Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

I. Unabhängiges Landeszentrum für Datenschutz - ULD

Das ULD ist als Datenschutzkontrollinstanz für Schleswig-Holstein im öffentlichen und im nicht-öffentlichen Bereich umfassend auch für die Bereiche Medizin und Forschung zuständig. Das ULD sieht seinen Tätigkeitsschwerpunkt im präventiven Bereich und berät Daten verarbeitende Stellen, Betroffene wie auch politische Entscheidungsträger, z. B. den Bundestag[2], und betreibt Öffentlichkeitsarbeit [3] sowie Aus- und Fortbildungsarbeit in einer DATENSCHUTZAKADEMIE [4]. Weiterhin engagiert sich das ULD im Bereich der Datenschutz-Grundlagenforschung in Projekten und durch die Erstellung von Studien, etwa zu den Themen des Ambient Assisted Living [5] und der Biobank-Forschung [6]. Zu den präventiven Datenschutzaktivitäten des ULD gehören zudem die Datenschutz-Auditierung und -Zertifizierung von Stellen, Organisationen, IT-Produkten und IT-Dienstleistungen nach deutschem und nach europäischem Recht (European Privacy Seal – EuroPriSe). Vom ULD wurde die Forschungsbiobank von Schering zertifiziert. [7]

II. Grundlagen des Datenschutzes

Die verfassungsrechtlichen Grundlagen des modernen Datenschutzes wurden mit der Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG) im Jahr 1983 gelegt, als das Gericht aus dem allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 Grundgesetz (GG) ein „Recht auf informationelle Selbstbestimmung“ ableitete. [8] Dieses Recht basiert auf zwei Aspekten: 1. dem Wissen (Transparenz) und 2. dem Bestimmenkönnen über die die eigene Person betreffende Datenverarbeitung. In dem Urteil wurde auch die Notwendigkeit von technisch-organisatorischen Maßnahmen der Datensicherheit sowie von verfahrensrechtlichen Sicherungen dieses Rechts betont. Schon zuvor hatte das BVerfG im Jahr 1969 aus dem allgemeinen Persönlichkeitsrecht ein Verbot von teilweisen und vollständigen Persönlichkeitsbildern abgeleitet. [9] Eine wichtige Weiterentwicklung erfolgte im Jahr 2008, als das BVerfG ein Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit eigengenutzter informationstechnischer Systeme begründete, und damit neben der sozialen (Familie) und der räumlichen (Wohnung) eine digitale Privatsphäre als schützenswert und -bedürftig erklärte [10]. Angesichts der technischen Entwicklung im Bereich der Genomanalyse und dieser Rechtsprechung stellt sich die Frage, wann unsere biotechnische Privatsphäre unter einen gesonderten grundrechtlichen Schutz gestellt wird. Relevant ist in diesem Zusammenhang, dass das Grundrecht auf Datenschutz zugleich bzw. parallel den informationellen Schutz weiterer Grundrechte gewährleistet, etwa das Telekommunikationsgeheimnis, den Schutz der Wohnung, den Schutz der Familie, den Schutz von Beruf und Eigentum, politische Freiheiten, die Informations- und die Meinungsfreiheit und – für den Medizinbereich relevant – die körperliche Unversehrtheit.

Wir haben es hier nicht nur mit deutschem Grundrechtsschutz zu tun. Dieser findet vielmehr seine europarechtliche Entsprechung in Artikel 8 der Europäischen Menschenrechtskonvention (EMRK), der die Achtung des Privatlebens und damit des Privat- u. Familienlebens, der Wohnung und des Briefverkehrs gewährleistet. Eine Konkretisierung erfolgte durch die Europäische Datenschutzkonvention im Jahr 1981. Innerhalb der Europäischen Union (EU) erfolgte im Jahr 2009 eine subjektivrechtliche Absicherung des Schutzes personenbezogener Daten und der Privatsphäre durch die Grundrechtecharta mit deren Artikeln 8 und 9. Die Konkretisierung des Datenschutzes in der EU erfolgte zunächst mit der Europäischen Datenschutzrichtlinie aus dem Jahr 1995, die nach einem Vorschlag der EU-Kommission vom Februar 2012 durch eine direkt anwendbare Europäische Datenschutz-Grundverordnung abgelöst werden soll. Ergänzend erwähnt werden sollen weiterhin Empfehlungen des OECD und der UNO, die einige Grundprinzipien des Datenschutzes weltweit normativ festlegen.

Die rechtlichen Regeln des Datenschutzes finden sich präzisiert im Bundesdatenschutzgesetz (BDSG), das für nicht-öffentliche (private) Stellen und für öffentliche Stellen des Bundes gilt, in den Landesdatenschutzgesetzen (z. B. LDSG SH), die für öffentliche Stellen der Länder und der Kommunen anwendbar sind, sowie in einer Vielzahl von spezialgesetzlichen Regelungen. Dieses sind  z. B.
- die Sozialgesetzbücher (v. a. SGB I, X und V – für die gesetzliche Krankenversicherung),
- die Krebsregistergesetze der Länder,
- das Gendiagnostikgesetz,
- die Landes-Meldegesetze,
- einzelne Krankenhausgesetzes (z. B. nicht in Schleswig-Holstein) und
- Gesundheitsdienst- und vergleichbare Gesetze in den Ländern.

Parallel zum allgemeinen und speziellen Datenschutzrecht sind die Normen zum Patientengeheimnisses (ärztliche Schweigepflicht) anzuwenden, die sich in den Berufsordnungen der Ärztekammern und in § 203 Abs. 1 Nr. 1, Abs. 3 StGB finden. Die Berufsordnungen enthalten weitere Regeln zur medizinischen Datenverarbeitung, z. B. zu ärztlichen Dokumentationspflichten. Weitere Medizingesetze, z. B. das Medizinproduktegesetz oder das Transplantationsgesetz geben Auskünfte über spezifische Formen der patienten- bzw. probandenbezogenen medizinischen Datenverarbeitung.

Hinzuweisen ist weiter auf § 3 Abs. 9 BDSG, der besondere Arten personenbezogener Daten, wozu solche zu „Gesundheit und Sexualleben“ gehören, unter ein spezifisches rechtliches Regime stellt (vgl. § 28 Abs. 6-9 BDSG).

Inhaltlich lassen sich alle Datenschutznormen durch 7 Grundprinzipien zusammenfassen:
1. Rechtmäßigkeit – jede Form der personenbezogenen Datenverarbeitung bedarf einer rechtlichen Grundlage und darf nur gemäß den gesetzlichen Vorgaben erfolgen.
2. Einwilligung – eine Verarbeitung ist durch ausdrückliche Zustimmung des Betroffenen zulässig.
3. Zweckbindung – Daten dürfen grds. nur für den Zweck genutzt werden, für den sie erhoben wurden.
4. Erforderlichkeit und Datensparsamkeit – erlaubt ist nur die Verarbeitung solcher Daten, die für den konkreten Zweck und das konkrete Verfahren nötig sind.
5. Transparenz und Betroffenenrechte – die Verarbeitung muss für die Betroffenen nachvollziehbar und gestaltbar sein durch Auskunft, Berichtung, Löschung usw.
6. Datensicherheit – durch technisch-organisatorische Maßnahmen ist eine sichere Verarbeitung zu gewährleisten.
7. Kontrolle – interne und vor allem unabhängige externe Instanzen überwachen die Rechtmäßigkeit.
Diese 7 Prinzipien finden ihre Umsetzung durch rechtliche Regeln, durch Verfahren, Organisation und Technik

III. Forschung

Forschung – auch medizinische Forschung – genießt den Schutz unseres Grundgesetzes in Art. 5 Abs. 3 S. 1 und unserer europäischen Grundrechtecharta. Gemäß der Rechtsprechung des BVerfG wird Forschung gekennzeichnet durch ihre wissenschaftliche Eigengesetzlichkeit, wozu Folgendes gehört: Methodik, Systematik, Beweisbedürftigkeit, Nachprüfbarkeit, Kritikoffenheit und Revisionsbereitschaft. [11] Entsprechend privilegiert werden so auch Dissertationen und Habilitationen, nicht aber Seminararbeiten. Im Ausnahmefall können aber Aktivitäten zu Ausbildungs- und Prüfungszwecken zugleich Forschungszwecke verfolgen und genießen insofern Schutz. Wesensmerkmal jeder privilegierten Forschung ist deren Unabhängigkeit, weshalb kommerziell motivierte Pharma-, Markt- und Meinungsforschungsprojekte ebenso wenig darunter fallen wie Untersuchungen im Rahmen von Aufsicht und Kontrolle, von Organisationsprüfung, der Qualitätssicherung und von Wirtschaftlichkeitskontrolle. Behandlungsbegleitende Maßnahmen sind keine Forschung. Sind aber behandelnder Arzt und Forschender identisch, so erfolgt keine Offenbarung von Patientengeheimnissen; diese Eigenforschung ist grds. erlaubt.

Die Frage, wie personenbezogene Daten für Forschungszwecke genutzt werden dürfen, beantworten insbesondere die Forschungsregelungen in den allgemeinen Datenschutzgesetzen, also z. B. für private Stellen das BDSG und zwar für die Erhebung und Speicherung § 28 Abs. 3 S. 1 Nr. 4, Abs. 6 Nr. 4 und für den Umgang mit den Daten § 40 oder für öffentliche Stellen wie z. B. das Universitätsklinikum Kiel/Lübeck § 40 des LDSG Schleswig-Holstein. Auch wenn sich die Rechtsgrundlagen unterscheiden, die darin enthaltenen Regeln sind weitgehend identisch: Forschungsdaten unterliegen einer absoluten Zweckbindung, d. h. dürfen für keinen anderen Zweck genutzt werden (§ 40 Abs. 1 BDSG), die Daten sind zum frühestmöglichen Termin zu anonymisieren bzw. pseudonymisieren, Referenzlisten sind separat zu führen (§ 40 Abs. 2 BDSG, § 22 Abs. 1, 5 LDSG SH). Eine personenbezogene Veröffentlichung kommt nur bei Einwilligung oder  Ereignissen der Zeitgeschichte in Betracht (§ 40 Abs. 3 BDSG, § 22 Abs. 6 LDSG SH). Ausnahmsweise können Forschungsprojekte auch auf der Basis einer Verhältnismäßigkeitsprüfung personenbezogen durchgeführt werden (§ 28 Abs. 3 Nr. 4, Abs. 6 Nr. 4 BDSG). In diesem Fall sehen Landesregelungen teilweise Melde- und Genehmigungspflichten vor (§ 22 Abs. 3, 4 LDSG SH). Teilweise gibt es aus Praktikabilitätsgründen weitere Sonderregelungen, etwa dass die Erfassung und Anonymisierung bei entsprechender Verschwiegenheitsverpflichtung durch die Forschenden vorgenommen werden darf (§ 22 Abs. 2 LDSG SH).

Weiterhin gelten einige allgemeine Regeln, etwa die Pflicht zur Datenvermeidung/Datensparsamkeit (§ 3a BDSG, § 4 Abs. 1 LDSG SH), zur Bestellung betrieblicher Datenschutzbeauftragter (§§ 4f, 4g BDSG) oder zur Auftragsdatenverarbeitung (§ 11 BDSG, § 17 LDSG SH). Bei Übermittlungen ins Ausland gelten Einschränkungen (§§ 4b, 4c BDSG, § 16 LDSG SH).

An diesen Grundsätzen wird auch die geplante Europäische Datenschutz-Grundverordnung nichts ändern. Diese enthält in den Art. 4 Abs. 10-12 Definitionen zu genetischen, biometrischen und Gesundheitsdaten. Die Rechtmäßigkeit der Datenverarbeitung kann durch Einwilligung erreicht werden (Art. 6 Abs. 1 a). In Art. 83 ist eine Forschungsklausel mit der Pflicht zur Filetrennung (Identifikatoren und Forschungsdaten) vorgesehen; auf den besonderen Umgang mit wissenschaftlichen Daten wird mehrfach verwiesen (Art. 6 Abs. 2; Art. 9 h, Art. 17 Abs. 3 d) bzgl. Löschung). Generell sind für die Verarbeitung von Gesundheitsdaten weiterhin nationale Sonderregelungen zulässig (Art. 81). Im vorliegenden Kontext interessant ist eine Sonderregelung zum Kinderschutz (Art. 8) sowie zu vorab vorzunehmden Datenschutz-Folgenabschätzungen (Art. 33).

IV. Rechtliche Sonderfragen

Personenbezug

Eine wesentliche Frage bei Forschungsprojekten ist, wann Personenbezug und wann dieser nicht mehr vorliegt. Gemäß § 3 Abs. 1 BDSG ist ein Personenbezug gegeben bei „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. Bei Verstorbenen gibt es zwar keinen Schutz mehr durch den Datenschutz, aber weiterhin durch das Patientengeheimnis. Nach § 3 Abs. 7 BDSG liegt ein wirksames Anonymisieren vor, wenn eine Person nur noch mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft bestimmbar ist. Ein Pseudonymisieren ist gegeben, wenn ohne Zuordnungsdaten die Datensätze anonymisiert sind.

Für die Frage, ob noch ein Personenbezug besteht, ist immer das gesamte (potenzielle) (Zusatz-) Wissen der verantwortlichen Stelle relevant. Eine Zuordnung ist dabei grds. nicht nur  über Identifizierungsdaten, sondern auch über Forschungsdaten im Merkmalsbereich möglich. Jedes potenzielle Zusatzwissen ist relevant, auch wenn dieses nur auf unzulässige Weise erlangt werden kann und nur bei (grds. erreichbaren) dritten Stellen vorhanden ist. Durch das Internet und Suchmaschinen sowie durch intelligente Datenbankauswertungsmethoden hat der Umfang an potenziellem Zusatzwissen massiv zugenommen. Entsprechendes gilt für Genanalysen, die die Zuordnungsmöglichkeiten von Daten und Gewebeproben massiv erweitert haben.

Bei den konkret in Forschungsprojekten eingesetzten Pseudonymisierungsverfahren hat es durch die technische Entwicklung große Fortschritte gegeben. Ziel der Pseudonymisierung ist die datensparsame Verknüpfung von verschiedenen Datenquellen und/oder die Durchführung von Langzeit- oder Folgestudien. Die früher weit verbreitete Codierung auf der Grundlage von  Stammdaten, z. B. der Namensinitialen, ist heute wegen der leichten Auflösbarkeit zumeist nicht mehr angemessen. Da eine externe Zuordnung möglich wäre, sind auch Ordnungsnummern wie z. B. Krankenversicherungsnummern ungeeignet. Bewährt haben sich durchnummerierte Referenzlisten, die evtl. von einem internen oder externen Treuhänder verwaltet werden. Technisch „state of the art“ sind Verschlüsselungsverfahren, d. h. Einwegverschlüsselungen ohne oder mit Entschlüsselungsmöglichkeit (Kombination von öffentlichem und privatem Schlüssel). Eventuell kommt auch eine Kombination von mehreren Verfahren in Betracht.

Einwilligung

Die Einwilligung ist die vorrangige Legitimation zur Verarbeitung personenbezogener Medizindaten für Forschungszwecke. Für ihre Wirksamkeit bestehen gemäß den rechtlichen Regelungen (z. B. §§ 4 Abs. 1, 4a BDSG, §§ 11 Abs. 1 Nr. 1, 12 LDSG SH, § 67b Abs. 2, 3 SGB X) weitgehend die gleichen Anforderungen: Sie muss informiert erfolgen (informed consent), d. h. setzt hinreichend bestimmte Informationen über Zweck, verarbeitende Stelle(n) und (Art der) Daten voraus. Sie erfolgt i. d. R. schriftlich und muss freiwillig, also ohne unangemessenen Zwang, erteilt werden. Mit Wirkung für die Zukunft ist sie grundsätzlich jederzeit widerrufbar.
Die datenschutzrechtliche Einwilligung wird oft gemeinsam mit einer Schweigepflichtentbindung, also einer Entbindung vom Patientengeheimnis, erteilt, unterliegt aber teilweise abweichenden Anforderungen.

Die Informiertheit der Einwilligung setzt aussagekräftige Angaben voraus über die Verantwortlichen, also den Träger bzw. Leiter des Forschungsprojektes, den Zweck des Projektes, die Art und Weise der Verarbeitung (Erfassung, Bearbeitung, Auswertung, evtl. Übermittlung), den Personenkreis, der Zugang zu den Daten hat einschließlich evtl. vorhandener Kooperationspartner, und den Zeitpunkt der Datenlöschung bzw. Probenvernichtung. Bei Formulierung des Textes sind von Anfang an intendierte Zweitverwertungen zu berücksichtigen, weil der Umfang der Einwilligung die Zulässigkeit der späteren Verarbeitung begrenzt. Empfehlenswert ist es, Hinweise auf das Auskunfts- und Akteneinsichtsrecht, evtl. auf weitere Betroffenenrechte, etwa zum möglichen Widerruf der Einwilligung, zu geben.

Die Freiwilligkeit sollte dadurch gesichert werden, dass die Einwilligung nicht während einer situativen Abhängigkeit eingeholt wird, z. B. vor einer Operation. Auch personelle Abhängigkeiten (z. B. von Strafgefangenen, Angestellten) können die Freiwilligkeit in Frage stellen. In jedem Fall sollte ein ausdrücklicher Hinweis auf die Freiwilligkeit gegeben werden, also, z. B. dass die Nichterteilung keine Nachteile für die Behandlung zur Folge hat. Das Schriftlichkeitserfordernis dient zum einen der Dokumentation und Beweisbarkeit. Damit wird weiterhin die Informiertheit gesichert und, dass den Erteilenden die Bedeutung des Vorgangs vor Augen geführt wird (Warnfunktion). Ist Schriftlichkeit, z. B. bei Internet- oder Telefonbefragungen, nicht möglich, so bedarf es entsprechender Kompensationen.

Soll die Einwilligung in Bezug auf selbst nicht einwilligungsfähige Personen eingeholt werden, so sind die gesetzlichen Vertreter, also z. B. bei Kindern die Eltern oder bei betreuten Menschen der Betreuer zu konsultieren. Für die Einwilligungsfähigkeit gelten keine klaren Grenzen (z. B. bzgl. des Alters); sie hängt von der tatsächlichen Einsichtsfähigkeit ab. Fehlt sie, so muss geprüft werden, inwieweit die Einwilligungsvertreter die Vertreteneninteressen geltend machen (können), also etwa, ob die Forschung den Betroffenen direkt oder indirekt nützen oder schaden kann. Bei der Erteilung ist der Wille der Nichteinwilligungsfähigen mit zu berücksichtigen. Bei Arzneimittel- u. Medizinprodukteforschung ist die Vertretung beim Erteilen von Einwilligungen nur begrenzt möglich (§§ 40, 41 AMG, §§ 17, 18 MPG).

Abwägung gemäß Forschungsklauseln

Ist das Einholen von Einwilligungen und die ausschließliche Nutzung von anonymen Daten für den Forschungszweck nicht möglich, so kann in vielen Fällen auf Abwägungsregelungen in den Forschungsklauseln zurückgegriffen werden. Bevor dies erfolgt, muss aber geprüft werden, ob es keine Forschungsalternativen ohne personenbeziehbare Daten gibt. Zumeist sind Genehmigungs- und Beteiligungsanforderungen zu beachten (Beteiligung von Aufsichtsbehörden, Datenschutzbehörden, Ethik-Kommissionen). Der Abwägungsvorgang, bei dem neben den Forschungsinteressen die (möglichen) Probandeninteressen zu berücksichtigen sind, muss zu Revisionszwecken dokumentiert werden. Relevant sind hinsichtlich der Forschungsinteressen die „Wissenschaftlichkeit“ des Projektes (Begleitung, Aufsicht, Veröffentlichungsabsicht) sowie die medizinische und gesellschaftliche Bedeutung („öffentliches Interesse“). Hinsichtlich der Probandeninteressen sind neben direkten Folgen (z. B. psychische Auswirkungen, evtl. schon durch die Ansprache) auch indirekte Konsequenzen zu berücksichtigen, also z. B., dass mit dem Projekt ein genereller Verlust der Vertraulichkeit oder eine Erhöhung des Missbrauchsrisikos  bewirkt wird. Die Betroffeneninteressen der Probanden bzw. Patienten müssen immer beachtet bleiben.

V. Praktische Fragen

Bei vielen Projekten medizinischer Forschung ist die Nutzung von fremden zusätzlichen Datenquellen erforderlich. Hierfür gelten zumeist spezifische Regeln, etwa bei Nutzung der Melderegister das Melderecht. Epidemiologische Krebsregister haben zumeist eine explizite Gesetzesgrundlage, anders als die meisten sonstigen medizinischen Forschungsregister, deren Grundlage i. d. R. Einwilligungen sind. Einbezogen werden können auch statistische und/oder soziodemografische Daten, ja selbst öffentlich zugängliche Daten, z. B. aus dem Internet.

Eine besondere Methode einer datenschutzfreundlichen Ansprache möglicher Probanden ist die Adressmittlung durch adressberechtigte Stelle. Dabei wendet sich diese Stelle (z. B. der Arbeitgeber, die Anstalt) im eigenen Namen an die Probanden mit der Bitte bzw. Aufforderung, sich zwecks Projektteilnahme bei den Forschenden zu melden. So erfolgt keine Geheimnisoffenbarung und die Initiative wird den Betroffenen überlassen.

Eine Organisationsform, mit der die Wahrung von Betroffeneninteressen gesichert werden kann, ist der Einsatz eines unabhängigen (vertrauenswürdigen) Datentreuhänders, dem zumeist die Funktion der Verwaltung der Identitätsdaten (Ano- bzw. Pseudonymisierung, Listenverwaltung, Verknüpfung, Verschlüsselung, Verwahrung, Archivierung) und der Reidentifizierung zukommt.

Einer Klärung bedarf in jedem Fall die Art und Weise und die Dauer der Datenspeicherung.
Die ärztliche Aufbewahrungsfrist (also i. d. R. 10 Jahre) gilt für Forschungsdaten nicht. Relevant für die Aufbewahrungsdauer ist immer die Erforderlichkeit der Daten, wobei unterschiedliche Aspekte eine Rolle spielen können: Projektabschluss, Überprüfbarkeit der Ergebnisse, Zweitverwertung, Einwilligungserklärung, Selbstbindungen im Antrag, in der Genehmigung, durch Veröffentlichungen, Maßnahmen der Datensparsamkeit (Ano- u. Pseudonymisierung). Ist eine Löschung aus praktischen oder rechtlichen Gründen nicht möglich, so ist eine Sperrung (Zugriffs- und Nutzungsbeschränkung) zu prüfen. Bei Gewebeproben als eigenständigen „Datenträgern“ ist generell eine gesonderte Behandlung und Speicherung angesagt.

Bei jedem personenbeziehbaren (medizinischen) Forschungsprojekt ist ein umfassendes Datenschutzkonzept zu erstellen, in dem die zu ergreifenden technisch-organisatorischen Maßnahmen und die diese sichernden Verfahren beschrieben werden. Darin sind die Verfahrensabläufe, die Verantwortlichkeiten, die Datenhistorie von der Erhebung bis zur Löschung/Anonymisierung, die Protokollierung der tatsächlichen Verarbeitung, die
Sicherung von Kontrollmöglichkeiten sowie die Durchführung der Kontrollen, die Gewährleistung der Betroffenenrechte (u. a. Auskunft, Widerspruch), die technisch-organisatorische Abschottung der Forschungsdatenbestände, die Verschlüsselung bei Speicherung und Transport, spezifische Verschwiegenheitsverpflichtung der Mitarbeitenden und weitere relevante Aspekte zu beschreiben.

VI. Schlussbemerkung

Das Thema des Datenschutzes bei medizinischer Forschung liegt derzeit nicht im Fokus öffentlicher Aufmerksamkeit. Dies kann sich schnell ändern, wenn realer Datenmissbrauch bekannt werden sollte. Daher muss es im Interesse der Gemeinschaft aller Forschenden wie aller sonstigen Beteiligten sein, diesen auszuschließen, was durch die Beachtung der Datenschutzregeln erreicht wird. So lassen sich auch Begehrlichkeiten möglicher Bedarfsträger, z. B. von Strafverfolgern, vermeiden. Durch die massive Erweiterung der Datenbasis generell im Medizinbereich wird in Zukunft die Grenzziehung zwischen Behandlung, Qualitätssicherung, Wirtschaftlichkeitsprüfungen einerseits und wissenschaftlicher Forschung andererseits immer schwieriger werden. Zwecks Wahrung des Vertrauens in die Forschung und in die Zweckbindung der Daten bleibt die Beachtung dieser Grenze von großer Bedeutung. Die zunehmende Internationalisierung der medizinischen Forschung eröffnet neue Begehrlichkeiten und Risiken. Auch ohne dass derzeit ein äußerer Handlungsdruck besteht bzw. gerade deshalb, sollte die Gemeinschaft der Forschenden das Erarbeiten von Rechtssicherheit schaffenden Verhaltensregeln nach § 38a BDSG prüfen. Entsprechendes gilt für die Einsatzmöglichkeit von auditierten Verfahren bzw. zertifizierten Produkten, mit denen das Vertrauen in die medizinische Forschung gefördert werden kann. Gesetzentwürfe für Regelungen zu Biobanken, Forschungsregistern und Genomanalysen werden in absehbarer Zukunft die öffentlichen Diskussionen wieder neu beleben. Hierbei sollte die Datenschutzdiskussion nie rein normativ geführt, sondern als integrierter Teil einer umfassenderen Ethikdebatte verstanden werden.

Quellen

Hessischer und Berliner Datenschutzbeauftragter (Metschke/Wellbrock): Datenschutz in Wissenschaft und Forschung, 2000 = http://www.datenschutz.hessen.de/download.php?download_ID=61
ULD: Datentreuhänderschaft in der Biobank-Forschung, 2009 = https://www.datenschutzzentrum.de/biobank/
Bizer, Johann: Forschungsfreiheit und informationelle Selbstbestimmung, 1992

Fußnoten:

Thilo Weichert ist Landesbeauftragter für Datenschutz Schleswig-Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) in Kiel; der Text ist eine inhaltliche Zusammenfassung eines Vortrages auf dem 4. TMF-Jahreskongresses am 28.03.2012 in Kiel; die Folien hierzu finden sich unter https://www.datenschutzzentrum.de/vortraege/20120328-weichert-medizinische-forschung.pdf.
Z. B. zu Humanbiobanken, https://www.datenschutzzentrum.de/biobank/20110525-stellungnahme-humanbiobanken.html.
Z. B. die Aktion „Datenschutz in meiner Arztpraxis“, https://www.datenschutzzentrum.de/medizin/arztprax/index.htm
Vgl. https://www.datenschutzzentrum.de/akademie/index.htm.
AAL, vgl. https://www.datenschutzzentrum.de/aal/2011-ULD-JuristischeFragenAltersgerechteAssistenzsysteme.pdf.
Vgl. https://www.datenschutzzentrum.de/biobank/.
Vgl. https://www.datenschutzzentrum.de/audit/kurzgutachten/a0303/index.htm.
BVerfG NJW 1983, 419 ff.
BVerfG NJW 1969, 1707 f.
BVerfG NJW 2008, 822 ff.
BVerfG NJW 1978, 1176.