Rechtliche Fragen & Antworten: Sekundärnutzung von Daten aus Krankenhäusern und die österreichische Rechtslandschaft

BBMRI.at Legal Helpdesk

Der BBMRI.at Legal Helpdesk Service – betrieben von Rechtsexpert*innen des BBMRI.at-Partners UNIVIE – beantwortet Fragen zu rechtlichen und regulatorischen Angelegenheiten im Zusammenhang mit Biobanking und/oder der Verwendung biologischer Proben und Daten. Dieser Service wird BBMRI.at-Partnern zur Unterstützung angeboten, da Biobanking und Forschung mit biologischen Proben und Daten (z.B. menschlich, tierisch/veterinär, mikrobiell, etc.) rechtliche Fragen aufwerfen können. Die Antworten von UNIVIE auf rechtliche Fragen werden in der BBMRI.at Knowledge Base veröffentlicht.

FRAGE:

Sekundärnutzung von Daten aus Krankenhäusern und die österreichische Rechtslandschaft

ANTWORT: 

1. Sekundärnutzung von Daten aus Krankenhäusern in der DSGVO

Um personenbezogene Daten, die ursprünglich in Krankenhäusern (vermutlich zum Zweck der Gesundheitsversorgung) erhoben wurden, für wissenschaftliche Forschungszwecke zu verwenden (Sekundärnutzung), ist nach der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) eine Rechtsgrundlage erforderlich[1].

Personenbezogene Daten, die in Krankenhäusern erhoben werden, beziehen sich auf die Gesundheit einzelner Patient*innen (nach der DSGVO als betroffene Personen bezeichnet) und gelten daher als sensible Daten, die besonderen rechtlichen Schutz erfordern. Wenn medizinisches Fachpersonal personenbezogene Daten erhebt, müssen sie eine gültige Rechtsgrundlage gemäß den Artikeln 6 und 9 der DSGVO haben – dies geschieht in der Regel auf der Grundlage einer ausdrücklichen Einwilligung, oder weil die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist, oder auch die Verarbeitung erfolgt zu Zwecken der präventiven oder arbeitsmedizinischen Versorgung.[2]

Die Frage ist jedoch, welche Rechtsgrundlage herangezogen werden kann, wenn ein*e Forscher*in personenbezogene Daten für wissenschaftliche Forschungszwecke weiterverarbeiten möchte, beispielsweise zur Entwicklung neuer Behandlungsmethoden oder zum Training eines KI-Modells zur Diagnose spezifischer Krankheiten.

Im Allgemeinen sieht die DSGVO einige Ausnahmen für die Weiterverarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke vor. Grundsätzlich gilt wissenschaftliche Forschung als ein mit dem ursprünglichen Zweck der Datenerhebung kompatibles Ziel.[3] Solche Verarbeitungen sind zulässig, wenn der Verantwortliche ausreichende Schutzmaßnahmen zum Schutz der Rechte der betroffenen Person ergreift, beispielsweise durch Pseudonymisierung oder Anonymisierung.[4] Darüber hinaus können die Mitgliedstaaten eigene Ausnahmeregelungen im nationalen Recht hinsichtlich der Sekundärnutzung personenbezogener Daten für Forschungszwecke einführen. In Österreich regeln beispielsweise das Datenschutzgesetz (DSG)[5] und das Forschungsorganisationsgesetz (FOG)[6] solche Bestimmungen.

2. Anwendbare nationale Regelungen zur Sekundärnutzung von Daten zu Forschungszwecken

Artikel 2§7 DSG unterscheidet zwei Fälle der Bearbeitung zu wissenschaftlichen Forschungszwecken:[7]

• Bearbeitung zu Forschungszwecken im öffentlichen Interesse, die nicht auf die Erzielung personbezogener Ergebnisse abzielt,
• Bearbeitung zu Forschungszwecken im öffentlichen Interesse, die auf die Erzielung personbezogener Ergebnisse abzielt

Für jede dieser Situationen gelten unterschiedliche Schutzmaßnahmen. Im ersten Fall kann der oder die Verantwortliche personenbezogene Daten verarbeiten, die:

• öffentlich zugänglich sind,
• rechtmäßig für andere Untersuchungen oder andere Zwecke vom Verantwortlichen erlangt wurden, oder
• pseudonymisiert sind oder die Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht feststellen kann.[8]

Im zweiten Fall darf der für die Verarbeitung Verantwortliche personenbezogene Daten nur verarbeiten:

„nach Maßgabe besonderer Rechtsvorschriften (z. B. den Bestimmungen des FOG);

mit der Einwilligung der betroffenen Person; oder

mit der Zustimmung der Datenschutzbehörde“[9].

Das FOG ist ein allgemeines Gesetz zur Forschungsorganisation in Österreich und eine lex specialis zur DSG in Bezug auf die Verarbeitung personenbezogener Daten für Forschungszwecke. Eine juristische Studie, die für den Europäischen Datenschutzausschuss zum Thema Sekundärdatenweitergabe in nationalen Rechtssystemen durchgeführt wurde, erklärt, dass gemäß den Bestimmungen des FOG personenbezogene Daten, einschließlich sensibler Daten, in allen Bereichen zu Forschungszwecken verarbeitet werden dürfen, wenn:

• anstelle des Namens bereichsspezifische Personenkennzeichen oder andere eindeutige Kennungen zur Zuordnung verwendet werden, oder
• die Verarbeitung in pseudonymisierter Form erfolgt, oder
• die Verarbeitung ohne Veröffentlichung der Daten erfolgt, oder die Daten nur in anonymisierter oder pseudonymisierter Form veröffentlicht werden, oder ohne Namen, Adressen oder Fotos, oder
• die Verarbeitung ausschließlich zum Zweck der Anonymisierung oder Pseudonymisierung erfolgt und keine Weitergabe direkter personenbezogener Daten an Dritte erfolgt.[10]

Zusätzlich erkennt das FOG „broad consent“ als rechtliche Grundlage an.[11]

Dies vorausgeschickt, bieten die DSGVO und das österreichische Recht eine allgemeine rechtliche Grundlage für die Sekundärnutzung personenbezogener Daten.

Jedoch ist eine gültige Rechtsgrundlage nur eine der Anforderungen, die bei der Weiterverarbeitung personenbezogener Daten erfüllt sein müssen. Es folgen weitere vertragliche Anforderungen. Der Verantwortliche muss die Einhaltung anderer Bestimmungen der DSGVO sicherstellen und nachweisen können. Wenn der Verantwortliche (z. B. ein Krankenhaus) Daten mit Dritten teilt (z. B. externen Einrichtungen), darf dies nur auf Basis eines abgeschlossenen Datenweitergabevertrags erfolgen.

Ein solcher vertraglicher Vertrag legt die Bedingungen für die Datenweitergabe sowie die Pflichten des Datenempfängers fest. Obwohl einige Rechte der betroffenen Personen, wie das Recht auf Information oder das Recht auf Auskunft, eingeschränkt sein können, wenn Daten mit Dritten geteilt werden, muss der Datenempfänger dennoch geeignete technische und organisatorische Maßnahmen zur Datensicherheit aufrechterhalten. Die Frage der Weitergabe personenbezogener Daten von Krankenhäusern an Forschungseinrichtungen oder Repositorien außerhalb des Krankenhauses ist daher auch eine vertragliche Frage.

Zusammenfassend lässt sich sagen, dass der Ausgangspunkt für die Suche nach einer Rechtsgrundlage für die Sekundärnutzung von Daten aus Krankenhäusern in Österreich die DSGVO, das DSG und das FOG sind – wie oben erläutert. Je nach Umständen könnten zusätzliche spezielle Krankenhausvorschriften gelten. Der zweite Schritt ist häufig vertraglicher Natur, wenn Daten an einen Datenempfänger, der ein Dritter ist, weitergegeben werden sollen – dann ist ein Datenweitergabevertrag erforderlich.