Der European Health Data Space (EHDS) ist ein umfassendes europäisches Regelwerk, das einen einheitlichen Rahmen für die Nutzung, den Austausch und den Schutz von Gesundheitsdaten in der Europäischen Union schafft. Seine Wurzeln liegen in der europäischen Digitalstrategie, die darauf abzielt, den Zugang zu Daten über Ländergrenzen hinweg zu erleichtern und gleichzeitig höchste Sicherheitsstandards durchzusetzen. Der EHDS baut auf bestehenden Initiativen wie eHealth Digital Service Infrastructure (eHDSI), der europäischen Patientenakte und dem langfristigen Ziel auf, interoperable Gesundheitsdatenstrukturen innerhalb der EU zu etablieren. 

Historisch betrachtet ist EHDS die Antwort auf die zunehmende Digitalisierung des Gesundheitswesens, kombiniert mit der Erkenntnis, dass medizinische Informationen oft in isolierten Systemen gefangen sind. Die EU verfolgt damit zwei grosse Ziele:  

• Erstens, die medizinische Versorgung durch grenzüberschreitende Zugänglichkeit zu verbessern 

• Zweitens, Gesundheitsdaten für Forschung und Innovation nutzbar zu machen, ohne dabei den Schutz sensibler Informationen zu vernachlässigen.  

EHDS ist damit der erste Versuch, einen Gesundheitsdatenraum mit verbindlichen technischen, organisatorischen und regulatorischen Anforderungen zu definieren – und zwar auf europäischer Ebene

EHDS verlangt, dass Gesundheitsdaten in strukturierten, interoperablen Formaten über Ländergrenzen hinweg bereitgestellt werden. In der Praxis bedeutet dies die verpflichtende Einführung von FHIR (Fast Healthcare Interoperability Resources). Dieser technischer Standard stellt sicher, dass Daten in Kliniken, Behörden, Forschungseinrichtungen und Praxissystemen austauschbar und verständlich bleiben. 

Parallel dazu wird die EUDI Wallet (European Digital Identity Wallet) zum zentralen Authentisierungs- und Autorisierungsinstrument. Sie dient als digitales Identitätswerkzeug für Patienten und Gesundheitsfachkräfte und wird eng mit MFA-Mechanismen verknüpft. Die IT muss daher Wallet-Protokolle, kryptografische Endgerätebindung und sichere Token-Prozesse unterstützen. 

EHDS verschiebt das IAM von einem klassischen Rollenmodell hin zu einem attributbasierten Steuerungsmodell. Berufliche Attribute wie „Arzt“, „Apothekerin“, „Pflegefachkraft“ oder „Forscher mit Zulassung“ müssen verifiziert, verwaltet und in Autorisierungsentscheidungen integriert werden. IAM wird dadurch strukturierter, aber auch deutlich komplexer, da Attribute EU-weit harmonisiert und überprüfbar sein müssen. 

Zero Trust wird unter EHDS praktisch zur Pflichtarchitektur. Keinem Zugriff darf implizit vertraut werden, jede Anfrage muss erneut geprüft werden – unabhängig davon, aus welchem Netzwerk sie stammt. Identity, Kontext, Zweck und Attribut berufliche Eigenschaft spielen in die Entscheidung ein. EHDS erzwingt damit strikte Segmentierung, kontinuierliche Verifikation und starke Abhängigkeit von IAM und Policy-Engines. 

Da Gesundheitsdaten extrem sensibel sind, verankert EHDS hohe Datenschutzanforderungen. Daten müssen verschlüsselt, pseudonymisiert oder anonymisiert bereitgestellt werden. Zudem muss jede Nutzung einem Zweck zugeordnet werden können. Technische Datenschutzmechanismen wie Data Minimization, Consent Management und Privacy by Design werden fester Bestandteil der IT-Architektur. 

EHDS macht eine verlässliche Identitätsprüfung zur Grundvoraussetzung für jeden Zugriff auf Gesundheitsdaten. Patienten benötigen verifizierte Identitäten, um ihre Daten einzusehen oder zu übertragen. Gesundheitsfachkräfte müssen eindeutig identifizierbar sein, um Behandlung, Dokumentation oder Einsicht in Akten durchzuführen. 

Neben der Identität müssen berufliche Eigenschaften verifizierbar sein. Rollen wie Arzt, Radiologin, Pflegefachperson oder Laboranalytiker sind nicht mehr nur lokale Rollen in einem Krankenhaus, sondern müssen EU-weit einheitlich attestiert werden. Attribute dieser Art müssen zwingend aus der Human Ressource Systemen an das IAM-System übertragen werden, einerseits für die Weitergabe an die Systeme, andererseits für die Umsetzung der Geschäftsrollen. 

Viele Einrichtungen verfügen über historisch gewachsene Systeme, die weder starke Authentisierung noch moderne Identitätsmodelle unterstützen. EHDS setzt die Integration von MFA, Wallet-basierte Modelle und moderne Authentisierungsprotokolle voraus. Dies bedeutet eine tiefgreifende Modernisierung der Infrastruktur und möglicherweise Anpassungen an Arbeitsprozessen. 

Starke Authentisierung benötigt Device-Bindung. Smartphones, Hardware-Token, Smartcards oder gesicherte berufliche Geräte werden zentrale Werkzeuge, um den Zugriff technisch zu sichern. Kliniken müssen Geräte verwalten, absichern und Lifecycle-Management betreiben. 

Rollen bleiben Grundlage für die Einordnung eines Berufsbilds – etwa Arzt oder Pflegefachperson. Sie bilden den ersten Kontextlayer und erleichtern dank einem IAM auch die grobgranulare Zuweisung der korrekten Berechtigungen. 

Der eigentliche Zugriff jedoch basiert auf dem Zweck: Behandlung, Pflege, Forschung, Abrechnung, oder öffentliche Gesundheit. Purpose-Based Access Control (PBAC) sorgt dafür, dass der Zugriff nicht nur auf Identität, sondern auch mit dem Zweck begründet werden muss. Dabei tritt Role Baseds Access Control (RBAC) in den Hintergrund und wird nur noch für die grobe Autorisierung, z.B. über Geschäftsrollen genutzt.  Dies wird wesentlichen Einfluss auf die Rezertifizierung geben, welche zukünftig noch mehr eine Kombination aus Attributen und Rollen sein wird. 

Zugriffsrechte dürfen nur temporär und genau passend vergeben werden. Überprivilegierung muss systematisch verhindert werden, indem Zugriffskontrollen laufend überprüft und kontextabhängig erzwungen werden. Auch die Datennutzung für Behandlung ist strikt getrennt von Datennutzung für Forschung oder Verwaltung. Systeme müssen diese Trennung technisch erzwingen, was eine sehr großsse Herausforderung darstellen kann. 

Jede Datennutzung erfolgt innerhalb definierter EHDS-Level. Forschung erhält nur pseudonymisierte Daten, Behandlung erhält personenbezogene Daten, Behörden erhalten statistische Auswertungen. 

Bei den Non-Human Identities (NHI) werden ebenfalls neue Wege beschritten. EHDS zwingt Organisationen, für Maschinenzugriffe klare Regeln festzulegen:

• verifizierte Maschinenidentitäten
• signierte Service-Tokens
• strenge Secrets- und Key-Verwaltung
• rotierende Berechtigungen
• auditfähige API-Authentisierung

Automatisierung und System-zu-System-Kommunikation müssen dieselben hohen Standards erfüllen wie menschliche Zugriffe. Dahinter stecken weiter noch Aufwände, um die Governance wie z.B. Ownerships solcher Benutzerkonten oder die Rezertifizierung sicherzustellen. 

Im EHDS-Umfeld ist klar, dass der Einsatz eines leistungsfähigen PAM-Systems notwendig ist. Hochprivilegierte Zugriffe gelten als besonders risikobehaftet, weshalb Administratoren, Root-User und technische Servicekonten strikt kontrolliert werden müssen. Jede privilegierte Aktion wird vollständig protokolliert, mit Zeit, Ort, System und Kontext angereichert und kryptografisch gegen Manipulation gesichert. Starke Authentisierung – inklusive MFA und Gerätebindung – ist zwingend, ebenso die Fähigkeit, jede Handlung eindeutig einer verantwortlichen Identität zuzuordnen. 

Organisatorisch bedeutet dies einen tiefen Eingriff in bestehende Betriebsmodelle. Zero Standing Privilege löst dauerhafte Adminrechte ab, während Just-in-Time-Privilegien nur für einen klar definierten Zweck und Zeitraum vergeben werden. Rollen und Aufgaben müssen sauber getrennt werden; ein universaler „Alleskönner-Admin“ mit ständig hochprivilegierten Berechtigungen ist nicht mehr vertretbar. 

Gleichzeitig unterliegen auch NHI-basierte Maschinenidentitäten diesen Vorgaben. Automatisierungen, Bots und API-Dienste benötigen verifizierte Identitäten, signierte Tokens, rotierende Schlüssel und auditfähige Schnittstellen. Damit wird PAM zum zentralen Kontrollpunkt, um sowohl menschliche als auch maschinelle Zugriffe durchgängig zu überwachen und technisch abzusichern – eine unverzichtbare Voraussetzung, um EHDS-konform zu arbeiten. 

EHDS verfolgt einen europäischen, stark technisch definierten Ansatz, der Interoperabilität, digitale Identität und strenge Zugriffskontrolle ins Zentrum stellt. HIPAA hingegen ist ein US-Bundesgesetz, das primär die Vertraulichkeit und Sicherheit von Gesundheitsdaten regelt, aber viel weniger technische Vorgaben macht. Während EHDS auf föderierte Identitäten, verifizierte Attribute, Zero Trust und PAM setzt, überlässt HIPAA die technische Umsetzung weitgehend den jeweiligen Organisationen.

EHDS ist weit mehr als ein neues Regelwerk – es ist ein gewaltiger Transformationsimpuls, der das Gesundheitswesen in technischer, organisatorischer und sicherheitsrelevanter Hinsicht grundlegend neu ausrichtet. Die geforderten Standards für Identitäten, Attribute, Authentisierung, Zugriffsmodelle, Interoperabilität und privilegierte Kontrollen heben die Anforderungen auf ein Niveau, das viele bestehende Architekturen heute noch nicht ansatzweise erreichen. Eine ISO 27001 Zertifizierung ist im Vergleich ein leichtes Spiel. Hat sich die EU mit EHDS übernommen? 

Die Gesundheitsdienstleister tun gut daran, diese neuen Rahmenbedingungen jetzt bereits zu berücksichtigen. Ein später Einstieg führt mit hoher Wahrscheinlichkeit zu kostspieligen Projekten oder radikalen Umbauten, weil Grundsatzentscheidungen nicht früh genug in die richtige Richtung gelenkt wurden. Es lassen sich heute schon die erste Schritte in die Wege leiten, ohne dass eine komplette und teure Umsetzung in Angriff genommen wird. 

Im Bereich IAM und PAM zeigt sich das besonders deutlich: Diese Disziplinen eignen sich hervorragend für einen etappenweisen Ausbau und schaffen mit der Einführung sofort Mehrwert. Gleichzeitig wird auf der EHDS-Zielarchitektur aufgesetzt, ohne dass man sich zukünftig etwas verbaut.  

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.