiten unter Einbeziehung von Dritten, einschließlich Unterauftragnehmern, durchführen, solange die öffentliche Stelle jederzeit die Aufsicht über diese Tätigkeiten ausübt. Mit der Bereitstellung der Daten sollten auch Tätigkeiten unterstützt werden, die mit wissenschaftlicher Forschung zusammenhängen (einschließlich privater Forschung, Entwicklung und Innovation oder Herstellung von Waren und Dienstleistungen für den Gesundheits- oder Pflegesektor, wie Innovationstätigkeiten oder das Trainieren von Algorithmen für künstliche Intelligenz , die die Gesundheit natürlicher Personen schützen oder Pflegetätigkeiten unterstützen könnten). In einigen Fällen könnten die Informationen zu bestimmten natürlicher Personen (z. B. Genomdaten natürlicher Personen mit einer bestimmten Krankheit) die Diagnose oder Behandlung anderer natürlicher Personen unterstützen. Für öffentliche Stellen ist es erforderlich, über den für Notlagen ausgelegten Geltungsbereich von Kapitel V der Verordnung […] [Datengesetz (COM(2022) 68 final)] hinauszugehen. Die öffentlichen Stellen können jedoch die Stellen für den Zugang zu Gesundheitsdaten um Unterstützung bei der Verarbeitung oder Verlinkung von Daten ersuchen. Die vorliegende Verordnung sieht zwar einen Kanal vor, über den öffentliche Stellen Zugang zu Informationen erhalten können, die sie zur Erfüllung der ihnen gesetzlich übertragenen Aufgaben benötigen, erweitert jedoch nicht das Mandat dieser öffentlichen Stellen. Jedes Bestreben, die Daten für Maßnahmen zum Nachteil der betroffenen natürlichen Person zu verwenden, Versicherungsbeiträge zu erhöhen, Produkte oder Behandlungen zu bewerben , Entscheidungen im Einzelfall zu automatisieren, die Identität natürlicher Personen zu rekonstruieren oder schädliche Produkte zu entwickeln, sollte verboten werden.

(42)

Die Einrichtung einer oder mehrerer Stellen für den Zugang zu Gesundheitsdaten, die den Zugang zu elektronischen Gesundheitsdaten in den Mitgliedstaaten unterstützen, ist ein wesentliches Element zur Förderung der Sekundärnutzung gesundheitsbezogener Daten. Die Mitgliedstaaten sollten daher eine oder mehrere Stellen für den Zugang zu Gesundheitsdaten einrichten, um beispielsweise ihrer verfassungsrechtlichen, organisatorischen und administrativen Struktur Rechnung zu tragen. Bei mehr als einer Stelle für den Zugang zu Gesundheitsdaten sollte jedoch eine von ihnen als Koordinierungsstelle benannt werden. Richtet ein Mitgliedstaat mehrere Stellen für den Zugang zu Gesundheitsdaten ein, so sollte er auf nationaler Ebene Vorschriften festlegen, die die koordinierte Beteiligung dieser Stellen am EHDS-Ausschuss sicherstellen. Insbesondere sollte der betreffende Mitgliedstaat eine Stelle für den Zugang zu Gesundheitsdaten bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Stellen fungiert, und für eine rasche und reibungslose Zusammenarbeit mit den anderen Stellen für den Zugang zu Gesundheitsdaten, dem EHDS-Ausschuss und der Kommission sorgen. Die Stellen für den Zugang zu Gesundheitsdaten können sich hinsichtlich Organisation und Größe unterscheiden (von einer speziell für den Zweck eingerichteten eigenständigen Organisation bis zu einem Referat oder einer Abteilung in einer bestehenden Organisation), sollten aber dieselben Funktionen, Zuständigkeiten und Fähigkeiten haben. Stellen für den Zugang zu Gesundheitsdaten sollten ihre Entscheidungen über den Zugang zu elektronischen Daten für die Sekundärnutzung unbeeinflusst treffen. Die Unabhängigkeit von Stellen für den Zugang zu Gesundheitsdaten sollte jedoch nicht bedeuten, dass sie keinen Kontroll- oder Überwachungsmechanismen in Bezug auf ihre finanziellen Ausgaben unterliegen oder einer gerichtlichen Überprüfung unterzogen werden können. Jede Stelle für den Zugang zu Gesundheitsdaten sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur so ausgestattet werden, wie es für die wirksame Wahrnehmung ihrer Aufgaben, einschließlich der Zusammenarbeit mit anderen Stellen für den Zugang zu Gesundheitsdaten in der Union, erforderlich ist. Jede Stelle für den Zugang zu Gesundheitsdaten sollte über einen eigenen, öffentlichen Jahreshaushalt verfügen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein kann. Für einen besseren Zugang zu Gesundheitsdaten und ergänzend zu Artikel 7 Absatz 3 der Verordnung […] des Europäischen Parlaments und des Rates [Daten-Governance-Gesetz (COM(2020) 767 final)] sollten die Mitgliedstaaten den Stellen für den Zugang zu Gesundheitsdaten die Befugnis übertragen, Entscheidungen über den Zugang zu Gesundheitsdaten und deren Sekundärnutzung zu treffen. Dies könnte dadurch geschehen, dass den von den Mitgliedstaaten nach Artikel 7 Absatz 1 der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] benannten zuständigen Stellen neue Aufgaben zugewiesen werden oder dass bestehende oder neue sektorale Stellen bestimmt werden, die für die genannten Aufgaben im Zusammenhang mit dem Zugang zu Gesundheitsdaten zuständig sind.

(42)

Die Einrichtung einer oder mehrerer Stellen für den Zugang zu Gesundheitsdaten, die den Zugang zu elektronischen Gesundheitsdaten in den Mitgliedstaaten unterstützen, ist ein wesentliches Element zur Förderung der Sekundärnutzung gesundheitsbezogener Daten. Die Mitgliedstaaten sollten daher eine oder mehrere Stellen für den Zugang zu Gesundheitsdaten einrichten, um beispielsweise ihrer verfassungsrechtlichen, organisatorischen und administrativen Struktur Rechnung zu tragen. Bei mehr als einer Stelle für den Zugang zu Gesundheitsdaten sollte jedoch eine von ihnen als Koordinierungsstelle benannt werden. Richtet ein Mitgliedstaat mehrere Stellen für den Zugang zu Gesundheitsdaten ein, so sollte er auf nationaler Ebene Vorschriften festlegen, die die koordinierte Beteiligung dieser Stellen am EHDS-Ausschuss sicherstellen. Insbesondere sollte der betreffende Mitgliedstaat eine Stelle für den Zugang zu Gesundheitsdaten bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Stellen fungiert, und für eine rasche und reibungslose Zusammenarbeit mit den anderen Stellen für den Zugang zu Gesundheitsdaten, dem EHDS-Ausschuss und der Kommission sorgen. Die Stellen für den Zugang zu Gesundheitsdaten können sich hinsichtlich Organisation und Größe unterscheiden (von einer speziell für den Zweck eingerichteten eigenständigen Organisation bis zu einem Referat oder einer Abteilung in einer bestehenden Organisation), sollten aber dieselben Funktionen, Zuständigkeiten und Fähigkeiten haben. Stellen für den Zugang zu Gesundheitsdaten sollten ihre Entscheidungen über den Zugang zu elektronischen Daten für die Sekundärnutzung unbeeinflusst treffen. Mitglieder der Leitungs- und Entscheidungsstellen und das Personal jeder Stelle für den Zugang zu Gesundheitsdaten sollten daher von jeder nicht mit ihren Aufgaben vereinbaren Handlung absehen und keine nicht vereinbare Tätigkeit ausüben. Die Unabhängigkeit von Stellen für den Zugang zu Gesundheitsdaten sollte jedoch nicht bedeuten, dass sie keinen Kontroll- oder Überwachungsmechanismen in Bezug auf ihre finanziellen Ausgaben unterliegen oder einer gerichtlichen Überprüfung unterzogen werden können. Jede Stelle für den Zugang zu Gesundheitsdaten sollte mit Finanzmitteln, technischen Ressourcen, Personal, Ethikgremien, Räumlichkeiten und einer Infrastruktur so ausgestattet werden, wie es für die wirksame Wahrnehmung ihrer Aufgaben, einschließlich der Zusammenarbeit mit anderen Stellen für den Zugang zu Gesundheitsdaten in der Union, erforderlich ist , und über separate Strukturen für die Verarbeitung von Anträgen auf der einen Seite und für die Anonymisierung, Pseudonymisierung und Rekonstruktion der Identität auf der anderen Seite verfügen . Jede Stelle für den Zugang zu Gesundheitsdaten sollte über einen eigenen, öffentlichen Jahreshaushalt verfügen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein kann. Für einen besseren Zugang zu Gesundheitsdaten und ergänzend zu Artikel 7 Absatz 3 der Verordnung […] des Europäischen Parlaments und des Rates [Daten-Governance-Gesetz (COM(2020) 767 final)] sollten die Mitgliedstaaten den Stellen für den Zugang zu Gesundheitsdaten die Befugnis übertragen, Entscheidungen über den Zugang zu Gesundheitsdaten und deren Sekundärnutzung zu treffen. Dies könnte dadurch geschehen, dass den von den Mitgliedstaaten nach Artikel 7 Absatz 1 der Verordnung […] [Daten-Governance-Gesetz (COM(2020) 767 final)] benannten zuständigen Stellen neue Aufgaben zugewiesen werden oder dass bestehende oder neue sektorale Stellen bestimmt werden, die für die genannten Aufgaben im Zusammenhang mit dem Zugang zu Gesundheitsdaten zuständig sind. Angesichts der zentralen Bedeutung der Stellen für den Zugang zu Gesundheitsdaten im Zusammenhang mit der Sekundärnutzung elektronischer Gesundheitsdaten und insbesondere im Hinblick auf die Entscheidung über die Erteilung oder Verweigerung einer Genehmigung für Gesundheitsdaten sowie die Aufbereitung der Daten, um sie den Nutzern von Gesundheitsdaten zur Verfügung zu stellen, sollten die Mitglieder und Mitarbeiter dieser Stellen über die erforderlichen Qualifikationen, Erfahrungen und Fähigkeiten verfügen, einschließlich des rechtlichen und technischen Fachwissens in Bezug auf den Schutz personenbezogener Daten, insbesondere von Gesundheitsdaten, und des Fachwissens in den Bereichen Ethik, Gesundheitsversorgung, wissenschaftliche Forschung, Cybersicherheit, Schutz des geistigen Eigentums und von Geschäftsgeheimnissen, künstliche Intelligenz und anderen einschlägigen Bereichen. Außerdem sollten bei der Entscheidung über die Erteilung oder Verweigerung der Genehmigung für Gesundheitsdaten ethische Erwägungen berücksichtigt werden. Die Mitarbeiter von Stellen für den Zugang zu Gesundheitsdaten sollten sich in keinem Interessenkonflikt befinden, durch den ihre Unabhängigkeit und ihr unparteiisches Verhalten beeinträchtigt wird.

(43)

Die Stellen für den Zugang zu Gesundheitsdaten sollten die Anwendung von Kapitel IV der vorliegenden Verordnung überwachen und zu seiner einheitlichen Anwendung in der gesamten Union beitragen. Zu diesem Zweck sollten die Stellen für den Zugang zu Gesundheitsdaten untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit getroffen werden muss. Die Stellen für den Zugang zu Gesundheitsdaten sollten auch mit Interessengruppen, einschließlich Patientenorganisationen, zusammenarbeiten. Da die Sekundärnutzung von Gesundheitsdaten die Verarbeitung personenbezogener Gesundheitsdaten einschließt, finden die einschlägigen Bestimmungen der Verordnung (EU) 2016/679 Anwendung, und die Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 sollten mit der Durchsetzung dieser Vorschriften beauftragt werden . Darüber hinaus sollten die Stellen für den Zugang zu Gesundheitsdaten – da Gesundheitsdaten sensible Daten darstellen und im Sinne einer Mitwirkungspflicht – die Datenschutzbehörden über alle Probleme im Zusammenhang mit der Datenverarbeitung für die Sekundärnutzung, einschließlich Sanktionen , informieren. Zusätzlich zu den Aufgaben, die zur Sicherstellung einer wirksamen Sekundärnutzung von Gesundheitsdaten erforderlich sind, sollte die Stelle für den Zugang zu Gesundheitsdaten darauf hinarbeiten, die Verfügbarkeit zusätzlicher Gesundheitsdatensätze auszuweiten , die Entwicklung von KI im Gesundheitswesen zu unterstützen und die Entwicklung gemeinsamer Standards zu fördern. Sie sollten erprobte Techniken nutzen, die sicherstellen, dass die elektronischen Gesundheitsdaten in einer Weise verarbeitet werden, bei der die Privatsphäre in Bezug auf die Informationen in den Daten, deren Sekundärnutzung erlaubt wird, gewahrt bleibt; dazu gehören auch Techniken zur Pseudonymisierung, Anonymisierung, Generalisierung, Unterdrückung und Randomisierung personenbezogener Daten; Die Stellen für den Zugang zu Gesundheitsdaten können Datensätze so bearbeiten, dass sie die Anforderungen der Datennutzer entsprechend der erteilten Datengenehmigung erfüllen. Dazu gehören auch Vorschriften für die Anonymisierung von Mikrodatensätzen.

(43)

Die Stellen für den Zugang zu Gesundheitsdaten sollten die Anwendung von Kapitel IV der vorliegenden Verordnung überwachen und zu seiner einheitlichen Anwendung in der gesamten Union beitragen. Zu diesem Zweck sollten die Stellen für den Zugang zu Gesundheitsdaten untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit getroffen werden muss. Die Stellen für den Zugang zu Gesundheitsdaten sollten auch mit Interessengruppen, einschließlich Patientenorganisationen, zusammenarbeiten. Das Auswahlverfahren für die Interessenträger des Gesundheitswesens sollte transparent, öffentlich und frei von jeglichen Interessenkonflikten sein. Da die Sekundärnutzung von Gesundheitsdaten die Verarbeitung personenbezogener Gesundheitsdaten einschließt, finden die einschlägigen Bestimmungen der Verordnung (EU) 2016/679 Anwendung, und die Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 sollten weiterhin die einzigen für die Durchsetzung dieser Vorschriften zuständigen Behörden sein . Darüber hinaus sollten die Stellen für den Zugang zu Gesundheitsdaten – da Gesundheitsdaten sensible Daten darstellen und im Sinne einer Mitwirkungspflicht – die Datenschutzbehörden über alle Probleme im Zusammenhang mit der Datenverarbeitung für die Sekundärnutzung, einschließlich Geldbußen und Durchsetzungsmaßnahmen , informieren. Zusätzlich zu den Aufgaben, die zur Sicherstellung einer wirksamen Sekundärnutzung von Gesundheitsdaten erforderlich sind, sollte die Stelle für den Zugang zu Gesundheitsdaten darauf hinarbeiten, die Verfügbarkeit zusätzlicher Gesundheitsdatensätze auszuweiten und die Entwicklung gemeinsamer Standards zu fördern. Sie sollten erprobte modernste Techniken nutzen, die sicherstellen, dass die elektronischen Gesundheitsdaten in einer Weise verarbeitet werden, bei der die Privatsphäre in Bezug auf die Informationen in den Daten, deren Sekundärnutzung erlaubt wird, gewahrt bleibt; dazu gehören auch Techniken zur Pseudonymisierung, Anonymisierung, Generalisierung, Unterdrückung und Randomisierung personenbezogener Daten . In diesem Zusammenhang sollten die Zugangsstellen für Gesundheitsdaten grenzüberschreitend zusammenarbeiten und sich auf gemeinsame Definitionen und Techniken einigen. Die Stellen für den Zugang zu Gesundheitsdaten können Datensätze so bearbeiten, dass sie die Anforderungen der Datennutzer entsprechend der erteilten Datengenehmigung erfüllen. Dazu gehören auch Vorschriften für die Anonymisierung von Mikrodatensätzen.

(44)

Angesichts des Verwaltungsaufwands, der den Stellen für den Zugang zu Gesundheitsdaten mit der Unterrichtung der natürlichen Personen, deren Daten in Datenprojekten in einer sicheren Verarbeitungsumgebung verwendet werden, entstehen würde, sollten die in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 vorgesehenen Ausnahmen gelten . Demzufolge sollten die für den Zugang zu Gesundheitsdaten zuständigen Stellen allgemeine Informationen über die Bedingungen für die Sekundärnutzung ihrer Gesundheitsdaten bereitstellen, einschließlich der in Artikel 14 Absatz 1 aufgeführten Informationen, und, falls dies zur Sicherstellung einer fairen und transparenten Verarbeitung erforderlich ist, der Informationen nach Artikel 14 Absatz 2 der Verordnung (EU) 2016/679, z. B. Informationen über den Zweck und die verarbeiteten Datenkategorien. Ausnahmen von dieser Vorschrift sollten gelten, wenn die Forschungsergebnisse die Behandlung der betreffenden natürlichen Person unterstützen könnten. In diesem Fall sollte der Datennutzer die Stelle für den Zugang zu Gesundheitsdaten informieren, die ihrerseits die betroffene Person oder die zuständigen Angehörigen der Gesundheitsberufe informieren sollte. Natürliche Personen sollten über die Website der Stelle für den Zugang zu Gesundheitsdaten auf die Ergebnisse verschiedener Forschungsprojekte zugreifen können, idealerweise in einer leicht durchsuchbaren Umgebung. Die Liste der Datengenehmigungen sollte ebenfalls veröffentlicht werden. Im Sinne der Transparenz ihrer Arbeit sollte jede Stelle für den Zugang zu Gesundheitsdaten einen jährlichen Tätigkeitsbericht veröffentlichen, der einen Überblick über ihre Tätigkeiten enthält.

(44)

Die Stellen für den Zugang zu Gesundheitsdaten sollten den Verpflichtungen nach Artikel 14 der Verordnung (EU) 2016/679 nachkommen und die natürlichen Personen, deren Daten in Datenprojekten in einer sicheren Verarbeitungsumgebung verwendet werden, informieren. Die in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 vorgesehenen Ausnahmen könnten angewendet werden . Wenn diese Ausnahmen angewendet werden, sollten die für den Zugang zu Gesundheitsdaten zuständigen Stellen allgemeine Informationen über die Bedingungen für die Sekundärnutzung ihrer Gesundheitsdaten bereitstellen, einschließlich der in Artikel 14 Absatz 1 aufgeführten Informationen, und, falls dies zur Sicherstellung einer fairen und transparenten Verarbeitung erforderlich ist, der Informationen nach Artikel 14 Absatz 2 der Verordnung (EU) 2016/679, z. B. Informationen über den Zweck und die verarbeiteten Datenkategorien , damit natürliche Personen erkennen können, ob ihre Daten gemäß Datengenehmigungen für eine Sekundärnutzung bereitgestellt werden . Ausnahmen von dieser Vorschrift sollten gelten, wenn die Forschungsergebnisse die Behandlung der betreffenden natürlichen Person unterstützen könnten. In diesem Fall sollte der Nutzer von Gesundheitsdaten die Stelle für den Zugang zu Gesundheitsdaten informieren, die ihrerseits die Angehörigen der Gesundheitsberufe , die die betreffende natürliche Person behandeln, oder, wenn die behandelnden Angehörigen der Gesundheitsberufe nicht ermittelt werden können, die natürliche Person unter gebührender Berücksichtigung ihres erklärten Wunsches, nicht informiert zu werden, und unter voller Wahrung der Grundsätze der ärztlichen Schweigepflicht und des Berufsgeheimnisses informieren sollte. Natürliche Personen sollten über die Website der Stelle für den Zugang zu Gesundheitsdaten auf die Ergebnisse verschiedener Forschungsprojekte zugreifen können, idealerweise in einer leicht durchsuchbaren Umgebung. Die Liste der Datengenehmigungen sollte ebenfalls veröffentlicht werden. Im Sinne der Transparenz ihrer Arbeit sollte jede Stelle für den Zugang zu Gesundheitsdaten einen jährlichen Tätigkeitsbericht veröffentlichen, der einen Überblick über ihre Tätigkeiten enthält.

(46)

Um die Sekundärnutzung elektronischer Gesundheitsdaten zu unterstützen, sollten die Dateninhaber davon absehen, die Daten zurückzuhalten, ungerechtfertigte Gebühren zu verlangen, die nicht transparent sind oder in keinem angemessenen Verhältnis zu den Kosten für die Bereitstellung von Daten (und gegebenenfalls zu den Grenzkosten für die Datenerhebung) stehen, von den Datennutzern zu verlangen, sie als Mitherausgeber ihrer Forschungsarbeiten zu nennen, oder andere Praktiken anzuwenden, die Datennutzer von Datenanfragen abhalten könnten. Ist für die Erteilung einer Datengenehmigung eine Ethikprüfung erforderlich, so sollte diese Prüfung einzelfallbezogen erfolgen. Andererseits verfügen die Organe, Einrichtungen und sonstigen Stellen der Union , einschließlich der EMA, des ECDC und der Kommission, über sehr wichtige und aufschlussreiche Daten. Der Zugang zu den Daten dieser Organe, Einrichtungen und sonstigen Stellen sollte über die für den Zugang zu Gesundheitsdaten verantwortliche Stelle, der der Verantwortliche angehört, gewährt werden.

(46)

Um die Sekundärnutzung elektronischer Gesundheitsdaten zu unterstützen, sollten die Dateninhaber davon absehen, die Daten zurückzuhalten, ungerechtfertigte Gebühren zu verlangen, die nicht transparent sind oder in keinem angemessenen Verhältnis zu den Kosten für die Bereitstellung von Daten (und gegebenenfalls zu den Grenzkosten für die Datenerhebung) stehen, von den Datennutzern zu verlangen, sie als Mitherausgeber ihrer Forschungsarbeiten zu nennen, oder andere Praktiken anzuwenden, die Datennutzer von Datenanfragen abhalten könnten. Ist für die Erteilung einer Datengenehmigung eine Ethikprüfung erforderlich, so sollte diese Prüfung einzelfallbezogen erfolgen. Andererseits verfügen öffentliche Stellen und die Organe, Einrichtungen und sonstigen Stellen der Union mit einem gesetzlichen Mandat im Bereich der öffentlichen Gesundheit über sehr wichtige und aufschlussreiche Daten. Der Zugang zu den Daten dieser Organe, Einrichtungen und sonstigen Stellen sollte über die für den Zugang zu Gesundheitsdaten verantwortliche Stelle, der der Verantwortliche angehört, gewährt werden.

(47)

Stellen für den Zugang zu Gesundheitsdaten und einzelne Dateninhaber sollten für ihre Arbeit Gebühren auf der Grundlage der Verordnung […] [Daten-Governance- Gesetz (COM(2020)  767 final )] erheben dürfen. Bei der Höhe dieser Gebühren kann der Situation und den Interessen von KMU, einzelnen Forschern oder öffentlichen Einrichtungen Rechnung getragen werden. Die Dateninhaber sollten auch Gebühren für die Bereitstellung von Daten erheben dürfen. Diese Gebühren sollten sich an den Kosten für die Erbringung dieser Dienstleistungen orientieren. Private Dateninhaber können auch Gebühren für die Erfassung von Daten erheben. Um ein harmonisiertes Konzept für die Gebührenpolitik und -struktur sicherzustellen, kann die Kommission Durchführungsrechtsakte erlassen. Für die nach der vorliegenden Verordnung erhobenen Gebühren sollten die Bestimmungen des Artikels 10 der Verordnung [Datengesetz (COM(2022) 68 final)] gelten.

(47)

Stellen für den Zugang zu Gesundheitsdaten sollten für ihre Arbeit Gebühren auf der Grundlage der geltenden Bestimmungen im Rahmen dieser Verordnung und der Bestimmungen der Verordnungen (EU) .../... [...] [Daten-Governance- Verordnung (COM(2020) 0767 )] und (EU) .../... [...] [Datenverordnung COM(2022)0068] erheben dürfen. Bei der Höhe dieser Gebühren kann der Situation und den Interessen von KMU, einzelnen Forschern oder öffentlichen Einrichtungen Rechnung getragen werden. Die Inhaber von Gesundheitsdaten sollten auch Gebühren für die Bereitstellung von Daten erheben dürfen. Diese Gebühren sollten sich an den Kosten für die Erbringung dieser Dienstleistungen orientieren. Private Inhaber von Gesundheitsdaten können auch Gebühren für die Erfassung von Daten erheben. Um ein harmonisiertes Konzept für die Gebührenpolitik und -struktur sicherzustellen, sollte die Kommission Durchführungsrechtsakte erlassen. Für die nach der vorliegenden Verordnung erhobenen Gebühren sollten die Bestimmungen des Artikels 10 der Verordnung [Datengesetz (COM(2022) 68 final)] gelten. Von öffentlichen Stellen und Organen, Einrichtungen und sonstigen Stellen der Union mit einem gesetzlichen Mandat im Bereich der öffentlichen Gesundheit sollten keine Gebühren erhoben werden.

(48)

Um die Durchsetzung der Vorschriften über die Sekundärnutzung elektronischer Gesundheitsdaten zu verbessern, sollten geeignete Maßnahmen getroffen werden, die für den Fall, dass Datennutzer oder -inhaber ihren Verpflichtungen nicht nachkommen, Sanktionen oder den vorübergehenden oder endgültigen Ausschluss dieser Datennutzer oder -inhaber aus dem EHDS-Rahmen nach sich ziehen können. Die Stelle für den Zugang zu Gesundheitsdaten sollte befugt sein, die Einhaltung der Vorschriften zu überprüfen, und den Datennutzern und -inhabern die Möglichkeit einräumen, auf etwaige Feststellungen zu antworten und Verstöße abzustellen. Für die Verhängung von Sanktionen sollte es angemessene Verfahrensgarantien geben, die mit den allgemeinen Grundsätzen des Rechts des betreffenden Mitgliedstaats, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, im Einklang stehen .

(48)

Um die Durchsetzung der Vorschriften über die Sekundärnutzung elektronischer Gesundheitsdaten zu verbessern, sollten geeignete Maßnahmen vorgesehen werden, die für den Fall, dass Nutzer oder Inhaber von Gesundheitsdaten ihren Verpflichtungen nicht nachkommen, Geldbußen oder Durchsetzungsmaßnahmen von den Stellen für den Zugang zu Gesundheitsdaten oder den vorübergehenden oder endgültigen Ausschluss dieser Nutzer oder Inhaber von Gesundheitsdaten aus dem EHDS-Rahmen nach sich ziehen können. Die Stelle für den Zugang zu Gesundheitsdaten sollte befugt sein, die Einhaltung der Vorschriften zu überprüfen, und den Nutzern und Inhabern von Gesundheitsdaten die Möglichkeit einräumen, auf etwaige Feststellungen zu antworten und Verstöße abzustellen. Bei der Entscheidung über die Höhe der Geldbußen oder das Ausmaß der Durchsetzungsmaßnahmen in jedem Einzelfall sollten die Stellen für den Zugang zu Gesundheitsdaten die in dieser Verordnung festgelegten Kostenspielräume und Kriterien berücksichtigen .

(49)

Angesichts der Sensibilität elektronischer Gesundheitsdaten ist es erforderlich, die Risiken für die Privatsphäre natürlicher Personen durch Anwendung des Grundsatzes der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 zu verringern. Daher sollte , soweit machbar, auf Anfrage des Datennutzers die Verwendung anonymisierter elektronischer Gesundheitsdaten, die keine personenbezogenen Daten enthalten, ermöglicht werden. Wenn der Datennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, sollte er in seinem Antrag eindeutig begründen, warum für die geplante Datenverarbeitung diese Art von Daten erforderlich ist. Die personenbezogenen elektronischen Gesundheitsdaten sollten nur in pseudonymisiertem Format zur Verfügung gestellt werden, und der Kodierungsschlüssel darf sich nur bei der Stelle für den Zugang zu Gesundheitsdaten befinden. Datennutzer dürfen nicht versuchen, die Identität natürlicher Personen aus den nach dieser Verordnung bereitgestellten Datensätzen zu rekonstruieren, vorbehaltlich verwaltungsrechtlicher oder möglicher strafrechtlicher Sanktionen, sofern dies in den nationalen Rechtsvorschriften vorgesehen ist. Dies sollte jedoch nicht verhindern, dass die Datennutzer in Fällen, in denen die Ergebnisse eines Projekts, das auf der Grundlage einer Datengenehmigung durchgeführt wird, einen Nutzen für oder Auswirkungen auf die Gesundheit einer betroffenen natürlichen Person haben (z. B. Entdeckung von Therapien oder von Risikofaktoren für die Entwicklung einer bestimmten Krankheit), die Stelle für den Zugang zu Gesundheitsdaten darüber informieren, die ihrerseits die betreffende(n) natürliche(n) Person(en) informiert. Darüber hinaus kann der Datenantragsteller die für den Zugang zu Gesundheitsdaten zuständigen Stellen ersuchen, auf eine Datenanfrage zu antworten, auch in statistischer Form . In diesem Fall würden die Datennutzer keine Gesundheitsdaten verarbeiten, und die Stelle für den Zugang zu Gesundheitsdaten bliebe alleiniger Verantwortlicher für die Daten, die zur Beantwortung der Datenanfrage erforderlich sind.

(49)

Angesichts der Sensibilität elektronischer Gesundheitsdaten ist es erforderlich, die Risiken für die Privatsphäre natürlicher Personen durch Anwendung des Grundsatzes der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 zu verringern. Daher sollten gemeinsame Standards für die Anonymisierung von Daten weiterentwickelt und , soweit machbar, die Verwendung anonymisierter elektronischer Gesundheitsdaten, die keine personenbezogenen Daten enthalten, ermöglicht werden. Wenn der Datennutzer personenbezogene elektronische Gesundheitsdaten verwenden muss, sollte er in seinem Antrag eindeutig begründen, warum für die geplante Datenverarbeitung diese Art von Daten erforderlich ist , und die Stelle für den Zugang zu Gesundheitsdaten sollte die Gültigkeit dieser Begründung prüfen . Die personenbezogenen elektronischen Gesundheitsdaten sollten nur in pseudonymisiertem Format zur Verfügung gestellt werden, und der Kodierungsschlüssel darf sich nur bei der Stelle für den Zugang zu Gesundheitsdaten befinden. Wenn eine Stelle für den Zugang zu Gesundheitsdaten Zugang zu einem anonymisierten oder pseudonymisierten Datensatz gewährt, sollte sie den neuesten Stand der Anonymisierungs- oder Pseudonymisierungstechnologie anwenden und dadurch so weit wie möglich sicherstellen, dass die Identität natürlicher Personen nicht rekonstruiert werden kann. Nutzer von Gesundheitsdaten dürfen nicht versuchen, die Identität natürlicher Personen aus den nach dieser Verordnung bereitgestellten Datensätzen zu rekonstruieren, vorbehaltlich der in dieser Verordnung festgelegten Geldbußen und Durchsetzungsmaßnahmen oder möglicher strafrechtlicher Sanktionen, sofern dies in den nationalen Rechtsvorschriften vorgesehen ist. Dies sollte jedoch nicht verhindern, dass die Nutzer von Gesundheitsdaten in Fällen, in denen die Ergebnisse eines Projekts, das auf der Grundlage einer Datengenehmigung durchgeführt wird, einen signifikanten Nutzen für oder signifikante Auswirkungen auf die Gesundheit einer betroffenen natürlichen Person haben (z. B. Entdeckung von Therapien oder von Risikofaktoren für die Entwicklung einer bestimmten Krankheit), die Stelle für den Zugang zu Gesundheitsdaten darüber informieren, die ihrerseits die behandelnden Angehörigen der Gesundheitsberufe der betreffenden natürlichen Person oder, wenn die behandelnden Angehörigen der Gesundheitsberufe nicht ermittelt werden können, die natürliche Person unter gebührender Berücksichtigung des etwaigen erklärten Wunsches, nicht informiert zu werden, informiert. Zu diesem Zweck sollten Nutzer von Gesundheitsdaten von ethischen Grundsätzen und Leitlinien der EMA und des ECDC im Hinblick darauf, was einen signifikanten Befund darstellt, geleitet werden. Darüber hinaus kann ein Antragsteller für Gesundheitsdaten die für den Zugang zu Gesundheitsdaten zuständigen Stellen ersuchen, auf eine Gesundheitsdatenanfrage zu antworten, auch in einem anonymisierten oder aggregierten statistischen Format . In diesem Fall würde der Nutzer von Gesundheitsdaten keine Gesundheitsdaten verarbeiten, und die Stelle für den Zugang zu Gesundheitsdaten bliebe alleiniger Verantwortlicher für die Daten, die zur Beantwortung der Gesundheitsdatenanfrage erforderlich sind.

(50)

Um sicherzustellen, dass alle für den Zugang zu Gesundheitsdaten zuständigen Stellen Genehmigungen in ähnlicher Weise ausstellen, ist es erforderlich, für ähnliche Anfragen in verschiedenen Mitgliedstaaten ein einheitliches Standardverfahren für die Erteilung von Datengenehmigungen festzulegen. Der Antragsteller sollte den Stellen für den Zugang zu Gesundheitsdaten verschiedene Informationen zur Verfügung stellen, die der Stelle bei der Bewertung des Antrags und bei der Entscheidung helfen, ob der Antragsteller eine Datengenehmigung für die Sekundärnutzung von Daten erhalten kann, wobei auch zwischen den verschiedenen Stellen für den Zugang zu Gesundheitsdaten für Kohärenz zu sorgen ist. Diese Informationen umfassen: die Rechtsgrundlage für den Antrag auf Zugang zu Daten gemäß der Verordnung (EU) 2016/679 (Erfüllung einer gesetzlich übertragenen Aufgabe im öffentlichen Interesse oder Bestehen eines berechtigten Interesses), die Zwecke der Datenverwendung, eine Beschreibung der benötigten Daten und möglicher Datenquellen, eine Beschreibung der für die Verarbeitung der Daten erforderlichen Tools sowie die erforderlichen Merkmale der sicheren Umgebung. Werden Daten in pseudonymisiertem Format angefordert, sollte der Datenantragsteller erläutern, warum dies notwendig ist und warum anonyme Daten nicht ausreichen würden. Eine Ethikprüfung kann auf der Grundlage des nationalen Rechts verlangt werden. Die Stellen für den Zugang zu Gesundheitsdaten und gegebenenfalls die Dateninhaber sollten die Datennutzer bei der Auswahl der geeigneten Datensätze oder Datenquellen für den vorgesehenen Zweck der Sekundärnutzung unterstützen. Benötigt der Antragsteller anonymisierte statistische Daten, so sollte er eine Datenanfrage stellen, in der die Stelle für den Zugang zu Gesundheitsdaten ersucht wird, direkt das Ergebnis zu übermitteln. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Stellen für den Zugang zu Gesundheitsdaten sicherstellen, indem sie die Harmonisierung der Anträge auf Datenzugang sowie der Datenanfragen unterstützt.

(50)

Um sicherzustellen, dass alle für den Zugang zu Gesundheitsdaten zuständigen Stellen Genehmigungen in ähnlicher Weise ausstellen, ist es erforderlich, für ähnliche Anfragen in verschiedenen Mitgliedstaaten ein einheitliches Standardverfahren für die Erteilung von Datengenehmigungen festzulegen. Der Antragsteller für Gesundheitsdaten sollte den Stellen für den Zugang zu Gesundheitsdaten verschiedene Informationen zur Verfügung stellen, die der Stelle bei der Bewertung des Antrags und bei der Entscheidung helfen, ob der Antragsteller eine Datengenehmigung für die Sekundärnutzung von Daten erhalten kann, wobei auch zwischen den verschiedenen Stellen für den Zugang zu Gesundheitsdaten für Kohärenz zu sorgen ist. Diese Informationen umfassen: die Rechtsgrundlage für den Antrag auf Zugang zu Daten gemäß der Verordnung (EU) 2016/679 (Erfüllung einer gesetzlich übertragenen Aufgabe im öffentlichen Interesse oder Bestehen eines berechtigten Interesses), die Zwecke der Datenverwendung, die Identität des Antragstellers für Gesundheitsdaten sowie der konkreten Personen, die in der sicheren Verarbeitungsumgebung Zugang zu den elektronischen Gesundheitsdaten haben werden, und wie sie im Hinblick auf die beabsichtigte Sekundärnutzung qualifiziert sind, eine Beschreibung der benötigten Daten und möglicher Datenquellen, eine Beschreibung der für die Verarbeitung der Daten erforderlichen Tools sowie die erforderlichen Merkmale der sicheren Umgebung , eine Beschreibung der Sicherungsmaßnahmen, die zur Verhinderung einer anderweitigen Nutzung, eines Missbrauchs oder der möglichen Rekonstruktion der Identität geplant sind, und eine Erläuterung des erwarteten Nutzens der Sekundärnutzung . Werden Daten in pseudonymisiertem Format angefordert, sollte der Antragsteller für Gesundheitsdaten erläutern, warum dies notwendig ist und warum anonyme Daten nicht ausreichen würden. Eine Ethikprüfung kann auf der Grundlage des nationalen Rechts verlangt werden. Eine umfassende Bewertung der von dem Antragsteller für Gesundheitsdaten eingereichten Anträge und Dokumente für den Zugang zu Gesundheitsdaten sollte erforderlich sein und die Stelle für den Zugang zu Gesundheitsdaten sollte eine Datengenehmigung nur erteilen, wenn alle in dieser Verordnung festgelegten Bedingungen erfüllt sind. Die Stelle für den Zugang zu Gesundheitsdaten und gegebenenfalls die Inhaber von Gesundheitsdaten sollten die Nutzer von Gesundheitsdaten bei der Auswahl der geeigneten Datensätze oder Datenquellen für den vorgesehenen Zweck der Sekundärnutzung unterstützen. Benötigt der Antragsteller für Gesundheitsdaten Daten in einem anonymisierten und aggregierten statistischen Format , so sollte er eine Datenanfrage stellen, in der die Stelle für den Zugang zu Gesundheitsdaten ersucht wird, direkt das Ergebnis zu übermitteln. Eine Verweigerung einer Datengenehmigung durch die Stelle für den Zugang zu Gesundheitsdaten sollte den Antragsteller für Gesundheitsdaten nicht daran hindern, einen neuen Antrag auf Datenzugang einzureichen. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Stellen für den Zugang zu Gesundheitsdaten sicherstellen und so weit wie möglich einen unnötigen Verwaltungsaufwand für den Antragsteller für Gesundheitsdaten begrenzen , indem sie die Harmonisierung der Anträge auf Zugang zu Gesundheitsdaten sowie der Gesundheitsdatenanfragen unterstützt , unter anderem durch die Erstellung von Vorlagen für Anträge und Anfragen für den Zugang zu Gesundheitsdaten mittels Durchführungsrechtsakten .

(50a)

Eine Standardethikprüfung sollte durch Ethikgremien innerhalb der Stellen für den Zugang zu Gesundheitsdaten durchgeführt werden. Diese Prüfung sollte einen wichtigen Teil des Verfahrens darstellen. Wenn der Antragsteller für Gesundheitsdaten jedoch zuvor die Genehmigung des zuständigen Ethikgremiums im Einklang mit nationalem Recht für Forschungszwecke erhalten hat, für die die Daten über den europäischen Raum für Gesundheitsdaten beantragt werden, sollte der Antragsteller für Gesundheitsdaten diese Information der Stelle für den Zugang zu Gesundheitsdaten im Rahmen des Antrags auf Datenzugang zur Verfügung stellen.

(51)

Angesichts ihrer begrenzten Ressourcen können die Stellen für den Zugang zu Gesundheitsdaten Priorisierungsregeln anwenden, z. B. die Priorisierung öffentlicher Einrichtungen gegenüber privaten Einrichtungen; innerhalb derselben Prioritätskategorie sollten sie jedoch weder bestimmte Einrichtungen im eigenen Land noch Einrichtungen aus anderen Mitgliedstaaten bevorzugen oder benachteiligen. Der Datennutzer sollte in der Lage sein, die Dauer der Datengenehmigung zu verlängern, um beispielsweise Prüfern wissenschaftlicher Veröffentlichungen Zugang zu den Datensätzen zu gewähren oder eine zusätzliche Analyse des Datensatzes auf der Grundlage der ersten Erkenntnisse zu ermöglichen. Dafür wäre eine Änderung der Datengenehmigung erforderlich und kann eine Zusatzgebühr erhoben werden. Allerdings sollten diese zusätzlichen Verwendungen des Datensatzes in allen Fällen aus der Datengenehmigung hervorgehen. Vorzugsweise sollte der Datennutzer sie in seinem Erstantrag auf Erteilung der Datengenehmigung angeben. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Stellen für den Zugang zu Gesundheitsdaten sicherstellen, indem sie die Harmonisierung der Datengenehmigungen unterstützt.

(51)

Angesichts ihrer begrenzten Ressourcen können die Stellen für den Zugang zu Gesundheitsdaten Priorisierungsregeln anwenden, z. B. die Priorisierung öffentlicher Einrichtungen gegenüber privaten Einrichtungen; innerhalb derselben Prioritätskategorie sollten sie jedoch weder bestimmte Einrichtungen im eigenen Land noch Einrichtungen aus anderen Mitgliedstaaten bevorzugen oder benachteiligen. Der Nutzer von Gesundheitsdaten sollte in der Lage sein, die Dauer der Datengenehmigung zu verlängern, um beispielsweise Prüfern wissenschaftlicher Veröffentlichungen Zugang zu den Datensätzen zu gewähren oder eine zusätzliche Analyse des Datensatzes auf der Grundlage der ersten Erkenntnisse zu ermöglichen. Dafür wäre eine Änderung der Genehmigung für Gesundheitsdaten erforderlich und kann eine Zusatzgebühr erhoben werden. Allerdings sollten diese zusätzlichen Verwendungen des Datensatzes in allen Fällen aus der Datengenehmigung hervorgehen. Vorzugsweise sollte der Nutzer von Gesundheitsdaten sie in seinem Erstantrag auf Erteilung der Datengenehmigung angeben. Die Kommission sollte ein harmonisiertes Vorgehen der verschiedenen Stellen für den Zugang zu Gesundheitsdaten sicherstellen, indem sie die Harmonisierung der Datengenehmigungen unterstützt.

(52)

Wie die COVID-19-Krise gezeigt hat, benötigen die Organe, Einrichtungen und sonstigen Stellen der Union, insbesondere die Kommission, längerfristig und wiederkehrend Zugang zu Gesundheitsdaten. Dies trifft nicht nur unter besonderen Umständen in Krisenzeiten zu , sondern auch, wenn es darum geht, regelmäßig wissenschaftliche Erkenntnisse und technische Unterstützung für die Politik der Union bereitzustellen. Der Zugang zu diesen Daten kann in bestimmten Mitgliedstaaten erforderlich sein oder im gesamten Gebiet der Union.

(52)

Wie die COVID-19-Krise gezeigt hat, benötigen die Organe, Einrichtungen und sonstigen Stellen der Union mit einem gesetzlichen Mandat im Bereich der öffentlichen Gesundheit , insbesondere die Kommission, längerfristig und wiederkehrend Zugang zu Gesundheitsdaten. Dies kann nicht nur unter besonderen , durch Unionsrecht oder nationales Recht festgelegten Umständen in Krisenzeiten zutreffen , sondern auch, wenn es darum geht, regelmäßig wissenschaftliche Erkenntnisse und technische Unterstützung für die Politik der Union bereitzustellen. Der Zugang zu diesen Daten kann in bestimmten Mitgliedstaaten erforderlich sein oder im gesamten Gebiet der Union.

(53)

Bei Anträgen auf Zugang zu elektronischen Gesundheitsdaten, die von einem einzigen Dateninhaber in einem einzigen Mitgliedstaat gestellt werden, und zur Verringerung des Verwaltungsaufwands für die Stellen für den Zugang zu Gesundheitsdaten sollte der Datennutzer diese Daten direkt vom Dateninhaber anfordern können, und der Dateninhaber sollte in der Lage sein, bei der Ausstellung einer Datengenehmigung alle Anforderungen und Garantien im Zusammenhang mit einer solchen Anfrage und einer solchen Genehmigung einzuhalten. Länderübergreifende Anfragen und Anfragen, die die Zusammenstellung von Datensätzen mehrerer Dateninhaber erfordern, sollten immer über Stellen für den Zugang zu Gesundheitsdaten erfolgen. Der Dateninhaber sollte die Stellen für den Zugang zu Gesundheitsdaten über alle von ihm erteilten Datengenehmigungen oder beantworteten Datenanfragen informieren.

(54)

Angesichts der Sensibilität elektronischer Gesundheitsdaten sollten die Datennutzer keinen uneingeschränkten Zugang zu diesen Daten haben. Der Zugang zu den angeforderten elektronischen Gesundheitsdaten für die Sekundärnutzung sollte über eine sichere Verarbeitungsumgebung erfolgen. Um strenge technische Vorkehrungen und Sicherheitsgarantien für die elektronischen Gesundheitsdaten sicherzustellen, sollte die Stelle für den Zugang zu Gesundheitsdaten oder, wo zutreffend, der einzige Dateninhaber den Zugang zu diesen Daten in einer sicheren Verarbeitungsumgebung gewähren, wobei die hohen technischen und sicherheitsbezogenen Standards gemäß dieser Verordnung einzuhalten sind. Einige Mitgliedstaaten haben Maßnahmen ergriffen, um solche sicheren Umgebungen in Europa einzurichten. Die Verarbeitung personenbezogener Daten in einer solchen sicheren Umgebung sollte mit der Verordnung (EU) 2016/679 im Einklang stehen, einschließlich – wenn die sichere Umgebung von einem Dritten verwaltet wird – der Anforderungen in Artikel 28 und gegebenenfalls in Kapitel V. Eine solche sichere Verarbeitungsumgebung sollte die mit den Verarbeitungstätigkeiten verbundenen Datenschutzrisiken verringern und verhindern, dass elektronische Gesundheitsdaten direkt an die Datennutzer übermittelt werden. Die Stelle für den Zugang zu Gesundheitsdaten oder der Dateninhaber, der diesen Dienst erbringt, sollte jederzeit die Kontrolle über den Zugang zu den elektronischen Gesundheitsdaten behalten, der den Datennutzern entsprechend den Bedingungen der erteilten Datengenehmigung gewährt wird. Nur nicht personenbezogene elektronische Gesundheitsdaten, die keine elektronischen Gesundheitsdaten enthalten, sollten von den Datennutzern aus einer solchen sicheren Verarbeitungsumgebung extrahiert werden. Somit stellt es eine wesentliche Schutzmaßnahme dar, die Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer elektronischen Gesundheitsdaten zu Zwecken der Sekundärnutzung zu wahren. Die Kommission sollte die Mitgliedstaaten bei der Entwicklung gemeinsamer Sicherheitsstandards unterstützen, um die Sicherheit und Interoperabilität der verschiedenen sicheren Umgebungen zu fördern.

(54)

Angesichts der Sensibilität elektronischer Gesundheitsdaten sollten die Datennutzer gemäß dem Grundsatz der Datenminimierung keinen uneingeschränkten Zugang zu diesen Daten haben. Der Zugang zu den angeforderten elektronischen Gesundheitsdaten für die Sekundärnutzung sollte über eine sichere Verarbeitungsumgebung erfolgen. Um strenge technische Vorkehrungen und Sicherheitsgarantien für die elektronischen Gesundheitsdaten sicherzustellen, sollte die Stelle für den Zugang zu Gesundheitsdaten den Zugang zu diesen Daten in einer sicheren Verarbeitungsumgebung gewähren, wobei die hohen technischen und sicherheitsbezogenen Standards gemäß dieser Verordnung einzuhalten sind. Einige Mitgliedstaaten haben Maßnahmen ergriffen, um solche sicheren Umgebungen in Europa einzurichten. Die Verarbeitung personenbezogener Daten in einer solchen sicheren Umgebung sollte mit der Verordnung (EU) 2016/679 im Einklang stehen, einschließlich – wenn die sichere Umgebung von einem Dritten verwaltet wird – der Anforderungen in Artikel 28 und gegebenenfalls in Kapitel V . Um die ordnungsgemäße Überwachung und Sicherheit personenbezogener Daten sicherzustellen, müssen solche Umgebungen jedoch in der Union verortet sein, wenn sie für den Zugang zu personenbezogenen Gesundheitsdaten verwendet werden . Eine solche sichere Verarbeitungsumgebung sollte die mit den Verarbeitungstätigkeiten verbundenen Datenschutzrisiken verringern und verhindern, dass elektronische Gesundheitsdaten direkt an die Datennutzer übermittelt werden. Die Stelle für den Zugang zu Gesundheitsdaten oder der Dateninhaber, der diesen Dienst erbringt, sollte jederzeit die Kontrolle über den Zugang zu den elektronischen Gesundheitsdaten behalten, der den Datennutzern entsprechend den Bedingungen der erteilten Datengenehmigung gewährt wird. Nur nicht personenbezogene elektronische Gesundheitsdaten, die keine elektronischen Gesundheitsdaten enthalten, sollten von den Datennutzern aus einer solchen sicheren Verarbeitungsumgebung extrahiert werden. Somit stellt es eine wesentliche Schutzmaßnahme dar, die Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer elektronischen Gesundheitsdaten zu Zwecken der Sekundärnutzung zu wahren. Die Kommission sollte die Mitgliedstaaten bei der Entwicklung gemeinsamer Sicherheitsstandards unterstützen, um die Sicherheit und Interoperabilität der verschiedenen sicheren Umgebungen zu fördern.

(55)

Für die Verarbeitung elektronischer Gesundheitsdaten im Rahmen einer erteilten Genehmigung sollten die für den Zugang zu Gesundheitsdaten zuständigen Stellen und die Datennutzer gemeinsam Verantwortliche im Sinne des Artikels 26 der Verordnung (EU) 2016/679 sein, was bedeutet, dass die Pflichten der gemeinsam Verantwortlichen gemäß der genannten Verordnung gelten. Um die für den Zugang zu Gesundheitsdaten zuständigen Stellen und Datennutzer zu unterstützen, sollte die Kommission im Wege eines Durchführungsrechtsakts ein Muster für die zwischen ihnen als gemeinsam Verantwortliche zu treffende Vereinbarung bereitstellen. Um einen inklusiven und nachhaltigen Rahmen für die länderübergreifende Sekundärnutzung elektronischer Gesundheitsdaten zu schaffen, sollte eine grenzüberschreitende Infrastruktur eingerichtet werden . HealthData@EU sollte die Sekundärnutzung elektronischer Gesundheitsdaten beschleunigen und gleichzeitig die Rechtssicherheit erhöhen, die Privatsphäre natürlicher Personen wahren und interoperabel sein. Aufgrund der Sensibilität von Gesundheitsdaten sollten nach Möglichkeit Grundsätze wie „Datenschutz durch Technikgestaltung“ und „Besser die Fragen zu den Daten bringen, statt die Daten selbst zu übertragen“ eingehalten werden. Zur Teilnahme an HealthData@EU könnten Stellen für den Zugang zu Gesundheitsdaten, Forschungsinfrastrukturen, die gemäß der Verordnung (EG) Nr. 723/2009 des Rates (50) als Konsortium für eine europäische Forschungsinfrastruktur (European Research Infrastructure Consortium, ERIC) gegründet wurden, oder ähnliche Strukturen, die durch andere Rechtsvorschriften der Union geschaffen wurden, sowie andere Arten von Einrichtungen, einschließlich Infrastrukturen im Rahmen des Europäischen Strategieforums für Forschungsinfrastrukturen (European Strategy Forum on Research Infrastructures, ESFRI) und Infrastrukturen unter dem Dach der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) befugt werden. Andere befugte Teilnehmer sollten für die Teilnahme an HealthData@EU die Genehmigung der Gruppe der gemeinsam Verantwortlichen einholen. Andererseits sollte HealthData@EU die Sekundärnutzung verschiedener Kategorien elektronischer Gesundheitsdaten ermöglichen, einschließlich der Verknüpfung der Gesundheitsdaten mit Daten aus anderen Datenräumen wie Umwelt, Landwirtschaft, Soziales usw. Die Kommission könnte im Rahmen von HealthData@EU eine Reihe von Diensten bereitstellen, einschließlich der Unterstützung des Informationsaustauschs zwischen den für den Zugang zu Gesundheitsdaten zuständigen Stellen und befugten Teilnehmern bei der Bearbeitung von Anträgen auf grenzüberschreitenden Zugang, der Pflege von Katalogen der über die Infrastruktur verfügbaren elektronischen Gesundheitsdaten, der Auffindbarkeit von Netzen und Abfragen von Metadaten sowie von Konnektivitäts- und Compliance-Diensten. Die Kommission kann auch eine sichere Umgebung einrichten, die es ermöglicht, auf Antrag der Verantwortlichen Daten aus verschiedenen nationalen Infrastrukturen zu übermitteln und zu analysieren. Die digitale Strategie der Kommission fördert die Verknüpfung der verschiedenen gemeinsamen europäischen Datenräume. Im Zusammenhang mit dem Gesundheitswesen kann die Interoperabilität mit Bereichen wie Umwelt, Soziales und Landwirtschaft für zusätzliche Erkenntnisse über Gesundheitsdeterminanten von Bedeutung sein. Im Interesse der IT-Effizienz, der Rationalisierung und der Interoperabilität des Datenaustauschs sollten die bestehenden Systeme für die gemeinsame Datennutzung so weit wie möglich weiterverwendet werden, z. B. das technische System, das für den Austausch von Nachweisen nach dem Grundsatz der einmaligen Erfassung („Once Only Principle“) im Rahmen der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates (51) eingerichtet wurde.

(55)

Für die Verarbeitung elektronischer Gesundheitsdaten im Rahmen einer erteilten Genehmigung sollten die Inhaber von Gesundheitsdaten, die für den Zugang zu Gesundheitsdaten zuständigen Stellen und die Nutzer von Gesundheitsdaten jeder abwechselnd für einen bestimmten Teil des Prozesses und gemäß ihren entsprechenden Rollen im Prozess als Verantwortliche gelten. Der Inhaber von Gesundheitsdaten sollte als Verantwortlicher für die Offenlegung der angefragten personenbezogenen elektronischen Gesundheitsdaten für die Stelle für den Zugang zu Gesundheitsdaten gelten, wogegen die Stelle für den Zugang zu Gesundheitsdaten als Verantwortlicher für die Verarbeitung der personenbezogenen elektronischen Gesundheitsdaten bei der Aufbereitung der Daten und deren Bereitstellung für den Nutzer der Gesundheitsdaten gelten sollte. Der Nutzer von Gesundheitsdaten sollte als Verantwortlicher für die Verarbeitung der personenbezogenen elektronischen Gesundheitsdaten in pseudonymisierter Form in der sicheren Verarbeitungsumgebung gemäß der Datengenehmigung gelten. Die Stelle für den Zugang zu Gesundheitsdaten sollte als Auftragsverarbeiter für die vom Nutzer von Gesundheitsdaten durchgeführte Verarbeitung gemäß einer Datengenehmigung in der sicheren Verarbeitungsumgebung gelten . HealthData@EU sollte die Sekundärnutzung elektronischer Gesundheitsdaten beschleunigen und gleichzeitig die Rechtssicherheit erhöhen, die Privatsphäre natürlicher Personen wahren und interoperabel sein. Aufgrund der Sensibilität von Gesundheitsdaten sollten nach Möglichkeit Grundsätze wie „Datenschutz durch Technikgestaltung“ , „Datenschutz durch Voreinstellung“ und „Besser die Fragen zu den Daten bringen, statt die Daten selbst zu übertragen“ eingehalten werden. Zur Teilnahme an HealthData@EU könnten Stellen für den Zugang zu Gesundheitsdaten, Forschungsinfrastrukturen, die gemäß der Verordnung (EG) Nr. 723/2009 des Rates (50) als Konsortium für eine europäische Forschungsinfrastruktur (European Research Infrastructure Consortium, ERIC) gegründet wurden, oder ähnliche Strukturen, die durch andere Rechtsvorschriften der Union geschaffen wurden, sowie andere Arten von Einrichtungen, einschließlich Infrastrukturen im Rahmen des Europäischen Strategieforums für Forschungsinfrastrukturen (European Strategy Forum on Research Infrastructures, ESFRI) und Infrastrukturen unter dem Dach der Europäischen Cloud für offene Wissenschaft (European Open Science Cloud, EOSC) befugt werden. Andere befugte Teilnehmer sollten für die Teilnahme an HealthData@EU die Genehmigung der Gruppe der gemeinsam Verantwortlichen einholen. Andererseits sollte HealthData@EU die Sekundärnutzung verschiedener Kategorien elektronischer Gesundheitsdaten ermöglichen, einschließlich der Verknüpfung der Gesundheitsdaten mit Daten aus anderen Datenräumen wie Umwelt, Landwirtschaft, Soziales usw. Die Kommission könnte im Rahmen von HealthData@EU eine Reihe von Diensten bereitstellen, einschließlich der Unterstützung des Informationsaustauschs zwischen den für den Zugang zu Gesundheitsdaten zuständigen Stellen und befugten Teilnehmern bei der Bearbeitung von Anträgen auf grenzüberschreitenden Zugang, der Pflege von Katalogen der über die Infrastruktur verfügbaren elektronischen Gesundheitsdaten, der Auffindbarkeit von Netzen und Abfragen von Metadaten sowie von Konnektivitäts- und Compliance-Diensten. Die Kommission kann auch eine sichere Umgebung einrichten, die es ermöglicht, auf Antrag der Verantwortlichen Daten aus verschiedenen nationalen Infrastrukturen zu übermitteln und zu analysieren. Die digitale Strategie der Kommission fördert die Verknüpfung der verschiedenen gemeinsamen europäischen Datenräume. Im Zusammenhang mit dem Gesundheitswesen kann die Interoperabilität mit Bereichen wie Umwelt, Soziales und Landwirtschaft für zusätzliche Erkenntnisse über Gesundheitsdeterminanten von Bedeutung sein. Im Interesse der IT-Effizienz, der Rationalisierung und der Interoperabilität des Datenaustauschs sollten die bestehenden Systeme für die gemeinsame Datennutzung so weit wie möglich weiterverwendet werden, z. B. das technische System, das für den Austausch von Nachweisen nach dem Grundsatz der einmaligen Erfassung („Once Only Principle“) im Rahmen der Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates (51) eingerichtet wurde.

(59)

Informationen über die Qualität und den Nutzwert von Datensätzen erhöhen den Wert der Ergebnisse datenintensiver Forschung und Innovation erheblich und fördern gleichzeitig eine faktengestützte Entscheidungsfindung in Regulierung und Politik. Die Verbesserung der Qualität und des Nutzwerts von Datensätzen durch fundierte Entscheidungen der Kunden sowie die Harmonisierung der diesbezüglichen Anforderungen auf Unionsebene unter Berücksichtigung der auf Unions- und internationaler Ebene bestehenden Normen, Leitlinien und Empfehlungen für die Datenerhebung und den Datenaustausch (d. h. FAIR-Prinzipien: Findable, Accessible, Interoperable and Reusable – auffindbar, zugänglich, interoperabel und wiederverwendbar), kommt auch Dateninhabern, Angehörigen der Gesundheitsberufe, natürlichen Personen und der Wirtschaft der Union insgesamt zugute. Ein Datenqualitäts- und -nutzenlabel für Datensätze würde die Datennutzer über die qualitäts- und nutzwertbezogenen Merkmale eines Datensatzes informieren und es ihnen ermöglichen, die für ihre Bedürfnisse am besten geeigneten Datensätze auszuwählen. Das Datenqualitäts- und -nutzenlabel soll nicht verhindern, dass Datensätze über den EHDS bereitgestellt werden, sondern einen Mechanismus für Transparenz zwischen Dateninhabern und Datennutzern bieten. So sollte beispielsweise ein Datensatz, der keinerlei Anforderung an Datenqualität und -nutzen erfüllt, trotzdem zur Verfügung gestellt, aber mit der Klasse gekennzeichnet werden, die der niedrigsten Qualität und dem geringsten Nutzwert entspricht. Die Anforderungen, die in dem in Artikel 10 der Verordnung […] [KI-Gesetz (COM(2021) 206 final)] dargelegten Rahmen und der einschlägigen Dokumentation gemäß Anhang IV festgelegt sind, sollten bei der Entwicklung des Rahmens für Datenqualität und -nutzen berücksichtigt werden. Die Mitgliedstaaten sollten durch Kommunikationsmaßnahmen den Bekanntheitsgrad des Datenqualitäts- und -nutzenlabels erhöhen. Die Kommission könnte diese Tätigkeiten unterstützen.

(59)

Informationen über die Qualität und den Nutzwert von Datensätzen erhöhen den Wert der Ergebnisse datenintensiver Forschung und Innovation erheblich und fördern gleichzeitig eine faktengestützte Entscheidungsfindung in Regulierung und Politik. Die Verbesserung der Qualität und des Nutzwerts von Datensätzen durch fundierte Entscheidungen der Kunden sowie die Harmonisierung der diesbezüglichen Anforderungen auf Unionsebene unter Berücksichtigung der auf Unions- und internationaler Ebene bestehenden Normen, Leitlinien und Empfehlungen für die Datenerhebung und den Datenaustausch (d. h. FAIR-Prinzipien: Findable, Accessible, Interoperable and Reusable – auffindbar, zugänglich, interoperabel und wiederverwendbar), kommt auch Dateninhabern, Angehörigen der Gesundheitsberufe, natürlichen Personen und der Wirtschaft der Union insgesamt zugute. Ein Datenqualitäts- und -nutzenlabel für Datensätze würde die Datennutzer über die qualitäts- und nutzwertbezogenen Merkmale eines Datensatzes informieren und es ihnen ermöglichen, die für ihre Bedürfnisse am besten geeigneten Datensätze auszuwählen. Das Datenqualitäts- und -nutzenlabel soll nicht verhindern, dass Datensätze über den EHDS bereitgestellt werden, sondern einen Mechanismus für Transparenz zwischen Dateninhabern und Datennutzern bieten. So sollte beispielsweise ein Datensatz, der keinerlei Anforderung an Datenqualität und -nutzen erfüllt, trotzdem zur Verfügung gestellt, aber mit der Klasse gekennzeichnet werden, die der niedrigsten Qualität und dem geringsten Nutzwert entspricht. Die Anforderungen, die in dem in Artikel 10 der Verordnung […] [KI-Gesetz (COM(2021) 206 final)] dargelegten Rahmen und der einschlägigen Dokumentation gemäß Anhang IV festgelegt sind, sollten bei der Entwicklung des Rahmens für Datenqualität und -nutzen berücksichtigt werden. Die Labels sollten der Bewertung durch die Stellen für den Zugang zu Gesundheitsdaten unterliegen. Die Mitgliedstaaten sollten durch Kommunikationsmaßnahmen den Bekanntheitsgrad des Datenqualitäts- und -nutzenlabels erhöhen. Die Kommission könnte diese Tätigkeiten unterstützen.

(61)

Derzeit arbeiten verschiedene Berufsverbände, die Kommission und andere Institutionen gemeinsam an der Festlegung von Mindestdatenfeldern und anderen Merkmalen bestimmter Datensätze (z. B. Register). In Bereichen wie Krebs, seltene Krankheiten und Statistiken sind diese Arbeiten bereits fortgeschritten und müssen bei der Festlegung neuer Standards berücksichtigt werden. Viele Datensätze sind jedoch nicht harmonisiert, was Probleme bezüglich der Vergleichbarkeit verursacht und die grenzüberschreitende Forschung erschwert. Daher sollten in Durchführungsrechtsakten ausführlichere Vorschriften festgelegt werden, mit denen eine harmonisierte Bereitstellung, Kodierung und Registrierung elektronischer Gesundheitsdaten sichergestellt wird. Die Mitgliedstaaten sollten darauf hinwirken, mit den europäischen elektronischen Gesundheitssystemen und -diensten und interoperablen Anwendungen einen nachhaltigen wirtschaftlichen und sozialen Nutzen zu erzielen, damit ein hohes Niveau an Vertrauen und Sicherheit erreicht, die Kontinuität der Gesundheitsversorgung gefördert und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt wird.

(61)

Derzeit arbeiten verschiedene Berufsverbände, die Kommission und andere Institutionen gemeinsam an der Festlegung von Mindestdatenfeldern und anderen Merkmalen bestimmter Datensätze (z. B. Register). In Bereichen wie Krebs, seltene Krankheiten , Herz-Kreislauf- und Stoffwechselerkrankungen, Risikobewertung und Statistiken sind diese Arbeiten bereits fortgeschritten und müssen bei der Festlegung neuer Standards und krankheitsspezifischer harmonisierter Vorlagen für strukturierte Datenelemente berücksichtigt werden. Viele Datensätze sind jedoch nicht harmonisiert, was Probleme bezüglich der Vergleichbarkeit verursacht und die grenzüberschreitende Forschung erschwert. Daher sollten in Durchführungsrechtsakten ausführlichere Vorschriften festgelegt werden, mit denen eine harmonisierte Bereitstellung, Kodierung und Registrierung elektronischer Gesundheitsdaten sichergestellt wird. Die Mitgliedstaaten sollten darauf hinwirken, mit den europäischen elektronischen Gesundheitssystemen und -diensten und interoperablen Anwendungen einen nachhaltigen wirtschaftlichen und sozialen Nutzen zu erzielen, damit ein hohes Niveau an Vertrauen und Sicherheit erreicht, die Kontinuität der Gesundheitsversorgung gefördert und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt wird. Bestehende Gesundheitsdateninfrastrukturen und Register, die von Institutionen und Interessenträgern eingerichtet wurden, können zur Festlegung und Umsetzung von Datenstandards und zur Sicherstellung der Interoperabilität beitragen und sollten genutzt werden, um für Kontinuität zu sorgen und auf vorhandenem Fachwissen aufzubauen.

(62a)

Die Verbesserung der Kompetenz im Bereich der digitalen Gesundheit sowohl von natürlichen Personen als auch von Angehörigen der Gesundheitsberufe ist von entscheidender Bedeutung, um Vertrauen, Sicherheit und eine angemessene Nutzung von Gesundheitsdaten und somit eine erfolgreiche Umsetzung dieser Verordnung zu erreichen. Die Verbesserung der Kompetenz im Bereich der digitalen Gesundheit ist von grundlegender Bedeutung, um natürliche Personen in die Lage zu versetzen, die tatsächliche Kontrolle über ihre Gesundheitsdaten zu übernehmen und ihre Gesundheit und Pflege aktiv zu verwalten, und um zu verstehen, wie sich die Verwaltung dieser Daten sowohl für die Primär- als auch für die Sekundärnutzung auswirkt. Die Mitgliedstaaten, einschließlich regionaler und lokaler Behörden, sollten daher die Kompetenz und das öffentliche Bewusstsein im Bereich digitale Gesundheit fördern und gleichzeitig sicherstellen, dass die Umsetzung dieser Verordnung zum Abbau von Ungleichheit beiträgt und Menschen mit mangelnden digitalen Fähigkeiten dabei nicht diskriminiert werden. Besondere Aufmerksamkeit sollte Menschen mit Behinderungen und schutzbedürftigen Gruppen, einschließlich Migranten und älteren Menschen, gewidmet werden. Angehörige der Gesundheitsberufe und IT-Betreiber sollten über ausreichende Schulungen in der Arbeit mit neuen digitalen Infrastrukturen verfügen, um die Cybersicherheit und eine ethische Verwaltung von Gesundheitsdaten sicherzustellen.

(63)

Auch die Mittelverwendung sollte zur Erreichung der Ziele des EHDS beitragen. Öffentliche Beschaffer, zuständige nationale Behörden in den Mitgliedstaaten, einschließlich digitaler Gesundheitsbehörden und Stellen für den Zugang zu Gesundheitsdaten, sowie die Kommission sollten sich bei der Festlegung der Bedingungen für die Vergabe öffentlicher Aufträge, Aufforderungen zur Einreichung von Vorschlägen und die Zuweisung von Unionsmitteln, einschließlich der Struktur- und Kohäsionsfonds, auf die für Interoperabilität, Sicherheit und Datenqualität anwendbaren technischen Spezifikationen, Normen und Profile sowie auf andere im Rahmen dieser Verordnung entwickelte Anforderungen beziehen.

(63)

Auch die Mittelverwendung sollte zur Erreichung der Ziele des EHDS beitragen. Öffentliche Beschaffer, zuständige nationale Behörden in den Mitgliedstaaten, einschließlich digitaler Gesundheitsbehörden und Stellen für den Zugang zu Gesundheitsdaten, sowie die Kommission sollten sich bei der Festlegung der Bedingungen für die Vergabe öffentlicher Aufträge, Aufforderungen zur Einreichung von Vorschlägen und die Zuweisung von Unionsmitteln, einschließlich der Struktur- und Kohäsionsfonds, auf die für Interoperabilität, Sicherheit und Datenqualität anwendbaren technischen Spezifikationen, Normen und Profile sowie auf andere im Rahmen dieser Verordnung entwickelte Anforderungen beziehen. Für die Beschaffung oder Finanzierung von Dienstleistungen, die von Verantwortlichen und Auftragsverarbeitern mit Sitz in der Union erbracht werden, die personenbezogene elektronische Gesundheitsdaten verarbeiten, sollten diese nachweisen müssen, dass sie die Daten in der Union speichern werden und dass sie nicht dem Recht von Drittländern unterliegen, die im Widerspruch zu den Datenschutzvorschriften der Union stehen. Die Unionsmittel sollten unter den Mitgliedstaaten transparent und ausreichend verteilt werden, wobei sichergestellt werden sollte, dass die Mittel angemessen sind und die unterschiedlichen Stufen der Digitalisierung der Gesundheitssysteme sowie die Kosten berücksichtigt werden, die damit verbunden sind, die nationalen Dateninfrastrukturen interoperabel und kompatibel mit den Anforderungen des EHDS zu machen. Die Bereitstellung von Daten zur sekundären Nutzung erfordert zusätzliche Ressourcen für die Gesundheitssysteme, insbesondere für die öffentlichen Systeme. Diese zusätzliche Belastung für öffentliche Einrichtungen sollte während der Umsetzungsphase des EHDS angesprochen und so weit wie möglich minimiert werden.

(63a)

Die wirtschaftlichen Kosten für die Umsetzung dieser Verordnung sollten sowohl auf der Ebene der Mitgliedstaaten als auch auf der Ebene der Union getragen werden, und es sollte für eine faire Aufteilung dieser Belastung zwischen den nationalen und den Unionsfonds gesorgt werden. Die anfängliche EU-Finanzierung für eine rechtzeitige Anwendung des EHDS ist auf die Mittel beschränkt, die im Rahmen des mehrjährigen Finanzrahmens (MFR) 2021-2027 mobilisiert werden können, wo 220 Mio. EUR im Rahmen der Programme EU4Health und Digitales Europa zur Verfügung gestellt werden können. Für die erfolgreiche und kohärente Anwendung des EHDS in allen Mitgliedstaaten wird jedoch eine höhere Finanzierung erforderlich sein. Um das EHDS umzusetzen, sind angemessene Investitionen in den Aufbau von Kapazitäten und Schulungen sowie ein gut finanziertes Engagement für die öffentliche Konsultation und Beteiligung erforderlich. Die Kommission sollte daher im Rahmen der Überprüfung des MFR 2021-2027 und des kommenden MFR weitere Mittel für den EHDS mobilisieren, wobei der Grundsatz gilt, dass neuen Initiativen auch neue Mittel gegenüberstehen sollten.

(64a)

Zum Betrieb des EHDS gehört die Verarbeitung einer großen Menge personenbezogener und nicht personenbezogener Gesundheitsdaten, die hochsensibel sind. Artikel 8 Absatz 3 der Charta der Grundrechte der Europäischen Union (die „Charta“) schreibt vor, dass die Verarbeitung solcher Gesundheitsdaten durch eine unabhängige Behörde überwacht wird. Die Überwachung der Einhaltung der Schutz- und Sicherheitsanforderungen durch eine unabhängige Aufsichtsbehörde, die auf der Grundlage des Unionsrechts durchgeführt wird, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten und kann nicht in vollem Umfang sichergestellt werden, wenn keine Verpflichtung zur Aufbewahrung der betreffenden elektronischen Gesundheitsdaten in der Union besteht. Unter Berücksichtigung der Tatsache, dass die Risiken eines unrechtmäßigen Zugriffs und einer unwirksamen Überwachung gemindert werden müssen, sollten die Mitgliedstaaten durch diese Verordnung unter Beachtung des Grundsatzes der Verhältnismäßigkeit verpflichtet werden, elektronische Gesundheitsdaten in der Union zu speichern. Durch solche Anforderungen an die Speicherung sollten ein einheitlich hohes Schutzniveau für die betroffenen Personen in der gesamten Union sichergestellt werden, das ordnungsgemäße Funktionieren des Binnenmarktes im Einklang mit Artikel 114 AEUV, der die Rechtsgrundlage dieser Verordnung bildet, aufrechterhalten und dazu beigetragen werden, das Vertrauen der Bürger in den elektronischen Gesundheitsdatenspeicher zu stärken.

(64b)

Durch die Verpflichtung, elektronische Gesundheitsdaten in der Union zu speichern, wird die Übermittlung dieser Daten an Drittländer oder internationale Organisationen im Wege der Gewährung des Zugangs zu elektronischen Gesundheitsdaten nicht ausgeschlossen. Der Zugang zu den Daten über die sichere Verarbeitungsumgebung kann die Übermittlung personenbezogener Daten gemäß der Begriffsbestimmung in Kapitel V der Verordnung (EU) 2016/679 nach sich ziehen. Es ist möglich, eine allgemeine Verpflichtung zur Speicherung personenbezogener Daten in der Union mit spezifischen Übermittlungen zu vereinbaren, die im Einklang mit dem Unionsrecht zum Schutz personenbezogener Daten zulässig sind, beispielsweise im Rahmen der wissenschaftlichen Forschung, der Bereitstellung von Pflege oder der internationalen Zusammenarbeit. Insbesondere bei der Übermittlung personenbezogener Daten aus der Union an für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen sollte das in der Union durch die Verordnung (EU) 2016/679 sichergestellte Schutzniveau für natürliche Personen nicht untergraben werden, auch nicht in Fällen der Weiterübermittlung personenbezogener Daten aus dem Drittland oder der internationalen Organisation an für die Verarbeitung Verantwortliche, Auftragsverarbeiter in demselben oder einem anderen Drittland oder einer internationalen Organisation. Die Übermittlung personenbezogener Gesundheitsdaten an Drittländer und internationale Organisationen kann nur unter vollständiger Einhaltung von Kapitel V der Verordnung (EU) 2016/679 erfolgen. So unterliegen beispielsweise für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die personenbezogene elektronische Gesundheitsdaten verarbeiten, weiterhin Artikel 48 der genannten Verordnung über nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung, und sie sollten diese Bestimmung im Falle von Anträgen auf Zugang aus einem Drittland einhalten. Im Einklang mit den Bedingungen von Artikel 9 Absatz 4 der Verordnung (EU) 2016/679 können die Mitgliedstaaten weitere Bedingungen, einschließlich Einschränkungen, in Bezug auf die Übermittlung personenbezogener Gesundheitsdaten an Drittländer oder internationale Organisationen beibehalten oder einführen.

(64c)

Der Zugang zu elektronischen Gesundheitsdaten für Einrichtungen aus Drittländern sollte nur auf der Grundlage des Gegenseitigkeitsprinzips erfolgen. Die Bereitstellung von Gesundheitsdaten an ein Drittland kann nur erfolgen, wenn die Kommission mittels eines delegierten Rechtsakts festgelegt hat, dass das betreffende Drittland die Verwendung von Gesundheitsdaten durch Einrichtungen der Union unter denselben Bedingungen und mit denselben Garantien wie innerhalb der Union gestattet. Die Kommission sollte diese Liste überwachen und eine regelmäßige Überprüfung vorsehen. Sollte die Kommission feststellen, dass ein Drittland den Zugang nicht mehr zu denselben Bedingungen gewährleistet, sollte dieses Drittland von der Liste gestrichen werden.

(65)

Um die einheitliche Anwendung dieser Verordnung zu fördern, sollte ein Ausschuss für den europäischen Raum für Gesundheitsdaten (EHDS-Ausschuss) eingerichtet werden. Die Kommission sollte sich an dessen Tätigkeiten beteiligen und den Vorsitz führen. Der EHDS-Ausschuss sollte zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beitragen, unter anderem indem er die Mitgliedstaaten bei der Koordinierung der Nutzung elektronischer Gesundheitsdaten für die Gesundheitsversorgung, der Zertifizierung, aber auch im Hinblick auf die Sekundärnutzung elektronischer Gesundheitsdaten unterstützt. Da auf nationaler Ebene die digitalen Gesundheitsbehörden, die mit der Primärnutzung elektronischer Gesundheitsdaten befasst sind, und die Stellen für den Zugang zu Gesundheitsdaten, die mit der Sekundärnutzung elektronischer Gesundheitsdaten befasst sind, unterschiedliche Stellen sein können und daher die Funktionen unterschiedlich sind und in jedem dieser Bereiche eine gesonderte Zusammenarbeit erfolgen muss, sollte der EHDS-Ausschuss in der Lage sein, Untergruppen einzusetzen, die sich mit beiden Funktionen befassen, sowie gegebenenfalls weitere Untergruppen. Im Interesse einer effizienten Arbeitsweise sollten die digitalen Gesundheitsbehörden und die für den Zugang zu Gesundheitsdaten zuständigen Stellen mit verschiedenen anderen Stellen und Behörden auf nationaler Ebene, aber auch auf Unionsebene Netzwerke und Verbindungen aufbauen. Diese Stellen könnten Datenschutzbehörden, Einrichtungen für Cybersicherheit und elektronische Identifizierung, Normungsgremien sowie Einrichtungen und Sachverständigengruppen gemäß den Verordnungen […], […], […] und […] [Daten-Governance-Gesetz, Datengesetz, KI-Gesetz und Rechtsakt zur Cybersicherheit] umfassen.

(65)

Um die einheitliche Anwendung dieser Verordnung , einschließlich der grenzüberschreitenden Interoperabilität von Gesundheitsdaten, und möglicher Mechanismen zur finanziellen Unterstützung, um eine gleichberechtigte Entwicklung von Datensystemen in der gesamten Union im Hinblick auf die Primär - und Sekundärnutzung elektronischer Gesundheitsdaten sicherzustellen, zu fördern sollte ein Ausschuss für den europäischen Raum für Gesundheitsdaten (EHDS-Ausschuss) eingerichtet werden. Die Kommission sollte sich an dessen Tätigkeiten beteiligen und den Vorsitz führen. Der EHDS-Ausschuss sollte zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beitragen, unter anderem indem er die Mitgliedstaaten bei der Koordinierung der Nutzung elektronischer Gesundheitsdaten für die Gesundheitsversorgung, der Zertifizierung, aber auch im Hinblick auf die Sekundärnutzung elektronischer Gesundheitsdaten unterstützt. Da auf nationaler Ebene die digitalen Gesundheitsbehörden, die mit der Primärnutzung elektronischer Gesundheitsdaten befasst sind, und die Stellen für den Zugang zu Gesundheitsdaten, die mit der Sekundärnutzung elektronischer Gesundheitsdaten befasst sind, unterschiedliche Stellen sein können und daher die Funktionen unterschiedlich sind und in jedem dieser Bereiche eine gesonderte Zusammenarbeit erfolgen muss, sollte der EHDS-Ausschuss in der Lage sein, Untergruppen einzusetzen, die sich mit beiden Funktionen befassen, sowie gegebenenfalls weitere Untergruppen. Im Interesse einer effizienten Arbeitsweise sollten die digitalen Gesundheitsbehörden und die für den Zugang zu Gesundheitsdaten zuständigen Stellen mit verschiedenen anderen Stellen und Behörden auf nationaler Ebene, aber auch auf Unionsebene Netzwerke und Verbindungen aufbauen. Diese Stellen könnten Datenschutzbehörden, Einrichtungen für Cybersicherheit und elektronische Identifizierung, Normungsgremien sowie Einrichtungen und Sachverständigengruppen gemäß den Verordnungen […], […], […] und […] [Daten-Governance-Gesetz, Datengesetz, KI-Gesetz und Rechtsakt zur Cybersicherheit] umfassen. Der EHDS-Ausschuss sollte im Einklang mit seinem Verhaltenskodex unparteiisch, unabhängig, im öffentlichen Interesse und transparent arbeiten, wobei die Sitzungstermine und die Protokolle seiner Diskussionen sowie ein Jahresbericht veröffentlicht werden. Darüber hinaus ist es angebracht, ausreichende Garantien festzulegen, um sicherzustellen, dass bei den Mitgliederndes EHDS-Ausschusses keine Interessenkonflikte vorliegen.

(65a)

Es sollte ein Beirat eingerichtet werden, der den EHDS-Ausschuss bei der Erfüllung seiner Aufgaben berät, indem er Beiträge der Interessenträger zu Fragen im Zusammenhang mit dieser Verordnung liefert. Der Beirat sollte sich aus Vertretern der Patienten, der Verbraucher, der Angehörigen der Gesundheitsberufe, der Industrie, der wissenschaftlichen Forschung und der Hochschulen zusammensetzen. Er sollte ausgewogen zusammengesetzt sein und die Ansichten der verschiedenen relevanten Interessengruppen sollten vertreten sein. Sowohl kommerzielle als auch nichtkommerzielle Interessen sollten vertreten sein.

(66a)

Jede natürliche Person sollte das Recht haben, bei einer Behörde für digitale Gesundheit oder einer Stelle für den Zugang zu Gesundheitsdaten insbesondere in dem Mitgliedstaat, ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn die natürliche Person sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die digitale Gesundheitsbehörde oder die Stelle für den Zugang zu Gesundheitsdaten auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der natürlichen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich einer gerichtlichen Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die digitale Gesundheitsbehörde oder die Stelle für den Zugang zu Gesundheitsdaten sollte die natürliche Person innerhalb einer angemessenen Frist über den Verlauf und das Ergebnis der Beschwerde informieren. Erfordert der Fall weitere Ermittlungen oder eine Koordinierung mit einer anderen digitalen Gesundheitsbehörde oder einer Stelle für den Zugang zu Gesundheitsdaten, sollte die betroffene natürliche Person über den Zwischenstand informiert werden. Um die Einreichung von Beschwerden zu erleichtern, sollte jede digitale Gesundheitsbehörde und jede Stelle für den Zugang zu Gesundheitsdaten Maßnahmen ergreifen, wie z. B. die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, wobei die Möglichkeit, andere Kommunikationsmittel zu nutzen, nicht ausgeschlossen werden sollte. Betrifft die Beschwerde die Rechte natürlicher Personen, sollte die Stelle für den Zugang zu Gesundheitsdaten die Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 informieren und ihnen eine Kopie der Beschwerde übermitteln.

(66b)

Natürliche Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde einzulegen.

(66c)

Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV genannten Voraussetzungen beim Gerichtshof eine Klage auf Nichtigerklärung eines Beschlusses des EHDS-Ausschusses zu erheben. Als Adressaten solcher Beschlüsse müssen die betroffenen digitalen Gesundheitsbehörden oder Stellen für den Zugang zu Gesundheitsdaten, die diese anfechten wollen, gemäß Artikel 263 AEUV innerhalb von zwei Monaten nach ihrer Bekanntgabe Klage erheben. Gemäß Artikel 263 AEUV können Inhaber von Gesundheitsdaten, Antragsteller für Gesundheitsdaten, Nutzer von Gesundheitsdaten oder Beschwerdeführer innerhalb von zwei Monaten nach ihrer Veröffentlichung auf der Website des EHDS-Ausschusses eine Klage auf Nichtigerklärung gegen die sie betreffenden Entscheidungen des EHDS-Ausschusses erheben. Unbeschadet dieses Rechts nach Artikel 263 AEUV sollte jede natürliche oder juristische Person einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen nationalen Gericht gegen eine Entscheidung einer digitalen Gesundheitsbehörde oder einer Stelle für den Zugang zu Gesundheitsdaten einlegen können, die Rechtswirkungen für diese Person entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Stelle für den Zugang zu Gesundheitsdaten oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch keine Maßnahmen, die von digitalen Gesundheitsbehörden und Stelle für den Zugang zu Gesundheitsdaten ergriffen werden und die nicht rechtsverbindlich sind, wie z. B. Stellungnahmen oder Beratung. Verfahren gegen eine digitale Gesundheitsbehörde oder eine Stelle für den Zugang zu Gesundheitsdaten sollten vor den Gerichten des Mitgliedstaats eingeleitet werden, in dem die digitale Gesundheitsbehörde oder die Stelle für den Zugang zu Gesundheitsdaten ihren Sitz hat, und sie sollten im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt. Wurde eine Beschwerde von einer digitalen Gesundheitsbehörde oder einer Stelle für den Zugang zu Gesundheitsdaten abgewiesen oder abgelehnt, kann der Beschwerdeführer vor den Gerichten desselben Mitgliedstaates Klage erheben.

(66d)

Hat ein mit einem Verfahren gegen die Entscheidung einer digitalen Gesundheitsbehörde oder einer Stelle für den Zugang zu Gesundheitsdaten befasstes Gericht Anlass zu der Vermutung, dass ein denselben Zugang zu elektronischen Gesundheitsdaten durch denselben Nutzer von Gesundheitsdaten betreffendes Verfahren – etwa zum selben Zweck der Verarbeitung für eine Sekundärnutzung – vor einem zuständigen Gericht in einem anderen Mitgliedstaat anhängig ist, so sollte es mit diesem Gericht Kontakt aufnehmen, um sich zu vergewissern, dass ein solches verwandtes Verfahren existiert. Sind verwandte Verfahren vor einem Gericht in einem anderen Mitgliedstaat anhängig, so sollte jedes später angerufene Gericht das Verfahren aussetzen oder sich auf Anfrage einer Partei auch zugunsten des zuerst angerufenen Gerichts für unzuständig erklären können, wenn dieses später angerufene Gericht für die betreffenden Verfahren zuständig ist und die Verbindung von solchen verwandten Verfahren nach seinem Recht zulässig ist. Verfahren sollten als miteinander verwandt gelten, wenn zwischen ihnen eine so enge Beziehung gegeben ist, dass eine gemeinsame Verhandlung und Entscheidung geboten erscheint, um zu vermeiden, dass in getrennten Verfahren einander widersprechende Entscheidungen ergehen.

(66e)

Bei Verfahren gegen einen Inhaber oder Nutzer von Gesundheitsdaten sollte der Kläger die Wahl haben, die Klage vor den Gerichten der Mitgliedstaaten zu erheben, in denen der Inhaber oder Nutzer von Gesundheitsdaten eine Niederlassung hat oder in denen die natürliche Person ihren Wohnsitz innehat, es sei denn, es handelt sich beim Inhaber von Gesundheitsdaten um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer öffentlichen Befugnisse handelt.

(66f)

Die digitale Gesundheitsbehörde, die Stelle für den Zugang zu Gesundheitsdaten, der Inhaber der Gesundheitsdaten oder der Nutzer der Gesundheitsdaten sollte jeden Schaden ersetzen, der einer Person durch eine gegen diese Verordnung verstoßende Verarbeitung entstehen könnte. Die digitale Gesundheitsbehörde, die Stelle für den Zugang zu Gesundheitsdaten, der Inhaber von Gesundheitsdaten oder der Nutzer von Gesundheitsdaten sollte von der Haftung befreit werden, wenn sie nachweisen, dass sie in keiner Weise für den Schaden verantwortlich waren. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des nationalen Rechts. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, sollte auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und einzelstaatlicher Rechtsvorschriften zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Natürliche Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Sind digitale Gesundheitsbehörden, Stellen für den Zugang zu Gesundheitsdaten, Inhaber von Gesundheitsdaten oder Nutzer von Gesundheitsdaten an derselben Verarbeitung beteiligt, so sollte jeder Akteur für den gesamten Schaden haftbar gemacht werden. Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, sollte es nach dem Recht der Mitgliedstaaten möglich sein, sie im Verhältnis zu der Verantwortung, die jede digitale Gesundheitsbehörde, Stelle für den Zugang zu Gesundheitsdaten bzw. jeder Inhaber von Gesundheitsdaten oder Nutzer von Gesundheitsdaten für den durch die Verarbeitung entstandenen Schaden zu tragen hat, anteilmäßig haftbar zu machen, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. Jede digitale Gesundheitsbehörde, Stelle für den Zugang zu Gesundheitsdaten bzw. jeder Inhaber von Gesundheitsdaten oder Nutzer von Gesundheitsdaten, die bzw. der den vollen Schadenersatz geleistet hat, sollte anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte digitale Gesundheitsbehörden, Stellen für den Zugang zu Gesundheitsdaten, Inhaber von Gesundheitsdaten oder Nutzer von Gesundheitsdaten an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen können.

(66g)

Soweit in dieser Verordnung spezifische Vorschriften über die Gerichtsbarkeit – insbesondere in Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschließlich Schadenersatz gegen eine digitale Gesundheitsbehörde, eine Stelle für den Zugang zu Gesundheitsdaten, einen Inhaber von Gesundheitsdaten oder einen Nutzer von Gesundheitsdaten – enthalten sind, sollten die allgemeinen Vorschriften über die Gerichtsbarkeit, wie sie etwa in der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates  (1a) enthalten sind, der Anwendung dieser spezifischen Vorschriften nicht entgegenstehen.

(66h)

Um die Durchsetzung der Vorschriften dieser Verordnung zu verstärken, sollten bei Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die digitale Gesundheitsbehörde oder die Stelle für den Zugang zu Gesundheitsdaten gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigen Verstoßes oder falls eine voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, sollte es möglich sein, anstelle einer Geldbuße eine Verwarnung zu erteilen. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der digitalen Gesundheitsbehörde oder der Stelle für den Zugang zu Gesundheitsdaten bekannt wurde, der Einhaltung der gegen die digitale Gesundheitsbehörde oder die Stelle für den Zugang zu Gesundheitsdaten angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.

(66i)

Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen für Verstöße gegen diese Verordnung, auch für Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene nationale Vorschriften, festlegen können. Solche strafrechtlichen Sanktionen könnten auch die Einziehung der durch Verstöße gegen diese Verordnung erzielten Gewinne umfassen. Die Verhängung von strafrechtlichen Sanktionen für Verstöße gegen solche nationalen Vorschriften und von verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof ausgelegt worden ist, führen.

(66j)

Es sollten Bestimmungen festgelegt werden, die es den Stellen für den Zugang zu Gesundheitsdaten ermöglichen, bei bestimmten Verstößen gegen diese Verordnung Geldbußen zu verhängen, wobei bestimmte Verstöße, wie etwa die Rekonstruktion der Identität natürlicher Personen, das Herunterladen personenbezogener Gesundheitsdaten außerhalb der sicheren Verarbeitungsumgebung und die Verarbeitung von Daten für verbotene Zwecke oder außerhalb einer Datengenehmigung, als schwerwiegende Verstöße anzusehen sind. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Stelle für den Zugang zu Gesundheitsdaten in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen festzusetzen sind, die ergriffen wurden, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen sicherzustellen und die Folgen des Verstoßes abzuwenden oder abzumildern. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Stelle für den Zugang zu Gesundheitsdaten bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Das Kohärenzverfahren könnte auch genutzt werden, um die kohärente Anwendung von Geldbußen zu fördern. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die Stellen für den Zugang zu Gesundheitsdaten bereits Geldbußen verhängt oder eine Verwarnung erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe dieser Verordnung verhängen.

(66k)

Nach den Rechtsordnungen Dänemarks und Estlands sind die in dieser Verordnung vorgesehenen Geldbußen nicht vorgesehen. Es sollte möglich sein, die Vorschriften über Geldbußen so anzuwenden, dass die Geldbuße in Dänemark durch die zuständigen nationalen Gerichte als Strafe und in Estland durch die Aufsichtsbehörde im Rahmen eines Verfahrens bei Vergehen verhängt wird, sofern eine solche Anwendung der Vorschriften in diesen Mitgliedstaaten die gleiche Wirkung wie die von den Aufsichtsbehörden verhängten Geldbußen hat. Daher sollten die zuständigen nationalen Gerichte die Empfehlung der Stelle für den Zugang zu Gesundheitsdaten, die die Geldbuße in die Wege geleitet hat, berücksichtigen. In jeden Fall sollten die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein.

(66l)

Soweit diese Verordnung verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn es in anderen Fällen – beispielsweise bei schweren Verstößen gegen diese Verordnung – erforderlich ist, sollten die Mitgliedstaaten eine Regelung anwenden, die wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht. Die Art dieser Sanktionen (strafrechtliche oder verwaltungsrechtliche Sanktionen) sollte im nationalen Recht geregelt werden.

(69a)

Gemäß Artikel 42 der Verordnung (EU) 2018/1725 sollte die Kommission bei der Ausarbeitung von delegierten Rechtsakten oder Durchführungsrechtsakten den Europäischen Datenschutzbeauftragten konsultieren, wenn es Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten gibt, und wenn ein solcher Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung ist, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. Darüber hinaus sollte die Kommission den Europäischen Datenschutzausschuss in den in der Verordnung (EU) 2016/679 genannten Fällen konsultieren, wenn dies im Zusammenhang mit der vorliegenden Verordnung relevant ist.

(70)

Die Mitgliedstaaten sollten alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Bestimmungen dieser Verordnung eingehalten werden, und dazu u. a. wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen. Bei bestimmten Verstößen sollten die Mitgliedstaaten die in dieser Verordnung festgelegten Spielräume und Kriterien berücksichtigen.

(70)

Die Mitgliedstaaten sollten alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Bestimmungen dieser Verordnung eingehalten werden, und dazu u. a. wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen. Bei der Entscheidung über die Höhe der Sanktion in jedem Einzelfall sollten die Mitgliedstaaten die in dieser Verordnung festgelegten Spielräume und Kriterien berücksichtigen. Die Rekonstruktion der Identität natürlicher Personen sollte als besonders schwerer Verstoß gegen diese Verordnung angesehen werden. Die Mitgliedstaaten sollten in Erwägung ziehen können, die Rekonstruktion der Identität durch Nutzer von Gesundheitsdaten unter Strafe zu stellen, damit dies als abschreckende Maßnahme dient.

(71)

Die Kommission sollte eine Evaluierung dieser Verordnung vornehmen, um zu bewerten, ob die Ziele der Verordnung wirkungsvoll und effizient erreicht werden, ob sie konsistent und immer noch relevant ist und einen EU-Mehrwert bietet. Die Kommission sollte fünf Jahre nach dem Inkrafttreten der Verordnung eine Teilbewertung bezüglich der Selbstzertifizierung von EHR-Systemen vornehmen und sieben Jahre nach ihrem Inkrafttreten eine Gesamtbewertung. Die Kommission sollte dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen nach jeder Bewertung einen Bericht über die wichtigsten Ergebnisse übermitteln.

(71)

Die Kommission sollte eine Evaluierung dieser Verordnung vornehmen, um zu bewerten, ob die Ziele der Verordnung wirkungsvoll und effizient erreicht werden, ob sie konsistent und immer noch relevant ist und einen EU-Mehrwert bietet. Die Kommission sollte fünf Jahre nach dem Inkrafttreten der Verordnung eine Teilbewertung dieser Verordnung vornehmen und sieben Jahre nach ihrem Inkrafttreten eine Gesamtbewertung. Die Kommission sollte dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen nach jeder Bewertung einen Bericht über die wichtigsten Ergebnisse übermitteln.

(74)

Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss wurden gemäß Artikel 42 der Verordnung (EU) 2018/1725 angehört und haben am […] eine Stellungnahme abgegeben.

(74)

Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss wurden gemäß Artikel 42 der Verordnung (EU) 2018/1725 angehört und haben eine gemeinsame Stellungnahme 03/2022 am 12. Juli 2022 abgegeben.

(76)

Da technische Vorbereitungen erforderlich sind, sollte diese Verordnung ab dem [ 12  Monate nach Inkrafttreten] gelten —

(76)

Da technische Vorbereitungen erforderlich sind, sollte diese Verordnung ab dem [24  Monate nach Inkrafttreten] gelten —

a)

stärkt die Rechte natürlicher Personen in Bezug auf die Verfügbarkeit ihrer elektronischen Gesundheitsdaten und die Kontrolle über diese Daten;

a)

legt die Rechte natürlicher Personen in Bezug auf die Verfügbarkeit , und Weitergabe ihrer elektronischen Gesundheitsdaten und die Kontrolle über diese Daten fest ;

a)

Hersteller und Anbieter von EHR-Systemen und Wellness-Anwendungen, die in der Union in Verkehr gebracht und in Betrieb genommen werden, und Nutzer solcher Produkte;

a)

Hersteller und Anbieter von EHR-Systemen und Wellness-Anwendungen sowie von Produkten, für die Interoperabilität mit EHR-Systemen beansprucht wird , die in der Union in Verkehr gebracht und in Betrieb genommen werden, und Nutzer solcher Produkte;

c)

die Begriffsbestimmungen für „Daten“, „Zugang“, „Datenaltruismus“, „öffentliche Stelle“ und „sichere Verarbeitungsumgebung“ im Sinne des Artikels 2 Nummern 1, 8, 10, 11 und 14 des [Daten-Governance-Gesetzes (COM(2020) 767 final)] ;

c)

die Begriffsbestimmungen für „Daten“, „Zugang“, „Datenaltruismus“, „öffentliche Stelle“ und „sichere Verarbeitungsumgebung“ im Sinne des Artikels 2 Nummern 1, 8, 10, 11 und 14 der Verordnung (EU) 2022/868 ;

a)

„personenbezogene elektronische Gesundheitsdaten“ bezeichnet Daten über die Gesundheit und genetische Daten im Sinne der Verordnung (EU) 2016/679 sowie Daten über Gesundheitsfaktoren oder Daten, die im Zusammenhang mit der Erbringung von Gesundheitsdiensten verarbeitet werden , sofern sie in elektronischer Form verarbeitet werden;

a)

„personenbezogene elektronische Gesundheitsdaten“ bezeichnet Daten über die Gesundheit und genetische Daten im Sinne der Verordnung (EU) 2016/679, die in elektronischer Form verarbeitet werden;

b)

„nicht personenbezogene elektronische Gesundheitsdaten“ bezeichnet Daten über die Gesundheit und genetische Daten in elektronischem Format, die nicht unter die Begriffsbestimmung für personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679 fallen;

b)

„nicht personenbezogene elektronische Gesundheitsdaten“ bezeichnet Daten über die Gesundheit und aggregierte genetische Daten in elektronischem Format, die nicht unter die Begriffsbestimmung für personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679 fallen; wenn personenbezogene und nicht personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind, wird der gesamte Datensatz als personenbezogene elektronische Gesundheitsdaten verarbeitet;

d)

„Primärnutzung elektronischer Gesundheitsdaten“ bezeichnet die Verarbeitung personenbezogener elektronischer Gesundheitsdaten für die Erbringung von Gesundheitsdiensten zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der natürlichen Person, auf die sich die Daten beziehen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten, sowie für die einschlägigen Dienste der Sozialversicherung, Verwaltung oder Kostenerstattung;

d)

„Primärnutzung elektronischer Gesundheitsdaten“ bezeichnet die Verarbeitung elektronischer Gesundheitsdaten für die Erbringung von Gesundheitsdiensten zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands der natürlichen Person, auf die sich die Daten beziehen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten, sowie für die einschlägigen Dienste der Sozialversicherung, Verwaltung oder Kostenerstattung;

e)

„Sekundärnutzung elektronischer Gesundheitsdaten“ bezeichnet die Verarbeitung elektronischer Gesundheitsdaten für die Zwecke des Kapitels IV dieser Verordnung. Die verwendeten Daten können personenbezogene elektronische Gesundheitsdaten, die zunächst im Rahmen der Primärnutzung erhoben wurden, ebenso umfassen wie elektronische Gesundheitsdaten, die für die Zwecke der Sekundärnutzung erhoben wurden;

e)

„Sekundärnutzung elektronischer Gesundheitsdaten“ bezeichnet die Verarbeitung elektronischer Gesundheitsdaten für die Zwecke des Kapitels IV dieser Verordnung. Die verwendeten Daten können personenbezogene elektronische Gesundheitsdaten, die zunächst im Rahmen der Primärnutzung erhoben wurden, ebenso umfassen wie elektronische Gesundheitsdaten, die für die Zwecke von Kapitel IV dieser Verordnung erhoben wurden;

j)

„Zugangsdienst für Angehörige der Gesundheitsberufe“ bezeichnet einen von einem EHR-System unterstützten Dienst, der es Angehörigen der Gesundheitsberufe ermöglicht, auf die Daten natürlicher Personen , die sich in ihrer Behandlung befinden, zuzugreifen;

j)

„Zugangsdienst für Angehörige der Gesundheitsberufe“ bezeichnet einen von einem EHR-System unterstützten Dienst, der es Angehörigen der Gesundheitsberufe ermöglicht, auf die Daten der von ihnen betreuten natürlichen Personen zuzugreifen;

k)

„ Datenempfänger “ bezeichnet eine natürliche oder juristische Person, die Daten von einem anderen Verantwortlichen im Zusammenhang mit der Primärnutzung elektronischer Gesundheitsdaten erhält ;

k)

„ Empfänger von Gesundheitsdaten “ bezeichnet einen Empfänger entsprechend der Begriffsbestimmung in Artikel 4 Absatz 9 der Verordnung (EU) 2016/679 im Zusammenhang mit der Primärnutzung elektronischer Gesundheitsdaten;

l)

„Telemedizin“ bezeichnet die Erbringung von Gesundheitsdienstleistungen, auch durch medizinische Fernversorgung und Online-Apotheken , mithilfe von Informations- und Kommunikationstechnologien in Situationen, in denen sich der Angehörige eines Gesundheitsberufs und der Patient (oder mehrere Angehörige der Gesundheitsberufe) nicht an demselben Ort befinden;

l)

„Telemedizin“ bezeichnet die Erbringung von Gesundheitsdienstleistungen, auch durch medizinische Fernversorgung, mithilfe von Informations- und Kommunikationstechnologien in Situationen, in denen sich der Angehörige eines Gesundheitsberufs und der Patient (oder mehrere Angehörige der Gesundheitsberufe) nicht an demselben Ort befinden;

m)

„elektronische Patientenakte (EHR – electronic health record)“ bezeichnet eine Sammlung elektronischer Gesundheitsdaten, die sich auf eine natürliche Person beziehen, im Gesundheitssystem erfasst sind und für Gesundheitszwecke verarbeitet werden;

m)

„elektronische Patientenakte (EHR – electronic health record)“ bezeichnet eine Sammlung elektronischer Gesundheitsdaten, die sich auf eine natürliche Person beziehen, im Gesundheitssystem erfasst sind und für und zum Zweck der Erbringung von Gesundheitsdienstleistungen verarbeitet werden;

n)

„EHR-System (System für elektronische Patientenakten)“ bezeichnet jedes Gerät oder jede Software, das bzw. die vom Hersteller dazu bestimmt ist, elektronische Patientenakten zu speichern, zu vermitteln, zu importieren, zu exportieren, zu konvertieren, zu bearbeiten oder anzuzeigen;

n)

„EHR-System (System für elektronische Patientenakten)“ bezeichnet jedes Produkt ( jede Hardware oder jede Software); die vom Hersteller in erster Linie dazu bestimmt ist, elektronische Patientenakten zu speichern, zu vermitteln, zu importieren, zu exportieren, zu konvertieren, zu bearbeiten oder anzuzeigen , oder von der der Hersteller vernünftigerweise erwarten kann, dass sie für diese Zwecke verwendet wird ;

o)

„Wellness-Anwendung“ bezeichnet jedes Gerät oder jede Software, das bzw. die vom Hersteller dazu bestimmt ist, von einer natürlichen Person für die Verarbeitung elektronischer Gesundheitsdaten zu anderen Zwecken als der Gesundheitsversorgung verwendet zu werden, etwa zur Erzeugung von Wohlbefinden und zur Einhaltung einer gesunden Lebensweise;

q)

„schwerwiegendes Vorkommnis“ bezeichnet jede Fehlfunktion oder Verschlechterung der Eigenschaften oder der Leistung eines auf dem Markt bereitgestellten EHR-Systems, die direkt oder indirekt eine der nachstehenden Folgen hat, hätte haben können oder haben könnte:

q)

„schwerwiegendes Vorkommnis“ bezeichnet jede Fehlfunktion oder Verschlechterung der Eigenschaften oder der Leistung eines auf dem Markt bereitgestellten EHR-Systems, die direkt oder indirekt eine der nachstehenden Folgen hat, hatte oder haben könnte:

i)

den Tod oder die schwere gesundheitliche Schädigung einer natürlichen Person;

i)

den Tod oder die schwere gesundheitliche Schädigung der Gesundheit oder der Rechte einer natürlichen Person;

y)

„ Dateninhaber “ bezeichnet jede natürliche oder juristische Person, bei der es sich um eine Organisation oder Einrichtung im Gesundheits - oder Pflegesektor handelt oder die Forschungstätigkeiten hinsichtlich dieser Sektoren durchführt, sowie Organe, Einrichtungen und sonstige Stellen der Union, die gemäß dieser Verordnung, dem geltenden Unionsrecht oder den nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts dazu berechtigt oder verpflichtet sind  – oder im Falle nicht personenbezogener Daten durch Kontrolle der technischen Konzeption eines Produkts und der damit zusammenhängenden Dienste dazu befähigt sind –, bestimmte Daten zur Verfügung zu stellen und sie auch zu registrieren, bereitzustellen, den Zugang zu ihnen einzuschränken oder sie auszutauschen;

y)

„ Inhaber von Gesundheitsdaten “ bezeichnet jede natürliche oder juristische Person, bei der es sich um eine Organisation oder Einrichtung im Gesundheitssektor, im Bereich der sozialen Sicherheit, im Pflegesektor oder im Bereich der Dienste der Kostenerstattung handelt oder die Forschungstätigkeiten hinsichtlich dieser Sektoren durchführt, sowie Organe, Einrichtungen und sonstige Stellen der Union, die gemäß dieser Verordnung, dem geltenden Unionsrecht oder den nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts

i)

als für die Verarbeitung Verantwortlicher im Sinne der Verordnung (EU) 2016/679 fungieren und gemäß dieser Verordnung, dem geltenden Unionsrecht oder den nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts dazu berechtigt oder verpflichtet sind , personenbezogene elektronische Gesundheitsdaten zu verarbeiten; oder

ii)

dazu befähigt sind, nicht personenbezogene elektronische Gesundheitsdaten durch die Kontrolle der technischen Konzeption eines Produkts und der damit zusammenhängenden Dienste zur Verfügung zu stellen und sie auch zu registrieren, bereitzustellen, den Zugang zu ihnen einzuschränken oder sie auszutauschen;

z)

„ Datennutzer “ bezeichnet eine natürliche oder juristische Person, die rechtmäßig Zugang zu personenbezogenen oder nicht personenbezogenen elektronischen Gesundheitsdaten für die Sekundärnutzung hat ;

z)

„ Nutzer von Gesundheitsdaten “ bezeichnet eine natürliche oder juristische Person bzw. ein Organ, eine Einrichtung und sonstige Stelle der Union, der bzw. dem gemäß dieser Verordnung aufgrund einer Datengenehmigung oder eines Antrags auf Gesundheitsdaten rechtmäßig Zugang zu elektronischen Gesundheitsdaten für die Sekundärnutzung gewährt wurde ;

za)

„Antragsteller für Gesundheitsdaten“ bezeichnet jede natürliche oder juristische Person, die nachweislich eine berufliche Verbindung zum Gesundheitswesen, zur Bereich der öffentlichen Gesundheit oder zur medizinischen Forschung hat und einen Antrag auf Gesundheitsdaten stellt;

aa)

„ Datengenehmigung “ bezeichnet eine Verwaltungsentscheidung, die von einer Zugangsstelle für Gesundheitsdaten oder einem Dateninhaber zwecks Verarbeitung der in der Datengenehmigung angegebenen elektronischen Gesundheitsdaten für die in der Datengenehmigung angegebenen Sekundärnutzungszwecke entsprechend den in dieser Verordnung festgelegten Bedingungen an einen Datennutzer ergeht;

aa)

„ Gesundheitsdatengenehmigung “ bezeichnet eine Verwaltungsentscheidung, die von einer Zugangsstelle für Gesundheitsdaten oder einem Dateninhaber zwecks Verarbeitung der in der Datengenehmigung angegebenen elektronischen Gesundheitsdaten für die in der Datengenehmigung angegebenen Sekundärnutzungszwecke entsprechend den in dieser Verordnung festgelegten Bedingungen an einen Datennutzer ergeht;

aea)

„Wellness-App“ bezeichnet jedes Gerät oder jede Software, das bzw. die vom Hersteller dazu bestimmt ist, von einer natürlichen Person für die Verarbeitung elektronischer Gesundheitsdaten speziell für die Bereitstellung von Informationen über die Verwaltung, Erhaltung oder Verbesserung der Gesundheit einzelner Personen oder die Bereitstellung von Pflegeleistungen verwendet zu werden;

a)

richten einen oder mehrere Zugangsdienste für elektronische Gesundheitsdaten auf nationaler, regionaler oder lokaler Ebene ein, um die Ausübung der in den Absätzen 1 und 2 genannten Rechte zu ermöglichen;

a)

richten einen oder mehrere Zugangsdienste für elektronische Gesundheitsdaten auf nationaler oder regionaler Ebene ein, um die Ausübung der in diesem Artikel genannten Rechte zu ermöglichen;

b)

richten einen oder mehrere Proxy-Dienste ein, damit eine natürliche Person andere natürliche Personen ihrer Wahl bevollmächtigen kann, für sie auf ihre elektronischen Gesundheitsdaten zuzugreifen.

b)

richten einen oder mehrere Proxy-Dienste ein, damit eine natürliche Person andere natürliche Personen ihrer Wahl rechtlich bevollmächtigen kann, für sie für einen bestimmten oder unbestimmten Zeitraum und bei Bedarf nur für einen bestimmten Zweck auf ihre elektronischen Gesundheitsdaten zuzugreifen , oder damit gesetzliche Vertreter von Patienten im Einklang mit dem nationalen Recht auf die elektronischen Gesundheitsdaten der natürlichen Personen zugreifen können, deren Angelegenheiten sie verwalten .

a)

haben sie unabhängig vom Versicherungs- und Behandlungsmitgliedstaat Zugriff auf die elektronischen Gesundheitsdaten der von ihnen behandelten natürlichen Personen;

a)

haben sie gemäß Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 auf der Grundlage der Grundsätze der Datenminimierung und der Zweckbindung unabhängig vom Versicherungs- und Behandlungsmitgliedstaat Zugriff auf die elektronischen Gesundheitsdaten der von ihnen behandelten natürlichen Personen , und zwar ausschließlich für die Zwecke dieser Behandlung, einschließlich der dazugehörigen Verwaltung ;

e)

Laborergebnisse;

e)

Laborergebnisse , medizinische Testergebnisse und andere ergänzende und diagnostische Ergebnisse ;

f)

Entlassungsberichte.

f)

Entlassungsberichte von Patienten;

fa)

medizinische Anordnungen der natürlichen Personen und Informationen über die Einwilligung in Substanzen menschlichen Ursprungs und Organspenden.

a)

Die Kategorie ist in Bezug auf die Erbringung von Gesundheitsdienstleistungen für natürliche Personen relevant.

b)

Aus aktuellen Informationen geht hervor, dass die Kategorie in einer erheblichen Anzahl von nationalen EHR-Systemen verwendet wird.

c)

Für die Kategorie gibt es internationale Normen, die im Hinblick auf eine Anwendung in der Union geprüft wurden.

a)

Datensätze mit elektronischen Gesundheitsdaten und definierenden Strukturen wie Datenfeldern und Datengruppen für die inhaltliche Darstellung klinischer Inhalte und anderer Bestandteile der elektronischen Gesundheitsdaten;

a)

harmonisierte mit elektronischen Gesundheitsdaten und definierenden Strukturen, wie Mindestdatenfeldern und Datengruppen für die inhaltliche Darstellung klinischer Inhalte und anderer Bestandteile der elektronischen Gesundheitsdaten , die um krankheitsspezifische Daten erweitert werden können ;

c)

technische Spezifikationen für den Austausch elektronischer Gesundheitsdaten, einschließlich ihrer inhaltlichen Darstellung, Standards und Profilen.

c)

technische Interoperabilitätsspezifikationen für den Austausch elektronischer Gesundheitsdaten, einschließlich ihrer inhaltlichen Darstellung, Standards und Profilen , sowie für die Übersetzung elektronischer Gesundheitsdaten .

a)

Kategorien von Gesundheitsdienstleistern, die Gesundheitsdaten elektronisch registrieren müssen;

b)

Kategorien von Gesundheitsdaten, die von den unter Buchstabe a genannten Gesundheitsdienstleistern systematisch in einem elektronischen Format zu registrieren sind;

c)

Anforderungen an die Datenqualität im Zusammenhang mit der elektronischen Registrierung von Gesundheitsdaten.

b)

dafür zu sorgen, dass natürlichen Personen, Angehörigen der Gesundheitsberufe und Gesundheitsdienstleistern vollständige und aktuelle Informationen über die Umsetzung der in den Kapiteln II und III vorgesehenen Rechte und Pflichten jederzeit zur Verfügung stehen;

b)

dafür zu sorgen, dass natürlichen Personen, Angehörigen der Gesundheitsberufe und Gesundheitsdienstleistern vollständige und aktuelle Informationen über die Umsetzung der in den Kapiteln II und III vorgesehenen Rechte und Pflichten jederzeit zur Verfügung stehen und dass auf lokaler, regionaler und nationaler Ebene geeignete Schulungsmaßnahmen durchgeführt werden ;

h)

auf Unionsebene zur Entwicklung des europäischen Austauschformats für elektronische Patientenakten sowie zur Ausarbeitung gemeinsamer Spezifikationen zu Interoperabilitäts-, Sicherheits- und Grundrechtsbelangen gemäß Artikel 23 und der Spezifikationen zur EU-Datenbank für EHR-Systeme und Wellness-Anwendungen gemäß Artikel 32 beizutragen;

h)

auf Unionsebene und gegebenenfalls in Zusammenarbeit auf lokaler und regionaler Ebene in den Mitgliedstaaten zur Entwicklung des europäischen Austauschformats für elektronische Patientenakten sowie zur Ausarbeitung gemeinsamer Spezifikationen zu Qualitäts - , Interoperabilitäts-, Sicherheits-, Benutzerfreundlichkeits - , Zugänglichkeits - , Nichtdiskriminierungs - und Grundrechtsbelangen gemäß Artikel 23 und der Spezifikationen zur EU-Datenbank für EHR-Systeme und Wellness-Anwendungen gemäß Artikel 32 beizutragen;

k)

im Einklang mit den nationalen Rechtsvorschriften telemedizinische Dienste anzubieten und dafür zu sorgen, dass diese Dienste sich einfach nutzen lassen, für verschiedene Gruppen von natürlichen Personen und Angehörigen der Gesundheitsberufe zugänglich sind – auch für natürliche Personen mit Behinderungen, Gleichbehandlung gewährleisten und sowohl persönlich als auch digital in Anspruch genommen werden können;

k)

im Einklang mit den nationalen Rechtsvorschriften telemedizinische Dienste anzubieten und dafür zu sorgen, dass diese Dienste sich unter denselben nichtdiskriminierenden Bedingungen einfach nutzen lassen, für verschiedene Gruppen von natürlichen Personen und Angehörigen der Gesundheitsberufe zugänglich und gleichberechtigt sind – auch für natürliche Personen mit Behinderungen, Gleichbehandlung gewährleisten und sowohl persönlich als auch digital in Anspruch genommen werden können;

m)

mit anderen einschlägigen Einrichtungen und Stellen auf nationaler oder Unionsebene zusammenzuarbeiten, um die Interoperabilität, Datenübertragbarkeit und Sicherheit elektronischer Gesundheitsdaten zu gewährleisten , sowie mit Vertretern der Interessenträger, einschließlich Patientenvertretern, Gesundheitsdienstleistern, Angehörigen der Gesundheitsberufe und Branchenverbänden ;

m)

mit anderen einschlägigen Einrichtungen und Stellen auf lokaler, regionaler, nationaler oder Unionsebene zusammenarbeiten, um die Interoperabilität, Datenübertragbarkeit und Sicherheit elektronischer Gesundheitsdaten zu gewährleisten;

b)

den Nutzer nicht über die zu erwartenden Einschränkungen hinsichtlich der Interoperabilität oder der Sicherheitsfunktionen des EHR-Systems in Bezug auf seine Zweckbestimmung informieren;

b)

den professionellen Nutzer nicht über die zu erwartenden Einschränkungen hinsichtlich der Interoperabilität oder der Sicherheitsfunktionen des EHR-Systems in Bezug auf seine Zweckbestimmung informieren;

a)

stellen sicher , dass ihre EHR-Systeme den grundlegenden Anforderungen gemäß Anhang II und den gemeinsamen Spezifikationen gemäß Artikel 23 genügen;

a)

erhalten von einem unabhängigen Dritten eine Konformitätsbescheinigung, um nachzuweisen , dass ihre EHR-Systeme den grundlegenden Anforderungen gemäß Anhang II und den gemeinsamen Spezifikationen gemäß Artikel 23 genügen;

b)

erstellen die technische Dokumentation zu ihren EHR-Systemen gemäß Artikel 24;

b)

erstellen die technische Dokumentation zu ihren EHR-Systemen gemäß Artikel 24 , bevor sie ihre Systeme auf den Markt bringen, und halten sie anschließend auf dem neuesten Stand ;

c)

sorgen dafür, dass ihre EHR-Systeme kostenlos für den Nutzer von dem in Artikel 25 vorgesehenen Informationsblatt sowie einer klaren und vollständigen Gebrauchsanweisung begleitet werden;

c)

sorgen dafür, dass ihre EHR-Systeme auch in einem für schutzbedürftige Gruppen und Menschen mit Behinderungen zugänglichen Format kostenlos für den Nutzer von dem in Artikel 25 vorgesehenen Informationsblatt sowie einer klaren und vollständigen Gebrauchsanweisung begleitet werden;

d)

stellen die in Artikel  26 genannte EU-Konformitätserklärung aus ;

d)

Führen die einschlägigen Konformitätsbewertungsverfahren gemäß Artikel  27a und Anhang IVa durch ;

da)

stellen die EU-Konformitätserklärung gemäß Artikel 26 aus;

e)

bringen die CE-Kennzeichnung gemäß Artikel 27 an;

e)

bringen die CE-Kennzeichnung gemäß Artikel 27 an , nachdem das Konformitätsbewertungsverfahren abgeschlossen wurde ;

ea)

geben den Namen, den eingetragenen Handelsnamen oder die eingetragene Handelsmarke sowie die Postanschrift und die Website, die E-Mail-Adresse oder andere digitale Kontaktmöglichkeiten im Frontoffice des EHR-Systems an; in der Anschrift wird eine zentrale Stelle angegeben, unter der der Hersteller kontaktiert werden kann, und. die Kontaktdaten müssen so abgefasst sein, dass die Benutzer und Marktüberwachungsbehörden diese leicht verstehen können;

g)

ergreifen in Bezug auf ihre EHR-Systeme, die nicht den grundlegenden Anforderungen gemäß Anhang II genügen, unverzüglich alle erforderlichen Korrekturmaßnahmen oder rufen solche Systeme zurück oder nehmen sie vom Markt;

g)

ergreifen in Bezug auf ihre EHR-Systeme, wenn die Hersteller der Ansicht sind oder Grund zu der Annahme haben, dass diese Systeme nicht oder nicht mehr den grundlegenden Anforderungen gemäß Anhang II genügen, unverzüglich alle erforderlichen Korrekturmaßnahmen oder rufen solche Systeme zurück oder nehmen sie vom Markt ; Die Hersteller unterrichten dann die nationalen Behörden der Mitgliedstaaten, in denen sie ihre EHR-Systeme zur Verfügung gestellt oder in Betrieb genommen haben, über die Nichtkonformität und die ergriffenen Korrekturmaßnahmen ;