European Health Data Space (EHDS)

Einleitung

Gesundheitsdaten gelten als besonders sensibel und schützenswert. Dennoch sind sie für Wissenschaft, Forschung, Politik und Wirtschaft von zentraler Bedeutung, um medizinische Fortschritte zu erzielen, Pandemiesituationen vorherzusagen und gesundheitspolitische Entscheidungen zu treffen.

Der European Health Data Space (EHDS), auf Deutsch Europäischer Gesundheitsdatenraum, ist eine tragende Säule der Strategie für den EU-Datenbinnenmarkt. Er soll einen sicheren und regulierten Austausch von Gesundheitsdaten zwischen verschiedenen Akteuren ermöglichen. Dabei spielen Datenschutz und Cybersicherheit eine entscheidende Rolle.

Rechtlicher Rahmen

Der EHDS steht in engem Zusammenhang mit anderen gesetzlichen Regelungen, insbesondere:

Datenschutz-Grundverordnung (DSGVO)
NIS2-Richtlinie
Data Act
Data Governance Act

Im März 2024 wurde eine grundsätzliche Einigung über den EHDS innerhalb der EU erzielt, allerdings ist er noch nicht in Kraft getreten.

Ziele des EHDS

Der EHDS verfolgt drei Hauptziele:

1. Infrastruktur und Technologie

Durch Harmonisierungsmaßnahmen soll der grenzüberschreitende Zugang zu Gesundheitsdienstleistungen innerhalb der EU erleichtert werden. Ein Beispiel ist das Einlösen von Rezepten in jeder Apotheke innerhalb der EU-Grenzen.

2. Datenqualität und Interoperabilität

Gesundheitsdaten sollen legal, länderübergreifend ausgetauscht und genutzt werden dürfen. Um dabei eine hohe Datenqualität zu gewährleisten, sollen EU-weite Standards geschaffen werden.

3. Definition der Datenverwaltung (Governance)

Basierend auf einer Analyse der nationalen Gesundheitssysteme sollen Regeln für die Zusammenarbeit auf EU-Ebene entwickelt werden.

Primärnutzung von Gesundheitsdaten

Der EHDS soll einen EU-weiten Rechtsanspruch auf einen schnellen und einfachen Zugang zu den eigenen elektronischen Gesundheitsdaten schaffen. Dies betrifft unter anderem:

Elektronische Patientenakten
Röntgenbilder
Impfnachweise
Rezepte

Gesundheitsberufe sollen ebenfalls Zugriff auf diese Daten erhalten, wobei Patientinnen und Patienten darüber informiert werden.

Zur Umsetzung dieser Vorgaben wird eine zentrale EU-Plattform für digitale Gesundheitsdienste eingerichtet, die mit nationalen Kontaktstellen zusammenarbeitet. Darüber hinaus soll ein einheitliches europäisches Austauschformat für elektronische Patientenakten eingeführt werden.

Jeder EU-Mitgliedstaat muss eine digitale Gesundheitsbehörde bestimmen, die für die Durchsetzung der EHDS-Vorgaben verantwortlich ist. Sie wird auch Patientenbeschwerden bearbeiten.

Sekundärnutzung von Gesundheitsdaten

Die EHDS-Verordnung regelt auch die sogenannte Sekundärnutzung von Gesundheitsdaten. Dies betrifft die datenschutzkonforme Nutzung durch:

Wissenschaft
Forschung
Bildung
Wirtschaft
Öffentliche Einrichtungen

Für die Nutzung anonymisierter oder pseudonymisierter Gesundheitsdaten ist ein Antragsverfahren vorgesehen. Eine Zugangsstelle für Gesundheitsdaten in jedem EU-Mitgliedstaat prüft, ob die Sekundärnutzung einem legitimen Zweck dient, z. B.:

Wissenschaftliche Forschung
Entwicklung von Medizinprodukten
Training von KI-Systemen

Bestimmte Nutzungszwecke sind jedoch ausdrücklich ausgeschlossen, darunter:

Werbung
Anpassung von Versicherungsprämien

Patientinnen und Patienten haben ein Widerspruchsrecht, sodass sie entscheiden können, ob ihre Daten für Forschungszwecke genutzt werden dürfen oder nicht.

Nationale Regelungen

Ergänzende Vorschriften finden sich in Deutschland in folgenden Gesetzen:

Digitalgesetz
Gesundheitsdatennutzungsgesetz (seit 26. März 2024 in Kraft)
Patientendatenschutzgesetz (seit Oktober 2020 in Kraft)

Gemäß EHDS können EU-Mitgliedstaaten ein spezifisches Widerspruchsrecht in Bezug auf die Verarbeitung elektronischer Patientenakten einführen. Die in Deutschland bestehende Opt-out-Lösung bleibt somit erhalten.

Fazit

Der European Health Data Space (EHDS) bietet zahlreiche Möglichkeiten für einen sicheren und effizienten Umgang mit Gesundheitsdaten in der EU. Durch die Harmonisierung von Datenstandards und rechtlichen Rahmenbedingungen wird eine bessere Interoperabilität erreicht. Gleichzeitig bleiben Datenschutz und individuelle Entscheidungsfreiheit der Patientinnen und Patienten zentrale Elemente des Systems.

Die Cyber- und Informationssicherheit steht heute mehr denn je im Mittelpunkt unternehmerischer Strategien. Mit der zunehmenden Digitalisierung und Vernetzung sind Unternehmen verstärkt Cyberbedrohungen ausgesetzt, die nicht nur finanzielle Schäden, sondern auch erhebliche Reputationsverluste verursachen können.

Ein zentrales Thema ist die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Verstöße gegen die DSGVO können zu drastischen Bußgeldern führen, und die Anforderungen an den Datenschutz werden kontinuierlich verschärft. Unternehmen müssen sicherstellen, dass sie personenbezogene Daten rechtmäßig verarbeiten und angemessene Sicherheitsmaßnahmen implementieren.

Das IT-Sicherheitsgesetz 2.0 hat die Anforderungen an kritische Infrastrukturen erweitert und neue Meldepflichten eingeführt. Unternehmen von erheblicher wirtschaftlicher Bedeutung müssen nun erhöhte Sicherheitsstandards erfüllen und Cyberangriffe unverzüglich melden.

Aktuelle Bedrohungen wie Ransomware-Angriffe nehmen zu und stellen Unternehmen vor immense Herausforderungen. Die Absicherung von Home-Office-Arbeitsplätzen ist ein weiteres wichtiges Thema, insbesondere durch den Anstieg mobiler Arbeitsmodelle.

Eine ganzheitliche Sicherheitsstrategie sollte folgende Aspekte umfassen:

Risikobewertung: Identifikation und Bewertung potenzieller Bedrohungen und Schwachstellen.
Rechtskonforme Datenverarbeitung: Sicherstellung der DSGVO-Konformität in allen Geschäftsprozessen.
Notfallplanung: Entwicklung von Incident-Response-Plänen für den Fall eines Cyberangriffs.
Mitarbeiterschulungen: Sensibilisierung der Belegschaft für Cyberrisiken und Sicherheitsbewusstsein.
Technische Maßnahmen: Implementierung von Firewalls, Verschlüsselung und regelmäßigen Sicherheitsupdates.

Ich empfehle, regelmäßig Sicherheitsaudits durchzuführen und die Sicherheitsstrategie an die sich wandelnde Bedrohungslage anzupassen. Nur durch proaktive Maßnahmen können Unternehmen ihre Daten effektiv schützen und rechtliche Risiken minimieren.

Falls Sie Interesse an spezifischen Themen haben, wie etwa der Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder der Absicherung von Cloud-Diensten, können wir gerne tiefer in die Materie einsteigen.

Wussten Sie übrigens, dass laut aktuellen Studien über 60% der mittelständischen Unternehmen bereits Opfer von Cyberangriffen geworden sind? Dies unterstreicht die Dringlichkeit, sich umfassend mit der Thematik auseinanderzusetzen.

Cyber Resilienz ist kein Sprint

2025-02-14 2025-02-14 thomas_Admin Cybersecurity, Top

Cyber-Resilienz: Kein Sprint, sondern ein Marathon – Ein umfassender Leitfaden zur nachhaltigen Cyber-Sicherheit In einer Ära, in der Cyberangriffe zunehmend ausgeklügelter und allgegenwärtiger werden, reicht es nicht mehr, punktuelle oder halbherzige Sicherheitsmaßnahmen zu ergreifen. Cyber-Resilienz erfordert einen ganzheitlichen, kontinuierlichen Ansatz, der alle Ebenen eines Unternehmens umfasst – beginnend beim Management bis hin zu den operativen...Continue reading→

Warten ist keine Strategie: NIS-2 fordert jetzt Taten, nicht Ausreden!

2025-02-13 2025-02-13 thomas_Admin Cybersecurity, Top

Warten ist keine Strategie NIS-2 fordert jetzt Taten, nicht Ausreden! Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete Version der ursprünglichen NIS-Richtlinie. Sie soll die Cybersicherheit in Europa weiter stärken und bringt insbesondere für kritische und wichtige Sektoren deutlich verschärfte Anforderungen mit sich. In diesem Artikel erfährst du, auf welche Themen sich...Continue reading→

EHDS

2025-02-11 2025-02-11 thomas_Admin Cybersecurity, Top

European Health Data Space (EHDS) Einleitung Gesundheitsdaten gelten als besonders sensibel und schützenswert. Dennoch sind sie für Wissenschaft, Forschung, Politik und Wirtschaft von zentraler Bedeutung, um medizinische Fortschritte zu erzielen, Pandemiesituationen vorherzusagen und gesundheitspolitische Entscheidungen zu treffen. Der European Health Data Space (EHDS), auf Deutsch Europäischer Gesundheitsdatenraum, ist eine tragende Säule der Strategie für den...Continue reading→

DSGVO

2025-02-11 2025-02-11 thomas_Admin Cybersecurity, Top

Datenschutzgrundverordnung (DSGVO) und IT-Sicherheit Die Datenschutzgrundverordnung (DSGVO) regelt den richtigen Umgang mit personenbezogenen Daten. Da es sich hierbei um einen weitreichenden Begriff handelt, begegnen uns personenbezogene Daten in fast allen Bereichen des Arbeitsalltags. Anonyme Daten wie reine Statistiken oder Maschinendaten fallen nicht in den Anwendungsbereich der DSGVO. Sobald jedoch ein Personenbezug besteht, greifen die datenschutzrechtlichen...Continue reading→

CER-Richtlinie

2025-02-11 2025-02-11 thomas_Admin Cybersecurity, Top Leave a comment

CER-Richtlinie Corporate Environmental Responsibility Die CER-Richtlinie (Richtlinie (EU) 2022/2557) zielt darauf ab, die Resilienz kritischer Einrichtungen in der Europäischen Union zu stärken. Sie wurde am 14. Dezember 2022 verabschiedet und ersetzt die frühere EPSKI-Richtlinie von 2008. Die Mitgliedstaaten sind verpflichtet, diese Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. (siehe eur-lex.europa.eu ) Anwendungsbereich der CER-Richtlinie Die...Continue reading→

NIS-2-Richtlinine

2025-02-11 2025-02-11 thomas_Admin Cybersecurity, Top Leave a comment

NIS2-Richtlinie (NIS2): Ein umfassender Überblick Die Digitalisierung hat in den letzten Jahren rasant an Bedeutung gewonnen. Ein unachtsamer Moment, ein Klick zu viel – schon kann es passieren: Das eigene IT-System ist gehackt, verschlüsselt oder sogar komplett außer Betrieb. Von ärgerlich bis existenzbedrohend reicht die Bandbreite der möglichen Auswirkungen eines Cyberangriffs. Deshalb ist es für...Continue reading→

Überblick EU-Datenräume

2025-02-11 2025-02-11 thomas_Admin Cybersecurity, KI - Künstliche Intelligenz, Top Leave a comment

Überblick EU-Datenräume Die EU-Datenstrategie verfolgt das Ziel, eine datengesteuerte Wirtschaft zu schaffen und einen Binnenmarkt für Daten zu etablieren. Dies umfasst sowohl personenbezogene als auch nicht-personenbezogene Daten sowie sensible Geschäftsdaten, die im Einklang mit den EU-Vorschriften und Werten sicher und nahtlos über Grenzen und Sektoren hinweg fließen können. Dies soll Unternehmen und Bürgern gleichermaßen zugutekommen....Continue reading→

KI-Gesetz in Deutschland

2025-02-09 2025-02-09 thomas_Admin Cybersecurity, KI - Künstliche Intelligenz, Top

Das KI-Gesetz in Deutschland: Chancen, Herausforderungen und Auswirkungen auf Wirtschaft und Gesellschaft Die Künstliche Intelligenz (KI) revolutioniert unsere Welt in rasantem Tempo. Von autonom fahrenden Autos bis hin zu personalisierten Medizinlösungen – KI-Technologien sind aus unserem Alltag nicht mehr wegzudenken. Angesichts dieser Entwicklung stellt sich die Frage: Wie reagiert Deutschland rechtlich auf diese Veränderungen? Gibt...Continue reading→

Cyber-Resiliente IT -Infrastrukturen

2025-02-04 2025-02-04 thomas_Admin Cybersecurity, Top

Cyber-Resiliente IT-Infrastrukturen Der Schlüssel zu einer sicheren digitalen Zukunft Cyber-Resilienz – mehr als nur ein Buzzword In einer Welt, die immer stärker digital vernetzt ist, reicht es nicht mehr aus, lediglich präventive Maßnahmen zu ergreifen. Angesichts der steigenden Anzahl und Komplexität von Cyberangriffen müssen Unternehmen ihre IT-Infrastrukturen so gestalten, dass sie nicht nur Angriffe abwehren,...Continue reading→

Update ISO 27001:2022

2025-02-04 2025-02-04 thomas_Admin Cybersecurity, Top

Von ISO 27001:2013 zu ISO 27001:2022 Herausforderungen und Lösungen bei der Umstellung eines ISMS Die Aktualisierung eines ISMS von ISO 27001:2013 auf ISO 27001:2022 ist ein wichtiger Schritt, um moderne Sicherheitsanforderungen zu erfüllen. Doch ohne Unterstützung des Managements und ausreichende Ressourcen stoßen selbst die besten Konzepte an Grenzen. In diesem Beitrag teile ich wesentliche Herausforderungen...Continue reading→