Datenschutz in der medizinischen Forschung – eine gemeinsame Stellungnahme des hessischen Datenschutzbeauftragten und der Deutschen Gesellschaft für Innere Medizin, die Anlass zu Nachfragen gibt
Als „Leitfaden für Forschende in der Medizin“ haben Prof. Alexander Rossnagel, hessischer Datenschutzbeauftragter und Prof. Dr. med. Georg Ertl, Generalsekretär der Deutschen Gesellschaft für Innere Medizin (DGIM) ihre Stellungnahme im Oktober 2025 veröffentlicht.
Für Patient*innen bzw. medizinische Laien dürfte insbesondere der Abschnitt 6 (Datenschutzrechtliche Grundlagen in der Verarbeitung von Gesundheitsdaten) von Interesse sein. Er gliedert sich in die Punkte
- „Forschung ohne Einwilligung,
- Anonymisierte Daten,
- Anwendungsbereich medizinische Forschung“ und
- „Sonderfall: Pseudonymisierung“
Unter „Forschung ohne Einwilligung“ wird festgestellt: „Es ist wichtig, dass sich Forschende im Vorfeld eines Forschungsvorhabens die Frage stellen, ob die Forschung mit anonymisierten – und in diesem Sinne beschränkten Daten – zur Erreichung des Forschungszieles geeignet ist. Wenn dem nicht so ist, sollten Alternativen angedacht werden. Hierzu gehört neben der Forschung mit Einwilligung die Forschung ohne Einwilligung… Der hier vorzunehmende Abwägungsprozess zwischen den Interessen der Betroffenen und dem Forschungsinteresse sollte bei Investigator initiierten Studien (IIT) in vielen Fällen zugunsten der Forschung ausfallen. Mit dem Gesundheitsdatennutzungsgesetz (GDNG) ist außerdem eine bundeseinheitliche Rechtgrundlage zur Forschung mit dem im Versorgungskontext erhobenen Behandlungsdaten hinzugekommen…“
Im Bezug auf Regelungen im Gesundheitsdatennutzungsgesetz (GDNG) wird hier vom hessischen Datenschutzbeauftragten eine Position vertreten, die vor und nach Inkrafttreten der gesetzlichen Neuregelungen von (Datenschutz-)Expert*innen kritisiert wurde.
Fragwürdig wird es insbesondere im Punkt „Anonymisierte Daten“. Die dort festgehaltenen Definitionen und empfohlenen Verfahrensweisen weichen die Unterschiede zwischen Pseudonymisierung und Anonymisierung von personenbezogenen Daten zugunsten von Forschungsinteressen auf.
In der DSGVO, „Erwägungsgrund 26 Keine Anwendung auf anonymisierte Daten“, wird Anonymisierung von Daten definiert: „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Anders im „Leitfaden für Forschende in der Medizin“. Dort ist zu lesen: „Ein absoluter Ausschluss einer Personenbeziehbarkeit von Gesundheitsdaten, die für Forschung und Versorgung verarbeitet werden sollen, ist weder gefordert, noch dürfte ein solcher stets möglich sein. Also kann es nur darum gehen, ein ausreichendes Maß an Risikoreduktion zu begründen. Für die Feststellung, ob die zu verarbeitenden Daten personenbeziehbar sind, werden alle Mittel berücksichtigt, die eine Personenbezug herstellen können. Andererseits soll der Aufwand Berücksichtigung finden, mit dem eine Personenbeziehbarkeit herzustellen wäre. Die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen sollen ebenfalls berücksichtigt werden… Eine Wiederherstellung der Personenbeziehbarkeit kann für anonymisierte Daten in der Regel nicht vollständig ausgeschlossen werden. Prinzipiell besteht ein Risiko einer Re-Identifizierbarkeit… Ein hundertprozentiger Nachweis der Anonymität muss durch den Anwender nicht erbracht werden…“
Im Punkt „Sonderfall: Pseudonymisierung“ wird es spekulativ: „Sollte ein Forschungsvorhaben erfolgreich sein und beispielsweise ein neues Heilverfahren für eine Erkrankung entwickelt werden, so könnte dieses auch Patienten zugutekommen, deren Daten in anonymisierter Form Eingang in die Forschung gefunden haben…“ Dies setzt voraus, dass diejenigen, die mit pseudonymisierten Daten Forschung betrieben haben, Interesse, Zeit und Geld aufwenden, um betroffene Patient*innen zu informieren. (Nicht nur) bei privatwirtschaft betriebener Forschung darf davon ausgegangen werden, dass dies eher selten der Fall sein dürfte.
Was bleibt als Gesamteindruck? Ähnlich wie beim Umgang mit der Schufa und mit Microsoft lässt der hessische Datenschutzbeauftragte zu, dass die Interessen an einer Datennutzung gegenüber dem Grundrecht auf informationelle Selbstbestimmung Vorrang haben.