36 Nutzerkreis der Daten
Wer erhält Kenntnis von den Daten? Welche Personen und Institutionen haben Zugang zu den Daten bzw. an wen werden Daten übermittelt?
Zusammenfassung
Nach dem BDSG müssen diejenigen Personen, die Zugang zu personenbezogenen (pseudonymisierten) Daten erhalten, dem Patienten offen gelegt werden. Unter solchen Datenzugang besitzenden Personen werden das Studienteam, ggf. der Datentreuhänder sowie externe Forscher (außerhalb des Studienteams) verstanden, z. T. aber auch die Krankenversicherung als potentieller Abfrageberechtigter. Bei einer Weitergabe an Externe wird meist eine ausschließlich anonymisierte Weitergabe der Daten gefordert. ""Die Weitergabe darf vorbehaltlich gesetzlicher Ausnahmen allerdings nur in anonymisierter oder codierter Form erfolgen, die dem Empfänger keinen Zugriff auf den Code gewährt."" [NER, 2004]. Wenn die externen Dritten zum Zeitpunkt der Einwilligung noch nicht bekannt sind (z. B. im Zusammenhang mit der Sammlung von Biomaterialien für eine Biomaterialbank), so schlägt der Nationale Ethikrat vor, diese Unsicherheit dem Patienten mitzuteilen, der dann in Kenntnis dieses Sachverhalts informiert zustimmen kann oder nicht, ggf. in Form einer abgestuften Einwilligungserklärung (siehe Item 59). Als Gegengewicht zu dieser Unsicherheit sieht der Nationale Ethikrat das Widerrufsrecht des Patienten/Probanden.
Standardsatz / -lösung
Der Personenkreis mit Zugriff auf die personenbezogenen Daten muss in der Patienteninformation genannt werden. Wenn die Daten an Dritte außerhalb des Forschungsvorhabens weitergegeben werden, muss dieser Personenkreis genannt werden. „Zugang zu Ihren Daten haben nur der Auftraggeber sowie Mitarbeiter der Studie. Diese Personen sind zur Verschwiegenheit verpflichtet. Die Daten sind vor fremden Zugriff geschützt.“
„Meine Blutproben und Daten werden in pseudonymisierter Form (d.h. mein Name wird durch eine Kenn-Nummer ersetzt) an Forschungseinrichtungen außerhalb der Biomaterialbank XY zum Zwecke der Krebsforschung weitergegeben werden. Diese Forschungseinrichtungen werden verpflichtet, alle in dieser Patienteneinwilligung vereinbarten Punkte ohne Änderungen einzuhalten.“
(Datenschutz-) Rechtliche Bewertung
Die Kenntnis des Betroffenen über den Kreis derjenigen, die im Verlauf des jeweiligen Projekts Zugriff auf seine Daten erhalten, ist ein maßgebliches Kriterium für seine Entscheidung für oder gegen eine diesbezügliche Einwilligung. Das Bundesverfassungsgericht hat in seiner Entscheidung vom 15. Dezember 1983 darauf abgehoben, dass es zum informationellen Selbstbestimmungsrecht der Bürger gehöre, zu wissen, „wer wann was und bei welcher Gelegenheit über sie weiß“ [BVerfGE, 1983: S. 45f.]. Mit dem Verzicht auf die Nennung der Zugangsberechtigten würde das datenschutzrechtliche Grundziel informationeller Selbstbestimmung verfehlt. Im § 4 Abs. 3 Nr. 3 BDSG wird deshalb auch eine Unterrichtungspflicht über die Kategorien von Empfängern gefordert. Zu beachten ist hierbei aber, dass diese Vorschrift lediglich in Fällen der „Übermittlung“ greift, also bei Datenweitergabe an, oder Datenzugriff durch Dritte (etwa Kooperationspartner oder ein externer Studienarzt) sowie beim Bereithalten zur Einsichtnahme. Der Patient ist darüber zu informieren, wer über die verantwortliche Stelle hinaus Zugriff auf seine Daten hat. Dieser ist nämlich „Dritter“ (= jede Person oder Stelle außerhalb der verantwortlichen Stelle), im Gegensatz zum Betroffenen selbst oder inländischen, EU-zugehörigen oder zum Europäischen Wirtschaftsraum gehörigen Auftragsdatenverarbeitern.
Bewertung
Mit dem Nutzerkreis der Daten sind vor allem diejenigen Personen bzw. Institutionen gemeint, die im Rahmen des Forschungsvorhabens personenbezogene oder pseudonymisierte Daten regulär verarbeiten bzw. auswerten. Dies sind in der Regel Mitarbeiter des Forschungsprojekts. Hierunter fällt aber auch der Personenkreis, der durch Weitergabe zu Forschungszwecken an Dritte Kenntnis von solchen Daten und Proben erhält. Aus datenschutzrechtlicher Sicht ist es unerheblich, auf welche Art und Weise der Betreffende Kenntnis erhält (Einsichtnahme vor Ort beim Studienteam oder Übermittlung der Daten an die externe Stelle). Sinnvoll ist es, den Kreis der Zugangsberechtigten auf diejenigen Personen zu beschränken, die zur Erfüllung ihrer Aufgaben Einsicht in die Daten haben müssen. Dem Patienten muss vermittelt werden, wer in diesem Sinne zugangsberechtigt ist. Es sollte darauf hingewiesen werden, dass der Kreis der Nutzer definiert und der Zugriff auf die Daten klar geregelt ist. Wichtig ist darüber hinaus der Hinweis darauf, dass die zugriffsberechtigten Personen im Rahmen ihrer Aufgaben zur Verschwiegenheit verpflichtet sind. Er muss darüber informiert werden, ob, an wen, und in welcher Form (anonymisiert, pseudonymisiert) eine Weitergabe geplant ist. Der externe Nutzerkreis sollte, wenn er bekannt ist, genannt werden. Ein weiter gefasster Nutzerkreis kann vereinbart werden, falls das Ziel des Forschungsvorhabens nicht anders erreicht werden kann (z. B. bei Biomaterialbanken). Die Weitergabe ist anonymisiert oder pseudonymisiert möglich. Die Einhaltung aller Vereinbarungen der Patienteneinwilligung muss bei einer Weitergabe der Daten gewährleistet werden (insbesondere Zweckbindung und Widerrufsmöglichkeit) und sollte dem Patienten zugesichert werden. Bei einer anonymisierten Weitergabe ist der Patient auf die sich daraus ergebenden Konsequenzen (Verzicht auf Einsichtnahme, Widerruf, Löschung, Mitteilung) hinzuweisen. Bei Übermittlung der Daten an Stellen in bzgl. Datenschutz ""unsichere Drittstaaten"" muss dem Patienten mitgeteilt werden, dass eine Datenübermittlung in einen Staat vorgenommen wird, der kein dem deutschen Standard entsprechendes Datenschutzniveau gewährleistet. Zum Zugang zu Daten aufgrund einer gesetzlichen Vorgabe siehe Item 37. Zur Mitteilung an behandelnde Ärzte siehe Item 38.
AMG
§ 40 (2a) S.2 Sie ist insbesondere darüber zu informieren, dass 1. die erhobenen Daten soweit erforderlich [...] b) pseudonymisiert an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden,
EU DSGVO zu Aufhebung der EU DS 95/46/EG
Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Artikel 15 Auskunftsrecht der betroffenen Person (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
BDSG
§ 3 Weitere Begriffsbestimmungen (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. §4 (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über [...] 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten.
DAE Empf genDat
IV. Erhebung und Verwendung von Daten Die informierte Einwilligung setzt die vorherige umfassende Unterrichtung über die datenverarbeitende Stelle der Studie, die eventuelle Zusammenführung von Daten, den Ansprechpartner und weitere Modalitäten des Ablaufes, voraus. Für die Mitteilung von Studienergebnissen, die für den Probanden oder dessen Familie relevant sind, sollten Bedingungen gelten, wie sie für die prädiktive Diagnostik anerkannt sind. [...] Ein Zugang zu genetischen Daten darf nur nach einer Entbindung von der Schweigepflicht erfolgen. Sie muss in Kenntnis aller ggf. weiterzugebenden Fakten und im Bewusstsein der Tragweite der Weitergabe auch bezüglich etwaig betroffener Familienangehöriger erfolgen. Da bislang nicht endgültig geklärt ist, inwieweit Forschungsklauseln in Landesgesetzen über das Datenschutzrecht hinauswirkend auch von der strafrechtlich geschützten Schweigepflicht befreien, sollte im eigenen Interesse des Schweigepflichtigen stets eine konkrete Zustimmung des Betroffenen zur Weitergabe der der Schweigepflicht unterliegenden Daten an Dritte eingeholt werden.
EU VERORDNUNG 536/2014
Erwägungsgründe
(29) Es ist angebracht, dass Hochschulen und andere Forschungseinrichtungen unter bestimmten Umständen, die im Einklang mit dem anwendbaren Datenschutzrecht stehen, Daten aus klinischen Prüfungen sammeln dürfen, die für künftige wissenschaftliche Forschung, z. B. für Zwecke der medizinischen, naturwissenschaftlichen oder sozialwissenschaftlichen Forschung, verwendet werden sollen. Um Daten für solche Zwecke zu sammeln, ist es notwendig, dass der Prüfungsteilnehmer seine Einwilligung zur Verwendung seiner Daten außerhalb des Prüfplans der klinischen Prüfung erteilt und das Recht hat, diese Einwilligung jederzeit zurückzuziehen. Außerdem ist es notwendig, dass Forschungsprojekte, die sich auf solche Daten stützen, vor ihrer Durchführung Überprüfungen unterzogen werden, die für die Forschung an Humandaten geeignet sind, z. B. zu ethischen Aspekten.