BBMRI.at Legal Knowledge Base

Rechtliche Fragen und Antworten: Wie ist der Umgang mit genetischen Daten und Gesundheitsdaten für die Gesundheitsdaten einerseits und die Forschung andererseits geregelt?

Gemäß der Datenschutz- Grundverordnung (DSGVO) werden genetische Daten als sensible personenbezogene Daten anerkannt, die strenge Verarbeitungsbedingungen erfordern. Neben den DSGVO-Bestimmungen unterstreicht der folgende Artikel, wie die österreichischen nationalen Gesetze zusätzliche Schutzmaßnahmen für die Erhebung und Verwendung genetischer Daten vorsehen.

BBMRI.at Legal Helpdesk

Der BBMRI.at Legal Helpdesk beantwortet Fragen zu rechtlichen und regulatorischen Themen rund um Biobanking und/oder die Verwendung von biologischen Proben und Daten. Dieser Service wird BBMRI.at-Partnern angeboten, um sie zu unterstützen, da Biobanking und Forschung mit biologischen Proben und Daten (z.B. menschliche, tierische/veterinäre, mikrobielle, etc.) rechtliche Fragen aufwerfen können.

 

FRAGE: 

Rechtliche Fragen & Antworten: Wie ist der Umgang mit genetischen Daten und Gesundheitsdaten für die Gesundheitsversorgung einerseits und die Forschung andererseits geregelt?

 

ANTWORT:

 

Im Rahmen der Datenschutz-Grundverordnung (DSGVO) werden genetische Daten als eine sensible Kategorie personenbezogener Daten anerkannt, die strenge Verarbeitungsbedingungen erfordern.

Österreichische Gesetze, wie das Gentechnikgesetz (GTG) und das Forschungsorganisationsgesetz (FOG), bieten zusätzliche Schutzmaßnahmen für die Erhebung und Verwendung genetischer Daten, insbesondere im Gesundheitswesen und in der Forschung. Diese nationalen Gesetze legen spezifische Kriterien für Gentests, die De-Identifizierung von Daten und die Einwilligung fest.

 

1. Genetische Daten als personenbezogene Daten und gemeinsame Nutzung im Rahmen der Datenschutz-Grundverordnung 

 

Für die Zwecke dieser Antwort gehen wir davon aus, dass sich die Frage auf Situationen wie den Austausch personenbezogener Daten (gemäß der Definition in Artikel 4 Absatz 1 der DSGVO[1]) zwischen Organisationen, die Zusammenführung von Informationen durch mehrere Organisationen und deren gegenseitige Bereitstellung, die Bereitstellung von Daten an einen oder mehrere Dritte usw.[2] bezieht. Aus diesem Kontext geht hervor, dass es speziell um die gemeinsame Nutzung personenbezogener Daten geht, bei denen es sich um genetische Daten handelt, wie in Artikel 4 Absatz 13 der DSGVO vorgesehen.

 

Nach der DSGVO ist die gemeinsame Nutzung von Daten eine Form der Datenverarbeitung (Artikel 4 Absatz 2), die strengen Bedingungen unterliegt. Der durch das GTG geschaffene nationale Rechtsrahmen in Bezug auf genetische Daten steht daher neben den Rechtsvorschriften der Europäischen Union zum Thema Datenschutz – nämlich der DSGVO (siehe Erwägungsgründe 34, 35, 53, 71, 75 sowie Artikel 4 Absatz 1, 4 Absatz 13, 9 Absatz 1 und 4), die genetische Daten als eine Form personenbezogener Daten einstuft (Erwägungsgrund 34 und Artikel 4 Absatz 1) – und internationalen Rechtsinstrumenten und „Soft Law“, die den Akteuren in Fragen des Datenschutzes eine Orientierungshilfe bieten und die bei der Behandlung der vorliegenden Thematik berücksichtigt werden müssen.

 

Wir haben festgestellt, dass genetische Daten personenbezogene Daten sind und dass die gemeinsame Nutzung von Daten als eine Form der Datenverarbeitung in den Anwendungsbereich der DSGVO fällt. Abgesehen von allen Bedingungen, die in der DSGVO für die Verarbeitung personenbezogener Daten festgelegt sind (einschließlich spezifischer Rollen und Verantwortlichkeiten für diejenigen, die diese Maßnahmen durchführen – z. B. Artikel 26 und 28 der DSGVO) und der möglichen Notwendigkeit, eine Datenschutz-Folgenabschätzung durchzuführen (Artikel 35), fallen genetische Daten in einen besonderen Schutzrahmen, da es sich um eine besondere Kategorie personenbezogener Daten handelt (Artikel 9), die oft als sensible Daten bezeichnet werden (siehe Erwägungsgrund 10). Die Weitergabe personenbezogener Daten an Dritte sollte nur auf der Grundlage einer vertraglichen Vereinbarung erfolgen, in der die Zuständigkeiten der Parteien in Bezug auf die DSGVO festgelegt sind – einer Vereinbarung über die gemeinsame Nutzung von Daten.

 

Dabei kann es sich um eine Vereinbarung zwischen einem für die Verarbeitung Verantwortlichen und einem oder mehreren Auftragsverarbeitern, zwischen zwei oder mehreren gemeinsam für die Verarbeitung Verantwortlichen oder zwischen dem für die Verarbeitung Verantwortlichen und einem Datenempfänger handeln (Artikel 26 und 28 DSGVO).

 

Personenbezogene Daten, die für Zwecke der Gesundheitsfürsorge erhoben wurden, einschließlich sensibler Daten, können in den meisten Fällen auch für wissenschaftliche Forschungszwecke weiterverarbeitet werden, da diese nach der DSGVO standardmäßig als mit dem ursprünglichen Erhebungszweck vereinbar gelten (Artikel 9 Absatz 2 Buchstabe j, Artikel 5 Absatz 1 Buchstabe b und Artikel 89 Absatz 1 DSGVO). Andere Verpflichtungen der DSGVO gelten jedoch weiterhin. Darüber hinaus können die EU-Mitgliedstaaten ihre eigenen Vorschriften für die Verarbeitung personenbezogener Daten zu Forschungszwecken einführen (Artikel 89 Absatz 1 DSGVO). In Österreich findet sich dies im Forschungsorganisationsgesetz (FOG)[3].

 

Wie in Artikel 9 Absatz 2 festgelegt, ist die ausdrückliche Zustimmung der betroffenen Person neben anderen Gründen eine rechtmäßige Grundlage für die Verarbeitung genetischer Daten (Artikel 9 Absatz 2 Buchstabe a)). Die Datenschutz-Grundverordnung erlaubt es den Mitgliedstaaten, „[…] weitere Bedingungen, einschließlich Einschränkungen, für die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuführen“ (Artikel 9 Absatz 4 und Erwägungsgrund 53). Dadurch werden die nationalen Vorschriften mit dem EU-Rahmen verknüpft.

 

2.  Österreichisches Recht und der Austausch genetischer Daten

 

Wie bereits erwähnt, sieht das GTG unterschiedliche Voraussetzungen für Gentests zu medizinischen Zwecken (§ 65) und für Gentests zu wissenschaftlichen und pädagogischen Zwecken (§ 66) vor. Siehe jene Voraussetzungen in der nachstehenden Tabelle (Englisch):

 

Das österreichische Datenschutzgesetz (DSG[5]) ist eines der in Artikel 71 Absatz 3 GTG genannten Gesetze. Das Recht auf Geheimhaltung personenbezogener Daten ist in § 1 des GTG verankert, das auch Bestimmungen über die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken (§ 7) enthält. Weiters wird in §8, der die Übermittlung von Adressdaten einer bestimmten Gruppe von Betroffenen zum Zwecke der Benachrichtigung oder Befragung regelt, festgelegt, dass eine solche Übermittlung die Einwilligung der betroffenen Personen erfordert (§8 Abs. 1).

 

Der andere Rechtsakt, der nach § 71 Abs. 3 GTG anwendbar bleibt, ist das Gesundheitstelematikgesetz 2012[6], das wichtige Regelungen enthält, die unter anderem für die elektronische Übermittlung von genetischen Daten gelten (§ 3, § 4, § 6, § 7).

 

In Artikel 66 Absatz 3 heißt es, dass bestimmte Absätze des Forschungsorganisationsgesetzes (FOG[7]) auf humangenetische Analysen zu Bildungs- und Wissenschaftszwecken anwendbar sind und dass sie für die Bestimmung der Bedingungen, unter denen eine Datenverarbeitung durchgeführt werden kann, am wichtigsten sind. Für wissenschaftliche Einrichtungen, die gemäß Artikel 89 der DSGVO Daten aufbewahren, bestehen besondere Verpflichtungen. Da gemäß § 66 Abs. 3 GTG ab dem ersten Absatz des § 2f FOG nur mehr die Ziffer 6 gilt, besteht ein erhöhter Schutz der betroffenen Person und es dürfen in diesen Speichern keine Daten gespeichert werden, die zur Identifizierung der jeweiligen Person führen können.

 

3. Zusätzliche hilfreiche Quellen 

 

Rechtliche:

 

Europarat, Übereinkommen zum Schutz der Menschenrechte und der Menschenwürde im Hinblick auf die Anwendung von Biologie und Medizin: Übereinkommen über Menschenrechte und Biomedizin, 1999. Österreich ist dieser Konvention nicht beigetreten. Dennoch steht die österreichische Gesetzgebung im Einklang mit Artikel 12 der Konvention, in dem es heißt: „Untersuchungen, die es ermöglichen, genetisch bedingte Krankheiten vorherzusagen oder bei einer Person entweder das Vorhandensein eines für eine Krankheit verantwortlichen Gens festzustellen oder eine genetische Prädisposition oder Anfälligkeit für eine Krankheit zu erkennen, dürfen nur für Gesundheitszwecke oder für gesundheitsbezogene wissenschaftliche Forschung und nur unter der Vorraussetzung einer angemessenen genetischen Beratung vorgenommen werden“.

 

Zusatzprotokoll zur Konvention über Menschenrechte und Biomedizin betreffend Gentests zu Gesundheitszwecken, Europarat, 2008 (SEV 203). Österreich ist kein Unterzeichnerstaat dieses Protokolls. Dennoch bietet es einen guten Einblick in die rechtlichen und ethischen Fragen, die das vorliegende Thema betreffen.

 

Andere: 

 

Leitlinien und Stellungnahmen der Österreichischen Gesellschaft für Humangenetik, abrufbar unter: http://www.oegh.at/index.php?option=com_content&view=category&layout=blog&id=9&Itemid=16

 

Ressourcen des Bundesministeriums für Bildung, Wissenschaft und Forschung (BMBWF), verfügbar unter: https://www.bmbwf.gv.at/Themen/Forschung/Forschung-in-%C3%96sterreich/Services/Gentechnik.html

 

Ressourcen des Umweltbundesamtes, abrufbar unter: https://www.umweltbundesamt.at/

 

Bundeskanzleramt Österreich – Bioethikkommission, Stellungnahme der Bioethikkommission zu Gen und Genomtests im Internet, 10.05.2010, abrufbar unter: https://www.bundeskanzleramt.gv.at/dam/jcr:821b891a-4217-49e7-abb2-1effe6f3fc4a/Stellungnahme_der_Bioethikkommission_zu_Gen-_und_Genomtests_im_Internet_vom_10._Mai_2010.pdf

 

Verfügbare Dokumente sind u.a. eine Stellungnahme zur somatischen Diagnostik von Tumorgewebe der BRCA1- und BRCA2-Gene und anderer Gene sowie eine Leitlinie zur molekulargenetischen Diagnostik mit Hochdurchsatz-Keimbahnmethoden, wie z.B. Next-Generation-Sequencing.

 

Weitere relevante Dokumente:

 

Stellungnahme der Bioethikkommission beim Bundeskanzleramt zum Entwurf eines Bundesgesetzes, mit dem das Fortpflanzungsmedizingesetz, das Allgemeine bürgerliche Gesetzbuch und das Gentechnikgesetz geändert werden (Fortpflanzungsmedizinrechts-Änderungsgesetz 2015 – FMedRÄG 2015), verfügbar unter: https://www.bundeskanzleramt.gv.at/dam/jcr:ecbae513-5ea7-4c76-867e-6316bff33baf/FMedRAEG_2015.pdf

 

Draft WHO principles for human genome data access, use and sharing, World Health Organization, 8 April 2024, available from: who-principles-human-genome-data-access–use–and-sharing_public-consultation_8-april.pdf (Englisch)

 

 

Hinweis: Dies ist eine Übersetzung der ursprünglichen Antwort auf Englisch. Die ursprüngliche Antwort ist als PDF verfügbar (siehe unten). Im Zweifelsfall konsultieren Sie bitte die auf Englisch verfasste Version der Antwort.

Download Rechtliche Fragen & Antworten: Wie ist der Austausch genetischer Gesundheitsdaten für die Gesundheitsversorgung und die Forschung geregelt? (Englisch)

Quellen:

 

[1] Datenschutz-Grundverordnung: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

[2] ICO (Information Commissioner’s Office), Data sharing code of practice , 17. Oktober 2022 – 1.0.31, S. 20.

[3] § 2f FOG Datengrundlagen für Tätigkeiten zu Zwecken gemäß Art. 89 Abs. 1 DSGVO.

[4] Der Artikel war im Laufe der Jahre Gegenstand einiger Diskussionen und war Gegenstand einer Entscheidung des Verfassungsgerichtshofs im Jahr 2015. Siehe Verfassungsgerichtshof, 08.10.2015, Geschäftszahl: G20/2015 ua, Sammlungsnummer 20012, ECLI:AT:VFGH:2015. Verfügbar unter: https://www.ris.bka.gv.at/Dokumente/Vfgh/JFT_20151008_15G00020_00/JFT_20151008_15G00020_00.html (abgerufen am: 26.03.2024).

[5] Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG) StF: BGBl. I Nr. 165/1999. Verfügbar unter: RIS – Datenschutzgesetz – Bundesrecht konsolidiert, Fassung vom 26.03.2024 (bka.gv.at) (abgerufen am: 26.03.2024).

[6] Bundesgesetz über Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 – GTelG 2012), StF: BGBl. I Nr. 111/2012. Verfügbar unter: RIS – Gesundheitstelematikgesetz 2012 – Bundesrecht konsolidiert, Fassung vom 28.03.2024 (bka.gv.at) (abgerufen am: 28.03.2024).

[7] Bundesgesetz über allgemeine Angelegenheiten gemäß Art. 89 DSGVO und die Forschungsorganisation (Forschungsorganisationsgesetz – FOG), StF: BGBl. Nr. 341/1981. Verfügbar unter: RIS – Forschungsorganisationsgesetz – Bundesrecht konsolidiert, Fassung vom 26.03.2024 (bka.gv.at) (abgerufen am: 26.03.2024).

HinweisDieser Kommentar soll eine Zusammenfassung der wichtigsten ethischen und rechtlichen Fragen im Zusammenhang mit den von interessierten Kreisen gestellten Fragen bieten und sie auf die einschlägigen anwendbaren Rechtsvorschriften verweisen. Er schließt jedoch die Lektüre der offiziellen Rechtsquellen zu den in diesem Dokument behandelten Themen sowie der von den Autor*innen zitierten Rechtsquellen nicht aus und stellt keine Rechtsberatung dar.