Wer überwacht die Data Governance im Gesundheitswesen in der EU?

Im europäischen Gesundheitswesen wird Data Governance nicht von einer einzigen Behörde, Rolle oder Abteilung überwacht.

Das ist zugleich Stärke und Schwäche des Systems.

Gesundheitsorganisationen unterliegen in der EU einigen der strengsten Anforderungen an Datenschutz und Sicherheit. Und dennoch fällt es vielen schwer, eine grundlegende Frage zu beantworten:

Wer ist tatsächlich dafür verantwortlich zu überwachen, ob Data Governance in der Praxis funktioniert?

Dieser Artikel erläutert, wer Data Governance im EU-Gesundheitswesen überwacht, wie Verantwortlichkeiten verteilt sind und wo Organisationen ihr Risiko am häufigsten unterschätzen.

Ein bewusst komplexes regulatorisches Umfeld:

• DSGVOund nationale Gesundheitsdatengesetze

• Regulierung von Medizinprodukten und klinischen Studien

• Neue Rahmenwerke wie der EU Data Act und der EU AI Act

• Berufsgeheimnis und ethische Verpflichtungen

Infolgedessen ist die Überwachung von Governance bewusst verteilt und nicht zentralisiert.

Keine einzelne Stelle hat standardmäßig den vollständigen Überblick.

Externe Kontrolle: Wer überwacht Data Governance im Gesundheitswesen von außen?

Datenschutzaufsichtsbehörden (DPAs)

Nationale Datenschutzaufsichtsbehörden sind die wichtigsten externen Durchsetzungsinstanzen der DSGVO im Gesundheitswesen.

Sie überwachen unter anderem:

• die rechtmäßige Verarbeitung personenbezogener Daten und Gesundheitsdaten

• Einwilligungen und Rechtsgrundlagen

• Betroffenenrechte

• Sicherheitsmaßnahmen und das Handling von Datenschutzvorfällen

DPAs werden meist aktiv:

• nach Beschwerden

• nach Vorfällen

• im Rahmen von Audits oder Untersuchungen

Sie überwachen nicht die tägliche Governance. Sie prüfen Ergebnisse und Nachweise.

Gesundheitsbehörden und Aufsichtsgremien

Je nach Land können Gesundheitsaufsichtsbehörden prüfen:

• Datenintegrität in klinischen Systemen

• Nachvollziehbarkeit von Aufzeichnungen

• Einhaltung branchenspezifischer Vorgaben

Ihr Fokus liegt häufig auf Patientensicherheit und Versorgungsqualität, doch Governance-Mängel werden in solchen Prüfungen oft sichtbar.

Benannte Stellen und Auditoren

Für Organisationen, die in folgenden Bereichen tätig sind:

• klinische Studien

• Medizinprodukte

• digitale Gesundheitslösungen

prüfen externe Auditoren und benannte Stellen unter anderem:

• Datenmanagement-Praktiken

• Dokumentation und Nachvollziehbarkeit

• Governance-Kontrollen, die für Zertifizierungen relevant sind

Sie sind keine Governance-Owner, decken aber häufig Governance-Schwächen auf.

Interne Überwachung: Wo Governance wirklich gelebt wird oder scheitert

Externe Aufsicht funktioniert nur, wenn es auch interne Überwachung gibt.

In der Praxis stützen sich EU-Gesundheitsorganisationen auf eine Kombination verschiedener Rollen.

Datenschutzbeauftragte (DSBs / DPOs)

DSBs spielen eine zentrale Rolle bei der Überwachung der DSGVO-Compliance.

Typischerweise:

• beraten sie zur rechtmäßigen Verarbeitung

• prüfen sie Aktivitäten mit hohem Risiko

• begleiten bzw. überwachen DPIAs

• fungieren sie als Ansprechstelle für Datenschutzaufsichtsbehörden (DPAs)

DSBs überwachen jedoch nicht alle Aspekte von Data Governance, zum Beispiel:

• Datenqualität

• semantische Konsistenz

• nachgelagerte Weiterverwendung (Downstream Reuse)

• operative Datenflüsse

Zu erwarten, dass der DSB „Governance verantwortet“, ist ein häufiger Fehler.

Informationssicherheit und Risikofunktionen

Security- und Risk-Teams überwachen:

• Zugriffskontrollen

• Incident Handling

• Systemintegrität

Sie sind essenziell, aber Governance ist breiter als Sicherheit. Ein System kann sicher sein und dennoch Daten falsch oder unangemessen nutzen.

Data Owner

Data Owner sind für bestimmte Datensätze oder Domänen verantwortlich, z. B.:

• Patientenakten

• Forschungsdaten

• operative Systeme

Sie überwachen Governance lokal. Das ist notwendig, aber nicht ausreichend.

Data Owner sehen selten die Auswirkungen über Systemgrenzen hinweg.

Data Stewards: die fehlende Monitoring-Schicht

In reifen Gesundheitsorganisationen übernehmen Data Stewards die zentrale Monitoring-Rolle.

Sie:

• prüfen, ob Governance-Regeln konsistent angewendet werden

• erkennen semantische Drift zwischen Systemen

• identifizieren Downstream-Risiken

• validieren Nachvollziehbarkeit (Traceability) und Auditierbarkeit

• machen Probleme früh sichtbar, ohne Schuldzuweisung

Stewards ersetzen weder Data Owner noch DSBs. Sie verbinden sie.

Wo Stewardship fehlt oder zu schwach aufgestellt ist, fragmentiert das Governance-Monitoring

Warum Monitoring in Gesundheitsorganisationen scheitert

Aus der Praxis zeigen sich Ausfälle meist nach wiederkehrenden Mustern:

Governance existiert, aber niemand prüft die Umsetzung

Policies sind verabschiedet, Vorlagen sind vorhanden. Doch niemand verifiziert, wie Regeln in den realen Systemen tatsächlich angewendet werden.

Monitoring ist in Silos organisiert

Datenschutz prüft das eine, Informationssicherheit das andere. Klinische Teams fokussieren sich auf die Versorgung. Das Gesamtbild sieht niemand.

Zuständigkeiten und Autorität sind unklar

Stewardship- oder Governance-Rollen existieren, können Data Owner jedoch nicht challengen oder Themen wirksam eskalieren.
Monitoring ohne Autorität bleibt Beobachtung, nicht Steuerung.

Nachweise entstehen erst während Audits

Wenn Monitoring auf manueller Evidenzsammlung unter Druck basiert, ist Governance bereits fragil.

Was Aufsichtsbehörden tatsächlich erwarten

EU-Aufsichtsbehörden erwarten im Gesundheitswesen keine Fehlerfreiheit.

Sie erwarten:

• klare Verantwortlichkeiten

• nachvollziehbare Entscheidungen

• Nachweise für Monitoring

• dokumentierte Remediation

Deutlich problematischer sind aus ihrer Sicht:

• verdeckte Probleme

• unklare Zuständigkeiten

• widersprüchliche Erklärungen

Monitoring bedeutet, Absicht und Kontrolle nachweisen zu können, nicht Perfektion.

Wie EU-Gesundheitsorganisationen über Monitoring nachdenken sollten

Wirksames Monitoring erfordert:

• klare Governance-Regeln

• benannte Data Owner

• befugte und wirksam aufgestellte Data Stewards

• unabhängige Aufsicht durch den DSB (DPO)

• integrierte Audit-Logs und Nachvollziehbarkeit (Traceability)

Monitoring ist keine einzelne Rolle. Es ist ein Zusammenspiel mehrerer Rollen, jeweils mit klar definiertem Mandat.

Fehlt auch nur eine dieser Ebenen, entstehen Schwachpunkte.

Ein einfacher Selbst-Check

Stellen Sie sich folgende Frage:

Wenn heute ein Data-Governance-Problem auftritt: Wer würde es als Erstes entdecken, wer würde es untersuchen und wer wäre dafür verantwortlich, es zu beheben?

Wenn die Antwort unklar ist, ist Ihr Governance-Monitoring noch nicht ausreichend ausgereift.

So unterstützen wir

Wir unterstützen EU-Gesundheitsorganisationen mit:

• Governance- und Compliance-Assessments

• Design und Stärkung von Stewardship-Rollen

• Readiness für DSGVO, EU Data Act und EU AI Act

• informellen Audits mit Fokus auf Nachvollziehbarkeit und Verantwortlichkeit

• der Übersetzung regulatorischer Erwartungen in operative Realität

Wenn Sie Klarheit darüber möchten, wer in Ihrer Organisation was überwacht und wo Lücken bestehen, können Sie ein Kennenlerngespräch buchen oder ein informelles Governance-Assessment anfragen.

Das ist oft der schnellste Weg, regulatorischen Druck in Sicherheit und Handlungsfähigkeit zu verwandeln.

Wie wir Sie unterstützen können

Erfahren Sie, wie unser Service „Strategie & Governance“ Ihnen hilft, Datenstrategie, Governance und Umsetzung in der Praxis in Einklang zu bringen.