Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Medizinische Forschung - Neue Entwicklungen in der Forschung mit Gesundheitsdaten

Forschung mit Gesundheitsdaten ist von erheblicher gesellschaftlicher Bedeutung. Der „neue Trend“ zur verpflichtenden Datensammlung auf gesetzlicher Basis führt zu nachvollziehbaren Vorbehalten. Der BfDI plädiert – auch auf EU-Ebene – für Forschung mit einer Zustimmung der Betroffenen.

eine Frau mit Schutzbrille ist in einem Labor und hält ein Reagenzglas in der Hand
Quelle: ©Have a nice day - stock.adobe.com

Das zunehmende Bedürfnis, Gesundheitsdaten zu Forschungszwecken auswerten zu können, hat die DSK veranlasst, hierzu Erklärungen abzugeben. Im März 2022 stellte sie grundsätzlich klar, dass Forschung und Datenschutz miteinander vereinbar sind und die Einhaltung datenschutzrechtlicher Anforderungen das notwendige Vertrauen der betroffenen Bürgerinnen und Bürger ermöglicht. Im November 2022 verabschiedete sie die Petersberger Erklärung mit konkreten Anforderungen, die bei der Konzipierung von Forschungsvorhaben sowie der Formulierung von gesetzlichen Grundlagen für die Datennutzung zu Forschungszwecken zu berücksichtigen sind.

Auf EU-Ebene wurden die Leitlinien 3/2020 für die Verarbeitung von personenbezogenen Gesundheitsdaten zu wissenschaftlichen Forschungszwecken im Zusammenhang mit dem COVID-19-Ausbruch verabschiedet. Parallel dazu werden derzeit vom EDSA Leitlinien zur Verarbeitung von personenbezogenen Daten für Forschungszwecke erarbeitet, die Aussagen zur Forschung mit Gesundheitsdaten enthalten und sich mit der Frage der Rechtsgrundlage und der Betroffenenrechte auseinandersetzen sollen. In der EU gibt es mehrere Mitgliedstaaten, die die Zulässigkeit von Forschung mit Gesundheitsdaten unmittelbar durch Gesetze regeln. Nicht abschließend geklärt ist bisher die Reichweite der Regelung in Artikel 5 Abs. 1 lit. b), 2. Halbsatz DSGVO: Unter welchen Voraussetzungen kann der Zweck Forschung vereinbar sein mit dem Zweck, zu dem die Daten ursprünglich erhoben wurden?

Wenn beispielsweise der deutsche Gesetzgeber gesetzliche Grundlagen für die Nutzung von Gesundheitsdaten zu Forschungszwecken vorsehen möchte, so vertritt der BfDI die Auffassung, dass es dem Schutz der sensiblen und besonders zu schützenden Gesundheitsdaten am ehesten gerecht wird, wenn dieses Gesetz eine Zustimmung der Betroffenen als Zulässigkeitsvoraussetzung enthält. Wenn, wie bislang in Deutschland üblich, die Einwilligung der Betroffenen die Rechtsgrundlage für die Datenverarbeitung zu Forschungszwecken darstellt, ist - soweit das Forschungsvorhaben und damit der Verarbeitungszweck (noch) nicht abschließend beschrieben werden können - eine sog. breite Einwilligung (broad consent) grundsätzlich möglich. Hierbei sind bestimmte Schutzmaßnahmen der verantwortlichen forschenden Stellen erforderlich, welche die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) in einem Beschluss aus dem Jahr 2019 konkretisiert hat. Diese zusätzlichen Maßnahmen werden auch auf europäischer Ebene derzeit diskutiert.

In Deutschland entstehen immer mehr Register, die medizinische personenbezogene Daten für die Forschung zur Verfügung stellen. Selbst wenn die Datenverarbeitung auf gesetzlicher Grundlage erfolgt, hält der BfDI es für geboten, dass die Betroffenen zusätzlich – als Teil der Rechtsgrundlage – in die Nutzung ihrer Gesundheitsdaten für Forschungszwecke zustimmen müssen. Dann können sie selbst entscheiden, ob ihre personenbezogenen Gesundheitsdaten für die Forschung zur Verfügung gestellt werden. Mindestens aber ist ein Widerspruchsrecht vorzusehen. Denn die standardmäßige Pseudonymisierung und Verschlüsselung der Daten kann meist keinen absoluten Schutz vor einer Reidentifikation bieten. Je mehr Daten zu einem „Fall“ im Register vorliegen, desto größer ist diese Gefahr. Umso wichtiger sind zusätzliche Verfahren wie die Aggregierung und Anonymisierung, die Forschung auf verschlüsselten Daten oder die „differential privacy“. Zudem ist die Möglichkeit der Forschung durch verteiltes Lernen oder durch Datenzugang vorrangig zu prüfen, so dass die Forschenden Zugriff auf einen auf ihre Forschungsfrage zugeschnittenen Datensatz im System des Registers („on premise“) und unter dessen Kontrolle erhalten, die Falldaten das Register aber nicht verlassen. Soweit beispielsweise Künstliche Intelligenz einbezogen ist, sollte auch die Möglichkeit der Forschung an synthetischen Datensätzen, die keinen Bezug zu Personen aufweisen, berücksichtigt werden.

Eine zustimmungsbasierte Konzeption liegt der zukünftig möglichen Freigabe der Daten aus der elektronischen Patientenakte für das Forschungsdatenzentrum nach § 363 Abs. 1 bis 7 SGB V zugrunde. In vielen Fällen stellt die Einwilligung der Betroffenen die Rechtsgrundlage für auch umfassende Forschungsvorhaben, wie z. B. die Nationale Kohorte oder die Medizininformatikinitiative dar. Es hat nicht nur in Deutschland Tradition, dass Forschung am Menschen freiwillig sein muss. Letztlich gehört dieses Recht auch zu den anerkannten ethischen Standards im Forschungsbereich, auf die auch die DSGVO verweist. Diese grundsätzliche Freiwilligkeit der Forschung kann dadurch konterkariert werden, dass mit sensiblen personenbezogenen Gesundheitsdaten geforscht wird, ohne dass die Betroffenen sich dagegen wehren können.

Daher ist auch bei den zukünftig zu schaffenden Registern auf gesetzlicher Grundlage darauf zu achten, dass eine Zustimmung der Betroffenen zumindest als Tatbestandsmerkmal festgeschrieben wird. Wenigstens ist ein umfassendes Widerspruchsrecht vor Verarbeitung der eigenen personenbezogenen Gesundheitsdaten zu Forschungszwecken unabdingbar, das über die Möglichkeiten von Art. 21 DSGVO weit hinausgeht.