{"$schema":"https://www.lobbyregister.bundestag.de/json-schemas/R2.22/Lobbyregister-Registereintrag-schema-R2.22.json","source":"Deutscher Bundestag, Lobbyregister für die Interessenvertretung gegenüber dem Deutschen Bundestag und der Bundesregierung","sourceUrl":"https://www.lobbyregister.bundestag.de","sourceDate":"2026-04-22T10:48:53.107+02:00","jsonDocumentationUrl":"https://www.lobbyregister.bundestag.de/informationen-und-hilfe/open-data-1049716","registerNumber":"R003719","registerEntryDetails":{"registerEntryId":69628,"legislation":"GL2024","version":18,"detailsPageUrl":"https://www.lobbyregister.bundestag.de/suche/R003719/69628","pdfUrl":"https://www.lobbyregister.bundestag.de/media/e2/b8/659061/Lobbyregister-Registereintraege-Detailansicht-R003719-2025-12-17_14-17-58.pdf","validFromDate":"2025-12-17T14:17:58.000+01:00","fiscalYearUpdate":{"updateMissing":false,"lastFiscalYearUpdate":"2025-04-04T15:21:47.000+02:00"}},"accountDetails":{"activeLobbyist":true,"activeDateRanges":[{"fromDate":"2024-07-26T15:11:48.000+02:00"}],"firstPublicationDate":"2022-03-22T15:12:01.000+01:00","lastUpdateDate":"2025-12-17T14:17:58.000+01:00","registerEntryVersions":[{"registerEntryId":69628,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/69628","version":18,"legislation":"GL2024","validFromDate":"2025-12-17T14:17:58.000+01:00","versionActiveLobbyist":true},{"registerEntryId":69410,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/69410","version":17,"legislation":"GL2024","validFromDate":"2025-12-17T14:08:31.000+01:00","validUntilDate":"2025-12-17T14:17:58.000+01:00","versionActiveLobbyist":true},{"registerEntryId":67075,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/67075","version":16,"legislation":"GL2024","validFromDate":"2025-10-24T14:37:04.000+02:00","validUntilDate":"2025-12-17T14:08:31.000+01:00","versionActiveLobbyist":true},{"registerEntryId":64064,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/64064","version":15,"legislation":"GL2024","validFromDate":"2025-08-19T11:34:25.000+02:00","validUntilDate":"2025-10-24T14:37:04.000+02:00","versionActiveLobbyist":true},{"registerEntryId":53892,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/53892","version":14,"legislation":"GL2024","validFromDate":"2025-04-25T10:11:43.000+02:00","validUntilDate":"2025-08-19T11:34:25.000+02:00","versionActiveLobbyist":true},{"registerEntryId":53063,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/53063","version":13,"legislation":"GL2024","validFromDate":"2025-04-04T15:21:47.000+02:00","validUntilDate":"2025-04-25T10:11:43.000+02:00","versionActiveLobbyist":true},{"registerEntryId":42165,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R003719/42165","version":12,"legislation":"GL2024","validFromDate":"2024-07-26T15:11:48.000+02:00","validUntilDate":"2025-04-04T15:21:47.000+02:00","versionActiveLobbyist":true}],"accountHasCodexViolations":false},"lobbyistIdentity":{"identity":"ORGANIZATION","name":"CompuGroup Medical SE & Co. KGaA","legalFormType":{"code":"JURISTIC_PERSON","de":"Juristische Person","en":"Legal person"},"legalForm":{"code":"LF_KGAA","de":"Kommanditgesellschaft auf Aktien (KGaA)","en":"Partnership limited by shares (KGaA)"},"contactDetails":{"phoneNumber":"+4926180000","emails":[{"email":"info@cgm.com"}],"websites":[{"website":"www.cgm.com"}]},"address":{"type":"NATIONAL","street":"Maria Trost","streetNumber":"21","zipCode":"56070","city":"Koblenz","country":{"code":"DE","de":"Deutschland","en":"Germany"}},"capitalCityRepresentationPresent":false,"legalRepresentatives":[{"academicDegreeBefore":"Prof. (apl.) Dr. med. ","lastName":"Daniel","firstName":"Gotthardt","function":"CEO","recentGovernmentFunctionPresent":false,"entrustedPerson":false,"contactDetails":{}},{"lastName":"Hommel","firstName":"Daniela","function":"CFO","recentGovernmentFunctionPresent":false,"entrustedPerson":false,"contactDetails":{}},{"lastName":"Reichl","firstName":"Hannes","function":"Geschäftsführender Direktor Inpatient and Social Care","recentGovernmentFunctionPresent":false,"entrustedPerson":false,"contactDetails":{}},{"lastName":"Mugnani","firstName":"Emanuele","function":"Geschäftsführender Direktor Ambulatory Information Systems Europe","recentGovernmentFunctionPresent":false,"entrustedPerson":false,"contactDetails":{}},{"academicDegreeBefore":"Dr. ","lastName":"Schroeder","firstName":"Guido","function":"Chief Product & Technology Officer","recentGovernmentFunctionPresent":false,"entrustedPerson":false,"contactDetails":{}}],"entrustedPersonsPresent":true,"entrustedPersons":[{"lastName":"Bruzek","firstName":"Barbara","recentGovernmentFunctionPresent":false},{"academicDegreeBefore":"Dr. ","lastName":"Köpke","firstName":"Jörg","recentGovernmentFunctionPresent":false}],"membersPresent":false,"membershipsPresent":true,"memberships":[{"membership":"bitkom e.V."},{"membership":"Bundesverband Gesundheits-IT e.V. (bvitg)"},{"membership":"Wirtschaftsrat der CDU e.V."},{"membership":"Bundesverband Managed Care e.V. (BMC)"},{"membership":"Qualitätsring Medizinische Software e.V."}]},"activitiesAndInterests":{"activity":{"code":"ACT_ORGANIZATION_V2","de":"Sonstiges Unternehmen","en":"Other company"},"typesOfExercisingLobbyWork":[{"code":"SELF_OPERATED_OWN_INTEREST","de":"Die Interessenvertretung wird in eigenem Interesse selbst wahrgenommen","en":"Interest representation is self-performed in its own interest"},{"code":"CONTRACTS_OPERATED_BY_THIRD_PARTY","de":"Die Interessenvertretung wird in eigenem Interesse durch die Beauftragung Dritter wahrgenommen","en":"Contracts are awarded to third parties to represent own interests of the company"}],"fieldsOfInterest":[{"code":"FOI_ECONOMY_INDUSTRIAL","de":"Industriepolitik","en":"Industrial policy"},{"code":"FOI_HEALTH_PROMOTION","de":"Gesundheitsförderung","en":"Health promotion"},{"code":"FOI_HEALTH_SUPPLY","de":"Gesundheitsversorgung","en":"Health supply"},{"code":"FOI_HEALTH_OTHER","de":"Sonstiges im Bereich \"Gesundheit\"","en":"Other in the field of \"Health\""}],"activityDescription":"Die CompuGroup Medical SE & Co. KGaA (CGM) ist ein Unternehmen im Bereich Software im Gesundheitswesen. CGM treibt die Entwicklung neuer Technologien voran und stellt Gesundheitsprofis und Patienten helfende medizinische Informationen zum Nutzen aller Beteiligten im Gesundheitssystem zur Verfügung. Zum Zwecke der Interessenvertretung werden Gespräche mit Vertreterinnen und Vertretern des Bundeskanzleramtes und der Bundesministerien sowie mit Mitgliedern des Deutschen Bundestages und deren Mitarbeitenden geführt zur Erläuterung von Änderungsnotwendigkeiten hinsichtlich einer Vielzahl von Themenfeldern, die als Rahmenbedingungen für die unternehmerische Tätigkeit von großer Bedeutung sind. Dabei geht es unter anderem um Themen zur Digitalisierung, der Datennutzung und des Datenschutzes im Gesundheitswesen sowie um notwendige Voraussetzungen der Gesundheitswirtschaft für den Industriestandort Deutschland. \r\n\r\nInsbesondere sollen in den Softwaresystemen für Krankenhäuser, Rehaeinrichtungen, Pflegediensten, Arztpraxen, MVZ, Laboren, Apotheken und anderen die Praxistauglichkeit sowie der Nutzen sichergestellt werden, u.a. bei Anwendungen wie der elektronischen Patientenakte, den medizinischen Informationsobjekten, der Telematikinfrastruktur, der Telemedizin oder der Interoperabilität. Zweck der Interessenvertretung ist es daher, die Sicht der Praxis zu vermitteln und Impulse zur Verbesserung der komplexen Zusammenspiele zu geben. Im Zuge dessen werden auch parlamentarische Abende und Diskussionsveranstaltungen durchgeführt, zu denen Regierungsmitglieder, Abgeordnete sowie Vertreterinnen und Vertreter der Ministerien eingeladen werden. Darüber hinaus werden in Einzelfällen auch Stellungnahmen zu konkreten Regelungsvorhaben erarbeitet und übermittelt."},"employeesInvolvedInLobbying":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","employeeFTE":0.28},"financialExpenses":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","financialExpensesEuro":{"from":80001,"to":90000}},"mainFundingSources":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","mainFundingSources":[{"code":"MFS_ECONOMIC_ACTIVITY","de":"Wirtschaftliche Tätigkeit","en":"Economic activity"}]},"publicAllowances":{"publicAllowancesPresent":true,"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","publicAllowances":[{"name":"Bundesministerium für Bildung und Forschung","type":{"code":"GERMAN_PUBLIC_SECTOR_FEDERAL","de":"Deutsche Öffentliche Hand – Bund","en":"German Public Sector – Federal"},"location":"Hallo","publicAllowanceEuro":{"from":40001,"to":50000},"description":"Verbundprojekt: Digitales Selbstmanagement in transsektoralen, interprofessionellen Versorgungsstrukturen für die Onkologie (DigiCare) – Teilvorhaben: Erforschung einer eHealth-App und Aufbau einer Kommunikationsplattform"}]},"donators":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","totalDonationsEuro":{"from":0,"to":0}},"membershipFees":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","totalMembershipFees":{"from":0,"to":0},"individualContributorsPresent":false,"individualContributors":[]},"annualReports":{"annualReportLastFiscalYearExists":true,"lastFiscalYearStart":"2024-01-01","lastFiscalYearEnd":"2024-12-31","annualReportPdfUrl":"https://www.lobbyregister.bundestag.de/media/d5/7b/659060/250306_2024_CGM_Geschaeftsbericht.pdf"},"regulatoryProjects":{"regulatoryProjectsPresent":true,"regulatoryProjectsCount":2,"regulatoryProjects":[{"regulatoryProjectNumber":"RV0011302","title":"Mit dem GDAG soll die gematik zu einer sogenannten Digitalagentur Gesundheit ausgebaut werden.","printedMattersPresent":true,"printedMatters":[{"title":"Entwurf eines Gesetzes zur Schaffung einer Digitalagentur für Gesundheit (Gesundheits-Digitalagentur-Gesetz - GDAG)","printingNumber":"377/24","issuer":"BR","documentUrl":"https://dserver.bundestag.de/brd/2024/0377-24.pdf","projectUrl":"https://dip.bundestag.de/vorgang/gesetz-zur-schaffung-einer-digitalagentur-f%C3%BCr-gesundheit-gesundheits-digitalagentur-gesetz/314886","leadingMinistries":[{"title":"Bundesministerium für Gesundheit","shortTitle":"BMG","electionPeriod":20,"url":"https://www.bundesgesundheitsministerium.de/"}],"migratedDraftBill":{"title":"Entwurf eines Gesetzes zur Schaffung einer Digitalagentur für Gesundheit (Gesundheits-Digitalagentur-Gesetz - GDAG)","publicationDate":"2024-05-15","leadingMinistries":[{"title":"Bundesministerium für Gesundheit","shortTitle":"BMG","electionPeriod":20,"url":"https://www.bundesgesundheitsministerium.de/","draftBillDocumentUrl":"https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/G/GDAG_RefE.pdf","draftBillProjectUrl":"https://www.bundesgesundheitsministerium.de/service/gesetze-und-verordnungen/detail/gesundheits-digitalagentur-gesetz-gdag.html"}]}},{"title":"Entwurf eines Gesetzes zur Schaffung einer Digitalagentur für Gesundheit - (Gesundheits-Digitalagentur-Gesetz - GDAG)","printingNumber":"20/13249","issuer":"BT","documentUrl":"https://dserver.bundestag.de/btd/20/132/2013249.pdf","projectUrl":"https://dip.bundestag.de/vorgang/gesetz-zur-schaffung-einer-digitalagentur-f%C3%BCr-gesundheit-gesundheits-digitalagentur-gesetz/314886","leadingMinistries":[{"title":"Bundesministerium für Gesundheit","shortTitle":"BMG","electionPeriod":20,"url":"https://www.bundesgesundheitsministerium.de/"}],"migratedDraftBill":{"title":"Entwurf eines Gesetzes zur Schaffung einer Digitalagentur für Gesundheit (Gesundheits-Digitalagentur-Gesetz - GDAG)","publicationDate":"2024-05-15","leadingMinistries":[{"title":"Bundesministerium für Gesundheit","shortTitle":"BMG","electionPeriod":20,"url":"https://www.bundesgesundheitsministerium.de/","draftBillDocumentUrl":"https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/G/GDAG_RefE.pdf","draftBillProjectUrl":"https://www.bundesgesundheitsministerium.de/service/gesetze-und-verordnungen/detail/gesundheits-digitalagentur-gesetz-gdag.html"}]}}],"draftBillPresent":false,"description":"Die Aufgaben der DAG sollten die auf Austausch basierende Orchestrierung aller Stakeholder sowie die effiziente Vorgabe von Spezifikationen und die Marktzulassung von Lösungen umfassen. Die DAG sollte mittles Ende-zu-Ende Verantwortung für eine funktionsfähige und sichere TI sorgen, die notwendigen Testumgebungen schaffen und standardisierte Zertifizierungsmaßnahmen vornehmen. Für eine erfolgreiche digitale Transformation besteht die dringende Notwendigkeit zur Einbindung von Nutzerperspektiven und Industrieexpertise, insbesondere bei der Roadmap-Erstellung sowie der Festlegung von Anforderungen und Spezifikationen. Es obliegt es AnwenderInnen, Benutzerfreundlichkeit individuell zu beurteilen. Standards sollen im Wettbewerb um die besten Lösungen definiert werden.\r\n","affectedLawsPresent":true,"affectedLaws":[{"title":"Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477)","shortTitle":"SGB 5","url":"https://www.gesetze-im-internet.de/sgb_5"}],"fieldsOfInterest":[{"code":"FOI_ECONOMY_INDUSTRIAL","de":"Industriepolitik","en":"Industrial policy"},{"code":"FOI_HEALTH_SUPPLY","de":"Gesundheitsversorgung","en":"Health supply"},{"code":"FOI_HEALTH_PROMOTION","de":"Gesundheitsförderung","en":"Health promotion"}]},{"regulatoryProjectNumber":"RV0021405","title":"European Health Data Space (EHDS) sowie Weiterentwicklung nationaler datenschutzrechtlicher Regelungen im Gesundheitsbereich (DSGVO, GDNG, BDSG)","printedMattersPresent":false,"printedMatters":[],"draftBillPresent":false,"description":"Ziel der Interessenvertretung ist es, im Rahmen der Umsetzung des EHDS sowie der Weiterentwicklung nationaler datenschutzrechtlicher Regelungen Rechtssicherheit für die Nutzung pseudonymisierter Gesundheitsdaten zu schaffen. Angestrebt wird die Erweiterung bestehender Rechtsgrundlagen für die Nutzung von Gesundheitsdaten für Forschung, Produktentwicklung und KI-Training, eine Klarstellung des Anonymisierungsbegriffs sowie eine innovationsfördernde Ausgestaltung der Datenschutzaufsicht im Gesundheitsbereich.","affectedLawsPresent":true,"affectedLaws":[{"title":"Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens","shortTitle":"GDNG","url":"https://www.gesetze-im-internet.de/gdng"},{"title":"Bundesdatenschutzgesetz","shortTitle":"BDSG 2018","url":"https://www.gesetze-im-internet.de/bdsg_2018"}],"fieldsOfInterest":[{"code":"FOI_HEALTH_SUPPLY","de":"Gesundheitsversorgung","en":"Health supply"},{"code":"FOI_HEALTH_PROMOTION","de":"Gesundheitsförderung","en":"Health promotion"},{"code":"FOI_HEALTH_OTHER","de":"Sonstiges im Bereich \"Gesundheit\"","en":"Other in the field of \"Health\""},{"code":"FOI_ECONOMY_INDUSTRIAL","de":"Industriepolitik","en":"Industrial policy"}]}]},"statements":{"statementsPresent":true,"statementsCount":1,"statements":[{"regulatoryProjectNumber":"RV0021405","regulatoryProjectTitle":"European Health Data Space (EHDS) sowie Weiterentwicklung nationaler datenschutzrechtlicher Regelungen im Gesundheitsbereich (DSGVO, GDNG, BDSG)","pdfUrl":"https://www.lobbyregister.bundestag.de/media/74/a0/659046/Stellungnahme-Gutachten-SG2512150052.pdf","pdfPageCount":10,"text":{"copyrightAcknowledgement":"Die grundlegenden Stellungnahmen und Gutachten können urheberrechtlich geschützte Werke enthalten. Eine Nutzung ist nur im urheberrechtlich zulässigen Rahmen erlaubt.","text":"Sicherung und Stärkung der Wettbewerbsfähigkeit von eHealth-Unternehmen bei der KI-Forschung im Gesundheitswesen\r\n\r\nDie eHealth-Branche, in der wir als CompuGroup Medical SE & Co. KGaA tätig sind, ist eine tragende Säule der Gesundheitsversorgung in Deutschland. Sie ist zugleich ein unverzichtbarer Motor für Innovationen im hiesigen Gesundheitswesen. \r\nUm die Gesundheitsversorgung zu stärken und unsere Wettbewerbsfähigkeit zu sichern, beschränken wir uns nicht auf die Entwicklung und Bereitstellung digitaler Anwendungen für die medizinische Versorgung. Ein bereits heute wesentlicher Teil unserer Tätigkeit ist vielmehr die evidenzbasierte Nutzung von Gesundheitsdaten zur Unterstützung der medizinischen Forschung. KI und die sich hieraus ergebenden Möglichkeiten können die Bedeutung dieses Tätigkeitsfeldes noch erheblich steigern. Unsere existierenden Lösungen und Visionen bieten dabei große Potenziale für den Standort Deutschland: Sie können für dringend benötigte Kosteneffizienz im Gesundheitswesen sorgen, hochwertige Arbeitsplätze schaffen und Deutschlands Vorreiterrolle in der digitalen Medizin, klinischen Forschung und KI-Entwicklung ausbauen. \r\nUnserer Ansicht nach gefährden die jüngeren regulatorischen Entwicklungen jedoch die vielfältigen Potenziale der evidenzbasierten Nutzung von Gesundheitsdaten. Unklare, überbordende datenschutzrechtliche Anforderungen sowie ungleiche Wettbewerbsbedingungen von e-Health Unternehmen im Vergleich zu staatlichen Institutionen schaffen erhebliche Hürden. Sie bremsen Innovationen, erschweren Investitionen und mindern somit Deutschlands internationale Wettbewerbsfähigkeit. Es ist dringend geboten, den regulatorischen Rahmen zukünftig so auszugestalten, dass die rechtssichere Entwicklung digitaler Lösungen für das Gesundheitswesen und der Betrieb medizinischer Forschung gefördert werden, jedenfalls aber möglich bleiben.\r\nDaher haben wir die aus unserer Sicht drängendsten Maßnahmen identifiziert, um Deutschlands Vorreiterrolle in Innovation, medizinischer Forschung und digitaler Gesundheitsversorgung zu sichern und auszubauen. All dies ist möglich, ohne den Staatshaushalt finanziell zu belasten. Auch Patienteninteressen können durch die existierenden technischen Schutzmaßnahmen gewahrt werden.\r\nGerne stehen wir Ihnen und Ihrem Haus für vertiefende Gespräche und einen fachlichen Austausch zur Verfügung, um gemeinsam tragfähige, praxisorientierte Lösungen zu entwickeln.  \r\nZusammenfassung unserer wesentlichen Anliegen und Vorschläge\r\n•\tDatenschutzrechtliche Legitimation der Nutzung von pseudonymen Gesundheitsdaten: eHealth-Unternehmen müssen nicht nur anonymisierte, sondern auch pseudonymisierte Gesundheitsdaten rechtssicher und diskriminierungsfrei verarbeiten können, um deren volles Forschungspotenzial nutzbar zu machen. Sie benötigen insofern die gleichen Bedingungen wie staatliche Akteure. Hierfür müssen § 6 GDNG auf privatwirtschaftliche Unternehmen erweitert und in § 27 Abs. 3 BDSG Klarstellungen vorgenommen werden, dass für Forschungszwecke verwendete (Gesundheit-)Daten nicht zwingend anonymisiert werden müssen.\r\n•\tDatenschutzrechtliche Legitimation der Nutzung zu innovationsgetriebenen Zwecken: Die Nutzung pseudonymisierter Gesundheitsdaten muss für Zwecke der Forschung (analog zum Forschungsdatenzentrum des BMG), der Produktentwicklung und des KI-Trainings datenschutzkonform möglich sein. Hierfür sind ebenfalls die bestehenden datenschutzrechtlichen Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten und für Forschungszwecke zu öffnen bzw. weiterzuentwickeln.\r\n•\tVereinheitlichung des Verständnisses der Anonymisierung von Daten in der DSGVO: Wie von der Bundesregierung in den Vorschlägen zur Vereinfachung der DSGVO vom 23. Oktober 2025 bereits festgestellt, sorgen die Unsicherheiten hinsichtlich der Anforderungen und Konsequenzen einer Anonymisierung im Sinne der DSGVO für massive Innovationshemmnisse auch für eHealth-Unternehmen. Daher sollten anonymisierte Informationen explizit vom Anwendungsbereich der DSGVO ausgeschlossen sowie eine Legaldefinition des Begriffs der Anonymisierung auf Grundlage des Urteils des Europäischen Gerichtshofs in Sachen C-413/23 P eingeführt werden.\r\n•\tSpezifische Anonymisierungsregeln für Gesundheitsdaten: Um den Besonderheiten der Verarbeitung von Gesundheitsdaten Rechnung zu tragen, bedarf es spezifischer Anonymisierungsregeln für Gesundheitsdaten auf nationaler Ebene. Dies kann durch die Etablierung klarer Standards und die Möglichkeit zur Anerkennung der Anonymisierung durch eine Zertifizierung erfolgen. Damit würde sich Deutschland an erfolgreichen Modellen aus dem US-amerikanischen Health Insurance Portability and Accountability Act (HIPAA) orientieren. Dieses Gesetz schafft Rechtssicherheit für innovative Forschung, indem Zweifel an der Anwendbarkeit datenschutzrechtlicher Anforderungen bei gleichzeitiger Wahrung von Patienteninteressen ausgeschlossen werden.\r\n•\tZentrale und innovationsfördernde Datenschutzaufsicht: Die in Deutschland bestehende föderale Datenschutzaufsicht erschwert die Bedingungen für eHealth-Unternehmen. Wir sprechen uns daher für eine zentrale und innovationsfördernde Datenschutzaufsicht auf Bundesebene aus, die Rechtssicherheit im Bundesgebiet gewährleistet.  \r\nKapitel 1: Verarbeitung pseudonymisierter Gesundheitsdaten als Grundlage für die Forschung und Entwicklung durch eHealth-Unternehmen \r\nA. Bedeutung dezentraler, sicherer Datenplattformen für Deutschland\r\n\r\nDezentrale, sichere Datenplattformen ermöglichen fortschrittliche Forschung auf Basis realer und repräsentativer Versorgungsdaten. Diese Daten müssen für die Allgemeinheit – einschließlich Forschender aus Wissenschaft, Wirtschaft und dem öffentlichen Sektor – barrierefrei zugänglich sein.\r\n\r\nB. Regulatorische Rahmenbedingungen und zentrale staatliche Dateninfrastrukturen als Innovationshemmnisse\r\n\r\nDie EHDS-Regulierung und das GDNG betonen den gesellschaftlichen Mehrwert einer effizienten, datenschutzkonformen Weiterverwendung von Gesundheitsdaten für Forschungszwecke („Sekundärnutzung“). Es soll die wertebasierte Entwicklung von innovativen medizinischen Anwendungen ermöglicht werden, um die Qualität medizinischer Versorgung zu steigern und zugleich Effizienzsteigerungen im Gesundheitssektor zu bewirken. Wir teilen die Ansicht zahlreicher Stakeholder – darunter auch das BMG –, dass trotz dieser Regulierungsansätze fehlende Infrastrukturen, rechtliche Unsicherheiten, mangelnde Datenkompetenz wesentliche Hindernisse für die Erreichung dieser Ziele darstellen und es einer forschungsfreundlichen Kommunikationskultur bedarf. \r\n\r\nDie derzeitige staatliche Reaktion auf diese anerkannten Hindernisse in Form des Aufbaus einer zentralen, von staatlichen Institutionen kontrollierten Dateninfrastruktur (insbesondere durch das Forschungsdatenzentrum) sowie die Schaffung regulatorischer Vorteile für staatliche Institutionen führen zu einer unangemessenen Benachteiligung privatwirtschaftlicher eHealth-Unternehmen. \r\n\r\nDarüber hinaus sieht das GDNG bislang vornehmlich Rechtsgrundlagen für die Datenverarbeitung durch öffentlich-rechtliche Einrichtungen oder Gesundheitseinrichtungen wie Krankenhäuser vor. Privatwirtschaftliche eHealth-Unternehmen, die über die erforderliche sektorspezifische Datenkompetenz verfügen (z.B. im Bereich der unstrukturierten Daten), werden hingegen nicht adressiert. Damit bleibt die Zulässigkeit der Verarbeitung von Gesundheitsdaten durch eHealth-Unternehmen rechtlich unsicher und die vom Gesetzgeber angestrebten Ziele können nicht erreicht werden. Diese Situation führt zu Innovationshemmnissen und Beschränkungen in der Möglichkeit zur Neu- und Weiterentwicklung von Versorgungsmodellen – jeweils zum Nachteil des eHealth-Standortes Deutschland. \r\n \r\nC. Unser Lösungsansatz: Ermöglichung der Nutzung pseudonymisierter Gesundheitsdaten für private eHealth-Unternehmen\r\n\r\nDer nationale Gesetzgeber sollte § 6 GDNG für private eHealth-Unternehmen öffnen und parallel in § 27 Abs. 3 BDSG klarstellen, dass für Forschungszwecke verwendete (Gesundheit-)Daten nicht zwingend anonymisiert werden müssen, sondern eine Pseudonymisierung ausreicht.\r\n\r\nDie Verfügbarkeit und Nutzbarkeit umfassender Gesundheitsdaten sind für den Erfolg der Entwicklung innovativer – KI-basierter – Versorgungsmodelle zum Wohle der Patienten entscheidend. Sie ermöglichen die Analyse vollständiger Behandlungspfade über verschiedene Leistungserbringer hinweg, sodass der gesamte medizinische Versorgungskontext in die Forschung, Produktentwicklung und das Modelltraining einfließen kann. Das GDNG erkennt diese Problematik ausdrücklich an und betont die wesentliche Bedeutung valider Datenbestände. Die Verarbeitung umfassender Gesundheitsdaten wird jedoch unmöglich, wenn Daten absolut anonymisiert werden müssen – also jede Form des Personenbezugs vollständig und unwiderruflich entfernt wird. \r\n\r\nDie Nutzung und Weitergabe von Gesundheitsdaten für legitime Nutzungszwecke nach § 6 GDNG darf nicht allein öffentlichen Einrichtungen vorbehalten sein. Auch privat- und gemischtwirtschaftliche Institutionen müssen von den Privilegierungen profitieren können, damit Innovationen im Gesundheitswesen entstehen können. § 6 GDNG beschränkt die Nutzung und Weitergabe von Gesundheitsdaten hingegen auf Gesundheitseinrichtungen. Datenschutzaufsichtsbehörden leiten daraus überschießend ab, dass sich lediglich diese Einrichtungen auf die Rechtsgrundlage des § 27 BDSG berufen dürften – das GDNG also für eine Einschränkung der Möglichkeit zur Verarbeitung von Gesundheitsdaten anstatt der vom Gesetzgeber intendierten Erweiterung führt. \r\n\r\nIn der Folge können ausschließlich staatliche Institutionen Gesundheitsdaten verknüpfen und auswerten (etwa aus der elektronischen Patientenakte), während die Rahmenbedingungen für privatwirtschaftlich tätige eHealth-Unternehmen mit Einführung des GDNG unverändert geblieben sind oder nach Auffassung von Datenschutzbehörden sogar limitiert wurden. Dies stellt nicht nur einen eklatanten Widerspruch zur Intention des Gesetzgebers dar, sondern benachteiligt privatwirtschaftliche Akteure, schränkt deren Innovationsmöglichkeiten erheblich ein und behindert folglich die digitale Transformation des Gesundheitswesens.\r\n\r\nD. Unsere weiteren Ansätze für mehr Innovationen im Gesundheitswesen\r\n\r\nÜber die Klarstellung der Möglichkeit zur Nutzung pseudonymisierter Gesundheitsdaten hinaus, kann durch weitere Gesetzesänderungen ein innovationsfreundliches Umfeld für eHealth-Unternehmen geschaffen werden.\r\n1.\tErweiterung der Rechtsgrundlage des § 27 Abs. 1 BDSG für innovationsgetriebene Zwecke\r\n§ 27 Abs. 1 BDSG sollte als Rechtsgrundlage zur Datenverarbeitung zu Forschungszwecken auf nationaler Ebene erweitert werden, um das volle Forschungspotenzial der Nutzung von Gesundheitsdaten auszuschöpfen. Diese Erweiterung sollte explizit die Erhebung, Aufbereitung und Weiterverarbeitung von Daten für privatwirtschaftliche Forschung und Produktentwicklung sowie das KI-Training legitimieren. Zur Sicherstellung übergreifender datenschutzrechtlicher Prinzipien wie Zweckbindung, Richtigkeit sowie Integrität und Vertraulichkeit können Pflichten zur Validierung, Aktualisierung und Überwachung der Modelle nach dem Vorbild des Medizinproduktrechts eingeführt werden. \r\n\r\nWeiterhin darf Forschung im Sinne des § 27 BDSG nicht ausschließlich auf Tätigkeiten nicht-kommerzieller Institute und rein akademische Tätigkeiten beschränkt sein. Eine technologieoffene und umfassende Auslegung des Forschungsbegriffs ist essenziell, um datenbasierte Innovationen von Unternehmen und Start-ups in Deutschland zu ermöglichen. Auch spezialisierte Dienstleister und Datenintermediäre sollten als Forschungseinrichtungen anerkannt werden können, etwa wenn sie Daten statistisch für klinische Studien aufbereiten („Data Science“).\r\n\r\n2.\tWeitere flankierende Maßnahmen\r\nWeiterhin haben wir folgende Vorschläge für eine Verbesserung der regulatorischen Rahmenbedingungen: \r\n•\tAusgewogene Regeln zur Nutzung pseudonymisierter Daten: Für die Verarbeitung pseudonymisierter Daten sollte die Erteilung einer allgemeinen Transparenzinformation über die möglichen Verarbeitungsformen ausreichen, ohne dass diese bereits im Zeitpunkt der Erhebung der Primärdaten im Einzelnen feststehen müssen, um eine innovationsgetriebene Nutzung der Daten zu ermöglichen. Parallel können bestimmte Fälle unzulässiger Nutzungen, ähnlich der verbotenen Praktiken nach der KI-VO, bestimmt werden (bspw. personalisiertes Marketing oder Risk-Scoring). \r\n•\tOpt-out-Mechanismus statt „Broad Consent“ als flankierende Maßnahme: Die Möglichkeit zur Nutzung von technisch geschützten pseudonymisierten Patientendaten für dezentrale, privatwirtschaftliche Forschungsinfrastrukturen sollte nur im Falle einer spezifischen Ausschlusserklärung des jeweiligen Patienten (sog. „Opt-out“) unzulässig sein, wie dies etwa im GDNG bzw. hinsichtlich der elektronischen Patientenakte vorgesehen ist. Die Vorsehung eines „Opt-Outs“ statt „Opt-Ins“ ermöglicht die Entwicklung diverser und innovativer Forschungsmodelle jenseits von staatlich kontrollierten Einzelinstitutionen. Die von der Bundesregierung in den Vorschlägen zur Vereinfachung der DSGVO vom 23. Oktober 2025 vorgesehen Möglichkeit der Einholung eines sog. „Broad Consent“ von Patienten und Studienteilnehmern für verschiedene, im Einzelnen noch nicht feststehende Forschungsformen und -vorhaben mag für klinische Studien zielführend sein, wird jedoch absehbar nicht die notwendige Datenbasis schaffen können um nachhaltige eHealth Innovationen oder KI-Entwicklung im Gesundheitsbereich zu ermöglichen, die mit denen aus dem US-amerikanischen oder asiatischen Markt mithalten können.\r\n•\tPraxisgerechte Regelung der datenschutzrechtlichen Betroffenenrechte bei KI-Training: Die datenschutzrechtlichen Betroffenenrechte wie Widerspruch, Widerruf der Einwilligung, Auskunft und Löschung sollten für jene Gesundheitsdaten, die zur Entwicklung und zum Training von KI-Modellen eingesetzt wurden oder bereits Teil anonymisierter Forschungsergebnisse sind, gesetzlich klar definierte Einschränkungen erfahren. Eine nachträgliche Entfernung von Daten aus einem trainierten KI-Modell (sog. „Untraining“) ist technisch nicht realisierbar und würde Forschungs- sowie Innovationsvorhaben erheblich behindern.\r\n•\tSicherstellung der Veröffentlichungspflicht für Gesundheitsdatennutzer nach der EHDS-Regulierung: Um das bestehende Ungleichgewicht zwischen staatlichen Institutionen und privaten eHealth-Unternehmen nicht weiter zu vertiefen, muss die Pflicht zur fristgemäßen Veröffentlichung der Resultate oder Ergebnisse der Sekundärnutzung von Gesundheitsdatennutzern nach der EHDS-Regulierung unbedingt europarechtskonform ausgestaltet werden. Nur so ist sichergestellt, dass die auf dem ggf. umfassenderen Datenbestand gewonnenen Erkenntnisse gemeinnützig, einschließlich von privaten eHealth-Unternehmen, weiterverwendet werden können.\r\nEs ist dabei hervorzuheben, dass diese Ansätze technische Sicherheitsmaßnahmen zur Förderung des Datenschutzes nicht ersetzen sollen – zu diesen zählen bspw. das „Salted Hashing“ von Pseudonymen, die Trennung von Identitäts- und Nutzdaten sowie In- und Output-Kontrollen für KI-Modelle. Es soll jedoch ein angemessener Interessenausgleich geschaffen werden, der sicherstellt, dass datenschutzrechtliche Vorgaben eingehalten werden können und zugleich Innovationen in der Gesundheitsforschung möglich bleiben. \r\n\r\nKapitel 2: Anonymisierung von Gesundheitsdaten – Investitionshebel und Ordnungsrahmen für Innovationen\r\nA. Behinderung von Innovationen durch fehlende einheitliche Standards\r\n\r\nWährend in den USA nach HIPAA längst praxistaugliche und rechtssichere Standards zur Anonymisierung etabliert sind, fehlen in Deutschland und Europa klare Standards, die Planungs- und Rechtssicherheit schaffen. HIPAA trennt binär zwischen identifizierbaren Daten („identifiable data“) und nicht-identifizierbaren Daten („non-identifiable data“). In Deutschland und Europa wird hingegen zwischen direkt identifizierbaren, pseudonymisierten, relativ anonymisierten sowie absolut anonymisierten Daten unterschieden, wobei bisher nur im letztgenannten Falle (z.B. in Form von aggregierten Tabellen, mit entsprechend reduzierter und für den eHealth-Bereich unbrauchbarer Datenqualität) die strengen Regelungen der DSGVO rechtssicher nicht greifen. \r\n\r\nIm amerikanischen Gesundheitsdatenschutz bestehen zwei Wege zur wirksamen, rechtssicheren Anonymisierung („De-Identification“): Entweder wird die allenfalls äußerst geringe Möglichkeit der Rückführbarkeit der Daten durch einen qualifizierten Statistiker bestätigt („Expert Determination“) oder es werden insgesamt 18 Datenpunkte nach einer einheitlichen Checkliste entfernt („Safe Harbor“). Sind diese Vorgaben erfüllt, gilt eine rechtliche Vermutungswirkung für die datenschutzkonforme Anonymisierung – Unternehmen können sich darauf verlassen, dass die Daten nicht mehr unter die im Übrigen durchaus strengen Regelungen von HIPAA fallen. Die Nutzbarkeit von Patientendaten zur Forschung und Entwicklung wird so rechtssicher ermöglicht. \r\n\r\nIm Gegensatz dazu existieren unter der DSGVO keine vergleichbaren, behördlich anerkannte Vorgaben oder einheitliche Mindeststandards zur Anonymisierung. Zwar ist die jüngste Rechtsprechung des Gerichtshofs der Europäischen Union zur relativen Anonymisierung (C-413/23 P) aus unserer Sicht zu begrüßen, dennoch nehmen wir bereits jetzt Bedenken zum Umgang mit dem Urteil durch die Datenschutzaufsichtsbehörden wahr. Für eHealth-Unternehmen und Investoren im Gesundheitssektor führt all dies zu erheblicher Rechtsunsicherheit und hemmt die Transformation zu patientenzentrierten, datenbasierten Geschäftsmodellen. \r\n\r\nB. Weitere Hürden durch eine zersplitterte deutsche und europäische Datenschutzpraxis\r\n\r\nDie föderale Datenschutzaufsicht und die datenschutzrechtlichen Bestimmungen in den auf Landesebene erlassenen Landeskrankenhausgesetzen führen durch nicht prognostizierbare, einzelfallbezogene Entscheidungen und divergierende Anforderungen zu einem Höchstmaß an Rechtsunsicherheit für die eHealth-Branche. Aufgrund der in der DSGVO vorgesehenen Möglichkeit für EU-Mitgliedstaaten, im Bereich der Forschung eigene Rechtsgrundlagen (mit divergierenden Anforderungen) zu statuieren, entsteht für eHealth-Unternehmen in Deutschland und Europa ein undurchsichtiger regulatorischer Flickenteppich. Dies wiederum verhindert die Vornahme von im internationalen Umfeld erforderlichen Investitionen. \r\n\r\nC. Bestehende technische und organisatorische Lösungsansätze\r\n\r\nUnternehmen können durch verschiedene technische und organisatorische Maßnahmen sicherstellen, dass Daten wirksam (relativ) anonymisiert sind – es also unter Berücksichtigung der jeweiligen Einzelfallumstände äußerst unwahrscheinlich ist, dass der Datenempfänger die Datenpunkte einer natürlichen Person zuordnen kann:\r\n•\tDie konsequente Trennung von Systemen, Rollen, Zugriffsrechten und Identitätsmanagement verhindert, dass ein einzelner Akteur Zugriff auf alle relevanten Datenpunkte hat. Gerade bei Cloud-Migrationen medizinischer IT-Infrastrukturen hilft dieses Prinzip, werthaltige Datensätze zu schützen und zugleich Forschung zu ermöglichen.\r\n•\tDie Verwaltung und Pseudonymisierung von Patientendaten durch einen unabhängigen externen Treuhänder oder ein dezentral gespeicherter Schlüssel zur ID-Generierung können ebenfalls verhindern, dass ein einzelner Akteur über Zugriff auf alle relevanten Datenpunkte verfügt. Indirekte Identifikatoren können hierbei zusätzlich maskiert oder generalisiert werden. Durch diese Maßnahmen ist es möglich, Datenprofile verschiedener Leistungserbringer sicher und datenschutzkonform zusammenzuführen, ohne eine Re-Identifikation zuzulassen.\r\nPraxisbeispiel: Unsere Lösung „CGM LIFE“ enthält ein Identitätsmanagement mit einer patientenzentrierten Verschlüsselung von Patientendaten, wobei die Schlüssel dezentral gespeichert werden. Für den Betreiber der Anwendung besteht damit keine Möglichkeit auf den Schlüssel zuzugreifen und die Daten der Patienten ggf. bestimmten Personen zuordnen zu können. Hierdurch werden Datenschutz, Verschlüsselung und Datenhoheit bei gleichzeitiger Analysefähigkeit der (relativ) anonymisierten Daten gewährleistet. Dennoch haben Datenschutzaufsichtsbehörden entsprechende Ansätze, soweit uns bekannt, bis zuletzt als reine Pseudonymisierung der Daten bewertet oder keine eindeutigen Aussagen getroffen. Auf Basis der bisherigen Rechtslage und der Praxis der Datenschutzbehörden ist die Nutzbarkeit der Daten für Sekundärzwecke erheblich eingeschränkt, obwohl die getroffene Maßnahme einen hinreichenden Schutz für die Daten bieten.  \r\n\r\nD. Unser Ansatz: Normierung notwendiger Klarstellungen im Datenschutzrecht\r\n\r\nEntsprechend den Vorschlägen der Bundesregierung für die Vereinfachung der DSGVO sollten im Gesetzestext Rechtssicherheit schaffende Ergänzungen vorgenommen werden, unter welchen Voraussetzungen personenbezogene Daten als wirksam anonymisiert gelten. Die von der Bundesregierung vorgebrachten Ansätze, anonymisierte Informationen explizit vom Anwendungsbereich der DSGVO auszuschließen sowie eine Legaldefinition des Begriffs der Anonymisierung auf Grundlage des EuGH-Urteils in Sachen C-413/23 P einzuführen, erscheinen uns dabei begrüßenswert und sachgerecht.\r\n\r\nFerner sprechen wir uns für eine Klarstellung aus, dass die Anonymisierung personenbezogener Daten keine Verarbeitung im Sinne der DSGVO darstellt. Die Position der Bundesregierung in den Vereinfachungsvorschlägen zur DSGVO scheint hierzu noch unklar zu sein. Weder Wortlaut, Systematik noch Sinn und Zweck der DSGVO verlangen eine Auslegung, die den Begriff der Verarbeitung auf die Anonymisierung von Daten – also die Entfernung von identifizierenden Merkmalen – erstreckt. Ansonsten wäre jedenfalls klarzustellen, dass bei einer zulässigen Zweckänderung erhobener Daten – einschließlich besonders sensibler personenbezogener Daten wie Gesundheitsdaten – weiterhin die die Datenerhebung rechtfertigende Rechtsgrundlage gilt und eine vollständige und dauerhafte Anonymisierung stets als datenschutzkonform und gerechtfertigt einzustufen ist, unabhängig vom ursprünglichen Zweck der Datenerhebung. Ziel der Anonymisierung ist die Aufhebung des Personenbezugs, wodurch die in der DSGVO verankerten Prinzipien der Datenminimierung und Speicherbegrenzung zum Schutz der Privatsphäre umgesetzt werden. Die Anonymisierung stellt daher eine legitime Zweckänderung dar, sodass eine Einzelfallprüfung der Kompatibilität nicht erforderlich ist.\r\n\r\nUnabhängig von den im Einzelnen nicht vorhersehbaren europäischen Entwicklungen besteht für den nationalen Gesetzgeber die Möglichkeit, national einheitlich geltende, sektorspezifische und praxistauglicher Standards zur Gesundheitsdatennutzung und Anonymisierung zu etablieren. Dies halten wir für unerlässlich, um kurzfristig Rechtssicherheit zu schaffen. Nach dem Vorbild des HIPAA kann dies durch Anforderungskataloge zu Aggregatsgrößen, Schwellenwerten und technischen Maßnahmen oder die Möglichkeit zur Vornahme von Zertifizierungen sichergestellt werden. Nur so lässt sich ein „level playing field“ für Forschung, KI-Modelltraining und den Betrieb datenbasierter Geschäftsmodelle schaffen. \r\n\r\nWeiterhin sollten datenschutzrechtliche Anforderungen an die Verarbeitung und Nutzung von Gesundheitsdaten auf EU-Ebene, zumindest aber auf Bundesebene einheitlich geregelt und aus den Landeskrankenhausgesetzen entfernt werden. Denn Forschung und Entwicklung im eHealth-Bereich sind nicht auf den föderalen Einzugsbereich beschränkt, sondern erfolgen mit dem Ziel eines internationalen, jedenfalls aber EU- und bundesweiten, Markteintritts entwickelter Produktinnovationen. \r\n\r\nKapitel 3: Zentrale und innovationsfördernde Datenschutzaufsicht\r\n\r\nWir sprechen uns für die Einrichtung einer zentralen Datenschutzaufsichtsbehörde auf Bundesebene aus. Dies kann die wirtschaftliche Entwicklung gefährdende divergierende Interpretationen auf Landesebene beseitigen. Es muss dabei das Ziel sein, klare, einheitliche und praxisnahe Leitlinien zu etablieren, welche die besonderen Anforderungen datengetriebener Innovationen im Gesundheitswesen berücksichtigen. Die Ausrichtung einer solchen Datenschutzaufsichtsbehörde auf Bundesebene sollte sich an den bewährten, lösungsorientierten Prinzipien der Datenschutzaufsichtsbehörden aus Bayern und Baden-Württemberg orientieren. So können Rechtssicherheit, Planbarkeit und Wettbewerbsfähigkeit im gesamten Bundesgebiet gewährleistet werden.\r\n\r\nAuf europäischer Ebene sollte ein verbindlicher Mechanismus geschaffen werden, der – über die bisherige, weitgehend konsultative Rolle des Europäischen Datenschutzausschusses als Diskussionsforum der nationalen Datenschutzbehörden auf europäischer Ebene hinausgehend – konkrete, zeitnah anwendbare und innovationsfördernde Leitlinien für das Datenschutzrecht im eHealth-Bereich entwickelt. Dies ist unerlässlich, um die Wettbewerbsfähigkeit des europäischen Standorts im Bereich digitaler Gesundheit nachhaltig zu sichern, innovative Versorgungsmodelle europaweit zu ermöglichen und diese auch global vertreiben zu können.\r\n\r\n****\r\n\r\n\r\n"},"recipientGroups":[{"recipients":{"parliament":[],"federalGovernment":[{"department":{"title":"Bundesministerium für Digitalisierung und Staatsmodernisierung (BMDS)","shortTitle":"BMDS","url":"https://bmds.bund.de/","electionPeriod":21}}]},"sendingDate":"2025-12-16"}]}]},"contracts":{"contractsPresent":false,"contractsCount":0,"contracts":[]},"codeOfConduct":{"ownCodeOfConduct":false}}