Bestimmte Kategorien elektronischer Gesundheitsdaten können auch dann noch besonders sensibel sein, wenn sie in anonymisiertem und somit nicht personenbezogenem Format vorliegen, wie es bereits in der Verordnung (EU) 2022/868 ausdrücklich vorgesehen ist. Selbst bei Anwendung von dem Stand der Technik entsprechenden Anonymisierungverfahren besteht nach wie vor ein Restrisiko, dass die Fähigkeit zur Re-Identifizierung über die nach vernünftigem Ermessen wahrscheinlich eingesetzten Mittel hinaus verfügbar sein oder werden könnte. Ein solches Restrisiko besteht im Zusammenhang mit seltenen Krankheiten, d. h. eine lebensbedrohliche oder zu chronischer Invalidität führende Erkrankung, von der höchstens fünf von 10 000 Personen in der Union betroffen sind, bei denen die begrenzte Zahl von Fällen die Möglichkeit einschränkt, die veröffentlichten Daten vollständig zu aggregieren, damit die Privatsphäre natürlicher Personen gewahrt bleibt, und gleichzeitig ein angemessenes Granularitätsniveau und somit die Aussagekraft aufrechtzuerhalten. Dieses Restrisiko kann verschiedene Kategorien von Gesundheitsdaten betreffen, und kann zur Re-Identifizierung von betroffenen Personen führen, die von den voraussichtlich verwendeten Mitteln abweichende Mittel verwenden. Dieses Risiko ist von Folgendem abhängig: Dem Grad der Granularität, der Beschreibung der Merkmale der betroffenen Personen, der Anzahl der betroffenen Personen, beispielsweise wenn Daten in EHR, Krankheitsregistern, Biobanken oder personenbezogene Daten betroffen sind, bei denen das Spektrum der Identifizierungsmerkmale breiter ist, und der mögliche Kombination mit anderen Informationen, z. B. in sehr kleinen geografischen Gebieten, oder durch die technologische Entwicklung von Methoden, die zum Zeitpunkt der Anonymisierung nicht verfügbar waren. Eine solche Re-Identifizierung natürlicher Personen wäre äußerst bedenklich und würde die Akzeptanz der in der vorliegenden Verordnung vorgesehenen Vorschriften für die Sekundärnutzung gefährden. Darüber hinaus sind Aggregationsverfahren für nicht personenbezogene Daten, die beispielsweise Geschäftsgeheimnisse enthalten, wie dies bei der Berichterstattung über klinische Prüfungen und klinische Untersuchungen der Fall ist, weniger erprobt, und die Verfolgung von Verletzungen von Geschäftsgeheimnissen außerhalb der Union ist schwieriger, da es keinen ausreichenden internationalen Schutzstandard gibt. Daher besteht für diese Kategorien von Gesundheitsdaten nach der Anonymisierung oder Aggregierung weiterhin ein Risiko der Re-Identifizierung, das zunächst nicht angemessen gemindert werden kann. Dies fällt unter die in Artikel 5 Absatz 13 der Verordnung (EU) 2022/868 genannten Kriterien. Diese Arten von Gesundheitsdaten würden somit unter die in Artikel 5 Absatz 13 der Verordnung festgelegte Befugnis zur Übermittlung an Drittländer fallen. Die im Rahmen der Ermächtigung gemäß Artikel 5 Absatz 13 der Verordnung (EU) 2022/868 vorgesehenen besonderen Bedingungen werden im Zusammenhang mit dem delegierten Rechtsakt im Rahmen der Befugnisübertragung näher ausgeführt, und müssen in einem angemessenen Verhältnis zum Risiko der Re-Identifizierung stehen und die Besonderheiten verschiedener Datenkategorien oder unterschiedlicher Anonymisierungs- oder Aggregationsverfahren berücksichtigen.
Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 05.03.2025
Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.
