Einleitung
Angesichts gestiegener Lebenserwartung und dem damit verbundenen Anstieg von (chronischen) Krankheiten rückt das Gesundheitswesen zunehmend in den Fokus gesellschaftlicher und wirtschaftlicher Betrachtungen. Mit den Herausforderungen einer alternden Bevölkerung gewinnen effiziente, innovative und qualitativ hochwertige Gesundheitslösungen an Bedeutung. Diese Entwicklung stellt das Gesundheitssystem vor große Herausforderungen: von Kapazitätsengpässen über Finanzierungsfragen bis hin zur Notwendigkeit kontinuierlicher Innovation.
Die Digitalisierung des Gesundheitssektors spielt eine zentrale Rolle bei der Bewältigung dieser Herausforderungen. Sie trägt maßgeblich zur Effizienzsteigerung bei und hat das Potential, die Patientenversorgung zu revolutionieren – sei es durch Telemedizin, digitale Gesundheitsanwendungen, vernetzte Geräte, datengestützte Therapieansätze oder KI-gestützte Analyseverfahren.
Mit der fortschreitenden Entwicklung und Integration digitaler Lösungen geht jedoch auch eine zunehmende Zahl an regulatorischen Neuerungen einher. Auch 2024 traten wichtige Digitalgesetze in Kraft, die den rechtlichen Rahmen für die Nutzung digitaler Technologien im Gesundheitswesen abstecken. Unser Beitrag gibt einen Überblick über eine Auswahl dieser aktuellen Entwicklungen und mögliche Auswirkungen auf die Digitalisierung im Gesundheitswesen.
Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens
Am 26.03.2024 ist das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) in Kraft getreten. Ziel des Gesetzes ist es, den Behandlungsalltag für Ärztinnen und Ärzte sowie für Patientinnen und Patienten mit digitalen Lösungen zu vereinfachen.
Zentraler Bestandteil des Gesetzes ist die Einrichtung der elektronische Patientenakte (ePA), die durch die Krankenkassen ab dem 15.01.2025 für alle Versicherten bereitgestellt werden muss. Wer die ePA nicht haben will, muss aktiv widersprechen (Opt-out-Regel). Mit der ePA bekommen Versicherte eine umfassende und größtenteils automatisch generierte Übersicht über ihre Medikation. Dies hilft, in Kombination mit dem weiter verbesserten elektronischen Rezept (E-Rezept), unerwünschte Arzneimittelinteraktionen zu vermeiden und unterstützt Ärzte bei der Behandlung ihrer Patienten.
Das E-Rezept wird fortlaufend optimiert, als Standard in der Medikamentenversorgung etabliert und durch die ePA-App zugänglicher gemacht. Digitale Gesundheitsanwendungen (DiGA) werden stärker in den Versorgungsalltag eingebettet und transparenter gemacht. Durch die Erweiterung des DiGA-Angebots auf digitale Medizinprodukte höherer Risikoklassen (Kategorie IIb) können sie auch für komplexere Behandlungsprozesse, wie etwa das Telemonitoring, verwendet werden.
Um die Telemedizin fest im Gesundheitssystem zu verankern, entfallen bisherige Mengenbegrenzungen. Zudem besteht nunmehr die Möglichkeit, Telemedizin aus dem Homeoffice zu erbringen. Assistierte Telemedizin ermöglicht einen einfacheren Zugang zur medizinischen Versorgung. Schließlich werden strukturierte Behandlungsprogramme digital weiterentwickelt, die Interoperabilität verbessert und die Cybersicherheit erhöht.
Europäischer Gesundheitsdatenraum
Der am 03.05.2022 veröffentlichte Kommissionsentwurf für einen Europäischen Gesundheitsdatenraum (EHDS) wurde am 24.04.2024 durch das Europäische Parlament verabschiedet. Mit dem europäischen Raum für Gesundheitsdaten sollen die nationalen Gesundheitssysteme durch einen sicheren und effizienten Zugang und Austausch von Gesundheitsdaten innerhalb der EU stärker vernetzt werden. Dadurch sollen Gesundheitsversorgung, Forschung und Infrastruktur der einzelnen Gesundheitssysteme optimiert und ein einheitlicher Rechtsrahmen für die Entwicklung, Vermarktung und Nutzung von Systemen für elektronische Patientenakten geschaffen werden.
Die EHDS-Verordnung ermöglicht es Patienten durch eine Opt-out-Regelung, selbst zu entscheiden, ob ihre Gesundheitsdaten von medizinischem Fachpersonal eingesehen werden können. Dies umfasst Patientenzusammenfassungen, elektronische Rezepte, medizinische Bilder und Laborergebnisse. Zudem stärkt die Regelung den Datenschutz sensibler Informationen und unterstützt die datengestützte Forschung unter strengen Auflagen.
KI-Verordnung
Am 01.08.2024 ist mit der Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Verordnung) das erste umfassende Regelwerk für KI in Kraft getreten. Die KI-Verordnung enthält Vorschriften für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen und zielt darauf ab, das Vertrauen der Gesellschaft in KI-Systeme zu stärken, ohne dabei die Chancen dieser Technologie zu blockieren.
Zu diesem Zweck werden KI-Systeme – einem risikobasierten Ansatz folgend – in vier Risikokategorien eingeteilt: inakzeptabel, hoch, gering und minimal. KI-Systeme mit unannehmbarem Risiko, etwa Systeme, die menschliches Verhalten manipulieren, werden verboten. KI-Systeme mit hohem Risiko, etwa Systeme, die in grundrechtssensiblen Bereichen Entscheidungen über Menschen treffen, müssen für ihren Einsatz strenge Voraussetzungen erfüllen. KI mit bestimmten Risiken, zum Beispiel Chatbots, sowie KI-Systeme mit geringem Risiko sollen dagegen weitgehend unreguliert bleiben, um die Wettbewerbsfähigkeit in der EU zu erhalten.
Die KI-Verordnung hat weitreichende Implikationen für die Gesundheitsbranche. Zwar dürfte der Einsatz von verbotenen KI-Systemen im Gesundheitssektor selten sein. Die in der KI-Verordnung enthaltenen Verbote manipulativer und ausbeuterischer Praktiken sind auf rechtmäßige Praktiken im Rahmen medizinischer Behandlungen, wie die psychologische Behandlung einer psychischen Krankheit oder die körperliche Rehabilitation, explizit nicht anwendbar, wenn diese Praktiken im Einklang mit dem geltenden Recht und den medizinischen Standards durchgeführt werden, beispielsweise mit ausdrücklicher Zustimmung der Betroffenen.
Allerdings fallen einige Systeme in die Hochrisikokategorie und werden damit streng reguliert. So sind KI-Medizinprodukte, die jeweils in Klasse IIa, IIb oder III der Medizinprodukteverordnung (MDR) eingestuft werden, automatisch Hochrisikosysteme im Sinne der KI-Verordnung. Darunter fallen beispielsweise Röntgengeräte, in denen eine KI-Sicherheitskomponente eingebaut ist. Neben diesen produktbezogenen Hochrisikosystemen („Embedded AI“) fallen auch KI-Systeme in die Hochrisikokategorie, die in einem risikoreichen Bereich eingesetzt werden („Non-embedded AI“). Das ist etwa der Fall, wenn KI-Systeme den Zugang zu wesentlichen privaten und öffentlichen Leistungen regeln, eine Triage von Patienten bei der Notfallversorgung oder eine Priorisierung von Notrufen vornehmen.
Gesundheitsdatennutzungsgesetz
Das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG) ist am 26.03.2024 in Kraft getreten. Es hat das Ziel, Gesundheitsdaten systematisch für die Forschung nutzbar zu machen und dabei den Datenschutz zu gewährleisten. Durch das GDNG wurde eine vereinfachte Möglichkeit geschaffen, diese Daten für gemeinnützige Zwecke wie die medizinische Forschung und die Verbesserung von Gesundheitsdienstleistungen zu verwenden. Im Rahmen des GDNG wird eine dezentrale Infrastruktur für Gesundheitsdaten etabliert, die durch eine zentrale Stelle koordiniert wird. Diese Koordinierungsstelle soll den Zugang zu den Daten regeln und sicherstellen, dass sie entsprechend den gesetzlichen Vorgaben genutzt werden.
NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
Im Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2-Richtlinie) in Kraft getreten, die bis zum 17.10.2024 in deutsches Recht umgesetzt werden muss. Der entsprechende Regierungsentwurf zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zur Umsetzung der Richtlinie wurde am 24.07.2024 beschlossen.
Wenn ein Unternehmen unter das NIS2UmsuCG fällt, hat es zahlreiche Pflichten zu erfüllen, die davon abhängen, ob es sich um eine „wichtige Einrichtung“, eine „besonders wichtige Einrichtung“ oder um eine „kritische Anlage“ handelt. Da der Gesundheitssektor als „besonders wichtige Einrichtung“ genannt ist, sind Einrichtungen in diesem Bereich verpflichtet, sämtliche, technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen, die dem aktuellen Stand der Technik entsprechen und das Risiko eines Schadenseintritts angemessen sowie Faktoren wie die Größe der Einrichtung und potentielle Sicherheitsvorfälle berücksichtigen.
Bei einem Sicherheitsvorfall haben die Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Meldungen zu erstatten, darunter eine Erstmeldung innerhalb von 24 Stunden, eine Detailmeldung innerhalb von 72 Stunden sowie eine Abschlussmeldung. Die Einhaltung der Sicherheitsanforderungen muss gegenüber dem BSI regelmäßig nachgewiesen werden. Bei Sicherheitsmängeln kann das BSI von Betreibern kritischer Anlagen und von besonders wichtigen Einrichtungen Abhilfemaßnahmen verlangen. Darüber hinaus sind alle Einrichtungen verpflichtet, sich beim BSI zu registrieren und relevante Informationen zur Verfügung zu stellen.
Ausblick
Mit Blick auf eine Zukunft, in der digitale Gesundheitstechnologien unseren Alltag immer stärker prägen werden, ist es von entscheidender Bedeutung, dass die Akteure im Gesundheitswesen – von Start-ups über etablierte Unternehmen – ihre Geschäftsmodelle stets unter Berücksichtigung dieser regulatorischen Anforderungen verfolgen. Es bleibt abzuwarten, wie sich das Zusammenspiel von technologischem Fortschritt und regulatorischer Gestaltung künftig weiterentwickeln wird. Der Gesetzgeber ist jedenfalls nicht untätig: So wird in naher Zukunft das Gesetz zur Reform der Notfallversorgung, die die telemedizinische Versorgung weiter ausbauen wird, und ein Gesetz zur Schaffung einer Digitalagentur für Gesundheit erwartet.
Autor
Dr. Marina Schulte
Taylor Wessing, Düsseldorf
Rechtsanwältin
Autor
Dr. Benedikt Kohn, CIPP/E
Taylor Wessing, Duesseldorf
Rechtsanwalt