Neue DSK-Orientierungshilfe zu Datenübermittlungen im Forschungskontext
Internationale Forschungsprojekte werfen komplexe Rechtsfragen auf: Ist in jedem Fall eine Einwilligung erforderlich? Unter welchen Voraussetzungen kann sich ein Verantwortlicher auf eine „breite“ Einwilligung berufen? Wie weit reicht der Broad Consent? Antworten auf diese Fragen gibt eine aktuelle Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken – und dieser Beitrag.
Ist in jedem Fall eine Einwilligung erforderlich?
Nein. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken kann grundsätzlich auf das sogenannte Forschungsprivileg gestützt werden. Zu den weiteren Voraussetzungen zählen insbesondere die Abwägung widerstreitender Rechte und die Einhaltung spezifischer Maßnahmen zur Wahrung der Interessen der betroffenen Person.
In diesem Fall muss grundsätzlich keine Einwilligung eingeholt werden. Allerdings hat der deutsche Gesetzgeber die Verarbeitung sensibler Daten (z. B. Gesundheitsdaten) in einigen Fällen an das Vorliegen einer Einwilligung geknüpft. So muss bspw. die Verarbeitung personenbezogener Daten im Zusammenhang mit der klinischen Prüfung eines Medizinprodukts stets auf eine Einwilligung gestützt werden.
Wann kann sich ein Verantwortlicher auf „Broad Consent“ berufen?
Eine Einwilligung in die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken kann abweichend vom Zweckbindungsgrundsatz („für den bestimmten Fall“) auch für bestimmte Bereiche wissenschaftlicher Forschung erteilt werden (Broad Consent). Voraussetzung ist allerdings, dass der Zweck der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden kann.
Darüber hinaus verlangt die DSK spezifische Sicherungsmaßnahmen, um die abstraktere Fassung des Forschungszwecks zu kompensieren. Dazu zählen:
- Zusagen zur Datenminimierung;
- Verschlüsselung, Anonymisierung oder Pseudonymisierung;
- Vorschriften für die Begrenzung des Datenzugriffs;
- Einführung eines granularen Einwilligungsmanagements;
- kurze Löschfristen;
- die frühzeitige Beteiligung eines Datenschutzbeauftragten;
- die Durchführung einer Datenschutzfolgenabschätzung;
- sowie die Einbeziehung einer Ethikkommission, eines Use & Access Committees und der zuständigen Aufsichtsbehörde.
Im Fokus: Kompensation ursprünglicher Informationsdefizite
Besonders spannend: Die DSK weist in ihrer Orientierungshilfe auf die Möglichkeit hin, ursprüngliche Informationsdefizite fortlaufend zu kompensieren. Soweit eine proaktive Information nach dem Broad Consent und vor einer Datenübermittlung nicht in Betracht kommt, sollen Betroffene über einen Newsletter oder eine Datenbank informiert werden können.
Newsletter
Für Ihre Inbox
Wichtiges zu Datenschutz, KI, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Wie weit reicht der „Broad Consent“?
Die Ausnahme nach ErwGr 33 DSGVO gilt nach Auflassung der DSK nicht für die Einwilligung nach Art. 49 DSGVO. Der ausdrücklichen Einwilligung in die Drittlandübermittlung müssen daher entsprechende Informationen zum aktuellen Stand der Rechtslage und Praxis in einem konkreten Drittland vorausgehen.
Die Möglichkeit zur Kompensation ursprünglicher Informationsdefizite ist in diesem Fall abgeschnitten. Das heißt konkret, dass die Möglichkeit, Empfänger in Drittländern „nachzureichen“ vor allem bei solchen Empfängern in Betracht kommt, die unter einen Angemessenheitsbeschluss fallen oder geeignete Garantien nach Art. 46 DSGVO (wie zum Beispiel den Abschluss von Standardvertragsklauseln, SCC) bieten.
Exkurs: Einwilligungen „auf Vorrat“
In Fällen, in denen zwar ein Angemessenheitsbeschluss gilt, der Verantwortliche aber befürchtet, der Beschluss könnte künftig für ungültig erklärt werden, soll vorsorglich eine Einwilligung („auf Vorrat“) eingeholt werden können. Das Verhältnis zwischen dem Angemessenheitsbeschluss und der Einwilligung muss den betroffenen Personen gegenüber dann aber transparent kommuniziert werden.
Welche Alternativen gibt es?
Eine Drittlandübermittlung kann in bestimmten Fällen auch auf wichtigen Gründen des öffentlichen Interesses (Art. 49 Abs. 1 Buchst. d DSGVO) gestützt werden. Ein wichtiges öffentliches Interesse gilt beispielsweise der Pandemie- und Seuchenbekämpfung, kann aber auch jenseits der Pandemiebekämpfung liegen.
Fazit
Datenverarbeitungen im (internationalen) Forschungskontext sind risikobehaftet und prüfungsintensiv. Der Verantwortliche muss sorgsam prüfen, ob sein Vorhaben sich als wissenschaftliche Forschung im Sinne der DSGVO qualifiziert und ob das Unterfangen sich auf das Forschungsprivileg oder Broad Consent stützen kann.
In diesem Zusammenhang sind zusätzliche Voraussetzungen zu beachten, etwa im Hinblick auf die fortlaufende Information der Betroffenen, eine dokumentierte Interessenabwägung oder angemessene technische und organisatorische Maßnahmen (TOM).
Sollen Daten von Beginn an oder zu einem späteren Zeitpunkt in ein Drittland übermittelt werden, ist eine gesonderte Prüfung erforderlich. Lässt sich die Übermittlung auf einen Angemessenheitsbeschluss stützen, bestehen geeignete Garantien oder greift eine Ausnahme nach Art. 49 DSGVO, beispielsweise wichtige Gründe des öffentlichen Interesses?
Wir beraten und unterstützen Sie gerne in allen Phasen und auf allen Ebenen ihres Projekts – von der Konzeption des Studienplans über die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bis hin zur nachträglichen Korrektur anfänglicher Informationsdefizite!
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Ihre Ansprechpartner:innen
