Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

In vielen Ländern enthalten verschiedene Landesgesetze, die beispielsweise die Datenverarbeitungen durch Krankenhäuser und Behörden des öffentlichen Gesund­heitsdienstes betreffen, konkrete Befugnisse der jeweiligen Stellen zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken, die den allgemeinen Vorgaben vorgehen. Diese gesetzlichen Regelungen stellen unterschiedliche datenschutz­rechtliche Anforderungen. Bei länderübergreifender Forschung müssen von den Verantwortlichen die jeweils für sie geltenden Gesetze angewandt werden. Unter­schiede bestehen insbesondere in Bezug auf die Zulässigkeit der Datenverarbeitung (gesetzliche Grundlage oder Einwilligung mit jeweils unterschiedlichen Anforde­rungen), die Definition von Schutzbereichen (u. a. Patientinnen und Patienten, Ange­hörige) und zulässige Zwecke der Verarbeitung. Die rechtliche Bewertung und Umset­zung der jeweils geltenden Rechtsgrundlage führte in der Vergangenheit zu einem gesteigerten Beratungsbedarf und zu Unsicherheiten bei den Forschenden und Rechts­anwendern. Auch ergeben sich aus unterschiedlichen Regelungen Herausforderungen für eine transparente und verständliche Informationserteilung nach Artikel 13 und 14 der Datenschutz-Grundverordnung (DSGVO).

Das Bundesgesundheitsministerium hat mit dem Gesetzentwurf eines Gesundheits­datennutzungsgesetzes (GDNG) eine Vereinheitlichung der forschungsrelevanten Rechtsgrundlagen vorgeschlagen. Geplant ist insoweit eine Rechtsgrundlage für die „Weiterverarbeitung von Versorgungsdaten zur Qualitätssicherung, zur Förderung der Patientensicherheit und zu Forschungszwecken“ durch eine Gesundheitseinrichtung für die bei ihr rechtmäßig gespeicherten Daten.

Das Verhältnis dieser geplanten Neuregelungen zu den Landeskrankenhausgesetzen ist jedoch unklar. Mit der Gesetzgebungskompetenz der Länder für den Bereich der Krankenhäuser hat sich der Gesetzentwurf nicht auseinandergesetzt. Daher bestehen erhebliche Zweifel, dass mit diesem Gesetzentwurf eine rechtssichere und tragfähige Neuregelung erreicht wird, die die länderübergreifende Forschung erleichtert.

Die DSK hat in ihrer Stellungnahme zum GDNG-Gesetzentwurf vom 14.08.2023 hierauf hingewiesen und weiteren Korrekturbedarf aufgezeigt [1].

In dieser Stellungnahme und in der „Petersberger Erklärung“ vom 24.11.2022 hat die DSK wichtige Hinweise für gesetzliche Neuregelungen formuliert [2]. Sie beschreiben wesentliche Anforderungen zur datenschutzkonformen Verarbeitung von Gesund­heitsdaten in der wissenschaftlichen Forschung, insbesondere zu den Rechts­grundlagen und den besonderen Einwirkungsmöglichkeiten für betroffene Personen.

Um eine weitgehende Nutzung von Gesundheitsdaten zu Forschungszwecken im Einklang mit den Grundrechten zu normieren, sind konkrete Garantien und Maß­nahmen gesetzlich festzulegen. Es gilt der Grundsatz: Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfang­reicher und spezifischer können die Daten zu Forschungszwecken genutzt werden [3]. Abhängig von den jeweils verarbeiteten Datenarten – z. B. personenbezogenen Daten (Art. 4 Nr. 1 DSGVO), Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) oder genetische Daten (Art. 4 Nr. 13 DSGVO) – bedarf es eines angemessenen Schutz- und Vertrauensniveaus und spezifischer Regelungen für die Verarbeitungen in den jeweiligen Bereichen der Forschung.

Für besondere Forschungsgegenstände, bei denen eine ausreichende Anonymisierung nicht immer gewährleistet werden kann (etwa für radiologische Bilddaten), sollten spezifische Regelungen getroffen werden, um einen angemessenen Schutz der Grundrechte der betroffenen Personen sicherzustellen, z. B. durch zusätzliche techni­sche und organisatorische Maßnahmen.

Darüber hinaus sind die Regelungen des Art. 9 Abs. 2 lit. j i. V. m. Art. 89 Abs. 1 DSGVO zu beachten. Insbesondere müssen im Gesetz selbst angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person festgelegt werden. Diese Festlegung der spezifischen Anforderungen darf nicht an die Verantwortlichen delegiert werden. Die Umsetzung darf sich auch nicht in generalklauselartigen oder in solchen Regelungen erschöpfen, die die DSGVO ohnehin für die Datenverarbeitung vorsieht, wie etwa die Betroffenenrechte nach Art. 15 ff. DSGVO oder Maßnahmen nach Art. 32 DSGVO. Stattdessen müssen konkrete Maßnahmen benannt werden.

Angemessene und spezifische Maßnahmen in diesem Sinne können etwa sein:

• Vorgaben für die Datenschutz-Folgenabschätzung (z. B. Betrachtungstiefe, Aufgabenzuweisungen für die Durchführung),
• die Schaffung weiterer, über die in Art. 15 ff. DSGVO hinausgehender Betrof­fenenrechte (z. B. spezifische Widerspruchsrechte, Vernichtung von Bio­proben),
• die Festlegung angemessener Sperrfristen, die den betroffenen Personen ermöglichen, ihre Rechte auszuüben, bevor mit ihren Daten geforscht werden darf (z. B. bei einem Widerspruchsrecht),
• die Einbindung einer unabhängigen Treuhandstelle insbesondere zur Verschlüsselung, Anonymisierung oder Pseudonymisierung der Daten,
• die Einrichtung von Datenintegrationszentren oder Forschungsplattformen, soweit konkrete, der DSGVO entsprechende Anforderungen an deren Ausgestaltung formuliert werden,
• die Verpflichtung beteiligter Stellen zur Verschwiegenheit und die Schaffung korrespondierender Prozessrechte wie ein Beschlagnahmeverbot und Zeugnisverweigerungsrechte,
• konkrete Festlegungen zur Ausgestaltung und Gewährleistung der Daten­minimierung.

Diese Aufzählung ist nicht abschließend. Es ist die Aufgabe des Gesetzgebers, die Risiken zu erkennen, die mit einer Verarbeitung von Gesundheitsdaten verbunden sind, sie zu benennen und ihnen angemessene Schutzmaßnahmen für die Rechte und Interessen der betroffenen Personen gegenüberzustellen.

Die DSK weist darauf hin, dass medizinische personenbezogene Daten in bestimmten Fallkonstellationen dem absoluten Schutz des Kernbereichs privater Lebensgestaltung unterliegen.

Die Verarbeitung solcher menschenwürderelevanter Daten kann selbst zu Forschungs­zwecken nicht auf Grundlage einer gesetzlichen Regelung legitimiert werden.

Schließlich ist eine uneingeschränkte Datenschutzaufsicht in dem sensiblen Bereich der Verarbeitung von Gesundheitsdaten zu garantieren. Diese bietet Schutz für die betrof­fenen Personen. Etwaig bestehende Einschränkungen der Befugnisse der Daten­schutz­aufsichtsbehörden hinsichtlich der Verhängung von Bußgeldern und des Vollzugs gegenüber öffentlichen Stellen sind zumindest im Anwendungsbereich entsprechen­der Regelungen aufzuheben.

Die DSK setzt sich für die Schaffung eines hohen Datenschutzniveaus in der medizi­nischen Forschung durch eine aufeinander abgestimmte zeitnahe rechtsklare und systematische Neustrukturierung der entsprechenden rechtlichen Regelungen ein. Sie appelliert an die Gesetzgeber des Bundes und der Länder, durch klarstellende Regelungen einen wirksamen Kernbereichsschutz sicherzustellen.

Die Datenschutzaufsichtsbehörden bieten an, in Wahrnehmung ihrer Beratungs­funktion die Gesetzgeber vor und bei entsprechenden Gesetzesvorhaben zu unterstützen.

[1] Die Stellungnahme der DSK vom 14.08.2023 zum Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG – Stand 03.07.2023) ist abrufbar unter
https://datenschutzkonferenz-online.de/media/st/23_08_14_DSK_Stellungnahme_GDNG-E.pdf _[Extern].
[Zurück]

[2] Die Entschließung der DSK vom 24.11.2022 (Petersberger Erklärung) ist abrufbar unter:
https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf _[Extern].
[Zurück]

[3] Vgl. Empfehlung Nr. 2 der Petersberger Erklärung.
[Zurück]