Privilegierte Forschung
Die DSGVO erlaubt die Verarbeitung personenbezogener Gesundheitsdaten auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke (Art. 9 Abs. 2 lit. j DSGVO, §§ 22, 27 BDSG). Gerade die Gesundheitsdatenforschung könnte danach also in großem Umfang erlaubt sein, nämlich immer dann, wenn sie wissenschaftlich fundiert erfolgt. Genau das ist das Anliegen der meisten Forschungswilligen: Für einen echten Mehrgewinn ist die Wissenschaftlichkeit stets Voraussetzung. Auch kommerzielle Forschung kann dabei wissenschaftlich sein, wenn die entsprechenden Grundsätze der Wissenschaft eingehalten werden (z.B. Methodik, Dokumentation und Veröffentlichung von Ergebnissen).
Genau hier aber stehen wir in Deutschland noch auf unsicherem Boden: Die Datenschutzkonferenz, DSK, hat als Zusammenschluss der Datenschutzaufsichtsbehörden von Bund und Ländern in ihrer Petersberger Erklärung vom 24.11.2022 den Rahmen eng gefasst und Unsicherheiten bei der datenschutzrechtlichen Zulässigkeit eher verstärkt als ausgeräumt: Es werden Vorgaben und Regeln einer Task Force in Aussicht gestellt, die aber noch fehlen.
Anonymisierte Gesundheitsdaten
Überzeugend ist die Forderung der DSK – und auch vieler anderer Stimmen –, dass für die Gesundheitsdatenforschung Daten frühestmöglich anonymisiert werden sollen: Der Personenbezug sollte immer nur so lange bestehen bleiben, wie er auch wirklich erforderlich ist. Viele Forschungsvorhaben brauchen ihn nicht. Dann muss auf anonyme Daten zurückgegriffen werden.
Dies beinhaltet aus rechtlicher Perspektive vor allem zwei Herausforderungen: Wann sind Daten wirklich anonym, im Rechtssinne? Und wo ist die nach herrschender Meinung für die Anonymisierung benötigte Erlaubnisgrundlage zu finden? Zu ersterer Frage helfen EuGH und die Erwägungsgründe der DSGVO, nach denen keine absolute Anonymität gefordert wird. Notwendig, aber auch ausreichend ist es, wenn ein Personenbezug nur noch mit unverhältnismäßigen Mitteln und daher wahrscheinlich nicht wieder herzustellen ist. Die Grenzen sind fließend und insbesondere bei längerfristigen Daten ist stets genau zu monitoren, wann ein Datensatz derart angereichert ist, dass doch eine Re-Identifizierung möglich erscheint.
Die Frage nach der Erlaubnisgrundlage bringt uns sodann wieder zu den ersten beiden Abschnitten dieses Beitrags: Wir benötigen eine Einwilligung oder eine Erlaubnis zur wissenschaftlichen Forschung. In manchen Fällen bietet sich angesichts dieser Hürden dann doch der Rückgriff auf synthetische Daten an, wenn machbar.