Stellungnahme der TMF zum Referentenentwurf für das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) in der Fassung vom 23.11.2016
Berlin, den 07.12.2016.
Downloads
Korrespondenzadresse
TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V.
Charlottenstraße 42
10117 Berlin
Tel.: +49 (0)30 2200247-0 | Fax: +49 (0) 30 2200247-99 | E-Mail: info@tmf-ev.de
Die TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (kurz: TMF) ist die Dachorganisation für die medizinische Verbundforschung in Deutschland. Sie ist die Plattform für den interdisziplinären Austausch und die projekt- wie standortübergreifende Zusammenarbeit von Wissenschaftlern, die gemeinsam die organisatorischen, rechtlich-ethischen und technologischen Probleme der modernen medizinischen Forschung identifizieren und lösen. Die Lösungen reichen von Gutachten, generischen Konzepten und IT-Anwendungen über Checklisten und Leitfäden bis zu Schulungs- und Beratungsangeboten. Die TMF stellt diese Lösungen frei und öffentlich zur Verfügung.
Einleitung – zur Änderung des Bundesdatenschutzgesetzes
Der vorliegende Referentenentwurf des Bundesministeriums des Innern vom 23.11.2016 enthält den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680.
Die EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (EU-Datenschutzgrundverordnung) wird am 25.05.2018 in allen Mitgliedsstaaten unmittelbar gelten. Zur Umsetzung der darin enthaltenen Öffnungsklauseln und Regelungsaufträge werden Anpassungen am bislang geltenden Bundesdatenschutzgesetz (BDSG) notwendig, die mit dem Entwurf dieses Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAn-pUG-EU) adressiert werden. Darüber hinaus dient der Gesetzentwurf auch der Umsetzung der EU-Richtlinie 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung und Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.
Die TMF begrüßt ausdrücklich, dass der Entwurf dem Interesse der Gesellschaft an innovativer Forschung Rechnung trägt und mit § 25 der Forschung einen eigenen Paragraphen widmet. Insbesondere der Forschung mit Gesundheitsdaten wird hier besondere Aufmerksamkeit geschenkt, indem von der Öffnungsklausel des Art. 9 Abs. 2 (j) DSGVO Gebrauch gemacht wird. Dies ist vor allem für die biomedizinische Forschung wie auch für die Versorgungforschung sehr wichtig.
Aufgrund des komplexen Zusammenspiels von direkt anwendbarer EU-Verordnung einerseits sowie der Gesetzgebung auf Bundes- bzw. Landesebene andererseits, ist eine Beurteilung des vorliegenden Entwurfs innerhalb der sehr kurz bemessenen Kommentierungsfrist leider nur sehr eingeschränkt möglich. Dennoch möchten wir für die biomedizinische Forschung die wichtigsten Punkte zusammenzufassen, ohne hierbei auf Details der Gesetzgebungs- und Auslegungstechnik eingehen zu können. Diesen wird für die künftige Wirkung des Gesetzes in der Anwendungsrealität unseres Erachtens jedoch eine große Bedeutung zukommen.
Zu den Neuregelungen im Einzelnen
1. Allgemeine Forschungsklausel gem. § 25 Abs. 1 DSAnpUG-EU
Ein großer Teil der biomedizinischen Forschung sowie der Versorgungsforschung basiert auf der direkten Erhebung von Forschungsdaten bei den Betroffenen und damit auf deren Einwilligung. Wir gehen davon aus, dass die konkrete Einwilligung in jedem Fall eine Grenze der zukünftigen Verwendung von Daten, die auf deren Grundlage erhoben wurden, bildet.
Sollten sich Einwilligungserklärungen als Grundlage für aktuelle oder künftige Forschungszwecke als zu eng erweisen, etwa weil solche Zwecke zum Zeitpunkt der Einwilligungseinholung noch nicht vorhersehbar waren und daher in der Einwilligungserklärung nicht genannt wurden, so sind wir der Auffassung, dass eine Verwendung der Daten jedenfalls nicht auf die Zweckprivilegierung für die Forschung von Art. 5 Abs. 1 (b), 2. HS DSGVO gestützt werden kann. Daher kommt einer allgemeinen Forschungsklausel für Fälle, in denen solche „Alt“-Daten über die ursprüngliche Einwilligung hinaus verwendet werden sollen, nach wie vor große Bedeutung zu.
Es ist aufgrund international anerkannter medizin- und forschungsethischer Grundprinzipien unbestritten, dass insbesondere Gesundheitsdaten über ausdrückliche Einwilligungen hinaus nur unter bestimmten Umständen genutzt werden sollen, die einer Abwägung zwischen der Forschung und den Rechten der Betroffenen bedürfen. In diesem sensiblen grundrechtsrelevanten Bereich ist grundsätzlich der Gesetzgeber aufgerufen, die grundlegenden Entscheidungen zu treffen. Das „angemessene Verhältnis“ zwischen Ziel und Mittel, wie es in der Öffnungsklausel des Art. 9 Abs. 2 (j) formuliert ist, könnte durch die „Erforderlichkeit“ der Datennutzung für Forschungsvorhaben (ohne weitere Einschränkungen im Hinblick etwa auf deren gesellschaftliche Relevanz) in § 25 Abs. 1 DSAnpUG-EU nur unzureichend beschrieben sein. Eine entsprechend notwendige grundrechtskonforme Auslegung eröffnet sehr weite Spielräume, die eine hohe Gefahr fragmentierter Interpretationen durch die Datenschutzaufsichtsbehörden bergen. Diese können einer deutschlandweit einheitlichen Rechtsanwendung für medizinische Forschung über Bundeslandgrenzen und Behördenkompetenzen hinweg abträglich sein. Auch unter Berücksichtigung des Verweises auf § 22 Abs. 2 DSAnpUG-EU verbleiben hier erhebliche Rechtsunsicherheiten. Zu prüfen ist daher unserer Meinung nach, ob diese Unsicherheit entweder durch deutlicheren Verweis auf entsprechende Abwägungsgebote in der DSGVO oder durch konkretisierende Formulierung im DSAnpUG-EU vermieden werden kann.
2. Einschränkung der Informationsrechte gem. § 25 Abs. 2 DSAnpUG-EU
Von der Derogationsmöglichkeit des Art. 89 Abs. 2 DSGVO im Hinblick auf die Informationsrechte von Betroffenen gem. Art. 15 DSGVO Gebrauch wurde bislang nur zugunsten der nicht-öffentlichen Stellen Gebrauch gemacht. Die Ausnahme, wie sie bislang in § 25 Abs. 2 DSAnpUG-EU formuliert ist, nimmt ausschließlich auf den unverhältnismäßigen Aufwand Bezug. Wir gehen davon aus, dass eine Klausel zu den Ausnahmen für öffentliche Stellen, zu denen die meisten betroffenen Forschungsreinrichtungen zählen, noch aussteht. In dieser sollte vorgesehen werden, dass Informationsherausgabe an Patienten oder Probanden ausnahmsweise dann unterbleiben sein, wenn dies aus medizinethischer Sicht erforderlich erscheint. Vorbild hierfür könnte etwa § 630 e BGB (PatientenrechteG) sein.
3. Anforderung der Anonymisierung bzw. Pseudonymisierung gem. § 25 Abs. 3 Nr. 1 DSAnpUG-EU
Hier wird erfreulicherweise klargestellt, dass der Forschungszweck bei der Beurteilung, inwieweit Forschungsdaten zu de-identifizieren sind, immer eine wesentliche Rolle spielt. Dies verdeutlicht, dass bestimmte Forschungsvorhaben ohne personenbezogene bzw. pseudonymisierte Daten nicht möglich wären. Der Durchführbarkeit solcher Forschungsvorhaben wird mit dieser Formulierung Rechnung getragen.
Allerdings erscheint die Regelung als zu eng gefasst. Vor dem Hintergrund fortschreitender datenbasierter Forschung im Zeitalter von Big Data, in dem die langfristige Vorhaltung von Forschungsdaten für noch unbestimmte Forschungszwecke eine immer größere Rolle spielt, ist die Anforderung, dass Forschungsdaten aller potenziell identifizierenden Merkmale zu entkleiden sind (z.B. durch Vergröberung, Aggregierung, separates Speichern), eine Einschränkung, die nicht allen innovativen Ansätzen zum Schutz der Privatsphäre der Betroffenen Rechnung trägt.
Effektives Data Mining setzt in vielen Fällen einen möglichst unverfälschten Datensatz voraus. Je mehr Merkmale aus dem Forschungsdatensatz entfernt wurden, desto schlechter fällt in der Regel das Ergebnis aus. Daher wird in solchen Fällen häufig der Weg gewählt, dass die Algorithmen auf dem vollen Datensatz laufen und erst danach das Ergebnis nach anerkannten Methoden anonymisiert wird. Die jeweilige Zusammenführung von zunächst de-identifizierten Datensätzen für die jeweilige Data Mining Methode ist nicht immer praktikabel und möglich. Die Regelung beruht insofern auf einer eher konservativen Auffassung von Datennutzung zu Forschungszwecken und ist potenziell innovationsgefährdend. Dazu kommt, dass es keineswegs eindeutig ist, welche Merkmale im Umfeld einer datengetriebenen Präzisionsmedizin als identifizierend einzustufen sind. Oftmals haben erst mehrere Merkmale zusammengenommen eine entsprechende Wirkung. Insofern ist der Pseudonymisierungsbegriff der DSGVO auch recht restriktiv. Es sollte in begründeten Fällen möglich sein, auf der Basis einer entsprechenden Einwilligung des Betroffenen auch mit potenziell identifizierenden Daten zu forschen, sofern andere Sicherheitsmaßnahmen getroffen wurden, wie z.B. der restriktive und kontrollierte Zugang zu solchen Datenbeständen, insbesondere im Rahmen der Analyse genetischer Daten. Grundsätzlich eröffnet Art. 89 Abs. 1 DSGVO bei der konkreten Anwendung größere Spielräume, sodass die Notwendigkeit einer nationalen Ergänzung in diesem Punkt überprüft werden sollte.
4. Einschränkung der Veröffentlichung von genetischen Daten oder Gesundheitsdaten gem. § 25 Abs. 3 Nr. 1 DSAnpUG-EU
Hier ist zu bedenken, ob nicht in Anlehnung an § 23 Abs. 3 Nr. 3 DSAnpUG-EU wenigstens solche Daten veröffentlicht werden dürfen, die bereits vom Betroffenen selbst öffentlich zugänglich gemacht wurden. Dieser Fall ist angesichts der Preisgabe von sensiblen Daten in sozialen Medien nicht unwahrscheinlich und wäre gerade zur Forschung in diesem Bereich wichtig.
Ferner ist unter Umständen zu berücksichtigen, dass es bereits große Mengen an Daten, insbesondere Genomdaten, gibt, die in der Vergangenheit ohne große Bedenken öffentlich zugänglich gemacht wurden. Diese lassen sich heute praktisch nicht mehr aus der öffentlichen Sphäre zurückziehen. Die Einholung von Einwilligungen, um diese Genomdaten für Zwecke der wissenschaftlichen Forschung zu nutzen, ist aber ebenso unpraktikabel. Hier wäre es unangemessen, die weitere Nutzung unter Hinweis auf die bestehende Veröffentlichung zu unterbinden, was nach der jetzigen Formulierung nicht ausgeschlossen erscheint.
5. Definition der „Öffentlichen Stelle“
Die Frage, inwieweit die Definition der öffentlichen Stelle Auswirkungen auf die Forschungslandschaft hat, ist sehr komplex und bedarf der genaueren Prüfung. Sie lässt sich daher leider an dieser Stelle nicht beantworten.
Anders als im bisherigen BDSG scheint keine Anwendung der Regelungen für private Stellen auf öffentliche Wettbewerbseinrichtungen vorgesehen zu sein. Da sehr häufig Krankenhäuser als öffentliche Einrichtungen in die patientenorientierte Forschung eingebunden sind, und davon ausgegangen werden kann, dass diese mit privat getragenen Einrichtungen im Wettbewerb um Behandlungsverhältnisse und Forschungsgelder stehen, ist diese Änderung hinsichtlich ihrer Auswirkungen kritisch zu prüfen. Auch ist derzeit noch offen, ob und in welchem Umfang die Landesdatenschutzgesetze, die heute noch explizit Wettbewerbsregeln für öffentliche Stellen enthalten, die hier vorgenommene Richtungsänderung nachvollziehen.
6. Privilegierung interner Forschung, Harmonisierung landesgesetzlicher Regelungen
Die Freigabe von Behandlungsdaten für Zwecke interner Forschung für Krankenhäuser, die – leider im einzelnen unterschiedlich – in den meisten Landeskrankenhausgesetzen vorgesehen ist, muss aus unserer Sicht dringend erhalten bleiben. Dringend notwendig wäre eine Abstimmung und Harmonisierung dieser landesgesetzlichen Regelungen über alle Bundesländergrenzen hinweg. Wichtig ist in diesem Rahmen, dass entsprechende Regelungen so ausgestaltet sein müssen, dass sie auch Offenbarungsbefugnisse im Sinne der ärztlichen Schweigepflicht darstellen.
Ferner ist es notwendig, vor dem Hintergrund der immer größeren Vernetzung von Forschungsvorhaben und der damit einhergehenden Datennutzung über einzelne Standorte hinaus, „interne“ Forschung – versorgungsbezogen und der Schweigepflicht unterworfen – weniger standortgebunden zu definieren. Darüber hinaus sollte auch Arztpraxen, die von den Regelungen der Landeskrankenhausgesetze nicht erfasst sind, ermöglicht werden, an entsprechenden Forschungsprojekten, auch als Verbund organisiert, teilzunehmen. Unabhängig von den rechtlichen Grundlagen ist für alle Akteure die Gewährleistung der technischen Datensicherheit ohnehin ein wesentliches Gebot, nicht zuletzt um das Vertrauen der Patienten und Probanden zu erhalten.
7. Erleichterungen für die Forschung mit Sozialdaten
Vor dem Hintergrund der Tragweite, die der vorliegende Gesetzentwurf im Hinblick auf den Umgang mit Daten in der Forschung besitzt, möchten wir auf die weiterhin bestehende Notwendigkeit für Erleichterungen im Umgang mit Sozialdaten hinweisen, die unter das spezielle Regime des SGB fallen. Es gibt bereits mehrere Initiativen zur Anpassung oder Ergänzung des § 75 SGB X, die das unterstützenswerte Ziel verfolgen, die Nutzbarkeit dieser Datenkörper für die medizinische Forschung zu verbessern. Angesichts der inhaltlichen wie politischen Opportunität, die sich aus dem Entwurf zum DSAnpUG-EU ergibt, möchten wir den Gesetzgeber anregen, eine Berücksichtigung der vorgeschlagenen Änderungen noch im laufenden Gesetzgebungsprozess zu erwägen.