α
GDNG
(1) 1Dieses Gesetz dient der Regelung der Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens als lernendes System.
2Das Ziel der Nutzung von Gesundheitsdaten ist, eine sichere, bessere und qualitätsgesicherte Gesundheitsversorgung und Pflege zu gewährleisten, Forschung und Innovation zu fördern und das digitalisierte Gesundheitssystem auf Grundlage einer soliden Datenbasis weiterzuentwickeln.
(2) Dieses Gesetz gilt für die Verarbeitung von Gesundheitsdaten zu Forschungszwecken, zur Verbesserung der Gesundheitsversorgung und Pflege sowie zu weiteren im Gemeinwohl liegenden Zwecken.
(3) Die Vorschriften dieses Gesetzes gehen jenen des Fünften und Elften Buches Sozialgesetzbuch vor, soweit Gesundheitsdaten für wissenschaftliche Forschungszwecke und zu weiteren in diesem Gesetz genannten, im Gemeinwohl liegenden Zwecken verarbeitet werden.
Im Sinne dieses Gesetzes sind oder ist
(1) Beim Bundesinstitut für Arzneimittel und Medizinprodukte wird eine zentrale Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten eingerichtet.
(2) 1Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten unterstützt und berät Datennutzende beim Zugang zu Gesundheitsdaten.
2Sie hat insbesondere die Aufgabe,
(3) 1Das Bundesministerium für Gesundheit wird ermächtigt, im Benehmen mit dem Bundesministerium für Bildung und Forschung ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zu regeln zu
(4) 1Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis zur Gesundheitsdatennutzung ein.
2Der Arbeitskreis setzt sich aus Vertretern der datenhaltenden Stellen, aus Vertretern der Patientenorganisationen, die in der Patientenbeteiligungsverordnung genannt oder nach dieser Verordnung anerkannt sind, aus Vertretern von Leistungserbringern, aus Vertretern der Gesundheitsforschung sowie aus Vertretern weiterer betroffener Gruppen und Institutionen zusammen.
3Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation der Aufgabenwahrnehmung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten mit.
(5) Dieser Paragraph gilt nicht für in § 137a Absatz 10 des Fünften Buches Sozialgesetzbuch genannte Anträge auf Auswertung von bei den verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 des Fünften Buches Sozialgesetzbuch erhobenen Daten.
(1) Die Verknüpfung von pseudonymisierten Daten des Forschungsdatenzentrums Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch mit pseudonymisierten Daten der klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch sowie die Verarbeitung dieser Daten für Forschungsvorhaben ist nach Maßgabe der folgenden Absätze zulässig.
(2) Für die Verknüpfung und für die Verarbeitung der pseudonymisierten Daten nach Absatz 1 bedarf es einer vorherigen Genehmigung der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten nach § 3. Die Genehmigung ist auf Antrag zu erteilen, sofern
(3) In dem Antrag haben die Antragstellenden nachvollziehbar darzulegen, dass Umfang und Struktur der zu verknüpfenden Daten geeignet und erforderlich sind, um die zu untersuchende Forschungsfrage zu beantworten.
(4) Die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten
(5) 1Wird die Genehmigung nach Absatz 2 Satz 1 erteilt, so werden die im Antrag benannten Daten mit einer von der Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten für den jeweiligen Antrag festzulegenden sicheren Verarbeitungsumgebung einer öffentlich-rechtlichen Stelle verknüpft und den Antragstellenden als pseudonymisierte Einzeldatensätze, ohne Sichtbarmachung von Pseudonymen, verfügbar gemacht.
2In einer sicheren Verarbeitungsumgebung muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein, dass die Verarbeitung durch die Antragstellenden auf das für den jeweiligen Nutzungszweck erforderliche Maß beschränkt ist und insbesondere ein Kopieren der Daten verhindert werden kann.
(6) Wird die Genehmigung nach Absatz 2 Satz 1 erteilt, übermitteln die klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch an die durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten festgelegte sichere Verarbeitungsumgebung die beantragten Daten in pseudonymisierter Form zusammen mit einer auf Grundlage der Krankenversichertennummer anlassbezogen zu erstellenden Forschungskennziffer unter Mitwirkung der Vertrauensstelle nach § 303c des Fünften Buches Sozialgesetzbuch und nach den Vorgaben der Rechtsverordnung nach Absatz 9. Zur Sicherstellung einer qualitätsgesicherten Datenzusammenführung soll bei der Übermittlung der Daten der klinischen Krebsregister der Länder nach § 65c des Fünften Buches Sozialgesetzbuch ein Datenbereinigungsverfahren genutzt werden.
(7) Wird die Genehmigung nach Absatz 2 Satz 1 erteilt, übermittelt das Forschungsdatenzentrum Gesundheit nach § 303d des Fünften Buches Sozialgesetzbuch an die durch die Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten festgelegte sichere Verarbeitungsumgebung die beantragten Daten in pseudonymisierter Form zusammen mit einer anlassbezogen zu erstellenden Forschungskennziffer unter Mitwirkung der Vertrauensstelle nach § 303c des Fünften Buches Sozialgesetzbuch und nach den Vorgaben der Rechtsverordnung nach Absatz 9.
(8) 1Die Datennutzenden dürfen die nach Absatz 5 zugänglich gemachten Daten
(9) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates das Nähere zu regeln zu
(1) Sind an einem Vorhaben der Versorgungs- oder Gesundheitsforschung, bei dem Gesundheitsdaten verarbeitet werden, eine oder mehrere öffentliche oder nicht öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Datenschutzaufsichtsbehörde des Bundes oder der Länder nach Kapitel VI der Verordnung (EU) 2016/679 zuständig ist, und sind diese Stellen nicht gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679, so kann dieses Vorhaben den Datenschutzaufsichtsbehörden zur federführenden Datenschutzaufsicht angezeigt werden.
(2) 1Durch eine Anzeige nach Absatz 1, die von allen Stellen gemeinsam gegenüber allen zuständigen Datenschutzaufsichtsbehörden abzugeben ist, wird die Datenschutzaufsichtsbehörde federführend zuständig, in deren Zuständigkeitsbereich die am Vorhaben nach Absatz 1 beteiligte Stelle fällt, die in dem vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat.
2In dem Fall, dass nicht alle am Vorhaben nach Absatz 1 beteiligten Stellen einen Jahresumsatz aufweisen, wird stattdessen diejenige Datenschutzaufsichtsbehörde federführend zuständig, in deren Zuständigkeitsbereich die am Vorhaben nach Absatz 1 beteiligte Stelle fällt, die die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten.
3Der Anzeige nach Absatz 1 sind die entsprechenden nachweisenden Unterlagen beizufügen.
(3) 1Die federführend zuständige Datenschutzaufsichtsbehörde hat die Aufgabe, die Tätigkeiten und Aufsichtsmaßnahmen der zuständigen Datenschutzaufsichtsbehörden zu koordinieren; sie fördert eine Zusammenarbeit der zuständigen Aufsichtsbehörden beim Vorhaben nach Absatz 1 und wirkt auf eine gemeinsame Entscheidung hin.
2Die aufsichtsrechtlichen Befugnisse aller nach Absatz 1 zuständigen Datenschutzaufsichtsbehörden bleiben unberührt.
3Die zuständigen Datenschutzaufsichtsbehörden stimmen sich untereinander ab, wenn sie in ihrem Zuständigkeitsbereich tätig werden.
(4) 1Sind an einem Vorhaben der Gesundheits- und Versorgungsforschung, bei dem Gesundheitsdaten verarbeitet werden, eine oder mehrere nicht öffentliche Stellen als Verantwortliche derart beteiligt, dass mehr als eine Datenschutzaufsichtsbehörde der Länder zuständig ist, und sind die beteiligten nicht öffentlichen Stellen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679, können diese gemeinsam anzeigen, dass sie gemeinsam Verantwortliche sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Datenschutzaufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich die nicht öffentliche Stelle fällt, die in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat.
2Die gemeinsame Anzeige ist an alle Datenschutzaufsichtsbehörden zu richten, die für die gemeinsam Verantwortlichen zuständig sind, und muss die die umsatzstärkste nicht öffentliche Stelle nachweisenden Unterlagen enthalten.
3Ab dem Zeitpunkt, zu dem die in den Sätzen 1 und 2 genannte Anzeige bei der für die umsatzstärkste nicht öffentliche Stelle zuständigen Behörde eingegangen ist, wird diese die allein zuständige Datenschutzaufsichtsbehörde.
4Für nichtöffentliche Stellen, die gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 sind, jedoch keinen Jahresumsatz erzielen, gelten die Sätze 1 bis 3 entsprechend mit der Maßgabe, dass die Behörde allein zuständig ist, die für den Verantwortlichen zuständig ist, der die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten.
5§ 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.
(1) 1Datenverarbeitende Gesundheitseinrichtungen dürfen die bei ihnen gemäß Artikel 9 Absatz 2 Buchstabe h und i der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Daten weiterverarbeiten, soweit dies erforderlich ist
(2) Die Ergebnisse der Weiterverarbeitung von Gesundheitsdaten nach Absatz 1 sind zu anonymisieren, sobald dies nach dem jeweiligen Zweck nach Absatz 1 Satz 1 möglich ist.
(3) 1Die Weitergabe der personenbezogenen Daten an Dritte ist im Rahmen der Weiterverarbeitung nach Absatz 1 untersagt.
2Abweichend von Satz 1 ist die Weitergabe von personenbezogenen Daten im Rahmen der Weiterverarbeitung nach Absatz 1 zulässig, soweit die betroffene Person eingewilligt hat oder eine andere gesetzliche Vorschrift des Bundesrechts, des Landesrechts oder unmittelbar geltender Rechtsakte der Europäischen Union dies vorsieht.
3Die datenverarbeitenden Gesundheitseinrichtungen dürfen die gemäß Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Gesundheitsdaten anonymisieren, um die anonymisierten Daten zu den in Absatz 1 Satz 1 genannten Zwecken an Dritte zu übermitteln.
4Abweichend von Satz 1 ist eine gemeinsame Nutzung und Verarbeitung der in Absatz 1 Satz 1 genannten Daten zu den in Absatz 1 Satz 1 genannten Zwecken durch öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken zulässig, wenn
(4) 1Datenverarbeitende Gesundheitseinrichtungen, die nach Absatz 1 Daten verarbeiten, sind verpflichtet, öffentlich und allgemein in präziser, transparenter, leicht verständlicher und zugänglicher Form in einer klaren und einfachen Sprache über die Zwecke, für die nach Absatz 1 Daten weiterverarbeitet werden, zu informieren.
2Dabei ist auch über laufende Forschungsvorhaben und veröffentlichte Forschungsergebnisse zu informieren, die nach § 8 registriert oder veröffentlicht wurden.
3Auf Verlangen einer von der Verarbeitung zu den in Absatz 1 Satz 1 Nummer 2 oder 3 genannten Zwecken betroffenen Person ist die datenverarbeitende Gesundheitseinrichtung verpflichtet, über die Art, den Umfang und den konkreten Zweck der Verarbeitung der Daten zu den in Absatz 1 Satz 1 Nummer 2 oder Nummer 3 genannten Zwecken in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.
(1) Datennutzende dürfen Gesundheitsdaten, die ihnen für wissenschaftliche Forschungszwecke verfügbar gemacht wurden,
(2) 1Bereitgestellte Daten dürfen nicht zum Zwecke der Herstellung eines Personenbezugs oder zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern verarbeitet werden.
2Dies gilt auch für Gesundheitsdaten einer Person, die bereits verstorben ist.
(3) 1Personen, denen fremde Gesundheitsdaten zu Forschungszwecken anvertraut oder sonst bekanntgeworden sind, dürfen diese Gesundheitsdaten den bei ihr berufsmäßig tätigen Gehilfen oder den bei ihr zur Vorbereitung auf den Beruf tätigen Personen zum Zwecke der Forschung zugänglich machen.
2Die Person, der fremde Gesundheitsdaten zu Forschungszwecken anvertraut oder sonst bekanntgeworden sind, darf diese fremden Gesundheitsdaten gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist.
3Satz 2 gilt entsprechend für die dort genannten mitwirkenden Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit mitwirken.
(4) Entgegen Absatz 1 dürfen Datennutzende Gesundheitsdaten, die ihnen für wissenschaftliche Forschungszwecke verfügbar gemacht wurden, für andere Zwecke weiterverarbeiten oder an Dritte weitergeben, soweit ihnen dies durch Rechtsvorschriften des Bundes oder der Länder oder unmittelbar geltender Rechtsakte der Europäischen Union gestattet ist.
(5) Wenn die zuständige Datenschutzaufsichtsbehörde eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber den Datennutzenden ergriffen hat, informiert sie den Träger der datenhaltenden Stelle.
1Sofern in einem Forschungsvorhaben Gesundheitsdaten auf Grundlage dieses Gesetzes ohne die Einwilligung der betroffenen Personen zu Forschungszwecken verarbeitet werden, sind die für das Forschungsvorhaben Verantwortlichen verpflichtet, das Forschungsvorhaben vor Beginn der Datenverarbeitung in einem von der Weltgesundheitsorganisation anerkannten Primärregister für klinische Studien zu registrieren, sofern ein solches Primärregister die Registrierung des Forschungsvorhabens gestattet.
2Eine Registrierung nach Satz 1 ist entbehrlich, wenn das Forschungsvorhaben auf Grundlage eines Gesetzes bereits an anderer Stelle registriert wurde.
3Die für das Forschungsvorhaben Verantwortlichen sind verpflichtet, die Forschungsergebnisse innerhalb von 24 Monaten nach Abschluss des Forschungsvorhabens in anonymisierter Form und in einer für die Allgemeinheit zugänglichen Weise zu veröffentlichen und, sofern das Forschungsvorhaben nach Satz 1 registriert wurde, im jeweiligen Primärregister zu hinterlegen.
4Behörden können bestimmen, dass Forschungsvorhaben, die sie in Auftrag gegeben haben oder die unter ihrer Rechts- oder Fachaufsicht durchgeführt werden, abweichend von Satz 1 oder Satz 3 nicht registriert werden müssen oder deren Ergebnisse nicht oder erst zu einem späteren Zeitpunkt veröffentlicht werden müssen, sofern dies zum Schutz von besonderen öffentlichen Belangen gemäß § 3 des Informationsfreiheitsgesetzes erforderlich ist.
(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer
(2) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer in den Fällen des Absatzes 1 gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
(3) 1Die Tat wird nur auf Antrag verfolgt.
2Antragsberechtigt sind der oder die Betroffene, der oder die nach der Verordnung (EU) 2016/679 Verantwortliche, der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die zuständige Datenschutzaufsichtsbehörde.