Dass gute Medizin und Forschung möglichst viele und aussagekräftige Daten benötigen, ist hinlänglicher Konsens in der Wissenschaft. Dass in der Digitalisierung der Medizin tagtäglich Daten erhoben und verarbeitet werden, ist ebenso kein Geheimnis. Hier wird ein Datenschatz angehäuft, der gehoben werden sollte, um einen bestmöglichen Nutzen daraus zu generieren. Vielfach werden diese Daten aber gar nicht angefasst und verstauben so ungenutzt auf den Servern der Provider.

Dabei könnten schon die Anbieter einer medizinischen Plattform-Website, der Betreiber einer App oder eine Klinik diese Daten nutzen, wenn sie denn wollten. Grundsätzlich gilt dafür, dass jede Verarbeitung personenbezogener Daten, welche über die reine und notwendige Vertragsabwicklung hinausgeht, einer Einwilligung des Nutzers bedarf. Das Datenschutzrecht ist um den sogenannten „Erlaubnisvorbehalt“ konstruiert. Das bedeutet, dass der Betroffene in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten vorher einwilligen oder ein gesetzlicher Rechtfertigungstatbestand bestehen muss. So ist eine entsprechende Nutzung von Daten möglich. Nur für die DiGA gibt es noch eine weitere einschränkende Voraussetzung: So regelt § 4 Absatz 2 DiGAV u.a., dass Daten innerhalb der DiGA mit Einwilligung nur für den Nachweis positiver Versorgungseffekte innerhalb der Erprobung, im sog. „Fast-Track-Verfahren“, erhoben werden dürfen. Eine über die Zwecke des § 4 Absatz 2 DiGAV hinausgehende Erhebung personenbezogener Daten ist selbst mit Einwilligung des Patienten nicht möglich.

Will der Verarbeiter die Gesundheitsdaten der Nutzer und Patienten sammeln und im Rahmen einer medizinischen Forschung auswerten, ist dies ansonsten also grundsätzlich möglich und praktisch zwingend an eine ausdrückliche Einwilligung des jeweiligen Betroffenen geknüpft. Gesetzlich geregelt ist in § 27 BDSG zwar auch eine entsprechende Verwendung der Daten ohne Einwilligung. Dann muss aber das Interesse an der wissenschaftlichen Nutzung das Schutzinteresse des Betroffenen erheblich überwiegen, was für medizinische Not- und Ausnahmesituationen denkbar sein könnte, in der Praxis der genannten Beispielsfälle aber nicht ohne weiters zutreffen dürfte.

Bei vorheriger Anonymisierung der Daten greift das Datenschutzrecht im Übrigen ebenso wenig. Weil anonymisierte Daten im Gegensatz zu pseudonymisierten Daten unwiderruflich nicht mehr einer Person zugeordnet werden können, sind auch die persönlichen Datenschutzbelange des (nicht mehr ermittelbaren Betroffenen) hinfällig und die Daten können genutzt werden. Hier stellt sich dann vielmehr die Frage, inwieweit diese noch brauchbar sind für eine zielgerichtete wissenschaftliche Auswertung. Auch gibt es Meinungen, die darauf abstellen, dass die Anonymisierung von Gesundheitsdaten bereits ein Zweck ist, der ebenfalls nur mit Einwilligung des Betroffenen durchgeführt werden darf. Daher sollte bei jeglichen Datenerhebungen darauf geachtet werden, dass wenigstens in die Anonymisierung dieser Daten für weitere anonyme Auswertungen eingewilligt wird.

Kernelement und Einstieg für eine Nutzung von nicht anonymisierten Daten für die medizinische Forschung bleibt daher die informierte und ausdrückliche Einwilligung des Nutzers/Patienten als Betroffener. Diese Einwilligung ist gesondert einzuholen und kann nicht in den ohnehin vorhandenen AGB oder Datenschutzbestimmungen untergebracht werden. Denn sie ist im Lichte des datenschutzrechtlichen Transparenzgebotes als so besonders anzusehen, dass der Betroffene dazu klar und getrennt hinzuweisen ist, um eine informierte Einwilligung abgeben zu können. So ist der Betroffene zu allen wesentlichen Details der Datennutzung zu unterrichten (Speicherdauer, Rechte als Betroffener, Zweck des Forschungsvorhabens, möglich weitere Empfänger der Daten usw.).

Die Einwilligung kann dann schriftlich, aber auch elektronisch erfolgen (vgl. Erwägungsgrund 32 DSGVO), etwa durch das Setzen eines Häkchens oder mittels digitalem Signaturdienst.

Der Verwender der Daten hat dann im Verlaufe der Nutzung für die Forschung technische und organisatorische Maßnahmen zu treffen, um die Zwecke des Datenschutzes sicherzustellen. Da es hier um besonders geschützte Daten geht (Gesundheitsdaten), ist ein plausibles und nachvollziehbares Datenschutzkonzept zur Nutzung und Löschung der Daten zu implementieren. In diesem Rahmen ist in der Regel auch eine Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO verpflichtend, also eine strukturierte Risikoanalyse.

Im Rahmen unserer kooperativ mit www.qur.digital erbrachten umfassenden Projektberatung in der digitalen und innovativen Medizin klären wir mit Ihnen die Anfertigung und strategische Ausrichtung Ihres Forschungsprojektes in allen datenschutzrechtlichen Belangen ab. Die professionelle Unterstützung in regulatorischer und rechtlicher Hinsicht, inklusive Anfertigung notwendiger Dokumente wie der passgenauen Einwilligungserklärung, stellt unsere Kernexpertise dar.

Setzen Sie sich gerne mit uns in Verbindung.