BBMRI.at Legal Knowledge Base

Rechtliche Fragen & Antworten: Welche Rechte habe ich als Spender*in? Sind meine Daten sicher? Wie wird der Umgang mit Daten gesetzlich geregelt?

Die Sitzung befasste sich mit Datenschutzbelangen im Zusammenhang mit Biobanking, wobei der Schwerpunkt auf den Rechten von Probenspender*innen nach EU-Recht – insbesondere der Allgemeinen Datenschutzverordnung (DSGVO) – sowie den österreichischen rechtlichen Rahmenbedingungen lag.

BBMRI.at Legal Helpdesk

 

Der BBMRI.at Legal Helpdesk Service – betrieben von Rechtsexpert*innen des BBMRI.at-Partners UNIVIE – beantwortet Fragen zu rechtlichen und regulatorischen Angelegenheiten im Zusammenhang mit Biobanking und/oder der Verwendung biologischer Proben und Daten. Dieser Service wird BBMRI.at-Partnern zur Unterstützung angeboten, da Biobanking und Forschung mit biologischen Proben und Daten (z.B. menschlich, tierisch/veterinär, mikrobiell, etc.) rechtliche Fragen aufwerfen können. Die Antworten von UNIVIE auf rechtliche Fragen werden in der BBMRI.at Knowledge Base veröffentlicht.

 

FRAGE:

Rechtliche Fragen & Antworten: Welche Rechte habe ich als Spender*in? Sind meine Daten sicher? Wie wird der Umgang mit Daten gesetzlich geregelt?

 

ANTWORT:

1. Datenschutz in der Datenschutz-Grundverordnung

 

Personen, die sich entscheiden, ihre biologischen Proben an eine Biobank zu spenden, sind Inhaber*innen von Rechten in Bezug auf ihre personenbezogenen Daten (Artikel 4 Absatz 1 der Datenschutz-Grundverordnung[1] im Folgenden: [DSGVO]) – insbesondere Gesundheitsdaten[2] –, die untrennbar mit der gespendeten Probe verbunden sind. Probengebende Personen sind daher zugleich betroffene Personen im datenschutzrechtlichen Sinn, deren Rechte durch den bestehenden Rechtsrahmen der Europäischen Union (EU) zum Datenschutz – allen voran die DSGVO – sowie durch nationale Rechtsvorschriften geschützt sind, die parallel zur EU-Gesetzgebung bestehen. In Österreich zählen dazu unter anderem das Forschungsorganisationsgesetz (FOG) und das Datenschutzgesetz (DSG). Die Verarbeitung ihrer Daten muss daher im Einklang mit den jeweils geltenden rechtlichen Vorgaben erfolgen.

 

Wie in Frage Nr. 18 behandelt, holt eine Biobank die Einwilligung der spendenden Person ein, nachdem diese ausreichend detaillierte und korrekte Informationen erhalten hat. Diese Einwilligung bezieht sich auf die Entnahme der Probe, deren Aufbewahrung für einen vereinbarten Zeitraum sowie deren Verarbeitung zu den vereinbarten Zwecken. Gleichzeitig ist in der Datenschutz-Grundverordnung festgelegt, dass die Einwilligung[6] als Rechtsgrundlage für die Verarbeitung[7] der personenbezogenen Daten dienen kann (Artikel 6 Absatz 1 Buchstabe a, Artikel 9 Absatz 2 Buchstabe a) und dass der betroffenen Person zuvor bestimmte Informationen zur Verfügung gestellt werden müssen (Artikel 7 Absatz 3)[8]. Eine betroffene Person kann ihre Einwilligung jederzeit widerrufen[9].

 

Im Kontext der DSGVO können Biobanken in den meisten Fällen[10] als Verantwortliche im datenschutzrechtlichen Sinn angesehen werden, da sie Zwecke und Mittel der Verarbeitung personenbezogener Daten[11] bestimmen. Als solche sind sie verpflichtet, bestimmte Pflichten zu erfüllen (geregelt ab Artikel 25 DSGVO), die dem Schutz der Rechte der Probengeber*innen als betroffene Personen dienen. Dazu gehört beispielsweise, ihre Einwilligung zur Verarbeitung personenbezogener Daten einzuholen oder eine andere rechtliche Grundlage für die Verarbeitung festzustellen. [12]. Wenn eine Biobank als Verantwortliche eingestuft wird, ist sie auch verpflichtet, nachzuweisen, dass eine gültige Einwilligung der betroffenen Person eingeholt wurde: Artikel 7 Absatz 1 der DSGVO zur Verarbeitung personenbezogener Daten besagt, dass „[…] der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat“ (Hervorhebung hinzugefügt). Tatsächlich hat die Biobank als Verantwortliche eine allgemeine Rechenschaftspflicht, d. h., sie ist nicht nur für die Einhaltung der Datenschutzgrundsätze gemäß Artikel 5 Absatz 1 DSGVO verantwortlich, sondern muss diese Einhaltung auch jederzeit belegen können.

 

Darüber hinaus sind Biobanken als datenschutzrechtlich Verantwortliche die Hauptverantwortlichen für die Wahrung der Datenschutzrechte, die betroffenen Personen durch die DSGVO zustehen. Diese Rechte (siehe Abbildung 1) stehen in engem Zusammenhang mit den in Artikel 5 Absatz 1 DSGVO festgelegten Grundsätzen der Verarbeitung personenbezogener Daten: (1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz, (2) Zweckbindung, (3) Datenminimierung, (4) Richtigkeit, (5) Speicherbegrenzung und (6) Integrität und Vertraulichkeit.

 

Abbildung 1: Probengebende in Biobanken als betroffene Personen: Datenschutzrechte gemäß der DSGVO

 

 

Zusammenfassend gilt für Probengebende, die unter die Bestimmungen der DSGVO fallen, Folgendes[13]:

  • Es besteht eine rechtliche Grundlage für die Verarbeitung ihrer Daten – gemäß dem Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Artikel 5 Abs. 1 lit. a DSGVO).
    Wenn die Einwilligung die rechtliche Grundlage darstellt, muss ihr die Bereitstellung relevanter Informationen vorausgehen. Dazu gehört unter anderem die Information [14] über das Recht der betroffenen Person, die Einwilligung jederzeit zu widerrufen.
    Dieses Informationsrecht ergibt sich aus dem Grundsatz der Rechtmäßigkeit und steht unabhängig vom „informed consent“ – also der informierten Einwilligung – im medizinischen Sinne [15]. Es ist eng verknüpft mit dem Recht auf Datenübertragbarkeit (Artikel 20 DSGVO).
    Betroffene Personen haben außerdem das Recht auf Auskunft über die sie betreffenden Daten (Artikel 15 DSGVO).
    Wenn die Verarbeitung auf öffentlichem Interesse (Artikel 6 Abs. 1 lit. e) oder berechtigten Interessen (Artikel 6 Abs. 1 lit. f) basiert, steht den betroffenen Personen auch das Recht auf Widerspruch gegen die Verarbeitung zu (Artikel 21 DSGVO).
    Zentrale Artikel: 5, 6, 7, 13, 15, 20, 21 DSGVO.
  • Ihre personenbezogenen Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden. Dies steht im Einklang mit dem Grundsatz der Zweckbindung. Eine Weiterverarbeitung, d. h. eine Verarbeitung für einen „[…] anderen Zweck als den, für den die personenbezogenen Daten erhoben wurden […]“ (Artikel 13 Absatz 3), ist nur unter ganz bestimmten Umständen zulässig (Artikel 5 Absatz 1 Buchstabe b). Wenn eine solche Weiterverarbeitung geplant ist, müssen die betroffenen Personen über diese Absicht unterrichtet werden (Artikel 13 Absatz 3). Zentrale Artikel: 5 und 13 DSGVO
  • Die von der Biobank erhobenen personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
    Dies folgt aus dem Grundsatz der Datenminimierung (Artikel 5 Abs. 1 lit. c DSGVO).
    Die Biobank sollte zudem prüfen, ob der Verarbeitungszweck nicht auch mit anderen, weniger eingreifenden Mitteln erreicht werden kann (Erwägungsgrund 39 DSGVO).
    Zentraler Artikel: 5 DSGVO.
  • Die bereitgestellten personenbezogenen Daten müssen korrekt sein und können auf Wunsch der betroffenen Person jederzeit berichtigt werden.
    Die Pflicht, die Daten korrekt zu halten, liegt bei der Biobank (Artikel 5 Abs. 1 lit. d DSGVO).
    Betroffene Personen haben das Recht auf Berichtigung und Löschung (Artikel 16 und 17 DSGVO).
    Wenn die Richtigkeit der Daten bestritten wird, können betroffene Personen auch die Einschränkung der Verarbeitung verlangen (Artikel 19 DSGVO).
    Zentrale Artikel: 5, 16, 17, 19 DSGVO.
  • Sobald die erhobenen personenbezogenen Daten für die ursprünglichen Zwecke nicht mehr erforderlich sind, werden sie anonymisiert oder gelöscht.
    Dies folgt aus dem Grundsatz der Speicherbegrenzung (Artikel 5 Abs. 1 lit. e DSGVO).
    Entsprechend dem Recht auf Information werden betroffene Personen darüber informiert, wie lange ihre Daten gespeichert werden (Artikel 13 Abs. 2 und Artikel 14 Abs. 2 DSGVO).
    Falls die Daten zwar für den ursprünglichen Zweck nicht mehr benötigt werden, aber aus rechtlichen Gründen nicht gelöscht werden dürfen, kann ebenfalls eine Einschränkung der Verarbeitung verlangt werden (Artikel 19 DSGVO).
    Zentrale Artikel: 5, 13, 14, 19 DSGVO.
  • Die Daten sind durch geeignete technische und organisatorische Maßnahmen gegen unbefugte oder unrechtmäßige Verarbeitung sowie gegen unbeabsichtigten Verlust, Zerstörung oder Beschädigung geschützt.
    Das folgt aus dem Grundsatz der Integrität und Vertraulichkeit (Artikel 5 Abs. 1 lit. f DSGVO).
    Im Falle einer Datenschutzverletzung werden betroffene Personen gemäß Artikel 34 DSGVO benachrichtigt.
    Es bestehen somit Maßnahmen, die sicherstellen, dass die Daten der betroffenen Personen geschützt sind.

Zentrale Artikel: 5, 13, 34 DSGVO.

  1. Sie haben gemäß Artikel 22 der DSGVO das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruht, wenn diese Entscheidung rechtliche Auswirkungen auf die betroffene Person hat oder sie in ähnlicher Weise erheblich beeinträchtigt.
    Zentraler Artikel: Artikel 22.
  2. Biobanken, sofern sie als datenschutzrechtliche Verantwortliche gelten, sind verantwortlich für und müssen die Einhaltung von Absatz 1 des Artikels 5 der DSGVO nachweisen können. Die betroffenen Personen werden über „die Identität und die Kontaktdaten des Verantwortlichen und gegebenenfalls des Vertreters des Verantwortlichen“ informiert (Artikel 13 Abs. 1 lit. a). In Fällen, in denen ein Datenschutzbeauftragter bestellt ist, werden dessen Kontaktdaten ebenfalls den betroffenen Personen zur Verfügung gestellt (Artikel 13 Abs. 1 lit. b).
    Zentrale Artikel: 5 und 13.
  3. Die Überwachung der Anwendung der DSGVO obliegt unabhängigen öffentlichen Behörden in jedem Mitgliedstaat (Artikel 51 und 57). Betroffene Personen können bei einer Aufsichtsbehörde gemäß Artikel 77 Beschwerde einlegen, andere verfügbare Verwaltungs- oder außergerichtliche Rechtsbehelfe in Anspruch nehmen oder ihr Recht auf einen wirksamen gerichtlichen Rechtsbehelf geltend machen, wenn sie der Ansicht sind, dass ihre Rechte aus der DSGVO infolge einer nicht regelkonformen Verarbeitung ihrer personenbezogenen Daten verletzt wurden (Artikel 79).
    Zentrale Artikel: 51, 57, 77 und 79.

 

 

2. Datenaltruismus

 

Ein weiterer Punkt von besonderem Interesse für betroffene Personen, die Proben für Biobanking-Aktivitäten spenden, ist das Konzept des Datenaltruismus. Der Data Governance Act (DGA)[16] „[…] zielt darauf ab, die weitere gemeinsame Nutzung personenbezogener Daten zu erleichtern, indem er das Konzept des Datenaltruismus einführt[17]“ und definiert diesen als „[…] die freiwillige Weitergabe von Daten auf Grundlage der Zustimmung der betroffenen Personen zur Verarbeitung personenbezogener Daten, die sie betreffen, oder der Erlaubnis der Dateninhaber zur Nutzung ihrer nicht-personenbezogenen Daten, ohne eine Belohnung zu erhalten, die über eine Kostenerstattung hinausgeht, wenn sie ihre Daten für Zwecke von allgemeinem Interesse gemäß nationalem Recht, sofern anwendbar, bereitstellen, wie zum Beispiel im Gesundheitswesen […] oder für wissenschaftliche Forschungszwecke im öffentlichen Interesse“ (Artikel 2 Absatz 16, Hervorhebung durch Verfasser). Für Probenspender*innen und Biobanken stellen die Bestimmungen über den Datenaltruismus einen Mechanismus dar, der als interessant angesehen werden kann, um u. a. das Verfahren zur Einholung der Einwilligung in die Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten: Artikel 3 der DGA, a contrario) zu diesen wissenschaftlichen Zwecken zu vereinfachen. Dies ist möglich, da die DGA vorsieht, dass die Europäische Kommission ein Standard-Einwilligungsformular für den Datenaltruismus ausarbeitet[18].

 

Dies könnte Biobanken dabei helfen, die unterschiedlichen nationalen Umsetzungen der DSGVO zu überwinden, insbesondere in Bezug auf die Einwilligung und ihre Verwendung als Rechtsgrundlage für wissenschaftliche Forschung[19]. Fragen im Zusammenhang mit der Einwilligung, die bereits in der DSGVO[20] geregelt sind, wie das Recht der betroffenen Personen, ihre Einwilligung zu widerrufen (wenn auch für „eine bestimmte Datenverarbeitung“, was nicht mit dem Wortlaut von Erwägungsgrund 33 der Datenschutz-Grundverordnung und den Erwägungsgründen 26 und 50 der DSGVO übereinstimmt, die sich auf die Einwilligung in „bestimmte Bereiche der wissenschaftlichen Forschung“ beziehen), werden in die DSGVO aufgenommen. Anliegen wie die „leichte Verständlichkeit“ der Formulare (Artikel 25 Absatz 4 der DSGVO) stehen im Einklang mit den Transparenzerwägungen der Datenschutz-Grundverordnung (Erwägungsgründe 39, 58 und Artikel 5 Absatz 1 Buchstabe a)).

HinweisDies ist eine Übersetzung der ursprünglichen Antwort auf Englisch. Die ursprüngliche Antwort ist als PDF verfügbar (siehe unten). Im Zweifelsfall konsultieren Sie bitte die auf Englisch verfasste Version der Antwort.

Download Rechtliche Fragen & Antworten: Rechte als Spender*in, Datensicherheit und Umgang mit Daten (Englisch)

Quellen:

[1] Datenschutz-Grundverordnung: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

[2] Im Sinne von Artikel 4 Absatz 15 der DSGVO.

[3] Der räumliche Anwendungsbereich der DSGVO, wie in Artikel 3 der Verordnung beschrieben, bedeutet, dass Biobanken mit Sitz in der EU (Erwägungsgrund 22), die personenbezogene Daten verarbeiten (was gemäß Artikel 4 Absatz 2 der DSGVO eine breite Palette von Verarbeitungsvorgängen umfasst, wie z. B. „[…] Erhebung, Speicherung, Organisation, Strukturierung, Anpassung oder Veränderung, Abruf, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung“), verpflichtet sind, die sich aus der DSGVO ergebenden Datenschutzpflichten einzuhalten.

[4] Bundesgesetz über allgemeine Angelegenheiten gemäß Art. 89 DSGVO und die Forschungsorganisation (Forschungsorganisationsgesetz – FOG), StF: BGBl. Nr. 341/1981 (Stand 09.07.2024).

[5] Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), StF: BGBl. I Nr. 165/1999.

[6] Artikel 4 Absatz 11 der DSGVO.

[7] Artikel 4 Absatz 2 der DSGVO.

[8] Für einen Überblick zum Thema Einwilligung siehe: Cippitani, R. (2023). Consent Requirements: What Are the Terms and Conditions of Informed Consent? In GDPR Requirements for Biobanking Activities Across Europe (Hrsg. Valentina Colcelli / Roberto Cippitani / Christoph Brochhausen-Delius / Rainer Arnold). Springer International Publishing, S. 97–108.

[9] Artikel 7 Absatz 3 und Erwägungsgrund 65 der DSGVO.

[10] Wie von den Autoren beschrieben: „Ob Biobanken für die Zwecke der DSGVO-Compliance die Rolle von Verantwortlichen und/oder Auftragsverarbeitern übernehmen, hängt weitgehend von ihren tatsächlichen Funktionen, der Arbeitsweise und davon ab, ob die spezifischen Aufgaben als Verarbeitung personenbezogener Daten angesehen werden können“, in: Nordberg, A. (2021). Biobank and biomedical research: responsibilities of controllers and processors under the EU General Data Protection Regulation. GDPR and Biobanking: Individual Rights, Public Interest and Research Regulation across Europe, S. 61–89, S. 62.

[11] DSGVO, Artikel 4 Absatz 7.

[12] Artikel 6 und 7 der DSGVO.

[13] Eine ausführliche Beschreibung der individuellen Rechte im Kontext der Biobankforschung findet sich in Staunton, Ciara (2021). Individual Rights in Biobank Research Under the GDPR. GDPR and Biobanking: Individual Rights, Public Interest and Research Regulation across Europe, S. 91–104.

[14] Forgó, N., Kollek, R., Arning, M., Kruegel, T. & Petersen, I. (2010). Ethical and Legal Requirements for Transnational Genetic Research. C.H. Beck, Hart, Nomos, S. 30–31.

[15] Staunton, Ciara (2021), Op. Cit., S. 93.

[16] Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über die europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Data Governance Act) (Text mit EWR-Relevanz). Der DGA trat am 23. Juni 2022 in Kraft (und wurde im September 2023 anwendbar – Artikel 38 DGA) und ist eines der neuen Rechtsinstrumente, die Lösungen für die Verfügbarkeit von Daten, Marktungleichgewichte, Daten-Governance, Interoperabilität und Qualitätsprobleme bieten sollen, wie sie in der im Februar 2020 veröffentlichten „Europäischen Datenstrategie“ beschrieben sind.

[17] Ruohonen, J. & Mickelsson, S. (2023). Reflections on the data governance act. Digital Society, 2(1), 10.

[18] Erwägungsgrund 52 und Artikel 25 des DGA.

[19] Dies wird teilweise durch die Antwort auf Frage Nr. 18 abgedeckt.

[20] Die Regelungen bleiben davon unberührt: Artikel 1 Absatz 3 des DGA.

 

 

 

HinweisDieser Kommentar soll eine Zusammenfassung der wichtigsten ethischen und rechtlichen Fragen im Zusammenhang mit den von interessierten Kreisen gestellten Fragen bieten und sie auf die einschlägigen anwendbaren Rechtsvorschriften verweisen. Er schließt jedoch die Lektüre der offiziellen Rechtsquellen zu den in diesem Dokument behandelten Themen sowie der von den Autor*innen zitierten Rechtsquellen nicht aus und stellt keine Rechtsberatung dar.