Toolbar-Menü

Beschluss vom 15. Mai 2024: Positionspapier – Anforderungen an die Sekundärnutzung von genetischen Daten zu Forschungszwecken

„Genetische Daten“ sind nach Artikel 4 Nummer 13 der Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Die Nutzung genetischer Daten ist die Grundlage für eine personalisierte, auf die individuelle Patientin oder den individuellen Patienten angepasste Präzisionsmedizin. Die Forschung mit genetischen Daten kann den biomedizinischen Fortschritt wesent­lich voranbringen und zu einer verbesserten medizinischen Versorgung beitragen.[1] Insbesondere in der Krebsforschung und der Erforschung seltener Erkrankungen kann die Analyse genetischer Daten zu vielversprechenden Behandlungs- oder sogar Heilungsmöglichkeiten führen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert daher eine datenschutzkonforme wissenschaftliche biomedizi­nische Forschung mit genetischen Daten zum Wohle der Patientinnen und Patienten, indem dazu ein gesetzlicher Rahmen geschaffen wird, der sanktionsbewehrte hohe Schutz- und Vertrauensanforderungen und wirksame Mitwirkungs- und Kontroll­möglichkeiten der betroffenen Personen vorsieht.

Forschung mit körpereigenen Substanzen, wie z. B. Blut, Haaren oder Speichel, die ohne Kenntnis der betroffenen Person erlangt wurden, muss verboten bleiben.

I. Besonders hohe Risiken

Genetische Daten sind von äußerster Sensibilität und bergen ein „hohes prädiktives Potential“ mit Blick auf die betroffene Person und biologische Verwandte. Aus gene­tischen Daten lassen sich unter anderem Erkenntnisse über gesundheitliche Prä­dispositionen, Gesundheitsrisiken und vererbliche Erkrankungen ableiten. Diese Erkenntnisse betreffen nicht nur die betroffene Person selbst, sondern können sich auch auf leibliche Familienangehörige erstrecken. Anhand der Analyse genetischer Daten lassen sich damit Wahrscheinlichkeitsaussagen über das Auftreten von Krank­heiten der leiblich miteinander verwandten Personen treffen.

Das Diskriminierungs- und Stigmatisierungsrisiko bei Kenntnis dieser Daten, z. B. durch Versicherungen und Arbeitgeber, ist daher enorm. Risikoerhöhend wirkt sich außer­dem die Tatsache aus, dass genetische Daten durch die betroffenen Personen nicht verändert werden können, sondern diesen ihr Leben lang und auch darüber hinaus anhaften.

Die Weiterverarbeitung genetischer Daten in der medizinischen Sekundärnutzung (ins­besondere zur Forschung) betrifft daher aufgrund von Rückschlüssen auf persön­lichkeitsrelevante Merkmale wie Erbanlagen und (potentielle) Krankheiten regelmäßig den absolut geschützten Kernbereich der Persönlichkeit.

In diesem Zusammenhang muss zudem berücksichtigt werden, dass eine wirksame Anonymisierung genetischer Daten in der Regel daran scheitert, dass – etwa über einen Abgleich mit anderen genetischen Daten der betroffenen Person – eine Identifizierung möglich ist. Der Personenbezug lässt sich daher aus genetischen Daten in der Regel nicht entfernen. Genetische Daten sind deshalb schon aufgrund ihres potentiellen Informationsgehalts regelmäßig als personenbezogene Daten zu behandeln.

II. Besondere Regeln: ausdrückliche Einwilligung

Aus diesen Gründen muss der Umgang mit genetischen Daten qualifizierten daten­schutzrechtlichen Regeln unterliegen, die die Rechte und Freiheiten der betroffenen Person in ausreichendem Maße wahren.

Für die datenschutzkonforme Verarbeitung genetischer Daten bedarf es daher grund­sätzlich der ausdrücklichen Einwilligung der betroffenen Personen. Denn gerade in diesem äußerst sensiblen Bereich vermag nur die datenschutzrechtliche Einwilligung als Grundlage für eine individuelle Rechtsausübung dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen.[2]

Die DSK hat bereits 2001 auf die besondere Sensibilität genetischer Daten hingewiesen und eine gesetzliche Regelung von genetischen Untersuchungen gefordert.[3] Mit dem Gendiagnostikgesetz (GenDG) wurde eine solche gesetzliche Regelung zum 1. Februar 2010 geschaffen. Zu Recht bestimmt das Gendiagnostikgesetz, dass bei genetischen Untersuchungen oder Analysen eine Verarbeitung genetischer Daten nur mit aus­drücklicher und schriftlicher Einwilligung der betroffenen Personen erfolgen darf.

Das Gendiagnostikgesetz gilt aber ausdrücklich nicht für die Verarbeitung von Daten zu Forschungszwecken (§ 2 Absatz 2 Nr. 1 GenDG). Für die Verarbeitung genetischer Daten zu Forschungszwecken gelten bislang deshalb lediglich die allgemeinen Rege­lungen für die Forschung mit besonderen Kategorien personenbezogener Daten.

Die wirksame informierte, freiwillige und ausdrückliche Einwilligung der betroffenen Personen allein ist aber im absolut geschützten Kernbereich der Persönlichkeit noch kein ausreichender Schutzgarant des Rechts auf informationelle Selbstbestimmung. Vielmehr muss bei jeglicher Verarbeitung genetischer Daten im Rahmen einer Sekun­därnutzung zu Forschungszwecken zusätzlich sichergestellt sein, dass erforderliche angemessene und spezifische Garantien und technische sowie organisatorische Schutzmaßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorgeschrieben sind und einer regelmäßigen Prüfung und Aktualisierung unterliegen.

Im Bereich der genetischen Forschung ist ein vielfältiger Datenaustausch und die Vernetzung der genetischen Datenbestände das erklärte Ziel vieler Vorhaben. Häufig können zum Zeitpunkt der Informationsbereitstellung die Zwecke der Verarbeitung bezogen auf konkrete Forschungsprojekte im Einzelnen noch nicht vollständig und präzise angegeben werden, sodass die Einwilligung mangels ausreichender Bestimmt­heit möglicherweise an rechtliche Grenzen stößt. Die Nutzung einer breiten Einwilli­gung (Broad Consent) im Sinne des Erwägungsgrunds 33 DS-GVO zur Verarbeitung genetischer Daten kann hier eine Lösung bieten. Jedoch sollten auch die Anforde­rungen und Grenzen der breiten Einwilligung gesetzlich geregelt werden, um die hier bestehende Rechtsunsicherheit zu beseitigen. Außerdem müssen zusätzliche Siche­rungsmaßnahmen zur Gewährleistung von Transparenz, Vertrauensbildung, Partizipa­tion und Datensicherheit getroffen werden.[4]

Die Notwendigkeit der ausdrücklichen Einwilligung für die Sekundärnutzung zu Forschungszwecken ergibt sich schon daraus, dass die Erhebung der genetischen Probe und die genetische Untersuchung selbst nach Artikel 3 Absatz 2 Buchst. a EU-Grund­rechte-Charta und dem Gendiagnostikgesetz einer Einwilligung bedürfen. Es wäre daher treuwidrig, entgegen der eingeholten Einwilligung die genetischen Daten auch für andere Zwecke zu verarbeiten (Artikel 5 Absatz 1 Buchst. a und b DS-GVO).

Sowohl bei einer spezifischen Einwilligung als auch bei der breiten Einwilligung darf es im besonders sensiblen Bereich der Sekundärnutzung genetischer Daten nicht den Verantwortlichen überlassen werden, welche flankierenden technischen und organisa­torischen Schutzmaßnahmen zu treffen sind. Stattdessen bedarf es gesetzlicher Vorgaben über das zu realisierende hohe Schutz- und Vertrauensniveau, gerade auch mit Blick auf die Mitbetroffenheit von biologischen Verwandten.

Die DSK ist aufgrund der genannten Erwägungen der Auffassung, dass für die Sekundärnutzung genetischer Daten zu Forschungszwecken eine differenzierte und rechtsklare gesetzliche Regelung geschaffen werden muss, um das Interesse an der wissenschaftlichen Nutzung genetischer Daten mit dem Recht auf informationelle Selbstbestimmung und dem Recht auf Nichtwissen im hier betroffenen, absolut geschützten Kernbereich der Persönlichkeit in Einklang zu bringen.

Artikel 9 Absatz 4 DS-GVO wie auch voraussichtlich die EHDS-Verordnung sehen ausdrücklich eine entsprechende Öffnungsklausel für zusätzliche Bedingungen, einschließlich Beschränkungen, zur Verarbeitung genetischer Daten vor.

III. Besonders hohe Schutzmaßnahmen

In einer solchen gesetzlichen Regelung zur Sekundärnutzung genetischer Daten zu Forschungszwecken sollte die ausdrückliche Einwilligung als notwendige Voraus­setzung der Verarbeitung vorgesehen werden. Gleichzeitig ist durch wirksame tech­nische und organisatorische Garantien im Sinne der Konzepte des „data protection by design“ und „data protection by default“ sicherzustellen, dass nach einem Widerruf der Einwilligung die Verarbeitung der genetischen Daten der betroffenen Personen endet und die Betroffenenrechte stets wirksam ausgeübt werden können.

Die gesetzliche Regelung sollte zudem zwischen den verschiedenen Verarbeitungs­zwecken der Sekundärnutzung, wie der Forschung und der Qualitätssicherung, dif­ferenzieren. Bei dieser Differenzierung ist auch zu berücksichtigen, dass Erwägungs­grund 33 DS-GVO die Möglichkeit der breiten Einwilligung nur für die wissenschaftliche Forschung und nicht für die Qualitätssicherung eröffnet.

Eine gesetzliche Regelung über die Verarbeitung genetischer Daten zur Sekundär­nutzung sollte im Hinblick auf die Grundsätze der Zweckbindung und Daten­minimierung (Artikel 5 Absatz 1 Buchst. b und c DS-GVO) außerdem widerspiegeln, dass eine Qualitätssicherung und Evaluation der medizinischen Nutzung genetischer Daten die Verarbeitung nur legitimieren kann, wenn die Ziele der zu sichernden Qualität bzw. die Zwecke der Evaluation genau bestimmt sind und solange und soweit die Verarbeitung für diese Zwecke zwingend erforderlich ist.

Zudem hält es die DSK für geboten, dass eine gesetzliche Regelung für die Verarbeitung genetischer Daten zu Zwecken der Sekundärnutzung besondere Schutzmaßnahmen vorsieht. Dabei sollte insbesondere Folgendes gewährleistet werden:

  • Verpflichtung zur Einhaltung einer Mindestbedenkzeit zwischen Informations­bereitstellung und Abgabe einer Einwilligungserklärung i. V. m. Hilfsangeboten für betroffene Personen und deren Angehörige (z. B. psychosoziale Beratung).
  • Aufklärung und Beratung für die Entscheidung der betroffenen Personen über den Umgang mit individuell relevanten Forschungsergebnissen und Zufalls­befunden („Recht auf Nichtwissen“) nach Information über mögliche Risiken und Auswirkungen der Kenntnisnahme für die betroffene Person und den biologisch Verwandten sowie Hinweis auf die Möglichkeit zur Änderung dieser Entscheidung.
  • Transparenz der Datenverarbeitung durch Festlegung umfassender Informa­tions- und Aufklärungspflichten zu Zwecken, Reichweite und Risiken der Verar­beitung für die Rechte und Freiheiten natürlicher Personen.
  • Erweiterte Kontroll- und Mitwirkungsmöglichkeiten für betroffene Personen, z. B. durch aktive, rechtzeitige und leicht zugängliche Bereitstellung aktueller Informationen über neue Forschungsvorhaben und barrierefreie Ausübung von Widerrufsrechten und Betroffenenrechten über digitale Managementsysteme.[5]
  • Genehmigungspflicht von Forschungsvorhaben durch eine Ethikkommission.
  • Die Rechtsgrundlage einer breiten Einwilligung ist nur unter strengen Vorgaben zulässig: Es bedarf spezifischer Aufklärungs- und Beratungsanforderungen und einer zeitlichen Begrenzung der Gültigkeit von Einwilligungen.
  • Verschlüsselte Verarbeitung genetischer Daten und frühestmögliche Pseudo­nymisierung unter Einbindung unabhängiger Vertrauensstellen ggf. i. V. m. weiteren standardisierten Vorgaben zu den technischen und organisatorischen Maßnahmen einschließlich der Sicherheitsmaßnahmen und technisch imple­mentierten Speicherbegrenzung und Löschung.[6]
  • Lösch- und Vernichtungspflichten für die genetischen Daten und biologischen Proben mit einer gesetzlich festgelegten Aufbewahrungsdauer.
  • Festlegung spezifischer sanktionsbewehrter Offenlegungs- und Übermittlungs-verbote, insbesondere an Arbeitgeber oder Versicherungen und Strafbarkeit missbräuchlicher, zweck- und gesetzwidriger Nutzung genetischer Daten. Ein effektiver Schutz gegen die Beschaffung und Verwendung genetischer Proben ohne Kenntnis der betroffenen Personen sollte strafrechtlich geregelt werden.
  • Zugang zu genetischen Daten von berechtigten Dritten nur nach einem Use & Access-Verfahren, das auch die datenschutzrechtlichen Grundsätze wie die Beschränkung des Zugangs für einen bestimmten wissenschaftlichen For­schungszweck, für eine bestimmte Zeit und für qualifizierte Forscherinnen und Forscher umfasst. Ein Datenzugriff berechtigter Dritter ist im Rahmen einer sicheren Verarbeitungsumgebung zu gewähren.
  • Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.
  • Besonderer Schutz von Ungeborenen, Minderjährigen und nicht einwilligungs-fähigen Personen, beispielsweise durch die Beschränkung bestimmter For­schungsziele sowie durch spezifische Aufklärung und Informations­bereit­stellung für die gesetzlichen Vertreter (u. a. Personensorgeberechtigte, Vor­munde, Betreuer).
  • Vorgaben zur Wahrung der Anonymität der betroffenen Personen bei Publi­kation von Forschungsergebnissen.

Die DSK hat in ihrer Entschließung „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ vom 23.11.2023 weitere angemessene und spezifische Maß­nahmen für eine gesetzliche Regelung zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken dargestellt, die zudem beachtet werden müssen.[7]

[1] Vgl. z. B. https://www.gesundheitsforschung-bmbf.de/de/medizinische-genomforschung-6640.php.

[2] DSK: Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung vom 24.11.2022, S. 5, https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf.

[3] DSK-Entschließung zur „Gesetzlichen Regelung von genetischen Untersuchungen“ vom 24.10.2001, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKEntschliessungen/62DSK-GesetzlicheRegelungVonGenetischenUntersuchungen.pdf.

[4] Vgl. Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO vom 03.04.2019, https://www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf.

[5] Petersberger Erklärung und Beschluss der DSK vom 27.04.2020, abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/20200427_Beschluss_MII.pdf.

[6] Arbeitspapier über genetische Daten, Artikel 29-Datenschutzgruppe, 12178/03/DE, 17.03.2004, S. 12.

[7] DSK-Entschließung „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ vom 23.11.2023, abrufbar unter https://www.datenschutzkonferenz-online.de/media/en/2023-11-23_DSK-Entschliessung_DS.pdf.

„Genetische Daten“ sind nach Artikel 4 Nummer 13 der Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Die Nutzung genetischer Daten ist die Grundlage für eine personalisierte, auf die individuelle Patientin oder den individuellen Patienten angepasste Präzisionsmedizin. Die Forschung mit genetischen Daten kann den biomedizinischen Fortschritt wesent­lich voranbringen und zu einer verbesserten medizinischen Versorgung beitragen.[1] Insbesondere in der Krebsforschung und der Erforschung seltener Erkrankungen kann die Analyse genetischer Daten zu vielversprechenden Behandlungs- oder sogar Heilungsmöglichkeiten führen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert daher eine datenschutzkonforme wissenschaftliche biomedizi­nische Forschung mit genetischen Daten zum Wohle der Patientinnen und Patienten, indem dazu ein gesetzlicher Rahmen geschaffen wird, der sanktionsbewehrte hohe Schutz- und Vertrauensanforderungen und wirksame Mitwirkungs- und Kontroll­möglichkeiten der betroffenen Personen vorsieht.

Forschung mit körpereigenen Substanzen, wie z. B. Blut, Haaren oder Speichel, die ohne Kenntnis der betroffenen Person erlangt wurden, muss verboten bleiben.

I. Besonders hohe Risiken

Genetische Daten sind von äußerster Sensibilität und bergen ein „hohes prädiktives Potential“ mit Blick auf die betroffene Person und biologische Verwandte. Aus gene­tischen Daten lassen sich unter anderem Erkenntnisse über gesundheitliche Prä­dispositionen, Gesundheitsrisiken und vererbliche Erkrankungen ableiten. Diese Erkenntnisse betreffen nicht nur die betroffene Person selbst, sondern können sich auch auf leibliche Familienangehörige erstrecken. Anhand der Analyse genetischer Daten lassen sich damit Wahrscheinlichkeitsaussagen über das Auftreten von Krank­heiten der leiblich miteinander verwandten Personen treffen.

Das Diskriminierungs- und Stigmatisierungsrisiko bei Kenntnis dieser Daten, z. B. durch Versicherungen und Arbeitgeber, ist daher enorm. Risikoerhöhend wirkt sich außer­dem die Tatsache aus, dass genetische Daten durch die betroffenen Personen nicht verändert werden können, sondern diesen ihr Leben lang und auch darüber hinaus anhaften.

Die Weiterverarbeitung genetischer Daten in der medizinischen Sekundärnutzung (ins­besondere zur Forschung) betrifft daher aufgrund von Rückschlüssen auf persön­lichkeitsrelevante Merkmale wie Erbanlagen und (potentielle) Krankheiten regelmäßig den absolut geschützten Kernbereich der Persönlichkeit.

In diesem Zusammenhang muss zudem berücksichtigt werden, dass eine wirksame Anonymisierung genetischer Daten in der Regel daran scheitert, dass – etwa über einen Abgleich mit anderen genetischen Daten der betroffenen Person – eine Identifizierung möglich ist. Der Personenbezug lässt sich daher aus genetischen Daten in der Regel nicht entfernen. Genetische Daten sind deshalb schon aufgrund ihres potentiellen Informationsgehalts regelmäßig als personenbezogene Daten zu behandeln.

II. Besondere Regeln: ausdrückliche Einwilligung

Aus diesen Gründen muss der Umgang mit genetischen Daten qualifizierten daten­schutzrechtlichen Regeln unterliegen, die die Rechte und Freiheiten der betroffenen Person in ausreichendem Maße wahren.

Für die datenschutzkonforme Verarbeitung genetischer Daten bedarf es daher grund­sätzlich der ausdrücklichen Einwilligung der betroffenen Personen. Denn gerade in diesem äußerst sensiblen Bereich vermag nur die datenschutzrechtliche Einwilligung als Grundlage für eine individuelle Rechtsausübung dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen.[2]

Die DSK hat bereits 2001 auf die besondere Sensibilität genetischer Daten hingewiesen und eine gesetzliche Regelung von genetischen Untersuchungen gefordert.[3] Mit dem Gendiagnostikgesetz (GenDG) wurde eine solche gesetzliche Regelung zum 1. Februar 2010 geschaffen. Zu Recht bestimmt das Gendiagnostikgesetz, dass bei genetischen Untersuchungen oder Analysen eine Verarbeitung genetischer Daten nur mit aus­drücklicher und schriftlicher Einwilligung der betroffenen Personen erfolgen darf.

Das Gendiagnostikgesetz gilt aber ausdrücklich nicht für die Verarbeitung von Daten zu Forschungszwecken (§ 2 Absatz 2 Nr. 1 GenDG). Für die Verarbeitung genetischer Daten zu Forschungszwecken gelten bislang deshalb lediglich die allgemeinen Rege­lungen für die Forschung mit besonderen Kategorien personenbezogener Daten.

Die wirksame informierte, freiwillige und ausdrückliche Einwilligung der betroffenen Personen allein ist aber im absolut geschützten Kernbereich der Persönlichkeit noch kein ausreichender Schutzgarant des Rechts auf informationelle Selbstbestimmung. Vielmehr muss bei jeglicher Verarbeitung genetischer Daten im Rahmen einer Sekun­därnutzung zu Forschungszwecken zusätzlich sichergestellt sein, dass erforderliche angemessene und spezifische Garantien und technische sowie organisatorische Schutzmaßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorgeschrieben sind und einer regelmäßigen Prüfung und Aktualisierung unterliegen.

Im Bereich der genetischen Forschung ist ein vielfältiger Datenaustausch und die Vernetzung der genetischen Datenbestände das erklärte Ziel vieler Vorhaben. Häufig können zum Zeitpunkt der Informationsbereitstellung die Zwecke der Verarbeitung bezogen auf konkrete Forschungsprojekte im Einzelnen noch nicht vollständig und präzise angegeben werden, sodass die Einwilligung mangels ausreichender Bestimmt­heit möglicherweise an rechtliche Grenzen stößt. Die Nutzung einer breiten Einwilli­gung (Broad Consent) im Sinne des Erwägungsgrunds 33 DS-GVO zur Verarbeitung genetischer Daten kann hier eine Lösung bieten. Jedoch sollten auch die Anforde­rungen und Grenzen der breiten Einwilligung gesetzlich geregelt werden, um die hier bestehende Rechtsunsicherheit zu beseitigen. Außerdem müssen zusätzliche Siche­rungsmaßnahmen zur Gewährleistung von Transparenz, Vertrauensbildung, Partizipa­tion und Datensicherheit getroffen werden.[4]

Die Notwendigkeit der ausdrücklichen Einwilligung für die Sekundärnutzung zu Forschungszwecken ergibt sich schon daraus, dass die Erhebung der genetischen Probe und die genetische Untersuchung selbst nach Artikel 3 Absatz 2 Buchst. a EU-Grund­rechte-Charta und dem Gendiagnostikgesetz einer Einwilligung bedürfen. Es wäre daher treuwidrig, entgegen der eingeholten Einwilligung die genetischen Daten auch für andere Zwecke zu verarbeiten (Artikel 5 Absatz 1 Buchst. a und b DS-GVO).

Sowohl bei einer spezifischen Einwilligung als auch bei der breiten Einwilligung darf es im besonders sensiblen Bereich der Sekundärnutzung genetischer Daten nicht den Verantwortlichen überlassen werden, welche flankierenden technischen und organisa­torischen Schutzmaßnahmen zu treffen sind. Stattdessen bedarf es gesetzlicher Vorgaben über das zu realisierende hohe Schutz- und Vertrauensniveau, gerade auch mit Blick auf die Mitbetroffenheit von biologischen Verwandten.

Die DSK ist aufgrund der genannten Erwägungen der Auffassung, dass für die Sekundärnutzung genetischer Daten zu Forschungszwecken eine differenzierte und rechtsklare gesetzliche Regelung geschaffen werden muss, um das Interesse an der wissenschaftlichen Nutzung genetischer Daten mit dem Recht auf informationelle Selbstbestimmung und dem Recht auf Nichtwissen im hier betroffenen, absolut geschützten Kernbereich der Persönlichkeit in Einklang zu bringen.

Artikel 9 Absatz 4 DS-GVO wie auch voraussichtlich die EHDS-Verordnung sehen ausdrücklich eine entsprechende Öffnungsklausel für zusätzliche Bedingungen, einschließlich Beschränkungen, zur Verarbeitung genetischer Daten vor.

III. Besonders hohe Schutzmaßnahmen

In einer solchen gesetzlichen Regelung zur Sekundärnutzung genetischer Daten zu Forschungszwecken sollte die ausdrückliche Einwilligung als notwendige Voraus­setzung der Verarbeitung vorgesehen werden. Gleichzeitig ist durch wirksame tech­nische und organisatorische Garantien im Sinne der Konzepte des „data protection by design“ und „data protection by default“ sicherzustellen, dass nach einem Widerruf der Einwilligung die Verarbeitung der genetischen Daten der betroffenen Personen endet und die Betroffenenrechte stets wirksam ausgeübt werden können.

Die gesetzliche Regelung sollte zudem zwischen den verschiedenen Verarbeitungs­zwecken der Sekundärnutzung, wie der Forschung und der Qualitätssicherung, dif­ferenzieren. Bei dieser Differenzierung ist auch zu berücksichtigen, dass Erwägungs­grund 33 DS-GVO die Möglichkeit der breiten Einwilligung nur für die wissenschaftliche Forschung und nicht für die Qualitätssicherung eröffnet.

Eine gesetzliche Regelung über die Verarbeitung genetischer Daten zur Sekundär­nutzung sollte im Hinblick auf die Grundsätze der Zweckbindung und Daten­minimierung (Artikel 5 Absatz 1 Buchst. b und c DS-GVO) außerdem widerspiegeln, dass eine Qualitätssicherung und Evaluation der medizinischen Nutzung genetischer Daten die Verarbeitung nur legitimieren kann, wenn die Ziele der zu sichernden Qualität bzw. die Zwecke der Evaluation genau bestimmt sind und solange und soweit die Verarbeitung für diese Zwecke zwingend erforderlich ist.

Zudem hält es die DSK für geboten, dass eine gesetzliche Regelung für die Verarbeitung genetischer Daten zu Zwecken der Sekundärnutzung besondere Schutzmaßnahmen vorsieht. Dabei sollte insbesondere Folgendes gewährleistet werden:

  • Verpflichtung zur Einhaltung einer Mindestbedenkzeit zwischen Informations­bereitstellung und Abgabe einer Einwilligungserklärung i. V. m. Hilfsangeboten für betroffene Personen und deren Angehörige (z. B. psychosoziale Beratung).
  • Aufklärung und Beratung für die Entscheidung der betroffenen Personen über den Umgang mit individuell relevanten Forschungsergebnissen und Zufalls­befunden („Recht auf Nichtwissen“) nach Information über mögliche Risiken und Auswirkungen der Kenntnisnahme für die betroffene Person und den biologisch Verwandten sowie Hinweis auf die Möglichkeit zur Änderung dieser Entscheidung.
  • Transparenz der Datenverarbeitung durch Festlegung umfassender Informa­tions- und Aufklärungspflichten zu Zwecken, Reichweite und Risiken der Verar­beitung für die Rechte und Freiheiten natürlicher Personen.
  • Erweiterte Kontroll- und Mitwirkungsmöglichkeiten für betroffene Personen, z. B. durch aktive, rechtzeitige und leicht zugängliche Bereitstellung aktueller Informationen über neue Forschungsvorhaben und barrierefreie Ausübung von Widerrufsrechten und Betroffenenrechten über digitale Managementsysteme.[5]
  • Genehmigungspflicht von Forschungsvorhaben durch eine Ethikkommission.
  • Die Rechtsgrundlage einer breiten Einwilligung ist nur unter strengen Vorgaben zulässig: Es bedarf spezifischer Aufklärungs- und Beratungsanforderungen und einer zeitlichen Begrenzung der Gültigkeit von Einwilligungen.
  • Verschlüsselte Verarbeitung genetischer Daten und frühestmögliche Pseudo­nymisierung unter Einbindung unabhängiger Vertrauensstellen ggf. i. V. m. weiteren standardisierten Vorgaben zu den technischen und organisatorischen Maßnahmen einschließlich der Sicherheitsmaßnahmen und technisch imple­mentierten Speicherbegrenzung und Löschung.[6]
  • Lösch- und Vernichtungspflichten für die genetischen Daten und biologischen Proben mit einer gesetzlich festgelegten Aufbewahrungsdauer.
  • Festlegung spezifischer sanktionsbewehrter Offenlegungs- und Übermittlungs-verbote, insbesondere an Arbeitgeber oder Versicherungen und Strafbarkeit missbräuchlicher, zweck- und gesetzwidriger Nutzung genetischer Daten. Ein effektiver Schutz gegen die Beschaffung und Verwendung genetischer Proben ohne Kenntnis der betroffenen Personen sollte strafrechtlich geregelt werden.
  • Zugang zu genetischen Daten von berechtigten Dritten nur nach einem Use & Access-Verfahren, das auch die datenschutzrechtlichen Grundsätze wie die Beschränkung des Zugangs für einen bestimmten wissenschaftlichen For­schungszweck, für eine bestimmte Zeit und für qualifizierte Forscherinnen und Forscher umfasst. Ein Datenzugriff berechtigter Dritter ist im Rahmen einer sicheren Verarbeitungsumgebung zu gewähren.
  • Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.
  • Besonderer Schutz von Ungeborenen, Minderjährigen und nicht einwilligungs-fähigen Personen, beispielsweise durch die Beschränkung bestimmter For­schungsziele sowie durch spezifische Aufklärung und Informations­bereit­stellung für die gesetzlichen Vertreter (u. a. Personensorgeberechtigte, Vor­munde, Betreuer).
  • Vorgaben zur Wahrung der Anonymität der betroffenen Personen bei Publi­kation von Forschungsergebnissen.

Die DSK hat in ihrer Entschließung „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ vom 23.11.2023 weitere angemessene und spezifische Maß­nahmen für eine gesetzliche Regelung zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken dargestellt, die zudem beachtet werden müssen.[7]

[1] Vgl. z. B. https://www.gesundheitsforschung-bmbf.de/de/medizinische-genomforschung-6640.php.

[2] DSK: Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung vom 24.11.2022, S. 5, https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf.

[3] DSK-Entschließung zur „Gesetzlichen Regelung von genetischen Untersuchungen“ vom 24.10.2001, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKEntschliessungen/62DSK-GesetzlicheRegelungVonGenetischenUntersuchungen.pdf.

[4] Vgl. Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO vom 03.04.2019, https://www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf.

[5] Petersberger Erklärung und Beschluss der DSK vom 27.04.2020, abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/20200427_Beschluss_MII.pdf.

[6] Arbeitspapier über genetische Daten, Artikel 29-Datenschutzgruppe, 12178/03/DE, 17.03.2004, S. 12.

[7] DSK-Entschließung „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ vom 23.11.2023, abrufbar unter https://www.datenschutzkonferenz-online.de/media/en/2023-11-23_DSK-Entschliessung_DS.pdf.

Seite drucken