Secondary menu

Big Data und die medizinische Forschung

Zu den Versuchen, den Datenschutz auszuhebeln

Der Streit um den Datenschutz ist alt und nimmt immer neue Formen an. In den letzten vier Jahren stritt die EU um eine neue Datenschutzgrundverordnung. Europäisches Parlament, der Rat der Europäischen Regierungen und die Kommission hatten unterschiedliche Vorstellungen. Im Trilog haben sie sich Ende Dezember 2015 auf eine Fassung geeinigt, die am 14. April 2016 vom EU-Parlament verabschiedet wurde. Und auch dieses Ergebnis bleibt ein umstrittenes, das unterschiedlich interpretiert wird und werden wird.

Das Komitee für Grundrechte und Demokratie beschäftigt sich seit einiger Zeit mit dem Projekt der Nationalen Kohorte (NaKo). Im Auftrag dieses Projekts, öffentlich gefördert, werden Bioproben und Gesundheitsdaten für zukünftige Forschungsprojekte gesammelt. Neben anderen Kritikpunkten hat uns daran auch die Frage beschäftigt, auf welcher Grundlage die Zustimmung der Probanden/Teilnehmenden an der Studie erfolgt. Zu Beginn der Erhebung sollen sie der Nutzung ihrer Daten und Bioproben zu Forschungszwecken zustimmen. Das Projekt ist von vorneherein auf zwanzig Jahre angelegt. Die Ziele der Forschung sind pauschal mit „für alle Arten gesundheitsbezogener Forschung“ angegeben. Die Teilnehmenden können zwar ihre Zustimmung zurückziehen, aber sie erfahren im Verlaufe der vielen Jahre nicht, zu welchen konkreten Forschungszwecken ihre Daten genutzt werden. Ob „alle Arten gesundheitsbezogener Forschung“ ihren eigenen Interessen entsprechen oder gar diesen zuwider laufen, wird sich erst im Verlauf der Generierung von Forschungsprojekten, an denen zudem auch die Industrie beteiligt sein wird, zeigen.

Das deutsche Datenschutzrecht schreibt die informierte Zustimmung als Grundbedingung für die Nutzung der Daten vor. Dem wird die NaKo mit ihrer pauschalen Zweckbestimmung nicht gerecht. Wissenschaftlich diskutiert wird seit einiger Zeit, auf welche Weise sowohl dem Datenschutz als auch den Interessen der Forschung an Daten, die für viele Forschungsfragen und auf lange Dauer zu nutzen sind, genüge getan werden kann. Die Idee des „dynamic consent“ sieht vor, dass Probanden regelmäßig über die Forschungen informiert werden, für die ihre Daten und Bioproben genutzt werden. Gemäß dem „informed consent“ müssten sie in jedem dieser Fälle gesondert zustimmen. Das ist aufwändig und entspricht nicht den Interessen derer, die die Daten möglichst umstandslos für ihre eigenen (Forschungs-) Interessen nutzen wollen. Um so wichtiger ist es, für dieses Grundrecht zu streiten.

Erst im Streit um die Volkszählung ist ein Bewusstsein für den Datenschutz entstanden. Das Bundesverfassungsgericht urteilte im Jahre 1983 darüber und leitete aus dem Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz das „Recht auf informationelle Selbstbestimmung“ ab. Transparenz bei der Datenerhebung und Selbstbestimmung über die eigenen Daten sind die zentralen Vorstellungen. Eine Erweiterung dieses Rechtsverständnisses zementierte das Bundesverfassungsgericht im Jahr 2008. Es definierte ein „Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit eigengenutzter informationstechnischer Systeme“. Es begründete eine digitale Privatsphäre, die schützenswert und schutzbedürftig ist.

Der Streit um die EU-DSGVO hat einmal mehr deutlich gemacht, dass die Lobbyarbeit derer, die an der Nutzung der Daten Interesse haben, immens ist. Sie wollen allenfalls einen „broad consent“ akzeptieren und meinen jeder weitergehende Datenschutz würde unnötige Hürden in der Auswertung der Daten errichten. Schon die regelmäßige Information über neue Forschungsprojekte und die Einholung immer neuer Zustimmungen für die Verarbeitung erscheinen ihnen nur als bürokratische Hürde. Die Probanden sollen eine generelle Zustimmung zur Nutzung erteilen. Immerhin hätten sie ja die Möglichkeit – uninformiert oder informiert von anderer Seite – irgendwann die Zustimmung zur Nutzung der Daten zu widerrufen.

Der Streit um die Interpretation der EU-DSGVO wird demnächst öffentlich erneut anheben. Wolfgang Linder hat sich schon einmal mit dem Teil, der die Nutzung der Gesundheitsdaten für die Forschung regelt, auseinandergesetzt (siehe folgende Analyse). Er sieht gute Argumente dafür, dass nicht der „broad consent“ die Perspektive vorgibt, sondern zumindest der „dynamic consent“ als Grundlage dieser Verordnung verstanden werden muss. In Deutschland bleibt der „informed consent“ der gesetzlich geregelte Maßstab. Probanden müssen der Nutzung ihrer Daten und Bioproben für konkrete Forschungszwecken zustimmen, jede pauschale Zweckbestimmung verbietet sich. Die NaKo muss also die Probanden je neu über die Auswertung informieren und je neue Zustimmungen einholen.

Leider ist aber in Deutschland mit der NaKo schon der „broad consent“ zum gesetzwidrigen Maßstab geworden. Deshalb müssen die Auseinandersetzungen fortgeführt werden.

Elke Steven

 

Wolfgang Linder       

EU-Datenschutzgrundverordnung (EU-DSGVO), beschlossen am 14. April 2016 durch das EU-Parlament i.d.F. vom 15. Dezember 2015 (Trilog-Ergebnis  – in deutscher Sprache am 6. April 2016, offizielle deutsche Übersetzung)[1] und die Nutzung von Gesundheitsdaten für die Forschung

Prolog

Am 14. Dezember 2014 veröffentlichte die „Technologie- und Methodenplattform für vernetzte medizinische Forschung e.V.“ (TMF) ein Interview mit Prof. Dr. Roland Jahns, Direktor der „interdisziplinären Biomaterial- und Datenbank Würzburg“ (ibdw), über „die ethischen Herausforderungen der modernen Biobankenforschung und über die Entwicklung vom informed zum broad consent“.[2]

Frage TMF: „Wenn man davon ausgeht, dass der Proband … möglicherweise doch gar nicht alles bis ins letzte Detail wissen möchte, dann könnte man dem Argument folgen, auf der Makroebene nicht zu viel zu regeln, sondern das dem Aushandeln zwischen der Biobank und dem Spender zu überlassen.“

Antwort Jahns: „Das ist völlig richtig. Im Grunde brauchen wir überhaupt keinen informed consent. Der Spender kann eigentlich selber entscheiden, bis zu welchem Grad er überhaupt informiert werden will und auch, ob er eine Rückmeldung haben will. Es gibt ja das Grundrecht auf Nichtwissen, und das müssen wir natürlich auch gewährleisten.“

Diese Argumentation ist wirklich atemberaubend: Aus einer Regelung zum Datenschutz der Bürger*innen wird kurzerhand eine überflüssige Anforderung. Der informed consent ist Bestandteil des deutschen Datenschutzrechts. Das Recht auf „informationelle Selbstbestimmung“ setzt voraus, dass der Nutzung der Daten zu Forschungszwecken informiert zugestimmt werden muss. Ganz etwas anderes ist das „Recht auf Nichtwissen“, bei dem es um das Recht geht, beispielsweise über genetische Anlagen, über Ergebnisse von medizinischen Untersuchungen nicht informiert zu werden. Erst wenn jemand über die Nutzung seiner Daten und Bioproben informiert ist, kann er dieser Nutzung zustimmen und zugleich erklären, dass er nicht über etwaige Ergebnisse informiert werden will. Soweit zu professoral verzapftem Unsinn!

Aber: Die TMF hat in Brüssel intensiv Lobbyarbeit zur Beeinflussung der EU-DSGVO[3] in ihrem Sinne betrieben. Ist es ihr gelungen, die VO in ihrem Sinne zu beeinflussen? Der folgende Text will versuchen, diese Frage anhand der Erwägungsgründe und der Artikel der DSGVO zu beantworten.

Nr. 33 (25aa) der Erwägungsgründe[4]

Um es vorwegzuschicken: Die Sätze 1 und 2 von Nr. 33 der Erwägungsgründe[5] könnten aus der Feder der TMF geflossen sein. Die Nummerierung in der vorläufigen Übersetzung mit aa könnte zudem darauf hindeuten, dass er erst in letzter Minute als Resultat intensiver Lobbyarbeit reinverhandelt worden ist. In den von mir aufgerufenen Vorentwürfen der DSGVO habe ich ihn jedenfalls nicht finden können. Entsprechend zufrieden hat sich die TMF in ihrer ersten Einschätzung gezeigt.[6] Ihr ist auf S. 2 zu entnehmen, dass insbesondere die deutsche Seite sich dafür eingesetzt habe! Studiert man aber die DSGVO vollständig, so kommt man zu einem völlig anderen Schluss. Die TMF dürfte zu früh triumphiert haben.

In Nr. 33 heißt es in den ersten beiden Sätzen: „Oftmals kann der Zweck der Datenverarbeitung für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Datenerhebung nicht vollständig angegeben werden. Daher sollten betroffene Personen ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung geben können, wenn die anerkannten ethischen Standards der wissenschaftlichen Forschung eingehalten werden“. Die TMF zieht daraus den Schluss: „… es wird eine Interpretationshilfe zugunsten einer breiteren Einwilligung („broad Consent“) im Forschungsbereich geben … Dies ist vor allem … im Bereich der Biobanken und genetischen Datenbanken der Fall“.

Damit, so hat es den Anschein, ist die Sache klar i.S. der TMF und der NaKo entschieden.

Aber: Satz 3 des Erwägungsgrundes gibt wieder Anlass zur Hoffnung. Dort heißt es: „Die betroffenen Personen sollten Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgtenZweck zugelassenen Maße zu erteilen“.

Die Frage ist, auf der Grundlage welcher Informationen, zu welchem Zeitpunkt und in welchem Verfahren sie diese Gelegenheit erhalten sollen und in welchem Verfahren sie ihre Rechte ausüben können.

Besteht also doch noch eine Chance für die Forderung des ehemaligen Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit (LfD Berlin), die Entscheidungskriterien zum Zeitpunkt der Einwilligung konkret festzulegen und für die Probanden transparent zu machen sowie ein Verfahren zur Mitwirkung und Entscheidung der Probanden für die Datenfreigabe bei späteren Forschungsaufträgen einzurichten[7], und besteht folglich doch noch eine Chance für den „dynamic consent“?[8]

Im folgenden will ich versuchen, die DSGVO auf diese Fragen hin zu untersuchen.

Nach Art. 6 Abs. 1a ist die Verarbeitung personenbezogener Daten u.a. rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung für einen oder mehrere festgelegte Zwecke gegeben hat. Dies könnte dafür sprechen, dass die Zwecke konkreter und abschließender festgelegt sein müssen, als es bei der NaKo der Fall ist („für alle Arten gesundheitsbezogener Forschung“).

Nach Art. 9 Abs. 1 ist die Verarbeitung genetischer Daten und Daten über die Gesundheit untersagt. Anderes gilt nach Abs. 2a u.a. dann, wenn die betroffene Person in deren Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat.

Auch dies könnte dafür sprechen, dass die NaKo dieser Anforderung nicht entspricht („für alle Arten gesundheitsbezogener Forschung“)

Allerdings verweist Art. 9 Abs. 2i auf Art. 89 (83) Abs. 1. Nach Art. 9 Abs. 2i kann die Verarbeitung von genetischen und Gesundheitsdaten dann zulässig sein, wenn sie „auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedsstaates, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und geeignete und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht,….für wissenschaftliche…..Forschungszwecke gemäß Art. 89 erforderlich“ ist.

In Art. 89 Abs.1 Satz 1 wird konstatiert, dass die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken … gemäß dieser Verordnung" (d.h. der DSGVO) „angemessenen Garantien für Rechte und Freiheiten der betroffenen Person“ unterliegt. Nach Satz 2 werde sichergestellt, „dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird“. Dazu könne  – so Satz 3  – die Pseudonymisierung gehören, „soweit diese Zwecke (d.h. wohl Datenminimierung) auf diese Weise“ zu erfüllen seien. Zudem würden diese Zwecke  – so Satz 4  – durch eine Weiterverarbeitung der Daten, „bei der die Bestimmung von betroffenen Personen nicht oder nicht mehr möglich ist“ erfüllt.

Art. 89 Abs. 1 ist nicht leicht verständlich. Ich verstehe ihn so: Es wird behauptet, dass die DSGVO  – damit können eigentlich nur andere Artikel als der Art. 89  – etwa Artt. 6, 9, 13, 15  –gemeint sein, angemessene Garantien enthalte. Damit werde zugleich der Grundsatz der Datenminimierung (mir bisher bekannt als Datenvermeidung) garantiert, zu dem die Pseudonymisierung bzw. Anonymisierung gehören könnten.

Interessant ist vor allem der Grundsatz der „Datenminimierung“ und die daraus folgende Verpflichtung zur Anonymisierung. Da bei der NaKo nach unserer Auffassung wegen der Fülle der erhobenen Daten sowie des Zusatzwissens und der Vernetzung der Empfänger der Daten von Anonymisierung[9] nicht die Rede sein kann, ist eben die Datenminimierung in Frage gestellt.

Es gilt daher, die DSGVO auf Regelungen zu durchsuchen, die die „angemessenen Garantien für Rechte und Freiheiten der betroffenen Person“ enthalten sollen:

In Art. 13 (14) Abs.1 wird man fündig. Dort heißt es: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der für die Verarbeitung Verantwortliche“ ihr „zum Zeitpunkt der Erhebung dieses Datums Folgendes mit…c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und die Rechtsgrundlage für die Verarbeitung“ sowie „ d) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.“

Nach Art. 13 Abs. 2 sollen zusätzlich weitere Informationen zur Verfügung gestellt werden, „um eine faire und transparente Verarbeitung zu gewährleisten“. So soll nach lit. b auf „das Bestehen eines Rechts auf Auskunft … über die betreffenden personenbezogenen Daten sowie auf … Einschränkung der Verarbeitung dieser Daten oder eines Widerspruchsrechts gegen die Verarbeitung dieser Daten sowie des Rechts der Datenübertragbarkeit“ hingewiesen werden. Art. 15 Abs. 1 lit. a, c und e dehnt diese Informationspflicht zur Zeit der Erhebung auf eine Pflicht zur Erteilung entsprechender Auskünfte an die betroffene Person zu jeder Zeit aus.

Allerdings können nach Art. 89 Abs. 2 im EU-Recht oder im Recht der Mitgliedsstaaten „insoweit Ausnahmen von den Rechten nach Art. 15 … vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung der Zwecke notwendig sind.“ Bemerkenswert ist, dass Art. 89 Abs. 2 den Art. 13 nicht zu den Bestimmungen zählt, von denen Ausnahmen unter den genannten Voraussetzungen zulässig sind; die in Art. 13 aufgeführten Informationspflichten dulden danach keine Ausnahmen.

Nr. 33 der Erwägungsgründe im Kontext der Artt. 9, 14, 15 und 83

Die Frage ist, ob Nr. 33 der Erwägungsgründe die Position von TMF/NaKo bestätigt oder ob die oben aufgeführten Artikel die Grundrechtsposition der Probanden der NaKo auf eine Weise stärken, dass unsere Kritik an deren DSK/Ethik-Kodex/Nutzungsordnung/Einwilligungserklärung/Teilnehmerinformation ganz oder z.T. bestätigt wird. Aus dem in der Fußnote 3 zitierten Text ziehe ich jedenfalls den Schluss, dass der eindeutige Wortlaut von Artikeln Vorrang genießt vor Erwägungsgründen.

Erster Vergleich: zwischen Erwägungsgrund Nr. 33 Sätze 1, 2 und Art. 6 Abs. 1a / Art. 9 Abs.1

Die TMF zieht aus der Formulierung im Erwägungsgrund Nr. 33 „Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung“ den Schluss, dass die Einwilligung nicht näher spezifiziert werden muss – und damit implizit, dass auch die Information nicht näher spezifiziert werden muss. Die TMF sieht damit den „broad consent“ als ausreichend an. Und sie sieht sicher die weite Formulierung der NaKo „Nutzung für alle Arten gesundheitsbezogener Forschung im öffentlichen Interesse“ als verordnungskonform an.

Nach Art. 6 Abs.1a / Art. 9 Abs.1 muss die Einwilligung in die Verarbeitung von Gesundheitsdaten für einen oder mehrere festgelegte Zwecke erteilt worden sein. Art. 9 Abs.1 verlangt zusätzlich eine ausdrückliche Erklärung.

Die Frage ist, ob die Formulierung der NaKo ausreichend bestimmt einen oder mehrere Zwecke i.S. der DSGVO festlegt. Beantwortet man diese Frage allein im Licht der Sätze 1 und 2 der Nr. 33 der Erwägungsgründe, wird man es schwer haben, sie mit „Nein“ zu antworten.

Zweiter Vergleich: zwischen dem Erwägungsgrund Nr. 33 Satz 3 und Art. 13 Abs. 1 lit. c und e / Art. 15 Abs. 1 lit. c und e

Bereits eingangs habe ich aus Satz 3 des Erwägungsgrundes Nr. 33 Hoffnung geschöpft. Danach nämlich sollen Betroffene Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen. Dies entspricht der Informationspflicht bzw. dem Auskunftsrecht nach Art. 13 Abs. 2 lit. b und nach Art. 15 Abs. 1 lit. e: Der Betroffene ist bei Erhebung der Daten darüber zu informieren, bzw. ihm ist später die Auskunft zu erteilen, dass er die Verarbeitung seiner Daten beschränken kann.

Die Artikel und den Erwägungsgrund lege ich so aus, dass der Proband der NaKo die Verarbeitung seiner Daten dahingehend einschränken kann, dass seine Daten eben nicht für alle Arten gesundheitsbezogener Forschung, sondern nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten genutzt werden dürfen.

Entsprechend folgt aus den Regelungen in Artt. 13, 15, dass die Betroffenen über die Empfänger oder die Kategorien von Empfängern ihrer Daten, d.h. auch über deren Forschungsprojekte, vorweg oder auf Verlangen nachträglich informiert werden sollen.

Die NaKo ist demnach verpflichtet, den Betroffenen die Informationen zu geben, die ihnen die Ausübung ihrer Rechte erst ermöglichen. Die Forderung des LfD Berlin nach Festlegung der Entscheidungskriterien, nach Transparenz und eines Verfahrens zur Mitwirkung und Entscheidung der Probanden für die Datenfreigabe bei späteren Forschungsaufträgen wird hierdurch bestätigt. Und zwar gilt dies sowohl für die Empfänger der Daten als auch für die Inhalte der Forschungsprojekte. Die Waage neigt sich demnach vom „broad consent“ zum „dynamic consent“.

Unterstützt wird diese Position durch den Erwägungsgrund Nr. 63 (51), der Art. 15 (Auskunftsrechte) interpretiert. Dessen Sätze 2 ff beschäftigen sich insbesondere mit Gesundheitsdaten. Nach Satz 3 sollten die Betroffenen „ein Anrecht darauf haben zu wissen und zu erfahren, … zu welchen Zwecken ihre Daten verarbeitet werden und, wenn möglich, wer die Empfänger der Daten sind …“ Geradezu auf den “dynamic consent“ ausgerichtet scheint Satz 4 zu sein: „Nach Möglichkeit kann der für die Verarbeitung Verantwortliche den Fernzugang zu einem sicheren System bereitstellen, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.“ Dieser Satz müsste allerdings so interpretiert werden, dass dieser „direkte Zugang“ sich auch auf die Kenntnis der Empfänger und ihrer Forschungsvorhaben bezieht, was wiederum die Informationspflichten und Auskunftsrechte der Artt. 13 und 15 geradezu zwingend nahelegen.

Dritter Vergleich: zwischen Erwägungsgrund Nr. 33, Sätze 1, 2 / Art. 9 Abs.1i / Art. 89 Abs.1 und den vorgenannten Regelungen

Nach Art. 9 Abs. 1i kann Unionsrecht oder das Recht eines Mitgliedsstaates unter bestimmten Voraussetzungen die Verarbeitung von Gesundheitsdaten rechtfertigen, soweit dies für wissenschaftliche Forschungszwecke erforderlich ist. Das könnte es ermöglichen, dass Regelungen der EU neben der DSGVO oder Regelungen der Mitgliedsstaaten die Anforderungen der DSGVO zu unterschreiten. Allerdings verweist Art. 89 Abs. 1 Satz 1 wiederum darauf, dass die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gemäß dieser Verordnung  – eben der DSGVO  – angemessenen Garantien für Rechte und Freiheiten der Betroffenen unterliegt. Und damit können doch nur die gerade erörterten Garantien gemeint sein.

Vierter Vergleich: zwischen Art. 15 und Art. 89 Abs. 2

Nach Art. 89 Abs.2 können EU-Recht oder das Recht der Mitgliedsstaaten Ausnahmen von den in Art. 15 garantierten Rechten vorsehen, soweit personenbezogene Gesundheitsdaten zu wissenschaftlichen Forschungszwecken verarbeitet werden. Dies verwundert, weil der Erwägungsgrund 63 doch eindeutig dokumentiert, wie wichtig der Verordnungsgeber das Auskunftsrecht für die Verarbeitung von Gesundheitsdaten einschätzt. Allerdings wird in Art. 89 Abs. 2 der Art. 13 nicht aufgeführt, die Informationspflicht darf also nicht eingeschränkt werden.

Vorläufiges Fazit

Die „deutsche Seite“ (TMF, BMI) hat mit den Sätzen 1 und 2 des Erwägungsgrundes Nr. 33 und mit Art. 89 Abs. 1 und 2 wichtige „Duftmarken“ in ihrem Sinne gesetzt. Ein Ergebnis effektiver Lobbyarbeit!?[10] Wir müssen selbstkritisch konstatieren, dass wir die Gelegenheit verpasst haben, unsere Standpunkte dem grünen Berichterstatter des EU-Parlaments, Jan-Philipp Albrecht, und seinen Unterstützern nahezubringen.

Aber: Es bleiben gewichtige Argumente für unsere Position, die wir aus Satz 3 des Erwägungsgrundes Nr. 33, aus Nr. 63, aus den Artt. 13 und 15 und aus den Sätzen 2 und 3 des Art. 89 Abs. 1 ableiten können:

  • Anspruch der Betroffenen auf Transparenz und Mitwirkung/Entscheidung bei der Nutzung der Daten, insbesondere Recht auf Einschränkung der Nutzungszwecke,
  • Datenminimierung, d.h. Sicherstellung der Anonymisierung, sobald die Kenntnis der betroffenen Person nicht mehr erforderlich ist.

Beides widerspricht den Interessen der Verantwortlichen der NaKo und ist folglich bislang von ihnen als „realitätsfern“ abgetan worden bzw. als verwirklicht vorgespiegelt worden.

Das vorläufige Fazit ist, dass die TMF sich eben nicht (vollständig) durchgesetzt hat. Es ist ein Formelkompromiss herausgekommen. Gute Argumente sprechen gegen die Interpretation der TMF und dafür, dass nicht der „broad consent“, sondern der „dynamic consent“ dem künftigen EU-Recht entspricht.[11]

 

[1] am 11.04.2016 aufgerufen unter www.bvdnet.de/eu-dsgvo.html

[2] am 03.02.16 aufgerufen unter www.biobanken.de/News/tabid/83/articleType/ArticleView/articleld/50/language/de-DE/es-zeigen-sich-ganz-ueberraschende-zusammenhaenge-zwischen-den-verschiedenen-krankheitsbildern , auf Seite 2 dort kann man es aufrufen.

[3] im folgenden DSGVO genannt

[4] In Klammern jeweils die Nr. oder der Artikel der vorläufigen Übersetzung vom 28.01.2016

[5] Nach www.datenschutz-grundverordnung.eu mit link zu „Erwägungsgründe“, aufgerufen am 10.02.16, sind Erwägungsgründe „Ziele, die mit der Formulierung der Artikel der EU-Verordnung verfolgt werden. Sie sind nicht die eigentlichen Rechtsnormen, aber sie sind hilfreich für die Interpretation der Rechtsnormen.“

[6] Link zum Infobrief unter www.tmf-ev.de/News/articleType/ArticleView/articleld/1879/aspx, aufgerufen am 04.02.16

[7] www.datenschutz-berlin.de/content/veroeffentlichungen/jahresberichte/bericht-13, Z.11.1, aufgerufen am 04.02.16

[8] vgl. mein Papier „Die Nationale Kohorte (NAKO) und der „dynamic consent““ vom 06.07.2015 mit weiteren Fundstellen, bislang nicht im Internet zugänglich, kann aber bei mir angefordert werden; vgl. auch Nils Hoppe auf der Jahrestagung des Deutschen Ethikrates am 21.05.15, unter www.ethikrat.org/veranstaltungen/jahrestagungen/die-vermessung-des-menschen, link zur Simultanmitschrift ganz am Ende, dort S. 75ff, insbes. S. 81 und 90, aufgerufen am 04.02.16

[9] vgl. dazu den Erwägungsgrund 26. Danach sollen zur Beantwortung der Frage, ob mit Hilfe eines Datensatzes eine natürliche Person identifiziert werden kann, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

[10] Dazu der Film von David Bernet: „Democracy - Im Rausch der Daten“, der die erfolgreiche Arbeit des Berichterstatters des EU-Parlaments, Jan Philipp Albrecht, und die massive Gegenoffensive der Lobby der IT-Industrie, der Sicherheitsdienste, der Innenminister und der Biotech-Forschung dokumentiert, www.democracy-film.de

[11] Die DSGVO ist am 14.04.2016 in der Fassung des Trilogs durch das EU-Parlament bestätigt worden. Danach tritt sie nach 20 Tagen in Kraft und kommt nach weiteren 24 Monaten, also voraussichtlich im Mai 2018 zur Anwendung, vgl. auch www.bvdnet.de/eu-dsgvo.html, aufgerufen am 11.04.2016

AnhangGröße
PDF icon EU-DSGVO+Einleitung_Arpil2016.pdf510.87 KB