Gesundheitsdaten gehören zu den (besonders) sensiblen Daten und fallen in die besondere Kategorie personenbezogener Daten gem. Art. 9 DSGVO. Insbesondere in der medizinischen Forschung (klinische Studien, epidemiologische etc.) werden solche Daten verarbeitet. Es stellt sich die Frage inwiefern das möglich ist, wobei ja besonders diese sensiblen Daten einen besonderen Schutz genießen. Welche Anforderungen werden an eine Datenverarbeitung in diesem Rahmen gestellt und welche Rechte stehen Betroffenen zu?
Die Verarbeitung personenbezogener Daten ist nach der DSGVO für Forschungszwecke privilegiert. Dadurch werden nicht nur eine Sekundärnutzung der erhobenen Daten für einen anderen Zweck grundsätzlich erlaubt, sondern zugleich auch Betroffenenrechte eingeschränkt. Wie ist das möglich?
Ausgleich zwischen den Grundrechten
Im Rahmen der Forschungsdatenverarbeitung stehen die Grundrechte – Forschungsfreiheit gem. Art. 13 S. 1 EU-Grundrechtecharta (GRCh), Art. 5 Abs. 3 S. 1 Grundgesetz (GG) und Datenschutz gem. Art. 8 GRCh – in Konflikt. Auch weitere Grundrechte können in Bezug auf die Forschung beeinträchtigt werden. Für die Lösung des Konflikts bedarf es demnach eines Ausgleichs zwischen diesen Grundrechten, der den Kern der jeweiligen Grundrechte wahrt. Wie erfolgt dies innerhalb der DSGVO?
Die DSGVO enthält diverse Öffnungsklauseln, die auf das Recht/die Regelungen der Mitgliedstaaten verweisen und der Forschung ermöglichen personenbezogene Daten unter Einhaltung diverser Garantien zu wissenschaftlichen Forschungszwecken zu verarbeiten. Der Grundsatz der Datenminimierung, der mithilfe von technisch organisatorischen Maßnahmen umgesetzt werden soll und insbesondere die Pseudonymisierung werden in Art. 89 Abs. 1 DSGVO hervorgehoben. Grundsätzlich gilt, dass sofern die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, geeignete Garantien eingehalten wurden. Vorbehaltlich dieser Bedingungen können im Unionsrecht sowie im nationalen Recht der Mitgliedstaaten gem. Art. 89 Abs. 2 DSGVO allerdings Ausnahmen von den grundsätzlich geltenden Betroffenenrechten der Artikel 15, 16, 18 und 21 vorgesehen werden, sofern „(…)diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind.“ (vgl. Art. 89 Abs. 2 DSGVO).
Ausreichender Schutz?
Doch bieten diese Garantien ausreichend Schutz für die besondere Kategorie der personenbezogenen Daten? Wie wird die Pseudonymisierung durchgeführt und wie hoch ist der Faktor einer möglichen Re-Identifizierung? Warum geht die DSGVO nicht auf die Anonymisierung ein und konkretisiert bzw. reguliert diese Vorgänge? Inwiefern erfolgt bzw. lässt sich ein Ausgleich der Grundrechte rechtfertigen, wenn die Betroffenenrechte in dem Umfang eingeschränkt werden können? Fragen über Fragen, die bislang leider nicht abschließend geklärt sind.
Auch wenn man nun womöglich darauf schließen könnte, dass die Forschung in diesem Rahmen „privilegierter“ behandelt würde als das Recht auf informationelle Selbstbestimmung (wobei die Rechte der Betroffenen, wie vorangegangen beschrieben, diversen Bedingungen und Garantien unterliegen) – erleichtern die Regelungen die Forschung zu wissenschaftlichen Zwecken nicht.
Die Öffnungsklauseln der DSGVO für den Bereich der Forschungsdaten lässt Unklarheiten entstehen. In Deutschland besteht nämlich das Problem eines sogenannten „Flickenteppichs“ von Forschungsklauseln zur Datenverarbeitung. Auf Bundes- und Länderebene sowie in diversen bereichsspezifischen Regelungen finden sich Klauseln, die die Datenverarbeitung für Forschungszwecke normieren. Die einzelnen Regulierungen sowie die Einhaltung und Beachtung des Anwendungsvorrangs erschweren das Verständnis und die Umsetzung der Normen im Rahmen der Forschung. Besonders für Verbundvorhaben mit mehreren Akteuren (Hochschulen, Instituten, Organisationen etc. für die jeweils Bundes- oder Landesrecht gilt) sowie Forschungsvorhaben auf europäischer Ebene, entstehen durch diese Vielfalt an Regelungen diverse Probleme, die Fragen hinsichtlich der Umsetzung sowie Verantwortlichkeit etc. offenlegen.
Der Wunsch nach Harmonisierung
Demnach sorgt die DSGVO auf der Ebene der wissenschaftlichen Forschung für Konfusion. Eine weitgehende Harmonisierung des Rechts wäre wünschenswert. Insbesondere aus dem Grund, dass die Notwendigkeit die Forschung nicht nur national, sondern international (bzw. zunächst aufgrund der hohen Hürden europäisch) zu verankern, von Bedeutung ist – wie aktuell auch unter der Covid-19-Pandemie deutlich wird. Der Schutz personenbezogener Daten – namentlich Gesundheitsdaten – darf dabei nicht außer Acht gelassen werden, sollte transparent(er) gestaltet werden sowie zugleich die Umsetzung der Forschung nicht erschweren. Dahingehend muss der Ausgleich zwischen Datenschutz und Forschungsfreiheit neu gedacht werden – die Vereinheitlichung der Forschungsklauseln auf Bundes-/Länderebene sowie (wünschenswert) auf europäischer Ebene geschaffen werden – und Technologien entwickelt, die Prozesse wie die Pseudonymisierung und Anonymisierung in der Form ermöglichen, dass ein Re-Identifizierungsrisiko gegen null geht und somit keine Beeinträchtigung/Gefahr für betroffene Personen bedeutet. Dadurch würde Transparenz und Sicherheit geschaffen werden sowie die Forschung aufgrund übersichtlicher Regelungen nicht beeinträchtigt.