Allgemeine Datenschutzaspekte Surveillance
Datenschutzgrundverordnung (DSGVO)
Seit 25.Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union wirksam und unterstützt eine einheitliche Regelung zum Schutz von personenbezogenen Daten.
Die DSGVO soll den Schutz personenbezogener Daten innerhalb der Europäischen Union sicherstellen, und den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.
Die DSGVO ändert das geltende Datenschutzrecht nicht grundlegend. Sie besteht aus 99 Artikeln, 173 Erwägungsgründen und beinhaltet 63 Öffnungsklauseln für nationalstaatliche Gesetzgebung. Nationalstaatliche Gesetzgebung darf den Bestimmungen der DSGVO allerdings nicht entgegenlaufen. Deshalb kann man sich grundsätzlich durchaus, auch wenn im deutschen Datenschutzrecht der Grundsatz Spezialnorm vor Generalnorm zieht, an den Vorgaben der DSGVO orientieren.
Gegenstand und Ziele der DSGVO:
1. Die Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
2. Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Grundsätze der Verarbeitung personenbezogener Daten
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2. Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
3. Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
4. Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
5. Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
6. Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
DSGVO und wissenschaftliche Projekte
Die DSGVO trifft auch auf die Datenerhebung in wissenschaftlichen Projekten (z.B. Surveillance Projekte) zu. Da die DSGVO aber nicht Erhebungen in z.B. den Bereich der öffentlichen Gesundheit unmöglich machen soll sind folgende Artikel aufgenommen:
(1)
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Absatz 1 gilt nicht in folgenden Fällen:
(2i)
die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
(2j)
die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
Die Surveillance Projekte am Nationalen Referenzzentrum für Streptokokken betrifft Projekte mit öffentlichen Interessen im Bereich der öffentlichen Gesundheit. Deutschland kennt eine Pneumokokken Impfempfehlung der STIKO für alle Kinder unter zwei Jahren, sowie für alle Erwachsenen über 60 Jahren. Es ist z.B. wichtig die Effektivität dieser Impfung zu berechnen. Dies ist nur möglich, wenn Daten zur Impfstatus bei Erkrankten Patienten vorhanden sind.
Glied 1:
Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.
Es bestehen am Nationalen Referenzzentrum für Streptokokken technische und organisatorische Maßnahmen die die Datenminimierung gewährleisten. Es wird ein minimaler Datensatz in der Datenbank festgehalten: Geburtsdatum, PLZ (erste 3 Ziffer), Wohnort, Impfstatus, Diagnose, Grunderkrankung, Antibiotikatherapie (ja, nein, wenn ja, welche?), Labor Probennummer, Material, Materialentnahmedatum. Der Patientennamen wird NICHT festgehalten. Die Daten sind somit pseudonymisiert.
Datenschutzgesetze die weiterhin wirksam sind
Neben der DSGVO sind in Deutschland weiterhin das Bundesdatenschutzgesetz (BDSG), die jeweiligen Landesdatenschutzgesetze sowie die bestehenden speziellen Gesetze (z.B. SGB / MPG / AMG /etc.) - zumindest in den Teilen in denen sie nicht den Vorgaben der DSGVO entgegenlaufen - wirksam. Auch im BDSG sind einige Artikel aufgenommen die die Erhebung von Daten Zwecks wissenschaftlicher Studien regeln.
- Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
- Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
- Ergänzend zu den in § 22 Absatz 2 genannten Maßnahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.
- Der Verantwortliche darf personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
Bei der Surveillance besteht für das Nationale Referenzzentrum für Streptokokken nicht die Möglichkeit eine Einwilligung beim Patienten einzuholen. Aus den Daten auf dem Einsendeschein ist es nicht möglich den Patienten nachzuvollziehen. Daten über zum Beispiel Impfstatus oder Diagnose können nur über das Diagnostiklabor und den behandelnden Arzt eruiert werden. Der Aufwand, für jeden Patienten eine Einwilligung einzuholen, wäre unverhältnismäßig groß.
Es werden vom Nationalen Referenzzentrum für Streptokokken keine personenbezogenen Daten veröffentlicht. Die Daten werden nur aggregiert (Diagnose) oder in einer berechneten Impfstoffeffektivität (Impfdaten) publiziert.
- Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
- eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprünglichen Erhebungszweck gemäß der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere mit Blick auf den Zusammenhang, in dem die Daten erhoben wurden, als gering anzusehen ist.
- im Fall einer öffentlichen Stelle die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
- die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
- die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen oder
- eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.
- Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Absatzes 1 Nummer 4 und 5 keine Anwendung.
- Unterbleibt die Benachrichtigung in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei Wochen, nach.
Zwecks der Erhebung des Impfstatus oder Diagnose eines Patienten kontaktiert das Nationale Referenzzentrum für Streptokokken das einsendende Diagnostiklabor und den behandelnden Arzt. Um die Kommunikation zu ermöglichen wird hierzu den Patientennamen abgefragt. Der Patientennamen wird nur analog erhoben (beim Einsendelabor) und nur benutzt um im Telefonat mit dem behandelnden Arzt die Patientendaten auffinden zu können. Der Patientennamen wird nicht gespeichert, weder in digitaler Form (Datenbank) noch analog (schriftlich).