Wissenschaft braucht Klarheit über EU-Datenschutzrecht

Editorial in Nature

“Da ein lobenswertes europäisches Gesetz über personenbezogene Daten in Kraft tritt, darf die Forschungsgemeinschaft nicht zulassen, dass übertriebene Vorsicht bei der Weitergabe von Daten, so verständlich sie auch sein mag, zur Standardposition wird”, so ein namentlich nicht gezeichnetes Editorial in der Fachzeitschrift Nature am 22.05.2018.

[note Im Datenschutz nicht: “Wissenschaft ist grenzenlos” (Großtransparent beim March for Science im April 2017) – Foto © Gerhard Hofmann, Agentur Zukunft für Solarify]

“Die europäische Politik diskutiert seit Jahren über neue Regeln zum Datenschutz, und Wissenschaftler und Universitäten – wie alle anderen auf dem ganzen Kontinent – sind dabei, die Ergebnisse zu sehen. Das am 25.05.2018 in Kraft getretene neue Gesetz, die so genannte Datenschutzgrundverordnung (DSGVO), soll die Privatsphäre der Bürger schützen und die Art und Weise überarbeiten, wie personenbezogene Daten erhoben, verwaltet, verarbeitet und gespeichert werden – ein willkommener Schritt zum Schutz des Einzelnen und die größte Umstellung des Datenschutzes seit mehr als 20 Jahren.

Wie diese Zeitschrift jedoch bereits erwähnt hat, stellten frühere Gesetzesentwürfe ein Problem für Wissenschaft und Forschung dar. Besonders besorgniserregend war die Frage der Einwilligung – der Entwurf sah vor, dass die Forscher jeweils eine neue Einwilligung zur Weiterverwendung der gesammelten Daten für einen anderen Zweck einholen müssen, was zu Verzögerungen führen und einige Forschungen undurchführbar machen könnte. Aber viele in der Forschungsgemeinschaft arbeiteten unermüdlich daran, die politischen Entscheidungsträger vor dem möglichen Schaden zu warnen. Daraufhin haben die Kommissionsbeamten eine Regelung erlassen, welche die Forschung von einigen Anforderungen ausnimmt, sofern entsprechende Schutzvorkehrungen getroffen werden. Universitäten und Organisationen haben Maßnahmen ergriffen, um das sicherzustellen. Der Großteil der Arbeit sollte getan sein.

Die Verabschiedung der endgültigen DSGVO-Regeln ist daher ein gutes Beispiel für politisches Engagement von Forschern und ihrer Interessenvertreter und eine vernünftige und kompetente Reaktion der Politik. Die Beteiligten auf beiden Seiten verdienen große Anerkennung. Eine Harmonisierung, wie Daten beschafft, gespeichert und genutzt werden können, wäre im Prinzip gut für die Forschung. Sie könnte die Schwierigkeiten der Wissenschaftler bei der Analyse genomischer Daten und Gewebeproben über nationale Grenzen hinweg glätten. Ein solcher Austausch könnte Wissenschaftlern helfen, aussagekräftige Studien mit einer großen Anzahl von Teilnehmern zu organisieren. Doch obwohl es einen Grund zum Feiern gibt, sind immer noch Fragen offen. Und das bedeutet, dass dieselben Forscher und Interessenvertreter wachsam bleiben müssen.

Das Problem ist, dass die einzelnen europäischen Länder einige Fragen selbst entscheiden müssen – zum Beispiel, wie wissenschaftliche Daten verarbeitet werden können. Diese Flexibilität soll es den Ländern ermöglichen, die Regeln an bestehende Systeme und andere Kulturen anzupassen, aber sie könnte die Mitgliedstaaten aus dem Konzept bringen. Forscher, die unter verschiedenen Systemen arbeiten, könnten Schwierigkeiten haben, Daten auszutauschen. Dies könnte zu Verzögerungen bei den Verhandlungen zwischen den Institutionen führen, die Kooperationsverträge schließen wollen, um Datenaustausch zu ermöglichen.

Um dies zu verhindern und einen einheitlichen Ansatz zu bieten, haben sich Wissenschaftler, Industrievertreter und Patienten im vergangenen Jahr getroffen, um die komplexe Regelung zu einem benutzerfreundlichen Leitfaden weiterzuentwickeln. Dieser geplante Verhaltenskodex soll Wissenschaftlern einen einfachen Wegweiser an die Hand geben, indem er z.B. Unterschiede in der Definition von “anonymisierten” Daten in Ländern wie Deutschland und dem Vereinigten Königreich erläutert. Der daraus resultierende Verhaltenskodex für die Gesundheitsforschung, der vom Biobank-Netzwerk BBMRI-ERIC betreut wird (siehe J.-E. Litton Nature 541, 437; 2017), steht kurz vor der Beratung. Doch die medizinische Forschung ist nach wie vor anfällig für unbeabsichtigte Folgen des neuen Gesetzes.

Denn bis der Verhaltenskodex eine klare Richtschnur für die Einhaltung der DSGVO bietet, werden die täglichen Entscheidungen über die Auslegung des Gesetzes den Rechtsabteilungen der einzelnen Institutionen überlassen. Es wäre verständlich, wenn sie sich aus Angst vor Gesetzesverstößen auf die Seite der Vorsicht stellen und den Datenaustausch einschränken würden. Und selbst wenn der Kodex fertiggestellt ist, muss er noch vom Europäischen Datenschutzausschuss*) genehmigt werden, der noch nicht gesagt hat, wie Organisationen solche Kodizes zur Bewertung einreichen können oder wie lange der Prozess dauern wird.

Einige haben geltend gemacht, dass Verzögerungen bei der Verfügbarkeit des Kodex von Vorteil sein könnten, da sie es der Forschungsgemeinschaft ermöglichen würden, die Einzelheiten dieses komplizierten Rechtsgebiets zu klären. Aber andere befürchten, dass, wenn der Prozess zu lange dauert, [nicht nur (S_Y)] die medizinische Forschung leiden wird. Was mit einer vorsichtigen Einstellung darüber beginnt, wie man Daten am besten im Einklang mit dem Gesetz austauschen kann, könnte in die normale Praxis einfließen.

Das wäre eine verpasste Chance und könnte die bisher geleistete gute Arbeit gefährden. Die Beamten des EU-Datenschutzausschusses dürfen das nicht zulassen. Der Kodex muss so schnell wie möglich verabschiedet und in die Praxis umgesetzt werden. Es ist wichtig, die persönlichen Daten von Menschen zu schützen, aber es ist auch wichtig sicherzustellen, dass Daten mit Integrität verwendet werden können, um wertvolle Forschung zu unterstützen.”

[note *) Der Europäische Datenschutzausschuss setzt sich aus den Leitern aller Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten bzw. seinen Stellvertreter zusammen und ist als EU-Behörde seit dem 25.05.2018 für die Anwendung der Datenschutz-Grundverordnung zuständig. Die Europäische Kommission nimmt ohne Stimmrecht an den Ausschuss-Sitzungen teil. Das Sekretariat des Europäischen Datenschutzausschusses stellt der Europäische Datenschutzbeauftragte. Der Ausschuss steht im Mittelpunkt der neuen EU-Datenschutzlandschaft. Er soll dazu beitragen, dass die Datenschutzvorschriften in ganz Europa einheitlich angewendet werden, und eine wirksame Zusammenarbeit zwischen den Datenschutzbehörden gewährleisten. Der Ausschuss wird nicht nur Leitlinien zur Auslegung grundlegender Begriffe der Datenschutz-Grundverordnung ausgeben, sondern ihm wird auch die Befugnis übertragen, bei Streitigkeiten über die grenzüberschreitende Datenverarbeitung rechtsverbindliche Beschlüsse zu fassen und eine einheitliche Anwendung der EU-Vorschriften sicherzustellen, um zu vermeiden, dass derselbe Fall aufgrund unterschiedlicher Rechtsprechung möglicherweise unterschiedlich gewertet wird. (Art. 63-76 und Erwägungsgründe 135-140 DSGVO – nach: ec.europa.eu/european-data-protection-board)]

->Quelle: