heise PlusAbo
Anzeige

Medizinregistergesetz – zwischen Gemeinwohl und Fremdbestimmung

Die Bundesregierung will Medizinregister gesetzlich regeln und für Sekundärnutzungen öffnen. Datenschützer sehen erhebliche Mängel.

vorlesen Druckansicht
Ă„rztin arbeitet am Laptop, ĂĽberall Ordner-Symbole

(Bild: Natali _ Mis / Shutterstock.com)

Lesezeit: 9 Min.
Von
  • Dr. Thilo Weichert
Inhaltsverzeichnis

In Deutschland gibt es mehr als 350 Medizinregister. Dabei handelt es sich um Datenbanken, in denen von unterschiedlichen Gesundheitseinrichtungen strukturierte Daten zu Behandlungen und Krankheiten gespeichert und genutzt werden. Primärer Zweck dieser Register ist die Unterstützung der Versorgung und die Sicherung der Qualität der Behandlung. Viele Register dienen auch explizit Forschungszwecken. Die mit den Registern verfolgte Idee besteht darin, dass einrichtungsübergreifende Daten in einer standardisierten Form gesammelt werden, sodass sowohl für die Einzelbehandlung wie auch für die Versorgung allgemein Schlussfolgerungen gezogen werden können.

Lesen Sie auch

Eine Einschätzung von Thilo Weichert
Thilo Weichert

(Bild: 

Thilo Weichert

)

Aktuell ist Thilo Weichert Co-Vorsitzender des Vereins Digitalcourage und engagiert sich fĂĽr den Datenschutz. Von 2004 bis 2015 war er Landesdatenschutzbeauftragter von Schleswig-Holstein.

Eine gesetzliche Grundlage haben bisher lediglich die Krebsregister auf Landesebene sowie deren ZusammenfĂĽhrung in einem nationalen Krebsregister, ein Transplantationsregister und seit 2019 das zentrale Implantateregister. In den entsprechenden Gesetzen ist geregelt, welche Daten von den Leistungserbringenden eingemeldet werden, welche Rechte die Betroffenen haben und wie die Registerdaten genutzt werden dĂĽrfen.

Vom Patientengeheimnis zur umfassenden Gesundheitsdatennutzung

Die meisten Medizinregister basieren auf einer Einwilligung der erfassten Patientinnen und Patienten. Im schwarz-roten Koalitionsvertrag 2025 heißt es nun: „Zur besseren Datennutzung setzen wir ein Registergesetz auf und verbessern die Datennutzung beim Forschungsdatenzentrum Gesundheit." Damit sollen Medizinregister nach einem Qualifizierungsverfahren mit bestimmten Anforderungen berechtigt und sogar verpflichtet sein, die Daten für Sekundärzwecke Dritten zur Verfügung zu stellen.

Videos by heise

Am 11. März 2026 beschloss die Bundesregierung den Entwurf eines Medizinregistergesetzes. Damit verfolgt die Regierung eine Strategie, die vor einigen Jahren in unserem Gesundheitswesen nicht vorstellbar war: Beim Umgang mit Gesundheitsdaten stand das Patientengeheimnis im Vordergrund. Deutlich beschleunigt durch die Erkenntnis während der Corona-Pandemie, dass für die Bewältigung dieser Gesundheits-Sonderlage aktuelle Daten nötig sind, verfolgen sowohl die Europäische Union als auch die deutsche Politik das Ziel, Gesundheitsdaten möglichst umfassend und zügig nutzbar zu machen.

Auf EU-Ebene wurde hierfür 2025 der Europäische Gesundheitsdatenraum (European Health Data Space – EHDS) verabschiedet, wonach ab 2029 eine umfassende Rechtsgrundlage dafür geschaffen wird, Gesundheitsdaten im gesellschaftlichen Interesse sekundären Nutzungen zuzuführen. Fast zeitgleich verabschiedete der deutsche Gesetzgeber ein Gesundheitsdatennutzungsgesetz (GDNG), mit dem das gleiche Ziel verfolgt wird.

Als zentrale Dateninfrastruktur soll das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) betriebene Forschungsdatenzentrum Gesundheit (FDZ) genutzt werden. Dort stehen der Wissenschaft seit Herbst 2025 Abrechnungsdaten der gesetzlichen Krankenkassen zur Verfügung. Im FDZ werden zudem pseudonymisierte elektronische Patientenakten (ePAs) gespeichert. Medizinische Leistungserbringer sind seit Oktober 2025 zum Befüllen dieser von den Kassen betriebenen ePAs verpflichtet, wenn die Patienten dem nicht widersprochen haben. Diese ePAs werden pseudonymisiert automatisch an das FDZ weitergeleitet. Betroffene haben auch hiergegen ein Widerspruchsrecht. Als weitere Datenquelle für sekundäre Nutzungen sind gemäß dem GDNG die Krebsregister vorgesehen, deren Daten mit den FDZ-Daten abgeglichen werden können.

Der Kabinettsentwurf fĂĽr ein Medizinregistergesetz

Mit dem Medizinregistergesetz wird das Konzept, nach dem Datennutzung Vorrang vor Vertraulichkeit hat, konsequent weiterverfolgt: Die bisher ohne gesetzliche Grundlage arbeitenden Register, deren Datenverarbeitung regelmäßig auf einer – wenig bestimmten – Einwilligung, dem „Broad Consent" basiert, sollen eine gesetzliche Grundlage erhalten und dann umfassend auch sekundären Zwecken dienen. Dafür müssen die Register einen Qualifizierungsprozess durchlaufen, bei dem sie gegenüber dem beim BfArM einzurichtenden „Zentrum für Medizinregister" (ZMR) durch Dokumente Qualität, Zuverlässigkeit, Nachhaltigkeit, Transparenz und Datenschutzkonformität nachweisen. Vorgelegt werden muss ein zustimmendes Ethik-Votum einer nach Landesrecht gebildeten Ethik-Kommission. Liegen die Voraussetzungen vor, dann erfolgt die „Qualifizierung zum Medizinregister mit Widerspruchsmöglichkeit".

Das Befüllen des Registers erfolgt durch „meldende Gesundheitseinrichtungen", die sich zur Registerkooperation bereit erklärt haben. Vor der ersten Einmeldung zu einem Patienten muss dieser über den Prozess der Meldung informiert worden sein und darf dem nicht widersprochen haben. Die Gesundheitseinrichtungen sind dann zu Meldungen gemäß einem jeweils für das Register standardisiert festgelegten Datensatz verpflichtet. Dies kann dazu führen, dass die Gesundheitseinrichtung im Interesse der Registerbefüllung mehr Daten erhebt, als für die individuelle Behandlung nötig ist.

Die Daten der qualifizierten Medizinregister stehen dann für einen breiten Katalog an Zwecken zur Verfügung. Geworben wird für die Sekundärdatennutzung zumeist mit der wissenschaftlichen Forschung. Vorgesehen ist darüber hinaus viel mehr: Qualitätssicherung, Unterstützung politischer Entscheidungsprozesse, Aufgaben der öffentlichen Gesundheit, Gesundheitsberichterstattung, Entwicklung bis Überwachung von Arzneimitteln, Medizinprodukten und Behandlungsmethoden, Entwicklung, Trainieren, Validieren und Testen von Systemen sogenannter künstlicher Intelligenz.

Dieser weit gefasste Zweckkatalog eröffnet weitreichende Datennutzungen. Dieser kann unter namentlicher Patientennennung im Rahmen einer Kooperation zwischen gesetzlichen und qualifizierten Registern erfolgen, wenn die Betroffenen dem nicht widersprochen haben. Die Betroffeneninformation erfolgt aber nicht individuell, sondern durch eine allgemeine Veröffentlichung des jeweiligen Registers. Registerkooperationen mit Datenzusammenführungen sind auch pseudonymisiert vorgesehen. Grundlage für die pseudonyme Zusammenführung von Datensätzen soll der unveränderbare Teil der Krankenversicherungsnummer gemäß dem SGB V sein. Und dies ist auch für einzelne Datennutzende vorgesehen, die bei dem jeweiligen Register einen Nutzungsantrag stellen. Für eine solche pseudonyme Datennutzung müssen die Antragsteller ihr Projekt beschreiben und begründen sowie sich verpflichten, keine Reidentifizierung vorzunehmen. Sie müssen technisch-organisatorische Datenschutzvorkehrungen sowie die besondere Qualifizierung der Mitarbeitenden nachweisen.

Transparenz über die pseudonymisierten Datenauswertungen der Medizinregister soll dadurch hergestellt werden, dass diese die Nutzungsanträge an das Zentrum für Medizinregister melden und dieses die Anträge veröffentlicht. Selbst bei der namentlichen Datenweitergabe von Gesundheitsdaten soll es keine individuelle Betroffeneninformation geben, wie sie in der DSGVO vorgesehen ist, sondern nur eine öffentliche Information.

Die Empfänger der Daten aus Medizinregistern werden einer Geheimhaltungspflicht unterworfen, bei deren Verstoß sie strafrechtlich verfolgt werden können. Wie bisher schon beim Verstoß gegen die berufliche Schweigepflicht nach § 203 StGB werden entsprechende Taten nur auf Antrag verfolgt.

Was davon zu halten ist

Dem Kabinettsbeschluss von März 2026 ging ein Referentenentwurf des Bundesgesundheitsministeriums (BMG) vom Oktober 2025 voraus. Dieser wurde 60 Einrichtungen vorwiegend aus der medizinischen Forschung zur Stellungnahme übermittelt, jedoch keiner Datenschutzorganisation außer der Stiftung Datenschutz, deren Aufgabe es nicht ist, zu Gesetzentwürfen Bewertungen abzugeben. Dessen ungeachtet kritisierte das Netzwerk Datenschutzexpertise den Referentenentwurf in einer Stellungnahme vom Dezember 2025 grundlegend (PDF). Während das BMG die angeforderten zustimmenden Stellungnahmen zum Entwurf veröffentlichte, sah das BMG trotz entsprechender Aufforderung davon ab, die kritische Stellungnahme auf seiner Webseite zu veröffentlichen.

Die Stellungnahme des Netzwerks Datenschutzexpertise kam zu dem Ergebnis, dass der Gesetzentwurf in vieler Hinsicht gegen Europarecht und deutsches Verfassungsrecht verstoße. Auch wenn das BMG die Stellungnahme nicht öffentlich aufgriff, so wurden doch einige offensichtlichen rechtliche Mängel behoben. Dessen ungeachtet bestehen aus Sicht der Kritiker bei dem Kabinettentwurf weiterhin erhebliche Defizite, insbesondere im Hinblick auf die Wahrung des Patientengeheimnisses und des Datenschutzes:

  • Das fĂĽr die Administration des Gesetzes vorgesehene Zentrum fĂĽr Medizinregister (ZMR) ist nicht unabhängig genug und steht in einem ungeklärten Verhältnis zu anderen, im Bundesinstitut fĂĽr Arzneimittel und Medizinprodukte angesiedelten Organisationseinheiten.
  • Die Information der Betroffenen erfolgt nicht konkret im Einzelfall, sondern nur allgemein, sodass den Transparenzerfordernissen der DSGVO nicht genĂĽgt wird.
  • Die erlaubten Zwecke der Datennutzung gehen weit ĂĽber die Forschungsnutzung hinaus und erstrecken sich (selbst mit pseudonymisierten, also personenbeziehbaren Daten) auf operative Zwecke mit einem hohen Missbrauchsrisiko, ohne dass hinreichende Sicherheitsvorkehrungen getroffen sind.
  • Der Datenaustausch zwischen Registern wird umfassend erlaubt, ohne dass Schutzvorkehrungen vorgesehen sind. Patientendaten können damit unkontrolliert und unsanktioniert von Register zu Register wandern und werden mit der Krankenkassennummer verknĂĽpfbar gemacht.
  • Die Erlaubnis fĂĽr die Datennutzung erfolgt durch die Register selbst und ist intransparent und kontrollfrei.
  • Das Patientengeheimnis wird durch die Weiternutzung aufgehoben, was unter anderem dazu fĂĽhrt, dass fĂĽr die Daten kein Schutz vor der Nutzung durch Strafverfolgungsbehörden besteht.
  • Die Sanktionsregelungen bei Datenschutzverstößen sind so restriktiv, dass eine wirksame Ermittlung, Verfolgung und Ahndung unwahrscheinlich ist.
  • Es fehlt an Schutzvorkehrungen bei der Nutzung der Krankenversicherungsnummer.
  • Es fehlt an einer Regelung zur Evaluierung und Befristung des Gesetzes.
  • Die Vorgaben des verbindlichen europäischen Data Governance Acts werden vollständig ignoriert.

Es bleibt so den Gesetzgebungsorganen Bundestag und Bundesrat die Aufgabe, aus dem Kabinetttsvorschlag ein tragfähiges Gesetz zu machen. Weitgehender Konsens dürfte sein, dass die Daten aus Medizinregistern auch für Gemeinwohlzwecke ausgewertet werden können sollen. Zu begrüßen ist auch, dass die unübersichtliche und weitgehend ungeregelte Landschaft der Medizinregister gesetzlich geordnet wird. Doch so, wie die Bundesregierung dies plant, könnte das ärztliche Vertrauensverhältnis Schaden nehmen, weil die bei der Behandlung erhobenen Daten ausgeweitet würden und ohne ausreichende Kontrolle anderen Registern und einer großen Zahl von Datennutzern zur Verfügung gestellt würden. Dies ist wäre der Forschung nicht dienlich, die auf das Vertrauen der Patienten angewiesen ist. Der Kabinettsentwurf sollte daher gründlich überarbeitet werden.

(mack)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten