Datenschutz bei Forschungsvorhaben und Studien innerhalb des Universitätsklinikums Ruppin-Brandenburg und der Ostprignitz-Ruppiner Gesundheitsdienste GmbH (OGD)
- Allgemeines
- Einwilligung in ein Forschungsvorhaben / eine Studie
- Gesetzliche Erlaubnis als Rechtsgrundlage für die Durchführung eines Forschungsvorhabens / einer Studie
- Weitere gesetzliche Verpflichtungen (Anonymisieren, Pseudonymisieren, Maßnahmen bei Datenschutzverletzung), Veröffentlichungen
- Technische und organisatorische Maßnahmen (TOM), Datenschutz-Folgenabschätzung (DSFA)
- Zusammenarbeit mit anderen Forschungseinrichtungen und Datenübermittlungen
- Drittlandübermittlungen
- Risiken bei Datenverarbeitungen in Forschungsvorhaben und Studien
1. Allgemeines
Bei Forschungsvorhaben und Studien in der Medizin, Psychologie und Sozialforschung ist es in der Regel unvermeidlich, dass personenbezogene Daten, insbesondere Gesundheitsdaten, genetische Daten, biometrische Daten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person „verarbeitet“ werden. „Verarbeiten“ bedeutet hierbei: „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4, Ziff. 2. DSGVO).
Bei der Verarbeitung personenbezogener Daten sind grundsätzlich datenschutzrechtliche Regelungen zu beachten, das sind insbesondere: die Europäische Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie landesrechtliche Regelungen und weitere Spezialregelungen zum Datenschutz. Für das Land Brandenburg sind als landesrechtliche Regelungen das Branden-burgische Krankenhausentwicklungsgesetz (BbgKHEG) für Krankenhäuser und das Brandenburgische Datenschutzgesetz (BbgDSG) hervorzuheben.
Grundsätzlich gilt im Umgang mit personenbezogenen Daten das sogenannte „Verbot mit Erlaubnisvorbehalt“. Das heißt mit anderen Worten, dass die Verarbeitung derartiger Daten nicht gestattet ist, es sei denn, die betroffene Person hat ihre Einwilligung in die Verarbeitung ihrer Daten gegeben, oder eine gesetzliche Regelung erlaubt die konkrete Art der Datenverarbeitung.
2. Einwilligung in ein Forschungsvorhaben / eine Studie
In der Regel liegt bei Forschungsvorhaben und Studien eine informierte und freiwillig abgegebene Einwilligung der betroffenen Person als Forschungs- oder Studienteilnehmer vor. Um jemanden in ein Forschungsvorhaben oder eine Studie einschließen zu können, hat vorher eine umfassende Information der betroffenen Person zu erfolgen. Der Betroffene kann dabei im Vorfeld alle seine Fragen klären sowie nach entsprechender Bedenkzeit seine Einwilligung freiwillig abgeben. In den Informationen zu konkreten Forschungsvorhaben/Studien werden neben den ausführlichen inhaltlichen Erläuterungen auch Informationen zu den datenschutzrechtlichen Regelungen gegeben. Diese Informationen zum Datenschutz müssen gemäß Art. 13 bzw. Art. 14 DSGVO mindestens enthalten:
- Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
- Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
- wenn die Verarbeitung auf Artikel 6Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a DSGVO (Einwilligung) beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
In der Information werden auch ein oder mehrere Ansprechpartner mit Kontaktdaten benannt, an den sich der Forschungs- oder Studienteilnehmer mit seinen weiteren Fragen und Anliegen, auch zur Wahrnehmung seiner Betroffenenrechte, wenden kann.
3. Gesetzliche Erlaubnis als Rechtsgrundlage für die Durchführung eines Forschungsvorhabens / einer Studie
Die Verarbeitung personenbezogener Daten zu Forschungszwecken oder Studien ist auch ohne Ein-willigung der Teilnehmer zulässig, wenn ein Gesetz dies erlaubt. Voraussetzung ist dabei, dass die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Wenn die vorgenannten Bedingungen erfüllt sind, ist es auch möglich, besonders sensible Daten (z.B. Gesundheitsdaten) ohne Einwilligung für die Forschung zu verarbeiten. Hierfür kommen verschiedene Rechtsgrundlagen in Frage, die vor Beginn des Forschungsvorhabens/der Studie genau zu prüfen und nachzuweisen sind. Einige Regelungen sind hier aufgeführt:
- 9 Abs. 2 lit. j DSGVO (Ausnahmetatbestand bei wissenschaftlichen Forschungszwecken und statistischen Zwecken) i.V.m. Art. 89 DSGVO (geeignete Garantien)
- 5 Abs. 1 lit. b DSGVO (Zweckbindung und Weiterverarbeitung für wissenschaftliche Forschungszwecke)
- 6 Abs. 1 lit. f DSGVO (Rechtsgrundlage bei Forschung/Statistik)
- 6 Abs. 4 DSGVO (Rechtmäßigkeit bei Weiterverarbeitung von personenbezogenen Daten)
- 27 BDSG (Ausnahmetatbestand bei wissenschaftlichen Forschungszwecken und zu statis-tischen Zwecken)
- 22 BDSG (Verarbeitung besonderer Kategorien personenbezogener Daten (darunter Gesund-heitsdaten))
- 28 BbgKHEG (Verarbeitung von Patientendaten mit Ausnahme der Offenlegung; Qualitäts-sicherung)
- 29 BbgKHEG (Offenlegung von Patientendaten; Qualitätssicherung)
- 31 BbgKHEG (Datenschutz bei Forschungsvorhaben)
- 33 BbgKHEG (Klinisches Krankheitsregister)
- 24 BbgDSG (Verarbeitung besonderer Kategorien personenbezogener Daten)
- 25 BbgDSG (Datenverarbeitung für wissenschaftliche und historische Forschungszwecke)
So ist es unter diesen Voraussetzungen auch zulässig, vorhandene personenbezogene Daten, die für einen anderen Zweck erhoben wurden (z.B. Behandlungsdaten von Patienten), für Forschungszwecke oder Studien zu nutzen (Zweckänderung). Hierüber müssen die Betroffenen i.d.R. informiert werden, was hiermit mit den nachfolgenden Informationen für Forschungsvorhaben und Studien der Ruppiner Kliniken und der OGD ohne vorherige Einwilligung erfolgt:
- Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters: Verantwortliche/r des jeweiligen Forschungsvorhabens bzw. der jeweiligen Studie
- Kontaktdaten des Datenschutzbeauftragten: Datenschutzbeauftragte/r der PRO Klinik Holding GmbH, Fehrbelliner Str. 38, 16816 Neuruppin, Telefon: 03391 39-11220, E-Mail: datenschutz@pro-klinik-holding.de
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung: s. jeweiliges Forschungsvorhaben, jeweilige Studie
- Empfänger oder Kategorien von Empfängern der personenbezogenen Daten: s. jeweiliges Forschungsvorhaben, jeweilige Studie
- Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind: s. jeweiliges Forschungsvorhaben, jeweilige Studie
- Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer: s. jeweiliges Forschungsvorhaben, jeweilige Studie. In der Regel werden die Daten 10 Jahre lang aufbewahrt und nach 10 Jahren datenschutzgerecht gelöscht bzw. vernichtet. Die Daten sind gegen unbefugten Zugriff gesichert.
- Der Betroffene hat das Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit (Art. 15 - Art. 21 DSGVO): Zur Wahrnehmung dieser Rechte kann sich der Betroffene an den/die Verantwortlichen des Forschungsvorhabens/der Studie wenden.
- Der Betroffene hat das Beschwerderechts bei einer Aufsichtsbehörde. Für das Land Brandenburg lauten die Kontaktdaten der zuständigen Aufsichtsbehörde: Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Stahnsdorfer Damm 77, 14532 Kleinmachnow, E-Mail: Poststelle@LDA.Brandenburg.de, Telefon: 033203 356 - 0, Fax: 033203 356 – 49
- Darüber hinaus kann sich ein Betroffener mit seinen Fragen jederzeit an die Studienzentrale der Ruppiner Kliniken wenden: Studienzentrale, Ruppiner Kliniken GmbH, Fehrbelliner Str. 38, 16816 Neuruppin, E-Mail: studienzentrale@ruppiner-kliniken.de, Telefon: 03391 39-11140, Fax: 03391 39-11149
4. Weitere gesetzliche Verpflichtungen (Anonymisieren, Pseudonymisieren, Maßnahmen bei Datenschutzverletzung), Veröffentlichungen
Die personenbezogenen Daten sind zu anonymisieren, sobald es der Forschungszweck erlaubt. Ist das aus wissenschaftlichen Gründen nicht möglich, sind die Daten wirksam zu pseudonymisieren. Nur wenn auch dies aus wissenschaftlichen Gründen nicht möglich ist, dürfen in eng begrenzten Fällen die Daten personenbezogen verarbeitet werden.
Anonymisieren: ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (s. Erwägungsgrund 26 DSGVO).
Pseudonymisieren: ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Ziff. 5 DSGVO).
Im Fall einer Datenschutzverletzung („Datenschutzvorkommnis“) muss binnen 72 Stunden die zu-ständige Aufsichtsbehörde benachrichtigt werden. Im Falle eines voraussichtlich hohen Risikos für die Rechte der Forschungs- bzw. Studienteilnehmer müssen die Betroffenen ebenfalls unverzüglich informiert werden.
Veröffentlichungen erfolgen in der Regel nur mit anonymisierten Daten, d.h. ein Rückschluss auf bestimmte Forschungs- oder Studienteilnehmer ist hierbei nicht möglich.
Dagegen dürfen personenbezogene Daten, die einen Forschungs- oder Studienteilnehmer identifizieren können, nur veröffentlicht werden, wenn:
- die betroffene Person hierin eingewilligt hat, oder
- die Veröffentlichung für die Darstellung von Forschungsergebnissen erforderlich ist und das öffentliche Interesse die schutzwürdigen Belange der betroffenen Person erheblich überwiegt
5. Technische und organisatorische Maßnahmen (TOM), Datenschutz-Folgenabschätzung (DSFA)
Wie bei jeder Verarbeitung müssen auch in Forschungsvorhaben und Studien auf Grundlage einer Risikobewertung technische und organisatorische Maßnahmen („TOM“ genannt) zur Sicherstellung des Datenschutzes ermittelt, eingesetzt und dokumentiert werden. Dabei gilt die Faustregel: Je sensibler die personenbezogenen Daten sind, desto höher ist das notwendige Schutzniveau, welches gewährleistet werden muss. Technische Maßnahmen müssen dabei dem Stand der Technik entsprechen. Hierbei kommt es vor allem auf Vertraulichkeit und Integrität der Daten an. Wichtig ist, dass in dem Forschungsvorhaben/der Studie nur dann mit personenbezogenen Klardaten gearbeitet werden darf, wenn dies absolut notwendig ist. Die Entscheidungen und Prozesse zum Datenschutz für das jeweilige Forschungsvorhaben/die jeweilige Studie sind zu dokumentieren.
Konkrete Maßnahmen zur Gewährleistung des notwendigen Schutzniveaus für die Daten und die Datenverarbeitungen sind:
- technische und organisatorische Maßnahmen zur Sicherstellung der DSGVO-konformen Verarbeitung,
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
- die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
- die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
- die Anonymisierung, und wenn sie nicht möglich ist, die Pseudonymisierung personenbezogener Daten,
- die Verschlüsselung personenbezogener Daten,
- die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
- die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung,
- spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben der DSGVO sicherstellen.
Zeigt sich bei der Risikoabschätzung zur Ermittlung der technischen und organisatorischen Maß-nahmen, dass bei der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Forschungs-/Studienteilnehmer besteht (z.B. bei umfangreichen Verarbeitungen sensibler Daten wie Gesundheitsdaten), ist außerdem eine sogenannten Datenschutz-Folgenabschätzung (DSFA) vom Verantwortlichen durchzuführen.
6. Zusammenarbeit mit anderen Forschungseinrichtungen und Datenübermittlungen
In vielen Fällen ist ein Forschungsvorhaben oder eine Studie nicht nur auf eine Einrichtung beschränkt. Datenaustausch mit anderen Forschern und/oder Dienstleistern (Auftragsverarbeitern) ist in der Forschung in der Regel der Fall. Über die Datenweitergabe und die Kooperationen sind die Forschungs-oder Studienteilnehmer vor deren Einwilligung zu informieren. Die Zusammenarbeit mit anderen Forschern externer Einrichtungen und/oder die Einbindung von Dienstleistern in Forschungsvorhaben/Studien ist vertraglich zu regeln. Dabei werden neben den Kooperationsvereinbarungen auch Vereinbarungen gem. Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche), bzw. Verträge gem. Art. 28 (Auftragsverarbeiter) geschlossen, die die konkreten Regelungen zu den daten-schutzkonformen Datenverarbeitungsvorgängen zwischen den Vertragspartnern enthalten. Legen kooperierende Forscher das Forschungs- bzw. Studienkonzept einschließlich der Zwecke und Mittel der Datenverarbeitung gemeinsam fest, so handelt es sich dabei um datenschutzrechtlich gemeinsam Verantwortliche. In diesem Fall muss vereinbart werden, wer welche Aufgaben aus der DSGVO übernimmt. Auftragsverarbeiter werden nur im Auftrag des Verantwortlichen tätig und arbeiten streng weisungsgebunden, z.B. für statistische Auswertungen oder als IT-Dienstleister.
7. Drittlandübermittlungen
Besondere Regeln gelten, wenn Datenübermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (Ausnahme: Länder mit einem sogenannten „Angemessenheits-beschluss“ der EU-Kommission) stattfinden. Dann verlassen die Daten den Geltungsbereich der DSGVO und werden in sogenannte „Drittländer“ übermittelt. Hier sind spezifische Maßnahmen vorzusehen, um ein entsprechendes Schutzniveau der personenbezogenen Daten zu gewährleisten.
8. Risiken bei Datenverarbeitungen in Forschungsvorhaben und Studien
Während der Datenverarbeitungsvorgänge innerhalb der Forschungsvorhaben und Studien werden die Daten zu jeder Zeit vertraulich behandelt. Jedoch bestehen bei jeder Erhebung, Speicherung, Nutzung und Übermittlung von Daten Vertraulichkeitsrisiken (z.B. die Möglichkeit, die betreffende Person zu identifizieren). Diese Risiken lassen sich nicht völlig ausschließen und steigen, je mehr Daten miteinander verknüpft werden können.
Die Initiatoren der Forschungsvorhaben und Studien versichern, alles nach dem Stand der Technik Mögliche zum Schutz der Privatsphäre der Forschungs- und Studienteilnehmer zu tun und Daten nur an Stellen weiterzugeben, die ein geeignetes Datenschutzkonzept vorweisen können.
Medizinische Risiken sind mit den Datenverarbeitungen nicht verbunden.
Bei Fragen sprechen Sie uns bitte gern an!