Datenschutzrechtliche Anforderungen der DS-GVO an die Verwendung von Gesundheitsdaten in der Forschung

Transkript

1 Datenschutzrechtliche Anforderungen der DS-GVO an die Verwendung von Gesundheitsdaten in der Forschung Katrin Schaar , EAID - Berlin Max-Planck-Institut für Bildungsforschung

2 Outline Forschen mit Gesundheitsdaten - worum geht es? Allgemeine Vorgaben der DS-GVO mit Relevanz für Wissenschaft Besondere Regelungen für die Wissenschaft Konsequenzen Fragen 1

3 Forschen mit Gesundheitsdaten - worum geht es?

4 Wer forscht mit Gesundheitsdaten zu was? Mediziner, Genetiker, auch Sozialwissenschaftler Zunehmend interdisziplinäre Studien z.b. Einkommen und Gesundheit (SOEP), Bildungserfolg in Abhängigkeit von Genetik 2

5 Was meint Forschung? Forschung und Wissenschaft nach DS-GVO wird weit ausgelegt (DS-GVO Erwägungsgrund 159). Umfasst z.b. Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung (ebenda) 3

6 Forschung im rechtlichen Rahmen von Europäische Grundrechte Charta (GRCh) Recht auf Achtung Privat- und Familienleben (Art. 7) Recht auf Schutz personenbez. Daten (Art. 8 Abs. 1) Verarbeitung nach Treu und Glauben, für festgelegte Zwecke, mit Einwilligung oder gesetzlicher Grundlage. Recht auf Auskunft und Berichtigung (Art. 8 Abs. 2) Art. 13 Freiheit von Kunst und Wissenschaft DS-GVO ergänzt durch DSAnpUG 4

7 Datenschutz für Teilnehmer/innen wichtig Persönlichkeitsrechte Ethische Überlegungen (Deklaration von Helsinki, Ethikrichtlinien der Psychologen, Soziologen, Erziehungswissenschaftler) 5

8 Besonderer Schutz: Sensible Daten Besondere Kategorien personenbez. Daten sind Angaben zu rassischer und ethnischer Herkunft politischen Meinungen, religiösen, weltanschaulichen Überzeugungen Gewerkschaftszugehörigkeit. Verarbeitung von genetischen Daten und biometrischen Daten Gesundheitsdaten oder Daten zum Sexualleben zur sexuellen Orientierung"(Art. 9) 6

9 Gesundheitsdaten beziehen sich auf... körperliche oder geistige Gesundheit Informationen über den Gesundheitszustand (Art. 4 Abs. 15 DS-GVO) 7

10 Gesundheitsdaten sind Informationen... über früheren, gegenwärtigen oder zukünftigen körperlichen geistigen Zustand Aber auch: biologische Proben und Informationen, abgeleitet aus genetischen Daten sowie Nummern, Symbole, Kennzeichen zur Identifikation (DS-GVO Erwägungsgrund 35) 8

11 Grundanforderung an Forschung Forschungspraxis in Deutschland muss Vorgaben der DS-GVO und nationalen Regelungen folgen Darf Primärrecht der Grundrechtecharta und dem Grundgesetz nicht entgegenstehen Verarbeitung nach Treu und Glauben, Transparenz, (Zweckbindung), Datenminimierung, Richtigkeit, (Speicherbegrenzung), Integrität und Vertraulichkeit, Rechenschaftspflicht (Art. 5 DS-GVO) Faire und transparente Verarbeitung 9

12 Allgemeine Vorgaben der DS-GVO mit Relevanz für Wissenschaft

13 (Nicht-)Anwendbarkeit der DS-GVO Gilt nur für personenbezogene Daten, die bestimmter oder bestimmbarer Person zuzuordnen sind (Art. 4 Abs. 1) d.h. nicht für anonymisierte Daten (Erw-Gr. 26) und nicht für Daten von Verstorbenen (Erw-Gr. 27) Allerdings: Bei Übermittlung kommt es darauf an, ob die Stelle, an die Daten übermittelt werden, eine Person wieder identifizieren kann. Dann ist Person wieder bestimmbar (Gola, Schomeres 3 Rn. 5 ff) 10

14 Zulässigkeit der Verarbeitung Verbot mit Erlaubnisvorbehalt: Verarbeitung ist verboten, es sei denn es liegen Ausnahmetatbestände vor z.b. Einwilligung zur Verarbeitung für einen oder mehrere bestimmte Zwecke (Art. 6 Abs. 1 lit a, Art. 9 lit 2a) (auch nach Ethikvorgaben notwendig) sowie Andere Erlaubnistatbest. (z.b. gesetzl. Regelungen, Verpflichtungen) (vgl. BDSG 4 Abs. 1, DS-GVO Art.6 lit b-f, Art. 9 Abs. 1) 11

15 Einwilligung (Art. 4 und 13) Freiwillig, informiert, widerruflich Explizit, d.h. aktive Zustimmung (Erw.Gr. 32) Neu: Broad Consent (Einwilligung in bestimmte Bereiche wissenschaftlicher Forschung möglich) sofern anerkannte forschungsethische Standards eingehalten werden (Erw.Gr. 33) Opt-in - opt-out (Erw.Gr. 33) 12

16 Transparente Information Transparenz: Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form (Art. 12 Abs. 1) Informationen über Zwecke, Kontaktdaten, Datenweitergabe, Rechte (Widerruf, Auskunft, Bereitstellung, Beschwerde, Löschung) (Art. 13 Abs. 1-2) 13

17 Datenschutzfolgeabschätzung (Neu) Pflicht, bei Verwendung neuer Technologien (Big Data) oder wenn sensible Daten (besondere Kategorien) verarbeitet werden (Art. 23) Immer bei Forschung mit Gesundheitsdaten Zweck und Weise der Datenverarb., Notwendigkeit, Verhältnismäßigkeit, Risiken und Sicherheitsmaßnahmen müssen beschrieben werden (Art. 35 Abs. 7) Dazu: Heranziehung DS-Beauftagter (Art. 35 Abs. 2) Wenn Unklarheit besteht: Information Aufsichtsbehörden (Art. 36 Abs. 2) 14

18 Besondere Regelungen für die Wissenschaft

19 Spezifizierungssklauseln /Ausnahmen Wissenschaft Möglich: Garantien und Ausnahmen für im öffentl. Interesse liegenden Archiv-, zu wissenschaftlichen oder historischen Forschungs- und statistischen Zwecken durch Mitgliedsstaaten (Art. 89) 15

20 Artikel 89 Abs. 1 Beschränkt sich auf genannte Zwecke; definiert Mindeststanforderungen (Paal 2017, Art. 89 Rn.1), dazu gehört Unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (... ). (Abs.1) Sicherstellung von technisch und organisatorischen Maßnahmen (Datenminimierung) Neben Anonymisierung auch Pseudonymisierung möglich Evt. zulässig: Ggf. andere Maßnahmen möglich (Verschlüsselung, Verpflichtung auf Geheimhaltung) (Pauly 2017, Rn. 12) 16

21 Artikel 89 Abs. 2 Es können nationalstaatl. Ausnahmen von Rechten vorgesehen werden, wenn Zwecke sonst nicht erreicht werden können. betrifft Art. 15 (Auskunftsrechte), Art. 16 (Recht auf Berichtigung), Art. 18 (Einschr. der Verarb.) und Art. 21. (Widerspruchsrecht) (Art. 89 Abs. 2) Einschränkungen danach nicht zulässig Informationspflichten bei Erhebung (Art. 13) 17

22 Ausnahmen Verarb. sensible Daten Mögl. für besondere Kateg. personenbez. Daten unter best. Voraussetzung (Angemessenheit, Wahrung Wesensgehalt Datenschutz, Grundrechte und Interesse der betr. Person, TOMs) (Art. 9 Abs. 2 lit j DS-GVO), wenn erforderlich Zusätzliche Bedingungen und Beschränkungen für die Verarb. von genetischen, biologischen und Gesundheitsdaten möglich (DS-GVO Art. 9 Abs. 4) 18

23 Weitere Ausnahmen für die Wissenschaft Zweckbindung. Weiterverarbeitung zu wiss. Zwecken gilt nicht als unvereinbar zu ursprünglichen Zwecken (Art. 5 Abs. 1 lit b DS-GVO) Begrenzung der Speicherdauer. Wissenschaftl. Daten können länger gespeichert werden, vorbehaltlich vorh. Garantien (s.o.) (Art. 5 Abs. 1 lit e DS-GVO), wenn erforderl. 19

24 Weitere Ausnahmen Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 Abs. 5 lit b DS-GVO) Relevant für Nachnutzung von Forschungsdaten Recht auf Löschung ( Recht auf Vergessenwerden ) (Art. 17 Abs. 3 lit d) Widerspruchsrecht (Art. 21 Abs. 6 DS-GVO) (allerdings nur bei Vorliegen eines (festgestellten) öffentlichen Interesses) 20

25 Spezifizierungen für Forschung durch das DSAnpUG Einschränkung der Rechte auf Auskunft (15), Berichtigung (16),Verarbeitung (18) und Widerspruch (21), wenn Verwirklichung Forschungs- und Statistikzwecke sonst unmöglich oder stark beeinträchtigt und Beschränkung für Forschungszweck notwendig ( 27 Abs. 2 DSAnpUG) 21

26 Spezifizierungen für Forschung durch das DSAnpUG Einschränkung der Rechte auf Auskunft (15), Berichtigung (16),Verarbeitung (18) und Widerspruch (21), wenn Verwirklichung Forschungs- und Statistikzwecke sonst unmöglich oder stark beeinträchtigt und Beschränkung für Forschungszweck notwendig ( 27 Abs. 2 DSAnpUG) Verarbeitung von sensiblen Daten zu Forschungszwecken auch ohne Einwilligung zulässig, wenn Verarb. erforderlich, Interessen des Verantwortlichen die der Person erheblich überwiegen ( 27 Abs. 1 DSAnpUG) 21

27 Spezifizierungen für Forschung durch das DSAnpUG Spezifische Maßnahmen zur Wahrung der Interessen der betr. Person müssen vorgesehen werden ( 27 Abs. 1 DSAnpUG) Anonymisierung sobald wie möglich Getrennte Speicherung von Merkmalen, die Personen identifizieren könnten ( 27 Abs. 3 DSAnpUG) 22

28 Maßnahmen nach 22 DSAnpUG 1. Technisch organisatorische Maßnahmen 2. Dokumentation, ob/von wem personenbez. Daten eingegeben, verändert oder entfernt worden sind, 3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten 4. Benennung einer oder eines Datenschutzbeauftragten 5. Beschränkung des Zugangs zu den personenbezogenen Daten 6. Pseudonymisierung personenbezogener Daten 7. Verschlüsselung personenbezogener Daten Einschätzung: Diese Maßnahmen sind ohnehin obgligatorisch! 23

29 Konsequenzen

30 Konsequenzen Verfahren für Datenschutzfolgeabschätzung bei Verarb. sensibler Daten erarbeiten Datenschutzbeauftragten frühzeitig einbeziehen Compliance in Forschungseinrichtungen erhöhen (insb. in Drittmittelprojekte) Einwilligungserklärungen anpassen Dabei auch: Passung zu Ethikanforderungen (Informed Consent) Opt-In Opt-Out Möglichkeiten gewähren Datenbanken datenschutzkonform gestalten (Widerruf/Opt-In Opt-Out) 24

31 Konsequenzen Größerer Stellenwert von Anonymisierungsverfahren/Pseudonymisierungverfahren Dokumentation erforderlich, z.b. über Datenweitergabe und verarb. Kategorien von Daten Nutzungsseite prüfen: Über welche Referenzinformationen verfügt ein Datennutzer Zweck der Nutzung prüfen (Achtung bei: Kommerziellem Nutzer) 25

32 Fragen

33 Fragen Rechtsunsicherheit durch DSAnpUG durch mögliche Kollision mit Europarecht Ist der Wesensgehalt des Datenschutzes (bei Verarb. ohne Einwilligung) für die Verarb. sensibler Daten so noch gewahrt (Art. 9 Abs. 2 lit. j)? Schwierigkeit bei der Einwilligung (Broad Consent) Was ist informiert? Wie weit darf eine Einwilligung gehen, ohne Wesensgehalt von Grundrechten/Primärrecht zu beeinträchtigen? 26

34 Fragen Ersterhebung - Weiterverarbeitung (Weiterverarbeitung und Zweckbindung) Wie muss eine Dokumentation von Datenweitergabe gestaltet sein? Grauzone Biobanken, verknüpfte Daten, insb. Gesundheitsdaten und genetische Daten - sind geforderte Garantien (Art. 89) erfüllbar? (Stichw. Anonymisierung) Grenzen der Open-data-Nutzung (Vertrauen von Forschugnssubjekten) 27

35 Vielen Dank für Ihre Aufmerksamkeit! 28

36 Literatur Gola, Peter; Klug, Christoph; Körffer, Barbara; Schomerus, Rudolf (2015): Bundesdatenschutzgesetz. BDSG ; Kommentar. 12., überarb. und erg. Aufl. München: Beck. Monlnár-Gábor, Fruzsina; Korbel, Jan (2016): Verarbeitung von Patientendaten in der Cloud. Die Freiheit transnationaler Forschung und der Datenschutz in Europa. In: Zeitschrift für Datenschutz (ZD) 6 (6), S Pauly, Daniel A. (2017): Art. 89. In: Boris P. Paal und Daniel A. Pauly: Datenschutz-Grundverordnung. München, München: C.H.Beck (Beck sche Kompakt-Kommentare). Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. EUR-Lex Schaar, Katrin (2017): Anpassung von Einwilligungserklärungen für wissenschaftliche Forschungsprojekte. Zeitschrift für Datenschutz (ZD) (05), S Schaar, Katrin (2016): DS-GVO: Geänderte Vorgaben für die Wissenschaft. Was sind die neuen Rahmenbedingungen und welche Fragen bleiben offen? In: Zeitschrift für Datenschutz (ZD) (05), S Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Alle verwendeten Bilder sind Public Domain und der Bilddatenbank Pixabay entnommen 29