1 Praktische und rechtliche Ausgangslage
Die aus dem Arzt-Patienten-Kontext stammenden klinischen Daten sind für die biomedizinische Forschung von entscheidender Bedeutung. Wegen des sensiblen Kontextes birgt die sekundäre Nutzung dieser Daten indes informationelle Risiken für den Betroffenen. Die Verarbeitung klinischer Daten zu Forschungszwecken unterliegt daher einem umfangreichen rechtlichen Schutzregime. Die Grundlagen dieses Schutzes ergeben sich primär aus dem allgemeinen und bereichsspezifischen Datenschutzrecht. Das allgemeine Datenschutzrecht stellt die klinischen Daten (als Teil von Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO sowie genetischen Daten nach Art. 4 Nr. 13 DSGVO) unter den besonderen Schutz des Art. 9 Abs. 1 DSGVO.
Voraussetzung für diesen Schutz ist stets, dass personenbezogene Daten gem. Art. 2 Abs. 1 DSGVO verarbeitet werden. Handelt es sich bei den verarbeiteten Daten dagegen nicht um personenbezogene oder anonyme Daten, entfällt der datenschutzrechtliche Schutz. Das personenbezogene Datum hat folglich Scharnierfunktion. Es wird als der wichtigste Begriff des Datenschutzrechts bezeichnet, da es darüber entscheidet, ob das Datenschutzrecht in seiner Gesamtheit anwendbar ist oder nicht.
Vergleichbares gilt für die zahlreichen bereichsspezifischen Vorschriften. Auch hier ist das personenbezogene Datum maßgeblicher Anknüpfungspunkt, etwa im Bereich der landesrechtlichen Krankenhausgesetze (beispielsweise nach § 43 Abs. 4 LKHG BW) oder im Sozialdatenschutz nach § 67 Abs. 2 S. 1 SGB X. Für den Verantwortlichen, der klinische Daten sekundär zu Forschungszwecken verarbeitet, ist die Frage des Personenbezugs somit entscheidend. Sind die von ihm verarbeiteten Daten nicht personenbezogen, unterfällt er nicht den rechtlichen Pflichten des Datenschutzrechts. Er muss in diesem Fall keine Einwilligung für die Verarbeitung der nicht personenbezogenen Daten einholen oder sonstige datenschutzrechtliche Pflichten (etwa Informationspflichten oder Pflichten zur Datenschutzfolgenabschätzung) erfüllen. Bevor eine Untersuchung von datenschutzrechtlichen Pflichten erfolgt ist daher zu klären, was überhaupt als personenbezogenes Datum einzuordnen ist.
2 Die Reichweite des Personenbezugs bei Daten
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das ist bei Informationen der Fall, durch die natürliche Personen direkt oder indirekt, insbesondere mittels Zuordnung zu weiteren Identifikationsmerkmalen (Kennnummern, Standortdaten etc.) identifiziert werden können. Diese grundlegende Anforderung gilt auch im Fall der Verarbeitung von Gesundheitsdaten gem. Art. 4 Nr. 15 DSGVO oder genetischen Daten gem. Art. 4 Nr. 13 DSGVO. Direkt oder indirekt, insbesondere mittels Zuordnung bedeutet, dass eine für sich genommen nicht identifizierende Information durch die Verknüpfung mit zusätzlichem Wissen zu einem personenbezogenen Datum werden kann (Identifizierbarkeit). Umstritten ist dabei, ob diese Verknüpfungsmöglichkeit mit Zusatzwissen nur dann beachtlich ist, wenn solches Zusatzwissen beim Verantwortlichen (Forscher) selbst vorliegt oder auch, wenn dieses Wissen ausschließlich bei Dritten, etwa der behandelnden Stelle oder einer Datentreuhandstelle, verfügbar ist. Die Frage der Zurechnung von solchem Drittwissen stellt sich gerade in der biomedizinischen Forschung aufgrund der häufigen Nutzung von Pseudonymisierungsmethoden, bei denen Zusatzwissen (wie der Pseudonymisierungsschlüssel) von den zu beforschenden Daten getrennt und bei unterschiedlichen Stellen aufbewahrt werden. Der Streit um die Zurechenbarkeit von Zusatzwissen soll im Folgenden vor dem Hintergrund des datenschutzrechtlichen Vorfeldschutzes näher untersucht werden.
2.1 Das Merkmal der Identifizierbarkeit
Einer tatsächlichen Identifikation oder auch nur einer Identifikationsabsicht bedarf es für die Identifizierbarkeit nicht. Das Tatbestandsmerkmal der Identifizierbarkeit stellt eine Vorverlagerung des datenschutzrechtlichen Schutzes für eine Situation dar, in der die natürliche Person noch nicht identifiziert ist (datenschutzrechtlicher Vorfeldschutz). Zweck des Datenschutzrechts ist der Schutz des Einzelnen vor den Gefahren, die aus dem Wissen Dritter über seine Person folgen. Gerade Gesundheitsdaten, insbesondere auch in Form genetischer Daten, können in den falschen Händen Gefahren für Betroffene materieller und immaterieller Art begründen. Dabei kennt der Betroffene oft gar nicht im Detail das Wissen Dritter über seine Person. Bei der Verarbeitung von Gesundheitsdaten und speziell genetischer Daten ist das Wissen Dritter das Resultat von für den Betroffenen häufig im Verborgenen ablaufenden Interpretations- und Bewertungsprozessen. Aufgrund der damit einhergehenden Gefahren schützt das Datenschutzrecht die betroffene Person schon vor dem Moment der eigentlichen Identifikation vor einer möglichen Persönlichkeitsgefährdung durch Zugriff oder Beeinträchtigung seiner Person.
2.2 Identifizierbarkeit im Kontext anonymer und pseudonymer Datennutzung
2.2.1 (Faktisch) anonyme Nutzung klinischer Daten zu Forschungszwecken
Erwägungsgrund (EG) 26 DSGVO enthält für Art. 4 Nr. 1 DSGVO weitere konkretisierende Vorgaben für die Identifizierbarkeit. Nach EG 26 S. 5 DSGVO wird dem personenbezogenen Datum das anonyme Datum gegenübergestellt. EG 26 S. 5 DSGVO führt aus, „die Grundsätze des Datenschutzes sollten […] nicht für anonyme Informationen gelten […], die sich nicht auf eine identifizierte oder identifizierbare […] Person beziehen […]“. Systematisch knüpft das Begriffspaar „identifiziert“ oder „identifizierbar“ in EG 26 S. 5 an EG 26 S. 3 und 4 DSGVO an. Hiernach sind zur Feststellung der Identifizierbarkeit alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden. Dabei sind objektive Faktoren wie die Kosten der Re-Identifizierung und der erforderliche Zeitaufwand einzubeziehen. Der Verordnungsgeber verdeutlicht in EG 26 DSGVO, dass für die Anonymität eines Datums nicht zwingend die Identifizierungsmöglichkeit unumkehrbar aufgehoben werden muss. Vielmehr genügt es, wenn nach allgemeinem Ermessen wahrscheinlich, also nach der allgemeinen Lebenserfahrung im konkreten Einzelfall, kein Mittel zur Re-Identifizierung zur Verfügung steht. Insoweit ist die Rede von „faktischer“ Anonymität in Abgrenzung zur „absoluten“ Anonymität. Auch der nationale Gesetzgeber geht in § 27 Abs. 3 S. 1 BDSG von der Möglichkeit der Anonymisierung auch bei besonderen Kategorien von Daten (z. B. Gesundheitsdaten oder genetischen Daten) aus.
Dass die DSGVO faktische Anonymität ausreichen lässt, wirkt sich besonders bei genetischen Daten aus, denen regelmäßig der unverwechselbare Personenbezug immanent ist – man denke etwa an Gensequenzen in ausreichend großer Zahl. Auch bei genetischen Daten nach Art. 4 Nr. 13 DSGVO muss (aus der Perspektive des Verantwortlichen) für die Anwendbarkeit der DSGVO zunächst ein personenbezogenes Datum vorliegen. Der Ausschluss des personenbezogenen Datums kommt bei genetischen Daten regelmäßig nur in Form faktischer Anonymität in Betracht. Zwar weisen Daten, die sich unverwechselbar auf eine natürliche Person beziehen (wie bei genetischen Daten oder auch den Minutien des Fingerabdrucks), stets einen (eindeutigen) Bezug zu einer natürlichen Person auf. Sie versetzen jedoch die datenverarbeitende Stelle nicht zu jeder Zeit in die Lage, die hinter dem Datum stehende natürliche Person eindeutig zu identifizieren oder ausreichend einzugrenzen, ohne hierfür auf weiteres Referenzwissen angewiesen zu sein. Das Vorliegen von solchem Referenzwissen, über das mittels eines Matching-Verfahrens die genetischen Daten einer bestimmten Person oder überschaubaren Personengruppe zugeordnet werden können, ist auch bei unverwechselbaren Daten zur Bejahung des personenbezogenen Datums erforderlich. Freilich kann mit der Zunahme frei zugänglichen Referenzwissens, etwa in Form genealogischer Datenbanken, der Anwendungsbereich faktisch anonymer genetischer Daten künftig abnehmen.
2.2.2 Pseudonyme Nutzung klinischer Daten zu Forschungszwecken
Von der Sekundärnutzung klinischer Daten profitiert die Forschung in unterschiedlichen Kontexten. Zu nennen sind die nichtinterventionelle klinische Forschung, Forschung zur Qualitätsverbesserung, Public Health Forschung und hier insbesondere epidemiologische Forschung sowie explorative Datennutzung zum Generieren von Hypothesen oder zur Überprüfung der Machbarkeit geplanter Studien. Die verschiedenen Forschungskontexte eint, dass sie in Abgrenzung zur individuellen Behandlung auf einen überindividuellen Erkenntnisgewinn ausgerichtet und in der Regel nicht auf die Kenntnis des hinter dem Datum stehenden individuellen Patienten angewiesen sind. Gleichzeitig kann die Re-Identifizierungsmöglichkeit des konkreten Patienten aus den klinischen Daten nicht schlichtweg unwiederbringlich für die Forschungsnutzung entfernt werden. Im Behandlungskontext folgt der Erhalt der Identifizierungsmöglichkeit bereits aus der Dokumentationspflicht des § 630f BGB. Deren Sinn und Zweck macht die fortwährende Identifizierbarkeit des Patienten zumindest bei der behandelnden Stelle erforderlich. Auch für die (zumindest theoretisch denkbare) Rückmeldung von Zufalls- oder Zusatzbefunden aus der Forschung an den Patienten ist eine fortwährende Identifizierbarkeit erforderlich. Schließlich kann für die Forschungsnutzung selbst die fortbestehende Zuordnungsmöglichkeit der Daten zu einem Individuum notwendig sein, etwa um Redundanzen innerhalb verschiedener Datensätze aus unterschiedlichen Quellen und unterschiedlichen Zeiträumen durch korrekte Zuordnung vorzubeugen, im Falle von Langzeitstudien eine fortlaufende Zuordnung neuer Daten zu bereits vorhandenen Daten zu ermöglichen oder im Rahmen sog. „Follow-up-Untersuchungen“ weitere Studien mit den Daten bestimmter Patienten, von denen in der Vergangenheit bereits Daten verwendet wurden, durchzuführen.
Diese Aspekte machen in der Praxis biomedizinischer Sekundärnutzung den Einsatz informationeller Gewaltenteilung sowie ausreichender, oft mehr-aktiger Pseudonymisierungsverfahren erforderlich. Nach Art. 4 Nr. 5 DSGVO ist Pseudonymisierung das Ersetzen von Identifikationsmerkmalen durch ein Kennzeichen und die getrennte Aufbewahrung dieser zusätzlichen Informationen, um die Identifizierung des Betroffenen auszuschließen. Die identifizierenden Elemente des Datums, wie der Name, die Adresse oder andere Identifikatoren, werden nicht gelöscht, sondern durch einen Zuordnungsschlüssel ersetzt, der die Wiederherstellung des Personenbezugs ermöglicht. Hierdurch entstehen getrennte Datensätze. Die Erstellung und Verwahrung der getrennten Datensätze kann einer Datentreuhandstelle übertragen werden, die das Pseudonym verwaltet und organisatorisch zwischen die datenhaltende und die forschende Stelle geschaltet ist. Sofern für die Forscher der Rückgriff auf die konkreten Patienten nötig ist, kann der individuelle Kontakt über die datenhaltende Stelle, vermittelt durch die Datentreuhandstelle, erfolgen.
EG 26 S. 2 DSGVO stellt klar, dass pseudonymisierte Daten, die durch Heranziehen zusätzlicher Informationen (insbesondere eines Zuordnungsschlüssels) einer natürlichen Person zugeordnet werden können, als personenbezogene Daten anzusehen sind. Art. 25 Abs. 1 DSGVO spricht von der Pseudonymisierung als Beispiel datenschutzfreundlicher Voreinstellung und nach Art. 32 Abs. 1 lit. a DSGVO ist die Pseudonymisierung ein Element technischer und organisatorischer Maßnahmen. Hieraus folgt, dass das Datum auch nach der Pseudonymisierung ein personenbezogenes Datum zumindest für die Stelle bleibt, die sowohl über die Identifikationsmerkmale als auch den Zuordnungsschlüssel verfügt.
Weniger eindeutig ist dieser Befund aus Sicht der Stelle (etwa der Forscher), die ausschließlich pseudonymisierte Daten ohne Zuordnungsschlüssel erhält und nicht über eigene Identifizierungsmittel verfügt. Sofern die Forscher ohne den Zuordnungsschlüssel die hinter den klinischen Daten stehende Person nicht mit eigenen Mitteln identifizieren können, ist zu fragen, ob die Pseudonymisierung für die Forscher faktisch anonymisierend wirkt. Andererseits könnte zum umfassenden Schutz der Daten den Forschern das bei der dritten Stelle vorhandene Zusatzwissen (in Form des Zuordnungsschlüssels) wie eigenes Wissen zuzurechnen sein. Diese Zurechnungsfrage hängt davon ab, wie mit dem Zusatzwissen Dritter im Bereich nicht identifizierter, aber identifizierbarer Daten umzugehen ist. Insbesondere im Bereich der Fremdforschung, in der die datenhaltende, die behandelnde und die forschende Stelle keinerlei wechselseitigen organisatorischen Bezug haben, wird diese Zurechnungsfrage relevant. Wenn dagegen – wie bei der Eigenforschung – die datenerhebende und die forschende Stelle identisch sind, stellt sich die Zurechnungsfrage solange nicht, wie eben diese Stelle auf identifizierendes Zusatzwissen selbst jederzeit zugreifen kann.
2.3 Die Diskussion um die Reichweite des zurechenbaren Zusatzwissens
2.3.1 Objektiver Ansatz
Teile der Literatur und vereinzelte Gerichte sowie tendenziell die Datenschutzaufsichtsbehörden vertreten eine objektive (absolute) Sichtweise. Hiernach genüge für eine ausreichende Anonymisierung und das Entfallen des Personenbezugs nicht allein das Nichtvorhandensein von identifizierendem Zusatzwissen bei der verantwortlichen (forschenden) Stelle. Vielmehr bedürfe es der Beseitigung der Identifikatoren auch bei sonstigen Dritten, bei denen Zusatzwissen vorhanden ist, beispielsweise bei der datenerhebenden, behandelnden Stelle, die diese Identifikatoren zu Dokumentationszwecken speichert. Demnach wäre es zur Bejahung des personenbezogenen Datums ausreichend, wenn die nach EG 26 S. 3 DSGVO maßgeblichen Mittel für die Identifizierbarkeit bei irgendeiner beliebigen Stelle vorliegen. Irrelevant sei, ob es sich hierbei um die forschende Stelle selbst, eine Datentreuhandstelle oder den behandelnden Arzt handele. Unerheblich sei auch, ob das Zusatzwissen einer privaten Stelle oder einer Behörde zur Verfügung stehe oder ob auf dieses Wissen nur mittels hoheitlicher Maßnahmen oder unter Zuhilfenahme illegaler Mittel zugegriffen werden könne. Ebenfalls unerheblich sei, ob die betrachtete Stelle – etwa der Forscher, dem pseudonymisierte Daten übermittelt wurden – tatsächlich auf dieses Zusatzwissen (etwa den Zuordnungsschlüssel) zugreifen könne oder nicht. Ein personenbezogenes Datum liege hiernach absolut und für jedermann vor, wenn eine Identifizierung oder Identifizierbarkeit auch nur für irgendjemanden möglich sei. Pseudonymisierte Daten wären hiernach bereits deshalb stets und für jedermann personenbezogen, da die Identifizierungsmöglichkeit erhalten bleibt.
Für eine objektive Sichtweise soll der hierdurch gewährleistete umfassende Schutz der informationellen Selbstbestimmung sprechen. Dies entspreche zumindest national auch den Vorgaben des BVerfG im Volkszählungsurteil, wonach es kein belangloses Datum mehr gebe und personenbezogene Daten somit umfassend zu schützen seien. Zudem könne eine objektive Sichtweise die für das Datenschutzrecht so wichtige Frage nach dem Anwendungsbereich einheitlich beantworten, wodurch Rechtsunsicherheiten ausgeschlossen würden. Nur eine solche Sichtweise, so die Befürworter, ermögliche eine trennscharfe Abgrenzung zwischen personenbezogenen und anonymen Daten und vermeide unpraktikable und unsichere Einzelfallentscheidungen, die letztlich sowohl zu Lasten der informationellen Selbstbestimmung als auch des kalkulierbaren Risikos gingen.
Gegen den objektiven Ansatz wird eingewandt, dass hierdurch der vermeintlich Betroffene schon bei einem nur theoretischen Re-Identifizierungsrisiko unter den weitreichenden Schutz des Datenschutzrechts gestellt werde, was zu einer uferlosen und kaum praktikablen Ausdehnung des Datenschutzrechts führe. Hierdurch werde das Datenschutzrecht auf einen Zeitpunkt nur theoretischer Identifizierbarkeit des Betroffenen erstreckt, in dem schutzwürdige Belange des Betroffenen noch gar nicht berührt seien. Der objektive Ansatz verlagere die datenschutzrechtliche Intention des beschriebenen Vorfeldschutzes zu weit nach vorne, da er Sachverhalte mit umfasse, in denen keinerlei Gefahr einer Identifizierung bestünde.
Zudem führe der objektive Ansatz ebenfalls zu Unbestimmtheit und Rechtsunsicherheit. Nach objektivem Maßstab müsste die verarbeitende Stelle den Standpunkt des Meistwissenden antizipieren und letztlich das gesamte „Weltwissen“ für die Frage nach der Identifizierbarkeit zu Grunde legen. Da die einzelne Stelle regelmäßig gar nicht wissen könne, ob Zusatzwissen bei Dritten tatsächlich (nach wie vor) existiere, müsse sie aus Sicherheitserwägungen bei vielen Datensätzen schlicht unterstellen, dass es sich um personenbezogene Daten handele. Der objektive Ansatz stelle sich hierdurch nicht nur als tendenziell wirtschafts-, wissenschafts- und innovationsfeindlich dar. Er widerspreche auch dem Bestimmtheitsgrundsatz, wonach für den Einzelnen erkennbar sein müsse, welche rechtlichen Pflichten ihn treffen. Die betrachtete Stelle müsse selbst ihre datenschutzrechtliche Verantwortlichkeit aufgrund eigener Mittel erkennen können.
2.3.2 Subjektiver Ansatz
Dem objektiven Ansatz steht eine subjektive (relative) Sichtweise gegenüber. Diese stellt für die Frage nach der Identifizierbarkeit auf die konkret betrachtete Stelle und das ihr zur Verfügung stehende Wissen ab. Man müsse aus der Perspektive der verarbeitenden Stelle fragen, welche Mittel und welches Zusatzwissen ihr konkret zur Verfügung stünden. Das datenschutzrechtliche Pflichtenprogramm solle erst greifen, wenn die jeweils verantwortliche Stelle faktisch die Möglichkeit zur Herstellung eines Personenbezugs habe. Eine rein theoretische Identifizierbarkeit des Betroffenen löse noch nicht das Schutzbedürfnis der informationellen Selbstbestimmung aus. Die Herstellung des Personenbezugs müsse für die verarbeitende Stelle praktisch möglich sein. Zudem ermögliche eine relative Sichtweise der betrachteten Stelle die eindeutige Bestimmung, ob aus ihrer Sicht ein Personenbezug vorliege oder nicht.
2.3.3 Vermittelnder Ansatz
In der Literatur finden sich vermittelnde Auffassungen und Modifikationen von objektivem und subjektivem Ansatz. Teils wird argumentiert, die Identifizierung des Betroffenen müsse der verarbeitenden Stelle – hier den Forschern – objektiv möglich und subjektiv von ihnen beabsichtigt sein, damit von einer Identifizierbarkeit aus Sicht der Forscher gesprochen werden könne. Dies würde bereits ausscheiden, wenn die Forscher den Betroffenen nicht selbst für ihre Forschung identifizieren müssten, sondern dies der datenerhebenden Stelle oder zwischengeschalteten Datentreuhandstelle überlassen würden. Das Zusatzwissen Dritter sei zudem dann nicht den Forschern zuzurechnen, wenn ein Zugriff hierauf rechtswidrig sei.
Mit der Frage der Zurechenbarkeit von Zusatzwissen wurde auch der EuGH in Sachen Breyer befasst. Der EuGH stellte in seinem Urteil darauf ab, ob der Zugriff auf Zusatzwissen für die datenverarbeitende Stelle ein Mittel darstelle, dessen Einsatz vernünftigerweise zu erwarten sei. Dies sei dann nicht der Fall, wenn die Verknüpfung gesetzlich verboten oder praktisch undurchführbar und das Risiko einer Identifizierung daher faktisch vernachlässigbar sei. Für die Zurechnung von Zusatzwissen Dritter sei daher entscheidend, ob die datenverarbeitende Stelle über rechtliche Mittel verfüge, um auf das Zusatzwissen zuzugreifen.
Der EuGH folgte in seinem Urteil in weiten Teilen den Schlussanträgen des Generalanwalts Sánchez-Bordona, der sich ebenfalls deutlich gegen eine pauschale Einbeziehung des Zusatzwissens Dritter aussprach. Aus Sicht des Generalanwalts begründe eine solche objektive Zurechnung die Gefahr, dass faktisch jede Art von Information als personenbezogenes Datum einzuordnen wäre, da die Existenz von Zusatzwissen bei Dritten niemals mit Sicherheit ausgeschlossen werden könne. Auch seien nur rechtmäßige Mittel in die Beurteilung einzubeziehen, da illegale Mittel nicht mehr als vernünftigerweise erwartbar anzusehen seien. Der Ansicht des EuGH schloss sich nachfolgend auch der 6. Zivilsenat des BGH an, der dem EuGH die Frage vorgelegt hatte.
2.3.4 Stellungnahme
Das Abstellen des EuGH auf rechtliche Mittel für die Frage nach der Zurechenbarkeit von Zusatzwissen stellt nach hier vertretener Auffassung einen rechtssicheren Kompromiss dar. Der objektive Ansatz ist schon deshalb abzulehnen, weil er in unverhältnismäßiger und damit grundrechtswidriger Weise in Freiheitsgrundrechte eingreift. Auch die freie Datenverarbeitung ist grundrechtlich geschützt und darf nur mit verhältnismäßigen, also geeigneten, erforderlichen und angemessenen Mitteln beschränkt werden. Zu diesen Freiheitsgrundrechten zählt auch die vorliegend in Rede stehende Wissenschafts- und Forschungsfreiheit (Art. 5 Abs. 3 GG und Art. 13 GRCh). Die Bejahung des Anwendungsbereichs des Datenschutzrechts zum Schutz personenbezogener Daten greift in rechtfertigungsbedürftiger Weise in die Forschungsfreiheit ein, da hierdurch die Datenverarbeitung als Grundrechtsbetätigung eingeschränkt wird. Ein verhältnismäßiger Ausgleich zwischen der informationellen Selbstbestimmung der Betroffenen und der Forschungsfreiheit der Forscher, wie ihn das Datenschutzrecht anstrebt, ist bei einem objektiven Ansatz gerade nicht möglich. Faktisch fordert der objektive Ansatz von einer datenverarbeitenden Stelle, vorsorglich alle Informationen als personenbezogene Daten zu behandeln, da irgendeine Stelle auf der Welt über Zusatzwissen verfügen könnte. Eine solch weitgehende Auslegung der Identifizierbarkeit ist zwar geeignet, einen umfassenden Schutz personenbezogener Daten herzustellen, stellt jedoch nicht das mildeste Mittel für diesen Schutz dar und greift aufgrund seiner Weite unangemessen in entgegenstehende Freiheitsrechte ein. Der datenschutzrechtliche Schutzzweck rechtfertigt zwar ein frühzeitiges Eingreifen des Datenschutzes, fordert aber aus Gründen der Verhältnismäßigkeit ein echtes Gefahrenpotenzial für die Betroffenen. Andererseits widerspricht auch ein streng subjektiver Ansatz, der ausschließlich auf den Verantwortlichen abstellt, einem verhältnismäßigen Schutz personenbezogener Daten. Eine solche Sichtweise ist auch kaum mit der DSGVO vereinbar, die wenigstens in EG 26 S. 3 DSGVO auch die Mittel Dritter unter gewissen Umständen einbezieht.
Den Ausgleich widerstreitender Interessen und zugleich ein rechtssicheres und praxisgeeignetes Zurechnungskriterium bietet dagegen der Ansatz des EuGH. Die Betonung des rechtlichen Mittels ermöglicht ein taugliches Kriterium für die Zurechnung von Zusatzwissen. Die Forscher müssen für die Frage der Zurechnung prüfen, ob sie einen rechtlichen Anspruch auf das bei Dritten vorhandene Zusatzwissen haben oder ob ihnen ein möglicher faktischer Zugriff rechtlich untersagt ist. Eine rechtssichere Lösung bei dieser Prüfung kann ein vorbeugender vertraglicher Ausschluss möglicher Zugriffsansprüche bieten (dazu sogleich). Das Wahrscheinlichkeitsurteil, zu dem Art. 4 Nr. 1 DSGVO und EG 26 im Rahmen der Identifizierbarkeit anhalten, darf nicht in unverhältnismäßiger Weise zu einer pauschal zu frühen oder zu späten Datenschutzbejahung führen. Dem entspricht es, wenn das Zusatzwissen Dritter der datenverarbeitenden Stelle nur dann zugerechnet wird, wenn ein Zugriff im Bereich des nach allgemeinem Ermessen Wahrscheinlichen liegt. Dies wiederum ist anzunehmen, wenn rechtliche Zugriffsmittel auf das Zusatzwissen existieren. Andererseits ist das Risiko einer Identifizierung faktisch vernachlässigbar, wenn die Verknüpfung mit Zusatzwissen gesetzlich verboten oder praktisch undurchführbar ist. Der Ansatz ermöglicht einen ausgewogenen und verhältnismäßigen Ausgleich zwischen dem kollidierenden Schutz potenzieller Betroffener einerseits und freiem Informationsumgang andererseits. Diesem Ausgleich dient auch das Ausklammern illegaler Mittel im Rahmen der Identifizierbarkeit. Der verarbeitenden Stelle kann nicht pauschal rechtswidriges Handeln bei der Beurteilung der Identifizierbarkeit unterstellt werden, zumal die Rechtsordnung bereits ausreichende Schutzmechanismen zur Abwehr rechtswidrigen Verhaltens implementiert hat, ohne dass ein solches Verhalten fiktiv unterstellt werden müsste.
2.4 Empfang faktisch anonymer Daten bei den Forschern
2.4.1 Konsequenz des vermittelnden Ansatzes
Für die Nutzung pseudonymisierter klinischer Daten in der biomedizinischen Forschung hat der vermittelnde Ansatz zur Folge: Empfangen die Forscher ausschließlich den nicht identifizierenden Teil eines pseudonymisierten Datums ohne Zuordnungsschlüssel und verfügen sie weder über eigenes Zusatzwissen noch über einen rechtlichen Anspruch auf den Schlüssel oder sonstige legale Zugriffsmöglichkeiten, handelt es sich für sie um ein faktisch anonymes Datum. Die Verarbeitung dieses Datums fällt für die Forscher nicht unter das Datenschutzrecht. Die Pseudonymisierung hat für die Forscher eine subjektiv anonymisierende Wirkung.
Für die übermittelnde Stelle, die über den Zuordnungsschlüssel verfügt, bleibt das Datum auch nach der Pseudonymisierung ein personenbezogenes Datum. Die Übertragung des pseudonymen Datums von dieser Stelle an die Forscher – obgleich beschränkt auf den subjektiv anonymen Anteil – stellt für die übermittelnden Personen einen rechtfertigungsbedürftigen Datenverarbeitungsvorgang dar.
2.4.2 Kautelarjuristische Handlungsempfehlung
Da der EuGH das Vorhandensein rechtlicher Mittel betont, sollten die Forscher umfassend vertraglich auf die Kenntnisnahme von Zusatzwissen verzichten und sich zudem einem Verbot der Re-Identifizierung unterwerfen. So könnte im Fall der Übermittlung pseudonymisierter Daten von einem behandelnden Arzt an einen Forscher vertraglich geregelt werden, dass der Forscher keinerlei Ansprüche auf den Zuordnungsschlüssel oder sonstiges beim Behandelnden vorhandenes Zusatzwissen über den Betroffenen geltend machen wird, keinerlei Versuch unternimmt, auf das Zusatzwissen zuzugreifen und auch sonst die Daten nicht in einer Weise nutzt, die zur Re-Identifizierung des Betroffenen führen kann.
Ein solcher vorbeugender vertraglicher Verzicht sollte mit Kontrollen und Sanktionen verbunden werden, die ein vertragswidriges Verhalten unwahrscheinlich machen. Die Vereinbarung kann etwa mit einem außerordentlichen Kündigungsrecht und einer angemessen hohen Vertragsstrafe kombiniert werden. Diese vertraglichen Hürden können zu einer nach allgemeinem Ermessen fehlenden Identifizierungswahrscheinlichkeit i. S. d. EG 26 führen. Hierdurch kann in der Praxis verhindert werden, dass das bei der behandelnden, datenerhebenden Stelle vorhandene Zusatzwissen dem Forscher als eigenes Wissen über den Betroffenen zugerechnet wird.
Ein weiterer vertraglicher Aspekt in der Kautelarlösung sollte für den zusätzlichen Schutz der von Forschern empfangenen klinischen Daten beachtet werden: Auch wenn die Daten für die Forscher faktisch anonym sind, behalten sie doch ihren sensiblen Charakter und sind anfällig für Hacker oder Cyber-Attacken durch Außenstehende. Da jedoch die Forscher aufgrund der für sie anonymen Daten nicht unter das Datenschutzrecht fallen, entfällt für sie zugleich die Pflicht zum Vorhalten technischer und organisatorischer Maßnahmen zum Schutz der Daten nach Art. 24, 32 DSGVO. Daher sollten die datenempfangenden Forscher vertraglich zu einem dem Stand der Technik entsprechenden Schutz der Daten vor unberechtigtem Zugriff und Datenmissbrauch verpflichtet werden. Ein solcher verlängerter Schutz der Daten bei den Forschern kann wiederum Beachtung im Rahmen des datenschutzrechtlich relevanten Übermittlungsvorgangs vom Behandelnden an die Forscher finden, etwa im Rahmen einer Risikoabwägung gem. Art. 35 (Abs. 3 lit. b) DSGVO. Hierin ist auch kein (unzulässiges) vertragliches Abbedingen der DSGVO zu sehen. Aus der Nichtanwendbarkeit der DSGVO kann nicht geschlossen werden, dass die Daten technisch nicht geschützt werden müssen. Die vertragliche Vereinbarung technischen Schutzes ist zulässiger Ausdruck von Vertragsfreiheit, zumal der technische Schutz von Daten auch außerhalb personenbezogener Daten üblich ist.
2.5 Übertragung faktisch anonymer Daten durch die Forscher
2.5.1 Konsequenz des vermittelnden Ansatzes
Nach Empfang der Daten durch die Forscher stellt sich weiter die Frage, ob die für sie faktisch anonymen Daten an Dritte übertragen oder sogar zur freien Verfügung ins Internet gestellt werden dürfen. Praktisch relevant ist dies, wenn die Forscher Ergebnisse ihrer Forschung und damit zusammenhängend die Datengrundlage mit der Scientific Community teilen möchten. Da die Daten unter den beschriebenen Voraussetzungen für die Forscher datenschutzrechtlich frei nutzbar sind, können sie diese Daten grundsätzlich auch frei von datenschutzrechtlicher Restriktion an Dritte weitergeben. Denkbar ist beispielsweise, dass eine Forschergruppe die aus ihrer Sicht faktisch anonymen Daten einem Pharmaunternehmen zur weitergehenden Nutzung zur Verfügung stellen möchte.
Auf den ersten Blick ist die datenschutzrechtlich unbeschränkte Möglichkeit der Übertragung von der forschenden Stelle an das Pharmaunternehmen konsequente Folge des vermittelnden Ansatzes. Ein etwaiges Korrekturbedürfnis dieser Situation könnte mit dem Argument abgelehnt werden, dass zumindest das Pharmaunternehmen, das die Daten empfängt und über Zusatzwissen oder Zusatzmittel für eine mögliche Re-Identifizierung (etwa aufgrund der eigenen Zugriffsmöglichkeit auf einen Referenzdatenbestand oder der Nutzungsmöglichkeit leistungsstarker Rechenzentren) verfügt, datenschutzrechtlich verantwortlich ist und einer Rechtsgrundlage zum Erheben und Speichern der Daten bedarf. Diese Annahme würde jedoch dem Gedanken des datenschutzrechtlichen Vorfeldschutzes bei der Identifizierbarkeit (s.o.) und der allgemeinen Risikoverantwortung der übertragenden Stelle widersprechen. Die übertragende Forschergruppe setzt mit der Übertragung der Daten an das Pharmaunternehmen eine Ursache für eine erhöhte Gefährdung durch Re-Identifizierung des Betroffenen. Zudem weist die Annahme Lücken bei der Drittlandübertragung auf, wenn der Empfänger nach Art. 3 DSGVO nicht unter die DSGVO fällt. Deshalb ist die Situation der freien Über-tragbarkeit der Daten durch die Forschergruppe korrekturbedürftig.
Von der Literatur wird teilweise eine Korrektur in Form der Zurechnung von Zusatzwissen bejaht, wenn eine Stelle die für sie faktisch anonymen Daten an eine andere Stelle überträgt, die über Zusatzwissen oder Zusatzmittel verfügt. Hiernach bräuchte die Forschergruppe für die Übertragung von für sie faktisch anonymen Daten an das Pharmaunternehmen aufgrund des dort vorhandenen Referenzdatenbestands oder des Zugriffs auf leistungsstarke Rechenzentren und der damit einhergehenden Re-Identifizierungsmöglichkeit eine datenschutzrechtliche Rechtsgrundlage. Gleiches würde gelten, wenn die Forschergruppe die für sie faktisch anonymen Daten zur freien Verfügung ins Internet hochladen würde, da hierdurch die Wahrscheinlichkeit, dass irgendeine zugriffnehmende Stelle über Zusatzwissen für eine mögliche Re-Identifizierung verfügt, erheblich gesteigert würde. Obwohl das Datum für die übertragende Forschergruppe zunächst faktisch anonym ist, handelt es sich nun aufgrund des Wissens oder der Mittel der empfangenden Stelle rückwirkend um eine datenschutzrechtlich relevante Übermittlung. Gestützt wird diese Fiktion auf EG 26 S. 3 DSGVO, der die Mittel anderer Personen mit einbezieht. Das Wissen Dritter müsse zumindest dann in die Bewertung des Personenbezugs eingestellt werden, wenn der Dritte mit den fraglichen Daten in Berührung komme, etwa indem sie ihm übermittelt oder sonst zur eigenen Verfügung gestellt würden. Auch wenn der Zurechnung von Zusatzwissen in solchen Übertragungssituationen zuzustimmen ist, sind weitere Ergänzungen nötig:
Zunächst erscheint es unstimmig, von einer Rückwirkung des Personenbezugs ab dem Zeitpunkt des Datenempfangs zu sprechen. Eine Fiktion mit ex tunc-Wirkung ist zwar rechtlich denkbar, jedoch weder gesetzlich angedeutet noch zielführend für die nähere Bestimmung der Reichweite der Zurechnungswirkung. Stattdessen sollte von einer „Vorwirkung“ des Zusatzwissens des Dritten im Moment der Datenübermittlung gesprochen werden. Diese Vorwirkung bewirkt eine veränderte Sichtweise, die nicht den Empfang als auf die Übermittlung rückwirkendes Ereignis, sondern den Übermittlungszeitpunkt betont. Im Zeitpunkt der Übertragung der für die Forschergruppe faktisch anonymen Daten muss sie sich daher die Frage stellen, ob das empfangende Pharmaunternehmen über etwaiges Zusatzwissen zur Re-Identifizierung des Betroffenen verfügt. Sofern sie diese Frage nach allgemeinem Ermessen wahrscheinlich bejahen muss, benötigt die Forschergruppe für die Übertragung eine datenschutzrechtlichen Rechtsgrundlage, obwohl die Daten für sie grundsätzlich faktisch anonym und daher datenschutzrechtlich frei verfügbar sind.
Diese Ergänzung beschränkt auch die oben beschriebene Zurechnungswirkung. Zunächst wird deutlich, dass es für die Beurteilung des beim Empfänger vorhandenen Zusatzwissens entscheidend auf den Übertragungszeitpunkt ankommt. Zusatzwissen oder Zusatzmittel, die der Empfänger erst nach der Übertragung des Datums erwirbt oder gar Folgeübermittlungen des Dritten an Vierte, sind nicht mehr von der Zurechnung umfasst. Die Vorwirkung im Zeitpunkt der Übertragung verdeutlicht, dass die Zurechnung des Zusatzwissens auf den konkreten Übertragungsvorgang beschränkt bleibt. Sofern sich nichts an der faktischen Anonymität der Daten bei der Forschergruppe ändert, ist sie somit außerhalb der Übertragung an das besagte Pharmaunternehmen frei von datenschutzrechtlicher Bindung.
Schließlich konkretisiert der Gedanke der Vorwirkung den bei der Forschergruppe zu fordernden Grad der Kenntnis bezüglich des beim Pharmaunternehmen vorhandenen Zusatzwissens. Teilweise wurde hier vertreten, dass die übertragende Stelle stets und verdachtsunabhängig die gegenwärtigen und künftigen Re-Identifizierungsmöglichkeiten der empfangenden Stelle zu evaluieren habe. Eine solche pauschale Prüfungspflicht stünde jedoch in der Nähe des für unverhältnismäßig erachteten objektiven Ansatzes in der Übertragungssituation. Der Übertragende weiß in der Regel nicht, über welches Wissen der Datenempfänger verfügt oder künftig verfügen wird. Er müsste daher sicherheitshalber vom Vorhandensein von Zusatzwissen ausgehen.
Überzeugender ist daher, auf positive Kenntnis des Übertragenden oder zumindest die Erkennbarkeit des nach allgemeinem Ermessen wahrscheinlichen Zusatzwissens bei der empfangenden Stelle abzustellen. Nur wenn die übertragende Forschergruppe im Übertragungszeitpunkt damit rechnen muss, dass dem Pharmaunternehmen nach allgemeinem Ermessen wahrscheinlich (EG 26 S. 3 DSGVO) Zusatzwissen für eine mögliche Re-Identifizierung zur Verfügung steht, ist der Forschergruppe dieses Wissen zuzurechnen. Mit solchem vorhandenen Zusatzwissen muss die Forschergruppe insbesondere dann rechnen, wenn sie die Daten frei zugänglich ins Internet stellt, da hier das Vorhandensein von Zusatzwissen bei irgendeiner zugreifenden Stelle nach allgemeinem Ermessen zu erwarten ist.
2.5.2 Kautelarjuristische Handlungsempfehlung
In der Praxis kann es sich aus Gründen der Rechtssicherheit auch in der Übertragungssituation für die verantwortliche Forschungseinrichtung anbieten, mit dem Dritten, dem sie Daten übertragen möchte, eine vertragliche Vereinbarung zu treffen. In einer solchen Vereinbarung sollte die empfangende Stelle der übertragenden Einrichtung zusichern, dass sie über keinerlei Zusatzwissen oder Zusatzmittel zur Identifikation verfügt und auch künftig nicht erwerben oder nutzen wird, um den Betroffenen zu re-identifizieren. Auch diese Kautelarpraxis sollte mit einer Vertragsstrafe und einem außerordentlichen Kündigungsrecht für den Fall der Vertragsverletzung abgesichert werden.
3 Ergebnis
Bevor im Kontext der Sekundärnutzung klinischer Daten zu Forschungszwecken die allgemeinen und bereichsspezifischen datenschutzrechtlichen Rechte und Pflichten diskutiert werden, ist zunächst die Anwendbarkeit des Datenschutzrechts in den Blick zu nehmen. Dabei sollte der Spielraum, der sich zum Schutz des Betroffenen einerseits und zum Erhalt einer effektiven und rechtssicheren Forschungspraxis andererseits bietet, genutzt werden. Hier ist das vom EuGH im Rahmen der Identifizierbarkeit betonte rechtliche Mittel, das den Zugriff auf Wissen zur Bestimmung des Betroffenen erlaubt, entscheidend. Sofern die Forscher klinische Daten zu sekundären Forschungszwecken erhalten, sollte mittels vertraglicher Vereinbarung ein Ausschluss denkbarer rechtlicher Zugriffsmittel auf identifizierendes Zusatzwissen vorgenommen und ein Verbot sonstiger Re-Identifizierungsmaßnahmen vereinbart werden.
Hierdurch kann von der Pseudonymisierung und/oder der Zwischenschaltung von Datentreuhändern eine faktisch anonymisierende Wirkung für die Forscher ausgehen. Voraussetzung ist, dass die Forscher den Betroffenen nicht aufgrund eigenen Wissens oder eigener Mittel re-identifizieren können. Das eigene Wissen und die eigenen Mittel müssen die verarbeitenden Forscher unter Berücksichtigung objektiver Faktoren (EG 26 S. 4 DSGVO) sorgfältig und unter etwaiger Einbeziehung der Datenschutzbehörden bewerten, ohne vorschnell eine aus ihrer Sicht vorhandene hinreichende Anonymisierung anzunehmen. Nur unter diesen Voraussetzungen kann sich eine hinreichende Pseudonymisierung als subjektive und somit faktische Anonymisierung im datenschutzrechtlichen Sinne für die Forscher darstellen.
Die genannten Grundsätze gelten auch im Bereich von Sozialdaten, die zu sekundären Forschungszwecken genutzt werden sollen. Nach § 67 Abs. 2 SGB X sind Sozialdaten personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO, die von den sozialrechtlichen Leistungsträgern (insbesondere den gesetzlichen Krankenkassen) zur Erfüllung ihrer Aufgaben verarbeitet werden, sodass auf die datenschutzrechtlichen Ausführungen verwiesen werden kann.
Trotz vertraglicher Gestaltungsmöglichkeiten müssen die datenempfangenden Forscher gerade aufgrund zunehmender Verknüpfungsmöglichkeiten fortwährend kritisch prüfen, ob mit den ihnen zur Verfügung stehenden Mitteln tatsächlich der Betroffene nicht identifiziert werden kann. Es bleibt die Aufgabe und Pflicht jeder präsumtiv verantwortlichen Stelle, die eigenen rechtlichen und tatsächlichen Möglichkeiten einer Re-Identifizierung stets zu evaluieren.
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Markus Spitz und Kai Cornelius: Datenreiche Medizin und das Problem der Einwilligung; Springer, Berlin, Heidelberg; 2022