Datenschutzkonferenz veröffentlicht Anwendungshinweise zu Datenübermittlungen für medizinische Forschung in Drittländer

Die internationale Zusammenarbeit in der medizinischen Forschung gewinnt zunehmend an Bedeutung, bringt jedoch besondere datenschutzrechtliche Herausforderungen mit sich und stellt Forschende sowie Forschungseinrichtungen auf die Probe. Sobald dabei personenbezogene Daten verarbeitet oder übermittelt werden, müssen die datenschutzrechtlichen Anforderungen beachtet werden. Besonders bei Datenübermittlungen in sogenannte Drittländer ist sicherzustellen, dass das in der EU gewährte Datenschutzniveau auch in der internationalen Zusammenarbeit gewahrt bleibt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu Anwendungshinweise und Empfehlungen zur Umsetzung der Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken veröffentlicht. Diese bieten Orientierung für eine rechtssichere Übermittlung sensibler personenbezogener Daten im Rahmen internationaler Forschungsprojekte. Die Hinweise konkretisieren die Anforderungen des Kapitels V DSGVO, greifen aktuelle Entwicklungen auf und berücksichtigen die Rechtsprechung des Europäischen Gerichtshofs (EuGH).

Prüfschritt 1: Bewertung der Zulässigkeit von Datenverarbeitungen

Die Orientierungshilfe erläutert im ersten Abschnitt, welche Prüfschritte Forschende vornehmen müssen, um die Zulässigkeit der Datenverarbeitung und die Einhaltung der Datenschutzgrundsätze im Rahmen internationaler Forschungsvorhaben sicherzustellen. Zudem wird aufgezeigt, wie die besonderen Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen wissenschaftlicher Forschung zu medizinischen Zwecken umgesetzt werden können.

Stets Einzelfallbewertung erforderlich

Wie so häufig in (datenschutz-)rechtlichen Zusammenhängen kommt es immer auf den konkreten Einzelfall an, um die datenschutzrechtliche Beurteilung einer Datenverarbeitung vornehmen zu können. Auch bei Forschungsvorhaben muss nach Einschätzung der DSK stets bezogen auf das konkrete Projekt geprüft werden, ob die damit einhergehende Datenverarbeitung zulässig ist.

Kommt es im Rahmen eines Forschungsvorhabens zu einer internationalen Kooperation, so sind mögliche Datenübermittlungen in Drittländer im Zuge der Bewertung zu berücksichtigen. Dabei ist sicherzustellen, dass die besonderen Voraussetzungen gemäß Art. 44 ff. DSGVO umfassend geprüft werden und die Datenübermittlung außerhalb der EU bzw. des EWR durch mindestens einen der vorgesehenen Übermittlungsmechanismen rechtlich abgesichert ist.

Zunächst ist zu prüfen, ob eine datenschutzrechtliche Rechtsgrundlage vorliegt. Für besondere Kategorien personenbezogener Daten – etwa Gesundheitsdaten – ist zudem festzustellen, ob eine Ausnahme nach Art. 9 Abs. 2 DSGVO die Verarbeitung erlaubt.

Kann die Verarbeitung auf eine Rechtsgrundlage gestützt werden, ist im zweiten Schritt zu prüfen, ob die Übermittlung personenbezogener Daten in ein Drittland auf einen der Übermittlungsmechanismen des Kapitels V DSGVO gestützt werden kann.

Weitgefasste Einwilligung als Allzwecklösung?

Als bewährte Rechtsgrundlage in der Forschung gilt der Broad Consent (sog. „breite Einwilligung“). Dieser hat sich als wirksames Instrument zur Herstellung der datenschutzrechtlichen Zulässigkeit von Datenverarbeitungen etabliert. Dass sich der Broad Consent speziell in der Forschung durchgesetzt hat, liegt daran, dass er eine Ausnahme vom Grundsatz der Zweckbindung der Datenverarbeitung darstellt. Er kommt zum Tragen, wenn die konkrete Ausgestaltung des Forschungsvorhabens zum Zeitpunkt der Datenerhebung noch offen ist und eine vollständige Zweckbestimmung daher noch nicht möglich ist (vgl. Erwägungsgrund 33 DSGVO).

Bei dieser der Datenerhebung zeitlich vorgelagerten Einwilligung können unter engen Voraussetzungen Abstriche hinsichtlich der Bestimmtheit des Zwecks hingenommen werden.

Vor diesem Hintergrund hat sich die DSK in ihrer Orientierungshilfe insbesondere mit dem Konzept des Broad Consent befasst und darauf zugeschnittene Empfehlungen zur praktischen Umsetzung und Einholung einer solchen Einwilligung formuliert. Eine zentrale Aussage ist dabei, dass die breite Einwilligung grundsätzlich als Rechtsgrundlage herangezogen werden kann, wenn der Forschungszweck zum Zeitpunkt der Datenerhebung noch nicht vollständig feststeht. In diesen Fällen sind jedoch zusätzliche Garantien erforderlich, um Transparenz, Datensicherheit und die Rechte der betroffenen Personen zu gewährleisten.

Dazu zählen unter anderem ein wirksames Einwilligungsmanagement, Maßnahmen zur Pseudonymisierung und Löschung, das Votum einer Ethikkommission, eine Datenschutzfolgenabschätzung sowie die frühzeitige Einbindung der zuständigen Datenschutzaufsichtsbehörde.

Vor jeder Datenverarbeitung auf Grundlage eines Broad Consent sollten insbesondere folgende Maßnahmen geprüft und – soweit möglich – umgesetzt werden:

• Prüfung, ob der Forschungszweck auch mit anonymisierten Daten oder einer geringeren Datenmenge erreicht werden kann, um den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zu wahren.
• Keine Datenweitergabe in Drittländer mit abweichendem oder geringerem Datenschutzniveau.
• Zusagen zur Datenminimierung, Verschlüsselung, Anonymisierung bzw. Pseudonymisierung sowie zur Löschung von Daten durch festgelegte Löschfristen.
• Spezifische Vorschriften zur Begrenzung des Datenzugriffs.
• Implementierung eines wirksamen Einwilligungsmanagements, das die Abgabe und den Widerruf der Einwilligung durch die Betroffenen effektiv steuert und umfassend über Zweck und Verarbeitung informiert.

2. Prüfschritt: Drittlandsübermittlung

Zusätzlich zu den vorgenannten Voraussetzungen gilt es bei Drittstaatenübermittlungen sicherzustellen, dass eine Übermittlungsgrundlage nach Kapitel V DSGVO vorliegt.

Angemessenheitsbeschluss (Art. 45 DSGVO)

Am einfachsten ist die Übermittlung, wenn die EU-Kommission dem Drittstaat ein angemessenes Datenschutzniveau nach Art. 45 DSGVO bescheinigt hat. Während solche Angemessenheitsbeschlüsse in der Regel ohne weitere Voraussetzungen gelten, ist für die USA eine zusätzliche Prüfung erforderlich: Nur wenn der Datenempfänger in den USA nach dem EU-US Data Privacy Framework zertifiziert ist (s. https://www.dataprivacyframework.gov/list), findet Art. 45 DSGVO Anwendung.

Datenexporteure sollten zudem die Gültigkeit der relevanten Angemessenheitsbeschlüsse fortlaufend im Blick behalten. Gerade im Hinblick auf die USA bestehen Unsicherheiten, da der Fortbestand des Angemessenheitsbeschlusses von der politischen Entwicklung hinsichtlich des dortigen Datenschutzniveau abhängt.

Bei Unsicherheiten über den Fortbestand kann nach Auffassung der DSK zusätzlich eine Einwilligung der Betroffenen nach Art. 49 Abs. 1 lit. a DSGVO eingeholt werden, um im Falle des Wegfalls des Angemessenheitsbeschlusses weiterhin eine Rechtsgrundlage für die Datenübermittlung zu haben. Zu beachten ist allerdings, dass die Datenübermittlung unzulässig wird, sobald die betroffene Person ihre Einwilligung widerruft.

Geeignete Garantien und ggf. zusätzliche Maßnahmen (Art. 46 DSGVO)

Besteht kein Angemessenheitsbeschluss, bietet Art. 46 Abs. 2 DSGVO weitere Möglichkeiten, die Übermittlung datenschutzkonform zu gestalten. Hierzu zählen insbesondere:

• rechtlich bindende und durchsetzbare Vereinbarungen zwischen öffentlichen Stellen (Art. 46 Abs. 2 lit. a DSGVO),
• verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, Art. 46 Abs. 2 lit. b i. V. m. Art. 47 DSGVO),
• sowie Standarddatenschutzklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO).

Nach dem „Schrems II“-Urteil des EuGH (C-311/18 vom 16.07.2020) kann es jedoch erforderlich sein, zusätzliche Maßnahmen zu ergreifen, um ein der DSGVO gleichwertiges Datenschutzniveau sicherzustellen. Im Rahmen eines sogenannten Transfer Impact Assessments (TIA) ist insbesondere die Rechtslage im jeweiligen Drittstaat zu prüfen – etwa hinsichtlich möglicher staatlicher Zugriffe auf Daten und verfügbarer Rechtsmittel.

Für US-Datenempfänger, die nicht nach dem EU-US Data Privacy Framework zertifiziert sind, ist ebenfalls ein TIA erforderlich. Dabei können die Wertungen der EU-Kommission berücksichtigt werden, wonach die im Rahmen des DPF eingeführten Schutzmaßnahmen für alle Datenübermittlungen in die USA gelten – unabhängig vom verwendeten Übermittlungsinstrument.

Ausnahmen (Art. 49 DSGVO)

Sofern weder ein Angemessenheitsbeschluss noch geeignete Garantien bestehen, können die Ausnahmeregelungen des Art. 49 DSGVO herangezogen werden. Diese sind jedoch als Ausnahmen zu verstehen und dürfen nur in Einzelfällen angewendet werden.

Relevante Ausnahmen sind insbesondere:

• Einwilligung der betroffenen Person (Art. 49 Abs. 1 lit. a DSGVO): Diese muss informiert erfolgen; die Betroffenen sind über die Rechtslage im jeweiligen Drittland aufzuklären.
• Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 lit. d DSGVO): Das öffentliche Interesse muss unionsrechtlich oder nach nationalem Recht anerkannt sein. Dies gilt insbesondere im Hinblick auf die Wissenschafts- und Forschungsfreiheit (Art. 5 GG, Art. 13 EU-Grundrechte-Charta, Art. 89 Abs. 1 DSGVO).

Erwägungsgrund 112 DSGVO nennt als Beispiel die „öffentliche Gesundheit“, etwa bei der Untersuchung ansteckender Krankheiten. Zudem muss die Übermittlung tatsächlich erforderlich sein; dies ist im Einzelfall zu prüfen. Nach Auffassung der DSK kann etwa das Votum einer Ethikkommission ein Indikator für die Notwendigkeit sein.

Bei Anwendung der Ausnahmen nach Art. 49 Abs. 1 lit. a und d DSGVO empfiehlt die DSK, zusätzlich die oben genannten Maßnahmen zum Broad Consent umzusetzen.

Besondere Informationspflichten

Werden personenbezogene Daten zu Forschungszwecken in ein Drittland oder an eine internationale Organisation übermittelt, müssen Verantwortliche über die allgemeinen Informationspflichten nach Art. 13 und 14 DSGVO hinaus erweiterte Informationen bereitstellen. Betroffene sind insbesondere darüber zu informieren, dass eine Übermittlung an einen Empfänger in einem Drittland erfolgt, in welches Land die Daten übermittelt werden und auf welcher rechtlichen Grundlage dies geschieht.

Hierzu gehört der Hinweis, ob ein Angemessenheitsbeschluss der EU-Kommission vorliegt oder ob andere geeignete Garantien – wie Standarddatenschutzklauseln oder Binding Corporate Rules – eingesetzt werden. Liegt kein angemessenes Datenschutzniveau vor, ist dies ausdrücklich zu vermerken. Erfolgt die Übermittlung auf Grundlage einer Ausnahme gemäß Art. 49 DSGVO, muss die konkrete Rechtsgrundlage benannt werden (z. B. ausdrückliche Einwilligung, öffentliches Interesse).

Erfolgt die Übermittlung personenbezogener Daten auf Grundlage einer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO, muss diese mit besonders umfassenden Informationen verbunden sein. Die betroffenen Personen sind klar, verständlich und präzise über die möglichen Risiken aufzuklären, die sich aus dem fehlenden angemessenen Datenschutzniveau im Empfängerland ergeben. Dazu zählen insbesondere:

• fehlende durchsetzbare Rechte (z. B. Auskunft, Löschung),
• eingeschränkte Kontroll- und Beschwerdemöglichkeiten,
• weitreichende Zugriffsrechte staatlicher Behörden,
• und das Fehlen unabhängiger Datenschutz-Aufsichtsbehörden.

Verantwortliche haben zudem bekannte oder erkennbare datenschutzrechtliche Defizite des jeweiligen Drittlandes offenzulegen – etwa basierend auf Veröffentlichungen des Europäischen Datenschutzausschusses, nationaler Datenschutzbehörden oder Berichten des Auswärtigen Amtes.

Fazit

Mit der Veröffentlichung der Orientierungshilfe und der dazugehörigen Anwendungshinweise schafft die DSK mehr Rechtsklarheit für die Umsetzung und Durchführung von Forschungsvorhaben, insbesondere im Hinblick auf die grenzüberschreitende Verarbeitung personenbezogener Daten. Die darin enthaltenen Empfehlungen, etwa zur Einholung eines Broad Consent und zu begleitenden technischen sowie organisatorischen Maßnahmen, bieten wertvolle Orientierung, um internationale Forschungsprojekte datenschutzkonform zu gestalten und das Vertrauen von Probanden und Teilnehmenden zu stärken und so die Forschungen qualitativ im Sinne der Allgemeinheit zu verbessern. Zugleich betont die DSK die Bedeutung von Transparenz bei Datenübermittlungen in Drittländer: Forschungseinrichtungen sind gefordert, klar und verständlich offenzulegen, auf welcher rechtlichen Grundlage die Übermittlung erfolgt und welche datenschutzrechtlichen Risiken im jeweiligen Drittland bestehen.