Infobrief: EU DSGVO in der Fas­sung vom 15.12.2015 (Trilog-Ergebnis)

Sehr geehrte Damen und Herren,

am 15.12.2015 wurde im sogenannten Trilog-Verfahren, das von Mitgliedern der Kommission, des Rates und des Parlamentes geführt wurde, ein finaler Text der EU Datenschutzgrundverordnung (DSGVO) erarbeitet, der nunmehr im Parlament zu beschließen ist. Man darf davon ausgehen, dass im Parlament keine weitreichenden Änderungen mehr vorgenommen werden. Daher möchten wir zum derzeitigen Stand eine allererste Einschätzung dazu abgeben, welche Auswirkungen die Regelungen im Bereich der (bio)medizinischen Forschung voraussichtlich haben werden. Diese ist zwangsläufig noch unvollständig und vorläufig, weil der Text während der Trilog-Verhandlungen an vielen Stellen nicht unwesentlich geändert wurde und sich die Tragweite der jetzigen Fassung daher erst nach einer eingehenden Analyse feststellen lässt. Manches wird sich in seiner vollen Bedeutung auch erst im Laufe der Anpassungen des deutschen Rechts, die auf Grund der DSGVO nötig werden, erfassen lassen; manches wird schließlich erst durch die Rechtsanwendung deutlich werden.

Grundsätzlich lässt sich feststellen, dass die (bio)medizinische Forschung mit der DSGVO in der jetzigen Form recht gut wird arbeiten können – der aufgrund verschiedener Entwurfsfassungen¹ befürchtete Schaden für die (bio)medizinische Forschung scheint nicht einzutreten. Der Datenschutz hat in diesem Bereich in Deutschland auch bislang bereits eine große Rolle gespielt und es haben sich erfolgreich Pfade etabliert, wie man mit der behördlichen Rechtspraxis zurechtkommen und Forschung unter Wahrung aller datenschutzrechtlichen und ethischen Belange der Patienten und Probanden umsetzen kann (siehe u.a. der mit den Datenschutzbehörden abgestimmte „Leitfaden zum Datenschutz in medizinischen Forschungsprojekten“ der TMF). Durch die EU-DSGVO sind hierzu kaum signifikante Veränderungen zu erwarten. Im Umkehrschluss muss jedoch auch konstatiert werden, dass die Neuregelung auch keine nennenswerten Harmonisierungen oder Erleichterungen im Umgang mit personenbezogenen Daten im Bereich der (bio)medizinischen Forschung gebracht hat. Entsprechende zwischenzeitlich aufgeflammte Erwartungen bleiben unerfüllt. Es wird bei der nicht nur durch das BDSG, sondern auch durch Sozial- und Landesrecht geprägten Rechtslage und den derzeitigen recht strengen Standards bleiben. Der Königsweg bleibt: Einwilligung oder gesetzliche Ausnahmeregelung als Rechtsgrundlage jeder Datenprozessierung vor allem im Bereich von Gesundheitsdaten.

Zu einzelnen ausgewählten Punkten:

Wie schon unter der geltenden EU-Richtlinie gibt es eine spezielle Datenkategorie, die als besonders sensibel gilt und für die deshalb in Art. 9 Abs. 2 der DSGVO besondere Anforderungen an die Nutzung formuliert wurden. Dazu gehören wie bisher die Gesundheitsdaten, neu aufgenommen wurden ausdrücklich biometrische Daten sowie genetische Daten, wobei diese zumindest in Deutschland auch auf Grund der geltenden Richtlinie bereits zu den sensiblen Daten gezählt wurden. Die eigenständigen Artikel zu Gesundheits- (Art. 81) bzw. zu genetischen (Art. 81a) Daten, die zwischenzeitlich in manchen Entwürfen vorhanden waren, sind dafür entfallen. Die Voraussetzungen für eine Datennutzung haben sich gegenüber der geltenden Richtlinie nicht wesentlich verändert: Grundsätzlich bedarf es einer Einwilligung des Datensubjektes, Ausnahmen sind aber aufgrund nationalstaatlicher Gesetze möglich (Art. 9 Abs. 2 (i)). Das Konzept wird noch einmal in Erwägungsgrund 42a erläutert, der allerdings auch zeigt, wie zwiespältig der jetzige Kompromiss ist. Denn der freie Datenfluss innerhalb der EU wird durch das Beharren auf nationalstaatlichen Ausnahmen sicherlich nicht gefördert, vielmehr bleibt es bei der bestehenden Fragmentierung des europäischen Rechts in diesem Bereich. Die Fragmentierung innerhalb Deutschlands durch unterschiedliche Regelungen auf Bundesländerebene bleibt damit ebenfalls unangetastet, d .h. die entsprechenden Forschungsklauseln z.B. in Landeskrankenhausgesetzen werden weiterhin Gültigkeit behalten.

Der Erwägungsgrund 25aa, für den sich insbesondere die deutsche Seite sehr eingesetzt hat, ist Teil der Verordnung geblieben, d.h. es wird eine Interpretationshilfe zugunsten einer breiteren Einwilligung („broad consent“) im Forschungsbereich geben für die Fälle, in denen sich der Forschungszweck nicht von vornherein konkret angeben lässt. Dies ist vor allem für die translationale Medizin sowie im Bereich der Biobanken und genetische Datenbanken der Fall.

Art. 83, der ursprünglich ein spezieller Artikel für die Forschung werden sollte, ist massiv zurückgeschnitten worden und verweist nunmehr nur noch auf das Erfordernis von „appropriate safeguards for the rights and freedoms of the data subject“ bei der Datenverarbeitung zu Forschungszwecken, die auf Grund anderer Bestimmungen rechtmäßig sein muss. Als Beispiele für solche besonderen „Safeguards“ wird die Pseudonymisierung explizit genannt, wobei die Pflicht zur Pseudonymisierung begrenzt ist durch den Forschungszweck. Ferner hat das Prinzip der Datensparsamkeit Eingang in diese Bestimmung gefunden. Erhalten geblieben sind ferner einige Ausnahmeklauseln in Art. 83 (2), so dass nationale Regelungen von den dort aufgeführten Normen abweichen können. Nicht dazu gehört bemerkenswerter Weise das Erfordernis der Einwilligung.

Eine generelle Ausnahme zum Einwilligungserfordernis für nicht-sensible Daten war unter Art. 6 mehrfach diskutiert und zeitweise als Abs. 2 formuliert worden, dieser ist aber nicht in der endgültigen Fassung der Verordnung enthalten. Damit existiert keine spezielle Rechtsgrundlage für Datenerhebungen zu Forschungszwecken, sondern es gelten auch hier die allgemeinen Bestimmungen von Art. 6 Abs. 1. Für die Forschung relevant sind daher die Ausnahmen, die in Art. 6 Abs. 1 (e) („a task carried out in the public interest“) sowie (f) („processing is necessary for the purposes of the legitimate interests pursued by the controller“) formuliert sind. Das legitime Interesse an der Datenverwendung, das unter der geltenden Richtlinie vor allem von der Industrie in Anspruch genommen wurde, wird in Zukunft also auch in der Forschung eine wichtige Rolle spielen. In diesem Rahmen ist eine Abwägung zwischen den Interessen des Einzelnen am Schutz seiner Daten einerseits und dem Interesse der Forschung an der Datennutzung andererseits vorzunehmen. Die in Art. 83 geforderten Safeguards gewinnen hier erneut Bedeutung. Für die biomedizinische Forschung würden sich hier aufgrund der bestehenden Konzepte sicherlich Lösungen finden lassen. Allerdings ist Art. 6 hier nur von untergeordneter Bedeutung, da in den meisten Fällen sensible Daten prozessiert werden, für die Art. 9 der einschlägige Artikel ist.

Die in Art. 5 (b) geregelte Weiterverarbeitung von (bereits erhobenen) Daten zu Forschungszwecken wird als kompatibel zum ursprünglichen Zweck der Datenerhebung angesehen. Diese Klausel war allerdings bereits in der geltenden Richtlinie enthalten, ohne dass diese Formulierung je zu der Annahme geführt hätte, dass Daten ohne Weiteres für Forschungszwecke sekundär hätten genutzt werden dürfen. Ob unter der Verordnung eine neue Lesart zwingend ist, bleibt abzuwarten. Jedenfalls liegt es nahe, die Klausel bei der Abwägung im Rahmen des legitimen Interesses nach Art. 6 Abs. 1 (f) für die Forschung in die Waagschale zu werfen.

Nicht ganz unproblematisch wird in der DSGVO mit dem Begriff “Pseudonymisierung“ umgegangen. Zwar ist es in Art. 4 Abs. 3b bei der vom Rat favorisierten Prozessdefinition geblieben, so dass die Etablierung einer neuen Datenkategorie „pseudonyme Daten“ letztlich nicht stattgefunden hat. Gleichwohl suggeriert Recital 23, dass pseudonyme Daten eher als personenbezogene Daten anzusehen sind, was mit dem vom Bundesgerichtshof in seiner Vorlage-Entscheidung an den Europäischen Gerichtshof (EuGH) angenommenen Konzept des relativen Personenbezuges nicht gut zu vereinbaren wäre. Die entsprechende Entscheidung des EuGH darf daher mit umso größerer Spannung erwartet werden.

Als pseudonymisiert können jedenfalls Daten unter DSGVO nur dann gelten, wenn die Daten „nur noch“ durch das Pseudonym dem Datensubjekt zugeordnet werden können. Der Begriff ist also beschränkt auf solche Datensätze, die ohne den Schlüssel als anonym angesehen werden können. Damit wird zwar einerseits das Konzept des relativen Personenbezugs wiederum gestärkt, denn ohne Zugang zum Schlüssel gibt es keine Re-Identifikationsmöglichkeit. Anderseits gibt es derzeit etablierte unterschiedliche Verfahrensweisen der Pseudonymisierung und Stufen der De-Identifizierung, die durch diese Definition tangiert werden.

Grundsätzlich ist eine Definition in der Verordnung geeignet, europaweit zur begrifflichen Schärfung und zur Vermeidung von ungewollten Graubereichen beizutragen. Gleichzeitig sollte aber dem Aspekt Rechnung gezollt werden, dass für sehr viele Anwendungsfälle in der Forschung eine mit einer Anonymisierung einhergehende Vergröberung der medizinischen Nutzdaten Forschungsaussagen erschwert, verfälscht oder unmöglich macht.

Entsprechend wäre es wünschenswert gewesen, nicht einseitig eine Pseudonymisierung in dem nun qua Legaldefinition sehr engen Sinne, die mindestens die de facto-Anonymisierung der Nutzdaten voraussetzt, favorisiert werden, ohne zugleich eine austarierte Balance zwischen abgestufter De-Identifizierung im Sinne der Datensparsamkeit und verbleibender Nutzbarkeit für medizinische Forschung, die sich immer der grundsätzlich personenbeziehbaren Daten von Patienten und Probanden bedienen muss, sicherzustellen. Letzteres wird nun Aufgabe der Forschung selbst sein.

Fußnoten

¹ Siehe hierzu die gemeinsame „Stellungnahme zum Entwurf des Europäischen Parlamentes für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, im Folgenden DSGVO) unter Berücksichtigung des Entwurfs der Europäischen Kommission“, TMF et al., 29.07.2014, http://www.tmf-ev.de/Desktopmodules/Bring2Mind/DMX/Download.aspx?EntryId=25115&PortalId=0.