Der Datenschutz und die Nutzung von Gesundheits- und Behandlungsdaten für die Forschung – der Versuch einer Quadratur des Kreises

Datenschutzrheinmain/ Oktober 25, 2017/ alle Beiträge, Gesundheitsdatenschutz, Telematik-Infrastruktur/ 0Kommentare

Prof. Dr. Michael Krawczak vom Institut für Medizinische Informatik und Statistik der Christian-Albrechts-Universität in Kiel und Dr. Thilo Weichert, früherer Datenschutzbeauftragter des Landes Schleswig-Holstein haben im September 2017 einen Vorschlag einer modernen Dateninfrastruktur für die medizinische Forschung in Deutschland vorgelegt. In den Abschnitten

  • 1 Hintergrund
  • 2 Chancen und Risiken
  • 3 Rechtlicher Rahmen
  • 4 Regulatorische Unzulänglichkeiten
  • 5 Grundsätzliche Überlegungen
  • 6 Lösungsvorschlag
  • 7 Schlussbemerkungen

werden Begehrlichkeiten der Forschenden an den Hochschulen und in den in Medizin und Pharmazie tätigen Unternehmen deutlich: Mit der … Europäischen Datenschutzgrundverordnung (DSGVO) wurde ein supranationaler Rechtsrahmen geschaffen, in dem Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) weiterhin einen hohen Schutz genießen (Art. 9 DSGVO), deren Weiterverarbeitung zu Forschungszwecken aber als von hohem öffentlichem Interesse und nicht länger unvereinbar mit dem ursprünglichen Erhebungszweck eingestuft wird (Art. 5 Abs. 1 lit. b DSGVO). Eine wissenschaftliche Verarbeitung personenbezogener Gesundheitsdaten soll demnach zulässig sein, wenn ‚angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person‘ vorgesehen sind (Art. 9 Abs. 2 lit. j, 89 DSGVO)…“ (S. 4 der Studie)

Prof. Dr. Michael Krawczak und Dr. Thilo Weichert stellen dann fest: Leider wird die so gehegte Hoffnung auf eine Vereinheitlichung und Modernisierung der Datenschutzregelungen zur medizinischen Forschung dadurch getrübt, dass Öffnungsklauseln die Konkretisierung der ‚Maßnahmen‘ den nationalen Gesetzgebern überlassen und die (nationalen) Regelungen zum Berufsgeheimnisschutz unberührt bleiben (Art. 9 Abs. 3 u. 4, 90 DSGVO). Im schlimmsten Fall kann also alles beim Alten bleiben. Das im April 2017 vom deutschen Bundestag beschlossene Bundesdatenschutzgesetz (BDSG-neu) enthält zwar in § 27 Abs. 1 die Erlaubnis zur Verarbeitung sensitiver Daten für Forschungszwecke, wenn ‚die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen‘ (Satz 1) und ‚angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person‘ (Satz 2) gemäß § 22 Abs. 2 S. 2 BDSG-neu ergriffen werden… Das BDSG-neu schafft weder Rechtssicherheit noch Rechtsklarheit, da der gesamte Flickenteppich von Regelungen zur Forschungsdatenverarbeitung, die als bereichsspezifischesRecht vorrangig anzuwenden sind, fortbesteht… Mit diesem leidigen Sachstand ist jedoch die gute Botschaft verbunden, dass der Gesetzgeber in Deutschland wegen DSGVO und § 27 BDSG-neu erneut tätig werden muss, wenn Berufsgeheimnisse künftig überhaupt noch für Forschungszwecke genutzt werden sollen. Im Zuge dessen gehören unseres Erachtens sämtliche datenschutzrechtliche Forschungsregelungen auf den Prüfstand…“ (S. 4/5 der Studie)

Die Autoren unterbreiten daher folgende Vorschläge: „Bei der Schaffung einer einheitlichen materiellen Regelung der Datennutzung für die medizinische Forschung sollte auf die Grundsätze bestehender Forschungsklauseln zurückgegriffen werden, die sich in der Vergangenheit weitgehend bewährt haben.

  • Soweit möglich sind Daten für Forschungszwecke zu anonymisieren; ansonsten ist eine Pseudonymisierung vorzunehmen.
  • Eine Verarbeitung personenbeziehbarer Forschungsdaten ist nur zulässig, wenn alle einschlägigen Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nichtverkettbarkeit) in angemessener Weise durch technisch-organisatorische Maßnahmen gewährleistet werden.
  • Eine Verarbeitung ist zulässig, wenn sie auf einer ausdrücklichen, informierten, freiwilligen und widerrufbaren Einwilligung basiert. Die in der DSGVO (Art 7, 8) enthaltene Regelung würde diesbezüglich auch eine allgemein gültige Präzisierungen für die medizinische Forschung erlauben.
  • Eine Verarbeitung kann auch ohne Einwilligung der Betroffenen zulässig sein, wenn das öffentliche Interesse am jeweiligen Forschungsvorhaben die schutzwürdigen Belange der Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
  • Personenbezogene Daten dürfen nur veröffentlicht werden, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung der Forschungsergebnisse unerlässlich ist.
  • Die datenschutzrechtlichen Betroffenenrechte müssen stets so weit wie möglich gewährleistet werden.“ (S. 9 der Studie)

Praktisch umgesetzt werden soll dies wie folgt: „Im Interesse der Entbürokratisierung und Vereinfachung regen wir daher ein Verfahren an, in das technisch-organisatorische, datenschutzrechtliche, ethische und fachliche Erwägungen einfließen können, indem die erforderliche Expertise in unabhängigen, lokal agierenden Gremien… gebündelt wird. Diesen… werden in Abhängigkeit von der Sensitivität des jeweiligen Forschungsvorhabens Genehmigungs- bzw. Vetorechte für die Nutzung personenbezogener Gesundheitsdaten per Gesetz übertragen, erhalten also eine hoheitliche Funktion… Die Zuständigkeit… für ein bestimmtes Forschungsprojekt könnte sich aus der geographischen oder organisatorischen Zugehörigkeit des jeweils Projektverantwortlichen ergeben… Während die organisatorischen und administrativen Verfahren… gesetzlich zu regeln sind, sollten die Kriterien für die Bewertung von Forschungsvorhaben im Rahmen einer ‚regulierten Selbstregulierung‘ durch Einrichtungen wie z.B. die Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF entwickelt werden…“ (S. 10/11 der Studie)

Ob die von Prof. Dr. Michael Krawczak und Dr. Thilo Weichert gemeinsam entwickelten Vorschläge

  • mehr den ForscherInnen an Hochschulen und in den in Medizin und Pharmazie tätigen Unternehmen nutzen oder
  • die Rechte der betroffenen Menschen gleich gut oder besser sichern als dies bei der derzeitigen Rechtslage der Fall ist

bedarf der Diskussion auch unter den KritikerInnen der telematischen Infrastruktur im deutschen Gesundheitswesen.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*