Die Datenschutzkonferenz (DSK) hat am 24.11.2022 die Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung als Ergebnis ihrer halbjährlich abgehaltenen Sitzungen zusammengefasst (siehe auch die Pressemitteilung der DSK). Diese sog. Entschließung enthält abgestimmte datenschutzrechtliche Empfehlungen und Stellungnahmen aller deutschen Datenschutzbehörden, ist dabei jedoch rechtlich nicht bindend.

Der Datenschutz und die wissenschaftliche Forschung

Auch wenn die DSGVO für die wissenschaftliche Forschung diverse Privilegierungen bereitstellt, bemängeln Forschende die Vielschichtigkeit der datenschutzrechtlichen Anforderungen unterschiedlicher Regulierungsebenen, die aus dem in Deutschland vorherrschenden Föderalismus resultiert. Diese Regelungen und Verfahren sind zeit- und ressourcenaufwendig und erschweren Forschungsprojekte. Insbesondere wird die unzureichende Datenlage moniert, die zum Teil auch aus der sog. „Einwilligungs-Fatigue“ der Patient*innen herrührt. Die Einwilligungsermüdung ist aber nur eines von vielen „Datenproblemen“ in der Forschung; mehr zu bspw. der Schwierigkeit der Datenverknüpfung (Record Linkage) lesen Sie in diesem Beitrag.

Forderungen und Empfehlungen der DSK

Dass sich diese komplexen Regelungsstrukturen in naher Zukunft überwinden lassen, darauf hoffen viele Forschende. Möglich werden könnte dies durch die Etablierung eines europäischen Gesundheitsdatenraums, ein übergeordnetes Registergesetz und andere Lösungsvorschläge – auch die DSK greift diverse dieser Forderungen auf. Die Ausführungen zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung der DSK aus der Petersberger Erklärung bieten Forschenden jedoch nur kleine Lichtblicke und weisen insgesamt wenig Neues auf.

Um ihre Forderungen für die wissenschaftliche Gesundheitsdatenverarbeitung zu konkretisieren, hat die DSK sieben Empfehlungen formuliert (siehe S. 2 ff. in der Erklärung) und u. a. hervorgehoben, dass

  • die unsachgemäße Verwendung sensibler Gesundheitsdaten zu gravierenden Folgen führen kann,
  • der Schutz des Rechts auf informationelle Selbstbestimmung der Betroffenen gewährleistet werden muss,
  • durch geeignete Garantien und Maßnahmen eine umfangreichere Datennutzung für Forschende ermöglicht wird,
  • bei der Verarbeitung in Drittländern besondere Anforderungen zu beachten sind,
  • die Datenbereitstellung sicher ausgestaltet werden muss und
  • zur Risikominimierung für bevorstehende Forschungsvorhaben die Durchführung von Datenschutz-Folgenabschätzungen erforderlich ist.

In diesem Zusammenhang werden weitere, bereits bekannte Datenschutzgrundsätze und Rahmenbedingungen aufgelistet, die keine Neuheiten darstellen und eher als eine Zusammenfassung und Wiedergabe der DSGVO eingestuft werden können.

Hervorzuheben ist der Ansatz, dass Regelungen auf nationaler Ebene kohärent ausgestaltet werden müssen und näher zu spezifizieren sind; bis hin zur Schaffung einer länderübergreifenden, einheitlichen Regelung zur Gesundheitsdatenverarbeitung. Ein solches Konzept würde bundesübergreifende Forschungsvorhaben tatsächlich erleichtern und dem bestehenden datenschutzrechtlichen Flickenteppich entgegenwirken. Ebenso wichtig ist es, komplexe Fragestellungen, wie bspw. die Interessenabwägung und Zweckbestimmung, nicht auf die betroffenen Personen und Forschende zu übertragen. Es sollte die Aufgabe des Gesetzgebers sein, hier Definitionen vorzugeben und Grenzen zu setzen. Ferner sind die Forderungen zu befürworten

  • nach einer unabhängigen eigenverantwortlichen Vertrauensstelle, die Datensätze pseudonymisiert, sowie
  • nach Methoden oder Managementsystemen mithilfe derer Betroffene die Kontrolle selbst ausüben können und bestehende Systeme vereinfacht werden, indem sie z. B. leichter informiert werden können, und auf diesem Weg digitale Einwilligungsmöglichkeiten zuzulassen. In diesem Zusammenhang wird auch die Partizipation und Teilnahme an Forschungsvorhaben von Betroffenen über Webportale, Register oder ähnliche Formate gefordert, um diese zu informieren und gemeinsam zu diskutieren. In diesem Rahmen soll Betroffenen auch die Möglichkeit geboten werden, Forschungsthemen vorzuschlagen.

Des Weiteren greift die DSK in ihrer Entschließung die Schaffung klarer Verantwortlichkeiten auf und macht deutlich, dass gesetzlich zu bestimmen ist, wer datenschutzrechtlich für einzelne Verarbeitungsschritte verantwortlich ist. Letztgenannte würde die Bestimmung von datenschutzrechtlichen Verantwortlichkeiten in Verbundvorhaben erheblich erleichtern, da die gegenwärtige Bestimmung dessen aufgrund der Zuordnung der Verbundpartner in unterschiedlichen Rechtsräumen mit unterschiedlichen (datenschutz-)rechtlichen Anforderungen praktisch für Forschende unmöglich ist. Ebenso zu befürworten ist die Forderung nach einer einheitlichen gesetzlichen Regelung zur Datenverarbeitung in medizinischen Registern und zur Etablierung eines laufenden, zentralen Verzeichnisses der bestehenden Register im Gesundheitsbereich.

Gleichzeitig ist anzumerken, dass das „Beharren“ auf der Einwilligung als Grundlage für die Datennutzung Forschungsvorhaben erheblich erschwert. So wird von Seiten der Aufsichtsbehörden u. a. verlangt, dass die erteilte Einwilligung alle fünf Jahre erneuert wird, was im Rahmen von Studien unmöglich umzusetzen ist und grundsätzlich von der DSGVO auch nicht gefordert wird. Sodann bemängeln Forschende, dass, aufgrund der Ausgestaltung der Einwilligung und zusätzlichen Erfordernissen, die Bereitschaft, diese zu unterzeichnen, gegen null tendiert („Einwilligungs-Fatigue“) und daher mitunter eine unzureichende Datenlage besteht, welche Forschungsvorhaben zum Scheitern verurteilt. Hier wäre es wünschenswert gewesen, dass die DSK die Notwendigkeit einheitlicher Regelungen, abseits von der Einwilligung, klarer herausgestellt hätte.

Besonderheit: Record Linkage

Die Verknüpfung verschiedener Datensätze (Record Linkage) wird in der Entschließung der DSK als besonders risikobehaftet eingestuft, da die Verknüpfung eine Re-Identifizierung einer betroffenen Person erleichtert, die Zweckbindung nicht eingehalten werden kann und darüber hinaus weitere Informationen, die für den Forschungszweck nicht erforderlich sind, generiert werden und womöglich zu falschen Informationen führen können. Forschende benötigen aber genau diese Verknüpfung um z. B. Krankheitsbilder und -herkünfte über mehrere Jahre zu erforschen und daraus Rückschlüsse ziehen zu können. Letztgenanntes wird durch eine anonymisierte Verarbeitung ebenfalls gehindert.

Die Herausforderung hier einen Weg und eine Lösung zu finden, um die Gesundheitsdatenverarbeitung für im öffentlichen Interesse liegende, wissenschaftliche Forschungszwecke zu ermöglichen und gleichzeitig Betroffenen einen adäquaten Grundrechtsschutz zu gewähren, ist kaum zu bewältigen. Das Risiko für die Rechte und Freiheiten betroffener Personen aufgrund der zusammengeführten Informationen wird immer hoch bleiben – auch wenn mittlerweile KI-Technologien, wie die Daten-Synthetisierung, neue Möglichkeiten schaffen. Die DSK fordert hier besondere anlassbezogene und temporäre Verfahren sowie Einwilligungsmanagementsysteme, um diese Datenverknüpfungen zu ermöglichen. Forschende fordern weitergehende, länderübergreifende Regelungen für die Forschung, die von einer Einwilligung absehen und zeitlich unbefristet sind. Insbesondere im Fall des Record Linkages (Datenverknüpfung) ist die Hoffnung hoch, in naher Zukunft Anforderungserleichterungen für die wissenschaftliche Forschung zu erleben. Zu den Vorschlägen der Forschenden siehe „Record Linkage: Möglichkeiten für die Forschung in Deutschland müssen verbessert werden“.

Hilft die „Petersberger Erklärung“ Forschenden weiter?

Das Aufgreifen der Thematik durch die DSK und das Hervorheben der Wichtigkeit der Forschung sind insgesamt als positiv zu bewerten. Allerdings stellt sich bei den aufgeführten Forderungen und Empfehlungen zur Einhaltung des Datenschutzes die Frage, wie die wissenschaftliche Forschung, die sich auf personenbezogene Daten und insbesondere auf sensible Gesundheitsdaten stützt, in Deutschland zukünftig tatsächlich erleichtert werden kann oder ob die Forderungen nicht weitreichender sein müssten.

Die Corona-Pandemie hat in den letzten Jahren aufgezeigt, wie verheerend eine unzureichende Datenlage und die dadurch teilweise wenig aussagekräftigen Forschungsergebnisse sein können. Das Formulieren dieser Forderungen durch die DSK ist somit ein Schritt in die richtige Richtung und die Umsetzung dessen für die Forschung wünschenswert. Eine vielversprechende Forderung ist die Schaffung länderübergreifender, einheitlicher Regelungen zur Gesundheitsdatenverarbeitung – allerdings scheint es illusorisch, ein solches Regelwerkt in naher Zukunft umzusetzen.