Entschließung: Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung
Vorbemerkung
Die wissenschaftliche Forschung mit Gesundheitsdaten, also mit Informationen über den Gesundheitszustand von Personen, kann dazu dienen, Erkenntnisse über die Ursachen von Krankheiten zu gewinnen, effiziente Therapien zu entwickeln und Behandlungsmöglichkeiten zu verbessern.
Damit steht sie im essentiellen Interesse der Allgemeinheit und sollte gerade bei der Verfolgung dieser Ziele bestmöglich gefördert werden. Allerdings ist dabei zu beachten, dass die hierfür relevanten Datenkategorien von der europäischen Datenschutz-Grundverordnung (DSGVO) in besonderer Weise geschützt werden und einem besonders hohen Schutzbedarf unterliegen. Eine unsachgemäße Verwendung sensibler Gesundheitsdaten kann zu gravierenden Folgen führen, wie z.B. soziale Stigmatisierung oder sogar Diskriminierung für die betroffenen Personen etwa auf dem Arbeits- und Versicherungsmarkt.
Datenverarbeitung für Zwecke der wissenschaftlichen Forschung genießt schon heute in der Datenschutz-Grundverordnung und den nationalen Datenschutzgesetzen eine weitgehende Privilegierung. Es ist daher eine wichtige Herausforderung, Wege und Lösungen zu finden, um die Verarbeitung von Gesundheitsdaten zu im öffentlichen Interesse liegenden wissenschaftlichen Forschungszwecken zu ermöglichen und ihre Vorzüge nutzbar zu machen. Gleichzeitig ist den damit verbundenen Risiken konsequent zu begegnen, um den Betroffenen einen adäquaten Grundrechtsschutz zu gewähren.
Mit begründetem Vertrauen der betroffenen Personen in die Einhaltung ethischer, rechtlicher und technischer Standards wächst ihre Motivation, die Forschung zu unterstützen. Deshalb ist es für Bürgerinnen und Bürger unerlässlich, darauf vertrauen zu können, dass ihre personenbezogenen Daten im Einklang mit den sie schützenden datenschutzrechtlichen Vorgaben und unter Wahrung ihrer informationellen Selbstbestimmung verarbeitet werden. Auch deshalb ist Datenschutz eine Voraussetzung für eine menschenzentrierte wissenschaftliche Forschung mit Gesundheitsdaten.
Grundlage für eine solche datenschutzkonforme effektive Gesundheitsdatenforschung ist neben einer weitreichenden Transparenz vor allem eine hohe Rechtsklarheit für alle Beteiligten sowie die Sicherstellung eines nachhaltigen Schutzes personenbezogener Daten, wie bereits in ihrer Entschließung vom 23. März 2022 „Wissenschaftliche Forschung – selbstverständlich mit Datenschutz“ von der DSK gefordert.
In Konkretisierung dieser Forderungen hat sich die DSK auf die folgenden Empfehlungen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung verständigt:
1. Die Menschen stehen im Mittelpunkt der Forschung. Sie dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. Entsprechende Verarbeitungsprozesse müssen daher rechtmäßig sowie für betroffene Personen stets transparent und nachvollziehbar sein. Auch wenn eine Verarbeitung ihrer Daten im öffentlichen Interesse gesetzlich erlaubt und nicht auf ihre Einwilligung gestützt wird, sind die betroffenen Personen in geeigneter Form einzubinden. Digitale Managementsysteme sollen Informations-, Kontroll- und Mitwirkungsmöglichkeiten sicherstellen. Gesetzliche Regelungen müssen wirksam den Schutz des Rechts auf informationelle Selbstbestimmung der betroffenen Personen gewährleisten und die datenschutzrechtlichen Anforderungen des europäischen und nationalen Datenschutzes erfüllen.
2. Es gilt der Grundsatz: Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten genutzt werden.
3. Zu den grundlegenden Garantien und Maßnahmen gehören die Verschlüsselung, die Pseudonymisierung durch eine Vertrauensstelle und die frühestmögliche Anonymisierung. Zusätzlich sind besondere Anforderungen bei Verarbeitungen in Drittländern zu beachten. Anonyme Datensätze, die die Re-Identifikation auch für Personen mit Zusatzwissen irreversibel ausschließen, können Forschende umfassend nutzen.
4. Auswertungen anhand von Falldaten greifen insbesondere dann besonders tief in die Rechte und Freiheiten der betroffenen Personen ein, wenn Datensätze aus verschiedenen Quellen verknüpft werden. Daher müssen die Art und der Umfang der Bereitstellung, der Zweck der Auswertung und die Forschenden persönlich besondere Schutzanforderungen erfüllen. Geeignete Verfahren müssen gewährleisten, dass rechtliche und technische Voraussetzungen für den Datenzugang erfüllt sind. Die datenschutzrechtliche Verantwortlichkeit ist lückenlos festzulegen, damit betroffene Personen ihre Datenschutzrechte ausüben können.
5. Mit einem zentralen Registerverzeichnis sollten die Nutzung der in den verschiedenen Registern gespeicherten Daten für alle Beteiligten transparent gestaltet und mehrfache Datensammlungen vermieden werden. Dabei sind Qualitätsanforderungen verbindlich vorzugeben, zu prüfen und auszuweisen. Zudem sollte eine zentrale koordinierende Stelle mit Lotsenfunktion geschaffen werden, die Datennutzungsanträge veröffentlicht und die Nutzenden zur Publizierung der Forschungsergebnisse in anonymer Form verpflichtet. Dies schafft sowohl Wissen im Allgemeininteresse als auch Schutz für die betroffenen Personen.
6. Durch eine gesetzliche Regelung des Forschungsgeheimnisses ist der Umgang mit personenbezogenen medizinischen Forschungsdaten für wissenschaftlich Forschende auch in strafrechtlicher und prozessualer Sicht klarzustellen und damit ein wichtiger Beitrag zum Schutz dieser Daten zu leisten.
7. Die Datenschutzbehörden müssen die Einhaltung datenschutzrechtlicher Anforderungen umfassend und effektiv überwachen und durchsetzen können. Hierfür ist auch erforderlich, gegenüber öffentlichen Stellen den sofortigen Vollzug von Maßnahmen anordnen zu können. Zur Erleichterung der Kontrolle sollten standardisierte Anforderungen u.a. an die Dokumentation der Datenverarbeitungsprozesse festgelegt werden.
Grundlage für die Datenverarbeitung
Generell gilt: Die Einzelperson darf nicht zum bloßen Objekt der Datenverarbeitung gemacht werden.
Ungeachtet der gesondert zu führenden Diskussionen zum europäischen Gesundheitsdatenraum und zur Nutzung von Gesundheitsdaten zu Forschungszwecken auf europäischer Ebene, besteht nach Auffassung der DSK auch auf nationaler Ebene Bedarf, die Regelungen für die Nutzung von Forschungsdaten näher zu spezifizieren und kohärent auszugestalten. Ziel dabei sollte eine länderübergreifende, einheitliche Regelung zur Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken sein, die Forschungsverbünden mit Partnern in unterschiedlichen Bundesländern das Einhalten der datenschutzrechtlichen Anforderungen erleichtert.
Soweit Ärztinnen und Ärzte und andere Berufsgeheimnisträger ermächtigt werden sollen, personenbezogene Daten zu Forschungszwecken zu übermitteln, muss die Regelung mit dem Berufsrecht in Einklang stehen.
Die datenschutzrechtliche Einwilligung als Grundlage für die Datennutzung kann dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen. Sie muss freiwillig erfolgen, setzt eine umfassende Information voraus und ist jederzeit widerruflich.
Es ist Aufgabe des Gesetzgebers, im Allgemeininteresse liegende Forschung mit Gesundheitsdaten zu ermöglichen, aber auch ihre Grenzen festzulegen und die Interessen der betroffenen Personen zu wahren. Der Gesetzgeber darf diese komplexen Fragestellungen nicht vollständig auf die betroffenen Personen und die Forschenden verlagern.
Sofern eine gesetzliche Regelung Rechtsgrundlage einer Datenverarbeitung zu Forschungszwecken sein soll, muss sie in jedem Fall normenklar wirksam den Schutz des Rechts auf informationelle Selbstbestimmung der betroffenen Personen gewährleisten und die datenschutzrechtlichen Anforderungen des europäischen und nationalen Datenschutzes erfüllen. Eine solche Regelung kann bei der Nutzung von Daten aus anderen Quellen, beispielsweise Behandlungsdaten aus Krankenhäusern, aus medizinischen Registern oder auch aus anderen Forschungsprojekten (sog. Sekundärnutzung) datenschutzkonforme Forschung ermöglichen oder erleichtern, wenn das Einholen einer ausdrücklichen Einwilligung nicht durchführbar wäre oder das Forschungsvorhaben ernsthaft beeinträchtigen würde.
Zweck der wissenschaftlichen Forschung
Eine gesetzliche Grundlage für die Nutzung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken muss einen Ausgleich insbesondere zwischen den verfassungsrechtlich geschützten Interessen schaffen: dem Recht der betroffenen Personen auf Kontrolle über ihre Daten (sog. „informationelles Selbstbestimmungsrecht“) einerseits und der Forschungsfreiheit der Wissenschaftler und wissenschaftlichen Einrichtungen andererseits.
Eine gesetzliche Grundlage für die Verarbeitung personenbezogener Daten zu Forschungszwecken sollte im Rahmen der Interessenabwägung u.a. Gemeinwohlinteressen – insbesondere das öffentliche Interesse an den Erkenntnissen und den Nutzen für die Allgemeinheit – berücksichtigen. Es bedarf der näheren Bestimmung durch den Gesetzgeber, was inhaltlich der Forschung im Gemeinwohlinteresse entspricht und welche weiteren Anforderungen an das Verfahren und die Durchführung der Forschung gestellt werden.
Geeignete Garantien für die Rechte und Freiheiten betroffener Personen
Eine gesetzliche Grundlage für die Verarbeitung von Gesundheitsdaten muss angemessene Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen enthalten.
Die Privilegierung der Forschung als Zweck der Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung wird flankiert von zusätzlichen Anforderungen, vor allem zur Datenminimierung und zur frühestmöglichen Anonymisierung. Da die Anonymisierung den besten Schutz für die Rechte und Freiheiten der betroffenen Personen bietet, ist die Umsetzung dieser Schutzmaßnahme immer vorrangig zu prüfen.
Soweit der Forschungszweck mit anonymisierten Daten erreicht werden kann, dürfen nur anonymisierte Daten verarbeitet werden. Dabei bestehen hohe Anforderungen an die Anonymisierung personenbezogener Daten. Soweit zur Erreichung des Forschungszwecks eine vollständige Anonymisierung nicht möglich ist, sind effektive Maßnahmen der Pseudonymisierung vorzusehen. Darüber hinaus sind technische und organisatorische Schutzmaßnahmen entsprechend dem für die bei Gesundheitsdaten gesteigerten Anforderungen gemäß dem Stand der Technik zu treffen, darunter solche zur Pseudonymisierung und Verschlüsselung der Daten.
Falls Datenverarbeitungen auch in Ländern außerhalb des Europäischen Wirtschaftsraums stattfinden sollen, entstehen dadurch Risiken, denen mit besonderen Garantien zu begegnen ist. Dies ist nach der DSGVO gewährleistet mit Beschlüssen nach Art. 45 DSGVO und bei Garantien nach Art. 46 DSGVO einschließlich gebotener ergänzender Maßnahmen. Auch in allen anderen Fällen sollten Pseudonymisierungen oder Verschlüsselungen ausschließen, dass die Daten im Drittland einer spezifischen Person zugeordnet werden können.
Pseudonymisierung durch Vertrauensstellen
Die Aufgabe der Pseudonymisierung der Gesundheitsdaten sollte gesetzlich an unabhängige und eigenverantwortliche Vertrauensstellen übertragen werden. Dafür ist entscheidend, diese Stellen völlig unabhängig auszugestalten und insbesondere Weisungen von wissenschaftlich Forschenden bzgl. der von den Vertrauensstellen verarbeiteten Daten auszuschließen. Die konkreten Aufgaben, Rechte und Pflichten der Vertrauensstellen sind zu definieren. Je nach Ausgestaltung ist zudem die eigene Verantwortlichkeit dieser Stellen für die Datenverarbeitung im Interesse der Wahrung der Betroffenenrechte festzulegen.
Kontrolle durch die betroffenen Personen: Mitwirkung und Widerspruch
Will der Gesetzgeber die Verarbeitung zu Forschungszwecken nicht auf eine Einwilligung, sondern auf eine gesetzliche Grundlage stellen, sollte er die Einbindung der betroffenen Personen vorsehen. Dabei ist zumindest sicherzustellen, dass die betroffene Person in der Regel einer Verarbeitung der personenbezogenen Daten zu Forschungszwecken voraussetzungslos widersprechen kann. Ausnahmen können nur für gesetzlich konkret bestimmte Einzelfälle vorgesehen werden, wenn dieses Recht den Forschungszweck unmöglich macht oder ernsthaft beeinträchtigt. Das Verfahren ist so auszugestalten, dass der Widerspruch möglichst unkompliziert ausgeübt werden kann.
Die betroffenen Personen müssen über die Verarbeitungsschritte informiert werden sowie Gelegenheit erhalten, sich leicht zu informieren. Digitale Methoden oder Managementsysteme, wie Datencockpit, Dashboard oder Portal, sollen dabei Information, Kontrolle und Mitwirkung vereinfachen, indem sie Nachrichten übermitteln und digitale Einwilligungserklärungen zulassen. Durch entsprechende Vorgaben sollten Lösungen erreicht werden, die Bürgerinnen und Bürgern einheitliche und leicht zugängliche Wege bieten, ihre Kontrollrechte auszuüben.
Sichere Datenbereitstellung
Zunächst ist ein Verfahren festzulegen, in dem zuverlässig überprüft werden kann, ob ein Zugriff auf die Daten datenschutzrechtlich zulässig ist (Use-and-Access-Verfahren). Bei der Bereitstellung von personenbezogenen Daten für Forschende müssen besondere technische und organisatorische Anforderungen vorgeschrieben werden. So sollte ein Zugang zu den Daten vorrangig in einer sicheren Umgebung der Zugangsstelle vorgesehen werden. Ein Zugriff oder Abruf sollte nur dann möglich sein, wenn Forschende zuvor nachweisen, dass sie angemessene technische und organisatorische Maßnahmen implementiert haben und den Stand der Technik einhalten.
Um den Verantwortlichen Hilfestellung zur Beachtung einheitlicher Mindeststandards zu geben, sollten generelle Risiken der Verarbeitung im Wege einer gesetzlichen Datenschutz-Folgenabschätzung ermittelt und berücksichtigt sowie grundlegende Maßnahmen zur Risikominimierung unmittelbar gesetzlich geregelt werden. Unabhängig davon ist von den Verantwortlichen eine Datenschutz-Folgenabschätzung für jeweils bevorstehende Forschungsvorhaben durchzuführen.
Verknüpfung von Datensätzen
Sofern eine gesetzliche Grundlage geschaffen werden sollte, um Datensätze aus verschiedenen Quellen, beispielsweise aus medizinischen Registern, zu verknüpfen, sind besondere Sicherheits- und Schutzmaßnahmen vorzusehen. Die Verknüpfung erhöht das Risiko für die Rechte und Freiheiten natürlicher Personen, wenn sie anhand der zusammengeführten Informationen leichter zu identifizieren sind. Sie verstärkt darüber hinaus das Risiko, dass Zweckbindungen nicht eingehalten werden, dass zusätzliche, nicht zur Erreichung des Forschungszwecks erforderliche Informationen in einer für die betroffenen Personen wenig überschaubaren Weise generiert oder auch unrichtige Informationen erzeugt werden. Es sind besondere Record-Linkage-Verfahren vorzusehen, die nur eine anlassbezogene und temporäre Zusammenführung zulassen sollten. Die betroffenen Personen sollten über ein Einwilligungsmanagementsystem die Gelegenheit haben, in Kenntnis der Risiken der Zusammenführung aktiv zuzustimmen. Alternativ müssen technische Methoden oder Maßnahmen sicherstellen, dass die Reidentifizierung der betroffenen Person trotz der Verkettung ausgeschlossen ist.
Bei der Verarbeitung von Daten zu Forschungszwecken muss stets unter Beachtung der vorliegenden Risiken geprüft werden, ob und inwieweit Daten zentral oder dezentral gespeichert oder verarbeitet werden. Soweit dies vom Forschungszweck her möglich ist, sollten die Daten am Ort der Speicherung ausgewertet werden, so dass den Ort der sicheren Speicherung nur anonyme Ergebnisse der Datenauswertung verlassen. Dabei ist eine Mehrfachspeicherung zu vermeiden.
Partizipation und Teilnahme
Im Zusammenhang mit der Gesundheitsforschung gibt es bereits vielfältige Ansätze zur Partizipation der betroffenen Personen. Einige Forschungsvorhaben und Register ermöglichen den betroffenen Personen, sich über Vorhaben und daraus resultierende Erkenntnisse z.B. zu Behandlungsalternativen oder Therapien zu informieren, darüber zu diskutieren und sich bestimmte Forschungsthemen zu wünschen. Diese Partizipation sollte gesetzlich verankert werden.
Denkbar sind Webportale mit weiterführenden Informationen über konkrete Forschungsprojekte sowie einzelne darauf bezogene Krankheitsbilder und in diesem Zusammenhang stehende Therapieziele, Diskussionsforen, Newsletter oder Veröffentlichungen von Datenauswertungen.
Klare Verantwortlichkeiten
Die DSK empfiehlt, gesetzlich zu bestimmen, wer datenschutzrechtlich für einzelne Verarbeitungsschritte verantwortlich ist. Die datenschutzrechtliche Verantwortlichkeit ist lückenlos zu regeln, insbesondere bei der Übermittlung zwischen Forschungseinrichtungen, um sicherzustellen, dass die betroffenen Personen ihre Datenschutzrechte ausüben können. Es sind rechtsklare Regelungen zur Aufbewahrungsdauer und Löschung von Forschungsdaten festzulegen, die sowohl das Recht auf informationelle Selbstbestimmung der betroffenen Personen als auch das Interesse der wissenschaftlichen Forschung an einer späteren Überprüfbarkeit der Forschungsergebnisse berücksichtigen. Die aus Sicht des Datenschutzes besonders relevanten Instrumente der Verschlüsselung, Pseudonymisierung und Anonymisierung sollten vom Gesetzgeber präzisiert werden.
Daten aus medizinischen Registern
Eine gesetzliche Regelung zur Nutzung von personenbezogenen Daten für Forschungszwecke sollte zudem spezifische Vorgaben für medizinische Register schaffen. Sie sollte einheitliche Anforderungen für die Datenverarbeitung in den Registern enthalten.
Hierzu sollte zunächst ein laufendes, zentrales Verzeichnis der bestehenden Register im Gesundheitsbereich errichtet werden, um eine strukturierte Übersicht über vorhandene Daten zu bieten. Dies schafft für die betroffenen Personen ebenso wie für die Forschenden Transparenz. Zugleich vermeidet dies mehrfache Datensammlungen mit gleichen Inhalten und fördert so den Grundsatz der Datenminimierung.
Weiter sind Standards für die Qualität medizinischer Register und der dortigen Verarbeitung festzulegen, die auch Vorgaben zum Datenschutz und zur Datensicherheit enthalten müssen. So sollten die von den Registern einzuhaltenden technisch-organisatorischen Maßnahmen harmonisiert werden. Zugleich sollte ein Verfahren vorgesehen werden, mit dem die Einhaltung dieser Standards – in regelmäßigen Abständen wiederholt – geprüft und nachgewiesen wird.
Eine Datenverarbeitung in den Registern ist stets nur zulässig, wenn die Einhaltung der datenschutzrechtlichen Vorgaben gewährleistet ist. Eine Befugnis zur Übermittlung von personenbezogenen Daten, insbesondere Patientendaten, in ein Register setzt dabei mindestens die normenklare Definition des Datenkranzes und die Erforderlichkeit der Erfassung aus medizinisch-fachlicher Sicht voraus. Eine ausdrückliche Meldepflicht ist nur in besonderen Ausnahmefällen denkbar und muss aus verfassungsrechtlichen Gründen gesetzlich festgelegt sein.
Sollte eine zentrale, koordinierende Stelle vorgesehen werden, könnte diese hinsichtlich der Betroffenenrechte eine Beratungs- und Lotsenfunktion wahrnehmen. Um die zuverlässige Durchführung dieser Aufgaben zu gewährleisten, ist eine öffentliche Stelle hiermit zu betrauen und die datenschutzrechtliche Verantwortlichkeit der Stelle ebenso wie die datenschutzrechtliche Aufsicht eindeutig festzulegen.
Normenklare Regelung eines Forschungsgeheimnisses
Bereits mit ihrer Entschließung im Jahr 2004 hat die 67. DSK die Einführung eines Forschungsgeheimnisses gefordert und diese Forderung im März 2022 bekräftigt. Hierdurch sollte die unbefugte Offenbarung von personenbezogenen medizinischen Forschungsdaten unter Strafe gestellt, deren Beschlagnahme verboten und ein Zeugnisverweigerungsrecht für wissenschaftlich Forschende und ihre Berufshelfer geschaffen werden. Die DSK erinnert eindringlich an diese Forderung und ist bereit, entsprechende Vorhaben beratend zu begleiten.
Überwachung und Aufsicht
Die unabhängigen Datenschutz-Aufsichtsbehörden müssen die Einhaltung der datenschutzrechtlichen Regelungen zur Verarbeitung personenbezogener Gesundheitsdaten im Forschungskontext lückenlos überwachen und durchsetzen können. Sie müssen auch gegenüber öffentlichen Stellen mit Befugnissen ausgestattet werden, erforderliche Anordnungen durchsetzen zu können. Dazu gehört auch die - europarechtlich ohnehin gebotene und in Deutschland bisher ausgeschlossene - Möglichkeit, sofortigen Vollzug von Maßnahmen anordnen zu können.
Um eine effektive und konstruktive Aufsicht zu gewährleisten, sind konkrete Anforderungen an die prüffähige Dokumentation der Verarbeitungsschritte und die zu implementierenden technischen und organisatorischen Maßnahmen vorzusehen. Ebenso sind die forschenden Einrichtungen mit ausreichendem datenschutzrechtlichen Sachverstand auszustatten.
Vorbemerkung
Die wissenschaftliche Forschung mit Gesundheitsdaten, also mit Informationen über den Gesundheitszustand von Personen, kann dazu dienen, Erkenntnisse über die Ursachen von Krankheiten zu gewinnen, effiziente Therapien zu entwickeln und Behandlungsmöglichkeiten zu verbessern.
Damit steht sie im essentiellen Interesse der Allgemeinheit und sollte gerade bei der Verfolgung dieser Ziele bestmöglich gefördert werden. Allerdings ist dabei zu beachten, dass die hierfür relevanten Datenkategorien von der europäischen Datenschutz-Grundverordnung (DSGVO) in besonderer Weise geschützt werden und einem besonders hohen Schutzbedarf unterliegen. Eine unsachgemäße Verwendung sensibler Gesundheitsdaten kann zu gravierenden Folgen führen, wie z.B. soziale Stigmatisierung oder sogar Diskriminierung für die betroffenen Personen etwa auf dem Arbeits- und Versicherungsmarkt.
Datenverarbeitung für Zwecke der wissenschaftlichen Forschung genießt schon heute in der Datenschutz-Grundverordnung und den nationalen Datenschutzgesetzen eine weitgehende Privilegierung. Es ist daher eine wichtige Herausforderung, Wege und Lösungen zu finden, um die Verarbeitung von Gesundheitsdaten zu im öffentlichen Interesse liegenden wissenschaftlichen Forschungszwecken zu ermöglichen und ihre Vorzüge nutzbar zu machen. Gleichzeitig ist den damit verbundenen Risiken konsequent zu begegnen, um den Betroffenen einen adäquaten Grundrechtsschutz zu gewähren.
Mit begründetem Vertrauen der betroffenen Personen in die Einhaltung ethischer, rechtlicher und technischer Standards wächst ihre Motivation, die Forschung zu unterstützen. Deshalb ist es für Bürgerinnen und Bürger unerlässlich, darauf vertrauen zu können, dass ihre personenbezogenen Daten im Einklang mit den sie schützenden datenschutzrechtlichen Vorgaben und unter Wahrung ihrer informationellen Selbstbestimmung verarbeitet werden. Auch deshalb ist Datenschutz eine Voraussetzung für eine menschenzentrierte wissenschaftliche Forschung mit Gesundheitsdaten.
Grundlage für eine solche datenschutzkonforme effektive Gesundheitsdatenforschung ist neben einer weitreichenden Transparenz vor allem eine hohe Rechtsklarheit für alle Beteiligten sowie die Sicherstellung eines nachhaltigen Schutzes personenbezogener Daten, wie bereits in ihrer Entschließung vom 23. März 2022 „Wissenschaftliche Forschung – selbstverständlich mit Datenschutz“ von der DSK gefordert.
In Konkretisierung dieser Forderungen hat sich die DSK auf die folgenden Empfehlungen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung verständigt:
1. Die Menschen stehen im Mittelpunkt der Forschung. Sie dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. Entsprechende Verarbeitungsprozesse müssen daher rechtmäßig sowie für betroffene Personen stets transparent und nachvollziehbar sein. Auch wenn eine Verarbeitung ihrer Daten im öffentlichen Interesse gesetzlich erlaubt und nicht auf ihre Einwilligung gestützt wird, sind die betroffenen Personen in geeigneter Form einzubinden. Digitale Managementsysteme sollen Informations-, Kontroll- und Mitwirkungsmöglichkeiten sicherstellen. Gesetzliche Regelungen müssen wirksam den Schutz des Rechts auf informationelle Selbstbestimmung der betroffenen Personen gewährleisten und die datenschutzrechtlichen Anforderungen des europäischen und nationalen Datenschutzes erfüllen.
2. Es gilt der Grundsatz: Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten genutzt werden.
3. Zu den grundlegenden Garantien und Maßnahmen gehören die Verschlüsselung, die Pseudonymisierung durch eine Vertrauensstelle und die frühestmögliche Anonymisierung. Zusätzlich sind besondere Anforderungen bei Verarbeitungen in Drittländern zu beachten. Anonyme Datensätze, die die Re-Identifikation auch für Personen mit Zusatzwissen irreversibel ausschließen, können Forschende umfassend nutzen.
4. Auswertungen anhand von Falldaten greifen insbesondere dann besonders tief in die Rechte und Freiheiten der betroffenen Personen ein, wenn Datensätze aus verschiedenen Quellen verknüpft werden. Daher müssen die Art und der Umfang der Bereitstellung, der Zweck der Auswertung und die Forschenden persönlich besondere Schutzanforderungen erfüllen. Geeignete Verfahren müssen gewährleisten, dass rechtliche und technische Voraussetzungen für den Datenzugang erfüllt sind. Die datenschutzrechtliche Verantwortlichkeit ist lückenlos festzulegen, damit betroffene Personen ihre Datenschutzrechte ausüben können.
5. Mit einem zentralen Registerverzeichnis sollten die Nutzung der in den verschiedenen Registern gespeicherten Daten für alle Beteiligten transparent gestaltet und mehrfache Datensammlungen vermieden werden. Dabei sind Qualitätsanforderungen verbindlich vorzugeben, zu prüfen und auszuweisen. Zudem sollte eine zentrale koordinierende Stelle mit Lotsenfunktion geschaffen werden, die Datennutzungsanträge veröffentlicht und die Nutzenden zur Publizierung der Forschungsergebnisse in anonymer Form verpflichtet. Dies schafft sowohl Wissen im Allgemeininteresse als auch Schutz für die betroffenen Personen.
6. Durch eine gesetzliche Regelung des Forschungsgeheimnisses ist der Umgang mit personenbezogenen medizinischen Forschungsdaten für wissenschaftlich Forschende auch in strafrechtlicher und prozessualer Sicht klarzustellen und damit ein wichtiger Beitrag zum Schutz dieser Daten zu leisten.
7. Die Datenschutzbehörden müssen die Einhaltung datenschutzrechtlicher Anforderungen umfassend und effektiv überwachen und durchsetzen können. Hierfür ist auch erforderlich, gegenüber öffentlichen Stellen den sofortigen Vollzug von Maßnahmen anordnen zu können. Zur Erleichterung der Kontrolle sollten standardisierte Anforderungen u.a. an die Dokumentation der Datenverarbeitungsprozesse festgelegt werden.
Grundlage für die Datenverarbeitung
Generell gilt: Die Einzelperson darf nicht zum bloßen Objekt der Datenverarbeitung gemacht werden.
Ungeachtet der gesondert zu führenden Diskussionen zum europäischen Gesundheitsdatenraum und zur Nutzung von Gesundheitsdaten zu Forschungszwecken auf europäischer Ebene, besteht nach Auffassung der DSK auch auf nationaler Ebene Bedarf, die Regelungen für die Nutzung von Forschungsdaten näher zu spezifizieren und kohärent auszugestalten. Ziel dabei sollte eine länderübergreifende, einheitliche Regelung zur Verarbeitung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken sein, die Forschungsverbünden mit Partnern in unterschiedlichen Bundesländern das Einhalten der datenschutzrechtlichen Anforderungen erleichtert.
Soweit Ärztinnen und Ärzte und andere Berufsgeheimnisträger ermächtigt werden sollen, personenbezogene Daten zu Forschungszwecken zu übermitteln, muss die Regelung mit dem Berufsrecht in Einklang stehen.
Die datenschutzrechtliche Einwilligung als Grundlage für die Datennutzung kann dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen. Sie muss freiwillig erfolgen, setzt eine umfassende Information voraus und ist jederzeit widerruflich.
Es ist Aufgabe des Gesetzgebers, im Allgemeininteresse liegende Forschung mit Gesundheitsdaten zu ermöglichen, aber auch ihre Grenzen festzulegen und die Interessen der betroffenen Personen zu wahren. Der Gesetzgeber darf diese komplexen Fragestellungen nicht vollständig auf die betroffenen Personen und die Forschenden verlagern.
Sofern eine gesetzliche Regelung Rechtsgrundlage einer Datenverarbeitung zu Forschungszwecken sein soll, muss sie in jedem Fall normenklar wirksam den Schutz des Rechts auf informationelle Selbstbestimmung der betroffenen Personen gewährleisten und die datenschutzrechtlichen Anforderungen des europäischen und nationalen Datenschutzes erfüllen. Eine solche Regelung kann bei der Nutzung von Daten aus anderen Quellen, beispielsweise Behandlungsdaten aus Krankenhäusern, aus medizinischen Registern oder auch aus anderen Forschungsprojekten (sog. Sekundärnutzung) datenschutzkonforme Forschung ermöglichen oder erleichtern, wenn das Einholen einer ausdrücklichen Einwilligung nicht durchführbar wäre oder das Forschungsvorhaben ernsthaft beeinträchtigen würde.
Zweck der wissenschaftlichen Forschung
Eine gesetzliche Grundlage für die Nutzung von Gesundheitsdaten zu wissenschaftlichen Forschungszwecken muss einen Ausgleich insbesondere zwischen den verfassungsrechtlich geschützten Interessen schaffen: dem Recht der betroffenen Personen auf Kontrolle über ihre Daten (sog. „informationelles Selbstbestimmungsrecht“) einerseits und der Forschungsfreiheit der Wissenschaftler und wissenschaftlichen Einrichtungen andererseits.
Eine gesetzliche Grundlage für die Verarbeitung personenbezogener Daten zu Forschungszwecken sollte im Rahmen der Interessenabwägung u.a. Gemeinwohlinteressen – insbesondere das öffentliche Interesse an den Erkenntnissen und den Nutzen für die Allgemeinheit – berücksichtigen. Es bedarf der näheren Bestimmung durch den Gesetzgeber, was inhaltlich der Forschung im Gemeinwohlinteresse entspricht und welche weiteren Anforderungen an das Verfahren und die Durchführung der Forschung gestellt werden.
Geeignete Garantien für die Rechte und Freiheiten betroffener Personen
Eine gesetzliche Grundlage für die Verarbeitung von Gesundheitsdaten muss angemessene Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen enthalten.
Die Privilegierung der Forschung als Zweck der Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung wird flankiert von zusätzlichen Anforderungen, vor allem zur Datenminimierung und zur frühestmöglichen Anonymisierung. Da die Anonymisierung den besten Schutz für die Rechte und Freiheiten der betroffenen Personen bietet, ist die Umsetzung dieser Schutzmaßnahme immer vorrangig zu prüfen.
Soweit der Forschungszweck mit anonymisierten Daten erreicht werden kann, dürfen nur anonymisierte Daten verarbeitet werden. Dabei bestehen hohe Anforderungen an die Anonymisierung personenbezogener Daten. Soweit zur Erreichung des Forschungszwecks eine vollständige Anonymisierung nicht möglich ist, sind effektive Maßnahmen der Pseudonymisierung vorzusehen. Darüber hinaus sind technische und organisatorische Schutzmaßnahmen entsprechend dem für die bei Gesundheitsdaten gesteigerten Anforderungen gemäß dem Stand der Technik zu treffen, darunter solche zur Pseudonymisierung und Verschlüsselung der Daten.
Falls Datenverarbeitungen auch in Ländern außerhalb des Europäischen Wirtschaftsraums stattfinden sollen, entstehen dadurch Risiken, denen mit besonderen Garantien zu begegnen ist. Dies ist nach der DSGVO gewährleistet mit Beschlüssen nach Art. 45 DSGVO und bei Garantien nach Art. 46 DSGVO einschließlich gebotener ergänzender Maßnahmen. Auch in allen anderen Fällen sollten Pseudonymisierungen oder Verschlüsselungen ausschließen, dass die Daten im Drittland einer spezifischen Person zugeordnet werden können.
Pseudonymisierung durch Vertrauensstellen
Die Aufgabe der Pseudonymisierung der Gesundheitsdaten sollte gesetzlich an unabhängige und eigenverantwortliche Vertrauensstellen übertragen werden. Dafür ist entscheidend, diese Stellen völlig unabhängig auszugestalten und insbesondere Weisungen von wissenschaftlich Forschenden bzgl. der von den Vertrauensstellen verarbeiteten Daten auszuschließen. Die konkreten Aufgaben, Rechte und Pflichten der Vertrauensstellen sind zu definieren. Je nach Ausgestaltung ist zudem die eigene Verantwortlichkeit dieser Stellen für die Datenverarbeitung im Interesse der Wahrung der Betroffenenrechte festzulegen.
Kontrolle durch die betroffenen Personen: Mitwirkung und Widerspruch
Will der Gesetzgeber die Verarbeitung zu Forschungszwecken nicht auf eine Einwilligung, sondern auf eine gesetzliche Grundlage stellen, sollte er die Einbindung der betroffenen Personen vorsehen. Dabei ist zumindest sicherzustellen, dass die betroffene Person in der Regel einer Verarbeitung der personenbezogenen Daten zu Forschungszwecken voraussetzungslos widersprechen kann. Ausnahmen können nur für gesetzlich konkret bestimmte Einzelfälle vorgesehen werden, wenn dieses Recht den Forschungszweck unmöglich macht oder ernsthaft beeinträchtigt. Das Verfahren ist so auszugestalten, dass der Widerspruch möglichst unkompliziert ausgeübt werden kann.
Die betroffenen Personen müssen über die Verarbeitungsschritte informiert werden sowie Gelegenheit erhalten, sich leicht zu informieren. Digitale Methoden oder Managementsysteme, wie Datencockpit, Dashboard oder Portal, sollen dabei Information, Kontrolle und Mitwirkung vereinfachen, indem sie Nachrichten übermitteln und digitale Einwilligungserklärungen zulassen. Durch entsprechende Vorgaben sollten Lösungen erreicht werden, die Bürgerinnen und Bürgern einheitliche und leicht zugängliche Wege bieten, ihre Kontrollrechte auszuüben.
Sichere Datenbereitstellung
Zunächst ist ein Verfahren festzulegen, in dem zuverlässig überprüft werden kann, ob ein Zugriff auf die Daten datenschutzrechtlich zulässig ist (Use-and-Access-Verfahren). Bei der Bereitstellung von personenbezogenen Daten für Forschende müssen besondere technische und organisatorische Anforderungen vorgeschrieben werden. So sollte ein Zugang zu den Daten vorrangig in einer sicheren Umgebung der Zugangsstelle vorgesehen werden. Ein Zugriff oder Abruf sollte nur dann möglich sein, wenn Forschende zuvor nachweisen, dass sie angemessene technische und organisatorische Maßnahmen implementiert haben und den Stand der Technik einhalten.
Um den Verantwortlichen Hilfestellung zur Beachtung einheitlicher Mindeststandards zu geben, sollten generelle Risiken der Verarbeitung im Wege einer gesetzlichen Datenschutz-Folgenabschätzung ermittelt und berücksichtigt sowie grundlegende Maßnahmen zur Risikominimierung unmittelbar gesetzlich geregelt werden. Unabhängig davon ist von den Verantwortlichen eine Datenschutz-Folgenabschätzung für jeweils bevorstehende Forschungsvorhaben durchzuführen.
Verknüpfung von Datensätzen
Sofern eine gesetzliche Grundlage geschaffen werden sollte, um Datensätze aus verschiedenen Quellen, beispielsweise aus medizinischen Registern, zu verknüpfen, sind besondere Sicherheits- und Schutzmaßnahmen vorzusehen. Die Verknüpfung erhöht das Risiko für die Rechte und Freiheiten natürlicher Personen, wenn sie anhand der zusammengeführten Informationen leichter zu identifizieren sind. Sie verstärkt darüber hinaus das Risiko, dass Zweckbindungen nicht eingehalten werden, dass zusätzliche, nicht zur Erreichung des Forschungszwecks erforderliche Informationen in einer für die betroffenen Personen wenig überschaubaren Weise generiert oder auch unrichtige Informationen erzeugt werden. Es sind besondere Record-Linkage-Verfahren vorzusehen, die nur eine anlassbezogene und temporäre Zusammenführung zulassen sollten. Die betroffenen Personen sollten über ein Einwilligungsmanagementsystem die Gelegenheit haben, in Kenntnis der Risiken der Zusammenführung aktiv zuzustimmen. Alternativ müssen technische Methoden oder Maßnahmen sicherstellen, dass die Reidentifizierung der betroffenen Person trotz der Verkettung ausgeschlossen ist.
Bei der Verarbeitung von Daten zu Forschungszwecken muss stets unter Beachtung der vorliegenden Risiken geprüft werden, ob und inwieweit Daten zentral oder dezentral gespeichert oder verarbeitet werden. Soweit dies vom Forschungszweck her möglich ist, sollten die Daten am Ort der Speicherung ausgewertet werden, so dass den Ort der sicheren Speicherung nur anonyme Ergebnisse der Datenauswertung verlassen. Dabei ist eine Mehrfachspeicherung zu vermeiden.
Partizipation und Teilnahme
Im Zusammenhang mit der Gesundheitsforschung gibt es bereits vielfältige Ansätze zur Partizipation der betroffenen Personen. Einige Forschungsvorhaben und Register ermöglichen den betroffenen Personen, sich über Vorhaben und daraus resultierende Erkenntnisse z.B. zu Behandlungsalternativen oder Therapien zu informieren, darüber zu diskutieren und sich bestimmte Forschungsthemen zu wünschen. Diese Partizipation sollte gesetzlich verankert werden.
Denkbar sind Webportale mit weiterführenden Informationen über konkrete Forschungsprojekte sowie einzelne darauf bezogene Krankheitsbilder und in diesem Zusammenhang stehende Therapieziele, Diskussionsforen, Newsletter oder Veröffentlichungen von Datenauswertungen.
Klare Verantwortlichkeiten
Die DSK empfiehlt, gesetzlich zu bestimmen, wer datenschutzrechtlich für einzelne Verarbeitungsschritte verantwortlich ist. Die datenschutzrechtliche Verantwortlichkeit ist lückenlos zu regeln, insbesondere bei der Übermittlung zwischen Forschungseinrichtungen, um sicherzustellen, dass die betroffenen Personen ihre Datenschutzrechte ausüben können. Es sind rechtsklare Regelungen zur Aufbewahrungsdauer und Löschung von Forschungsdaten festzulegen, die sowohl das Recht auf informationelle Selbstbestimmung der betroffenen Personen als auch das Interesse der wissenschaftlichen Forschung an einer späteren Überprüfbarkeit der Forschungsergebnisse berücksichtigen. Die aus Sicht des Datenschutzes besonders relevanten Instrumente der Verschlüsselung, Pseudonymisierung und Anonymisierung sollten vom Gesetzgeber präzisiert werden.
Daten aus medizinischen Registern
Eine gesetzliche Regelung zur Nutzung von personenbezogenen Daten für Forschungszwecke sollte zudem spezifische Vorgaben für medizinische Register schaffen. Sie sollte einheitliche Anforderungen für die Datenverarbeitung in den Registern enthalten.
Hierzu sollte zunächst ein laufendes, zentrales Verzeichnis der bestehenden Register im Gesundheitsbereich errichtet werden, um eine strukturierte Übersicht über vorhandene Daten zu bieten. Dies schafft für die betroffenen Personen ebenso wie für die Forschenden Transparenz. Zugleich vermeidet dies mehrfache Datensammlungen mit gleichen Inhalten und fördert so den Grundsatz der Datenminimierung.
Weiter sind Standards für die Qualität medizinischer Register und der dortigen Verarbeitung festzulegen, die auch Vorgaben zum Datenschutz und zur Datensicherheit enthalten müssen. So sollten die von den Registern einzuhaltenden technisch-organisatorischen Maßnahmen harmonisiert werden. Zugleich sollte ein Verfahren vorgesehen werden, mit dem die Einhaltung dieser Standards – in regelmäßigen Abständen wiederholt – geprüft und nachgewiesen wird.
Eine Datenverarbeitung in den Registern ist stets nur zulässig, wenn die Einhaltung der datenschutzrechtlichen Vorgaben gewährleistet ist. Eine Befugnis zur Übermittlung von personenbezogenen Daten, insbesondere Patientendaten, in ein Register setzt dabei mindestens die normenklare Definition des Datenkranzes und die Erforderlichkeit der Erfassung aus medizinisch-fachlicher Sicht voraus. Eine ausdrückliche Meldepflicht ist nur in besonderen Ausnahmefällen denkbar und muss aus verfassungsrechtlichen Gründen gesetzlich festgelegt sein.
Sollte eine zentrale, koordinierende Stelle vorgesehen werden, könnte diese hinsichtlich der Betroffenenrechte eine Beratungs- und Lotsenfunktion wahrnehmen. Um die zuverlässige Durchführung dieser Aufgaben zu gewährleisten, ist eine öffentliche Stelle hiermit zu betrauen und die datenschutzrechtliche Verantwortlichkeit der Stelle ebenso wie die datenschutzrechtliche Aufsicht eindeutig festzulegen.
Normenklare Regelung eines Forschungsgeheimnisses
Bereits mit ihrer Entschließung im Jahr 2004 hat die 67. DSK die Einführung eines Forschungsgeheimnisses gefordert und diese Forderung im März 2022 bekräftigt. Hierdurch sollte die unbefugte Offenbarung von personenbezogenen medizinischen Forschungsdaten unter Strafe gestellt, deren Beschlagnahme verboten und ein Zeugnisverweigerungsrecht für wissenschaftlich Forschende und ihre Berufshelfer geschaffen werden. Die DSK erinnert eindringlich an diese Forderung und ist bereit, entsprechende Vorhaben beratend zu begleiten.
Überwachung und Aufsicht
Die unabhängigen Datenschutz-Aufsichtsbehörden müssen die Einhaltung der datenschutzrechtlichen Regelungen zur Verarbeitung personenbezogener Gesundheitsdaten im Forschungskontext lückenlos überwachen und durchsetzen können. Sie müssen auch gegenüber öffentlichen Stellen mit Befugnissen ausgestattet werden, erforderliche Anordnungen durchsetzen zu können. Dazu gehört auch die - europarechtlich ohnehin gebotene und in Deutschland bisher ausgeschlossene - Möglichkeit, sofortigen Vollzug von Maßnahmen anordnen zu können.
Um eine effektive und konstruktive Aufsicht zu gewährleisten, sind konkrete Anforderungen an die prüffähige Dokumentation der Verarbeitungsschritte und die zu implementierenden technischen und organisatorischen Maßnahmen vorzusehen. Ebenso sind die forschenden Einrichtungen mit ausreichendem datenschutzrechtlichen Sachverstand auszustatten.