BBMRI.at Legal Knowledge Base
Rechtliche Fragen & Antworten: Wie ist der rechtliche Stand der „Broad Consent“ in Österreich?
BBRMI.at-Partner UNIVIE führt in das Thema des Broad Consent aus Sicht der Datenschutz-Grundverordnung (DSGVO) ein und beleuchtet die Perspektive des österreichischen Forschungsorganisationsgesetzes (FOG). Des Weiteren wird das Verhältnis zwischen der breiten Einwilligung gemäß §2d Absatz 3 FOG und §2f FOG erläutert.
BBMRI.at Legal Helpdesk
Der BBMRI.at Legal Helpdesk Service – betrieben von Rechtsexpert*innen des BBMRI.at-Partners UNIVIE – beantwortet Fragen zu rechtlichen und regulatorischen Angelegenheiten im Zusammenhang mit Biobanking und/oder der Verwendung biologischer Proben und Daten. Dieser Service wird BBMRI.at-Partnern zur Unterstützung angeboten, da Biobanking und Forschung mit biologischen Proben und Daten (z.B. menschlich, tierisch/veterinär, mikrobiell, etc.) rechtliche Fragen aufwerfen können. Die Antworten von UNIVIE auf rechtliche Fragen werden in der BBMRI.at Knowledge Base veröffentlicht.
FRAGE:
Rechtliche Fragen & Antworten: Wie ist der rechtliche Stand der breiten Einwilligung in Österreich?
ANTWORT:
1. Einwilligung gemäß DSGVO
Im Rahmen der Datenschutz-Grundverordnung (DSGVO))[1] kann die Einwilligung definiert werden als „[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Artikel 4 Absatz 11). Eine Einwilligung gilt als spezifisch, wenn die betroffene Person in eine bestimmte Datenverarbeitung einwilligt[2]. Im Rahmen der wissenschaftlichen Forschung ist es „[…] oft nicht möglich, den Zweck der Verarbeitung personenbezogener Daten vollständig zu bestimmen“ (Erwägungsgrund 33 der DSGVO). Um diesen Umstand abzumildern, besteht die Möglichkeit, dass eine Einwilligung für „[…] bestimmte Bereiche der wissenschaftlichen Forschung“ erteilt werden kann, vorausgesetzt, die Verfahren entsprechen anerkannten ethischen Standards für die wissenschaftliche Forschung, z. B. einer Prüfung durch eine Ethikkommission[3]. Diese Form der „breiten Einwilligung“ ist nach Erwägungsgrund 33 der Datenschutz-Grundverordnung ausnahmsweise zulässig, d. h. „[…] wenn die Zwecke der Datenverarbeitung im Rahmen eines wissenschaftlichen Forschungsprojekts nicht von Anfang an festgelegt werden können, gestattet Erwägungsgrund 33 ausnahmsweise, dass der Zweck auf einer allgemeineren Ebene beschrieben werden kann […]“ [übersetzt aus Englisch][4]. Dennoch „[…] werden dadurch die Verpflichtungen hinsichtlich des Erfordernisses einer spezifischen Einwilligung nicht aufgehoben“ [übersetzt aus Englisch][5].
Für Biobanken ist es wahrscheinlich, dass Gesundheitsdaten – Artikel 4 Absatz 15 DSGVO – im Rahmen ihrer Tätigkeiten verarbeitet werden, an denen sie beteiligt sind. Gesundheitsdaten (Artikel 4 Absatz 15) sind eine besondere Kategorie personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO. Für die Verarbeitung von Gesundheitsdaten muss eine Rechtsgrundlage sowohl nach Artikel 6 als auch nach Artikel 9 DSGVO festgelegt werden [6]. In diesem Zusammenhang ist darauf hinzuweisen, dass in den Fällen, in denen besondere Datenkategorien verarbeitet werden und die Rechtsgrundlage für die Verarbeitung eine ausdrückliche Einwilligung ist, „[…] die Anwendung des flexiblen Ansatzes von Erwägungsgrund 33 unterliegt einer engeren Auslegung und erfordert ein hohes Maß an Kontrolle“ [übersetzt aus Englisch].[7] Die Zulässigkeit einer breiten Einwilligung nach der DSGVO kommt Biobanken zugute, da sie als Einrichtungen gelten, die wissenschaftliche Forschung im Sinne von Artikel 89 der DSGVO betreiben[8].
2. Österreichischer Ansatz für die breite Einwilligung
Österreich ist einer der wenigen Mitgliedstaaten der Europäischen Union[9], in denen die breite Einwilligung, auch Broad Consent genannt, ausdrücklich in der nationalen Gesetzgebung geregelt ist – und zwar für Archivzwecke im öffentlichen Interesse, für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke im Sinne von Art. 89 Abs. 1 DSGVO (§ 1 Abs. 3). Tatsächlich sieht das österreichische Forschungsorganisationsgesetz (FOG) in § 2d Abs. 3 vor, dass die betroffene Person (informiert, eindeutig und aktiv) in die Verarbeitung personenbezogener Daten einwilligen kann – und zwar im Rahmen eines Forschungsbereichs, mehrerer Forschungsbereiche, von Forschungsprojekten oder Teilen davon –, sofern die Datenverarbeitung auf einer Rechtsgrundlage gemäß Art. 9 Abs. 2 lit. j DSGVO beruht.
Im Fall der von Biobanken durchgeführten Tätigkeiten besteht die Notwendigkeit, das Verhältnis zwischen § 2d Abs. 3 und § 2f FOG zu klären.
Gemäß dem FOG dürfen Biobanken als „wissenschaftliche Einrichtungen“ (§ 2f Abs. 1 FOG), die Forschungsmaterial sammeln, archivieren und systematisch erfassen, personenbezogene Daten im Sinne von § 2f Abs. 2 FOG verarbeiten, um optimalen Zugang zu Daten und Forschungsmaterial für Zwecke gemäß Art. 89 Abs. 1 DSGVO zu gewährleisten – also zur Erstellung und Aufrechterhaltung von „Repositorien“ – basierend auf Art. 9 Abs. 2 lit. j DSGVO und § 2f Abs. 1 FOG. Mit anderen Worten: Für diese Tätigkeiten und Zwecke benötigen Biobanken keine Broad Consent als Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Einzelpersonen, sondern sie dürfen sich direkt auf die in § 2f FOG definierten Regelungen stützen. Nichtsdestotrotz muss betont werden, dass diese Rechtsgrundlage ausdrücklich und ausschließlich für Tätigkeiten wie das Sammeln, Archivieren und systematische Erfassen von Forschungsmaterial gilt – also für „Repositorien-Tätigkeiten“. Mit anderen Worten: Die Zwecke, für die Biobanken keine Broad Consent einholen müssen, sind sehr klar definiert und begrenzt. In der Folge müssen Forscher*innen, die beabsichtigen, personenbezogene Daten aus Biobanken für ihre (d. h. die der Forscher*innen) Forschungszwecke zu verwenden, die nicht den Zwecken wie Sammlung, Archivierung und systematische Erfassung von Forschungsmaterial entsprechen, sicherstellen, dass sie eine Broad Consent im Sinne von § 2d Abs. 3 FOG für ihre Forschungszwecke eingeholt haben. Andernfalls dürfen die Daten gemäß dem derzeit geltenden nationalen Recht nicht für wissenschaftliche Forschungszwecke der genannten Forscher*innen verwendet werden.
Hinweis: Dies ist eine Übersetzung der ursprünglichen Antwort auf Englisch. Die ursprüngliche Antwort ist als PDF verfügbar (siehe unten). Im Zweifelsfall konsultieren Sie bitte die auf Englisch verfasste Version der Antwort.
Quellen:
[1] Datenschutz-Grundverordnung (DSGVO): Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Die DSGVO ist ein Text mit EWR-Relevanz. Sie ist zudem im Anhang XI des EWR-Abkommens enthalten (vgl. § 5e).
[2] Die EU-Datenschutz-Grundverordnung (DSGVO), herausgegeben von Kuner, C. / Bygrave, L. A. / Docksey, C., Oxford University Press, 2020, S. 183.
[3] Nordberg, A. (2021). Biobank- und biomedizinische Forschung: Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeitern nach der EU-Datenschutz-Grundverordnung. In: DSGVO und Biobanking: Individuelle Rechte, öffentliches Interesse und Forschungsregulierung in Europa (Hrsg. Slokenberga, S., Tzortzatou, O. & Reichel, J.), Springer International Publishing, S. 61–89, S. 78.
[4] Europäischer Datenschutzausschuss (EDSA), EDSA-Dokument als Antwort auf das Ersuchen der Europäischen Kommission um Klarstellungen zur einheitlichen Anwendung der DSGVO, mit Fokus auf die Gesundheitsforschung. Verabschiedet am 2. Februar 2021, §§ 25–28.
[5] Artikel-29-Datenschutzgruppe (2018). Leitlinien zur Einwilligung gemäß Verordnung 2016/679, (17/EN WP259 rev.01), S. 28.
[6] Die EU-Datenschutz-Grundverordnung (DSGVO), a.a.O., S. 376.
[7] Europäischer Datenschutzausschuss (EDSA), a.a.O., § 28.
[8] Hoppe, N. (2021). Die Regulierung des Biobankings in Deutschland. In: DSGVO und Biobanking: Individuelle Rechte, öffentliches Interesse und Forschungsregulierung in Europa (Hrsg. Slokenberga, S., Tzortzatou, O. & Reichel, J.), Springer International Publishing, S. 277–290, S. 288.
[9] Rat der Europäischen Union, Arbeitsdokument der Kommissionsdienststellen: Folgenabschätzungsbericht zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten, Dokument: 2. ST 8751 2022 ADD 4. 06.05.2022, verfügbar unter: EUR-Lex – ST_8751_2022_ADD_4 – EN – EUR-Lex (europa.eu) (abgerufen am: 08.07.2024).
[10] Bundesgesetz über allgemeine Angelegenheiten gemäß Art. 89 DSGVO und die Forschungsorganisation (Forschungsorganisationsgesetz – FOG), Stammfassung: BGBl. Nr. 341/1981. Verfügbar unter: RIS – Forschungsorganisationsgesetz – Bundesrecht konsolidiert, Fassung vom 09.07.2024 (bka.gv.at) (abgerufen am: 09.07.2024).
Hinweis: Dieser Kommentar soll eine Zusammenfassung der wichtigsten ethischen und rechtlichen Fragen im Zusammenhang mit den von interessierten Kreisen gestellten Fragen bieten und sie auf die einschlägigen anwendbaren Rechtsvorschriften verweisen. Er schließt jedoch die Lektüre der offiziellen Rechtsquellen zu den in diesem Dokument behandelten Themen sowie der von den Autor*innen zitierten Rechtsquellen nicht aus und stellt keine Rechtsberatung dar.