Die Corona-Pandemie hat, neben vielen weiteren Aspekten, den Erkenntnisgewinn durch die Verarbeitung personenbezogener Daten zu Forschungszwecken hervorgehoben und damit die Relevanz wissenschaftlicher Forschung verdeutlicht. Elementarer Bestandteil für diesen Erkenntnisgewinn ist die Verknüpfung bzw. Zusammenführung von Daten aus verschiedenen Datenquellen/-banken über dasselbe „Objekt“ bzw. Subjekt. Denn durch das sog. Record-Linkage-Verfahren können dank der Zusammenführung verschiedener Datensätze, Gemeinsamkeiten und Unterschiede ermittelt werden, die ansonsten ohne weiteres nicht erkennbar wären.
In der Forschung wird zwischen Primär- und Sekundärdaten unterschieden. Die Primärdaten (auch Rohdaten genannt) werden z. B. durch studiendurchführende Einrichtungen direkt bei der betroffenen Person zu Studienzwecken erhoben. Sekundärdaten werden in diesem Zusammenhang durch andere Einrichtungen zu ursprünglich anderen Zwecken primär erhoben (z. B. Abrechnung) und i. R. v. Linkage-Verfahren zu Studienzwecken weiterverarbeitet.
Die rechtlichen Rahmenbedingungen für die Datenverknüpfung zu Forschungszwecken gestalten sich allerdings – trotz des datenschutzrechtlich eingeräumten Forschungsprivilegs – schwierig. Diese Komplexität spiegelt sich bspw. auch in der Problematik der Impfquoten-Datenbasis wider.
Datenverknüpfung anonymisierter Daten
Die Anwendbarkeit des Datenschutzrechts setzt stets das Vorliegen personenbezogener Daten voraus. Zu unterscheiden ist somit zwischen der Datenverknüpfung basierend auf personenidentifizierenden Merkmalen und der Datenverknüpfung, die keine personenidentifizierenden Merkmale verwendet.
Letztgenannte Alternative wäre eine Möglichkeit, die Datenverknüpfung weitgehend risikofrei zu gestalten und eine Re-Identifizierung einer natürlichen Person zu minimieren, indem die Datenverarbeitung dem Anwendungsbereich der DSGVO entzogen wird. Die Daten werden sodann anonymisiert ausgewertet bzw. verknüpft. In diesem Zusammenhang lassen sich allerdings viele wissenschaftliche Fragestellungen nur unzureichend beantworten. Zudem tritt für diese Form der Verarbeitung die altbekannte Problematik des Anonymisierungsgrades zutage.
Datenschutzrechtlicher „Flickenteppich“ für die Forschung
Für personenbezogene Daten gilt die DSGVO als EU-Verordnung unmittelbar in allen Mitgliedstaaten. Allerdings legen sog. Öffnungsklauseln innerhalb der Verordnung fest, dass die jeweiligen EU-Mitgliedstaaten nationalstaatliche Regelungen, z. B. für die Forschung, erlassen können. Diese haben sodann in der Anwendung Vorrang.
Ein Problem, welches hieraus resultiert, ist, dass Regelungen zum Datenschutz in der Forschung weder auf Europaebene noch in Deutschland vereinheitlicht sind. Aufgrund der geteilten Gesetzgebungskompetenz zwischen Bund und Ländern existiert hier ein überregulierter „Flickenteppich“ an datenschutzrechtlichen Regelungen. Die Normen finden sich dazu im BDSG, in den Landesdatenschutzgesetzen, in den Sozialgesetzbüchern, in den Krankenhaus- und Krebsregistergesetzen der Länder sowie in weiteren Gesetzen.
Rechtliche Rahmenbedingungen für die Datenverknüpfung personenbezogener Daten
Zur Legitimation der Datenverknüpfung können entweder die datenschutzrechtliche Einwilligung der betroffenen Person oder ein gesetzlicher Erlaubnistatbestand herangezogen werden.
Einwilligung
Zur Vereinheitlichung der Vorgehensweise – aufgrund divergierender Datenschutzregelungen und der Gewährleistung von Rechtssicherheit – stützt man sich im wissenschaftlichen Forschungsbereich i. d. R. auf die erweiterte Einwilligung (Broad Consent) als Legitimationsgrundlage zur Datenverarbeitung. Die Datenverknüpfung kann im Ergebnis grundsätzlich immer auf die Einwilligung gestützt werden. Der Broad Consent bietet eine breite Verarbeitungsmöglichkeit für die erhobenen Daten, die auch eine Datenverarbeitung für andere Forschungsprojekte zulässt. Für die Verarbeitung besonderer Kategorien personenbezogener Daten sind allerdings strengere Anforderungen zu beachten, denn die Einwilligung muss u. a. ausdrücklich für einen oder mehrere festgelegte Zwecke formuliert werden.
Allerdings ergeben sich im Rahmen der Einwilligung diverse Probleme für Forschende, insbesondere die Einwilligungsbereitschaft von Studienteilnehmenden und die daraus resultierenden verzerrten Forschungsergebnisse aufgrund einer mangelnden Datenlage sowie die Befristung von Einwilligungen durch zuständige Behörden, sodass diese mehrfach bei Studienteilnehmenden eingeholt werden müssen. Diese Aspekte führen in der Praxis u. a. dazu, dass Forschungsvorhaben und Studien zum Teil unmöglich gemacht werden – denn nicht nur das Einholen einer Einwilligung, sondern auch der damit verbundene organisatorische Aufwand sind für die Forschenden selbst kaum zu bewältigen.
Gesetzlicher Erlaubnistatbestand
Die Rechtsgrundlage, auf die die Datenverknüpfung gestützt werden kann, variiert je nach Verarbeitung, Datenkategorie und beteiligten Akteuren. In diesem Rahmen muss zwischen den allgemeinen und den bereichsspezifischen Regelungen unterschieden werden.
Als allgemeiner gesetzlicher Erlaubnistatbestand ist § 27 BDSG zu berücksichtigen, durch den die Verarbeitung besonderer Datenkategorien auch ohne Einwilligung für wissenschaftliche Forschungszwecke grundsätzlich zulässig ist, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Strittig ist, wann von einem „erheblichen“ Überwiegen der Interessen auszugehen ist. In diesem Zusammenhang müssen grundrechtliche Positionen berücksichtigt, gewichtet und abgewogen werden. Diese Abwägung kann in der Praxis durch keinen Forschenden selbst rechtssicher durchgeführt werden – auch Datenschützer sind auf die Position und Entscheidungen der Aufsichtsbehörden angewiesen.
Ähnliche Problematiken treten bei weiteren normierten Erlaubnistatbeständen zutage. Eine bereichsspezifische Vorschrift im Sozialrecht enthält der § 75 SGB X zur Übermittlung von Sozialdaten für die Forschung und Planung. In diesem Fall sind die Tatbestandsvoraussetzungen der „Erforderlichkeit“, der „Interessenabwägung“ sowie der „Zumutbarkeit“ unbestimmt. Für die rechtssichere praktische Umsetzung ist man demnach immer von Stellungnahmen der Aufsichtsbehörden abhängig. Zudem können das zusätzlich normierte Erfordernis einer Einwilligung sowie die Anforderung zur Durchführung eines Genehmigungsverfahren zu langwierigen Prozessen zwischen Forschenden, weiteren Projektbeteiligten, Datenschutzbeauftragten und Aufsichtsbehörden führen. Abhilfe kann hier letztendlich nur der Gesetzgeber durch klar definierte Vorgaben schaffen.
Problem: Forschungskooperationen/Verbundvorhaben
Forschungsprojekte sind oft als Forschungskooperationen/Verbundvorhaben organisiert. Die Hauptakteure von Linkage-Verfahren sind u. a. Dateneigner, Datenverarbeiter, Auftragsverarbeiter/Gemeinsame Verantwortliche, Aufsichtsbehörden der Länder, Datenschutzbeauftrage und Treuhandstellen. In diesem Zusammenhang muss die datenschutzrechtliche Verantwortlichkeit der Projektbeteiligten geklärt werden. Die Besonderheit beim Record Linkage ist, dass es mehrere Dateneigner gibt, die die Daten entweder an einer zentralen Stelle bündeln oder aber einer der Dateneigner die Datenverknüpfung selbst vornimmt. Ausgangspunkt der datenschutzrechtlichen Betrachtung ist folglich nicht eine verantwortliche Stelle, sondern mehrere, denn gerade die Entscheidung über die Zwecke und Mittel sowie die Erhebung, Speicherung, Verarbeitung und Nutzung der Daten kann in Forschungskooperationen durch mehrere Projektbeteiligte gleichermaßen erfolgen. Die DSGVO berücksichtigt diese Besonderheit, indem in Art. 26 DSGVO eine gemeinsame Verantwortlichkeit normiert ist. Das Innenverhältnis muss sodann konkretisiert werden, was eine Vereinbarung über die Funktionen und Zusammenarbeit einschließt sowie die Regulierung der aus der DSGVO einem Verantwortlichen obliegenden Pflichten. Die gemeinsamen Entscheidungsbefugnisse führen in der Folge zu einer geteilten rechtlichen Verantwortung für die Datenverarbeitung, welche für die Praxis ebenfalls Schwierigkeiten mit sich bringt.
Daneben tritt, die aus dem rechtlichen Flickenteppich resultierende Problematik bei Forschungskooperationen im Besonderen hervor, da Projektbeteiligte unterschiedlichen Rechtsräumen zuzuordnen sind. Demnach muss bei Forschungskooperationen zwischen öffentlichen Stellen für die Landesrecht gilt und Vereinen, Unternehmen und anderen Organisationen für die Bundesrecht gilt, unterschieden werden.
Problem: Aufsichtsbehörden
Dieser gesamte Regelungskomplex spitzt sich durch die notwendige Berücksichtigung der Stellungnahmen sowie Genehmigungsverfahren durch Aufsichtsbehörden zu, die die Einhaltung der Datenschutzgesetze überwachen. In Deutschland hat jedes Bundesland einen Landesdatenschutzbeauftragten. Grundsätzlich sind diese sowohl für öffentliche als auch für nicht-öffentliche Stellen zuständig – mit Ausnahme von Bayern, wo die Behörde für öffentliche und nicht-öffentliche geteilt ist. Neben den nationalen Behörden, gibt es auf europäischer Ebene den europäischen Datenschutzausschuss, der mit eigener Rechtspersönlichkeit gem. Art. 68 Abs. 1 DSGVO versehen ist. Daraus resultiert ebenfalls eine Unklarheit in der Bestimmung der Zuständigkeit von Aufsichtsbehörden in Verbundprojekten. Zudem wird Rechtsunsicherheit in der Umsetzung der Anforderungen geschürt, da die Anwendung von Erlaubnistatbeständen Abwägungen vorsieht, die von – verschiedenen und oftmals stark divergierenden – Positionen der Aufsichtsbehörden abhängig sind.
Fazit
Im Rahmen der wissenschaftlichen Forschung sind für die Verwendung von personenbezogenen Daten, insbesondere Gesundheitsdaten, umfassende datenschutzrechtliche Vorgaben zu beachten. Für Record-Linkage-Verfahren variieren die gesetzlichen Anforderungen nach Art und Herkunft der Daten sowie nach den beteiligten Akteuren. Durch diese Sammlung an unterschiedlichen datenschutzrechtlichen Voraussetzungen bzw. Anforderungen für die Datenübermittlung und -verknüpfung, ist die Datenverarbeitung zu Forschungszwecken nur schwer in Einklang zu bringen. Bei länderübergreifenden Forschungskooperationen/Verbundprojekten zeichnen sich diese Konflikte deutlich ab.
Forschung wird im Rahmen der Gesetzgebung zwar privilegiert, aber durch komplexe Regelungen wird diese beeinträchtigt und Konflikte verschärft. Aufgrund des gesamten Regelungskomplexes können aktuell ein Großteil an Daten nicht vollumfänglich genutzt werden und dies führt mitunter zu unsicheren bzw. verzerrten Ergebnissen. Eine Harmonisierung bzw. vielmehr noch eine Vereinheitlichung der rechtlichen Rahmenbedingungen, bei gleichzeitigem Schutz der personenbezogenen Daten und Interessen betroffener Personen, wäre demnach wünschenswert.
23. Dezember 2021 @ 14:52
Vielen Dank für diesen Beitrag. Das Thema ist in der Praxis der Sozialversicherungsträger sehr wichtig. Wie Sie richtig erwähnen, ist die Thematik der Anoymisierung eng damit verbunden. Je nach Anschauung, ob ein absoluter oder ein relativer Begriff der Anonymisierung gilt, kann Forschung mit Sekundärdaten erheblich behindert oder unmöglich gemacht werden. Greifen Sie doch bitte auch dieses Thema auf.