Stellungnahme

Stellungnahme zum Ent­wurf des Euro­päischen Parla­mentes für eine Daten­schutz-Grund­ver­ordnung

Berlin, 29. Juli 2014. Datenschutz-Grundverordnung (DSGVO): Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personen­bezogener Daten und zum freien Datenverkehr.

Ethik & Datenschutz

Downloads

Stellungnahme unter Berücksichtigung des Entwurfs der Europäischen Kommission

erarbeitet durch die TMF – Technologie- und Methoden­plattform für die vernetzte medizinische Forschung e.V.

unter Mitwirkung des Netzwerks der Koordinierungs­zentren für Klinische Studien (KKS-Netzwerk)

unterstützt und mitgetragen von:

  • Deutsche Forschungs­gemeinschaft e.V.
  • MFT Medizinischer Fakultätentag der Bundesrepublik Deutschland e.V.
  • Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V.
  • Deutsche Gesellschaft für Epidemiologie (DGEpi) e.V.
  • Deutsches Netzwerk Versorgungs­forschung (DNVF) e.V.
  • Berufsverband Medizinischer Informatiker (BVMI) e.V.
  • Deutsche Gesellschaft für Innere Medizin (DGIM) e.V.
  • Berufsverband Deutscher Anästhesisten e.V. (BDA)
  • Biobanking and Biomolecular Resource Research Infrastructure of Germany (BBMRI.de)
  • CEDATA-GPGE®(Register Chronisch entzündliche Darmerkrankungen)
  • Deutsches Diabetes-Zentrum
  • Deutsche Gesellschaft für Anästhesiologie & Intensivmedizin (DGAI)
  • Deutsche Gesellschaft für Humangenetik e.V. (gfh)
  • Deutsche Gesellschaft für Pathologie e.V. (DGP)
  • Deutsches Institut für Ernährungsforschung Potsdam- Rehbrücke
  • Deutsche Interdisziplinäre Vereinigung für Intensiv- und Notfallmedizin (DIVI)
  • Deutsche Region der Internationalen Biometrischen Gesellschaft (IBS)
  • Deutsche Vereinte Gesellschaft für Klinische Chemie und Laboratoriums­medizin e.V. (DGKL)
  • Deutsches Krebsforschungszentrum Heidelberg (DKFZ)
  • Deutsches Zentrum für Diabetesforschung e.V. (DZD)
  • Deutsches Zentrum für Herzinsuffizienz (DZHI)
  • Deutsches Zentrum für Herz-Kreislauf-Forschung e.V. (DZHK)
  • Deutsches Zentrum für Infektionsforschung e.V. (DZIF)
  • Deutsches Zentrum für Lungenforschung (DZL) eurIPFreg
  • Forschungszentrum Borstel | Leibniz Zentrum für Medizin und Biowissenschaften
  • Gesellschaft für Pädiatrische Gastroenterologie und Ernährung e.V. (GPGE)
  • Hannover Unified Biobank | Medizinische Hochschule Hannover
  • Institut für Forschung in der Operativen Medizin (IFOM) | Universität Witten/Herdecke
  • Institut für Medizininformatik, Biometrie und Epidemiologie | Friedrich-Alexander Universität Erlangen-Nürnberg
  • Institut für Medizinische Informatik, Biometrie und Epidemiologie | Universitätsklinikum Essen
  • Interdisziplinäre Biomaterial- und Datenbank Würzburg | Universitätsklinikum Würzburg
  • Justus-Liebig-Universität Giessen | Fachbereich Medizin
  • Justus-Liebig-Universität Giessen | Klinik für Anästhesiologie, Operative Intensivmedizin, Schmerztherapie 
  • Justus-Liebig-Universität Giessen | Sektion Medizinische Informatik in Anästhesiologie und Intensivmedizin
  • Kompetenznetz Vorhofflimmern e.V.
  • Kompetenznetz Herzinsuffizienz (KNHI)
  • Leibniz-Institut für Präventionsforschung und Epidemiologie – BIPS
  • PopGen 2.0 Netzwerk | Universitätsklinikum Schleswig-Holstein
  • Research For Rare – Forschung für Seltene Erkrankungen
  • RWTH centralized Biomaterial Bank (RWTH cBMB)
  • Sektion Multiples Myelom 
  • Stiftung Deutsche Anästhesiologie
  • Tuberöse Sklerose Deutschland e.V.
  • Universitätsklinikum Magdeburg | Klinik für Unfallchirurgie
     

Den Bürger schützen – Forschung ermöglichen

Einleitung

Der Schutz des Bürgers, seiner Privatsphäre und seiner persönlichen Daten vor Missbrauch und Offenlegung ist ein gesamtgesellschaftliches Anliegen in Europa. Dies gilt auch für Daten von Patienten und Probanden in der biomedizinischen Forschung. Die Forschung und die Wissenschaftler selbst haben höchstes Interesse an einer durchgängigen Sicherung des Datenschutzes und ethisch vertretbarer Verfahrensweisen – denn jeder bekannt werdende Verstoß und Missbrauch würde das Vertrauen des Bürgers in die Forschung erschüttern und die Bereitschaft zur Teilnahme an medizinischen Forschungsvorhaben empfindlich mindern. Daher ist das Vorhaben der EU-Kommission und des Europäischen Parlaments, die gesetzliche Normierung des Datenschutzes, die technischen und organisatorischen Anforderungen an den Umgang mit personenbezogenen Daten und die Rechtspraxis der Prüfung und Überwachung dieser Vorgaben in Europa verbindlich festzuschreiben und zu harmonisieren, grundsätzlich im Interesse der biomedizinischen Forschung und daher von dieser zu begrüßen. Bei der Ausgestaltung dieses Ziels ist es allerdings gleichermaßen wichtig, dass Regularien und Verfahrensweisen, die dem Schutz des Bürgers dienen, nicht biomedizinische Forschung zu seinem Wohle ungewollt be- oder gar verhindern. Auch wenn es im Einzelnen nicht trivial ist, gilt es vielmehr, gleichzeitig den Bürger zu schützen und biomedizinische Forschung zu ermöglichen.

Vor diesem Hintergrund gibt die vorliegende Stellungnahme medizinischer Wissenschafts­einrichtungen aus Deutschland die Position der nicht-kommerziellen biomedizinischen Forschung zum Gesetzentwurf des Europäischen Parlaments vom 12. März 2014, basierend auf den Empfehlungen und Beschlüssen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) vom Januar 2013 bzw. 21. Oktober 2013, unter zusätzlicher Berücksichtigung des Entwurfs der Europäischen Kommission vom 25. Januar 2012 wieder. Die Stellungnahme fokussiert demgemäß auf die für die biomedizinische Forschung unmittelbar relevanten Teile der geplanten Daten­schutz­gesetz­gebung in der EU. Darüber hinausgehende Belange, wie beispielsweise europarechtliche Betrachtungen und Aspekte der Regelungs­kompetenz der EU-Kommission, die aktuell ebenfalls kritisch diskutiert werden, bleiben außen vor. Die Stellungnahme knüpft an bereits erfolgte Kommentierungen durch medizinische Wissenschafts­organisationen an, insbesondere an die europaweite Initiative des britischen Wellcome Trusts¹, die ebenfalls durch mehrere deutsche Forschungseinrichtungen unterstützt wird und deren Forderungen sich die Unterzeichner der vorliegenden Stellungnahme im Wesentlichen anschließen. Darüber hinaus reflektiert die Stellungnahme im Detail, (a) ob einzelne Abschnitte der geplanten EU-DSGVO in der Gesetzeslage oder in der Rechtspraxis eine Erleichterung oder eine Erschwernis für die biomedizinische Forschung bedeuten werden, (b) ob das Ziel einer grenz­über­greifenden Harmonisierung der Daten­schutz­rechts­praxis in Belangen der biomedizinischen Forschung erreicht wird, sowie (c) ob sich durch die geplanten Regelungen neue Unklarheiten ergeben, die zu Unsicherheiten, Verzögerungen und erhöhten Klärungsaufwänden für Forschungsprojekte führen können. Die an fachlich gebotener Stelle vergleichende Kommentierung der vom Europäischen Parlament verabschiedeten Fassung und des Erstentwurfs der EU-Kommission soll hilfreiche Anregungen für künftige Diskussionen und Beschlüsse einer europäischen Daten­schutz­gesetz­gebung liefern. Die unterzeichnenden Wissen­schafts­organisationen bitten die europäischen Abgeordneten und die deutsche Regierung, im Verlauf des weiteren Verfahrens das Wohl des Bürgers sowohl hinsichtlich des Schutzes seiner persönlichen Daten als auch hinsichtlich seines Anspruchs auf medizinischen Fortschritt zu verfolgen.

 

Zusammenfassende Bewertung

  1. Die angestrebte Vereinheitlichung des Datenschutzes in der EU ist aus Sicht der biomedizinischen Forschung grundsätzlich zu begrüßen. Gerade für vernetzte Projekte auf europäischer Ebene würde dies die Berücksichtigung daten­schutz­rechtlich relevanter Aspekte deutlich vereinfachen und mehr Rechtssicherheit schaffen. Innerhalb Deutschlands wären vom weitgehenden Wegfall der unterschiedlichen Landes­daten­schutz­gesetze mit ihren zum Teil divergenten Detailregelungen ebenfalls forschungsfördernde Effekte zu erwarten.
     
  2. Die Aufnahme eines eigenen Regelungsrahmens für die Datenverarbeitung zu historischen oder statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung in Art. 83 der Verordnung ist zu begrüßen. Allerdings bleibt das Verhältnis dieser Regelungen zu anderen, ebenfalls die Forschung mit Gesundheitsdaten betreffenden Teilen des Entwurfs unklar. Insbesondere die Verweislogik zwischen den für die biomedizinische Forschung entscheidenden Bestimmungen, nämlich Art. 9 und 81 (Gesundheitsdaten) einerseits und Art. 83 (Forschung) anderseits muss leider als misslungen bezeichnet werden. Sie ist selbst für den geschulten Juristen nur schwer, für den Forscher vermutlich gar nicht zu durchschauen. Dies führt zu Rechtsunsicherheiten, die für die Forschung einen erheblichen bürokratischen Aufwand bedeuten und letztlich Risiken nach sich ziehen, die im Einzelfall projektgefährdend sind. Was die Forschung braucht, sind vor allem eindeutige Regeln.
     
  3. An entscheidenden Stellen der Verordnung werden die Grenzen für die Forschung zu eng gezogen. Insbesondere würden die biomedizinische und die Gesundheitsforschung unter Nutzung umfassender Bestandsdaten aus der Patientenversorgung stark eingeschränkt, wenn nicht sogar verhindert. Dies betrifft insbesondere Art. 81 und 83 des Parlamentsentwurfs, die ohne Abwägung der betroffenen Grundrechte (informationelle Selbstbestimmung versus Forschungsfreiheit) eine Forschung ohne Einwilligung selbst innerhalb der jeweils behandelnden Einrichtung ausschließen.
     
  4. Die an sehr restriktive Bedingungen geknüpfte Öffnungsklausel für diesbezügliche nationale Regelungen mag eine Option darstellen, die genannten grundsätzlichen Einschränkungen durch nationale Regelungen für Belange der biomedizinischen Forschung und die Verarbeitung von Patientendaten im Gesundheitswesen spezifisch zu korrigieren, sofern die Öffnungsklausel für alle in Art. 81 und 83 des Parlamentsentwurfs adressierten Bereiche Gültigkeit hätte. Gleichwohl würde dieser Ausweg im Grundsatz die eigentlich intendierte Harmonisierung des Rechtsrahmens – und damit die auch für die Forschung durch internationale Harmonisierung erreichbaren Mehrwerte – unterlaufen.
     
  5. Die im Parlamentsentwurf vorgesehene Erfordernis, dass sich eine Einwilligung in die Verarbeitung personenbezogener Daten „auf einen oder mehrere Zwecke“ beziehen muss, die vorher feststehen, gefährdet das Konzept des so genannten „broad consent“. Die breite Einwilligung hat sich nach umfänglicher und langer öffentlicher Debatte in Deutschland als gangbare Option für die biomedizinische Forschung durchgesetzt. Nur damit lassen sich innovative und zukunftsweisende Forschungsprojekte (z.B. in Biobanken, Registern und Kohorten) rechtskonform bearbeiten, deren Zielsetzung sich oftmals nicht vorhersehen lässt und erst durch weiteren Fortschritt in der Forschung ergibt. Im Gegenzug zur breiten Einwilligung wird der Zugang zu den betreffenden Daten durch strenge Verfahrensvorgaben und die Erfordernis entsprechender Voten einer akkreditierten Ethikkommission – im Sinne kompensierender vertrauensbildender Maßnahmen – abgesichert. Im Ethikvotum sollte regelmäßig eine Abwägung zwischen dem Recht auf informationelle Selbstbestimmung und dem gesellschaftlichen Interesse an der Forschung erfolgen. Dieses bereits in der Forschungswelt etablierte und gesellschaftlich akzeptierte Verfahren ist außerhalb von klinischen Studien, die dem AMG oder MPG unterliegen, ausschließlich berufsrechtlich geregelt. Seine Würdigung in der EU-DSGVO könnte dazu beitragen, eine europaweite und berufs­gruppen­unabhängige vereinheitlichte Regelung zu etablieren, die Patienten- und Probandeninteressen ebenso gerecht wird wie den Erfordernissen der biomedizinischen Forschung. Demgegenüber würde schon die Infragestellung des bisher erreichten Konsenses zum „broad consent“ die medizinische Forschung empfindlich treffen und unter Umständen um Jahre zurückwerfen.
     
  6. Auch eine EU-Verordnung sollte die Möglichkeit zur Abwägung zwischen Forschungsfreiheit und Datenschutzinteresse im Einzelfall vorsehen, so wie es aktuell im BDSG und den Landesdatenschutzgesetzen in Deutschland der Fall ist. Die inländische Praxis zeigt, dass hiervon nur in seltenen Ausnahmefällen Gebrauch gemacht wird und keine nennenswerte Beeinträchtigung der Daten­schutz­interessen zu befürchten ist. Für die Realisierbarkeit einzelner Forschungsprojekte kann die Möglichkeit der Abwägung aber durchaus entscheidend sein.
     
  7. Europaweit sehr unterschiedlich gehandhabt und schon innerhalb Deutschlands umstritten ist das Konzept des sogenannten „relativen Personenbezugs“. Dahinter verbirgt sich die Sicht, dass re-identifizierbare Daten dann für eine empfangende Stelle als vollständig anonym gelten können, wenn diese Stelle über keinerlei Zuordnungs­möglichkeit der Daten zu den betroffenen Personen verfügt. Eine eindeutige Anerkennung dieses Konzepts fehlt in der Verordnung, obwohl damit ein signifikanter Schritt in Richtung einer europaweit einheitlichen Handhabung des Datenschutzes getan wäre.
     
  8. In der öffentlichen Diskussion des Parlamentsentwurfs der EU-DSGVO und der daraus für die medizinische Forschung resultierenden Hürden wurde – nicht zuletzt im Europäischen Parlament selbst – bezüglich der betreffenden Abschnitte eine Rückkehr zum Entwurf der Europäischen Kommission empfohlen.² Auch wenn dies punktuell aus Sicht der biomedizinischen Forschung hilfreich wäre, dürfen Aspekte, die schon im Kommissionsentwurf problematisch waren, nicht übersehen werden.

    So erscheint die in Art. 7 Abs. 4 des Kommissionsentwurfs getroffene pauschale Festlegung problematisch, dass eine Einwilligung keine Rechtsgrundlage für die Datenverarbeitung darstellt, wenn zwischen Betroffenen und für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. Diese Sicht gefährdet die Rechtssicherheit vieler in den Behandlungskontext eingebetteter Forschungsprojekte, z.B. bei klinischen Studien, die gerade in der Onkologie oftmals sehr eng mit der Behandlung verzahnt sind. Die im Parlamentsentwurf vorgesehene Änderung dieses Absatzes ist daher zu begrüßen.
     
  9. Weiterhin enthält der Kommissionsentwurf in Erwägungsgrund 23 nur eine ungenaue Definition von „anonymen Daten“ und in Art. 83 nur eine implizite Bestimmung anonymisierter und pseudonymisierter Daten. Im Parlamentsentwurf wurde in § 4 Abs. 2a eine Definition „pseudonymer Daten“ aufgenommen, was grundsätzlich zu begrüßen ist. Angesichts der großen Bedeutung beider Konzepte für die biomedizinische Forschung erscheint die vorgenommene Ergänzung aber nicht ausreichend.
     
  10. Im Kommissionsentwurf wurden schließlich die Anforderungen an Dokumentation, daten­schutz­rechtliche Vorabkontrolle und Folgenabschätzung für Forschungsprojekte, die auf personenbeziehbaren Gesundheitsdaten basieren, unterschiedslos sehr hoch angesetzt. Damit geht der Entwurf teilweise weit über die bisherigen Regelungen im deutschen Datenschutzrecht hinaus und würde das Gebot der Verhältnismäßigkeit verletzen. Unseres Erachtens sollten für kleine Forschungsprojekte mit kurzer Laufzeit, bei denen die zu verarbeitenden Daten in der behandelnden Klinik verbleiben, andere Maßstäbe hinsichtlich Folgenabschätzung und Vorabkontrolle gelten als für einrichtungs­übergreifende, zweckoffene und langfristig genutzte Daten- oder Biobanken.

    Im Parlamentsentwurf der Verordnung ist zumindest das Verfahren zur Vorabkontrolle wieder weitgehend an deutschen Standards angelehnt, was sehr zu begrüßen ist.

 

Detaillierte Kommentierung der für die biomedizinische Forschung besonders relevanten Abschnitte in den EU-DSGVO-Entwurfsfassungen

Ziel der im Entwurf am 25.1.2012 vorgelegten „Datenschutz–Grundverordnung“ (DSGVO) der EU Kommission ist es, das Datenschutzrecht europaweit zu vereinheitlichen. Der bisher geltende Rechtsrahmen, der aus jeweils nationalen Umsetzungen der Richtlinie 95/46/EG und anderer bereichsspezifischer Richtlinien resultiert, soll durch eine unmittelbar und in allen 28 EU-Staaten gleich geltende Verordnung ersetzt werden. Weitreichende Veränderungen zu dem ersten Entwurf der DSGVO wurden in einem Bericht des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) vorgeschlagen, der von dem zuständigen Berichterstatter Jan Philipp Albrecht, MdEP, im Januar 2013 vorgelegt wurde. Teile dieses umfassenden Änderungsvorschlags wurden in eine im Innenausschuss des Europäischen Parlaments am 21.10.2013 verabschiedete Version übernommen, die als Grundlage für weitere Verhandlungen vom Plenum des Europäischen Parlaments am 12.3.2014 mit überwiegender Mehrheit bestätigt wurde.

Die vorliegende Kommentierung berücksichtigt diese aktuelle Version des Europäischen Parlaments, geht jedoch auch detailliert auf die initiativ von der EU-Kommission im Januar 2012 vorgelegte Fassung des Entwurfs einer DSGVO ein und beleuchtet diese hinsichtlich der für die biomedizinische Forschung relevanten Aspekte. Damit unterscheidet sich diese Stellungnahme von anderen Kommentierungen der letzten Monate, die sich hauptsächlich mit dem LIBE-Report oder der im Oktober vom Innenausschuss verabschiedeten Version kritisch auseinandersetzen und so in der öffentlichen Wahrnehmung dem Eindruck Vorschub leisten, dass eine Umsetzung des ursprünglichen, unveränderten Entwurfs für die Forschung unproblematisch wäre.³ Auch wenn wir die meisten Argumente und Feststellungen der aktuellen kritischen forschungs­politischen Kommentierungen teilen, enthält doch auch der ursprüngliche Entwurf aus Sicht der kommentierenden Institutionen einige in der bisherigen Diskussion noch nicht oder nur randständig beleuchtete Regelungen, die für die praktische Umsetzung von biomedizinischen Forschungsprojekten problematische Auswirkungen haben würden.

 

Zu Art. 4 – Begriffsbestimmungen

Der Kommissionsentwurf der DSGVO enthält im Kontext der allgemeinen Begriffsbestimmungen in Art. 4 keine Definition der Begriffe Anonymisierung und Pseudonymisierung. Es findet sich lediglich eine implizite und ungenaue Definition anonymisierter und pseudonymisierter Daten in Art. 83 Abs. 1. Aufgrund der großen Bedeutsamkeit dieser beiden Konzepte im Bereich der Forschung wird dies als nicht ausreichend angesehen.

Lediglich in Erwägungsgrund 23 ist ausgeführt, dass „die Grundsätze des Datenschutzes […] nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann“. Eine eindeutigere Anordnung, dass das Datenschutzrecht auf Daten, solange sie als anonym gelten können, nicht anwendbar ist, fehlt.

 

Zum Parlamentsentwurf

Die aktuelle Entwurfsfassung des Europäischen Parlaments hat den ursprünglichen Entwurf der Europäischen Kommission dahingehend erweitert, dass im Kontext der allgemeinen Begriffsbestimmungen in Art. 4 Abs. 2a eine Definition des Begriffes Pseudonymisierung vorgenommen wird. Dies ist grundsätzlich zu begrüßen, da die Pseudonymisierung in der Forschung ein weit verbreitetes und bewährtes Mittel zur Umsetzung der Datensparsamkeit ist. Nach wie vor fehlt jedoch eine präzise Definition der Anonymisierung und damit auch eine klare Abgrenzung dieser beiden Konzepte untereinander.

Allerdings wurde in Erwägungsgrund 23 eine umfangreichere Erläuterung des Personenbezugs aufgenommen, in der erstmals auch darauf eingegangen wird, welche Mittel berücksichtigt werden müssen, wenn es um die Beurteilung der Identifizierbarkeit einer Person geht. Demnach sind alle Mittel zu berücksichtigen, die „nach allgemeinem Ermessen aller Voraussicht nach zum unmittelbaren oder mittelbaren Identifizieren oder Herausgreifen der Person genutzt werden“. Hierfür sind alle objektiven Faktoren wie die Kosten und der dafür erforderliche Zeitaufwand heranzuziehen. Es ist nicht nur der Stand der Technik, sondern auch dessen perspektivische Entwicklung zu berücksichtigen. Daten, die nach diesen Kriterien keine Identifikation mehr erlauben, gelten als anonym. Die Grundsätze des Datenschutzes sollen für diese nicht gelten.

Dieser Definition ist grundsätzlich zuzustimmen. Lediglich eine realistische und überprüfbare Abschätzung der technologischen Entwicklung halten wir für kaum möglich. Daher sollte dieses Beurteilungskriterium gestrichen werden. Problematisch ist, dass zentrale und sich gegenseitig in Abgrenzung aufeinander beziehende Begriffsbestimmungen im aktuellen Entwurf an unterschiedlichen Stellen vorgenommen werden. Wir empfehlen, diese Definitionen einheitlich und in klarer Abgrenzung voneinander in Art. 4 mit aufzunehmen, um spätere Rechtsunsicherheiten zu vermeiden. Dies bezieht sich insbesondere auch auf die Abgrenzung zwischen anonymen und pseudonymen Daten.

Aktuell besteht sowohl in der Forschung als auch in anderen Bereichen eine erhebliche Rechtsunsicherheit in Bezug auf die Zulässigkeit des Konzepts eines „relativen Personenbezugs“. Wenn man von einem relativen Personenbezug ausgeht, dann können Daten gleichzeitig für einen Sender personenbezogen und für einen Empfänger nicht personenbezogen sein. Dies wäre dann der Fall, wenn nur der Sender über die Information der Zuordnung der Pseudonyme zu den Identitäten der betroffenen Personen verfügt und diese Zuordnung dem Empfänger nicht zur Verfügung steht. Entscheidend ist nun, ob für die Bestimmbarkeit der betroffenen Person nur das Wissen des Empfängers oder auch weiteres, nicht zugängliches Wissen berücksichtigt wird. In letzterem Fall wäre das gesamte Weltwissen zu berücksichtigen. Dann wäre das Konzept des Personenbezugs enorm und aus unserer Sicht unzulässig ausgeweitet.

In der aktuellen Entwurfsfassung sind für die Bestimmbarkeit einer Person nach Erwägungsgrund 23 alle Mittel zu berücksichtigen, „die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person“ nach allgemeinem Ermessen und aller Voraussicht nach zur Identifizierung genutzt werden könnten. Während die Nennung anderer Personen dafür sprechen könnte, dass von einem absoluten Personenbezug auszugehen ist, könnte die Einschränkung in Bezug auf die zu berücksichtigenden Mittel dahingehend ausgelegt werden, dass ein relativer Personenbezug besteht, wenn ein Empfänger nach objektiven Maßstäben und auch bei Berücksichtigung perspektivisch zu erwartender technischer Fortschritte sich keinen Zugang zum Zuordnungsschlüssel verschaffen können wird.

Das technische Mittel der Pseudonymisierung hat in der Forschung einen zentralen Stellenwert, da für die wissenschaftliche Auswertung von Daten regelmäßig kein Personenbezug erforderlich ist. Eine Anonymisierung verbietet sich jedoch häufig, da diese die Zuordnung von Follow-up-Daten oder auch die Rückmeldung wichtiger Ergebnisse an die Betroffenen verhindert. Der TMF sind aus ihrer Beratungspraxis viele Fälle bekannt, in denen eine Rechtsunsicherheit in Bezug auf den rechtlichen Status pseudonymer Daten besteht, wenn die Zuordnungsdaten beispielsweise im strafrechtlich geschützten Kontext eines Krankenhauses verbleiben. Auch die Einschätzung seitens der lokalen betrieblichen oder behördlichen Daten­schutz­beauf­tragten sowie der Aufsichtsbehörden ist diesbezüglich uneinheitlich. Dies gefährdet konkret langjährig für die Forschung aufgebaute Datensammlungen.

Vor diesem Hintergrund empfehlen wir dringlich, die vorliegende Gesetz­gebungs­initiative zu nutzen, das Konzept des relativen Personenbezugs eindeutig zu definieren und damit für die biomedizinische Forschung wie auch für viele andere Anwendungsfälle Rechtssicherheit zu schaffen.

 

Zu Art. 5 – Grundsätze in Bezug auf die Verarbeitung personen­bezogener Daten

In Artikel 5 werden die auch im deutschen Datenschutzrecht kodifizierten Grundsätze der Transparenz, der Zweckbindung, der Datensparsamkeit, der Korrektheit und Integrität, der Begrenzung der Speicherdauer und der Verantwortlichkeit in Bezug auf die Verarbeitung personenbezogener Daten beschrieben.

Hinsichtlich der Festlegungen zur Transparenz (a), zur Datensparsamkeit (c), zur Korrektheit und Integrität der Daten (d), zur Begrenzung der Speicherdauer (e) und zur Verantwortlichkeit für die Datenverarbeitung (f) entsprechen die Regelungen weitgehend der auf Bundes- und Länderebene definierten Rechtslage in Deutschland und auch der aktuellen Forschungspraxis. Insofern sind diese Festlegungen zu unterstützen.

Der Grundsatz der Beschränkung der Datenverarbeitung auf „genau festgelegte, eindeutige und rechtmäßige Zwecke“ in lit. b ist bereits wortgleich in der geltenden Richtlinie enthalten (Art. 6 Abs. 1 lit. b) und prägt auch das Bundesdatenschutzgesetz, wenngleich er im ersten Abschnitt des Gesetzes nicht expressis verbis erwähnt ist. Die wortgleiche Übernahme legt nahe, dass an der Rechtspraxis, die sich hierauf basierend entwickelt hat, nichts geändert werden soll. Allerdings gibt es an anderen Stellen gegenüber der Richtlinie ergänzende Formulierungen zur Zweckbestimmung (Art. 6. Abs. 1 lit. a und Art. 9 Abs. 2 lit. a), die als Einschränkung interpretiert werden könnten. Insofern ist leider unklar, inwiefern die bisherige ausführliche Stellungnahme der „Art. 29 Data Protection Working Party“ vom April 2013 damit auch im Rahmen der Auslegung des Verordnungstextes weiterhin als maßgeblich anzusehen ist. Zur entscheidenden Frage, wie bestimmt ein Zweck im Rahmen von Forschung sein muss, führt die Working Party aus: “…future research will – without more detail – usually not meet the criteria of being specific.“ Andererseits spricht sich die Working Party explizit gegen überdetaillierte Zweckbeschreibungen in Einwilligungs­erklärungen aus, die eher als Disclaimer dienen, als die betroffene Person sinnvoll zu informieren. Der Grad der Bestimmtheit sei vielmehr abhängig vom jeweiligen Kontext. Das Erheben und Nutzen von Daten zur medizinischen Grundlagenforschung könnte damit ggf. möglich sein, grundsätzlich geklärt ist diese Frage aber nicht. Eine Klarstellung wäre allerdings für die biomedizinische Forschung wichtig, wie weiter unten zu Art. 9 ausgeführt wird. Sie ist zwar im Rahmen der Bestimmungen des Art. 5 nicht zu erwarten, wäre aber in Art. 83 gut aufgehoben.

 

Zu Art. 6 – Rechtmäßigkeit der Verarbeitung

Grundsätzlich erscheinen die Regelungen in Art. 6 für die Forschung auf Basis von Gesundheitsdaten nur insoweit einschlägig, als für diese nicht speziellere Regelungen in Art. 9 getroffen werden. Insofern werden die die Rechtmäßigkeit der Verarbeitung betreffenden Grundsätze in dieser Stellungnahme zu Art. 9 diskutiert. Aus einigen der dort zu diskutierenden Punkte ergeben sich jedoch ggf. für andere Forschungsbereiche auch Änderungserfordernisse oder -empfehlungen zu Art. 6.

Grundsätzlich ist festzustellen, dass viele der Grundsätze der Rechtmäßigkeit der Verarbeitung aufgrund der vorliegenden Gesetzessystematik an mehreren Stellen in identischer oder nur minimal veränderter Form formuliert sind, so z.B. Art. 6 Abs. 1 lit. b und Art. 9 Abs. 2 lit. aa. Dies kann zu ungewollten Inkongruenzen führen und erhöht die Unübersichtlichkeit der Verordnung.

 

Zu Art. 7 – Einwilligung

Art. 7 Abs. 1 des Kommissionsentwurfs definiert die Beweislast für die Einwilligung neu. Nach dem Entwurf müsste allerdings nicht bewiesen werden, dass, wie und worüber der Betroffene aufgeklärt wurde. Aus dem Zusammenspiel dieser Vorschrift mit Art. 4 Abs. 8, Art. 11, Art. 14 Abs. 4 folgt, dass die vorherige Aufklärung nicht Wirk­sam­keits­voraus­setzung für die Einwilligung ist. Vielmehr kann die Aufklärung auch nachträglich erfolgen.

Dies ist zwar im Bereich der medizinischen Forschung in Ausnahmesituationen (z.B. Forschung an Notfallpatienten) erforderlich und schon heute üblich. Als generelle Regelung aber wäre diese Neuregelung ein gravierendes Abweichen vom bislang praktizierten allgemeinen Konzept des Informed Consent. Maßnahmen nachgeholter Aufklärung und Angebote fortgeschriebener Transparenzgewährung z.B. in der Biobank-gestützten Forschung werden an Bedeutung gewinnen und müssen in entsprechend begründeten Fällen ermöglicht werden. Inwieweit mit der vorliegenden Formulierung intendiert ist, dass dies zur Regel werden soll, erscheint fraglich.

Darüber hinaus ist vor allem die in Art. 7 Abs. 4 des Kommissionsentwurfs pauschal festgelegte Regelung problematisch, nach der eine Einwilligung keine Rechtsgrundlage darstellt, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. In Erwägungsgrund 34 der DSGVO wird als Beispiel auf das Abhängigkeits­verhältnis von Arbeitnehmern gegenüber Arbeitgebern verwiesen. Es ist aber unklar, ob die unspezifische Formulierung nicht auch auf das Verhältnis von Patienten zum behandelnden Arzt anzuwenden wäre. Dies würde die Rechtssicherheit vieler in den Behandlungskontext eingebetteter Forschungsprojekte gefährden. Ein Beispiel hierfür wären klinische Studien, die gerade in der Onkologie häufig sehr eng verzahnt mit der Behandlung durchgeführt werden. Ebenfalls gefährdet wäre die Rechtsgrundlage vieler Projekte in der Versorgungsforschung.

 

Zum Parlamentsentwurf

Zu begrüßen ist daher die Änderung des Abs. 4 mit dem Wegfall der im Kommissionsentwurf pauschal festgelegten Regelung, nach der eine Einwilligung keine Rechtsgrundlage darstellt, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht.

Die Änderung hingegen, die festlegt, dass eine Einwilligung nur solange rechtskräftig ist, wie die Verarbeitung der personenbezogenen Daten für den bei der Erhebung angegebenen Zweck notwendig ist, ist nur akzeptabel, wenn für die Forschung auch die Möglichkeit einer offeneren Zweckbindung und einer entsprechend breiten Einwilligung („broad consent“) eröffnet wird, wie zu Art. 9 diskutiert.

 

Zu Art. 9 – Besondere Datenkategorien

Wie schon die geltende Richtlinie enthält der Verordnungsentwurf besondere Bestimmungen bezüglich bestimmter Datenkategorien, die als sensibel eingestuft werden. Hierzu gehören u.a. Daten zu Rasse, ethnischer Herkunft, geschlechtlicher Identität, sexueller Orientierung, genetischer Ausstattung und Gesundheit, die im Bereich der medizinischen Forschung zwangsläufig Verwendung finden. Für die medizinische Forschung ist daher Art. 9 von grundlegender Bedeutung.

Art. 9 entspricht denn auch im Großen und Ganzen Art. 8 der geltenden Richtlinie. Es wurden folgende Änderungen/Ergänzungen vorgenommen, die für die medizinische Forschung relevant sind:

Extra aufgenommen in die Aufzählung der sensiblen Daten wurden genetische und biometrische Daten. Dies dürfte eher der Klarstellung dienen, denn insbesondere genetische Daten unterfallen wohl schon unter der geltenden Richtlinie den Gesundheitsdaten. In diesem Sinne ist auch Erwägungsgrund 26 formuliert, der klar stellt, dass der Begriff Gesundheitsdaten auch solche Daten umfasst, die aus der Analyse von Körpersubstanzen herrühren.

 

Zu Abs. 2

Bereits der Erwägungsgrund 42, der vom Parlament nur ganz geringfügig geändert wurde, legt das Programm fest: Ausnahmen zum Verbot der Verarbeitung sensibler Daten stehen unter drei Bedingungen: die Verarbeitung bedarf einer gesetzlichen Grundlage, besonderer Vorkehrungen zum Schutze der Daten sowie eines besonderen öffentlichen Interesses. Diese Bedingungen gelten im Wesentlichen bereits unter der Richtlinie. Erwägungsgrund 123a erkennt grundsätzlich ein Forschungs­interesse mit Gesundheitsdaten an und rechtfertigt so, dass es auch in Zukunft Ausnahmevorschriften auf nationaler Ebene geben soll.

Es fällt aber auf, dass die im deutschen Datenschutzrecht in den „Forschungsklauseln“ (vergl. § 13 Abs. 2 und § 28 Abs. 6 BDSG) verankerte Verbotsausnahme für die Verarbeitung besonders sensibler Daten auf der Basis einer Abwägung zwischen Forschungs- und Individual­interesse im Verordnungsentwurf keine Entsprechung gefunden hat. Im ursprünglichen Kommissionsentwurf war lediglich in Art. 83 Abs. 2 lit. b eine solche Abwägung speziell für die Veröffentlichung von Daten im Forschungskontext vorgesehen. Die in Art. 9 Abs. 2 lit. g (s.u.) geregelte Verbotsausnahme auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das wiederum öffentliches und individuelles Interesse angemessen ausbalancieren muss, ist kein Ersatz für eine generelle Forschungsklausel. Nicht für jedes Forschungsvorhaben von hohem öffentlichen Forschungsinteresse auf Basis retrospektiver Daten kann und sollte ein separates Gesetz formuliert werden, womöglich noch auf nationaler Ebene und mit der Folge einer Zersplitterung der Rechtslandschaft für die Forschung. Die Grundrechtsabwägung zwischen informationeller Selbstbestimmung und Forschungsfreiheit kann bei besonders sensiblen Gesundheitsdaten eine andere sein als bei weniger kritischen Daten. Es gibt aber keinen Grund, sie ganz auszuschließen und damit in bestimmten Fällen faktisch eines der Grundrechte absolut zu setzen.

 

Zu Abs. 2 lit. a

Art. 9 Abs. 2 lit. a legt fest, dass eine Datenverarbeitung dann rechtmäßig ist, wenn sie von einer Einwilligung gedeckt ist. Im Kommissionsentwurf fehlte im Unterschied zum analogen Grundsatz in Art. 6 Abs. 1 lit. a die Ergänzung zur Zweckbindung der Einwilligung („for one or more specific purposes“), was vor dem Hintergrund des hier höheren Schutzzweckes inkonsequent war und insofern in der aktuellen Fassung korrigiert wurde. Allerdings ist diese Formulierung auch eine Ergänzung im Vergleich zur bisherigen Datenschutzrichtlinie (vergl. Art. 8 Abs. 2 lit. a). Diese Klarstellung bedeutet, dass sogenannte Blankett­einwilligungen, die auch bislang als unzureichend galten, nunmehr endgültig ausgeschlossen werden sollen; es muss vielmehr ein spezifischer Zweck bei der Einwilligung ausdrücklich benannt werden, auch mehrere spezifische Zwecke sind möglich. Kritisch ist, ob diese Formulierung und deren künftige Auslegung die Umsetzung eines „broad consent“ ausschließt. Dieses Konzept ist u.a. für die umfassende Evaluation von Therapien, die Entdeckung frühzeitiger Risikofaktoren oder Biomarker, die Rekrutierungs­unterstützung in neuen Forschungsprojekten und die Hypothesen­generierung eine notwendige Voraussetzung. Vor diesem Hintergrund setzt sich das Konzept des „broad consent“ im Bereich der Einwilligung zur klinischen Grundlagenforschung insbesondere im Bereich von Biobanken immer mehr durch. Zum einen kann beim Aufbau von Bio- und Datenbanken zumeist nicht vorhergesehen werden, für welche konkreten Forschungsprojekte die Proben und Daten verwendet bzw. an welche Kooperationspartner die Proben und Daten übermittelt werden. Zum anderen können sich während eines konkreten Forschungsvorhabens neue Forschungsansätze ergeben, die bei strenger Zweckbindung nur durch Einholung einer weiteren Einwilligung der betroffenen Spender weiterverfolgt werden könnte. Die für solche Forschung essenzielle breite Einwilligung (broad consent) ist nach deutschem Recht bisher nicht grundsätzlich ausgeschlossen, insbesondere wenn die Risiken der langen Aufbewahrung durch entsprechende technische und organisatorische Maßnahmen, wie sie beispielsweise von der TMF vorgeschlagen wurden, ausbalanciert werden.

Auch wenn eine restriktive Auslegung des Zusatzes „for one or more specific purposes“ nicht zwingend erscheint, steht viel auf dem Spiel, denn gerade die biomedizinische Grundlagenforschung ist auf die Zulässigkeit einer weiter gefassten Einwilligungserklärung angewiesen. Es wäre insbesondere nicht vertretbar, für wichtige Forschungsprojekte im öffentlichen Interesse und im Sinne einer Grund­rechts­abwägung nur deswegen eine Rechtsausnahme von der Einwilligungspflicht zu fordern, weil ein broad consent nicht zulässig erscheint. Der in Deutschland mit den Ethikkommissionen ausgehandelte Kompromiss einer breiten Einwilligung für die biobankgestützte Forschung¹⁰ zeigt, dass eine thematisch begrenzte, aber im Sinne künftiger Forschungsfragen offene Einwilligung ethisch vertretbar ist. Zudem wurde damit gezeigt, dass Regelungen gefunden werden können, die sowohl Forschung ermöglichen als auch die ethisch problematische Gefahr, auf eine „schiefe Ebene“ zu geraten, verhindern. Daher wäre eine entsprechende Klarstellung im Rahmen dieser umfassenden Gesetz­gebungs­initiative dringend notwendig, die auch die bereits gelebte Praxis, Ethikvoten als ergänzende, quasi kompensierende vertrauensbildende Maßnahmen einzuholen, berücksichtigt.

Schließlich basiert auf der bisherigen Entwicklung zum „broad consent“ auch die kürzlich verabschiedete Verordnung des europäischen Parlaments und des Rates über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG, in der es in Art. Art. 28 Abs. 2 eine Öffnung für Einwilligungs­erklärungen gibt. Dort wird dem Sponsor einer klinischen Studie die Möglichkeit eingeräumt, sich innerhalb des Einwilligungsersuchens zur Teilnahme an der klinischen Studie gleichzeitig eine Einwilligung für weitere wissenschaftliche Forschung erteilen zu lassen. Sollte nun im Rahmen der DSGVO ein „broad consent“ ausgeschlossen werden, so würde dies entweder den Forscher außerhalb klinischer Studien unangemessen benachteiligen oder jedenfalls zu dringend zu klärungsbedürftigen Widersprüchen führen.

 

Zu Abs. 2 lit. h, i

Eine Ausnahme des Verarbeitungsverbots ergibt sich für Gesundheitsdaten nach lit h, wenn die Verarbeitung zu Gesundheitszwecken notwendig ist. In diesem Fall wird auf die Bedingungen und Garantien des Art. 81 verwiesen. Der Begriff „Gesundheitszwecke“ erscheint unscharf, beispielsweise könnte Versorgungsforschung oder die Entwicklung neuer Therapien umfasst sein oder auch nicht. Warum der Verweis auf den Begriff „Gesundheitszwecke“ abhebt, statt umfassend auf die Verwendung von Gesundheitsdaten einschließlich einer solchen zu Forschungszwecken, erschließt sich nicht. Es würde die Übersichtlichkeit und Verständlichkeit der Verordnung erheblich erhöhen, wenn sämtliche Regelungen, die Gesundheitsdaten und ihren besonderen Schutz betreffen, zusammenfassend in Art. 81 geregelt würden, zumal die Verweise auf Art. 81 einerseits und Art. 83 andererseits nicht immer schlüssig erscheinen (s. auch u. zu Art. 81 und 83).

Für die medizinische Forschung, so sie nicht ggf. als Gesundheitszweck gemäß lit. h aufzufassen ist, ermöglicht lit. h die Verarbeitung sensibler Daten unter den allgemeinen Voraussetzungen des Art. 83. Grundsätzlich erscheint die auf separaten Verweisungen beruhende Ermöglichung der Verarbeitung der sensiblen Gesundheitsdaten nachvollziehbar. Problematisch bleibt jedoch sowohl der unscharfe Begriff der „Gesundheitszwecke“ als auch der Umstand, dass in der modernen biomedizinischen Forschung eine Trennlinie zwischen Forschung und Versorgung aufgrund der engen Verflechtung manchmal kaum noch auszumachen ist. Das zuvor bemängelte Fehlen einer Grund­rechts­abwägung zwischen Forschungsfreiheit und informationeller Selbstbestimmung analog zum deutschen Datenschutzrecht (vergl. § 13 Abs. 2 und § 28 Abs. 6 BDSG) wäre durch den hier aufgeführten Verweis auf Art. 83 nur dann kompensiert, wenn Art. 83 eine entsprechende Regelung enthielte. Dies ist jedoch nicht der Fall (s.u.).

 

Zu Art. 17 – Recht auf Löschung

Der Kommissionsentwurf kennt nicht nur die altbekannten Löschpflichten. Es soll zukünftig nach Art. 17 auch ein Recht darauf geben, „vergessen zu werden“. Eingeschlossen sind dabei auch Löschpflichten für Dritte, an die die Daten weitergegeben wurden. Dies entspricht weitgehend den aktuellen und mit den Datenschützern auf nationaler Ebene abgestimmten Empfehlungen der TMF für die Weitergabe von Daten und Proben für die Forschung.

Nicht geklärt ist, ob statt einer Löschung auch eine Anonymisierung personenbezogener Daten in Betracht kommt. Für Forschungszwecke ist diese Alternative unabdingbar, damit wertvolle Erkenntnisquellen nicht verloren gehen.

 

zu Art. 33 – Datenschutz-Folgenabschätzung

Eine Folgenabschätzung mit einer Risiko-Analyse ist heute bei größeren und langfristig angelegten Forschungsprojekten im biomedizinischen Umfeld zum Teil Bestandteil des mit dem zuständigen Daten­schutz­beauftragten oder ggf. den Aufsichtsbehörden abzustimmenden Datenschutzkonzepts. Entsprechend ist die in Art. 33 des Kommissionsentwurfs vorgeschlagene Einführung einer Folgenabschätzung grundsätzlich zu begrüßen. Nach Abs. 2 lit. b) wäre die Durchführung einer Folgenabschätzung jedoch für alle Forschungsprojekte, die Gesundheitsdaten nutzen, oder nach lit. d) für jede Verarbeitung genetischer oder biometrischer Daten zwingend. Die Durchführung einer belastbaren Folgenabschätzung samt Risiko-Analyse ist mit hohen Kosten sowohl bei der Erstellung als auch bei der Prüfung verbunden. Eine undifferenzierte Forderung einer Folgenabschätzung, die nach derzeitiger Rechtslage in Deutschland nicht vorgeschrieben ist, würde das Prinzip der Verhältnismäßigkeit verletzen. Für kleine Forschungsprojekte mit kurzer Laufzeit, in denen die Daten in der behandelnden Klinik verbleiben, sollten beispielsweise andere Maßstäbe hinsichtlich der Folgenabschätzung gelten als für einrichtungs­übergreifende, vergleichsweise zweckoffene und langfristige Daten- oder Biobanken. Insbesondere kleine Ausgründungen (Kompetenznetz e.V.), die förderpolitisch gewünscht sind, können auf Grund ihrer schmalen Personalausstattung den damit verbundenen Aufwand in aller Regel nicht leisten.

Eine ausführliche Diskussion der für eine Differenzierung relevanten Risikoparameter findet sich in dem generischen Daten­schutz­konzept der TMF für Biobanken.

 

Zum Parlamentsentwurf

Der bisherige Absatz 2 wurde in einen separaten Artikel 32a ausgelagert, der zunächst nur die uneingeschränkte Notwendigkeit einer Risikoabschätzung festlegt. Als besondere Risiken werden sowohl die Verarbeitung besonderer Arten personenbezogener Daten gemäß Artikel 9 Abs. 1, was auch Gesundheitsdaten umfasst, als auch die Verarbeitung personenbezogener Daten für die Erbringung von Gesundheitsdiensten oder für epidemiologische Studien genannt. Für diese Fälle regelt Abs. 3 lit. c) unterschiedslos, dass eine Folgenabschätzung gemäß Art. 33 durchzuführen ist, so dass dieses wiederum für alle Verarbeitungs­vorgänge in Bezug auf Gesundheitsdaten und damit alle patientenorientierten biomedizinischen Forschungsprojekte gelten würde. Somit stellt diese Fassung keine Verbesserung zum ursprünglichen Kommissionsentwurf dar. Die Problematik der unverhältnismäßig hohen Hürden für „kleinere“ Forschungsprojekte bleibt bestehen.

 

Zu Art. 34 – Vorherige Genehmigung und vorherige Zurateziehung

Der Entwurf der DSGVO statuiert in Art. 34 ein Genehmigungserfordernis (Abs. 1) und ein Beratungserfordernis (Abs. 2). Der für die Verarbeitung Verantwortliche hat sich hierfür jeweils an die zuständige Aufsichtsbehörde zu wenden (vergl. Art. 46 DSGVO). Ausnahmen für diese vorherige Genehmigungspflicht sind nicht vorgesehen. Insbesondere ist auch keine Delegations­möglichkeit durch die Einbeziehung betrieblicher oder behördlicher Daten­schutz­beauftragter formuliert, wie es etwa das deutsche Datenschutzrecht für die Meldepflicht vorsieht (vergl. § 4d (2) BDSG). Für das Beratungserfordernis wird einschränkend festgelegt, dass dies nur dann gilt, wenn die Folgenabschätzung nach § 33 DSGVO „hohe konkrete Risiken“ aufgezeigt hat (Abs. 2 lit. a) oder die Aufsichtsbehörde eine Beratung zu den in Abs. 4 genannten Verarbeitungsvorgängen aufgrund ihres Wesens, Umfangs und/oder ihrer Zwecke und den daraus resultierenden konkreten Risiken für die betroffenen Personen für erforderlich hält (lit. b). Nach Abs. 4 hat die Aufsichtsbehörde eine Liste aller Verarbeitungs­vorgänge zu erstellen, die Gegenstand der vorherigen Zurateziehung nach Abs. 2 lit. b sind. Zudem sind diese Listen an den Europäischen Daten­schutz­ausschuss zu übermitteln.

Zunächst ist festzustellen, dass Abs. 2 lit. b) und Abs. 4 zirkulär aufeinander verweisen. Entsprechend ist der Verweis in Abs. 2 lit. b) redundant und sollte entfallen. Grundlegender ist aber das Problem, dass die Zurateziehung naturgemäß von der verantwortlichen Stelle bzw. deren Daten­schutz­beauftragten initiiert werden muss, zumindest wenn diese im Vorfeld einer Genehmigung stattfinden soll und somit die Aufsichtsbehörde noch keine Kenntnis von dem anstehenden Verarbeitungs­vorgang hat. Insofern ist das Kriterium der Erforderlichkeit aus Sicht der Aufsichtsbehörde nicht praktikabel umsetzbar. Die Aufsichtsbehörde könnte allenfalls einen Kriterienkatalog definieren, nach dem die Notwendigkeit einer vorherigen Beratung festgestellt werden kann. Das in der DSGVO genannte Kriterium der nicht näher spezifizierten Risiken ist hingegen deutlich zu vage, um als sinnvolle Richtschnur gelten zu können.

Insgesamt gehen die vorgeschlagenen Regelungen weit über die Anforderungen des deutschen Datenschutzrechts hinaus. Die Folge wäre eine Lawine an Beratungs- und Genehmigungsverfahren zu allen Verarbeitungs­vorgängen mit personenbezogenen Daten bei allen privaten und öffentlichen Stellen. Auch Forschungsprojekte, sofern sie personenbezogene Daten verarbeiten, wären von dieser Regelung betroffen und müssten mit erheblichen Zusatzaufwänden und Verzögerungen rechnen, zumal für die Genehmigungspraxis keine Fristen genannt sind. Zudem gibt es im Arztrecht bereits die Pflicht, sich von der zuständigen Ethikkommission beraten zu lassen, wenn personenbezogene Daten verarbeitet werden (§ 15 Musterberufsordnung), so dass hier mit der Pflicht zur Beratung durch die Aufsichtsbehörden für die medizinische Forschung eine in Teilen redundante Hürde aufgebaut würde.¹¹ Auch wenn heute schon viele Forschungsprojekte im Vorfeld eine Abstimmung mit den zuständigen Aufsichtsbehörden suchen, ist eine unterschiedslose Pflicht zur Vorabgenehmigung für alle Projekte durch die Aufsichtsbehörden – zumal ohne Fristenregelung – abzulehnen.

 

Zum Parlamentsentwurf

Im Parlamentsentwurf ist Abs. 1 entfallen, was die oben dargestellte Problematik eines unpraktikablen und unangemessen hohen bürokratischen Genehmigungs­aufwands beseitigt. Geblieben ist das Beratungserfordernis in Abs. 2, das sich jetzt aber auf die Abstimmung mit dem Daten­schutz­beauftragten bezieht. Nur wenn ein solcher nicht benannt ist, ist eine Zurateziehung der Aufsichtsbehörden in den genannten Fällen verpflichtend. Dies entspricht weitgehend der auch im deutschen Rechtsrahmen vorgesehenen Rollenverteilung zwischen lokalen Daten­schutz­beauftragten und Aufsichtsbehörden. Eine Änderung ergibt sich hingegen für die Führung der Verfahrensverzeichnisse und der damit zusammen­hängenden Meldepflichten. Diese sind sowohl nach dem Kommissionsentwurf als auch nach der aktuellen Fassung von den Aufsichtsbehörden zu führen und nicht, wie nach deutschem Datenschutzrecht geregelt, von den lokalen Daten­schutz­beauftragten.

Zu Art. 34 Abs. 2 lit. b) wird ergänzend bestimmt, dass auch der lokale Daten­schutz­beauftragte die Erforderlichkeit einer Beratung feststellen kann. Dies stellt zwar aus unserer Sicht eine Verbesserung dar, löst aber nicht das Problem, dass eine daten­schutz­rechtliche Beratung in vielen Forschungsprojekten schon zu einem viel früheren Zeitpunkt nötig sein kann. Insbesondere ist hier an extern geförderte Projekte zu denken, bei denen die Antragsteller möglicherweise schon bei der Ausformulierung des Förderantrags selbst Beratung oder eine Abschätzbarkeit des im Projektverlauf nötigen Beratungsaufwands benötigen würden. Auch hierfür wäre ein Kriterienkatalog hilfreicher als die Feststellung der Erforderlichkeit durch den Daten­schutz­beauftragten oder eine Aufsichtsbehörde.

 

Zu Art. 81 – Verarbeitung personen­bezogener Gesund­heits­daten

In Art. 9 Abs. 2 lit. wird eine Verbotsausnahme für die Verarbeitung sensibler Gesundheitsdaten formuliert, wenn sie für Gesundheitszwecke erforderlich ist und den Bestimmungen des Art. 81 unterliegt. In Art. 81 Abs. 1 wird wiederum festgelegt, dass die Verarbeitung personenbezogener Gesundheitsdaten in Übereinstimmung mit den Bestimmungen dieser Verordnung und insbesondere mit Art. 9 Abs. 2 lit. h erfolgt. Dieser Verweis auf Art. 9 erscheint zirkulär. Der Hinweis, dass in Ergänzung zu Art. 9 Abs. 2 lit. h auch die übrigen Bestimmungen der Verordnung zu berücksichtigen sind, erschwert die Einordnung des Art. 81 im Verhältnis zu den restlichen Festlegungen des Verordnungsentwurfs zusätzlich.

Zudem ist die Gesamtsystematik der Art. 9, 81 und 83 selbst für den rechtskundigen Leser kaum erschließbar. Während einerseits Art. 9 Abs. 2 lit. h die Verarbeitung personenbezogener Gesundheitsdaten nach den Bestimmungen des Art. 81 lediglich zu Gesundheitszwecken erlaubt, wird in Art. 81 Abs. 1b, 1c und 2 auch die Verarbeitung medizinischer oder von Gesundheitsdaten zu Forschungszwecken geregelt. Der grundlegende Art. 9 verweist jedoch in Abs. 2 lit. i. für Forschungszwecke explizit und ausschließlich auf die Bestimmungen des Art. 83. Somit würden diese Bestimmungen nur dann relevant, wenn Art. 83 wiederum auf Art. 81 verweist.

Inwiefern die Bestimmungen des Abs. 1 zu den heute schon in Spezialgesetzen wie dem SGB oder auch im Arztrecht festgelegten Erfordernissen passen, ist nicht Gegenstand dieser Kommentierung, bedürfte aber sicher einer sorgfältigen Prüfung.

 

Zum Parlamentsentwurf

Neu hinzugekommen sind im Parlamentsentwurf die forschungsrelevanten Absätze 1b, 1c und 2a, entscheidend ergänzt wurde Abs. 2.

Art. 81 Abs. 1b regelt die Verarbeitung medizinischer Daten für den ausschließlichen Zweck der Forschung zu Fragen der öffentlichen Gesundheit, sofern hierzu eine Einwilligung erforderlich ist. In diesen Fällen kann die Einwilligung für eine oder mehrere spezifische und einander ähnliche Forschungen gegeben werden. Zudem wird festgelegt, dass die betroffene Person die Einwilligung jederzeit widerrufen kann. Zunächst ist vollkommen unklar, warum hier neue Begriffe wie „medizinische“ Daten und „Forschung zu Fragen der öffentlichen Gesundheit“ eingeführt werden, ohne dass erkennbar wird, worin die Bedeutung dieser neuen Begrifflichkeiten liegt. Sind medizinische Daten ein Weniger oder Mehr zu „Gesundheitsdaten“? Ist Forschung zu Fragen der öffentlichen Gesundheit etwas anderes als Gesundheitsforschung im Übrigen? Ferner bleibt unklar, warum hier eine Einschränkung der Einwilligung nicht nur auf einen oder mehrere Zwecke, sondern auf eine oder mehrere einander ähnliche Forschungen beschränkt wird. Da im betreffenden Absatz bereits auf den Bereich Gesundheitsforschung eingeschränkt wurde, kann hiermit im Grunde nur die Festlegung auf Forschung zu bestimmten Krankheiten gemeint sein. Diese Festlegung wird allerdings inzwischen allseits beklagt und gilt als überholt, weil sie künstlich erscheint und dem Datensubjekt kaum ein Mehr an Schutz bietet. Eine Rückkehr zu dieser Praxis wäre daher ein klarer Rückschritt für die Forschung. Die Festlegung der grundsätzlichen Widerrufbarkeit einer Einwilligung erscheint schließlich redundant (vergl. Art. 7 Abs. 3).

In Art. 81 Abs. 1c wird in Bezug auf die Einwilligung in die Teilnahme an wissenschaftlicher Forschung im Zusammenhang mit klinischen Studien auf die Vorschriften der Richtlinie 2001/20/EG verwiesen. Dies erscheint grundsätzlich sinnvoll, wenngleich möglicherweise zu anderen Bestimmungen, die eine Verarbeitung aufgrund spezialgesetzlicher Festlegungen erlauben, redundant (vergl. Art. 9 Abs. 2 lit. g). Zudem ist auch hier darauf hinzuweisen, dass der Verweis insofern begrifflich ungenau und daher verwirrend ist, dass sich die zitierte Richtlinie nur auf klinische Prüfungen im Rahmen von Arzneimittelzulassungsverfahren bezieht und nicht etwa auf klinische Studien allgemein. Schließlich gibt es bereits eine verabschiedete Verordnung über klinische Prüfungen mit Humanarzneimitteln vom 16.04.2014, die diese Richtlinie ablöst.

Nach Art. 81 Abs. 2 ist die Verarbeitung personenbezogener Gesundheitsdaten u. a. zu Zwecken der wissenschaftlichen Forschung gemäß der Bedingungen und Garantien des Art. 83 erlaubt, allerdings nur unter der zusätzlichen Voraussetzung einer Einwilligung der betroffenen Person. Eine Ausnahme des Erfordernisses einer Einwilligung ist nur auf der Grundlage einer Rechtsvorschrift eines Mitgliedstaates gemäß den Anforderungen in Abs. 2a möglich. Die Anforderungen an die gesetzliche Ausnahme auf mitgliedstaatlicher Ebene erscheinen jedoch hoch: Die Forschung muss einem hohen öffentlichen Interesse dienen, sie darf nicht anderweitig umsetzbar sein und die Daten sind in jedem Fall zu pseudonymisieren, wenn nicht eine Anonymisierung möglich ist. Zudem müssen Betroffene jederzeit der Verarbeitung widersprechen können. Im Vergleich zu den bisherigen Möglichkeiten zur Forschung mit Patientendaten in einem Krankenhaus zu eigenen Zwecken auf der Basis einiger deutscher Landeskrankenhausgesetze, erscheinen die Anforderungen zu hoch und zu einschränkend. Die Vorschrift zur Anonymisierung ist zudem insofern irreführend, als anonyme Daten den Regelungen der Verordnung insgesamt nicht mehr unterliegen. Problematisch ist auch die Wider­spruchs­möglichkeit, da offen bleibt, in welcher Form die Betroffenen über die Verarbeitung ihrer Daten zu informieren sind. Ohne Information wird aber eine Widerspruchsmöglichkeit die Rechtsposition der Betroffenen nicht effektiv verbessern.

Mit der Regelung in Art. 81 Abs. 2a wird die Chance verpasst, durch eine Harmonisierung auf europäischer Ebene die Kooperation auf der Basis einheitlicher Bestimmungen über die nationalen Grenzen hinaus zu erleichtern. Solche Kooperationen können sogar dann sinnvoll und wichtig sein, wenn die Forschungsdaten selbst die behandelnden Einrichtungen gar nicht verlassen. Beispielhaft sei auf die Nutzung der Daten zur Abschätzung der Machbarkeit einer Studie oder die Rekrutierungs­unterstützung innerhalb eines Krankenhauses verwiesen. Beide Anwendungsfälle werden aktuell im europäischen Projekt EHR4CR modelliert, und die unterschiedlichen gesetzlichen Rahmenbedingungen stellen eine nicht unerhebliche Hürde dar.

So lange jedoch in Abs. 2 das grundsätzliche Einwilligungs­erfordernis bestehen bleibt, sollte auch die in Abs. 2a geschaffene Möglichkeit für die nationale Gesetzgebung beibehalten werden, um zumindest in einigen Mitgliedstaaten ggf. gemäß den bisherigen Regelungen in den Landes­kranken­haus­gesetzen ähnliche Möglichkeiten zur Forschung mit eigenen Daten unabhängig von einer Einwilligung zu verschaffen. Gerade die retrospektive Nutzung der Daten wird ansonsten durch das Einwilligungs­erfordernis weitgehend ausgeschlossen.

Allerdings sind die Hürden in Abs. 2a deutlich höher als in der geltenden Richtlinie (Art. 8 Abs. 4). Insbesondere die Anforderung, dass es unmöglich sein muss, die Forschung auf andere Weise durchzuführen, ist völlig realitätsfern. Denn es wird theoretisch häufig möglich sein, sie auf andere Weise durchzuführen, etwa indem man versucht, auch nachträglich noch hunderte Datensubjekte anzuschreiben und um eine Einwilligung zu bitten. In der Praxis kann jedoch der Aufwand so unangemessen hoch sein, dass die entsprechende Forschung einfach nicht mehr stattfindet. Daher regen wir dringend an, den Absatz zu ergänzen, indem eingefügt wird „mit angemessenem Aufwand“ auf andere Weise durchzuführen.

Ferner ist der letzte Satz in Abs. 2 a zu streichen. Denn das Recht des „opt out“ setzt – wenn man es ernst nimmt - voraus, dass die Datensubjekte von ihrem Recht unterrichtet werden, was einen ebensolchen Aufwand bedeuten kann, wie eine Einwilligung einzuholen.

Abschließend ist anzumerken, dass Gesundheitsdaten in Krankenhäusern und gelegentlich auch Arztpraxen regelmäßig unter sehr hohen Sicherheitsstandards verarbeitet werden – und dies soll auch nicht aufgeweicht werden. Vor diesem Hintergrund macht es aber Sinn, für die Forschung, die sich innerhalb des Krankenhaus- oder Praxiskontextes abspielt und daher denselben Sicherheitsstandards unterliegt, nicht zusätzliche Hürden zu errichten, zumal medizinische Forschung – unabhängig davon ob es sich um Versorgungsforschung, Therapie/Arzneimittel­forschung oder Grundlagenforschung handelt – letztlich immer dem Patienten, der zugleich Datensubjekt ist, dient.

 

Zu Art. 83 – Daten­verarbeitung zu historischen oder statistischen Zwecken sowie zum Zwecke der wissen­schaft­lichen Forschung

Grundsätzlich ist zu begrüßen, dass im Kommissionsentwurf eine einheitliche, die Forschung betreffende Grundnorm in Form des Art. 83 vorgesehen ist. Eine derartig explizite Regelung war in der Datenschutzrichtlinie 95/46/EG noch nicht enthalten. Zudem wird sowohl für die Verarbeitung allgemeiner personenbezogener Daten in Art. 6 Abs. 2 als auch für die Verarbeitung von Gesundheitsdaten als einer besonderen Kategorie personenbezogener Daten in Art. 9 Abs. 2 lit. i im Kontext der Forschung auf Art. 83 verwiesen.

Allerdings bleibt gerade für die biomedizinische Forschung und die Gesundheitsforschung das Verhältnis von Art. 83 zu Art. 81 unklar (s. bereits o. Art. 9 Abs. 2 lit. h, i sowie zu Art. 81). Während für sensible Daten einschließlich Gesundheitsdaten grundsätzlich Art. 9 als speziellere Regel gegenüber Art. 6 gilt, scheint der Grundsatz der lex specialis im Verhältnis von Art. 81 zu Art. 83 durchbrochen zu sein, ohne dass deutlich wird, für welche Fälle der für Gesundheitsdaten einschlägige Art. 81 und für welche der für Forschung allgemein geltende Art. 83 Anwendung findet. Denn bereits Art. 9 enthält in Abs. 2 lit. h einen Verweis auf Art. 81 für Daten, die „für Gesundheitszwecke erforderlich sind“, während in Abs. 2 lit. i für die Forschung auf Art. 83 verwiesen wird. Dann wird aber wiederum in Art. 81 Abs. 2 ausdrücklich die Forschung mit Gesundheitsdaten eingeschränkt durch das grundsätzliche Erfordernis der vorherigen Einwilligung, ohne dass diese Einschränkung sich auf „Gesundheitszwecke“ beziehen ließe.

Selbst wenn sich durch teleologische Auslegung diese Frage letztlich klären ließe, sind solche missglückten Verweistechniken sehr schädlich für die Forschung. Denn gesetzgeberische Unklarheiten ziehen in jedem Falle einen hohen Aufwand und den Einsatz von juristischem Sachverstand nach sich, der die eigentliche Forschung durch die damit verbundenen Kosten und den Zeit- und Personalaufwand sowie das letztlich verbleibende Restrisiko erheblich belastet. Nicht zu unterschätzen ist auch, dass unter Umständen regional sehr unterschiedliche Auffassungen entwickelt werden, was wieder zu einer Zersplitterung in der Handhabung der Verordnung führt, die durch die detaillierten Regelungen gerade vermieden werden sollte.

Wir regen daher dringend an, sämtliche Regelungen, die die biomedizinische Forschung betreffen, in Art. 81 anzusiedeln, der dann für diesen gesamten Bereich die speziellere Regelung wäre. Art. 83 käme dann nur dort zur Anwendung, wo Art. 81 hierfür Raum lässt.

 

Zu Art. 83 des Kommissionsentwurfs im Einzelnen:

Auffallend ist zunächst die Formulierung in Abs. 1, die die Verarbeitung personenbezogener Daten zum Zwecke der wissenschaftlichen Forschung nur „in den Grenzen“ dieser Verordnung erlaubt.

In Absatz 1 wird dann der Vorrang der Verarbeitung anonymisierter oder, wenn nötig, pseudonymisierter Daten festgelegt, sofern damit die Zwecke der Forschung erfüllt werden können. Im Vergleich mit Absatz 2 fällt auf, dass für die Verarbeitung der Daten keine Einwilligung als Voraussetzung definiert wird. Absatz 2 regelt die Veröffentlichung personenbezogener Daten zu den genannten Zwecken und erfordert alternativ a) eine Einwilligung gemäß Artikel 7 oder b) ein überwiegendes Interesse der Forschung gegenüber den Interessen und Grundrechten der betroffenen Person oder c) eine erfolgte Veröffentlichung durch die betroffene Person selbst. Der Kommissionsentwurf sieht zudem in Abs. 3 eine breite Öffnungsklausel vor, die es der Kommission ermöglichen würde, untergesetzliche Regelungen für den Bereich der Forschung zu erlassen.

 

Zu Abs. 1

Unklar ist, inwiefern die Formulierung „in den Grenzen dieser Verordnung“ bedeutet, dass die Bestimmungen in Art. 83 ergänzend zu allen anderen Bestimmungen der Verordnung anzuwenden sind. Dies würde zum Teil zu sich widersprechenden Regelungen führen, kann aber aufgrund des Wortlauts auch nicht ausgeschlossen werden. Zumindest nicht direkt widersprüchliche Regelungen müssten aber wohl als zusätzlich geltende Rahmenbedingungen für die Forschung angesehen werden.

Dem Vorrang der Nutzung anonymisierter oder pseudonymisierter Daten ist uneingeschränkt zuzustimmen. Die generischen Datenschutzkonzepte der TMF belegen, wie weitgehend Forschungsprojekte auf der Basis pseudonymer Daten umgesetzt werden können. Hervorhebenswert ist, dass für die in Absatz 1 geregelte Verarbeitung im Unterschied zu den Bestimmungen in Abs. 2 keine Einwilligung als Voraussetzung definiert wird. Dies erlaubt eine weitgehende Nutzung der Daten innerhalb der erhebenden Einrichtungen, die gerade im Bereich der Versorgungsforschung und der retrospektiven Sekundärnutzung klinischer Daten für die Klärung vieler Fragestellungen eine notwendige Voraussetzung darstellt. Vergleichbare Regelungen gibt es heute in Deutschland lediglich in einzelnen Landes­kranken­haus­gesetzen, die aber gerade nicht die hier angestrebte Einheitlichkeit gewährleisten. Diese Lesart wird auch nicht durch die einschränkende Formulierung zu Beginn von Abs. 1 konterkariert, die darauf verweist, dass die Regelungen in Art. 1 nur „in den Grenzen dieser Verordnung“ gelten. Hierfür spricht, dass in Art. 6 und in Art. 9 jeweils alternativ zu einer Einwilligung als Rechtsgrundlage im Bereich der Forschung auf die Bedingungen von Art. 83 verwiesen wird.

 

Zu Abs. 2

Den im Kommissionsentwurf vorgeschlagenen Regelungen zur Veröffentlichung personenbezogener Daten ist ebenfalls zuzustimmen. Zu begrüßen ist die Aufnahme einer „Forschungsklausel“ in Abs. 2 lit. b), die eine Abwägung der Grundrechte der Forschung und der informationellen Selbstbestimmung der betroffenen Person normiert. Analoge Regelungen finden sich auch im deutschen Datenschutzrecht (vergl. § 13 Abs. 2 und § 28 Abs. 6 BDSG).

Wie bereits zu Art. 5 DSGVO diskutiert, ist darauf hinzuweisen, dass eine vergleichsweise breite Einwilligung in nicht bis in jedes Detail festgelegte Verwendungszwecke dringend ermöglicht werden muss und dass hierfür auch eine klare, verständliche gesetzliche Grundlage geschaffen werden sollte. Im Rahmen einer so geregelten Einwilligungserklärung sollten Probanden unter bestimmten Bedingungen und in Ausübung ihrer informationellen Selbstbestimmung auch einer offenen Verwendung ihrer Daten und Proben für die Forschung zustimmen können. Das Erfordernis einer solchen Regelung wird auch nicht durch die Ermöglichung von Forschung ohne Einwilligung aufgehoben, da in den Fällen, in denen die Einholung einer breiten Einwilligung möglich ist, diese auch eingeholt werden sollte. Es ist keine ethisch vertretbare Lösung, eine Forschung nur deshalb ohne Einholung einer Einwilligung durchzuführen, weil den Betroffenen Personen nicht gestattet wird, einen broad consent zu unterschreiben.

 

Zu Abs. 3

Die Konsequenzen der in Absatz 3 definierten weitgehenden Ermächtigung für die Kommission sind aktuell nicht absehbar. Insbesondere ist die Reichweite aus zwei Gründen problematisch: Zum einen mangelt es an der parlamentarischen Legitimation, zum anderen sind die Erlasse in keiner Weise rechtlich eingeschränkt. Daher sollte dieser Absatz gestrichen werden.

 

Zum Parlamentsentwurf

Im aktuell vom Plenum des Europäischen Parlaments verabschiedeten Gesetzentwurf ist von dem ursprünglichen Art. 83 nur noch der erste Absatz stehen geblieben. Die Regelungen in diesem Absatz gelten jetzt „gemäß“ den Vorschriften der Verordnung und nicht mehr „in den Grenzen“ derselben. Somit muss aber weiterhin davon ausgegangen werden, dass nicht direkt widersprüchliche Regelungen aus anderen Bereichen der Verordnung ebenfalls gelten können. Zudem ist nun die Verarbeitung pseudonymer Daten „gemäß den höchsten technischen Standards“ das Mindestmaß, eine Nutzung direkt personenbezogener Daten nicht mehr statthaft. Sämtliche Maßnahmen sind zu ergreifen, um unbefugte Rückschlüsse auf die Identität der betroffenen Person zu verhindern. Ferner wurde Erwägung 40 ersatzlos gestrichen, die klar gestellt hat, dass die Datenverwendung zu Forschungszwecken grundsätzlich als vereinbar mit den ursprünglichen Zwecken der Datenerhebung anzusehen ist.

Da die Regelungen in Abs. 2 entfallen, kann nicht mehr im Umkehrschluss aus der dort geregelten verpflichtenden Einwilligung auf das Fehlen eines Einwilligungs­erfordernisses in Abs. 1 geschlossen werden. Zudem gibt es nun in Art. 81 Abs. 2 ein Einwilligungserfordernis für die Verarbeitung von Gesundheitsdaten zum Zwecke der Forschung in Ergänzung zu den Bedingungen des Art. 83, so dass davon ausgegangen werden kann, dass biomedizinische Forschungsprojekte mit personenbezogenen Daten ohne Einwilligung prinzipiell nicht mehr durchgeführt werden können. Wichtige Forschungsprojekte, die z.B. nur unter retrospektiver Nutzung großer Datenbestände durchgeführt werden können, für die nachträglich keine Einwilligung eingeholt werden kann, würden so verhindert. Der ursprüngliche Zweck von Art. 83, nämlich Forschung mit personenbezogenen Daten dort zu ermöglichen, wo Einwilligungen nicht oder nicht ohne Weiteres zu bekommen sind, aber dafür besonders sorgsam mit diesen Daten umgegangen wird, ist damit verfehlt. Übrig geblieben ist ein Art. 83, der Forschung nicht etwa begünstigt, sondern gegenüber anderen – sogar rein kommerziellen – Datennutzungen noch benachteiligt, indem nicht nur das generelle Erfordernis der Einwilligung aufrecht erhalten, sondern darüber hinaus das unbedingte Erfordernis einer Pseudonymisierung, wenn nicht Anonymisierung statuiert wird. Diese Einschränkung ist als weitergehend anzusehen als die allgemeinen Regeln zur Datensparsamkeit (vergl. Art. 5 lit. c). Forschung mit Einzelfallpatienten, deren Daten sich kaum effektiv pseudonymisieren lassen, wäre selbst auf Basis einer Einwilligung nicht mehr möglich. Hier hat sich im Verhandlungsprozess offenbar die Bedingung für eine grundrechtlich gebotene Privilegierung der Wissenschaft in eine unverhältnismäßige Restriktion der Wissenschaft gewandelt: Denn die einerseits strenge Verpflichtung der Wissenschaft zu vorrangiger Anonymisierung und Pseudonymisierung ist ein Instrument zur Herstellung praktischer Grund­rechts­konkordanz, welches die Belange des Datenschutzes wahrt und zugleich andererseits die Erleichterung der Durchführung wissenschaftlicher Vorhaben rechtfertigt, etwa durch rechtliche Gleichbehandlung pseudonymer und anonymer Daten oder durch organisatorische Erleichterungen bei der Pseudonymisierung (so z.B. in § 28 Abs. 1 Datenschutzgesetz NRW). Diese grundrechtlich gebotene Privilegierung ist vorliegend aber entfallen.

Als problematisch muss auch angesehen werden, dass der Aspekt der Veröffentlichung medizinischer Daten, die gerade bei seltenen Erkrankungen nicht immer sicher anonymisiert erfolgen kann, nicht mehr geregelt ist bzw. auch auf der Basis einer Einwilligung nicht erfolgen kann, wenn nicht mindestens eine effektive Pseudonymisierung erreicht werden kann.

Auf die Problematik der in Absatz 3 formulierten weitgehenden Ermächtigung der Kommission, delegierte Rechtsakte zu erlassen, wurde bereits eingegangen. Insofern ist der nun vorgeschlagenen Streichung dieses Absatzes zuzustimmen.

 

ANLAGEN

Kurzdarstellungen der kommentierenden Institutionen

 

Fußnoten

¹ http://www.wellcome.ac.uk/stellent/groups/corporatesite/@policy_communications/documents/web_document/WTP055584.pdf (Seite nicht mehr verfügbar)

² Siehe u.a. die Stellungnahme der EU-Kommissarin Viviane Reding am 11.03.2014 in der Plenardebatte im Europäischen Parlament, Straßburg, die für die Datenverarbeitung von Gesundheitsdaten (das entspricht dem § 81 [sic!] des EU-DSGVO-Entwurfs) eine Rückkehr zum Kommissionsentwurf empfiehlt.
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+CRE+20140311+ITEM-013+DOC+XML+V0//DE&language=DE 

³ Vgl. z.B. das Medical Sciences Committee Opinion Paper, „The Benefits of Personal Data Processing for Medical Sciences in the Context of Protection of Patient Privacy and Safety“, May 2013,
http://www.scienceeurope.org/uploads/PublicDocumentsAndSpeeches/ScienceEuropeMedicalPaper.pdf (Seite nicht mehr verfügbar)

vgl. z.B. Landgericht Berlin, Urt. Vom 31.01.2013; Az.: 57 S 87/08 (Dynamische IP-Adresse als personenbezogenes Datum).

In der Arbeitsgruppe Datenschutz der TMF wurden in den letzten Jahren über 70 Forschungsprojekte und -einrichtungen in Bezug auf eine daten­schutz­gerechte Umsetzung von Daten- und Probensammlungen beraten. Grundlage der Beratung sind die generischen Daten­schutz­konzepte der TMF, die 2003 erstmals mit den Daten­schutz­beauf­tragten des Bundes und der Länder auf nationaler Ebene abgestimmt und seither um ein ebenfalls national mit den Datenschützern abgestimmtes Konzept für Biobanken ergänzt (2006) und zu einem umfassenden Leitfaden zum Datenschutz in der medizinischen Forschung erweitert und aktualisiert wurden (2014). Die aktuelle Fassung des Leitfadens wurde auf der Konferenz der Daten­schutz­beauf­tragten des Bundes und der Ländern am 27. und 28.3.2014 in Hamburg einstimmig verabschiedet und zur Nutzung für biomedizinische Forschungs­einrichtungen und -projekte in Deutschland empfohlen.

Gola/Schomerus, BDSG-Kommentar, 11. Aufl. 2012, § 14 Rn. 9. 

WP 203, adopted on 2 April 2013, „Opinion 03/2013 on purpose limitation”

Ebda., S. 15 f.

vergl. Taupitz, J., Der Entwurf einer europäischen Datenschutz-Grundverordnung – Gefahren für die medizinische Forschung. Medizinrecht, 2012. 30(7): S. 423-428.

¹⁰ „Mustertext zur Spende, Einlagerung und Nutzung von Biomaterialien sowie zur Erhebung, Verarbeitung und Nutzung von Daten in Biobanken“ empfohlen vom Arbeitskreis Medizinischer Ethik-Kommissionen gemäß Beschluss vom 9.11.2013

¹¹ s. auch Science Europe Position Statement, a.a.O. (Fn. 2), S. 4.