Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Datenverarbeitung zu medizinischen Forschungszwecken im internationalen Kontext

Neue juristische Herausforderungen unter der DSGVO

1 Einleitung

Das Ziel der medizinischen Forschung ist es, die Gesundheitsversorgung der Bevölkerung zu verbessern. Um dieses Ziel zu erreichen, benötigt die Wissenschaft Informationen über den menschlichen Körper sowie über Krankheitsverläufe. Grundlage des Erkenntnisgewinns in der medizinischen Forschung bilden mithin personenbezogene Daten. Da sich medizinische Forschungsprojekte oft nicht auf einen bestimmten Staat beschränken lassen, ist es erforderlich, diese Daten in andere Staaten zu übermitteln, damit sie dort ebenfalls zu Forschungszwecken verarbeitet werden können. So hat der Europäische Datenschutzausschuss (EDSA) jüngst darauf hingewiesen, dass im Rahmen der wissenschaftlichen Forschung und insbesondere auch im Rahmen der COVID-19-Pandemie ein Bedarf an internationaler Zusammenarbeit bestehe, der die Übermittlung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung mit sich bringe.
Nach der Systematik der Datenschutz-Grundverordnung (DSGVO) ist diesbezüglich zwischen Datenübermittlungen in Drittländer und Datenübermittlungen innerhalb der Europäischen Union (EU) zu differenzieren. In beiden Fällen lässt die DSGVO Fragen in der praktischen Umsetzung offen. Im Zusammenhang mit Datenübermittlungen innerhalb der EU stellen sich insbesondere Fragen nach der Bestimmung des im Rahmen der DSGVO-Öffnungsklauseln anzuwendenden nationalen Anpassungsrechts. Daneben ist eine Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU nur bei Erfüllung der im Kapitel V der DSGVO aufgestellten zusätzlichen Anforderungen zulässig, die ebenfalls diverse Fragen aufwerfen. Vor diesem Hintergrund soll im Folgenden auf die Herausforderungen bei der Datenverarbeitung zu medizinischen Forschungszwecken im internationalen Kontext eingegangen werden.

2 Grenzüberschreitende Datenverarbeitung innerhalb der EU zu Forschungszwecken

Hochwertige medizinische Forschung erfordert neben einer institutionsübergreifenden oftmals auch eine länderübergreifende Zusammenarbeit zwischen verschiedenen Forschungseinrichtungen. So sind Forschungsinstitute vielfach darauf angewiesen, dass sie als Datengrundlage Daten von Einrichtungen in anderen EU-Mitglied-staaten erhalten. Grundsätzlich gelten dabei für die Übermittlung von Daten in einen anderen EU-Mitgliedstaat die gleichen Regelungen, wie für die Übermittlung innerhalb eines Mitgliedstaates der Europäischen Union. Die innergemeinschaftliche Datenübermittlung ist mithin nach Maßgabe der DSGVO nicht anders zu behandeln als eine Übermittlung an Datenempfänger im Inland. Datenübermittlungen unterliegen als Unterfall der Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO daher grundsätzlich den Rechtmäßigkeitsanforderungen der Art. 6 und 9 DSGVO. Diese sehen für die Verarbeitung von Grunddaten und besonderen Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, jeweils ein grundsätzliches Verarbeitungsverbot mit Erlaubnisvorbehalt vor. Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO statuieren Ausnahmen von diesem Verbot, die teilweise unmittelbar aus der Verordnung gelten oder aber einer näheren Ausgestaltung durch den nationalen Gesetzgeber bedürfen. Für die Übermittlung von Daten zu Forschungszwecken kommt eine Einwilligung der betroffenen Person in die Übermittlung der personenbezogenen Daten gemäß Art. 9 Abs. 2 lit. a DSGVO oder der gesetzliche Erlaubnistatbestand des Art. 9 Abs. 2 lit. j DSGVO i.V.m. dem mitgliedstaatlichen Recht in Betracht. Mit § 27 Abs. 1 BDSG n.F. hat der deutsche Gesetzgeber auf Basis von Art. 9 Abs. 2 lit. j DSGVO eine solche nationale Regelung für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen Forschungs-zwecken geschaffen. Für den Fall, dass ein deutsches Forschungsinstitut besondere Kategorien personenbezogener Daten in einen anderen EU-Staat übermitteln möchte, kann diese Datenübermittlung somit entweder auf die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO oder auf Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 27 Abs. 1 BDSG n.F. gestützt werden.
Wesentlich problematischer wird es, wenn die aus den verschiedenen Mitgliedstaaten übermittelten personenbezogenen Daten sodann beim Empfänger verarbeitet werden. Denn die DSGVO hat das materielle Datenschutzrecht nicht vollständig harmonisiert, sondern den nationalen Gesetzgebern teilweise eigene Spielräume für nationale Regelungen eingeräumt, sodass auch seit dem Geltungsbeginn der DSGVO am 25. Mai 2018 innerhalb der EU weiterhin eine Reihe unterschiedlicher Datenschutzregelungen bestehen. Es stellt sich daher die Frage, wie sich in Fällen grenzüberschreitender Datenverarbeitung zu Forschungszwecken das im Rahmen der Öffnungsklauseln der DSGVO anwendbare nationale Datenschutzrecht bestimmen lässt.
Diese Frage ist insbesondere für den Bereich der medizinischen Forschung virulent, da die DSGVO für diesen Bereich weitreichende Öffnungsklauseln vorsieht, die Raum für eine nationale Ausgestaltung innerhalb des Rahmens der DSGVO lassen. So erlaubt Art. 89 Abs. 2 DSGVO die Einschränkung von Rechten betroffener Personen im nationalen Recht, wenn Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden. Daneben sieht Art. 9 Abs. 2 lit. j DSGVO selbst keine Rechtsgrundlage für die Verarbeitung von Daten zu wissenschaftlichen Forschungszwecken vor, sondern bedarf vielmehr einer Grundlage im nationalen Recht und gibt lediglich den Rahmen für die nationale Ausgestaltung vor. Die Verarbeitung personenbezogener Daten für Forschungszwecke unterliegt daher in weiten Teilen dem an die DSGVO angepassten Recht der Mitgliedstaaten. Daher besteht Konfliktpotenzial, wenn die einzelnen EU-Mitgliedstaaten abweichende Bestimmungen, z. B. in ihren nationalen Forschungsklauseln, aufstellen. In diesem Sinne hat die EU-Kommission in ihrem am 24. Juni 2020 vorgelegten Evaluationsbericht zur DSGVO betont, dass die Rechtsvorschriften der EU-Mitgliedstaaten bei der Umsetzung der Abweichungen vom generellen Verarbeitungsverbot insbesondere auch für die Verarbeitung personenbezogener Daten zu Gesundheits- und Forschungszwecken unterschiedliche Ansätze verfolgen.
Bevor im Folgenden auf unterschiedliche Lösungsansätze eingegangen wird, soll die Problematik zunächst anhand eines Beispiels verdeutlicht werden, um aufzuzeigen, dass die Frage des anwendbaren nationalen Rechts innerhalb der EU auch unter der Rechtslage der DSGVO weiterhin von praktischer Relevanz ist.
Wie soeben beschrieben, gibt die DSGVO den Mitgliedstaaten in Art. 89 Abs. 2 DSGVO die Möglichkeit, Ausnahmen von den in der DSGVO vorgesehenen Betroffenenrechten für den Fall der Verarbeitung von Daten zu Forschungszwecken vorzusehen. So findet in Österreich nach § 2d Abs. 6 Nr. 1 FOG das Auskunftsrecht der betroffenen Person keine Anwendung, wenn durch die Ausübung des Auskunftsrechts die Erreichung von Forschungszwecken ernsthaft beeinträchtigt oder unmöglich gemacht wird. Zwar ist im deutschen Recht nach § 27 Abs 2 S. 1 BDSG n.F. eine Einschränkung des Auskunftsrechts unter den gleichen Voraussetzungen möglich, darüber hinaus besteht das Recht auf Auskunft gemäß § 27 Abs. 2 S. 2 BDSG n.F. aber auch dann nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Nach der Gesetzesbegründung kann ein solcher unverhältnismäßiger Aufwand bereits dann vorliegen, wenn ein Forschungsvorhaben mit besonders großen Datenbeständen arbeitet. Nach deutschem Recht werden an die Einschränkung des Auskunftsrecht somit erleichterte Anforderungen gestellt. Die entsprechenden Regelungen unterscheiden sich daher im Hinblick auf die Voraussetzungen, die erfüllt sein müssen, damit von der Erteilung der Auskunft abgesehen werden kann.
Konkret könnte sich daher das folgende Szenario ergeben: Ein Wissenschaftler aus Österreich teilt die Daten aus seinem Datenpool, den er im Rahmen seiner Forschung eingerichtet hat, mit einem Forscher in Deutschland, damit die Daten in Deutschland zu Forschungszwecken verarbeitet werden können. In diesem Fall stellt sich die Frage, ob die betroffenen Personen aus Österreich, deren Daten im Rahmen des Forschungsprojekts in Deutschland verarbeitet werden, ihr Recht auf Auskunft geltend machen können.
Dies könnte ihnen verwehrt sein, wenn das Auskunftsrecht nach deutschem Recht nicht bestünde, da die Daten für die wissenschaftliche Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Es ist somit fraglich, ob in diesem Szenario das Recht Österreichs oder Deutschlands in Bezug auf das Recht der betroffenen Personen aus Österreich angewendet werden muss.
Wenn das anwendbare Recht das des Mitgliedstaats wäre, in dem die Forschungseinrichtung ihre Tätigkeiten ausübt, könnte sich die Forschungseinrichtung auf die Vorgaben des DSGVO-Umsetzungsgesetzes dieses Landes, im vorliegenden Beispiel also auf deutsches Anpassungsrecht, berufen. Wenn jedoch das anwendbare Recht davon abhängen würde, wo die Einzelpersonen, deren Daten im Rahmen des Forschungsprojekts verarbeitet werden, niedergelassen sind, so müsste die Forschungseinrichtung unterschiedliche Regeln je nach Herkunftsland der betroffenen Personen, von denen die Daten stammen, anwenden.
Das Beispiel hat aufgezeigt, dass Konfliktpotenzial bestehen kann, wenn die einzelnen EU-Mitgliedstaaten abweichende Bestimmungen, z. B. in ihren nationalen Forschungsklauseln, aufstellen. Jede nationale Bestimmung kann potenziell zu einem Gesetzeskonflikt zwischen zwei oder mehreren Mitgliedstaaten führen. Es stellt sich daher die Frage, nach welchen Regeln sich die Anwendung des nationalen Datenschutzrechts bestimmt, welches aufgrund der zahlreichen Öffnungsklauseln fortbestehen konnte oder neu erlassen wurde.


2.1 Bestimmung des im Rahmen der Öffnungsklauseln der DSGVO anwendbaren nationalen Datenschutzrechts in Fällen grenzüberschreitender Datenverarbeitung innerhalb der EU zu Forschungszwecken

Obwohl das mitgliedstaatliche Recht aufgrund der in der DSGVO enthaltenen Öffnungsklauseln teilweise divergiert, sieht die DSGVO keine Kollisionsnorm zur Ermittlung des konkret anwendbaren mitgliedstaatlichen DSGVO-Anpassungsrechts vor. In Art. 3 DSGVO finden sich allein Regelungen zum räumlichen Anwendungsbereich der DSGVO selbst, jedoch keine Kriterien zur Bestimmung des im Rahmen der Öffnungsklauseln der DSGVO anwendbaren nationalen Datenschutzrechts. Das Fehlen einer solchen allgemeinen Kollisionsnorm wird auf den mit dem Erlass der DSGVO angestrebten einheitlichen Rechtsrahmen zum Datenschutz in der Union zurückgeführt, bei dessen Erlass sich die Frage nach dem anwendbaren mitgliedstaatlichen Datenschutzrecht nicht mehr gestellt hätte. Im Unterschied dazu war in Art. 4 DSRL noch eine Regelung zum anwendbaren einzelstaatlichen Recht zu finden. Auch diese konnte zwar nicht jedes kollisionsrechtliche Problem lösen, gab jedoch für die meisten Anwendungsfälle klare Richtlinien vor. So kam nach Art. 4 Abs. 1 lit. a DSRL grundsätzlich das Recht eines Mitgliedstaates auf alle Datenverarbeitungen zur Anwendung, die im Rahmen der Tätigkeit einer Niederlassung durchgeführt wurden, die der Verantwortliche im Hoheitsgebiet des Mitgliedstaates besitzt. Durch das Fehlen einer solchen oder ähnlichen Kollisionsregelung in der DSGVO wird die Vorhersehbarkeit des für eine grenzüberschreitende Datenverarbeitung maßgeblichen nationalen Datenschutzrechts und mithin die Rechtssicherheit für die datenschutzrechtlich Verantwortlichen und betroffenen Personen erheblich erschwert.


2.1.1 Unterschiedliche Lösungsansätze

Vor dem Hintergrund dieser ungelösten Problematik werden unterschiedliche Lösungsansätze vorgeschlagen, die im Folgenden diskutiert werden.


2.1.1.1  Abgrenzung über nationale Kollisionsnormen
Die nationalen Gesetzgeber vertreten grundsätzlich die Auffassung, dass jeder Mitgliedstaat durch eigene Normen zum Anwendungsbereich die räumliche Anwendbarkeit seines DSGVO-Anpassungsgesetzes bestimmen könne. Den Mitgliedstaaten stehe mithin die Kompetenz zu, selbst kollisionsrechtliche Regelungen zu erlassen.
Zutreffend ist zwar, dass die Kompetenz zur Regelung des räumlichen Anwendungsbereichs der nationalen Datenschutzgesetze als Annex zu den in der DSGVO enthaltenen Öffnungsklauseln zu verstehen ist. Problematisch daran ist jedoch, dass die jeweiligen mitgliedstaatlichen Klauseln voneinander divergierende Anknüpfungskriterien vorsehen und mithin zu Kollisionskonflikten führen können. So ist nach deutschem Recht für nichtöffentliche Stellen unter anderem gemäß § 1 Abs. 4 S. 2 Nr. 1 BDSG n.F. der Ort der Datenverarbeitung maßgeblich. Damit stellt die Vorschrift auf ein Kriterium ab, von dem der europäische Gesetzgeber in Art. 3 DSGVO selbst Abstand genommen hat. Im österreichischen Datenschutzgesetz (DSG) ist die Regelungen des § 3 DSG, die den räumlichen Anwendungsbereich betraf, hingegen mit Ablauf des 31. Dezember 2019 außer Kraft getreten, da der Gesetzgeber die Bestimmungen in Art. 3 der DSGVO zum räumlichen Anwendungsbereich als ausreichend ansah. Der Art. 3 DSGVO selbst lässt den Ort der Verarbeitung außer Betracht und stellt für die räumliche Anwendbarkeit in Art. 3 Abs. 1 DSGVO auf den Ort der Niederlassung des Verantwortlichen oder Auftragsverarbeiters ab. Zutreffenderweise wird daher darauf hingewiesen, dass die auf den Ort der Datenverarbeitung abstellende Regelung in § 1 Abs. 4 S. 2 Nr. 1 BDSG n.F. in einem „Spannungsfeld“ zu Art. 3 DSGVO sowie zu etwaigen Datenschutzgesetzen anderer Mitgliedstaaten stehe. Daneben bestimmt § 1 Abs. 4 BDSG n.F. lediglich, welche Sachverhalte mit Auslandsberührung das deutsche Datenschutzrecht erfassen will und damit nur den Anwendungsbereich des BDSG n.F. selbst.
Diese Abgrenzung über nationale Kollisionsnormen ist daher aufgrund der Kollisionskonflikte sowie der Unvorhersehbarkeit des anwendbaren nationalen Rechts ungeeignet.


2.1.1.2  Öffnungsklauseln der DSGVO als Kollisionsnormen
Teilweise wird daher angenommen, dass sich dem Wortlaut der Öffnungsklauseln der DSGVO selbst Kollisionsregelungen entnehmen ließen. Dazu sei eine Einteilung der Öffnungsklauseln in Gruppen erforderlich. So gäbe es einerseits Öffnungsklauseln, wie den Art. 6 Abs. 3 lit. b DSGVO, nach der „die Rechtsgrundlage für Verarbeitungen gemäß Absatz 1 Buchstaben c und e […] festgelegt [wird] durch […] das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt“. Der Zusatz „dem der Verantwortliche unterliegt“ stellt nach diesem Ansatz eine Kollisionsnorm in dem Sinne dar, dass für den Regelungsbereich der Öffnungsklausel das Recht des Mitgliedstaates gelte, in dem der Verantwortliche seine Hauptverwaltung habe und mithin das anwendbare nationale Recht nach dem Sitzlandprinzip zu bestimmen sei. An welchem Ort die Verarbeitung stattfinde oder wo sich die betroffene Person aufhalte, sei hingegen nicht von Bedeutung. Jedoch beantwortet der Zusatz „dem der Verantwortliche unterliegt“ nicht die Frage nach dem jeweils anwendbaren Recht, sondern setzt vielmehr selbst voraus, dass die Verordnung Bedingungen präzisiert, unter denen der für die Verarbeitung Verantwortliche dem Recht eines bestimmten Mitgliedstaates unterliegt.
Daneben gäbe es andererseits Öffnungsklauseln, wie den für die wissenschaftliche Forschung relevanten Art. 9 Abs. 2 lit. j DSGVO, die die Verarbeitung „auf der Grundlage […] des Rechts eines Mitgliedstaats“ erlauben. Diesbezüglich wird angenommen, dass durch die Anknüpfung an den Ort der Verarbeitung, das Recht dieses Ortes für die Datenverarbeitung maßgeblich sei. Wo sich der Verantwortliche oder Auftragsverarbeiter tatsächlich befinde, sei hingegen nicht entscheidend. Jedoch sind diese Zusätze in den Öffnungsklausen nicht als Kollisionsregelungen einzuordnen, sondern vielmehr als Präzisierung der im Recht des Mitgliedstaates verankerten Rechtsgrundlage. Zudem enthalten nicht alle Öffnungsklauseln derartige Zusätze, sodass selbst bei der Annahme des Bestehens von Kollisionsregelungen in den Öffnungsklauseln, nach denen das anwendbare nationale Recht im jeweiligen Einzelfall ermittelt werden könnte, die grundsätzliche Problematik nicht vollständig gelöst würde. Mithin führt dieser Ansatz, wenn überhaupt, zu einer „lückenhaften Regelungssystematik“.


2.1.1.3  Art. 3 DSGVO als Anknüpfungspunkt für eine Intra-EU-Kollisionsnorm
Mangels Vorliegens einer Kollisionsnorm in der DSGVO wird teilweise auf Art. 3 DSGVO zurückgegriffen und angenommen, dass sich gemäß Art. 3 Abs. 1 DSGVO das anwendbare Recht nach dem Ort des Sitzes der verantwortlichen Stelle bzw. nach dem Ort des Sitzes von deren Niederlassung bestimme. Für die Anwendbarkeit des geltenden nationalen Datenschutzrechts könne dann nichts anderes gelten. In dem obigen Beispiel würde somit auch auf die betroffenen Personen aus Österreich deutsches Recht Anwendung finden, sodass diese ihr Recht auf Auskunft nicht gelten machen könnten, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
Hierbei wird jedoch übersehen, dass die Mitgliedstaaten nicht daran gebunden sind, ihre nationalen Datenschutzbestimmungen an Art. 3 DSGVO anzupassen, da diese Norm nur den räumlichen Anwendungsbereich der Verordnung selbst regelt. Die Vorschrift beantwortet jedoch für den Fall der räumlichen Anwendbarkeit der DSGVO nicht die Frage, welches nationale Recht im Einzelnen Anwendung findet.
Auch eine analoge Anwendung des Art. 3 DSGVO auf mitgliedstaatliche Regelungen kommt nicht in Betracht. Zutreffend geht Laue davon aus, dass es dafür bereits am Vorliegen einer planwidrigen Regelungslücke fehle, da bereits die Vorentwürfe zur DSGVO in unterschiedlichem Umfang Öffnungsklauseln enthielten, der EU-Gesetzgeber während des mehr als vierjährigen Gesetzgebungsverfahrens trotz Kenntnis des Art. 4 Abs. 1 lit. a DSRL jedoch keine Kollisionsnorm in den Normtext aufgenommen habe. Hinzu kommt, dass der Europäische Datenschutzbeauftragte bereits früh auf das Fehlen einer Bestimmung, mit der der räumliche Anwendungsbereich mitgliedstaatlichen Rechts klargestellt werden kann, hingewiesen hatte. Es ist folglich nicht anzunehmen, dass der europäische Gesetzgeber es aufgrund des Zeitdrucks in den Trilogverhandlungen versäumt hat, eine Kollisionsnorm aufzunehmen, sondern eine solche vielmehr nicht für notwendig erachtete.


2.1.1.4  Kriterien des internationalen Privatrechts
Da die Frage des anwendbaren Rechts grundsätzlich zentraler Gegenstand des internationalen Privatrechts ist, greift eine andere Auffassung für die Bestimmung des jeweils anzuwendenden Rechts auf das allgemeine Kollisionsrecht in den Rom-Verordnungen zurück. Dabei regelt die Rom I-VO das auf vertragliche Schuldverhältnisse anzuwendende Recht, während die Rom II-VO das auf außervertragliche Verpflichtungen anzuwendende Recht bestimmt.
Die Rom II-VO, die sich mit dem Konflikt von Gesetzen über nichtvertragliche Beziehungen befasst, hilft in diesem Zusammenhang nicht weiter. Denn außervertragliche Schuldverhältnisse, die aus der Verletzung der Privatsphäre oder der Persönlichkeitsrechte folgen, fallen gemäß Art. 1 Abs. 2 lit. g Rom II-VO nicht in den sachlichen Anwendungsbereich der Rom II-VO. Mit den persönlichkeitsrechtlichen Ansprüchen werden somit auch die datenschutzrechtlichen Ansprüche vom Anwendungsbereich der Rom II-VO ausgenommen.
Möglicherweise kann aber die Rom I-VO zur Beantwortung dieser Frage beitragen. Dies würde zunächst voraussetzen, dass eine vertragliche Beziehung zwischen dem Forscher und der betroffenen Person besteht. Bei einem weiten Verständnis des Begriffs des vertraglichen Schuldverhältnisses, könnte man durchaus annehmen, dass auch datenschutzrechtliche Einwilligungen in die Verarbeitung zu Forschungszwecken als einseitige Verpflichtungen in den Anwendungsbereich der Rom I-VO fallen. Das anwendbare nationale Datenschutzrecht würde sich dann nach Art. 6 Abs. 1 Rom I-VO bestimmen, nach dem das Recht des gewöhnlichen Aufenthalts des Verbrauchers, also der datenschutzrechtlich betroffenen Person, anzuwenden ist. Hingegen dürfte bei den gesetzlichen Erlaubnistatbeständen der DSGVO und mithin auch für den im Forschungsbereich relevanten Art. 9 Abs. 2 lit. j DSGVO kein solches Schuldverhältnis anzunehmen sein. Somit kann der Rückgriff auf das allgemeine Kollisionsrecht in den Rom-Ver-ordnungen nur Antwort in Bezug auf Datenverarbeitungen geben, die sich auf den Zulässigkeitstatbestand der datenschutzrechtlichen Einwilligungen stützen, und mithin nur für einen Teil der Datenverarbeitungen im Forschungskontext.
Unter diesen Voraussetzungen ist es mehr als fraglich, ob die Beantwortung der Frage nach dem anwendbaren Recht in Abhängigkeit von der Art der Beziehung zwischen dem Verantwortlichen und der betroffenen Person wünschenswert sein sollte.

2.1.1.5  Alternativ: Rückgriff auf das autonome Kollisionsrecht
Daneben erscheint ein Rückgriff auf das autonome Kollisionsrecht möglich. Da die Rom II-VO nicht für Schuldverhältnisse gilt, die sich aus der Verletzung von Persönlichkeitsrechten ergeben, bleibt Art. 40 des Einführungsgesetzes zum Bürgerlichen Gesetzbuche (EGBGB) die maßgebliche Kollisionsnorm für Persönlichkeitsrechtsverletzungen.
Gemäß Art. 40 Abs. 1 S. 1 EGBGB richtet sich das anwendbare Recht grundsätzlich nach dem Recht des Handlungsortes. Abweichend hiervon kann der Verletzte gemäß Art. 40 Abs. 1 S. 2 EGBGB verlangen, dass das Recht des Erfolgsortes anzuwenden ist. In der Sprache des Datenschutzes wäre der Handlungsort die EU-Niederlassung des datenschutzrechtlich Verantwortlichen und der Erfolgsort der gewöhnliche Aufenthaltsort der betroffenen Person.
Bisher wurde teilweise davon ausgegangen, dass sich die datenschutzrechtliche Bewertung unabhängig von dem zugrunde liegenden zivilrechtlichen Rechtsverhältnis zwischen den Beteiligten nach den spezielleren datenschutzrechtlichen Kollisionsnormen richte. Dies wurde damit begründet, dass der § 1 Abs. 5 BDSG a.F. dem Art. 40 EGBGB als lex specialis für solche Ansprüche vorgehe, die sich aus der unrechtmäßigen Verarbeitung personenbezogener Daten ergeben. Denn andernfalls würde Art. 40 EGBGB die datenschutzrechtlichen Vorgaben aus Art. 4 DSRL zu kollisionsrechtlichen Regelungen überspielen, die der § 1 Abs. 5 BDSG a.F. im nationalen Kollisionsrecht umsetzte. Dieses Argument kann nun jedoch mangels kollisionsrechtlicher Regelung in der DSGVO, die durch Art. 40 EGBGB umgangen werden könnte, nicht mehr angeführt werden.
Die Anwendung des Art. 40 EGBGB kann sich jedoch unabhängig davon als problematisch erweisen, wenn das autonome Kollisionsrecht auf einen dritten EU-Staat verweist, in dem die Verarbeitung stattfindet, während das Datenschutzrecht desselben Staates auf das Recht dieses Staates verweist. Solche Fragen, die durch das Zusammenspiel von internationalem Privatrecht und Datenschutzrecht verursacht werden, würden die Unsicherheit in Bezug auf das anwendbare Recht wohl nur weiter verstärken.


2.2 Zwischenfazit

Die Untersuchung der möglichen Lösungsansätze zur Frage des anwendbaren nationalen Rechts unter der DSGVO hat gezeigt, dass bislang keine überzeugende Lösung vorhanden ist und mithin die Rechtsunsicherheit hinsichtlich des anwendbaren mitglied-staatlichen Anpassungsrechts weiterhin bestehen bleibt.
Neben der Forderung nach dem Erlass von spezifischem Kollisionsrecht wurde in der Literatur insbesondere auch ausdrücklich darauf hingewiesen, dass der europäische Gesetzgeber die Gelegenheit nutzen solle, im Zuge der erstmaligen Überprüfung der DSGVO durch die EU-Kommission im Jahr 2020 einfache und praxisgerechte Kollisionsnormen in die DSGVO aufzunehmen.
Diese in Art. 97 Abs. 1 DSGVO vorgeschriebene Bewertung und Überprüfung durch die EU-Kommission musste dem Europäischen Parlament sowie dem Rat bis zum 25. Mai 2020 vorgelegt werden. Gemäß Art. 97 Abs. 4 DSGVO hat die Kommission bei der Bewertung und Überprüfung die Standpunkte des Parlaments, des Rates sowie anderer Stellen zu berücksichtigen. Viele Stellen haben daher die Gelegenheit genutzt, auf die Zukunft der DSGVO mit eigenen Stellungnahmen Einfluss zu nehmen. So stellte etwa der Bundesrat in diesem Zusammenhang klar, dass er die vom Rat eröffnete Diskussion über Kollisionsregelungen zur Klärung der personalen und territorialen Reichweite einer nationalen Datenschutzbestimmung begrüße.
Auch der Rat selbst erkannte an, dass die Tatsache, dass die DSGVO den nationalen Gesetzgebern Spielräume lasse, um spezifischere Bestimmungen beizubehalten oder einzuführen, zu Rechtsunsicherheit hinsichtlich des anwendbaren Rechts zwischen den Mitgliedstaaten in Situationen führen könne, in denen das nationale Recht von zwei Mitgliedstaaten auf eine einzige Verarbeitungstätigkeit anwendbar sei. Gleichzeitig stellte er jedoch fest, dass die DSGVO und die sie ergänzenden nationalen Vorschriften erst seit kurzer Zeit angewendet würden. Da die sektorspezifische Gesetzgebung in vielen Mitgliedstaaten noch überarbeitet würde, sei es daher zu früh, endgültige Schlussfolgerungen über den Gesamtgrad der rechtlichen Fragmentierung in der Europäischen Union zu ziehen. Zunächst sei es nach Ansicht des Rates nützlich, ein besseres Verständnis dafür zu erlangen, wie sich das Problem der Überschneidung territorialer Bereiche der nationalen Gesetze zur Umsetzung der DSGVO auf die für die Verarbeitung Verantwortlichen ausgewirkt habe und wie sie mit solchen Situationen umgingen.
Am 24. Juni 2020 hat die EU-Kommission sodann ihren Evaluationsbericht zur DSGVO vorgelegt. Darin hat sie anerkannt, dass die Rechtsvorschriften der Mitgliedstaaten bei der Umsetzung der Abweichungen vom generellen Verarbeitungsverbot insbesondere auch für die Verarbeitung personenbezogener Daten zu Forschungszwecken unterschiedliche Ansätze verfolgen. Um dieses Problem zu beheben, hat die Kommission angekündigt, eine Aufstellung der verschiedenen Konzepte der Mitgliedstaaten vorzunehmen und anschließend die Ausarbeitung von Verhaltenskodizes zu unterstützen, um auf dieses Weise zu einem einheitlicheren Ansatz in diesem Bereich beizutragen und die grenzüberschreitende Verarbeitung personenbezogener Daten zu erleichtern. Zudem sollen durch den Europäischen Datenschutzausschuss Leitlinien zur Verarbeitung von personenbezogenen Daten in der wissenschaftlichen Forschung erarbeitet werden, die zu einer Vereinheitlichung beitragen sollen. Was die mögliche Rechtskollision aufgrund der Anwendung von Öffnungsklauseln durch die Mitgliedstaaten betrifft, schließt sie sich der Ansicht des Rates an, nach der es zunächst eines besseren Verständnisses der Folgen für die Verantwortlichen und die Auftragsverarbeiter bedürfe.
Diese Evaluation wird hoffentlich dazu führen, dass spätestens im Zuge der nächsten Überprüfung der DSGVO im Jahre 2024 praxisgerechte Kollisionsnormen in die DSGVO aufgenommen werden, um Rechtssicherheit hinsichtlich der Bestimmung des im Rahmen der Öffnungsklauseln der DSGVO anwendbaren nationalen Datenschutzrechts in Fällen grenzüberschreitender Datenverarbeitung zu schaffen. In der Zwischenzeit bleibt abzuwarten, ob der EuGH oder der Europäische Datenschutzausschuss eine der diskutierten Lösungsmöglichkeiten unterstützen werden. Bis auf europäischer Ebene eine Lösung gefunden wird, verbleibt die Bestimmung des anzuwendenden nationalen Anpassungsrechts nach Maßgabe der jeweiligen nationalen Regelung zur räumlichen Anwendbarkeit des DSGVO-Anpassungsgesetzes – auch wenn dies nicht in jedem Fall ohne Kollisionskonflikte zwischen den jeweiligen DSGVO-Anpassungsgesetzen möglich sein wird. Im deutschen Recht findet sich die Bestimmung zum räumlichen Anwendungsbereich des BDSG n.F. in § 1 Abs. 4 BDSG n.F.


3 Datenübermittlung in Drittstaaten

Neben einer EU-internen Datenverarbeitung erfordern einige Forschungsprojekte auch eine Datenübermittlung in Staaten außerhalb der EU. Im Fall einer Datenübermittlung in Drittstaaten müssen nach den Vorgaben der DSGVO, aufgrund des damit einhergehenden erhöhten Risikos für die betroffenen Personen, besondere Anforderungen beachtet werden. Bevor die einzelnen Voraussetzungen für die Datenübermittlung in Dritt-staaten im Folgenden erläutert werden, wird zunächst der räumliche Anwendungsbereich der DSGVO näher betrachtet, um festzustellen, inwiefern die DSGVO möglicherweise bereits aufgrund ihres räumlichen Anwendungsbereichs extraterritorial zur Anwendung kommt.


3.1 Räumlicher Anwendungsbereich der DSGVO

Wie bereits dargelegt, stellt Art. 3 DSGVO keine Kollisionsnorm für nationales Anpassungsrecht innerhalb der EU dar. Da in Art. 3 DSGVO jedoch der räumliche Anwendungsbereich der Verordnung selbst geregelt wird, stellt dieser eine Kollisionsregelung in Bezug auf das Datenschutzrecht von Drittstaaten dar. Daher wird im Folgenden zunächst der räumliche Anwendungsbereich der DSGVO betrachtet.
Nach Art. 3 Abs. 1 DSGVO, dem sog. Niederlassungsprinzip, findet die DSGVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, und zwar unabhängig davon, ob die Verarbeitung selbst in der Union stattfindet. Maßgeblich ist daher nicht, wo die Verarbeitung erfolgt, sondern ob der Verantwortliche oder Auftragsverarbeiter in der EU niedergelassen ist. Dies eröffnet grundsätzlich die Anwendbarkeit der DSGVO auch in Drittstaaten, wenn Daten einer EU-Niederlassung in Drittstaaten verarbeitet werden.
Nach Erwägungsgrund (EG) 22 S. 2 DSGVO setzt eine „Niederlassung“ eines Verantwortlichen oder Auftragsverarbeiters „die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus.“ Auf die Rechtsform soll es dabei ebenso wenig ankommen, wie darauf, ob es sich um eine Zweigniederlassung oder Tochtergesellschaft handelt. Mithin kann auch eine Forschungsinstitution in einem Drittstaat, die eine Zweigstelle in der Union betreibt, der DSGVO unterfallen. Die Datenverarbeitung im Zusammenhang mit der Forschungstätigkeit wäre dann, auch wenn sie in einem Drittstaat stattfindet, nach den Regeln der DSGVO vorzunehmen.
Der Europäische Datenschutzausschuss nennt zu Art. 3 Abs. 1 DSGVO im Forschungskontext das folgende Beispiel: Ein Pharmaunternehmen mit Hauptsitz in Stockholm hat alle seine Verarbeitungstätigkeiten in Bezug auf klinische Studien in seiner Zweigniederlassung in Singapur angesiedelt. Entsprechend der Unternehmens-struktur ist die Zweigniederlassung keine rechtlich eigenständige Einheit und der Stockholmer Firmensitz bestimmt den Zweck und die Mittel der Datenverarbeitung, die in seinem Namen von der in Singapur ansässigen Zweigniederlassung durchgeführt wird. In diesem Fall wird die Verarbeitung, die in Singapur stattfindet, im Rahmen der Aktivitäten des Pharmaunternehmens in Stockholm durchgeführt. Für eine solche Verarbeitung gelten daher die Bestimmungen der DSGVO gemäß Art. 3 Abs. 1 DSGVO.
Daneben findet die DSGVO nach Art. 3 Abs. 2 DSGVO, dem sog. Marktortprinzip, auch Anwendung auf die Verarbeitung durch nicht in der Union niedergelassene Verantwortliche oder Auftragsverarbeiter, wenn die Verarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder das Verhalten zu beobachten. Dadurch wird der Anwendungsbereich des europäischen Datenschutzrechts auf datenverarbeitende Stellen außerhalb der EU erheblich ausgeweitet. Möglicherweise findet die DSGVO daher auch auf nicht in der EU nieder-gelassene Forschungseinrichtungen Anwendung.
Fraglich ist daher, inwieweit Art. 3 Abs. 2 DSGVO im Bereich der medizinischen Forschung von Relevanz ist. Zunächst ist davon auszugehen, dass die Forschung betroffenen Personen in der EU keine Dienstleistung oder Ware i.S.d. Art. 3 Abs. 2 lit. a DSGVO anbietet, sondern vielmehr ihrerseits auf der Suche nach zu verallgemeinernden Erkenntnissen ist, sodass die Voraussetzungen des Art. 3 Abs. 2 lit. a DSGVO nicht gegeben sind. Auch Art. 3 Abs. 2 lit. b DSGVO reguliert gemäß EG 24 S. 2 DSGVO im Wesentlichen den Einsatz von „Webtracking-Tools“ und „Social-Media-Plugins“ mit entsprechender Verfolgungsfunktion. Die Regelung dient daher dem Zweck, dass eine Flucht aus der Anwendbarkeit der DSGVO durch IT-Outsourcing „für Verantwortliche bzw. deren Verantwortliche in der Union nicht mehr möglich“ ist. Für den medizinischen Forschungs-bereich ist diese Regelung daher weniger von Bedeutung.
Damit stellt sich im Rahmen des Anwendungsbereichs des Art. 3 Abs. 1 DSGVO die Frage, wie es zu bewerten ist, wenn einerseits die DSGVO auf eine Verarbeitung in einem Drittstaat Anwendung findet, andererseits jedoch nur die EU-Mitgliedstaaten von dem Spielraum der Öffnungsklauseln in der DSGVO Gebrauch machen können.
Wie bereits dargestellt, sieht die DSGVO insbesondere auch für den Bereich der Forschung Öffnungsklauseln vor, innerhalb derer die Mitgliedstaaten eigene Regelungen treffen können. Bereits aus dem Wortlaut der Öffnungsklauseln wird deutlich, dass nur die EU-Mitgliedstaaten selbst, jedoch nicht die Drittstaaten, den Spielraum der Öffnungsklauseln nutzen können. Dies gilt auch, wenn die DSGVO aufgrund ihres extensiven räumlichen Anwendungsbereichs auf die Datenverarbeitung in einem Drittstaat anwendbar ist. Auch bei Anwendung der DSGVO in einem Drittstaat müssen diese Öffnungsklauseln somit durch die von den EU-Mitgliedstaaten im Rahmen von Öffnungsklauseln getroffenen Regelungen ausgefüllt werden. In diesem Sinne regelt § 1 Abs. 4 BDSG n.F. wann das BDSG n.F. im Fall entsprechender Öffnungsklauseln räumlich zur Anwendung kommt. Danach findet das BDSG n.F. auf nichtöffentliche Stellen gemäß § 1 Abs. 4 S. 2 Nr. 2 Anwendung, sofern die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder des Auftragsverarbeiter erfolgt. Damit lehnt sich § 1 Abs. 4 S. 2 Nr. 2 BDSG n.F. an das Niederlassungsprinzip des § 3 Abs. 1 DSGVO an. Somit finden die Regelungen des BDSG n.F. im Falle der Anwendung der DSGVO in Drittstaaten gemäß Art. 3 Abs. 1 DSGVO auch bei der Stelle Anwendung, die die Daten verarbeitet; im obigen Beispiel wäre das die in Singapur ansässige Niederlassung.


3.2 Anforderungen an die Datenübermittlung in Drittstaaten

Die DSGVO sieht in ihrem Kapitel V Vorschriften für die Übermittlung personenbezogener Daten an Drittstaaten vor. Diese stellen besondere Voraussetzungen auf, die im Rahmen einer Drittlandsübermittlung zu beachten sind. Um festzustellen, ob die Übermittlung personenbezogener Daten in Drittländer nach der DSGVO zulässig ist, muss eine zweistufige Zulässigkeitsprüfung vorgenommen werden. Auf der ersten Stufe hat der Verantwortliche sicherzustellen, dass die Übermittlung den allgemeinen Anforderungen der DSGVO entspricht. Da gemäß Art. 6 und Art. 9 DSGVO für die Verarbeitung von Grunddaten und besonderen Kategorien personenbezogener Daten jeweils ein grundsätzliches Verbot mit Erlaubnisvorbehalt besteht, muss sich der Verantwortliche für die Übermittlung auf einen Erlaubnistatbestand der DSGVO berufen können. Für die Übermittlung von besonderen Kategorien personenbezogener Daten zu Forschungszwecken kommt die Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO sowie der gesetzliche Erlaubnistatbestand des Art. 9 Abs. 2 lit. j DSGVO i.V.m. dem nationalen Recht in Betracht. Erst danach ist zu prüfen, ob die besonderen Voraussetzungen der Art. 44 ff. DSGVO für die Übermittlung personenbezogener Daten in Drittländer vorliegen.
Bevor im Einzelnen auf die jeweiligen Anforderungen der Art. 44 ff. DSGVO eingegangen wird, ist zu klären, ob diese auch zu berücksichtigen sind, wenn die DSGVO aufgrund ihres weiten räumlichen Anwendungsbereichs bereits für die Datenverarbeitung in dem Drittstaat zur Anwendung kommt. Fraglich ist im Forschungskontext insbesondere, wie das Verhältnis zwischen den Vorschriften des Kapitels V der DSGVO und Art. 3 Abs. 1 DSGVO zu beurteilen ist. Diese Frage ist im Allgemeinen bisher weitgehend ungeklärt, was auch daran deutlich wird, dass die EU-Kommission den Europäischen Datenschutzausschuss in ihrem Evaluierungsbericht zur DSGVO jüngst dazu aufgefordert hat, das Zusammenspiel zwischen den Vorschriften für internationale Datenübermittlungen im Kapitel V der DSGVO und dem räumlichen Anwendungsbereich der DSGVO nach Art. 3 DSGVO weiter zu verdeutlichen.

3.2.1  Berücksichtigung der Anforderungen an die Drittlandsübermittlung bei eröffneter räumlicher Anwendbarkeit der DSGVO
Konkret stellt sich die Frage, ob in dem obigen Beispiel für die Datenübermittlung an die Zweigniederlassung der Forschungseinrichtung in Singapur, die selbst unter den räumlichen Anwendungsbereich der DSGVO fällt, zusätzlich zu den allgemeinen Zulässigkeitsvoraussetzungen auch die Vorgaben der Art. 44 ff. DSGVO eingehalten werden müssen. Denn auch bei der Weitergabe von Daten zwischen der Hauptniederlassung und einer unselbstständigen Niederlassung im Drittland handelt es sich ungeachtet des Umstandes, dass die Daten innerhalb des Verantwortlichen verbleiben, um eine Datenübermittlung i.S.d. DSGVO.
Vor dem Hintergrund des Zwecks der Vorschriften zur Übermittlung personenbezogener Daten an Drittländer, der darin besteht, für die in den Drittländern erfolgende Verarbeitung ein gewisses Mindestschutzniveau sicherzustellen, könnte zunächst argumentiert werden, dass durch die Anwendbarkeit der DSGVO auf die Datenverarbeitung im Rahmen der Zweigniederlassung bereits das höchstmögliche Schutzniveau gegeben ist, sodass darüber hinausgehende Schutzmaßnahmen nicht erforderlich sind. Der Verantwortliche bzw. Auftragsverarbeiter muss sich gemäß Art. 3 Abs. 1 DSGVO bereits an alle Vorgaben der DSGVO halten, sodass prima facie kein Bedarf besteht, zusätzliche Garantien einzufordern. Denn wenn der räumliche Anwendungsbereich der DSGVO eröffnet ist, beurteilen sich unter anderem die Rechtmäßigkeit der Verarbeitung, sämtliche Betroffenenrechte sowie die Übermittlungen an Drittstaaten nach der DSGVO.
Jedoch ist bereits fragwürdig, ob dieser Ansatz mit dem Wortlaut des Art. 44 DSGVO vereinbar ist, nach dem „jedwede“ Art der Übermittlung an einen Empfänger im Drittstaat allein dann zulässig ist, wenn die im Kapitel V der DSGVO aufgeführten Bedingungen eingehalten werden. Der Wortlaut differenziert somit nicht danach, ob nur der Datenexporteur unter den räumlichen Anwendungsbereich der DSGVO fällt oder auch der Datenempfänger. Daneben ist in diesem Zusammenhang insbesondere zu berücksichtigen, dass der Empfänger außerhalb der EU auch der Rechtsordnung seines Staates unterliegt, die ggf. den Datenschutzgrundsätzen der DSGVO zuwiderlaufen kann. Da die Ausübung von Befugnissen der Staatsgewalt auf fremdem Staatsgebiet aufgrund der Hoheitsrechte nicht gestattet ist, kann trotz grundsätzlicher räumlicher Anwendbarkeit der DSGVO in Drittstaaten gemäß Art. 3 DSGVO faktisch nicht in jedem Fall sichergestellt werden, dass die Regelungen der DSGVO tatsächlich zur Anwendung kommen. Konkret besteht in Drittstaaten eine stark eingeschränkte Möglichkeit der Durchsetzung der datenschutzrechtlichen Vorgaben der DSGVO durch die Datenschutz-aufsichtsbehörden. In diesem Sinne stellt auch EG 116 S. 1 DSGVO klar, dass eine erhöhte Gefahr bestünde, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen könnten, wenn personenbezogene Daten in ein Land außerhalb der EU übermittelt würden. Vor diesem Hintergrund kann die Einhaltung und Durchsetzung der Vorschriften im Drittland gerade mithilfe der Bestimmungen des Kapitels V der DSGVO am effektivsten sichergestellt werden, sodass faktisch von einem höheren Datenschutzniveau ausgegangen werden kann als ohne sie. Beispielsweise müssen verbindliche interne Datenschutzvorschriften nach Art. 47 Abs. 1 lit. b DSGVO den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen.
Festzuhalten bleibt daher, dass die Mechanismen im Kapitel V der DSGVO auch berücksichtigt werden müssen, wenn die DSGVO aufgrund ihres räumlichen Anwendungsbereichs auf die Datenverarbeitung im Drittland bereits Anwendung findet. Für das oben genannten Beispiel bedeutet dies, dass das Pharmaunternehmen in Stockholm bei der Datenübermittlung an die Zweigniederlassung in Singapur zusätzlich zu den allgemeinen Zulässigkeitsvoraussetzungen auch die Vorgaben der Art. 44 ff. DSGVO einzuhalten hat.

3.2.2  Anforderungen zur Datenübermittlung in Drittstaaten
Nachdem nun festgestellt wurde, dass für Datenübermittlungen in Drittstaaten stets zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu erfüllen sind, soll im Folgenden im Einzelnen auf diese Voraussetzungen eingegangen werden. Eine spezielle Ausnahme für den Bereich der wissenschaftlichen Forschung ist dabei für die Übermittlung personenbezogener Daten in ein Drittland nicht vorgesehen. Grundsätzlich ist zu differenzieren zwischen Übermittlungen in Drittstaaten, die ein angemessenes Datenschutzniveau gewährleisten und solchen, die kein angemessenes Schutzniveau bieten.
Zunächst räumt Art. 45 DSGVO der Europäischen Kommission das Recht ein, Länder, Gebiete oder Sektoren in einem Drittland zu benennen, die ein angemessenes Schutzniveau gewährleisten. Solche Angemessenheitsbeschlüsse bestehen bisher für zwölf Staaten, darunter etwa Argentinien, die Schweiz oder seit Januar 2019 auch für Japan. Bislang bestand daneben mit dem sog. „EU-U.S.-Privacy Shield“ zudem auch ein sektoraler Angemessenheitsbeschluss der Kommission für die USA. Diesen Angemessenheitsbeschluss hat der EuGH jedoch am 16. Juli 2020 in der Rechtssache „Schrems II“ für unwirksam erklärt und die Übermittlung personenbezogener Daten in die USA auf dieser Grundlage mithin für unzulässig.
Für die Übermittlung personenbezogener Daten in Drittstaaten, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, stellt die DSGVO in Art. 46 Alternativen zur Verfügung, die sog. geeignete Garantien darstellen. Solche Garantien können sich etwa aus Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO ergeben, die zwischen dem jeweiligen Datenexporteur innerhalb der EU und dem Empfänger im Drittstaat geschlossen werden. Jedoch lässt der EuGH den Vertragsschluss allein künftig nicht mehr genügen. Vielmehr obliegt es fortan dem Verantwortlichen im Einzelfall „zu prüfen, ob das Recht des Bestimmungslandes nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddaten-schutzklauseln übermittelten personenbezogenen Daten gewährleistet […]“. Die Verantwortlichen müssen folglich prüfen, welchen Gesetzen der Empfänger im Drittland unterliegt und ob diese die mit den Standarddatenschutzklauseln gegebenen Garantien beeinträchtigen. Sollten sich bei der Prüfung Beeinträchtigungen offenbaren, so könne es sodann erforderlich sein „die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen“, um auf diese Weise insgesamt ein angemessenes Schutzniveau sicherzustellen. Dabei lässt der EuGH allerdings offen, um welche Maßnahmen es sich hierbei konkret handeln soll. Denkbar sind etwa zusätzliche technische oder organisatorische Maßnahmen, wie beispielsweise die Pseudonymisierung der personenbezogenen Daten. Der EDSA hat diesbezüglich am 24. Juli 2020 zentrale Fragen und Antworten zur Umsetzung des EuGH-Urteils veröffentlicht und darin angekündigt weiter zu prüfen, worin diese ergänzenden Maßnahmen bestehen können. Dahingehende Empfehlungen des EDSA liegen nun seit dem 11. November 2020 vor. Im Anhang 2 der Empfehlungen beschreibt der EDSA beispielhaft, welche zusätzlichen technischen und vertraglichen Maßnahmen vereinbart werden können. Demnach ist der EDSA der Ansicht, dass die Pseudonymisierung eine hinreichende zusätzliche Maßnahme darstellt, wenn ein Datenexporteur Daten zu Forschungszwecken in ein Drittland übermittelt. Voraussetzung ist allerdings, dass ausschließlich der Datenexporteur über den Zuordnungsschlüssel verfügt und die Offenlegung dieser zusätzlichen Informationen durch geeignete technische und organisatorische Garantien verhindert wird. Im Anschluss an die Veröffentlichung der Empfehlungen des EDSA hat die EU-Kommission am 12. November 2020 einen Entwurf für neue Standarddatenschutzklauseln veröffentlicht. Am 4. Juni 2021 hat die EU-Kommission sodann die neuen Standarddatenschutzklauseln für Datenübermittlungen in Drittländer veröffentlicht, die am 27. Juni 2021 in Kraft getreten sind. Nach einer dreimonatigen Übergangsfrist sind für neue Datenübermittlungen seit dem 27. September 2021 ausschließlich die neuen Standarddatenschutzklauseln zu verwenden, während für Bestandsübermittlungen in Drittländer eine erweiterte Übergangsfrist bis zum 27. Dezember 2022 gilt. Auch bei Verwendung der neuen Standarddatenschutzklauseln muss der Daten-Exporteur aber künftig prüfen, welche zusätzlichen Maßnahmen erforderlich sind, um den Anforderungen zu entsprechen, die der EuGH in seinem Schrems II-Urteil aufgestellt hat.
Ohne eine Angemessenheitsentscheidung der Kommission und ohne ausreichende Garantien können die Ausnahmetatbestände des Art. 49 DSGVO herangezogen werden. Ein Ausnahmetatbestand, der im Forschungskontext von Bedeutung ist, ist die ausdrückliche Einwilligung gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO. Allerdings ist eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO nur dann wirksam, wenn sie freiwillig, für den bestimmten Fall und in informierter Weise abgegeben wurde. Insbesondere ist die betroffene Person gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO auch über die möglichen Risiken von Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien zu informieren. Zudem kann die Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufen werden, was die Einwilligung als Rechts-grundlage für die Übermittlung in Drittstaaten unsicher macht. Daneben darf eine Übermittlung gemäß Art. 49 Abs. 1 UAbs. 2 DSGVO an ein Drittland auch erfolgen, wenn dies für die Wahrnehmung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen. Nach EG 113 S. 4 DSGVO sollten bei der Interessenabwägung für Datenverarbeitungen zu wissenschaftlichen Forschungszwecken die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden. Um von diesem Mechanismus Gebrauch zu machen, muss der Forscher jedoch strenge Kriterien erfüllen. So darf die Übermittlung nicht wiederholt erfolgen, nur eine begrenzte Zahl an betroffenen Personen umfassen und zudem muss der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorsehen. Daneben muss der Verantwortliche die Aufsichtsbehörde und die betroffenen Personen über die Übermittlung informieren sowie Letztere zusätzlich über ihre zwingenden berechtigten Interessen. Diese zahlreichen durch den Verantwortlichen zu erfüllenden Voraussetzungen führen dazu, dass der Anwendungsbereich der Vorschrift insgesamt eng auszulegen ist. Der Ausnahmetatbestand der zwingenden berechtigten Interessen ist insgesamt restriktiv anzuwenden und kann die Übermittlung nur in Einzelfällen rechtfertigen. Bei einer Übermittlung an Empfänger in Drittstaaten, für die die Kommission kein angemessenes Datenschutzniveau festgestellt hat, empfiehlt sich für die Forschungseinrichtung daher die vertragliche Vereinbarung von Datenschutzklauseln mit dem jeweiligen Forschungspartner. Dabei sind die in der Rechtssache „Schrems II“ aufgestellten Grundsätze zu beachten. In diesem Sinne hat auch der Europäische Datenschutzausschuss klargestellt, dass wiederholte Datenübermittlungen an Empfänger in Drittstaaten im Rahmen langjähriger Forschungsprojekte nur vorgenommen werden dürfen, wenn der Verantwortliche geeignete Garantien i. S. d. Art. 46 DSGVO, wie etwa Standarddatenschutzklauseln, vorsieht.


3.3 Zwischenfazit

Art. 3 DSGVO regelt den räumlichen Anwendungsbereich der DSGVO und stellt gleich-zeitig eine Kollisionsregelung in Bezug auf das Datenschutzrecht von Drittstaaten dar. Danach kann auch eine Forschungseinrichtung in einem Drittstaat den Regelungen der DSGVO bzw. den von den EU-Mitgliedstaaten im Rahmen einer Öffnungsklausel getroffenen Regeln unterfallen. Auch in diesem Fall müssen für die Datenübermittlung zusätzlich die Vorgaben der Art. 44 ff. DSGVO berücksichtigt werden, um sicherzustellen, dass das durch die DSGVO gewährleistete Schutzniveau gewahrt wird. Dabei sind für Datenübermittlungen in Drittstaaten für den Bereich der wissenschaftlichen Forschung keine speziellen Ausnahmeregelungen vorgesehen, sodass die grundsätzlichen Voraussetzungen der Art. 45 ff. DSGVO einzuhalten sind. Hierbei sind insbesondere die zusätzlichen Voraussetzungen zu berücksichtigen, die der EuGH in der Rechtssache „Schrems II“ für die Verwendung von Standarddatenschutzklauseln aufgestellt hat. Daneben kann auch der Ausnahmetatbestand der zwingenden berechtigten Interessen aus Art. 49 Abs. 1 S. 2 DSGVO nur in Einzelfällen zur Anwendung kommen.


4 Zusammenfassung

Voraussetzung für die Zusammenarbeit in länderübergreifenden Forschungsprojekten ist die Übermittlung von Daten über Ländergrenzen hinweg. Dabei wirft der Datenverkehr innerhalb der Europäischen Union, der unter den gleichen Voraussetzungen wie eine inländische Datenübermittlung vorzunehmen ist, zunächst keine besonderen Fragestellungen auf. Jedoch wird die Bestimmung des jeweils im Rahmen der Öffnungsklausel anwendbaren nationalen Rechts durch das Fehlen einer allgemeinen Kollisionsnorm erheblich erschwert. Vor diesem Hintergrund werden in der Literatur verschiedene Lösungsmöglichkeiten diskutiert, die jedoch nicht vollends überzeugen können. Eine endgültige Lösung wird sich nur auf europäischer Ebene finden lassen. Auf eine schnelle Lösung ist dort jedoch nicht zu hoffen, wie die jüngsten Aussagen der Europäischen Kommission gezeigt haben.
Datenübermittlungen in Staaten außerhalb der EU bringen ihre eigenen, anders gelagerten Fragestellungen mit sich. So sind die Vorschriften des Kapitels V der DSGVO auch zu berücksichtigen, wenn die DSGVO aufgrund ihres räumlichen Anwendungs-bereichs auf die Datenverarbeitung im Drittland bereits Anwendung findet. Diese sehen keine speziellen Erleichterungen für die Übermittlung personenbezogener Daten an Drittstaaten im Forschungskontext vor, insbesondere dürfte der Art. 49 Abs. 1 S. 2 DSGVO nur vereinzelt zur Anwendung kommen.
Abschließend lässt sich somit festhalten, dass die Datenverarbeitung zu medizinischen Forschungszwecken im internationalen Kontext unter der Rechtslage der DSGVO zu neuen juristischen Herausforderungen führt und zwar sowohl innerhalb der Europäischen Union als auch im Verhältnis zu Drittstaaten.

 

Zur einfacheren Lesbarkeit wurden die Quelleverweise und Fussnoten entfernt.
Leonie F. Schrader in: Datenreiche Medizin und das Problem der Einwilligung; Springer, Berlin, Heidelberg; 2022
http://creativecommons.org/licenses/by/4.0/deed.de


© Swiss Infosec AG 2024