Die Nutzung von Patientendaten zu wissenschaftlichen Forschungszwecken ist in Hessen klar geregelt und unterscheidet zwischen anonymisierten und personenbezogenen Daten. Die wesentlichen Grundlagen und Voraussetzungen lassen sich wie folgt zusammenfassen:


1. Anonymisierte Patientendaten

Die Verarbeitung von anonymisierten Patientendaten, die aus anderen Behandlungseinrichtungen (z. B. Arztpraxen oder Krankenhäusern) stammen, ist datenschutzrechtlich unproblematisch.

  • Keine Rechtsgrundlage erforderlich: Für die Nutzung wirksam anonymisierter Daten bedarf es keiner datenschutzrechtlichen Rechtsgrundlage.
  • Datensparsamkeit prüfen: Vor Beginn eines Forschungsvorhabens ist nach dem Grundsatz der Datensparsamkeit zu prüfen, ob das Forschungsziel auch mit anonymisierten Daten erreicht werden kann.

2. Personenbezogene Patientendaten

Im Gegensatz dazu erfordert die Verarbeitung personenbezogener, insbesondere auch pseudonymisierter, Patientendaten eine datenschutzrechtliche Rechtsgrundlage. Diese kann sich aus den folgenden Regelungen ergeben:

a) § 27 Abs. 1 BDSG (für private Stellen wie Arztpraxen)

Nach § 27 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist die Verarbeitung personenbezogener Gesundheitsdaten ohne Einwilligung der betroffenen Person zulässig, wenn folgende Bedingungen erfüllt sind:

  • Die Verarbeitung ist für wissenschaftliche Forschungszwecke erforderlich.
  • Die Interessen des Forschenden überwiegen die Interessen der betroffenen Person erheblich.
  • Es werden angemessene Maßnahmen zum Schutz der Daten ergriffen, einschließlich frühestmöglicher Anonymisierung.

Interessenabwägung: Je größer das Allgemeinwohlinteresse an der Forschung und je wirksamer die Schutzmaßnahmen, desto eher kann auf eine Einwilligung verzichtet werden. Diese Regelung schafft somit einen datenschutzrechtlich gerechtfertigten Rahmen für die einwilligungsfreie Forschung.

b) § 24 Abs. 1 HDSIG (für öffentliche Stellen und Krankenhäuser in Hessen)

Für öffentliche Stellen und Krankenhäuser gilt § 24 Abs. 1 S. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG). Hierbei gelten ähnliche Grundsätze wie im BDSG:

  • Eine Verarbeitung ohne Einwilligung ist möglich, wenn die Forschungsinteressen die Interessen der betroffenen Person überwiegen.
  • Der Forschende muss spezifische Maßnahmen zum Schutz der Daten umsetzen, wie die Erstellung eines Datenschutzkonzepts zur Sicherstellung der datenschutzrechtlichen Anforderungen.

3. § 6 GDNG

Das neue Gesundheitsdatennutzungsgesetz (GDNG) regelt den Umgang mit Gesundheitsdaten auf Bundesebene. 

  • Einschränkung bei Weitergabe: Nach § 6 Abs. 3 S. 1 GDNG ist die Weitergabe personenbezogener Daten an Dritte, die eine Studie durchführen, grundsätzlich unzulässig.

4. Ärztliche Schweigepflicht (§ 203 StGB)

Unabhängig von den datenschutzrechtlichen Regelungen ist stets die ärztliche Schweigepflicht gemäß § 203 Abs. 1 des Strafgesetzbuchs (StGB) zu beachten. Diese verbietet die Weitergabe von Patientendaten ohne die ausdrückliche Zustimmung der betroffenen Person, es sei denn, es besteht eine rechtliche Ausnahme.


Fazit

In Hessen können anonymisierte Patientendaten ohne weitere Rechtsgrundlage zu Forschungszwecken genutzt werden. Für personenbezogene Daten ist jedoch stets eine datenschutzrechtliche Grundlage erforderlich, wobei § 27 BDSG für private Stellen und § 24 HDSIG für öffentliche Stellen maßgeblich sind. Ergänzend müssen Forschende stets die Prinzipien der Datensparsamkeit, die Einhaltung der ärztlichen Schweigepflicht und spezifische Datenschutzmaßnahmen sicherstellen.

Unterstützung durch Amicusdata

Wir, Amicusdata, unterstützen Sie gerne bei der Einhaltung der datenschutzrechtlichen Anforderungen und der Konformität mit den geltenden Vorschriften. Unsere Expertise hilft Ihnen, Ihre Forschungsprojekte rechtskonform und effizient umzusetzen.