Internationale Konferenz Privacy and Scientific Research: from Obstruction to Construction Medizinische Forschung und der Schutz der Privatsphäre aus der Sicht der Betroffenen Brüssel, 23. November 2010 Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter Ich möchte mich in meinen heutigen Ausführungen auf das Thema Datenschutz beschränken. Gegenstand der Betrachtung sollen daher nicht die anderen Rechte der Patienten im Bereich der medizinischen und wissenschaftlichen Forschung und im Gesundheitswesen sein, wie zum Beispiel die Rechte des geistigen Eigentums. Wir dürfen hierbei allerdings nicht vergessen, dass das Ziel der Rechtsvorschriften zum Datenschutz darin besteht, sicherzustellen, dass bei der Verarbeitung personenbezogener Daten alle Grundrechte und Grundfreiheiten gewahrt werden nicht nur das Recht auf Vertraulichkeit und andere Persönlichkeitsrechte. Unsere Überlegungen müssen daher zuallererst der Würde des Einzelnen gelten (die zudem in der Aufzählung in Artikel 2 des Vertrags über die Europäische Union unter den Grundwerten der Europäischen Union an erster Stelle steht). Darüber dürfen wir jedoch die nachgelagerten Themen nicht vergessen, wie die Identität des Einzelnen, das Recht auf Selbstbestimmung und auf freie Behandlungswahl sowie das Recht auf Nichtwissen (d. h. das Recht darauf, über bestimmte Krankheiten, die in naher Zukunft auftreten könnten, nicht unterrichtet zu werden). Darüber hinaus müssen wir auch auf die Rechte und Interessen beteiligter Dritter Rücksicht nehmen, beispielsweise auf das Recht auf Gesundheit und körperliche
Unversehrtheit derjenigen, die unabhängig davon, ob es sich um Familienangehörige handelt oder nicht ein berechtigtes Interesse daran haben, sich um unsere Gesundheit zu kümmern, selbst wenn dies ohne unsere Einwilligung oder auch gegen unseren Wunsch geschieht, und auch auf die Rechte anderer Personen, die zu einer genetischen Gruppe gehören, wenn eine Genanalyse vorgenommen wird oder wenn Zugang zu den Gendaten eines anderen Mitglieds dieser Gruppe beantragt wird. Ich möchte also direkt auf den Gegenstand der Probleme und der Debatte zu sprechen kommen und soweit möglich die fachliche Analyse der wichtigsten Begriffe auf diesem Gebiet, wie personenbezogene Daten, anonyme Daten und Einwilligung, zusammenfassen, die einige von Ihnen bereits kennen oder mit denen Sie sich gestern im Rahmen der Tutorials und in den Unterlagen zu der Konferenz eingehend befassen konnten. Seit der Verabschiedung der Richtlinie 95/46 sind mittlerweile 15 Jahre vergangen, und seit Annahme des Übereinkommens 108 des Europarates und der OECD Leitlinien gar 30 Jahre. In der Zwischenzeit hat sich viel geändert. Zwar werden die Rechtstexte derzeit einer Überarbeitung unterzogen, doch ihre Grundprinzipien haben sich bewährt. Wenn überhaupt, dann sind es die Verordnungen, die die Details regeln, die nicht allen Fragen gerecht wurden, welche sich im Laufe der Zeit gestellt haben, oder die inzwischen veraltet sind. Durch die Globalisierung, den Aufbau von Gesundheitsdatenbanken und Biobanken, die nicht auf einzelne Länder beschränkt sind (wie z. B. Biobanken für Organtransplantationen), Spitzentechnologie und Cloud Computing erwachsen immer komplexere Herausforderungen. In ihrer Mitteilung vom 4. November 2010 kündigte die Europäische Kommission an, dass sie beabsichtigt, im kommenden Jahr Vorschläge für neue Datenschutzverordnungen vorzulegen, mit denen die Vorschriften für eine Einwilligung in Kenntnis der Sachlage geklärt und gestärkt und die Voraussetzungen für die Verarbeitung sensibler Daten harmonisiert werden sollen, bevor über die Möglichkeit nachgedacht wird, auch alle Gendaten dieser Datenkategorie zuzuordnen. Mit Verbesserungen ist auch bei den Modalitäten für die Wahrnehmung der Rechte auf Zugang zu Daten, auf deren Berichtigung oder Sperrung zu rechnen, ebenso bei der Präzisierung des so genannten Rechts auf Vergessen ( right to be forgotten ) sowie bei Maßnahmen, die die Rechte der Betroffenen auf Datenübertragbarkeit auch auf elektronische Gesundheitsunterlagen ausweiten. Diese Bestrebungen der europäischen Institutionen müssen wir unterstützen, und uns bis dahin darum bemühen, zu verstehen, wie die bereits bestehenden Sicherheiten in der Praxis funktionieren.
Das herkömmliche Verhältnis zwischen Arzt und Patient verändert sich rapide, was insbesondere bestimmten technischen Entwicklungen im computergestützten Gesundheitswesen zu verdanken ist. Die Einwilligung in eine medizinische Behandlung und die Einwilligung zur Verarbeitung personenbezogener Daten sollten weiterhin als zwei getrennte Sachverhalte gelten. Bei der Einwilligung in eine medizinische Behandlung geht es um die Verantwortung für Diagnose, Forschung und medizinische Versorgung, Art und Wirkung von Arzneimitteln oder anderen Formen der Behandlung sowie um Therapien, Entscheidungen und die Folgen von Behandlungsergebnissen für die Betroffenen. Die Einwilligung zur Verarbeitung personenbezogener Daten hingegen hat zur Folge, dass Angehörige der Gesundheitsberufe oder Wissenschaftler und deren Mitarbeiter die Verantwortung für die verschiedenen Optionen übernehmen, die bei der Verarbeitung personenbezogener Daten, beispielsweise für wissenschaftliche Veröffentlichungen oder für den Informationsaustausch mit anderen Wissenschaftlern, in Frage kommen nämlich, ob diese Daten anonym sind oder unter einem Pseudonym veröffentlicht werden. Allerdings können sich verschiedene Aspekte dieser zweiten Form der Einwilligung auch auf die Verantwortlichkeit für eine Behandlung oder auf die Ergebnisse von Forschungsarbeiten auswirken ein typisches Beispiel hierfür wäre der Fall, in dem ein Patient sein Recht auf Nichtwissen in Anspruch nimmt. Sicherlich muss künftig der Patient stärker in den Mittelpunkt der Überlegungen rücken, doch muss dabei das Spektrum der Informationen über den Aspekt der Einwilligung hinausgehen. Eine Einwilligung sollte nur dann eingeholt werden, wenn dies aus Sicht des Betroffenen wirklich ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage geschieht in Fällen, in denen dies nicht gerechtfertigt ist, darf sie daher nicht eingefordert werden. Bestimmte wichtige Entscheidungen auf diesem Gebiet können somit vernünftigerweise nicht Gegenstand einer Einwilligung verschiedener Betroffener sein, so zum Beispiel Entscheidungen darüber, ob eine Datenbank zentral oder dezentral geführt werden soll, oder darüber, wie elektronische Dokumente logisch oder physisch von mehreren Wissenschaftlern gemeinsam genutzt werden. Bei derartigen Entscheidungen ist es nicht sinnvoll, sie an den Vorbehalt der Einwilligung einzelner Betroffener zu knüpfen. Zudem besteht an einem Großteil der epidemiologischen Forschung ein öffentliches Interesse, das unter bestimmten Umständen Vorrang vor den Rechten Einzelner hat, sofern hierfür bestimmte Voraussetzungen und Sicherheitsvorkehrungen gegeben sind. Inwieweit müssen die geeigneten Sicherheitsvorkehrungen, die wir für die Datenverarbeitung anstreben, aus Handlungen und Entscheidungen der Beteiligten
bestehen und nicht aus normierten Regeln und Vorschriften, die unabhängig von der Art der Information und der Einwilligung in jedem Fall anwendbar sind? Außerdem muss auch der Umstand berücksichtigt werden, dass verschiedene Daten bei den Betroffenen nicht erhoben werden. Wie ist in der medizinischen Forschung in dem Fall vorzugehen, dass eine Einwilligung zurückgezogen wird? Können Ethikausschüsse, bevor sie ein wissenschaftliches Forschungsprojekt prüfen, das eine invasive Erhebung von Daten erfordert, bestimmte Gruppen von Betroffenen konsultieren? Darüber hinaus müssen in Europa gemeinsame Anstrengungen unternommen werden, um die im Forschungsbereich verwendeten Einwilligungsformeln besser an die Verständnisfähigkeit der Betroffenen und auch an das zwischen Patient und Arzt oder Wissenschaftler gewachsene Vertrauensverhältnis anzupassen. Dabei muss besser als bisher darauf geachtet werden, allzu technische Formulierungen oder Formulierungen, die Bedenken wecken könnten, zu vermeiden und die Forschungsziele oder die Ziele der epidemiologischen Überwachung oder die Zielsetzungen im Gesundheitswesen verständlicher und zutreffender zu beschreiben. Es ist auch an der Zeit zu untersuchen, ob auf europäischer Ebene gemeinsame Regeln eingeführt oder Voraussetzungen definiert werden können, unter denen auf eine Einwilligung verzichtet oder die Einwilligung zu einem späteren Zeitpunkt eingeholt oder aber von einer anderen als der unmittelbar betroffenen Person erteilt werden kann, falls diese physisch verhindert oder nicht handlungsfähig oder nicht in der Lage ist, ihre Absichten oder Wünsche zu äußern. Welche Rolle kommt in diesen Fällen einem Dritten, gesetzlichen Vertreter oder Vormund zu? Über die Rechte von Betroffenen hinsichtlich ihrer elektronischen Patientenakten und im Hinblick auf andere elektronische Gesundheitsdienste wird bereits viel diskutiert unter anderem darüber, was zu geschehen hat, wenn sich der Betroffene dafür entscheidet, bestimmte Angaben in seiner Patientenakte nicht zugänglich zu machen, wobei möglicherweise sogar die Option besteht, selbst diesen Sachverhalt nicht offenzulegen. Dies hat Folgen nicht nur für die Behandlung, sondern auch für die wissenschaftliche Forschung, für die diese Quellen als Grundlage herangezogen werden. Es kann sein, dass elektronische Patientenakten im Laufe der Zeit von verschiedenen Wissenschaftlern und Angehörigen der Gesundheitsberufe eingesehen werden, während zeitlich unabhängig davon möglicherweise verschiedene medizinische Vorgänge eintreten können. Welche Erwartungen hat die Forschung an den Inhalt derartiger Quellen? Dass dabei eine spezifische Patientenakte per Mausklick abgerufen werden kann? Oder dass verschiedene medizinische Akten vorliegen?
Ländergrenzen verlieren in der Forschung zusehends an Bedeutung, eine stärkere Harmonisierung ist daher dringend erforderlich. Die überkommenen Grundsätze der europäischen Medizinethik bzw. des Berufsgeheimnisses oder der statistischen Geheimhaltung reichen nicht mehr aus, um alle möglichen Situationen abzudecken, die bei der Erhebung und Verarbeitung von Daten und bei ihrer Weitergabe an Dritte auftreten können. All die genannten Aspekte sprechen für ein in sich schlüssiges Vorgehen, das verhindert, dass die wissenschaftliche und epidemiologische Forschung behindert wird. Der Dialog zwischen der Welt der Forschung und der des Datenschutzes muss intensiviert werden in der Hoffnung Lösungen zu finden, die sich auf bessere gegenseitige Information und einen vermehrten Gedankenaustausch stützen.