Wie kann ich mich als Kranken­haus­manager heute schon auf den EHDS vorbereiten?

Der European Health Data Space (EHDS, Regulation (EU) 2025/327) wird erhebliche Auswirkungen auf das europäische Gesundheitswesen haben – sowohl für die Verantwortlichen in Krankenhäusern, für Ärzt*innen, Forschung, Verwaltung und IT. Als strategisch verantwortlicher Krankenhausmanager sollte man unmittelbar beginnen, sich über vorbereitende Maßnahmen Gedanken zu machen, um sicher und effizient auf die neuen Anforderungen vorbereitet zu sein. 

Was ist der EHDS konkret? 
Was sind die wichtigsten Eckpunkte?

Ganz zentrale Merkmale des EHDS sind die Prinzipen des Umgangs mit primärer und sekundärer Nutzung von Gesundheitsdaten: 

Patient*innen sollen grundsätzlich einen einfachen und sicheren Zugriff auf ihre Gesundheitsdaten (= primäre Datennutzung) haben - z..B. zu Arztbriefen, Labordaten, Bildgebung, elektronischen Verordnungen, etc. Darüber hinaus dürfen Einrichtungen aus Forschung, Statistik, Politik und Innovation Gesundheitsdaten unter strengen Datenschutzvorgaben und Genehmigungsverfahren (pseudonymisiert/anonymisiert) über "Health Data Access Bodies" (HDABs) nutzen (= sekundäre Nutzung von Gesundheitsdaten). 

Einheitliche Interoperabilitätformate bzw. und technische Standards sichern den für den Austausch von Daten, EHR-Systemen erfordern entsprechende Zertifizierung.

Es gibt bereits eine Reihe gesetzlicher und regulatorischer Regelungen, die sich mit der elektronischen Gesundheitsakte (ELGA), dem Datenschutz, e-Health-Strategie sowie mit der Sekundärnutzung von Gesundheitsdaten beschäftigen.

Der EHDS ist seit März 2025 in Kraft. Viele Pflichten treten später in Kraft, z.B. ab 2027 oder später, wenn die Durchführungsrechtsakte tatsächlich erlassen sind.

Worauf sich Krankenhaus-Manager schon jetzt vorbereiten sollten

Hier sind konkrete Schritte, die Sie als Krankenhausmanager bereits heute umsetzen können, um rechtzeitig und entsprechend gut vorbereitet zu sein:
 

Dateninfrastruktur & IT-Systeme

• Durchführung einer Ist-Bestandsaufnahme: 
  Welche Systeme verwenden Sie aktuell zur Dokumentation, Bildgebung, Labordaten, etc. und wie interoperabel sind diese (Schnittstellen, Formate, etc.)?
• Evaluierung, ob die eingesetzten EHR/KIS den zukünftigen technischen Standards genügen (z.B. Datenaustauschformate, Sicherheit, Zertifizierungsfähigkeit).
• Stärkung der IT-Sicherheit: 
  Durchführung von Penetrationstests, regelmäßige Sicherheits-Audits, aktive Schutzmaßnehmen vor Datenverlust, Überprüfung der Zukunftstauglichkeit der eingesetzten Backup-Systeme, wie sicher ist die aktuelle Nutzerverwaltung?
• Nutzung der ELGA in der Krankenhaus-Realität: 
  Wie werden Daten bestückt, wer kann darauf in welchem Umfang zugreifen kann, wie werden die Zugriffsrechte sicher geregelt?

Strategische Planung

• Budgetplanung: 
  Planen Sie Mittel für nötige IT-Anpassungen, Personal und Schulungen ein.
• Aufwand/Nutzen-Bewertung: 
  Welche Vorteile ergeben sich für Ihre Eirichtung durch bessere Datenverfügbarkeit (z.B. Effizienz, Patient*innenenversorgung, Forschung) und wo sind die größten Herausforderungen?
• Monitoring der Rechts- und Technikentwicklung: 
  Verschaffen Sie sich Überblick: Welche Durchführungsrechtsakte kommen, welche nationalen Normen gelten, welche technischen Standards werden festgelegt?
• Prüfen Sie, ob Beteiligung in Netzwerken und Pilotprojekten für Ihr Krankenhaus sinnvoll sind (z.B. an Initiativen, Forschungsprojekten, gemeinsamen Plattformen, um Erfahrungen zu sammeln).

Organisation & Prozesse

• Legen Sie Zuständigkeiten verbindlich fest und schaffen Sie Transparenz: 
  Wer ist in Ihrem Krankenhaus für Datenmanagement, Datenschutz, IT-Architektur etc. verantwortlich?
• Analysieren Sie die internen Arbeitsabläufe: Wie werden Daten in Ihrer Klinik - z.B. bei der Patient*innenaufnahme, bei der Behandlung und bei der Entlassung - dokumentiert und geteilt?
• Klären Sie alle relevanten Schnittstellen zu externen Partnern (Labore, Radiologie, Hausärzte etc.), um Datentransfer effizient und rechtskonform zu gestalten.
• Bereiten Sie die Patientenkommunikation vor: Wie informieren Sie Ihre Patient*innen über deren Rechte, wie werden Einwilligungen eingeholt oder Opt-out-Möglichkeiten dargestellt?

Datenschutz & Governance

• Definieren Sie (falls noch nicht erfolgt) eine Datenschutzbeauftragte und Verantwortlichkeiten, stellen Sie die erforderlichen Ressourcen bereit.
• Gleisen Sie die notwendigen Ausbildungen und Schulungen für Mitarbeitende (Insbes. zu Datenschutz, Datensicherheit und Bewusstsein für Risiken.
• Etablierung von Prozessen, um Patientenrechte zu gewährleisten (Auskunft, Löschung, Einsicht, Kontrolle über wer wann auf Daten zugreift).
• Vorbereitung von Risikomanagement-Prozessen (z.B. Datenschutz-Folgenabschätzungen, „privacy by design/by default“).

Recht & Compliance

• Verfolgung der relevanten Gesetze: EHDS-Verordnung, nationale Anpassung, ggf. Anpassungen von Sozialgesetzbüchern etc.
• Prüfung der bestehenden Verträge mit Softwarelieferanten, ggf. Neuverhandlung, um Anforderungen an Interoperabilität und Sicherheit zu integrieren.
• Klärung, welche Daten für welche Zwecke, unter welchen Voraussetzungen weitergegeben werden dürfen (Sekundärnutzung) und wie Patientenrechte in Österreich ausgestaltet (Opt-out bei ELGA, Einwilligungen etc.) sind.

Was sind mögliche Herausforderungen und wie kann man diesen präventiv begegnen?

Um eine Vorbereitung sinnvoll angehen zu können, sollte man die typischen Stolpersteine kennen:

Wenn Sie in Ihrem Krankenhaus viele unterschiedliche Systeme mit proprietären Formaten oder Schnittstellen einsetzen, sollten Sie die Möglichkeiten der Standardisierungen nutzen. Sie sollten erforderliche Schnittstellen schaffen und möglichst offene Systeme nutzen.

Bei der Umsetzung von Interoperabilität, der Modernisierung Ihrer Schnittstellen, der Optimierung Ihrer Datenqualität und -verfügbarkeit in unterschiedlichen Anwendung ist die Durchführung von Pilotprojekten, dem Einbeziehen von IT- und Prozess-Expert*innen und die Umsetzung eines Schritt-für-Schritt-Ansatzes absolut empfehlenswert.

Und da an vielen Ecken nachhaltige Personal-, Zeit- und Budgetknappheit herrscht, ist konsequentes Priorisieren, Prüfen von Fördermitteln und ggf. Kooperieren mit anderen Krankenhäusern oder auch Verbänden ratsam.

Schaffen Sie Rechtssicherheit, eine durchgängig transparente Kommunikation, machen Sie Datenschutzmaßnahmen sichtbar machen. Manche Durchführungsbestimmungen sind noch in Arbeit. Es empfiehlt sich daher, eine Rechtsberatung intern auf das Thema zu lenken, oder bei Bedarf extern einzubinden, um die Beobachtung der Gesetzgebung zu ermöglichen. Ggf. ist auch die Mitwirkung in Verbänden zielführend, um zeitgerecht zu wichtigen Informationen zu gelangen und aktiv mitgestalten zu können.

Beispiele konkreter Vorbereitungsmaßnahmen

Hier finden Sie konkrete Handlungsempfehlungen, die Sie kurz- und mittelfristig einleiten können.

Zuallererst geht es darum, die wichtigsten Stakeholder zu definieren (Ärzte, IT, Datenschutz, Verwaltung,...). Es bietet sich an, dazu Workshops in der Führungs- und IT-Ebene zu installieren, um zu diskutieren, wie die Situation zur EHDS-Vorbereitung aktuell aussieht. Was fehlt? Was müsste angepasst werden?

Dabei bietet sich ein "Audit von Datenflüssen" an: Die Klärung, wo im Krankenhaus Gesundheitsdaten entstehen, wer auf diese zugreift, wie sie gespeichert, gesichert und geteilt werden, ist essentiell. Die Sichtbarmachung dieser Abläufe gibt Klarheit über die Schwachstellen und Ansatzpunkte und holt alle Beteiligten "ins Boot".

Wichtig ist, die Überprüfung der eingesetzten IT-Systeme auf Zertifizierungsfähigkeit zu initiieren. Das Nachfragen bei Softwarelieferanten, ob die aktuell eingesetzten Systeme die EHDS-Anforderungen (Insbes. bei EHR-Systemen oder KIS) erfüllen können bzw. was nötig wäre, damit sie zertifiziert werden können, Zeigt mögliche Bedarfe auf.

Auch die Überarbeitung der internen Datenschutzrichtlinie sowie des Consent-Managements ist zu empfehlen. Überprüfen Sie, wie Patient*innen aktuell informiert werden, wie Ihre Einwilligungs- /Opt-out-Prozesse gestaltet sind und ob diese zukünftige rechtskonform abgebildet sind.

Besonders wichtig ist auch, rechtzeitige Schulungen zum EHDS, zu Datenschutz und Datensicherheit für Ihr Personal anzudenken. Der effiziente und sichere Umgang mit ELGA sowie individuellen Patientenakten sind unumgänglich, um fiktionsfrei in Richtrung EHDS zu gelangen.

Ggf. macht die Abstimmung und Zusammenarbeit mit anderen Krankenhäusern, IT-Dienstleistern, Hochschulen oder auch Forschungseinrichtungen Sinn, um von Best Practices zu lernen und evtl. gemeinsam Lösungen zu entwickeln. Prüfen und nutzen Sie zudem staatliche oder EU-Förderprogramme für Digitalisierung, Gesundheits-IT etc., um finanzielle Ressourcen zu optimieren.

Sie sehen: Es gibt bereist jetzt viele Möglichkeiten, sich aktiv auf den EHDS vorzubereiten. Und die gute Nachricht dazu ist: Alle aufgelisteten Punkte sind generell absolut sinnvoll, um Ihre Klinik zukunftssicher aufzustellen.