DSK: Datenschutz in der Gesundheitsforschung

Am 22. und 23. November 2023 hat in Lübeck die 106. Tagung der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) stattgefunden. Bei der DSK haben sich Datenschutzexperten unteranderem zum Datenschutz in der Gesundheitsforschung ausgetauscht. Hierzu hat die DSK eine Entschließung unter dem Titel „Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“ veröffentlicht. Morgen berichten wir zudem über eine weitere Entschließung der DSK über „Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register“.

Hintergrund: Heterogene Datenschutzanforderungen als Forschungshemmnis

Hintergrund der Entschließung ist, dass sich medizinische Forschungsprojekte oft über Bundeslandesgrenzen hinweg erstrecken und verschiedene Forschungseinrichtungen aus unterschiedlichen Ländern involvieren. Da je nach Standort allerdings andere datenschutzrechtliche Regeln gelten, wird die Forschungsarbeit erschwert. Im Übrigen entstehen so auch datenschutzrechtliche Nachteile für betroffenen Personen. Die DSK wendet sich deswegen and Bundes- und Landesgesetzgeber. Sie fordert aufeinander abgestimmte gesetzliche Bestimmungen mit einem effektivem Datenschutzstandard, der länderübergreifende Forschung erleichtert.

Gesundheitsdatennutzungsgesetz (GDNG) – Ein erster Schritt?

Das Bundesgesundheitsministerium könnte mit dem Gesetzentwurf eines Gesundheitsdatennutzungsgesetzes (GDNG) zu einer einheitlichen Rechtsgrundlagen für die Datenweitergabe zu Forschungszwecken und zur Förderung der Patientensicherheit beitragen. Die DSK äußert jedoch Zweifel an der Rechtssicherheit der Neuerung. Es bestünden Unsicherheiten bezüglich des Verhältnisses zu den Landeskrankenhausgesetzen, da eine Auseinandersetzung mit der Gesetzgebungskompetenz der Länder im Krankenhausbereich fehle.

Notwendigkeit konkreter Garantien und Maßnahmen

Die DSK betont den Grundsatz: „Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten zu Forschungszwecken genutzt werden.“. Deswegen müsse man möglichst genaue Regelungen schaffen, um eine weitreichende Datennutzung zu ermöglichen. Der Schutzumfang solle dabei abhängig von der jeweiligen Datenart festgelegt werden. Laut der DSK muss man, wenn eine hinreichende Anonymisierung nicht sichergestellt werden kann (z. B. bei Röntgenbildern), durch geeignete Vorschriften – etwa Form besonderer technischer und organisatorischer Maßnahmen – einen angemessenen Schutzumfang gewährleisten.

Vorschlag spezifischer Maßnahmen

Die DSK schlägt verschiedene Maßnahmen vor, um einen angemessenen Schutz der Grundrechte und Interessen der betroffenen Personen zu gewährleisten. Dazu gehören Vorgaben für die Betrachtungstiefe und Aufgabenzuweisungen für die Datenschutz-Folgenabschätzungen. Weiterhin müsse man zusätzlich zu Art. 15 ff. Datenschutzgrundverordnung (DSGVO) Betroffenenrechte, wie spezifische Widerspruchsrechte oder einen Anspruch auf die Vernichtung von Bio-Proben, implementieren. Auch die Festlegung angemessener Sperrfristen zur Ausübung der Betroffenenrechte könne helfen. Zudem solle man eine unabhängige Treuhandstellen zur Verschlüsselung einbinden sowie gesonderte Einrichtungen etablieren. Zuletzt sei an Verschwiegenheitspflichten, Zeugnisverweigerungsrechten und Ausgestaltungen zur Datenminimierung zu denken. Diese Aufzählung sei nicht abschließend. Vielmehr müsse die Legislative die vollumfängliche Ausgestaltung dieser Regelungen übernehmen.

Kernbereichsschutz

Die DSK hebt weiter hervor, dass bestimmte Gesundheitsdaten je nach den Gegebenheiten dem absoluten Schutz des Kernbereichs privater Lebensgestaltung zugeordnet werden müssen. Infolgedessen dürfe auch ein Forschungsinstitut solche medizinischen personenbezogenen Daten nicht für wissenschaftliche Zwecke verwenden.

Uneingeschränkte Datenschutzaufsicht

Zuletzt sei eine uneingeschränkte Datenschutzaufsicht unabdingbar für den notwendigen Schutz betroffener Personen. Einschränkungen der Befugnisse der Datenschutzbehörden müssten aufgehoben werden, um eine effektive Überwachung zu gewährleisten.

Fazit

Die Forderungen der DSK sind klar: Ein einheitlicher Datenschutz in der länderübergreifenden Gesundheitsforschung ist dringend erforderlich. Der vorgeschlagene GDNG-Gesetzentwurf ist ein erster Schritt, doch es bedarf weiterer präziser Regelungen und Anpassungen, um einen effektiven Datenschutz zu gewährleisten. In diesem Zusammenhang haben die Datenschutzbehörden ihre Unterstützung angeboten, um die Gesetzgeber bei der Schaffung eines hohen Datenschutzniveaus in der medizinischen Forschung zu begleiten.