Forschung ohne Daten ist unvorstellbar. Wer jedoch personenbezogene Daten verarbeiten will, muss den Datenschutz beachten. Das gilt vor allem für internationale medizinische Forschungsprojekte. Anstatt über Datenschutz zu schimpfen, gilt es, diesen zu nutzen.
Vor Beginn eines Forschungsprojekts müssen die Projektverantwortlichen klären, ob die Datenverarbeitung rechtmäßig ist. Auch müssen sie die Beschränkungen der Datenverarbeitung kennen. Hilfreich ist, die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes zu verinnerlichen und zu schulen. Forschende, die im Umgang mit dem Datenschutz ungeübt sind, müssen sich zwingend über rechtliche und technische Möglichkeiten informieren. Denn bei Rechtsverletzungen sollen die Sanktionen nach den Vorgaben der DSGVO wirksam, verhältnismäßig und abschreckend sein.
Interessen Betroffener sind zu würdigen
Die DSGVO gewährt Erleichterung bei der Verarbeitung zu wissenschaftlichen Forschungszwecken. Forschungsprojekte müssen dafür einer wissenschaftlichen Methodik folgen, darüber hinaus transparent und unabhängig sein. Erlaubt ist allerdings nicht, personenbezogene Daten unbeschränkt zu nutzen. Die Interessen der Betroffenen sind zu würdigen. Daher sind mitunter technische und organisatorische Maßnahmen zu wahren und der Grundsatz der Datenminimierung zu gewährleisten. Die Verletzung von Privatgeheimnissen (§ 203 StGB) bleibt davon unberührt und stellt Geheimnisverrat im Rahmen der ärztlichen Schweigepflicht unter Strafe.
Ein weitverbreiteter Irrglaube ist, dass die Pseudonymisierung von Daten, beispielsweise durch eine Patientennummer, den Datenschutz gänzlich aushebeln könnte. Selbst pseudonymisierte Daten, auch für statistische Zwecke oder für Forschungszwecke, unterliegen zunächst den Bestimmungen der DSGVO. Doch unnütz ist das Pseudonymisieren deshalb nicht. Es bietet die Chance, den Grundsatz der Datenminimierung zu gewährleisten und damit die datenschutzrechtlichen Anforderungen zu wahren. Forschende sollten sich stets bewusst sein, dass pseudonymisierte Daten einen Rückgriff auf den Betroffenen ermöglichen können und daher schützenswert bleiben. Nur das Anonymisieren, also das Unkenntlichmachen der Daten ohne Möglichkeit des Identifizierens auch mithilfe Dritter, lässt den Datenschutz entfallen. Denn nur dann bleibt die Identität des Betroffenen vollständig gewahrt.
Bezug zu einem real existierenden Menschen
Der Datenschutz ist also immer betroffen, wenn man einen Bezug zu einem real existierenden Menschen herstellen kann. Nötig ist also nicht, dass es einen solchen Bezug tatsächlich gibt, beispielsweise durch die Angabe des Namens. Es genügt, dass der Betroffene durch das Heranziehen zusätzlicher Informationen, gegebenenfalls über Dritte, identifizierbar ist. Bereits die Vergabe einer Patientennummer genügt, wenn durch diese oder weitere Informationen ein Bezug hergestellt werden kann, beispielsweise über die Patientennummer einer Rettungsleitstelle.
Damit das Verarbeiten personenbezogener Daten rechtmäßig ist, müssen Verarbeiter einen Verarbeitungszweck bestimmen. Unzulässig wären das zwecklose Erheben und Speichern von Daten. Darüber hinaus ist eine Verarbeitung nur dann rechtmäßig, wenn eine der in Art. 6 der DSGVO genannten Bedingungen erfüllt ist, der Betroffene beispielsweise in die Verarbeitung eingewilligt hat. Im Falle der Verarbeitung besonderer Kategorien, vor allem beim Verarbeiten von Gesundheitsdaten, müssten weitere Voraussetzungen erfüllt sein (Art. 9 DSGVO).
Zahlreiche Privilegien für Forschende
Das europäische Datenschutzrecht sieht jedoch zahlreiche Privilegien für Forschungsdaten vor. So ist beispielsweise das Weiterverarbeiten personenbezogener Daten für wissenschaftliche Forschungszwecke oder für statistische Zwecke nicht als unvereinbar mit den ursprünglichen Zwecken anzusehen. Dabei sind ausreichend Garantien für die Rechte und Freiheiten des Betroffenen herzustellen. Nur so können Forschende den konkurrierenden Grundrechten auf Forschungsfreiheit (Art. 13 Satz 1 GRCh, Art. 5 Abs. 3 Satz 1 GG) und Datenschutz (Art. 8 GRCh) und der informationellen Selbstbestimmung der Betroffenen (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) gerecht werden.
Auch kann das Verarbeiten besonderer Kategorien personenbezogener Daten, einschließlich der Gesundheitsdaten, ohne Einwilligung für wissenschaftliche Forschungszwecke oder statistische Zwecke zulässig sein, wenn das Verarbeiten zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen am Verarbeiten die Interessen des Betroffenen an einem Ausschluss des Verarbeitens erheblich überwiegen. Auch das Recht auf Auskunft nach Art. 15 der DSGVO wird beschränkt. Ein Anspruch besteht beispielsweise nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
Umgang mit den Daten Betroffener
Forschende haben Maßnahmen für den Umgang mit Forschungsdaten vorzusehen. Das kann mitunter umfassen:
- Benennung einer oder eines Datenschutzbeauftragten,
- technische und organisatorische Maßnahmen einschließlich der Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit,
- Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten,
- Zugangs- und Nutzungsbeschränkungen,
- Pseudonymisierung und Verschlüsselung,
- Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten,
- Regelungen zur Einhaltung der gesetzlichen Vorgaben im Übrigen.
Die Veröffentlichung personenbezogener Daten ist nur denkbar, wenn der Betroffene eingewilligt hat oder dies für das Darstellen von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. Dagegen tangiert eine anonymisierte Veröffentlichung von Daten den Datenschutz nicht.
Dtsch Arztebl 2022; 119(20): [2]
Die Autoren
Dr. Andreas Staufer, Fachanwalt für Medizinrecht, Fachanwalt für IT-Recht
Kristin Kirsch, Rechtsanwältin
FASP Finck Sigl & Partner
80336 München
