Update unseres Infobriefs zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Korrespondenzadresse:

TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V.
Charlottenstraße 42 | 10117 Berlin
Tel.: +49 (0)30 2200247-0 | Fax: +49 (0)30 2200247-99
E-Mail: info@tmf-ev.de

Sehr geehrte Damen und Herren,

das Europäische Parlament hat am gestrigen Tage die seit über vier Jahren verhandelte EU-Daten­schutz­grund­verordnung (EU-DSGVO) in der Ratsfassung vom 8.4.2016 abschließend angenommen.¹ Die EU-Verordnung wird die derzeit gültige europäische Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 ersetzen. Sie wird 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten und zwei Jahre nach der Veröffentlichung wirksam sein.

Wir möchten Sie im Anschluss an unseren Infobrief vom 23.12.2015 zum verabschiedeten finalen Inhalt der verabschiedeten EU-DSGVO informieren: Verglichen mit dem Verordnungstext in der Fassung vom 15.12.2015 (Trilogergebnis) enthält die abgestimmte Fassung keine inhaltlichen Änderungen im Hinblick auf die relevanten Vorschriften für die medizinische Forschung. Neben sprachlichen Überarbeitungen und der offiziellen Übersetzung ins Deutsche sind die Artikel und die Erwägungsgründe neu durchnummeriert worden. Nachfolgend ein kurzer Vergleich der bisherigen und der aktuellen Nummerierung jener Artikel und Erwägungsgründe, die für die medizinischen Forschung von besonderem Belang sind und auf die wir bereits in der letzten Kurzstellungnahme² Bezug genommen haben:

Zusammenfassend lässt sich feststellen, dass viele Grundsätze in der EU-DSGVO Ähnlichkeiten zum bisherigen Rechtsrahmen im Datenschutzrecht aufweisen. Insofern wird auch die neue EU-DSGVO einen Rechtsrahmen aufspannen, der grundsätzlich Forschung unter den bekannten Voraussetzungen ermöglicht.

Zu einzelnen ausgewählten Punkten:

• Die EU-DSGVO knüpft an die bisherige Rechtslage an, wonach nur personenbezogene Daten durch das Datenschutzrecht geschützt werden.
   
• Die Datenerhebung oder Datennutzung setzt nach der EU-DSGVO eine wirksame Einwilligung oder eine spezifische Rechtsgrundlage voraus (Art. 6). Für die Verarbeitung von genetischen, biometrischen und Gesundheitsdaten enthält die EU-DSGVO eine eigene Regelung (Art. 9), die es den Mitgliedsstaaten und dem Unionsrecht erlaubt, hinsichtlich bestimmter Bereiche abweichende Vorschriften zu erlassen (Art. 9 Abs. 2), solange das Schutzniveau der Verordnung nicht unterlaufen wird. Von Interesse sind die Öffnungsklauseln in Bezug auf die Bereiche der öffentlichen Gesundheit oder der Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten (Art. 9 Abs. 2 i) und für im öffentlichen Interesse liegende wissenschaftliche Forschungszwecke nach Art. 89 Absatz 1 (Art. 9 Abs. 2 j).
   
• Die Mitgliedsstaaten sind berechtigt, strengere Regelungen als die in der DS-Grundverordnung enthaltenen für die Verarbeitung genetischer, biometrischer und Gesundheitsdaten im nationalen Recht einzuführen oder aufrechtzuerhalten (Art. 9 Abs. 4). Diese Abweichungen könnten dazu führen, dass die bisherige Fragmentierung im deutschen Datenschutzrecht (z.B. Landeskrankenhausgesetze, die für jedes Bundesland – wenn vorhanden – verschieden sind) weiterhin bestehen bleibt. Damit hätte die DSGVO nur bedingte Harmonisierungswirkung.
   
• Das bisher in Deutschland praktizierte Vorgehen, wonach für die Datenverarbeitung in der wissenschaftlichen Forschung unter bestimmten Voraussetzungen eine Einwilligung auf Basis einer eher breiten Zweckbeschreibung zulässig ist, wird durch die EU-DSGVO gestärkt. Nach dem Erwägungsgrund 33 kann der Patient oder Proband die Einwilligung „für bestimme Forschungsbereiche oder Teile von Forschungsprojekten“ erteilen, wenn die Einwilligung „unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht“. Diese Auslegungshilfe ist insbesondere für Forschungsprojekte der translationalen Medizin, in Biobanken und bei genetischen Datenbanken von Interesse.
   
• Nach Art. 89 Abs. 1 EU-DSGVO unterliegt auch die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken den Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der Verordnung. Mit diesen Garantien ist sicherzustellen, dass mit Hilfe technischer und organisatorischer Maßnahmen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Pseudonymisierung wird explizit als eine mögliche Maßnahme der Datenminimierung genannt, wenn der Forschungszweck sie zulässt. Art. 89 Abs. 2 erlaubt im Unionsrecht oder dem Recht der Mitgliedsstaaten Abweichungen von bestimmten Verfahrensvorschriften (Art. 15, 16, 18, 21)³ in Bezug auf die Durchführung von wissenschaftlichen Forschungsvorhaben, wenn die Einhaltung der Vorschriften die Zweckerreichung des Vorhabens unmöglich machen oder ernsthaft beeinträchtigen würde.
   
• Die DSGVO hält am Zweckbindungsgrundsatz fest, wonach für die Datenerhebung und für die Datenverarbeitung jeweils eine entsprechende Zweckbestimmung erforderlich ist (Art. 5 Abs. 1 b). Ausnahmen sollen nur für die Fälle gelten, in denen spätere Verarbeitungszwecke mit den Erhebungszwecken vereinbar sind (Erwägungsgrund 50). Als grundsätzlich vereinbar mit den Erhebungszwecken wird insbesondere die Weiterverarbeitung personenbezogener Daten für die Zwecke der wissenschaftlichen Forschung nach Art. 89 Abs. 1 der EU-DSGVO angesehen (Art. 5 Abs. 1 b).
   
• Im Hinblick auf die „Pseudonymisierung“ von Daten hat die EU-DSGVO die bisherigen Unklarheiten nicht behoben. Nach der Definition in Art. 4 Nr. 5 ist zwar für die Pseudonymisierung entscheidend, „dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“. Damit knüpft die Bewertung der Pseudonymisierung zwar an das Ergebnis des Verfahrens an. Ungeregelt geblieben ist jedoch die Frage, ob pseudonyme Daten immer als personenbezogene Daten zu werten sind, oder ob in bestimmten Fällen bei einem Empfänger auch von einer Anonymität der Daten ausgegangen werden kann. Der EuGH hat über diese Frage des „relativen Personenbezugs“ im Rahmen eines Vorabentscheidungsverfahrens im Hinblick auf die europäische Richtlinie 95/46/EG zu entscheiden.

Eine detailliertere und ausführlichere Analyse der Folgen dieses umfangreichen Gesetzeswerks für die biomedizinische Forschung ist allerdings notwendig und wird entsprechend noch erarbeitet.

Die EU-DSGVO wird aufgrund ihres Charakters als europäische Verordnung voraussichtlich ab Anfang Juni 2018 (2 Jahre nach Veröffentlichung) unmittelbare Rechtswirkung in Deutschland entfalten. Bis dahin hat Deutschland Zeit, die notwendigen Anpassungen des bisher geltenden allgemeinen und spezifischen Datenschutzrechts vorzunehmen. Gerade im Hinblick auf die Datenverarbeitung von Gesundheitsdaten besteht für den deutschen Gesetzgeber die Möglichkeit, in diesem Zuge nationale Vorschriften zu erlassen. Diesen gesetzgeberischen Prozess wird die TMF intensiv beobachten und begleiten, um eine für die vernetzte medizinische Forschung positive weitere Entwicklung im Datenschutzrecht mitzugestalten.

Fußnoten:

¹ Deutsche Fassung: https://eur-lex.europa.eu/legal-content/DE/TXT­/PDF/?uri=CONSIL:ST_5419_2016_REV_1&rid=1 
Englische Fassung: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_REV_1&rid=1 
² siehe https://www.tmf-ev.de/sites/default/files/2023-09/stellungnahme-infobrief-trilog-ergebnis-eu-dsgvo-2015.pdf 

³ Art. 15 Auskunftsrecht der betroffenen Person
Art. 16 Recht auf Berichtigung
Art. 18 Recht auf Einschränkung der Verarbeitung
Art. 21 Widerspruchsrecht