THM erhält 850.000 Euro für Gesundheits-Datentreuhand

Die Technische Hochschule Mittelhessen (THM) baut eine sichere Infrastruktur für Patientendaten auf – und bekommt dafür heute 850.000 Euro vom Land Hessen. Das Projekt soll pseudonymisierte Gesundheitsdaten für die Forschung zugänglich machen, ohne die Privatsphäre der Patienten zu gefährden.

Forschung trifft auf Datenschutz

Das neue Projekt an der THM adressiert ein zentrales Problem der medizinischen Forschung: den Mangel an verfügbaren Daten. Projektleiter Prof. Tobias Müller erklärte, die Infrastruktur sei so konzipiert, dass Forscher auf wertvolle Datensätze zugreifen können – bei gleichzeitiger Einhaltung strengster Datenschutzstandards. „Es gibt keinen direkten Zugriff auf Rohdaten von Patienten“, betont Müller. Die Einbindung kommerzieller Datenhändler wird explizit ausgeschlossen, um das Vertrauen der Öffentlichkeit zu wahren.

Die sichere Verarbeitung sensibler Patientendaten erfordert eine lückenlose Dokumentation aller Prozesse gemäß Art. 30 DSGVO. Diese kostenlose Excel-Vorlage hilft Verantwortlichen im Gesundheitswesen, ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Das Vorhaben arbeitet eng mit regionalen Partnern zusammen, darunter das Datenintegrationszentrum Gießen, die Justus-Liebig-Universität (JLU) und das Hessische Landesamt für Gesundheit und Pflege. Ziel ist eine zentrale Transferstelle, die die Aufbereitung von Daten für Forschung und Qualitätssicherung vereinfacht. Die Entwicklungsphase läuft bereits, der landesweite Betrieb ist für 2029 geplant.

Komplexe Regularien für Medizindaten

Der Aufbau dieser Datentreuhand fällt in eine Zeit bedeutender gesetzlicher Veränderungen in Deutschland und Europa. Am 11. März 2026 billigte die Bundesregierung den Entwurf des Medizinregistergesetzes. Dieses Gesetz soll mehr als 350 bestehende medizinische Register für die Sekundärnutzung öffnen – etwa für KI-Training und wissenschaftliche Forschung. Kernstück ist eine Opt-out-Lösung: Daten dürfen ohne individuelle Einwilligung genutzt werden, es sei denn, der Patient widerspricht ausdrücklich.

Doch dieser Kurs stößt auf Kritik. Ende 2025 äußerten Experten des Netzwerks Datenschutzexpertise Bedenken hinsichtlich der Vereinbarkeit mit der DSGVO und dem Grundgesetz. Kritiker bemängeln mangelnde Transparenz, zu weit gefasste Nutzungszwecke und unzureichende Sanktionen bei Missbrauch. Trotz dieser Einwände treibt die Bundesregierung die Pläne voran: Die Registerverwaltung soll zentral unter einem neuen Zentrum beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) gebündelt werden.

Parallel dazu verschärft sich die europäische Regulierung. Der EU AI Act tritt am 2. August 2026 vollständig in Kraft. KI-Systeme im Gesundheitswesen – insbesondere für Diagnostik oder Patientenüberwachung – gelten dann als Hochrisiko-Anwendungen. Unternehmen und Einrichtungen, die die neuen Standards nicht einhalten, drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent ihres weltweiten Jahresumsatzes.

Mit dem EU AI Act kommen auf Forschungseinrichtungen und Unternehmen im Gesundheitswesen neue, komplexe Dokumentationspflichten für KI-Systeme zu. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über Risikoklassen und Fristen, den Ihre IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen: Kostenloser Download

Cyber-Bedrohungen nehmen zu

Der Vorstoß für digitale Gesundheitsregister und Datentreuhänder ist auch eine Reaktion auf wachsende Cybergefahren. Branchenanalysten beziffern die möglichen Schäden durch Cyberkriminalität für die deutsche Wirtschaft im Jahr 2026 auf bis zu 290 Milliarden Euro. Ransomware bleibt die größte Bedrohung: Behörden melden jährlich Hunderte Vorfälle mit Milliardenschäden.

Für Krankenhäuser und Forschungseinrichtungen gelten seit dem 6. Dezember 2025 verschärfte Auflagen durch die NIS2-Richtlinie. Rund 30.000 deutsche Unternehmen sind betroffen – sie müssen systematisches Risikomanagement betreiben und vorfälle melden. Am 22. April 2026 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) zudem die Kriterien C5:2026, die neue Anforderungen an Post-Quanten-Kryptografie stellen.

Sicherheitslücken in digitalen Gesundheitsanwendungen bleiben ein Dauerproblem. Ende April 2026 wurden Kompromittierungen einer EU-weiten Altersverifikations-App bekannt – ein weiteres Beispiel für die Herausforderungen bei der Sicherung digitaler Identitäten. Als Reaktion darauf aktualisierte die ENISA am 22. April 2026 das Nationale Cybersicherheits-Framework (NCAF 2.0) mit erweiterten strategischen Zielen für die EU-Mitgliedstaaten.

Strategie für digitale Souveränität

Das THM-Datentreuhand-Projekt ist Teil einer breiteren europäischen Initiative für digitale Souveränität im Gesundheitswesen. Marktforscher beobachten, dass rund 90 Prozent der Unternehmen im DACH-Raum derzeit ihre Bemühungen um digitale Unabhängigkeit verstärken. Dazu gehören lokale Cloud-Lösungen und die Einhaltung souveräner Cloud-Kriterien, wie sie der BSI-Katalog C3A vom 27. April 2026 definiert.

Der Europäische Gesundheitsdatenraum (EHDS) soll ab 2029 Realität werden. Lokale Initiativen wie die in Mittelhessen dienen dann als Blaupause für grenzüberschreitende Datenkooperation. Das Ziel: weg von fragmentierten Datensilos, hin zu einem harmonisierten System. Die von der EU-Kommission im November 2025 vorgeschlagenen „Digital Omnibus“-Reformen sollen DSGVO, Datengesetz und AI Act in Einklang bringen.

Ausblick: Hürden bleiben

Der Übergang zu einem datengetriebenen Gesundheitssystem in Deutschland beschleunigt sich – bleibt aber von regulatorischen und sicherheitstechnischen Hürden geprägt. Während das THM-Projekt heute die erste Förderung erhält, hängt der vollständige Betrieb bis 2029 vom erfolgreichen Weg durch das Medizinregistergesetz und die bevorstehende Durchsetzung des EU AI Act im August 2026 ab.

Einrichtungen werden zunehmend unter Druck geraten, „Compliance by Design“ und robuste Datenklassifizierungssysteme zu implementieren. Mit dem Cyber Resilience Act, der am 11. September 2026 in Kraft tritt, bleibt die Sicherheit digitaler Produkte und Dienstleistungen Chefsache. Die kommenden Monate werden entscheidend sein: Die EU-Kommission wird voraussichtlich weitere technische Standards für Hochrisiko-KI-Systeme vorlegen – die notwendige Klarheit für Universitäten und medizinische Zentren, um ihre internen Kontrollstrukturen fertigzustellen.

de | boerse | 69251977 |