Daten, die ausschließlich für Zwecke der Nachprüfung
der Forschungsergebnisse verwendet werden sollen, für
weitere Forschungen zur Verfügung stehen. § 75 Absatz 4
Satz 6 SGB X erweckt damit den Eindruck, sensible Da‑
ten unabhängig von einem konkreten Forschungszweck
der Forschung zur freien Verfügung überlassen zu wol‑
len. Dies geht weit darüber hinaus, was selbst nach dem
sog. „broad consent“ aus Erwägungsgrund 33 der DSGVO
zulässig wäre. Maßstab muss auch hier der Grundsatz
der Erforderlichkeit sein.
Ich bin besorgt darüber, dass die DSGVO trotz aller
Privilegierung der wissenschaftlichen Forschung im
Grundsatz von der informierten Einwilligung der betrof‑
fenen Person bei der Bereitstellung ihrer Daten für die
wissenschaftlichen Forschung ausgeht, aber Regelungen
wie in § 75 Absatz 4 Satz 6 SGB X die Nutzung des „broad
consent“ zur Regel machen. Die Idee eines „broad
consent“, also einer Einwilligung in zum Zeitpunkt der
Einwilligung noch nicht hinreichend feststehende For‑
schungszwecke, war erst in der allerletzten Spätphase
des sog. Trilogs über den späteren Erwägungsgrund 33
in die DSGVO eingefügt worden. Im eigentlichen Norm
text finden sich ausschließlich Regelungen zur infor‑
mierten Einwilligung der betroffenen Person. Auch
die Artikel‑29‑Gruppe hatte in ihrer Stellungnahme zur
Einwilligung darauf hingewiesen, „dass in Erwägungs‑
grund 33 die Verpflichtungen in Bezug auf die Anfor‑
derung der Einwilligung für den bestimmten Fall nicht
gestrichen werden. Das bedeutet, dass wissenschaft‑
liche Forschungsprojekte personenbezogene Daten
grundsätzlich nur auf der Grundlage der Einwilligung
mit einbeziehen dürfen, wenn es einen gut beschriebe‑
nen Zweck gibt. Für Fälle, in denen die Zwecke für die
Datenverarbeitung im Rahmen eines wissenschaftlichen
Forschungsprojektes am Anfang nicht angegeben wer‑
den können, ermöglicht Erwägungsgrund 33 ausnahms‑
weise, dass der Zweck allgemeiner beschrieben werden
kann.“ (WP 259rev.01 vom 10.04.2018, S. 34). Beim „broad
consent“ handelt es sich also um eine Ausnahmeregelung,
die nach den allgemein geltenden juristischen Ausle‑
gungsregeln daher auch eng auszulegen ist.
Bedauerlicherweise fanden meine Einwände zur Ände‑
rung des § 75 SGB X auch im Hinblick auf das von der
Bundesregierung gewählte Verfahren, diese in Form
von Formulierungshilfen in die parlamentarischen
Beratungen zum Gesetz zu Änderung des Bundesversor‑
gungsgesetzes mit einzuführen (vgl. Nr. 3.1.1), keine Be‑
rücksichtigung. So sind andere, wesentlich datenschutz‑
freundlichere Einwilligungsmodelle nicht hinreichend
diskutiert worden. Dazu gehört etwa der auch internatio‑
nal diskutierte „dynamic consent“, bei dem der betrof‑
fenen Person die Möglichkeit bleibt, im gesamten Lauf
einer wissenschaftlichen Studie zu einzelnen Teilen ihre
Einwilligung zu erteilen, zu widerrufen oder zu modi‑
fizieren. Bei sozialwissenschaftlichen Studien in den
USA sowie Großbritannien wurde dies bereits durch die
Nutzung einer entsprechenden App verwirklicht.
Auch außerhalb der Forschung mit Sozialdaten werde
ich die Nutzung von personenbezogenen Daten, insbe‑
sondere von Gesundheitsdaten, im Auge behalten. Dabei
möchte ich betonen, dass ich der wissenschaftlichen
Forschung sehr positiv gegenüberstehe. Allerdings darf
bei der wissenschaftlichen Auswertung von personen‑
bezogenen Daten nicht vergessen werden, dass sich
nicht nur die Wissenschaft auf die Forschungsfreiheit
berufen kann. Grundrechtlich verbürgte Rechte haben
auch diejenigen, deren Daten für die Wissenschaft
genutzt werden. Hier stelle ich auch weiterhin meine
Expertise gerne bereit, um bei der Abwägung zwischen
Forschungsfreiheit einerseits und Recht auf informatio‑
neller Selbstbestimmung andererseits zu angemessenen
Ergebnissen zu kommen.
7.1.2 Elektronische Gesundheits- und Patientenakten
sowie sog. GesundheitsApps
Ein Begriffswirrwarr kann auch zur Vereinheitlichung
führen.
Die Presse berichtet immer wieder über „elektronische
Gesundheitsakten“ oder „elektronische Patientenakte“.
Die Krankenkassen sind auf dem Vormarsch, den Versi‑
cherten eine Möglichkeit zu bieten, ihre Gesundheitsdaten
elektronisch zu speichern und darauf zuzugreifen. Auch
das Bundesministerium für Gesundheit (BMG) treibt die
Entwicklung im Bereich der Digitalisierung im Gesund‑
heitswesen voran, mit der auch ich mich wegen der damit
verbundenen datenschutzrechtlichen Fragen befasse.
In der Öffentlichkeit werden die verschiedenen Lösungen
einer Gesundheitsdatensammlung wenig bis gar nicht
unterschieden. Die Begriffe „Patientenakte“ und „Gesund‑
heitsakte“ werden vielmehr synonym verwendet. Es ist je‑
doch wichtig zu wissen, dass die verschiedenen Lösungen
auf verschiedenen gesetzlichen Grundlagen beruhen und
unterschiedliche Konsequenzen gerade für die Versicher‑
ten haben (vgl. Schaubild zu Nr. 7.1.2).
Elektronische Patientenakte (ePA)
Der Begriff der elektronischen „Patientenakte“ wird
sowohl im Bürgerlichen Gesetzbuch (BGB) als auch im
Sozialgesetzbuch (SGB) verwendet. Gemeinsam ist der
elektronischen Patientenakte sowohl nach § 630f BGB
als auch nach § 291a SGB V, dass sie von den Leistungs‑
erbringern (Ärzte, Psychotherapeuten, Apotheker,
Krankenhaus etc.) geführt werden soll. Sie beinhaltet Be‑
funde, Diagnosen, Behandlungsberichte etc. und doku‑
mentiert – wie in der bisherigen in Papierform geführten
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
57