GDNG

§ 6

Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu Forschungszwecken

(1) Datenverarbeitende Gesundheitseinrichtungen dürfen die bei ihnen gemäß Artikel 9 Absatz 2 Buchstabe h und i der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Daten weiterverarbeiten, soweit dies erforderlich ist

²Die nach Satz 1 weiterverarbeiteten, personenbezogenen Daten sind zu pseudonymisieren; sie sind zu anonymisieren, sobald dies im Rahmen der Weiterverarbeitung für den jeweiligen Zweck nach Satz 1 möglich ist. ³Sind mehrere natürliche Personen in der datenverarbeitenden Gesundheitseinrichtung tätig, hat die Gesundheitseinrichtung ein Rechte- und Rollenkonzept zu erstellen, das gewährleistet, dass nur befugte Personen die in Satz 1 genannten Daten weiterverarbeiten können sowie Weiterverarbeitungen protokolliert und unbefugte Verarbeitungen geahndet werden können. ⁴Daten, die nach Absatz 1 Satz 1 weiterverarbeitet werden, sind spätestens 30 Jahre nach Beginn der Weiterverarbeitung nach Absatz 1 Satz 1 zu löschen. § 14 des Transplantationsgesetzes ist zu beachten.

(2) Die Ergebnisse der Weiterverarbeitung von Gesundheitsdaten nach Absatz 1 sind zu anonymisieren, sobald dies nach dem jeweiligen Zweck nach Absatz 1 Satz 1 möglich ist.

(3) ¹Die Weitergabe der personenbezogenen Daten an Dritte ist im Rahmen der Weiterverarbeitung nach Absatz 1 untersagt. ²Abweichend von Satz 1 ist die Weitergabe von personenbezogenen Daten im Rahmen der Weiterverarbeitung nach Absatz 1 zulässig, soweit die betroffene Person eingewilligt hat oder eine andere gesetzliche Vorschrift des Bundesrechts, des Landesrechts oder unmittelbar geltender Rechtsakte der Europäischen Union dies vorsieht. ³Die datenverarbeitenden Gesundheitseinrichtungen dürfen die gemäß Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 rechtmäßig gespeicherten Gesundheitsdaten anonymisieren, um die anonymisierten Daten zu den in Absatz 1 Satz 1 genannten Zwecken an Dritte zu übermitteln. Abweichend von Satz 1 ist eine gemeinsame Nutzung und Verarbeitung der in Absatz 1 Satz 1 genannten Daten zu den in Absatz 1 Satz 1 genannten Zwecken durch öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken zulässig, wenn

Die Datenschutzaufsichtsbehörde soll innerhalb eines Monats über die Zustimmung nach Satz 4 Nummer 4 entscheiden.

(4) ¹Datenverarbeitende Gesundheitseinrichtungen, die nach Absatz 1 Daten verarbeiten, sind verpflichtet, öffentlich und allgemein in präziser, transparenter, leicht verständlicher und zugänglicher Form in einer klaren und einfachen Sprache über die Zwecke, für die nach Absatz 1 Daten weiterverarbeitet werden, zu informieren. ²Dabei ist auch über laufende Forschungsvorhaben und veröffentlichte Forschungsergebnisse zu informieren, die nach § 8 registriert oder veröffentlicht wurden. ³Auf Verlangen einer von der Verarbeitung zu den in Absatz 1 Satz 1 Nummer 2 oder 3 genannten Zwecken betroffenen Person ist die datenverarbeitende Gesundheitseinrichtung verpflichtet, über die Art, den Umfang und den konkreten Zweck der Verarbeitung der Daten zu den in Absatz 1 Satz 1 Nummer 2 oder Nummer 3 genannten Zwecken in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.