---
name: rezeptdaten-gesundheitsdaten-und-sozialdaten
description: "Datenbankrecht für Gesundheitsdatenbanken: §§ 87a-87e UrhG für Arzneimitteldatenbanken und Patientenregister, besonderer Schutz nach Art. 9 DSGVO für Gesundheitsdaten, DSGVO-Zweckbindung und Weitergabe, Forschungsschranken nach § 27 BDSG und KI-Nutzung von Gesundheitsdaten. Erstellt Rechts-Compli..."
---

# Rezeptdaten, Gesundheitsdaten und Sozialdaten — Datenbankrecht und Datenschutz

## Arbeitsbereich

Datenbankrecht für Gesundheitsdatenbanken: §§ 87a-87e UrhG für Arzneimitteldatenbanken und Patientenregister, besonderer Schutz nach Art. 9 DSGVO für Gesundheitsdaten, DSGVO-Zweckbindung und Weitergabe, Forschungsschranken nach § 27 BDSG und KI-Nutzung von Gesundheitsdaten. Erstellt Rechts-Compliance-Konzept für HealthTech-Anbieter und Kliniken. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: UrhG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Mandantenfall

- HealthTech-Startup will anonymisierte Patientendaten einer Klinikdatenbank für KI-Modell-Training nutzen und fragt nach dem rechtlichen Rahmen.
- Pharmaunternehmen hat eine Arzneimitteldatenbank aufgebaut und will diese an Forschungseinrichtungen lizenzieren — welche Rechte können übertragen werden?
- Krankenkasse möchte ihre Rezeptdatenbank für Versorgungsforschung zugänglich machen und fragt nach DSGVO-Anforderungen und Datenbankschutz.

## Erste Schritte

1. Datenbankherstellerrecht prüfen: Wesentliche Investition in Aufbau und Pflege der Gesundheitsdatenbank (§ 87a UrhG)?
2. Besondere Kategorien nach Art. 9 DSGVO prüfen: Gesundheitsdaten sind besondere Kategorien — erhöhte Anforderungen an Rechtsgrundlage (Art. 9 Abs. 2 DSGVO).
3. Anonymisierungs- und Pseudonymisierungsgrad bewerten: Sind die Daten tatsächlich anonym oder nur pseudonymisiert — welche Datenschutzpflichten verbleiben?
4. Forschungsschranken klären: § 27 BDSG für wissenschaftliche Forschung, Art. 9 Abs. 2 lit. j DSGVO — erlaubte Verarbeitung für Gesundheitsforschung.
5. Zweckbindungspflicht bei Lizenzierung: Gesundheitsdaten dürfen nur für vereinbarte Zwecke genutzt werden — vertragliche Zweckbindungsklausel.
6. KI-Training mit Gesundheitsdaten: § 44b UrhG TDM-Schranke und Art. 9 DSGVO — erhöhter Schutzstandard beachten.

## Rechtsrahmen

- § 87a UrhG: Datenbankherstellerrecht für Gesundheitsdatenbanken — Investition in Beschaffung, Überprüfung und Darstellung von Patientendaten.
- Art. 9 DSGVO: Besondere Kategorien personenbezogener Daten — Verarbeitung von Gesundheitsdaten erfordert explizite Ausnahme.
- Art. 9 Abs. 2 lit. j DSGVO: Verarbeitung für Forschungszwecke im öffentlichen Interesse mit angemessenen Schutzmaßnahmen.
- § 27 BDSG: Verarbeitung für wissenschaftliche Forschung — nationale Umsetzung der Forschungsschranke.
- § 44b UrhG: TDM-Schranke auch für Gesundheitsdatenbanken — aber DSGVO-Anforderungen bei personenbezogenen Daten bleiben.
- SGB V §§ 284 ff.: Datenschutzrecht für Sozialdaten (Krankenversicherungsdaten) — besondere gesetzliche Schranken.

## Prüfraster

- Liegt eine wesentliche Investition in die Gesundheitsdatenbank vor (Erhebungsaufwand, Qualitätsprüfung, Kodierung)?
- Sind die Daten wirklich anonymisiert, oder handelt es sich um Pseudonymisierung mit Reidentifikationsrisiko?
- Liegt eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO für die geplante Nutzung vor?
- Gilt die Forschungsschranke nach § 27 BDSG — ist der Zweck wissenschaftliche Forschung im öffentlichen Interesse?
- Ist die Zweckbindung bei Lizenzierung an externe Forschungseinrichtungen vertraglich abgesichert?
- Werden KI-Modelle mit den Gesundheitsdaten trainiert — greifen TDM-Schranke und DSGVO gleichzeitig?
- Liegen Sozialdaten (SGB-Daten) vor — gelten besondere gesetzliche Schranken des Sozialgeheimnisses?

## Typische Fallstricke

- Pseudonymisierte Daten sind keine anonymisierten Daten — DSGVO gilt weiterhin, besondere Kategorien ebenfalls.
- Forschungsschranke nach § 27 BDSG setzt echten wissenschaftlichen Zweck voraus — kommerzielle KI-Entwicklung reicht nicht.
- Lizenznehmer können mit den Daten Sekundärprodukte entwickeln, die nicht mehr von der Zweckbindung erfasst sind — klare Verbote erforderlich.
- Reidentifikation aus anonymisierten Gesundheitsdaten ist durch moderne KI-Methoden möglich — Risikoanalyse nach Art. 35 DSGVO (DSFA) erforderlich.
- Sozialdaten der Krankenkassen unterliegen dem Sozialgeheimnis (§ 35 SGB I) — Weitergabe an Private fast immer unzulässig.

## Output

- Datenbankherstellerrecht-Gutachten für Gesundheitsdatenbank
- Art. 9 DSGVO-Rechtsgrundlagen-Check für Gesundheitsdatennutzung
- Zweckbindungs-Lizenzklausel für Gesundheitsdatenbank-Lizenzvertrag
- Anonymisierungs-/Pseudonymisierungs-Risikoanalyse
- Forschungsschranken-Prüfbogen (§ 27 BDSG / Art. 9 Abs. 2 lit. j DSGVO)

<!-- BEGIN ausformulierungspflicht (autogen) -->
> **Ausformulierungspflicht.** Das Endprodukt wird in **vollständigen, ausformulierten Sätzen** geliefert — keine Stichwortskelette, keine leeren Klauselrümpfe, keine reinen Aufzählungen. Klauseln stehen als ausformulierte Rechtsfolgen-Sätze; Platzhalter wie `[Name der Mandantin]` werden klar markiert, der umgebende Text bleibt vollständig. Diese Regel folgt der zentralen Vorgabe in der `CLAUDE.md` des Repos und gilt ausnahmslos.
<!-- END ausformulierungspflicht (autogen) -->

## Quellen

- [§ 87a UrhG — dejure.org](https://dejure.org/gesetze/UrhG/87a.html)
- [Art. 9 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/9.html)
- [§ 27 BDSG — dejure.org](https://dejure.org/gesetze/BDSG/27.html)
- [§ 44b UrhG — dejure.org](https://dejure.org/gesetze/UrhG/44b.html)
- [RL 96/9/EG — EUR-Lex](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A31996L0009)
- [Art. 35 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/35.html)
