Europäischer Datenschutzausschuss: Leitlinien zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken im Zusammenhang mit dem Ausbruch von COVID-19
Der Europäische Datenschutzausschuss (EDSA), Art. 68 DSGVO, in der Zusammenschluss der Datenschutzaufsichtsbehörden der EU-Staaten. Er hat die frühere Art. 29. Arbeitsgruppe abgelöst. Die Aufgabe des EDSA ist es, die einheitliche Anwendung der DSGVO sicherzustellen, indem sie unter anderem Leitlinien bereitstellt, die das Datenschutzrecht interpretieren und auslegen, Art. 70 Abs. 1d DSGVO. Der EDSA hat eine Leitlinie zur Verarbeitung von Gesundheitsdaten / Patientendaten zu Forschungszwecken im Zusammenhang mit Corona-Virus / Covid-19 verabschiedet. Diese Leitlinie ist nicht nur für die Forschung an Corona-Viren, Medikamenten und Impfungen dagegen von Interesse, sondern allgemein für die Forschung mit Gesundheitsdaten und für die Verarbeitung von Gesundheitsdaten.
Daher stelle ich hier ein deutsche Übersetzung der bislang nur in englisch erschienenen Leitlinie mit einigen Anmerkungen bereit.
Der Datenschutzausschuss geht in seiner Leitlinie u.a. auf primär für Forschungszwecke im Rahmen einer Studie erhobenen Gesundheitsdaten oder erst nachträglich zu Forschungszwecken verwendeten und bereits vorhandenen Gesundheitsdaten (Zweckänderung) ein. Rechtsgrundlage für die Verarbeitung können einerseits Einwilligungen sein, aber auch im Rahmen der DSGVO erlassene nationale Ausnahmebestimmungen bzw. Forschungsprivilegien, z.B. § 27 BDSG. Näher geht der EDSA auch auf die grundsätzlich bestehenden Informationspflichten und deren mögliche Ausnahmen, z.B. wegen unverhältnismäßigem Aufwand ein. Selbstverständlich werden auch die hohen Anforderungen an die Sicherheit und Vertraulichkeit der Gesundheitsdaten, insbesondere Pseudonymisierung, Anonymisierung und Verschlüsselung betont. Parallel müssen die Pflichten aus dem Berufsgeheimnis, § 203 StGB (Arztgeheimnis) beachtet werden. Es ist zu prüfen, ob eine Datenschutzfolgenabschätzung durchzuführen ist. Die Einbeziehung des Datenschutzbeauftragten wird empfohlen und an die Erstellung eines Verarbeitungsverzeichnisses wird erinnert. Zur Bekämpfung der Corona-Pandemie wird die Notwendigkeit der internationalen Zusammenarbeit anerkannt und weißt auf die Ausnahmeregelungen „Übermittlung aus wichtigen Gründen des öffentlichen Interesses“ hin. Zu den öffentlichen Interessen gehören auch der Gesundheitsschutz der Bevölkerung und die Bekämpfung von Epidemien, wozu auch die Entwicklung von Medikamenten und Impfstoffen gehört.
David Seiler, Rechtsanwalt und Lehrbeauftragter für Datenschutz und IT-Security Law (Btu) berät bundesweit insbesondere zum Datenschutz- und IT-Recht auch im Gesundheitsbereich
Nachstehend noch auszugsweise die übersetzte Pressemeldung des EDSA dazu.
Stellungnahme des Bundesdatenschutzbeauftragten zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken:
Der EDSA verweist darauf, dass die Datenschutz-Grundverordnung (DSGVO) sehr forschungsfreundlich gestaltet ist. Der Datenschutz stehe weder der Forschung, noch der Pandemiebekämpfung entgegen. Vielmehr ermögliche erst die DSGVO eine rechtmäßige Verarbeitung von so sensiblen Gesundheitsdaten.
Pressemeldung des EDSA vom 21.04.2020 zu Leitlinie zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken:
„Auf seiner 23. Plenarsitzung verabschiedete das EDPB Leitlinien zur Verarbeitung von Gesundheitsdaten zu Forschungszwecken im Zusammenhang mit dem Ausbruch von COVID-19 sowie Leitlinien zur Geolokalisierung und anderen Rückverfolgungsinstrumenten im Zusammenhang mit dem Ausbruch von COVID-19.
Die Richtlinien über die Verarbeitung von Gesundheitsdaten zu Forschungszwecken im Zusammenhang mit dem Ausbruch von COVID-19 sollen Licht auf die dringendsten rechtlichen Fragen bezüglich der Verwendung von Gesundheitsdaten werfen, wie z.B. die rechtliche Grundlage der Verarbeitung, die Weiterverarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung, die Umsetzung angemessener Schutzmaßnahmen und die Ausübung der Rechte der betroffenen Personen.
Die Richtlinien besagen, dass die DSGVO mehrere Bestimmungen für die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung enthält, die auch im Zusammenhang mit der Pandemie COVID-19 gelten, insbesondere in Bezug auf die Einwilligung und die jeweiligen nationalen Gesetzgebungen. Die DSGVO sieht die Möglichkeit vor, bestimmte besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, zu verarbeiten, wenn dies für wissenschaftliche Forschungszwecke erforderlich ist.
Darüber hinaus befassen sich die Richtlinien mit rechtlichen Fragen des internationalen Datentransfers von Gesundheitsdaten zu Forschungszwecken im Zusammenhang mit der Bekämpfung von COVID-19, insbesondere bei Fehlen einer Entscheidung über die Angemessenheit oder anderer geeigneter Schutzmaßnahmen.
Andrea Jelinek, Vorsitzende des EDPB, sagte: „Gegenwärtig werden große Forschungsanstrengungen im Kampf gegen COVID-19 unternommen. Die Forscher hoffen, so schnell wie möglich Ergebnisse zu erzielen. Die DSGVO steht der wissenschaftlichen Forschung nicht im Wege, sondern ermöglicht die rechtmäßige Verarbeitung von Gesundheitsdaten zur Unterstützung des Zwecks, einen Impfstoff oder eine Behandlung für COVID-19 zu finden“. …
….. Beide Leitfäden werden ausnahmsweise nicht zur öffentlichen Konsultation vorgelegt, da die Dringlichkeit der aktuellen Situation und die Notwendigkeit, die Leitfäden leicht verfügbar zu haben, gegeben sind.“