--- name: rezeptdaten-gesundheitsdaten-und-sozialdaten description: "Datenbankrecht für Gesundheitsdatenbanken: §§ 87a-87e UrhG für Arzneimitteldatenbanken und Patientenregister, besonderer Schutz nach Art. 9 DSGVO für Gesundheitsdaten, DSGVO-Zweckbindung und Weitergabe, Forschungsschranken nach § 27 BDSG und KI-Nutzung von Gesundheitsdaten. Erstellt Rechts-Compli..." --- # Rezeptdaten, Gesundheitsdaten und Sozialdaten — Datenbankrecht und Datenschutz ## Arbeitsbereich Datenbankrecht für Gesundheitsdatenbanken: §§ 87a-87e UrhG für Arzneimitteldatenbanken und Patientenregister, besonderer Schutz nach Art. 9 DSGVO für Gesundheitsdaten, DSGVO-Zweckbindung und Weitergabe, Forschungsschranken nach § 27 BDSG und KI-Nutzung von Gesundheitsdaten. Erstellt Rechts-Compliance-Konzept für HealthTech-Anbieter und Kliniken. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output. ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: UrhG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Mandantenfall - HealthTech-Startup will anonymisierte Patientendaten einer Klinikdatenbank für KI-Modell-Training nutzen und fragt nach dem rechtlichen Rahmen. - Pharmaunternehmen hat eine Arzneimitteldatenbank aufgebaut und will diese an Forschungseinrichtungen lizenzieren — welche Rechte können übertragen werden? - Krankenkasse möchte ihre Rezeptdatenbank für Versorgungsforschung zugänglich machen und fragt nach DSGVO-Anforderungen und Datenbankschutz. ## Erste Schritte 1. Datenbankherstellerrecht prüfen: Wesentliche Investition in Aufbau und Pflege der Gesundheitsdatenbank (§ 87a UrhG)? 2. Besondere Kategorien nach Art. 9 DSGVO prüfen: Gesundheitsdaten sind besondere Kategorien — erhöhte Anforderungen an Rechtsgrundlage (Art. 9 Abs. 2 DSGVO). 3. Anonymisierungs- und Pseudonymisierungsgrad bewerten: Sind die Daten tatsächlich anonym oder nur pseudonymisiert — welche Datenschutzpflichten verbleiben? 4. Forschungsschranken klären: § 27 BDSG für wissenschaftliche Forschung, Art. 9 Abs. 2 lit. j DSGVO — erlaubte Verarbeitung für Gesundheitsforschung. 5. Zweckbindungspflicht bei Lizenzierung: Gesundheitsdaten dürfen nur für vereinbarte Zwecke genutzt werden — vertragliche Zweckbindungsklausel. 6. KI-Training mit Gesundheitsdaten: § 44b UrhG TDM-Schranke und Art. 9 DSGVO — erhöhter Schutzstandard beachten. ## Rechtsrahmen - § 87a UrhG: Datenbankherstellerrecht für Gesundheitsdatenbanken — Investition in Beschaffung, Überprüfung und Darstellung von Patientendaten. - Art. 9 DSGVO: Besondere Kategorien personenbezogener Daten — Verarbeitung von Gesundheitsdaten erfordert explizite Ausnahme. - Art. 9 Abs. 2 lit. j DSGVO: Verarbeitung für Forschungszwecke im öffentlichen Interesse mit angemessenen Schutzmaßnahmen. - § 27 BDSG: Verarbeitung für wissenschaftliche Forschung — nationale Umsetzung der Forschungsschranke. - § 44b UrhG: TDM-Schranke auch für Gesundheitsdatenbanken — aber DSGVO-Anforderungen bei personenbezogenen Daten bleiben. - SGB V §§ 284 ff.: Datenschutzrecht für Sozialdaten (Krankenversicherungsdaten) — besondere gesetzliche Schranken. ## Prüfraster - Liegt eine wesentliche Investition in die Gesundheitsdatenbank vor (Erhebungsaufwand, Qualitätsprüfung, Kodierung)? - Sind die Daten wirklich anonymisiert, oder handelt es sich um Pseudonymisierung mit Reidentifikationsrisiko? - Liegt eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO für die geplante Nutzung vor? - Gilt die Forschungsschranke nach § 27 BDSG — ist der Zweck wissenschaftliche Forschung im öffentlichen Interesse? - Ist die Zweckbindung bei Lizenzierung an externe Forschungseinrichtungen vertraglich abgesichert? - Werden KI-Modelle mit den Gesundheitsdaten trainiert — greifen TDM-Schranke und DSGVO gleichzeitig? - Liegen Sozialdaten (SGB-Daten) vor — gelten besondere gesetzliche Schranken des Sozialgeheimnisses? ## Typische Fallstricke - Pseudonymisierte Daten sind keine anonymisierten Daten — DSGVO gilt weiterhin, besondere Kategorien ebenfalls. - Forschungsschranke nach § 27 BDSG setzt echten wissenschaftlichen Zweck voraus — kommerzielle KI-Entwicklung reicht nicht. - Lizenznehmer können mit den Daten Sekundärprodukte entwickeln, die nicht mehr von der Zweckbindung erfasst sind — klare Verbote erforderlich. - Reidentifikation aus anonymisierten Gesundheitsdaten ist durch moderne KI-Methoden möglich — Risikoanalyse nach Art. 35 DSGVO (DSFA) erforderlich. - Sozialdaten der Krankenkassen unterliegen dem Sozialgeheimnis (§ 35 SGB I) — Weitergabe an Private fast immer unzulässig. ## Output - Datenbankherstellerrecht-Gutachten für Gesundheitsdatenbank - Art. 9 DSGVO-Rechtsgrundlagen-Check für Gesundheitsdatennutzung - Zweckbindungs-Lizenzklausel für Gesundheitsdatenbank-Lizenzvertrag - Anonymisierungs-/Pseudonymisierungs-Risikoanalyse - Forschungsschranken-Prüfbogen (§ 27 BDSG / Art. 9 Abs. 2 lit. j DSGVO) ## Quellen - [§ 87a UrhG — dejure.org](https://dejure.org/gesetze/UrhG/87a.html) - [Art. 9 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/9.html) - [§ 27 BDSG — dejure.org](https://dejure.org/gesetze/BDSG/27.html) - [§ 44b UrhG — dejure.org](https://dejure.org/gesetze/UrhG/44b.html) - [RL 96/9/EG — EUR-Lex](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A31996L0009) - [Art. 35 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/35.html)