Die Benutzung von personenbezogenen Daten für wissenschaftliche Zwecke unter der DSGVO

Auch in dem Kontext von wissenschaftlicher Forschung bleibt die Idee, dass personenbezogene Daten jeder betroffenen Personen geschützt werden müssen. Besonders wichtig ist es, die persönliche Daten in anonymisierter Form zu speichern und zu analysieren, damit die Teilnehmer an wissenschaftlichen Untersuchungen bereit sind Informationen wie z.B. ihre sexuelle Ausrichtung, politische Überzeugungen und religiöse Zugehörigkeit mitzuteilen. Die neue Datenschutz-Grundverordnung, die ab dem 25.05.2018 gültig sein wird, führt einheitliche Regeln für den Schutz solcher Daten ein, wobei sie sich mit den aktuellen technologischen Herausforderungen auseinandersetzt. Von großer Bedeutung in dem Feld der Wissenschaft sind genau die Vorschriften über die Zweckbindung, Anonymisierung und Pseudonymisierung, sensible Daten und die technischen Maßnahmen zum Schutz von diesen Daten in dem Kontext von Big Data und Open Data.

Bei der Erhebung von personenbezogenen Daten muss die betroffene Person über den Zweck der Verarbeitung informiert werden (Art. 12 DSGVO) und ihre Einwilligung freiwillig für die erwähnten Zwecken geben werden (Art. 7 DSGVO), die jederzeit widerrufen werden kann. Sehr oft ist es der Fall, dass nicht alle Zwecke, die mit wissenschaftlicher Forschung verbunden sind, zur Zeit der Erhebung bekannt sind, und deshalb muss die betroffene Person das Recht haben, ihre Einwilligung für bestimmte Forschungsbereiche zu geben. Diese Regelung erlaubt Wissenschaftlern eine erweiterte Einwilligung zu bekommen, die sich außerhalb der Rahmen einer konkreten Frage ausdehnt. Der Grundsatz der Zweckbindung ist im Art. 5 Abs. 1 lit. b) DSGVO enthalten und erlaubt die Weiterverarbeitung im öffentlichen Interesse von personenbezogenen Daten für historische oder wissenschaftliche Forschungszwecke und für statistische Zwecke. Der ursprüngliche Zweck, für die die Daten erhoben wurden, ist mit diesem neuen Zwecken vereinbar und eine neue Einwilligung der betroffenen Person ist nicht nötig. Wenn aber die neuen Zwecke der Verarbeitung nicht mit dem alten Zweck übereinstimmen, muss die betroffene Person darüber informiert werden und ihre Einwilligung erneut abgeben.

Die Vorschriften der Datenschutz-Grundverordnung erfordern keine vollkommene Anonymisierung von persönlichen Daten, die für wissenschaftlichen Untersuchungen benutzt werden. Art. 89 Abs. 1 DSGVO besagt nur, dass die Pseudonymisierung eine der technischen Maßnahmen ist, die die Rechte und Freiheiten der betroffenen Personen garantieren kann. Damit wird es ermöglicht, dass neue Daten über eine bestimmte Person mit den schon verarbeiteten Daten verbunden werden können und daraus eine größere Menge an abgeleiteten Informationen gewonnen werden kann. Die Benutzung von pseudonymisierten Daten ist nur dann zugelassen, wenn sichergestellt wird, dass „die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist“.

Anonymisierte Daten fallen nicht in dem Anwendungsbereich der Datenschutz-Grundverordnung und dadurch werden alle Hürden für die Verarbeitung personenbezogener Daten umgangen. Infolgedessen wird keine Zweckbindung und Einwilligung verlangt, wobei die Daten auf allen möglichen Weisen benutzt werden können. Die einzige Schwierigkeit besteht darin sicherzustellen, dass eine de-Anonymisierung unmöglich oder wenigstens nicht leicht zu erreichen ist. Eine solche Bedingung ist auch im deutschen Datenschutzrecht enthalten, nämlich in § 3 Abs. 6 BDSG, die eine effektive Anonymisierung als „die Veränderung personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Deswegen müssen bei der Entscheidung über ein Anonymisierungsverfahren Faktoren wie die schnelle technologische Entwicklung, die finanzielle Anforderungen, der Zeitaufwand, und die damit verbundenen Risiken in Betracht genommen werden.

Sensible Daten sind auch von großer Bedeutung für wissenschaftliche Forschung und die Datenschutz-Grundverordnung hat Regelungen auch diesem Thema gewidmet. In den letzten Jahren wurde besonders viel Aufmerksamkeit auf die Verarbeitung von genetischen Daten zu Zwecken der personalisierten Medizin erregt. Immer mehr wird in Forschungsprogramme investiert, die sich mit der Analyse von genetischen Daten und Gesundheitsdaten beschäftigen und großen Datenbanken mit solchen Informationen ansammeln. Gemäß Art. 9 der Verordnung ist die Verarbeitung von besonderen Kategorien personenbezogener Daten für gesundheitsbezogene Zwecken nur dann erlaubt, wenn das im Interesse von natürlichen Personen oder von der Gesellschaft insgesamt erforderlich ist. Dies kann auch ohne die Einwilligung der betroffenen Person passieren, aber respektive Maßnahmen müssen getroffen werden, damit die Rechte und Freiheiten natürlicher Personen geschützt werden.

Art. 4 Abs. 10 der Verordnung definiert genetische Daten als „personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden“. Mit Hilfe von solchen Informationen können Wissenschaftler und Ärzte für Personen mit besonderen genetischen Dispositionen die passendsten Therapien auswählen. Das Problem liegt aber darin, dass solche Informationen auch wenn sie nicht in großen Mengen sind und auch wenn die identifizierenden Merkmale entfernt werden, nicht komplett anonymisierbar sind und leicht einer bestimmten Person eingeordnet werden können. Deshalb besteht ein Bedarf dafür, dass Mitgliedstaaten weitere Bedingungen und Beschränkungen zu der Verarbeitung genetischer oder biometrischer Daten einführen, was in der Verordnung empfohlen wurde.

Mit der Entwicklung von neuen Technologien sind Begriffe wie Open Data und Big Data populär geworden. Sie fundieren auf der Idee, dass bei der Ansammlung von großen Datenmengen aus unterschiedlichen Quellen neue Erkenntnisse gewonnen werden. Open Data wird es Wissenschaftler ermöglichen, einen Zugang zu Datensammlungen zu bekommen und auch selbst eine Auswertung und Verarbeitung von den enthaltenen personenbezogenen Daten durchzuführen. Es gibt schon viele solche Initiativen, die online einen freien Zugang zu wissenschaftlichen Forschungen anbieten und zu einen besseren Austausch von wertvollen Wissen beitragen. Wegen der Natur von Big Data werden dann wissenschaftliche Informationssätze mit anderen Daten zusammengebracht, wie z.B. Informationen aus medizinischen oder sozialwissenschaftlichen Registern. Aufgrund der Gefahr für die Rechte und Freiheiten von betroffenen Personen, die aus den dabei erworbenen Erkenntnissen entsteht, müssen laut der Verordnung angemessene Bedingungen und Maßnahmen eingeführt werden. Besonders in dem Fall von Biodatenbanken, die aus genetischen und biometrischen Daten bestehen, entsteht auch eine Ansammlung von personenbezogene Daten. Dabei stellt sich die Frage, ob die ursprüngliche Einwilligung der betroffenen Person auch eine kommerzielle Nutzung genehmigt, was generell in der Praxis nicht beschränkt ist.

Im Endeffekt wird es von den einzelnen Mitgliedstaaten abhängen, wie sie die Garantien und Ausnahmen im Bezug auf wissenschaftlichen Daten einschränken oder ausweiten werden. Dieses ist von großer Bedeutung vor allem für die besonders sensiblen Daten. Angesichts den damit verbundenen Risiken ist es für Mitgliedstaaten empfehlenswert, genaue Regelungen detailliert zu fassen. Bis dann bleibt die Frage noch offen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*