Art. 7 Abs. 2 und 3 DSGVO geregelt. Danach muss die
Einwilligung in die konkrete Datenverarbeitung grundsätzlich freiwillig, informiert und unmissverständlich
abgegeben werden sowie auf einen bestimmten Zweck
bezogen sein.
Im Zusammenhang mit der Einwilligung werden aktuell
die beiden folgenden Themenschwerpunkte diskutiert.
4.5.1 Einwilligung in der Forschung
Die DSGVO ist wissenschaftsfreundlich ausgerichtet.
Allerdings bedeutet das keine völlige Freiheit der Forschung bei der Verarbeitung personenbezogener Daten.
Zwischen dem Grundrecht auf Wissenschaftsfreiheit
und dem Grundrecht auf Datenschutz ist im Wege der
„praktischen Konkordanz“ ein angemessener Ausgleich
zu schaffen.
Art. 89 DSGVO gibt für die wissenschaftliche Forschung
vor, dass für diese die Datenschutz-Grundverordnung gilt.
Soweit nicht gesetzlich geregelt, kann die Verarbeitung
personenbezogener Daten zu wissenschaftlichen Studien auf Basis einer Einwilligung der betroffenen Person
zulässig sein. Die Einwilligung muss dabei den Anforderungen an eine informierte Einwilligung im Sinne des
Art. 4 Nr. 11 DSGVO („informed consent“) genügen, d. h.,
die betroffene Person muss „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“
erklärt haben, dass die Daten für eine bestimmte wissenschaftliche Studie zur Verfügung stehen.
Von diesem Grundsatz macht die DSGVO im Erwägungsgrund 33 eine Ausnahme. Vor dem Hintergrund, dass
„oftmals […] der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden“ kann,
soll es der betroffenen Person erlaubt sein, unter engen
Voraussetzungen
1. für bestimmte Forschungsbereiche oder
2. für Teile von Forschungsprojekten, wenn
3. anerkannte ethische Standards der wissenschaftlichen Forschung eingehalten werden,
die Einwilligung zu erteilen (sog. breite Einwilligung –
„broad consent“). Diese Ausnahmeregelung wurde in
der wissenschaftlichen Praxis begrüßt, allerdings zu
weit ausgelegt:
Die DSK hat in einem Beschluss vom 3. April 2019 darauf
hingewiesen, dass nur dann bei einer der Datenerhebung zeitlich vorgelagerten Einwilligung unter engen
Voraussetzungen Abstriche hinsichtlich der Bestimmtheit des Zwecks hingenommen werden können, wenn
das konkrete Design des Forschungsvorhabens absehbar
34
Tätigkeitsbericht zum Datenschutz für 2019
bis zum Zeitpunkt der Datenerhebung eine vollständige
Zweckbestimmung nicht zulasse. Die DSK unterstreicht
in diesem Beschluss, dass es mit der DSGVO nicht mehr
vereinbar ist, wenn die Verwendung der erhobenen
Daten pauschal auf bestimmte Forschungsbereiche ausgeweitet wird. Zudem weist sie darauf hin, dass „in den
Einzelfällen, in denen das Arbeiten mit breiten Einwilligungen […] für zwingend erforderlich gehalten wird“,
mit notwendigen Korrektiven zu arbeiten ist, um die
abstraktere Fassung des Forschungszweckes zu kompensieren. Diese sind zusätzliche Sicherungsmaßnahmen
zur Gewährleistung der Transparenz und zur Vertrauensbildung sowie zusätzliche Garantiemaßnahmen zur
Datensicherheit.
Für die „breite Einwilligung“ verweist Erwägungsgrund
33 der DSGVO auf die Einhaltung der „anerkannten
ethischen Standards der wissenschaftlichen Forschung“.
Zu denen gehört seit dem Nürnberger Kodex von 1949
die informierte Einwilligung, nicht zuletzt aufgrund der
Erfahrungen in der medizinischen Forschung im Dritten
Reich, aber auch anderen ethisch bedenklichen Studien weltweit. Der Deutsche Ethikrat brachte in seiner
Stellungnahme „Big Data und Gesundheit – Datensouveränität als informationelle Freiheitsgestaltung“ aus
dem Jahr 2017 das Modell einer „Datenspende“ ins Spiel.
Dieses Modell soll im Sinne einer umfassenden Zustimmung der Betroffenen eine Datennutzung ohne enge
Zweckbindung zugunsten der klinischen und medizinbezogenen Grundlagenforschung erlauben. Es handelt
sich dabei nicht mehr um eine informierte Einwilligung
im Sinne des Art. 4 Nr. 11 DSGVO oder eine „breite Einwilligung“ im Sinne des Erwägungsgrundes 33, sondern
um eine offene Einwilligung („blanket consent“), die mit
den Vorgaben der DSGVO nicht zu vereinbaren ist.
Im Berichtszeitraum lagen den Datenschutzaufsichtsbehörden des Bundes und der Länder gleichwohl Einwilligungsformulare vor, die eine solche „Datenspende“ vorsahen. Durch eine entsprechende Intervention unsererseits
konnte erreicht werden, dass ein Einwilligungsformular
datenschutzkonform ausgestaltet wurde.
Im Rahmen der DEK habe ich mich an der Erarbeitung
von Vorschlägen beteiligt, wie die Datennutzung für die
medizinische Forschung datenschutzfreundlich durch
Instrumente wie die dynamische Einwilligung oder
Datentreuhänder weiter erleichtert werden kann.
4.5.2 Tracking und Cookies
Viele Internetseiten setzen Tracking-Dienste ein. Cookiebanner, die beim Weitersurfen eine Zustimmung unterstellen, sind rechtlich unwirksam. Zahlreiche, auch
bekannte Internetseiten haben diese Anforderung noch
nicht rechtskonform umgesetzt.