Stellungnahme zur Entschlie­ßung der Konferenz der unabhängigen Daten­schutz­auf­sichts­behörden des Bundes und der Länder vom 24.11.2022: Peters­berger Erklärung

Zusammenfassung

Die Petersberger Erklärung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom November 2022 fordert von den nationalen Gesetzgebern einen bundeslandübergreifend einheitlichen Rechtsrahmen für die medizinische Forschung, der insbesondere auch Möglichkeiten jenseits einer einwilligungsbasierten Forschung schafft. Dieser zentralen Forderung der Erklärung ist uneingeschränkt zuzustimmen.

Die TMF vermisst in der Petersberger Erklärung allerdings eine klare Darstellung der Grenzen des Einsatzes der einwilligungsbasierten medizinischen Forschung. Dies erscheint notwendig, um später im konkreten Fall begründen zu können, dass Forschung sich auch auf alternative Erlaubnisnormen stützen kann. Zudem fehlt ein Hinweis auf die Notwendigkeit der Harmonisierung der Voraussetzungen und Rahmenbedingungen einer informierten Einwilligung auf nationaler Ebene. Einschränkungen gegenüber der DSGVO sollten aus Sicht der TMF insbesondere aus landesrechtlichen Regelungen entfernt werden.

Die in der Erklärung geforderten Erlaubnisnormen sollen aus Sicht der Behörden auf Forschung im Gemeinwohlinteresse beschränkt werden und der Gesetzgeber wird aufgefordert, hierfür klare Kriterien zu formulieren. Die TMF bezweifelt, dass eine solche Einschränkung der Gewährung des Grundrechts der Forschungsfreiheit gerecht wird und dass die in der EU-Daten­schutz­grund­verordnung angelegte Privilegierung „wissenschaftlicher Forschungszwecke“ auf nationaler Ebene eine so einschränkende Definition zulässt.

Weiter fordert die Petersberger Erklärung, dass eine aktive Einbindung der von der Datenverarbeitung in der medizinischen Forschung betroffenen Personen vom Gesetzgeber auch dann vorzuschreiben ist, wenn statt einer Einwilligung eine gesetzliche Erlaubnisnorm herangezogen wird. Die TMF weist darauf hin, dass nach aller bisherigen Erfahrung eine aktive Einbindung weder uneingeschränkt von allen betroffenen Personen gewünscht, noch durch die Bedeutsamkeit der Verarbeitung für diese Personen gedeckt ist. Viele Forschungsprojekte zielen gar nicht auf individuell relevante Ergebnisse, sondern auf Gruppenunterschiede, die ggf. erst für künftige Patienten Relevanz entfalten. Entsprechend sollte die aktive Einbindung betroffener Personen nicht vorgeschrieben werden, sondern nur das Angebot einer Einbindung. Zudem sollte in den gesetzlichen Regelungen berücksichtigt werden, dass nicht für alle Forschungsprojekte gleich weitgehende Angebote zur Einbindung und zur Transparenz sinnvoll sind.

Als notwendige Begleitmaßnahmen für neue und einheitliche Erlaubnisnormen für die medizinische Forschung werden geeignete Garantien für die Rechte und Freiheiten betroffener Personen gefordert. Dem ist zuzustimmen. Die Forderung, die Pseudonymisierung der Daten dann gesetzlich an unabhängige und eigenverantwortliche Vertrauensstellen zu übertragen, passt aber nach Ansicht der TMF nicht auf alle zu regelnden Anwendungsfälle. Wenn es nur um die Nutzung von Daten einer einzelnen Institution wie etwa eines Krankenhauses geht, sollte auch eine organisatorisch von der Forschung unabhängige Stelle innerhalb der Institution ausreichend sein und im Ergebnis zu einem insgesamt besseren Schutz der Daten führen.

Als weitere begleitende Maßnahme zu neuen Erlaubnisnormen für die medizinische Forschung im nationalen Rechtsrahmen fordert die Petersberger Erklärung ein gesetzlich geregeltes Forschungsgeheimnis, vergleichbar der ärztlichen Schweigepflicht. Die TMF unterstützt grundsätzlich die Forderung, für mehr Rechtssicherheit bei der Nutzung von Gesundheitsdaten für die medizinische Forschung zu sorgen. Die TMF weist aber gleichzeitig darauf hin, dass rechtliche, organisatorische und technische Sicherheitsinfrastrukturen für die medizinische Forschung auch ohne ein solches Forschungsgeheimnis funktionieren müssen. Ein Forschungsgeheimnis wird von unterschiedlichen Stellen schon seit Jahrzehnten gefordert, es fehlen aber bislang die politischen und gesetzlichen Voraussetzungen, um dieses in absehbarer Zeit zu erreichen.

Aus Sicht der TMF haben die Datenschutzbehörden mit der Petersberger Erklärung zwar eine wichtige und in vielen Punkten unterstützenswerte Forderung an die Gesetzgeber formuliert, dabei aber nicht die Chance genutzt, diejenigen Probleme zu adressieren, bei denen sie selbst auch ohne Unterstützung des Gesetzgebers zur Verbesserung der Situation der medizinischen Forschung in Deutschland beitragen könnten. Dringend erforderlich sind insbesondere die einheitliche Bewertung der bestehenden Erlaubnisnormen für die Forschung durch die Datenschutzbehörden sowie ein einheitliches Verständnis zentraler Begriffe wie etwa der Anonymisierung und Pseudonymisierung personenbezogener Gesundheitsdaten. Insgesamt fokussiert die Erklärung sehr stark auf die Risiken einer Nutzung medizinischer Daten für die Forschung und behandelt die Chancen eher nachrangig. Sowohl für die Entwicklung guter gesetzlicher Regelungen als auch für die Abstimmung angemessener untergesetzlicher Maßnahmen zum Schutz der Daten ist jedoch eine umfassende Abwägung von Chancen und Risiken zwingende Voraussetzung. Dabei sollten Leitgedanke und Ziel sein, die notwendige Datennutzung für medizinische Forschung verlässlich, bundeseinheitlich und rechtssicher zu ermöglichen. Hierzu muss die kritische Beleuchtung der realen Hindernisse, die sich in der bisherigen Praxis, Rechtslage und Beratungspraxis der Datenschutzbehörden zeigen, viel stärker in Empfehlungen einfließen.

Einleitung

Die Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) vom 24.11.2022 mit dem Titel: „Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ (Petersberger Erklärung)¹ unterstreicht die Notwendigkeit der Forschung mit Gesundheitsdaten. Gleichzeitig wird auf die Notwendigkeit von weitreichender Transparenz und hoher Rechtsklarheit für die von der Datenverarbeitung in der Forschung betroffenen Personen hingewiesen. Die Petersberger Erklärung steht nicht isoliert, sondern nimmt Bezug auf die Entschließung der DSK vom 23.03.2022 mit dem Titel „Wissenschaftliche Forschung – selbstverständlich mit Datenschutz“² und ergänzt diese um konkrete Empfehlungen.

Adressaten der Erklärung sind im Wesentlichen die Gesetzgeber in Bund und Ländern. Entsprechend finden Forscherinnen und Forscher in der Medizin, forschende Einrichtungen mit den heute notwendigen methodischen Ressourcen sowie Ethik-Kommissionen kaum hilfreiche Hinweise zur aktuellen Praxis in der Erklärung. Auch der u. a. von der TMF moderierte Dialog zwischen Forschungscommunity und Behörden zu Best Practices zu technischen und organisatorischen Verfahren in der Forschung wird nicht reflektiert.

In dieser Stellungnahme geht die TMF auf diese Empfehlungen an die Gesetzgeber ein und stützt sich dabei auf die breit in der TMF vertretene praktische Erfahrung. Andererseits wird kritisch angesprochen, was die Petersberger Erklärung an Hilfreichem für den Datenschutz in der Forschung vermissen lässt.

Zu den Empfehlungen an die Gesetz­geber

Dieser Teil der Stellungnahme ist nach inhaltlich in der Petersberger Erklärung angesprochenen Themen strukturiert. Die in der Petersberger Erklärung vorangestellten Forderungen werden der Übersichtlichkeit halber passend einsortiert und sind in den entsprechenden Abschnitten noch einmal kursiv gedruckt wiedergegeben.

Rechtsgrundlagen

Es wird in der Petersberger Erklärung sehr kurz auf die datenschutzrechtliche Einwilligung als mögliche Grundlage für die Datennutzung hingewiesen. Diese könne dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen. Andererseits wird aber auch auf die Notwendigkeit von Rechtsgrundlagen jenseits einer Einwilligung für im Allgemeininteresse liegende Forschung mit Gesundheitsdaten hingewiesen. Diese müssen die Forschungsnutzung für all jene Fälle regeln, in denen eine solche Nutzung durch das Einholen einer Einwilligung ernsthaft beeinträchtigt oder unmöglich gemacht würde. Hier fordert die Petersberger Erklärung insbesondere auf nationaler Ebene kohärente Regelungen, die eine einheitliche Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken bspw. durch bundeslandübergreifend organisierte Forschungsverbünde erleichtern. Zu Recht weist die Erklärung darauf hin, dass der Gesetzgeber die komplexen Fragestellungen in Bezug auf den notwendigen Ausgleich betroffener Grundrechte nicht vollständig auf die betroffenen Personen und die Forschenden verlagern darf. Offen bleibt allerdings, durch welchen Gesetzgeber hier Abhilfe geschaffen werden könnte. Auf die eingeschränkte Gesetzgebungskompetenz des Bundes, insbesondere im Bereich der akademisch orientierten Forschung und sich daraus ergebende Hürden für einen einheitlichen Rechtsrahmen geht die Erklärung nicht ein.

Die TMF hat die Uneinheitlichkeit der national bestehenden Erlaubnisnormen in der Forschung erstmals umfassend 2015 aufarbeiten lassen [1]. Damals hatte die vorgefundene Uneinheitlichkeit den von der TMF beauftragten Gutachter schon so überrascht, dass er aus freien Stücken ein rechtspolitisches Schlusswort dem Gutachten angehängt hat [1, S. 343ff]. An dieser Uneinheitlichkeit hat sich leider trotz Erlass der EU-Datenschutz-Grundverordnung (DSGVO) bis heute nicht viel geändert, da diese viele Öffnungsklauseln zugunsten nationaler Regelungen enthält [2; 3, S. 37ff]. Das Weiterbestehen nationaler Einschränkungen führt in der Praxis zu erheblichen Problemen (s. Abschnitt „Einheitliche Bewertung bestehender Rechtsgrundlagen zur einwilligungsfreien Forschung“). Die Petersberger Erklärung geht auf diese Probleme nicht ein und macht deshalb auch keinerlei Vorschläge, wie ergänzende Regelungen diese Probleme künftig vermeiden bzw. ausräumen können. So ist davon auszugehen, dass auch bei einer Erweiterung gesetzlicher Erlaubnisnormen zusätzlich flexible Forschungsklauseln bestehen bleiben und weiterhin in Einzelfällen eine Abwägung der betroffenen Interessen erlauben. In der Petersberger Erklärung fehlt eine Empfehlung an den Gesetzgeber, wie auf Basis solcher weiterhin notwendigen Forschungsklauseln bundeseinheitlich, in festgelegter Frist und mit tragbarem Aufwand für die Forschenden eine Entscheidung im konkreten Fall getroffen werden kann. Aus Sicht der TMF sollte hierfür eine zentral zuständige Behörde benannt bzw. eingerichtet werden.

Der eher allgemeinen Forderung der Petersberger Erklärung nach einer verantwortlichen Ausweitung gesetzlicher Erlaubnisnormen für die Forschung stimmt die TMF voll und ganz zu.

Privilegierte Zwecke

Die Petersberger Erklärung geht darauf ein, dass eine gesetzliche Grundlage für die Nutzung von Gesundheitsdaten in der Forschung einen Ausgleich zwischen den betroffenen Grundrechten, der Forschungsfreiheit und dem Recht auf informationelle Selbstbestimmung der betroffenen Personen sicherstellen muss. Den Gesetzgebern wird allerdings dann empfohlen, die gesetzliche Privilegierung auf das Gemeinwohlinteresse bzw. Forschung im öffentlichen Interesse zu beschränken und dabei zu bestimmen, was inhaltlich der Forschung im Gemeinwohlinteresse entspricht.

Auch wenn die TMF mit ihrer Mitgliedschaft ganz überwiegend öffentlich finanzierte und gemeinwohlorientierte Forschung vertritt, empfiehlt sie, keine solche Verengung der Forschungsfreiheit in Betracht zu ziehen. Stattdessen sollte der in der DSGVO verwendete Begriff der „wissenschaftlichen Forschung“ im Rahmen nationaler Regelungen ohne grundsätzliche Einschränkungen berücksichtigt werden. Zudem gelten einige Privilegierungen der DSGVO für die „wissenschaftliche Forschung“ unmittelbar (z. B. die Zweckvereinbarkeit nach Art. 5 (1) b oder die Einschränkung des Löschrechts nach Art. 17 (3) d). Die TMF plädiert daher für ein insgesamt einheitliches Verständnis des Begriffs der „wissenschaftlichen Forschung“ aus der DSGVO.

Transparenz und Einbindung von Betroffenen

Empfehlung Nr. 1: „Die Menschen stehen im Mittelpunkt der Forschung. Sie dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. Entsprechende Verarbeitungsprozesse müssen daher rechtmäßig sowie für betroffene Personen stets transparent und nachvollziehbar sein. Auch wenn eine Verarbeitung ihrer Daten im öffentlichen Interesse gesetzlich erlaubt und nicht auf ihre Einwilligung gestützt wird, sind die betroffenen Personen in geeigneter Form einzubinden. Digitale Managementsysteme sollen Informations-, Kontroll- und Mitwirkungsmöglichkeiten sicherstellen. Gesetzliche Regelungen müssen wirksam den Schutz des Rechts auf informationelle Selbstbestimmung der betroffenen Personen gewährleisten und die datenschutzrechtlichen Anforderungen des europäischen und nationalen Datenschutzes erfüllen.“

Die Empfehlung fokussiert auf die Transparenz und Nachvollziehbarkeit der Forschung aus der Perspektive der betroffenen Personen. Insbesondere sollen die betroffenen Personen nicht zum Objekt der Datenverarbeitung gemacht werden. Was hier keine Berücksichtigung findet, ist der Umstand, dass Forschungsprojekte eine ganz unterschiedliche Bedeutsamkeit für die betroffenen Personen haben können. Bei vielen Forschungsfragestellungen geht es gerade nicht darum, Informationen von oder für einzelne Personen zu verarbeiten, sondern vielmehr um die Auswertung großer Datenmengen, um kleine Gruppenunterschiede o. ä. aufzudecken. Dazu werden häufig vorhandene Datensammlungen genutzt, die z. T. auch schon vor längerer Zeit und zu anderen Zwecken erhoben wurden. Eine vorherige Anonymisierung ist oft nicht möglich, da die Multidimensionalität der Datensätze für die Auswertung benötigt wird. Bei einer wirksamen Anonymisierung ist in diesen Fällen die Beantwortung der jeweiligen Forschungsfrage nicht mehr möglich. Die EU-Datenschutz-Grundverordnung (DSGVO) sieht genau für solche Weiterverarbeitungen eine Privilegierung der wissenschaftlichen Forschung in Art. 5 (1) b vor (vergl. Roßnagel, Art. 5 Rn. 104 in [4]). Vor diesem Hintergrund sollten die Transparenzkriterien und Einbindungs-Strategien der Bedeutsamkeit der jeweiligen Verarbeitung für die betroffenen Personen angemessen sein. Bei vielen Arten der Verarbeitung in der wissenschaftlichen Forschung wird eine enge Einbindung der betroffenen Personen weder notwendig noch gewünscht sein, in einigen Fällen sogar unmöglich.

Zudem darf nicht vergessen werden, dass nicht alle betroffenen Personen immer die genau gleiche Einbindung wünschen. Onkologische Patienten wollen nach vielen Erfahrungsberichten aus der Praxis oft eine Nutzung ihrer Daten zu Forschungszwecken ermöglichen, ohne dabei ständig an ihre Behandlung und somit die Entstehung der Daten erinnert zu werden. Zu diesen Erfahrungsberichten passt auch eine jüngere Untersuchung zu Einwilligungspräferenzen bei onkologischen Patienten, die eine deutliche Bevorzugung eines Broad Consent gegenüber anderen, interaktiveren Consent-Modellen ergeben hat [5]. Insofern darf, anders als in der Empfehlung und im weiteren Text der Petersberger Erklärung formuliert, allenfalls das Angebot der Einbindung der Betroffenen vorgeschrieben werden, nicht die Einbindung selbst. Auch die Forderung der Erklärung, betroffene Personen über alle Verarbeitungsschritte zu informieren, kann bei der Verarbeitung von Gesundheitsdaten dem Wunsch der betroffenen Personen widersprechen und bspw. das Recht auf Nicht-Wissen einschränken.

Im weiteren Text der Erklärung wird dann noch auf Digitale Methoden oder Managementsysteme, wie Datencockpit, Dashboard oder Portal eingegangen, die die Information, Kontrolle und Mitwirkung der Betroffenen vereinfachen sollen. Die Forderung der Datenschützer nach Nutzung solcher Systeme ist zu pauschal und geht in vielen Fällen zu weit. Stattdessen ist aus Sicht der TMF Augenmaß des Gesetzgebers gefordert. Keinesfalls darf durch die Forderung nach zentralen Informationsportalen die Sicherheit und Vertraulichkeit der Daten gefährdet oder sogar unterlaufen werden. Nicht alle Informationen über die Verarbeitung sensibler Gesundheitsdaten gehören in Apps auf unsicheren Mobil-Telefonen. Wenn bspw. ein Datensatz in eine neue Studie nur deshalb einbezogen wird, weil ein sensibler Risiko-Marker für Demenz das einzige Einschlusskriterium ist, dann darf die mit dem Einschluss verbundene Information über das Vorhandensein des Markers der betroffenen Person nicht über eine App oder ein Web-Portal übermittelt werden, sondern allenfalls in einem qualifiziert geführten Gespräch und das auch nur, wenn zuvor geklärt wurde, dass nicht unzulässigerweise das Recht auf Nicht-Wissen verletzt wird.

Geeignete Garantien für die Rechte und Freiheiten betroffener Personen

Empfehlung Nr. 2: „Es gilt der Grundsatz: Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten genutzt werden.“

Aus Sicht der TMF ist dem Grundsatz aus der 2. Empfehlung zuzustimmen. Er bildet eine zentrale Grundlage der generischen Datenschutzkonzepte der TMF seit 2003 [6–8], die für die Verarbeitung sehr detaillierter und umfangreicher medizinischer Daten bzw. annotierter Bioproben zu breiten Forschungszwecken besondere Schutzmaßnahmen beschreiben.

Empfehlung Nr. 3: „Zu den grundlegenden Garantien und Maßnahmen gehören die Verschlüsselung, die Pseudonymisierung durch eine Vertrauensstelle und die frühestmögliche Anonymisierung. Zusätzlich sind besondere Anforderungen bei Verarbeitungen in Drittländern zu beachten. Anonyme Datensätze, die die Re-Identifikation auch für Personen mit Zusatzwissen irreversibel ausschließen, können Forschende umfassend nutzen.“

Diese „Empfehlung“ ist zunächst nicht mehr als eine Wiederholung bestehender datenschutzrechtlicher Grundsätze. Die TMF lehnt allerdings die Beschränkung auf ein Verständnis des Begriffs der Anonymisierung ab, welches eine Re-Identifikationsmöglichkeit auch für Personen mit Zusatzwissen irreversibel ausschließt. Die Datenschützer lassen außer Acht, dass der Europäische Gerichtshof (EuGH) 2016 das Konzept des relativen Personenbezugs unter der EU-Datenschutz-Richtlinie höchstrichterlich bestätigt hat [9]. Eine ausführliche Begründung dazu findet sich in den Schlussanträgen zu dem Urteil [10]. Wie von Roßnagel ausführlich dargelegt, ist davon auszugehen, dass dieses Urteil und damit das Konzept des relativen Personenbezugs auch unter der DSGVO anzunehmen ist [11, ab S. 149]. Zudem wird der Tatbestand einer „faktischen“ Anonymisierung ignoriert, der schon dann erreicht ist, wenn nach den Kriterien der Auslegungshilfe zur datenschutzrechtlichen Identifizierbarkeit in Erwägungsgrund Nr. 26 DSGVO der Aufwand für eine Re-Identifizierung unverhältnismäßig hoch ist. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kommt in einem Positionspapier zur Anonymisierung zu dem Schluss, dass eine absolute Anonymisierung derart, dass eine Wiederherstellung des Personenbezugs für niemanden möglich ist, datenschutzrechtlich nicht gefordert ist [12].

Die Petersberger Erklärung fordert, die Aufgabe der Pseudonymisierung gesetzlich an unabhängige und eigenverantwortliche Vertrauensstellen zu übertragen und die Weisungsfreiheit umfänglich auszugestalten. Die TMF stimmt dieser Forderung nur für bestimmte, einrichtungsübergreifende Datennutzungen zu. Die verpflichtende Einbindung einer externen, rechtlich unabhängigen Vertrauensstelle für die Nachnutzung von Behandlungsdaten innerhalb einer Klinik durch das Klinikpersonal auf gesetzlicher Basis wäre bspw. kontraindiziert. Hier wäre eine organisatorisch, räumlich und personell unabhängig gestaltete Vertrauensstelle innerhalb der Klinik vorzuziehen.

Auch die Forderung der Petersberger Erklärung, den Zugang zu Daten vorranging in einer sicheren Umgebung von Zugangsstellen vorzusehen, sieht die TMF mit Blick auf die Vielfalt der Nutzungsszenarien und der damit verbundenen Anforderungen kritisch. Eine solche Restriktion ist in vielen Fällen nicht praktikabel, da in der sicheren Umgebung meist nicht alle für die Analyse notwendige Tools verfügbar sind. In manchen Fällen bietet ein Remote-Access-Verfahren ein ähnliches Sicherheitsniveau bei mehr Möglichkeiten für die Forscher. Die TMF rät hier zu großer Vorsicht und kritisiert die zu schnellen und letztlich zu einfachen und die Differenziertheit von Forschungsprojekten nicht ausreichend abbildenden Forderungen der Erklärung.

Verknüpfung von Datensätzen

Empfehlung Nr. 4: „Auswertungen anhand von Falldaten greifen insbesondere dann besonders tief in die Rechte und Freiheiten der betroffenen Personen ein, wenn Datensätze aus verschiedenen Quellen verknüpft werden. Daher müssen die Art und der Umfang der Bereitstellung, der Zweck der Auswertung und die Forschenden persönlich besondere Schutzanforderungen erfüllen. Geeignete Verfahren müssen gewährleisten, dass rechtliche und technische Voraussetzungen für den Datenzugang erfüllt sind. Die datenschutzrechtliche Verantwortlichkeit ist lückenlos festzulegen, damit betroffene Personen ihre Datenschutzrechte ausüben können.“

Dieser Empfehlung ist im Grundsatz zuzustimmen. Konkrete Anforderungen an die Gesetzgeber werden allerdings erst im weiteren Text der Petersberger Erklärung formuliert. So sollen technische Methoden oder Maßnahmen sicherstellen, dass die Re-Identifizierung der betroffenen Person trotz einer Verkettung ausgeschlossen ist, wenn der Verkettung nicht per Einwilligung aktiv zugestimmt wurde. Allerdings wird ein absoluter Ausschluss einer Re-Identifizierung, wie hier formuliert, in den allermeisten Anwendungsfällen nicht möglich sein oder mit einer Vergröberung der Daten einhergehen, die eine wissenschaftlich sinnvolle Nutzung ausschließt. Nach Ansicht der TMF schießt diese Forderung über das Ziel eines realistischen Schutzes der Daten bei Verkettung hinaus.

Viele hochrelevante medizinische Informationen sind heute sehr verteilt in Registern, Kohorten, Studiendatenbanken, Krankenhausinformationssystemen, Registern und Datenbanken in öffentlicher Hand sowie bei Krankenkassen und weiteren Gesundheitsdiensteanbietern gespeichert. Die Verknüpfbarkeit solcher Daten ist daher ein dringendes Anliegen der Forschungs-Community. Vor allem aber ist die Verknüpfung (Data Linkage) eine notwendige Konsequenz der politisch gewünschten dezentralen bzw. dezentral-föderierten Forschungsdatenarchitektur im deutschen Gesundheitswesen, wie sie z. B. im Koalitionsvertrag der aktuellen Bundesregierung vorgesehen ist. Die Petersberger Erklärung enthält keine Vorschläge, wie Datenschutz und Datensicherheit bei einer derartigen Ausgestaltung der Gesundheitsdatenarchitektur bestmöglich erreicht werden könnten. Auch hier fokussiert die Petersberger Erklärung nach Ansicht der TMF zu einseitig auf Risiken. Eine angemessene Darstellung und Betonung der Chancen und Notwendigkeiten von Datenverknüpfungen fehlt. Diese ist aber Voraussetzung für eine sinnvolle Abwägung zwischen Chancen und Risiken.

Registerverzeichnis

Empfehlung Nr. 5: „Mit einem zentralen Registerverzeichnis sollten die Nutzung der in den verschiedenen Registern gespeicherten Daten für alle Beteiligten transparent gestaltet und mehrfache Datensammlungen vermieden werden. Dabei sind Qualitätsanforderungen verbindlich vorzugeben, zu prüfen und auszuweisen. Zudem sollte eine zentrale koordinierende Stelle mit Lotsenfunktion geschaffen werden, die Datennutzungsanträge veröffentlicht und die Nutzenden zur Publizierung der Forschungsergebnisse in anonymer Form verpflichtet. Dies schafft sowohl Wissen im Allgemeininteresse als auch Schutz für die betroffenen Personen.“

Diese Empfehlung greift im Wesentlichen Ergebnisse und Handlungsempfehlungen eines im Auftrag des Bundesministeriums für Gesundheit (BMG) von TMF und BQS erstellten Gutachtens auf [13]. Die TMF unterstützt diese Empfehlung.

Im weiteren Text der Petersberger Erklärung wird darauf eingegangen, dass eine zentrale, koordinierende Stelle, so sie in der Gesetzgebung vorgesehen wird, an einer öffentlichen Einrichtung angesiedelt werden sollte, um eine zuverlässige Durchführung aller Aufgaben zu gewährleisten. Aus Sicht der TMF ist hier insbesondere eine transparente Trennung von hoheitlicher Aufsicht und Betrieb einer solchen Zentralstelle für medizinische Register (ZMR) [13] sicherzustellen. Zudem ist darauf zu achten, dass eine Reihe wichtiger Aufgaben einer solchen ZMR eine möglichst wissenschaftsnahe Aufstellung und eine starke Begleitung der betreibenden Stelle durch die Wissenschaft erfordern. Insofern könnte auch eine in diesem Umfeld ausgewiesene Organisation durch eine öffentliche Einrichtung mit dem Betrieb beliehen werden [13]. Aus Sicht der TMF sollte eine gesetzliche Regelung nicht zu konkret formuliert werden, damit nicht vorschnell sinnvolle Lösungen hinsichtlich Aufsicht und Betrieb einer solchen Stelle ausgeschlossen werden.

Forschungsgeheimnis

Empfehlung Nr. 6: „Durch eine gesetzliche Regelung des Forschungsgeheimnisses ist der Umgang mit personenbezogenen medizinischen Forschungsdaten für wissenschaftlich Forschende auch in strafrechtlicher und prozessualer Sicht klarzustellen und damit ein wichtiger Beitrag zum Schutz dieser Daten zu leisten.“

Diese Empfehlung entspricht einer schon seit sehr langer Zeit seitens der Datenschutzbehörden formulierten Forderung. So findet sich diese Forderung bspw. schon in einem Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz von 1995 [14]. In den weiteren Ausführungen zu diesem Thema erinnert die Petersberger Erklärung an eine Entschließung der DSK von 2004, in der auch schon ein gesetzlich geregeltes Forschungsgeheimnis gefordert wurde [15]. Auch andere Stakeholder wie beispielsweise der Ethikrat haben sich dieser Forderung über die Zeit angeschlossen [16]. Und auch in einem 2022 für die TMF erstellten Gutachten wiederholt der frühere Landesdatenschutzbeauftragte aus Schleswig-Holstein, Dr. Thilo Weichert, diese Forderung [3].

Die TMF schließt sich der vielstimmigen Forderung nach einem gesetzlich geregelten Forschungsgeheimnis grundsätzlich an. Gleichzeitig weist die TMF aber darauf hin, dass nach wie vor keine absehbare gesetzliche Umsetzung einer solchen Forderung erkennbar ist. Insofern rät die TMF davon ab, das Forschungsgeheimnis zum zentralen Baustein einer notwendigen Sicherheitsarchitektur für die Verarbeitung von Gesundheitsdaten in der Forschung zu machen. Aus Sicht der TMF werden realistische Sicherheitsarchitekturen in der medizinischen Forschung auf längere Zeit auch weiterhin auf ein gesetzlich geregeltes Forschungsgeheimnisses verzichten müssen. Sie dürfen deshalb nicht als unzureichend qualifiziert werden.

Überwachung und Aufsicht

Empfehlung Nr. 7: „Die Datenschutzbehörden müssen die Einhaltung datenschutzrechtlicher Anforderungen umfassend und effektiv überwachen und durchsetzen können. Hierfür ist auch erforderlich, gegenüber öffentlichen Stellen den sofortigen Vollzug von Maßnahmen anordnen zu können. Zur Erleichterung der Kontrolle sollten standardisierte Anforderungen u. a. an die Dokumentation der Datenverarbeitungsprozesse festgelegt werden.“

Die Notwendigkeit der hier formulierten Forderungen kann seitens der TMF mangels Binnensicht einer Aufsichtsbehörde nicht bewertet werden.

Was in der Petersberger Erklärung fehlt

Regelungen und Standards zur Einwilligung

In der medizinischen Forschung spielt die informierte Einwilligung immer noch eine herausragende Rolle. Insofern kritisiert die TMF, dass dieser in der Petersberger Erklärung kaum Raum gegeben wird. Rund um die informierte Einwilligung gibt es eine Reihe von Fragen und Herausforderungen, die es wert gewesen wären, behandelt zu werden, weil sie die tägliche Praxis von Forschern erheblich betreffen und nicht davon auszugehen ist, dass das Einwilligungserfordernis für alle relevanten Datennutzungen in der medizinischen Forschung entfallen wird.

Zunächst gibt es auch in den landesrechtlichen Regelungen – zu denen sowohl die Landesdatenschutzgesetze als auch die Landeskrankenhausgesetze gehören – immer noch Vorgaben zur Umsetzung oder Notwendigkeit einer informierten Einwilligung, die über die Anforderungen der DSGVO hinausgehen. So gibt es beispielsweise immer noch einzelne Regelungen, die eine Schriftform in bestimmten Zusammenhängen verlangen, was eine effektive Digitalisierung von Einwilligungsprozessen weiterhin stark einschränkt. Insofern wäre auch hier eine Forderung an die Gesetzgeber dringend geboten, solche unnötigen Abweichungen bzw. Verschärfungen der Vorgaben der DSGVO aus den Gesetzen endlich vollständig herauszunehmen.

Auch in Bezug auf die Interpretation der Vorgaben der DSGVO zur informierten Einwilligung bestehen Unsicherheiten, die sich z. B. in unterschiedlichen Anforderungen an Einwilligungserklärungen durch Ethikkommissionen oder Datenschutzbeauftragte ausdrücken. Ein prominentes Beispiel ist hier die Umsetzung eines Broad Consent unter Zuhilfenahme des Erwägungsgrunds Nr. 33 DSGVO bei der Auslegung der Begriffe „festgelegte Zwecke“ oder „bestimmter Fall“. Zwar hat die DSK mit ihrer Auslegungshilfe zu Erwägungsgrund Nr. 33 DSGVO [17] ein einheitliches Verständnis teilweise unterstützt. Darauf aufbauend konnte die vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Medizininformatik-Initiative (MII) eine Mustereinwilligung für die Universitätsmedizin in Deutschland mit der DSK verhandeln und abschließend sogar eine einstimmige Zustimmung der DSK erreichen [18].³ Aber auch diese mühselig erreichten Fortschritte verhindern leider nicht, dass in der juristischen Literatur immer noch die Zulässigkeit eines Broad Consent prinzipiell angezweifelt und so für erhebliche Rechtsunsicherheit gesorgt wird [19–21]. Insofern wäre eine Untermauerung des bisher Erreichten zum Broad Consent, auch im Sinne einer Würdigung der geleisteten Arbeiten auf allen Seiten, im Rahmen der Petersberger Erklärung mehr als wünschenswert gewesen und die TMF bedauert ausdrücklich, dass dies nicht geschehen ist.

Einheitliche Bewertung bestehender Rechtsgrundlagen zur einwilligungsfreien Forschung

Schon heute gibt es eine Vielzahl unterschiedlicher Erlaubnisnormen zur einwilligungsfreien Forschung mit Gesundheitsdaten in Deutschland. Diese befinden sich sowohl im Bundesdatenschutzgesetz (§ 27) als auch in vielen Landesdatenschutzgesetzen (z. B. § 13 Niedersächsisches Datenschutzgesetz oder § 13 Landesdatenschutzgesetz Baden-Württemberg). Für die Nachnutzung von klinischen Behandlungsdaten sind zudem Regelungen in vielen Ländern im jeweiligen Landeskrankenhausrecht enthalten (z. B. § 27 Abs. 4 Bayerisches Krankenhausgesetz oder § 25 Abs. 1 Berliner Landeskrankenhausgesetz). Im Sinne einer gewünschten Vereinheitlichung der Rahmenbedingungen für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung hat der Gesetzgeber 2020 sogar eine breite Anwendbarkeit der einheitlichen Regelung des § 27 BDSG samt federführender Datenschutzaufsicht in § 287a SGB V verankert [22]. Weder zur einheitlichen Anwendbarkeit des § 27 BDSG nach § 287a SGB V und deren Grenzen noch zu einheitlichen Abwägungskriterien der sonstigen Forschungsklauseln finden sich Vorschläge in der Petersberger Erklärung. Zu Recht weist die Erklärung zwar darauf hin, dass der Gesetzgeber die komplexen Fragestellungen in Bezug auf den notwendigen Ausgleich betroffener Grundrechte nicht vollständig auf die betroffenen Personen und die Forschenden verlagern darf. Aus Sicht der TMF übersieht diese Formulierung der Erklärung aber vollständig den Auftrag der Aufsichtsbehörden, eine einheitliche Rechtsanwendung zu unterstützen (vergl. Art. 51 Abs. 2).

Auch wenn für die Forschung in einigen, festlegbaren Bereichen konkretere gesetzliche Erlaubnisnormen im Sinne der Forderungen der Petersberger Erklärung möglich und wünschenswert sind, wird man auf offene Forschungsklauseln, die eine – wenn auch schwierige – Güterabwägung im Einzelfall ermöglichen, nicht ganz verzichten können. Es ist einfach zu unabsehbar in der Forschung, in welchen Fällen man auf solche Regelungen wird zurückgreifen müssen. Auch insoweit wären einerseits Aussagen zu den Kriterien einer solchen Güterabwägung und zur Anwendbarkeit bestehender Forschungsklauseln in der Petersberger Erklärung wünschenswert gewesen. Andererseits fehlen in den Empfehlungen an den Gesetzgeber Hinweise darauf, wie man künftig Forschungsklauseln so formuliert und verankert, dass sie bundeseinheitlich und verlässlich anwendbar werden (s. o. den Abschnitt zu „Rechtsgrundlagen“) und auch die notwendige Rechtssicherheit bieten, sodass sich für Datenverarbeitung Verantwortliche in deutschen Einrichtungen der Patientenversorgung und medizinischen Forschung getrauen, diese in Anspruch zu nehmen. Das Versagen des gesetzlichen Instruments Forschungsklausel insbesondere in der COVID19-Pandemie bedarf dringend der datenschutzrechtlichen und politischen Aufarbeitung. Ziel muss sein, hemmende Unsicherheiten zu reduzieren und den erlaubten Rahmen für die Forschung klarer zu definieren und gesetzlich zu schützen.

Eine weitere Lücke in der Petersberger Erklärung betrifft den Umstand, dass das Datenschutzrecht in Deutschland die DSGVO in vielen Bereichen ergänzt und modifiziert. Die einschlägigen Regelungen auf Bundes- und Länderebene sind dabei so komplex, dass in bestimmten Fällen nicht klar ist, welches Recht anzuwenden ist. Dieser Umstand ergibt sich daraus, dass das nationale Datenschutzrecht so angelegt ist, dass eine Wettbewerbsverzerrung aufgrund unterschiedlicher datenschutzrechtlicher Regelungen weitgehend ausgeschlossen werden soll. Daher gilt für öffentliche Einrichtungen der Länder zwar im Regelfall das entsprechende Landesdatenschutzgesetz und nicht das BDSG, wenn diese aber im Wettbewerb mit nicht-öffentlichen Einrichtungen oder Institutionen stehen, gilt von dieser Regel eine Ausnahme und bestimmte Bereiche des BDSG werden anwendbar (vergl. § 2 Abs. 5 BDSG und auf Landesebene z. B. § 2 Abs. 4 u. 5 LDSG Schleswig-Holstein). Graf von Kielmansegg geht in seiner Analyse der Anwendbarkeit von § 287a SGB V ausführlich auf diese Wettbewerbsregeln ein und stellt dar, dass eine Wettbewerbssituation für Kliniken in öffentlicher Trägerschaft der Länder für den Bereich der Versorgung von Patienten mehrheitlich angenommen wird. Weit unklarer ist die Situation hingegen für den Bereich der Forschung [22, S. 156ff]. Auch zu dieser Frage der Anwendung des richtigen Rechtsrahmens in der medizinischen Forschung, die immerhin für alle öffentlich getragenen Krankenhäuser in Deutschland (bis auf die der Bundeswehr) und damit auch für alle Universitätsklinika (bis auf Gießen und Marburg) von erheblicher Relevanz ist, findet sich in der Petersberger Erklärung kein einziger Hinweis.

Einheitliches Verständnis relevanter Begriffe

Dass die Behörden die Bedeutung der Pseudonymisierung und Anonymisierung im Kontext der medizinischen Forschung hervorheben ist zu begrüßen, da ja tatsächlich viele Forschungsprojekte auf direkte Identifikatoren in den Daten verzichten können.

Auf Unsicherheiten in Bezug auf eine ausreichende Anonymität medizinischer Daten ist im Abschnitt zu den geeigneten Garantien weiter oben schon eingegangen worden. Aber auch zum Begriff der Pseudonymisierung aus der DSGVO gibt es leider kein einheitliches Verständnis seitens der Datenschutzbehörden, was die Forschung in Deutschland mit zusätzlicher Rechtsunsicherheit belastet. Hintergrund ist eine problematische und sehr missverständliche Begriffsbestimmung der Pseudonymisierung in Art. 4 Nr. 5 DSGVO, die so verstanden werden kann, dass der von den direkt identifizierenden Daten abgetrennte Teil mit den pseudonymen Nutzdaten so gut wie anonym sein müsste und nicht mehr einer spezifischen Person zugeordnet werden können dürfte. Entsprechend eines solchen allein am Wortlaut der Definition orientierten Verständnisses seitens einiger weniger Behördenvertreter wurde der MII in den Verhandlungen zu einem einheitlichen Einwilligungstext für die Nachnutzung von Behandlungsdaten aus der Universitätsmedizin empfohlen, nicht mehr von einer pseudonymen Lagerung von Bioproben zu sprechen, da der genetische Code in den Proben ja in bestimmten Fällen auch eine Re-Identifizierung ohne die in einer Vertrauensstelle gespeicherten identifizierenden Daten ermöglicht. Da dieses Argument aber für sehr viele vieldimensionale Daten, wie sie die medizinische Forschung heute typischerweise benötigt, gilt, wurde entschieden, in dem einheitlichen Einwilligungstext nicht mehr von pseudonymer, sondern von einer codierten Lagerung und Speicherung zu sprechen. Dies führt leider zu dem Ergebnis, dass Patienten jetzt in Einwilligungserklärungen zur medizinischen Forschung in Deutschland unterschiedliche Begriffe lesen und verstehen müssen, die alle dasselbe meinen. Die vom BfDI beratene NAKO Gesundheitsstudie spricht in ihren Einwilligungserklärungen, die über 204.000 Personen deutschlandweit unterschrieben haben, von einer pseudonymen Lagerung von Bioproben.⁴ Auch die Einwilligungs-Mustertexte des Arbeitskreises der medizinischen Ethikkommissionen in Deutschland (AK EK) für Biobanken sprechen weiterhin von Pseudonymisierung im Zusammenhang mit der Lagerung der Proben für die Forschung.⁵

Die breite und einheitliche Verwendung des Begriffs der Pseudonymisierung in Einwilligungstexten für die medizinische Forschung geht einerseits auf die Begriffsdefinition im alten und bis Mai 2018 anwendbaren Bundesdatenschutzgesetz (§ 3 Abs. 6a) und andererseits auf den insbesondere von der TMF mit den Datenschutzbehörden seit 2001 geführten Dialog und die daraus hervorgegangenen Empfehlungen und generischen Konzepte zurück [7; 8; 23]. Und nicht vergessen werden sollte, dass in dem weitaus überwiegenden Teil aller Datenschutzkonzepte größerer Forschungseinrichtungen und Biobanken nach wie vor von einer Pseudonymisierung umfangreicher medizinischer Daten und Proben ausgegangen wird.

Die kritische Frage ist somit, ob sich die Bedeutung des Begriffs der Pseudonymisierung in der DSGVO gegenüber dem bisherigen und auf das alte Bundesdatenschutzgesetz zurückgehenden Verständnis geändert hat. Wie Roßnagel sehr eindrücklich analysiert und dargelegt hat [11], ist das nicht der Fall. Tatsächlich wird der Begriff der Pseudonymisierung in der DSGVO an vielen Stellen und in unterschiedlichen Kontexten verwendet. Ein umfassendes Verständnis des Begriffs ist daher nur möglich, wenn man diese verschiedenen Kontexte in einer Gesamtschau berücksichtigt und sich nicht nur auf die unzureichende Definition in Art. 4 Nr. 5 DSGVO beschränkt. Dann ergibt sich sehr deutlich, dass pseudonyme Nutzdaten tatsächlich in bestimmten Fällen in der Forschungspraxis so gut wie anonym sein können und nach den vom EuGH aufgestellten Kriterien für eine ausreichend sichere Trennung der Zuordnungsmöglichkeit [9] ggf. auch als anonym angesehen werden können. In der medizinischen Forschung ist aber sehr viel häufiger der Fall anzutreffen, dass die Nutzdaten und Proben sehr wohl noch Re-Identifizierungspotential besitzen, die Pseudonymisierung aber trotzdem eine sinnvolle, datenminimierende und die Wahrscheinlichkeit einer Re-Identifizierung drastisch senkende Maßnahme darstellt. In letzterem Fall ist trotz Pseudonymisierung von einer Personenbeziehbarkeit der Nutzdaten und Proben auszugehen und entsprechend das in der DSGVO vorgeschriebene Schutzprogramm anzuwenden. Gemäß der Analyse von Roßnagel unterfallen beide Arten pseudonymer Daten dem Pseudonymisierungsbegriff der DSGVO [11, S. 174ff].

Aus Sicht der TMF wäre es für die medizinische Forschung in Deutschland außerordentlich hilfreich, wenn erkennbar würde, dass sich die Behörden mit dem Bedeutungsgehalt der Begriffe „pseudonym“ und „anonym“ auf der Basis der dazu vorhandenen Rechtsprechung und Literatur ausführlich auseinandersetzen und im Sinne der Rechtsklarheit zu einem einheitlichen Verständnis kommen würden. Die Gelegenheit, genau dies mit der Petersberger Erklärung zu dokumentieren, wurde leider nicht genutzt.

Fußnoten

¹ siehe https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf

² siehe https://www.datenschutzkonferenz-online.de/media/en/DSK_6_Entschliessung_zur_wissenschaftlichen_Forschung_final.pdf 

³ siehe https://www.datenschutzkonferenz-online.de/medi/pm/20200427_Einwilligungsdokumente_der_Medizininformatik-Initiative.pdf 

⁴ siehe https://nako.de/wp-content/uploads/2015/04/ORG02-SD-A7_EWE_2.2.2_Blanko_Level-1-Schulung.pdf 

⁵ siehe https://www.akek.de/wp-content/uploads/Mustertext-Biobanken-3.2-2022.docx 

Literatur

1. Schneider, U.K., Sekundärnutzung klinischer Daten – Rechtliche Rahmenbedingungen.
   2015, Medizinisch Wissenschaftliche Verlagsgesellschaft, Berlin, https://www.mwv-open.de/site/books/10.32745/9783954663224/ (Abruf: 2022-06-24).
2. Bernhardt, U., Ruhmann, I., Weichert, T. Die Forschungsklauseln im neuen Datenschutzrecht. Weshalb wir in Deutschland einheitliche Regelungen benötigen. 2018. Netzwerk Datenschutzexpertise, Stand 18.10.2018, https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2018_forschungklauseln_181018.pdf (Abruf: 2019-02-20).
3. Weichert, T., Datenschutzrechtliche Rahmenbedingungen medizinischer Forschung. Vorgaben der EU-Datenschutz-Grundverordnung und national geltender Gesetze. 2022, Medizinisch Wissenschaftliche Verlagsgesellschaft, Berlin, https://www.mwv-open.de/site/books/m/10.32745/9783954667000/ (Abruf: 2022-06-24).
4. Simitis, S., Hornung, G., Spiecker gen. Döhmann, I., Hrsg. Datenschutzrecht. DSGVO mit BDSG. Großkommentar. 1. Aufl. 2019, Nomos, Baden-Baden.
5. Köngeter, A., Schickhardt, C., Jungkunz, M., Bergbold, S., Mehlis, K., Winkler, E.C., Patients' Willingness to Provide Their Clinical Data for Research Purposes and Acceptance of Different Consent Models: Findings From a Representative Survey of Patients With Cancer. J Med Internet Res, 2022. 24(8): S. e37665. 
6. Reng, C.-M., Pommerening, K., Specker, C., Debold, P., Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin: Im Auftrag des Koordinierungsrates der Telematikplattform für Medizinische Forschungsnetze. 1 Aufl. 2006, Medizinisch Wissenschaftliche Verlagsgesellschaft, Berlin.
7. Becker, R., Ihle, P., Pommerening, K., Harnischmacher, U. Ein generisches Datenschutzkonzept für Biomaterialbanken (Version 1.0). 2006. TMF, https://www.tmf-ev.de/unsere-arbeit/produkte/biobanken-datenschutzkonzept (Abruf: 2019-01-24).
8. Pommerening, K., Drepper, J., Helbing, K., Ganslandt, T., Leitfaden zum Datenschutz in medizinischen Forschungsprojekten – Generische Lösungen der TMF 2.0. 2014, Medizinisch Wissenschaftliche Verlagsgesellschaft, Berlin, https://www.mwv-open.de/site/books/10.32745/9783954662951/ (Abruf: 2022-06-24).
9. EuGH Urteil des Gerichtshofs (Zweite Kammer) vom 19. Oktober 2016. Patrick Breyer gegen Bundesrepublik Deutschland. Aktenzeichen C-582/14. 2016. Europäischer Gerichtshof, http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=DE (Abruf: 2020-07-10).
10. EuGH Schlussanträge des Generalanwalts Manuel Compos Sánchez-Bordona in der Rechtssache C‑582/14, Patrick Breyer gegen Bundesrepublik Deutschland. 2016. Europäischer Gerichtshof, https://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=7962173 (Abruf: 2020-10-12).
11. Dierks, C., Roßnagel, A., Sekundärnutzung von Sozial- und Gesundheitsdaten – Rechtliche Rahmenbedingungen. 2019, Medizinisch Wissenschaftliche Verlagsgesellschaft, Berlin, https://mwv-open.de/site/books/10.32745/9783954665181/ (Abruf: 2022-06-24).
12. BfDI Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche. 2020. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 29.06.2020, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Konsultationsverfahren/1_Anonymisierung/Positionspapier-Anonymisierung.pdf (Abruf: 2021-06-30).
13. Niemeyer, A., Semler, S.C., Veit, C. et al. Gutachten zur Weiterentwicklung medizinischer Register zur Verbesserung der Dateneinspeisung und -anschlussfähigkeit (erstellt für das Bundesministerium für Gesundheit). 2021. TMF & BQS, https://www.bundesgesundheitsministerium.de/service/publikationen/details/gutachten-zur-weiterentwicklung-medizinischer-register-zur-verbesserung-der-dateneinspeisung-und-anschlussfaehigkeit-1.html (Abruf: 2021-12-07).
14. LfD Bayern 16. Tätigkeitsbericht. 1995. Bayerischer Landesbeauftragter für den Datenschutz, http://www.datenschutz-bayern.de/tbs/tb16/tb16.pdf (Abruf: 2022-01-04).
15. DSK Entschließung der 67. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 25./26. März in Saarbrücken: Einführung eines Forschungsgeheimnisses für medizinische Daten. 2004. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, https://lfd.niedersachsen.de/download/32142/Einfuehrung_eines_Forschungsgeheimnisses_fuer_medizinische_Daten.pdf (Abruf: 2022-12-08).
16. Ethikrat Humanbiobanken für die Forschung. 2010. Deutscher Ethikrat, https://www.ethikrat.org/fileadmin/Publikationen/Stellungnahmen/deutsch/DER_StnBiob_Online.pdf (Abruf: 2019-01-25).
17. DSK Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO. 2019. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK), 3.4.2019 https://www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (Abruf: 2022-06-24).
18. Zenker, S., Strech, D., Ihrig, K. et al., Data protection-compliant broad consent for secondary use of health care data and human biosamples for (bio)medical research: Towards a new German national standard. J Biomed Inform, 2022. 131: S. 104096.
19. Spitz, M., Cornelius, K., Einwilligung und gesetzliche Forschungsklausel als Rechtsgrundlagen für die Sekundärnutzung klinischer Daten zu Forschungszwecken. MedR, 2022. 2022(40): S. 191–198.
20. Fröhlich, W., Spiecker gen. Döhmann, I., Die breite Einwilligung (Broad Consent) in die Datenverarbeitung zu medizinischen Forschungszwecken – der aktuelle Irrweg der MII. GesR, 2022. 2022(6): S. 346–353.
21. Cepic, M., Broad Consent: Die erweiterte Einwilligung in der Forschung. ZD-Aktuell, 2021. 2021(10).
22. Graf von Kielmansegg, S., Gesetzgebung im Windschatten der Pandemie: § 287a SGB V und der Datenschutz in der Gesundheitsforschung. VerwArch, 2021. 2021(2): S. 133–168.
23. Harnischmacher, U., Ihle, P., Berger, B., Goebel, J.W., Scheller, J., Checkliste und Leitfaden zur Patienteneinwilligung. 1 Aufl. 2006, Medizinisch Wissenschaftliche Verlagsgesellschaft, Berlin, https://www.tmf-ev.de/unsere-arbeit/produkte/checkliste-und-leitfaden-zur-patienteneinwilligung.

Abkürzungsverzeichnis

AK EK – Arbeitskreis Medizinischer Ethik-Kommissionen in der Bundesrepublik Deutschland e.V.
BDSG – Bundesdatenschutzgesetz
BfDI – Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
BMBF – Bundesministerium für Bildung und Forschung
BMG – Bundesministerium für Gesundheit
BQS – BQS Institut für Qualität & Patientensicherheit GmbH
DER – Deutscher Ethikrat
DS – Datenschutz
DSGVO – Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (Verordnung 2016/679)
DS-GVO – s. DSGVO
DSK – Datenschutzkonferenz – Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
EG – Europäische Gemeinschaft
EK – Ethikkommission(en)
EuGH – Gerichtshof der Europäischen Gemeinschaften
GesR – Gesundheitsrecht, Fachzeitschrift für Arztrecht, Krankenhausrecht, Apotheken- und Arzneimittelrecht
LDSG – Landesdatenschutzgesetz
LfD – Landesbeauftragte(r) für den Datenschutz
MedR – Medizinrecht; Zeitschrift aus dem Springer-Verlag
MII – Medizininformatik-Initiative des BMBF
NAKO – NAKO Gesundheitsstudie
SGB – Sozialgesetzbuch
TK – Telekommunikation
TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V.
VerwArch – Verwaltungsarchiv, Zeitschrift für Verwaltungslehre, Verwaltungsrecht und Verwaltungspolitik
ZD – Zeitschrift für Datenschutz
ZMR – (vorgeschlagene) Zentralstelle für Medizinische Register