DSK: Forderungen zur datenschutzkonforme Verarbeitung von Gesundheitsdaten

1. Dezember 2022

Vergangene Woche veröffentliche die Konferenz der unabhängigen Datenschutzbehörden des Bundes und Länder (DSK) die „Petersberger Erklärung“, in der sie sich „zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ äußerte. Konkret behandelte die DSK die Frage, wie der Gesetzgeber den Rahmen für eine datenschutzkonforme Verarbeitung von Forschungsdaten schaffen könne.

Forderung nach neuer Rechtsgrundlage

Zunächst betonte die DSK, dass neben der Möglichkeit, einen europäischen Gesundheitsdatenraum (wir berichteten) auszugestalten, auf nationaler Ebene der Bedarf zur Regelung der Nutzung von Forschungsdaten bestehe. Dabei bekräftigte die DSK als zentrale Forderung, dass die Einzelperson „(…) nicht zum bloßen Objekt der Datenverarbeitung gemacht werden“ dürfe.

Aus Sicht der DSK könne die Rechtsgrundlage für die Nutzung von Forschungsdaten eine datenschutzrechtliche Einwilligung im Sinne des Art. 4 Nr. 11 iVm Art. 7 DSGVO sein. Alternativ könne der Gesetzgeber eine gesetzliche Regelung als Rechtsgrundlage zur Datenverarbeitung schaffen. Dabei müsse eine Interessenabwägung erfolgen. Es sei einerseits das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu beachten. Andererseits sei das Gemeinwohlinteresse zu berücksichtigen, zu dessen Zweck die Forschung erfolge.

Forderung nach weitreichenden Schutzmaßnahmen

Außerdem unterstrich die DSK die Wichtigkeit geeigneter „Garantien für die Rechte und Freiheiten betroffener Personen“. Geeignete Maßnahmen zum Schutz seien zunächst die Datenminimierung und Anonymisierung. Wenn eine Anonymisierung nicht möglich sei, solle zumindest eine Pseudonymisierung erfolgen. Letztere könne Aufgabe einer zu erschaffenden unabhängigen und eigenverantwortlichen Vertrauensstelle sein.

Soweit Forschende personenbezogene Daten aus verschiedenen Datenbanken verknüpfen wollen, solle eine Regelung besondere Schutzmaßnahmen vorsehen. Insbesondere die Einführung einer technischen Methode solle sicherstellen, dass trotz der Verknüpfung betroffene Personen nicht identifiziert werden können. Außerdem solle der Gesetzgeber festlegen, wer für einzelne Verarbeitungstätigkeiten im Forschungsprozess Verantwortlicher iSd Art. 4 Nr. 7 DSGVO sei.

Darüber hinaus äußerte die DSK sich zu der Regelung eines medizinischen Registers. Sie empfahl, dass zunächst eine Übersicht über die bereits bestehenden Register einzurichten sei. Auf diese Weise könne der Gesetzgeber dazu beitragen, eine mehrfache Datensammlung zu vermeiden. Bei der Errichtung eines neuen Register sei ein Standard für die einzuhaltende Qualität festzulegen.

Forschungsgeheimnis und neue Befugnisse

Im Anschluss forderte die DSK die Einführung eines Forschungsgeheimnisses. Das Ziel sei es, die unbefugte Offenlegung von Forschungsdaten unter eine Strafe zu stellen.

Abschließend forderte die DSK, dass die Datenschutzaufsichtsbehörden neue Befugnisse erhielten. Sie sollten erlassene Maßnahmen sofort vollziehen können.

Kategorien: Allgemein · Gesundheitsdatenschutz
Schlagwörter: Art. 9 DSGVO, Datenschutzkonferenz (DSK), Forschung, Gesundheitsdaten, Schutzmaßnahmen, sensible Daten