Forschung mit Gesundheitsdaten vs. Datenschutz in Deutschland – ein Problem ohne Lösung?
In der Forschung mit Gesundheitsdaten steckt ein enormes Potential: Die Vorbeugung, medizinische Behandlung und Gesundheitsversorgung von uns allen kann hierdurch im positivsten Sinne revolutioniert werden. Aber wann darf mit welchen Daten geforscht werden? Wie gewährleisten wir Datenschutz und -sicherheit einerseits und die bestmöglichen Datenpools für aussagekräftige Ergebnisse andererseits? Gerade der Datenschutz wird in Deutschland oft als Hindernis für eine wirksame Gesundheitsdatenforschung gesehen.
Personenbezogene Gesundheitsdaten sind datenschutzrechtlich besonders sensitive Daten nach Art. 9 Abs. 2 DSGVO. Dies mit gutem Grund: Werden Gesundheitsdaten ungewollt veröffentlicht oder anderweitig bekannt, kann dies für die Betroffenen enorme nachteilige Auswirkungen haben. Das Risiko ist immens. Zu Recht ist daher auch das Schutzniveau für die Verarbeitung eben dieser Daten hoch.
Gleichzeitig herrscht aber Einigkeit in der Gesellschaft: Wir benötigen eine erhebliche Ausweitung der Nutzung von Gesundheitsdaten bei gleichzeitiger Absicherung von Datensicherheit und Datenschutz. Entsprechende Forderungen nach einer Ausweitung der Datennutzung sind in den letzten Monaten nicht nur von Forschern, sondern etwa auch vom Deutschen Ethikrat, vom Wissenschaftsrat und sogar von den Datenschutzaufsichtsbehörden in ihrer Petersberger Erklärung aus November 2022 erhoben worden. Grund hierfür ist das enorme Potential, welches eine verantwortungsbewusste Gesundheitsdatenforschung für uns alle mit sich bringt: Die enorme Verbesserung und zukunftsgerichtete Sicherstellung unserer Gesundheitsversorgung.
In diesem Spannungsfeld entwickeln sich derzeit verschiedene (gesetzgeberische) Initiativen für eine verbesserte Gesundheitsdatenforschung.
Einwilligungsbasierte Forschung
Die Verarbeitung personenbezogener Gesundheitsdaten ist dann erlaubt, wenn die betroffene Person darin einwilligt (Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO). Gerade im Bereich klinischer Forschung wird dies häufig auch so gehandhabt; in der Praxis haben sich Standards entwickelt, um Einwilligungen von Betroffenen für klinische Forschungsstudien möglichst rechtssicher einzuholen. Eine derartige Gesundheitsdatenforschung ist allerdings stets begrenzt, da sie den persönlichen Kontakt und die Einholung einer individuellen, zweckgebundenen Einwilligung voraussetzt, die zudem aufgrund der hohen und wertungsoffenen Anforderungen an ihre Wirksamkeit stets mit gewissen Rechtsunsicherheiten behaftet ist. Die Einwilligungsabfrage muss zudem zweckgebunden erfolgen, so dass kaum eine „Bevorratung“ von Gesundheitsdaten zu Forschungszwecken erfolgen kann.
Für den Bereich der altruistischen Forschung soll der Data Governance Act, die EU-Verordnung Nr. 2022/868, die Gesundheitsdatenforschung beflügeln: Altruistische Organisationen können sich seit September 2023 unter dem Data Governance Act registrieren und erhalten dann ein Sigel der EU. Das soll das Vertrauen in die Organisation stärken und Betroffene so eher zu einer Datenspende animieren. Zudem stellt die EU-Kommission ein Einwilligungsmuster zur Verfügung, was die Rechtssicherheit für die Organisationen erhöhen soll. Bislang ist das EU-Register allerdings noch leer (digital-strategy.ec.europa.eu).
Privilegierte Forschung
Die DSGVO erlaubt die Verarbeitung personenbezogener Gesundheitsdaten auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke (Art. 9 Abs. 2 lit. j DSGVO, §§ 22, 27 BDSG). Gerade die Gesundheitsdatenforschung könnte danach also in großem Umfang erlaubt sein, nämlich immer dann, wenn sie wissenschaftlich fundiert erfolgt. Genau das ist das Anliegen der meisten Forschungswilligen: Für einen echten Mehrgewinn ist die Wissenschaftlichkeit stets Voraussetzung. Auch kommerzielle Forschung kann dabei wissenschaftlich sein, wenn die entsprechenden Grundsätze der Wissenschaft eingehalten werden (z.B. Methodik, Dokumentation und Veröffentlichung von Ergebnissen).
Genau hier aber stehen wir in Deutschland noch auf unsicherem Boden: Die Datenschutzkonferenz, DSK, hat als Zusammenschluss der Datenschutzaufsichtsbehörden von Bund und Ländern in ihrer Petersberger Erklärung vom 24.11.2022 den Rahmen eng gefasst und Unsicherheiten bei der datenschutzrechtlichen Zulässigkeit eher verstärkt als ausgeräumt: Es werden Vorgaben und Regeln einer Task Force in Aussicht gestellt, die aber noch fehlen.
Anonymisierte Gesundheitsdaten
Überzeugend ist die Forderung der DSK – und auch vieler anderer Stimmen –, dass für die Gesundheitsdatenforschung Daten frühestmöglich anonymisiert werden sollen: Der Personenbezug sollte immer nur so lange bestehen bleiben, wie er auch wirklich erforderlich ist. Viele Forschungsvorhaben brauchen ihn nicht. Dann muss auf anonyme Daten zurückgegriffen werden.
Dies beinhaltet aus rechtlicher Perspektive vor allem zwei Herausforderungen: Wann sind Daten wirklich anonym, im Rechtssinne? Und wo ist die nach herrschender Meinung für die Anonymisierung benötigte Erlaubnisgrundlage zu finden? Zu ersterer Frage helfen EuGH und die Erwägungsgründe der DSGVO, nach denen keine absolute Anonymität gefordert wird. Notwendig, aber auch ausreichend ist es, wenn ein Personenbezug nur noch mit unverhältnismäßigen Mitteln und daher wahrscheinlich nicht wieder herzustellen ist. Die Grenzen sind fließend und insbesondere bei längerfristigen Daten ist stets genau zu monitoren, wann ein Datensatz derart angereichert ist, dass doch eine Re-Identifizierung möglich erscheint.
Die Frage nach der Erlaubnisgrundlage bringt uns sodann wieder zu den ersten beiden Abschnitten dieses Beitrags: Wir benötigen eine Einwilligung oder eine Erlaubnis zur wissenschaftlichen Forschung. In manchen Fällen bietet sich angesichts dieser Hürden dann doch der Rückgriff auf synthetische Daten an, wenn machbar.
Gesundheitsdatennutzungsgesetz
Der deutsche Gesetzgeber wollte dieses Dilemma auflösen mit dem Gesundheitsdatennutzungsgesetz (GDNG), das am 2. Februar in zweiter Runde beim Bundesrat debattiert wurde.
Das GDNG wird uns einen wichtigen Schritt hin zu verbesserten Forschungsmöglichkeiten bringen. Treffend bringen die Verfasser des Gesetzentwurfes es auf den Punkt: „In einem lernenden Gesundheitswesen sind der Austausch und die Nutzung von Gesundheitsdaten Schlüsselfaktoren für eine qualitativ hochwertige Versorgung.“ Im Detail bleiben aber auch, wenn das GDNG zeitnah verabschiedet werden sollte, womit zu rechnen ist, noch einige Fragen offen.
European Health Data Space
Einen großen Wurf in Sachen Gesundheitsdatenforschung könnte der European Health Data Space, kurz EHDS, bringen. Bei diesem handelt es sich um eine EU-Verordnung, die ein Ökosystem des Datenaustausches schaffen wird, ein dezentral strukturiertes Netzwerk für den umfassenden Primärdatenaustausch, aber auch zu sekundären Nutzungszwecken wir der Gesundheitsdatenforschung. Ziel des bislang noch im Entwurfsstadium befindlichen EHDS ist es, das volle Potential der Gesundheitsdaten in den Dienst der Gesundheit zu stellen. Dazu soll der Einzelne volle Kontrolle über seine Daten behalten, gleichzeitig aber Austausch, Nutzung und vor allem auch die Verbesserung der medizinischen Versorgung, Forschung und Innovationskraft gestärkt werden. Der EHDS geht dies über eine Vielzahl von Stellschrauben an, u.a. die Schaffung eigener Erlaubnisgrundlagen für die Gesundheitsdatenforschung, so dass die oben beschriebenen Unsicherheiten wegfallen können. Der EHDS ist aber noch nicht „in trockenen Tüchern“.
Alle wollen Forschung – die Lösung gibt es aber noch nicht
Festzuhalten bleibt nach alledem, dass eine Reihe erster guter Ansätze auf dem Tisch liegen, um das konsensuale Ziel auch erreichen zu können: Mehr Gesundheitsdatenforschung bei Wahrung von Datenschutz und Datensicherheit. Aber der Weg ist noch lang, um von echten, einfach und umfassend praktikablen Lösungen sprechen zu können.
Datenschutztage 2024
Weitere Informationen rund um das Thema Datenschutz und Gesundheitsdaten gibt es am zweiten Kongress-Tag der Datenschutztage 2024 im informativen Vortrag „Forschung mit Gesundheitsdaten vs. Datenschutz in Deutschland – ein Problem ohne Lösung?“ von Dr. Kristina Schreiber.
Zum Programm
Dr. Kristina Schreiber
ist Rechtsanwältin und Partnerin bei Loschelder Rechtsanwälte in Köln. Sie ist spezialisiert auf die rechtliche Begleitung von Digitalisierungsprojekten und die Beratung und Vertretung in allen Fragen des Datenschutzes mit einem Branchenfokus im Gesundheitswesen sowie den Netzwirtschaften und Online-Medien. Sie publiziert regelmäßig in Fachzeitschriften zu diesen Themen, hält regelmäßig Vorträge zu aktuellen Rechtsfragen aus ihren Spezialgebieten, ist Lehrbeauftragte an der Fernuniversität Hagen und bloggt unter www.digitalisierungsrecht.eu.