Datenschutzaufsichtsbehörden präzisieren Anforderungen an Broad Consent und Drittlandstransfers in der medizinischen Forschung: Was Unternehmen jetzt wissen müssen

Was wurde konkret veröffentlicht? Die DSK hat folgende Dokumente publiziert:

• „Anwendungshinweise zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken“
• sowie als Anlage dazu „Empfehlungen für Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken“

Darin geben die Datenschutzaufsichtsbehörden wertvolle Hinweise zu den folgenden Themen:

1. Verarbeitung von Daten zur Durchführung medizinischer Forschungsprojekte auf Basis eines Broad Consent;
2. Übermittlung personenbezogener Daten zu medizinischen Forschungszwecken in Länder außerhalb des Europäischen Wirtschaftsraums („EWR“);
3. Informationspflichten im Fall derartiger Drittlandstransfers.

DSK zeigt auf, wie die Aufsichtspraxis voraussichtlich gestaltet wird

Wichtig ist dabei zu beachten, dass die Datenschutzaufsichtsbehörden die DSGVO nicht rechtsverbindlich auslegen können. Ihre Stellungnahmen geben aber wertvolle Hinweise dazu, wie deutsche Behörden die DSGVO im Rahmen ihrer behördlichen Aufsichtstätigkeit auslegen werden.

Daher sind diese Auslegungshinweise für alle Stellen, die personenbezogene Daten zu medizinischen Forschungszwecken verarbeiten, von großer Bedeutung, z. B. für (pharmazeutische) Unternehmen, Forschungsgemeinschaften und Kliniken. Sie sollten sich mit diesen Hinweisen jedenfalls auseinandersetzen, wenn sie Projekte in diesem Bereich planen – auch wenn sie die Rechtsauffassung der Behörden im Ergebnis dann nicht teilen.

Auf andere Verarbeitungssituationen können die Ausführungen in den Dokumenten nicht 1:1 übertragen werden, wie die DSK ausdrücklich betont, da es sich bei der medizinischen Forschung um einen privilegierten Zweck handeln würde.

Broad Consent: taugliche Rechtsgrundlage mit Kompensationsmaßnahmen

Der „Broad Consent“ hat sich – neben der Anonymisierung von Daten – in der Praxis zu einem der wichtigsten Instrumente entwickelt, auf das Unternehmen die Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung stützen. Dies vor allem auch deshalb, weil die gesetzlichen Erlaubnisnormen, z. B. in Art. 9 DSGVO und § 27 BDSG, oftmals „nicht passen“.

Beim „Broad Consent“ handelt es sich im Einklang mit ErwGr 33 zur DSGVO – etwas verkürzt dargestellt – um eine Einwilligung, bei der die Zwecke der Datenverarbeitung (noch) nicht in jedem Detail angegeben sind, da sie zum Zeitpunkt, in dem die Einwilligung eingeholt wird, noch nicht final feststehen.

Damit trägt der „Broad Consent“ der besonderen Situation bei wissenschaftlichen Forschungsprojekten Rechnung. Zum Ausgleich müssen Verantwortliche dann Kompensationsmaßnahmen ergreifen, wie die Datenschutzkonferenz bereits im Jahr 2019 ausgeführt hat, wie z. B. Daten verschlüsseln, das positive Votum eines Ethikgremiums einholen etc.

DSK bestätigt, dass der „Broad Consent“ für die Verarbeitung auf der „ersten Stufe“ grundsätzlich geeignet ist

In ihren neuen Anwendungshinweisen bekräftigt die DSK nun erfreulicherweise, dass es sich beim „Broad Consent“ um eine taugliche Rechtsgrundlage für die Verarbeitung von (Gesundheits-)Daten auf der sogenannten „ersten Stufe“ handeln würde – und zwar auch dann, wenn Daten im Rahmen des Forschungsprojekts in Länder außerhalb des EWR übermittelt werden sollen.

Möchte eine Stelle Daten auf Basis eines „Broad Consent“ verarbeiten, müsse sie aber Kompensationsmaßnahmen ergreifen, um die „Abstriche bei der Bestimmtheit der Zwecke“ auszugleichen.

Vor diesem Hintergrund benennt die DSK – ebenfalls erfreulicherweise – einige „neue“ Kompensationsmaßnahmen, die Stellen ergreifen können und die sich insbesondere auch auf den Fall einer Übermittlung in Drittstaaten beziehen, wie:

• Etablierung eines Einwilligungsmanagementsystems, das betroffenen Personen Kontrollmöglichkeiten über die Verarbeitung ihrer Daten einräumt, z.B. durch (aktuelle) Informationen über Empfänger und Drittländer;
• Proaktive / fortlaufende Information vor der jeweiligen Übermittlung (z.B. durch Newsletter oder Datenbanken), um Informationsdefizite auszugleichen, z.B. zum Empfänger im Drittland, zu den Zwecke und zum Ablauf des Vorhabens mit Hinweis auf die Widerrufsmöglichkeit etc.;
• Pseudonymisierung und frühestmögliche Löschung von Daten;
• Organisatorische Maßnahmen, wie die frühzeitige Einbindung des (betrieblichen) Datenschutzbeauftragten, die Einholung eines positiven Votums einer Ethikkommission, die Einbindung eines Use & Access Committee etc.;
• Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO;
• Einbeziehung der zuständigen Datenschutzaufsichtsbehörde.

Drittlandtransfers: Anforderungen der „zweiten Stufe“ nach Art. 44 ff. DSGVO

Werden personenbezogene Daten in ein Land außerhalb des EWR übermittelt, so unterliegt die Datenverarbeitung in einem solchen Drittland nicht mehr der DSGVO. Daher müssen für eine rechtmäßige Datenverarbeitung zusätzlich auch noch die Voraussetzungen der Art. 44 ff. DSGVO – also der sogenannten „zweiten Stufe“ – erfüllt sein (näher dazu weiter unten). Danach ist eine Übermittlung in solche Länder nur unter bestimmten Voraussetzungen zulässig.

In der Konsequenz bedeutet dies, dass Unternehmen die Datenverarbeitung auf der „ersten Stufe“ (d.h. die Datenverarbeitung „an sich“, wie z.B. die Untersuchung der Daten) grundsätzlich auf einen „Broad Consent“ stützen können, für die Übermittlung der Daten in ein Drittland aber noch eine andere Rechtfertigung nach Art. 44 ff. DSGVO benötigen.

Eine solche Rechtfertigung kann etwa dann vorliegen, wenn die betroffene Person hierin eingewilligt hat (Art. 49 DSGVO). Allerdings vertritt die DSK hierzu in ihren Anwendungshinweisen – durchaus diskutable – Standpunkte, die dazu führen würden, dass Unternehmen die Anforderungen des Art. 49 DSGVO im vorliegenden Zusammenhang in der Praxis kaum je erfüllen könnten.

Restriktive Sicht der DSK zu Art. 49 DSGVO (Einwilligung)

So vertritt die DSK – im Wesentlichen unter Verweis auf die vom EDSA veröffentlichten „Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679“ – zum einen (die keinen Rückhalt im Wortlaut und Systematik von Art. 49 Abs. 1 DSGVO findende und daher unseres Erachtens unzutreffende) Auffassung, dass eine Einwilligung einen Drittlandstransfer nach Art. 49 DSGVO nur dann rechtfertigen könne, wenn er nur ausnahmsweise stattfinden würde. Im Rahmen von Forschungsprojekten wird diese (vermeintliche) Bedingung aber oftmals nicht erfüllt sein.

Außerdem verlangt die DSK für die Wirksamkeit der Einwilligung nach Art. 49 DSGVO, dass die betroffenen Personen weitreichend über die mit dem jeweiligen Transfer verbundenen Risiken informiert würden – auch hier sehen wir die Positionen der DSK als zu streng an.

So verlangt die DSK z. B. nicht nur Informationen über das Land, in das die Daten übermittelt werden, und den Hinweis, dass dort kein angemessenes Schutzniveau herrschen würde. In ihren „Empfehlungen für Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken“, die auch Empfehlungen zur Erfüllung der Informationspflichten gem. Art. 13 f. DSGVO enthalten, vertritt die DSK vielmehr die Position, dass Verantwortliche nach Treu und Glauben auch noch sämtliche Defizite benennen sollten, die ihnen zum Drittland oder den Drittländern bekannt sind oder die sich aufdrängen müssen, „etwa weil sie sich aus den einschlägigen Veröffentlichungen des Europäischen Datenschutzausschusses (EDSA), der deutschen Aufsichtsbehörden oder Reise- oder Sicherheitshinweisen des Auswärtigen Amts ergeben“, wie z. B. Einschränkungen der Berufsfreiheit, die Speicherung biometrischer Daten in einer staatlichen Datenbank etc. Dies geht unserer Meinung nach über die gesetzlichen Anforderungen hinaus und wird in den meisten Szenarien praktisch kaum umzusetzen sein.

Instrumente für rechtssichere Transfers (auch bei „Broad Consent“ auf erster Stufe)

Trotz dieser restriktiven Auslegung des Art. 49 DSGVO kommen bei der Übermittlung personenbezogener Daten für medizinische Forschungszwecke in Länder außerhalb des EWR nach wie vor zuvorderst die „klassischen Instrumente“ in Betracht, um die Vorgaben der Art. 44 ff. DSGVO zu erfüllen – und zwar auch dann, wenn die Datenverarbeitung „auf der ersten Stufe“ auf den „Broad Consent“ der betroffenen Person gestützt wird. Dies sind insb.:

• Vorhandensein eines Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO (einschließlich EU – U.S. Data Privacy Framework, wobei zu prüfen ist, ob der Empfänger in den USA daran teilnimmt);
• Vorhandensein geeigneter Garantien gem. Art. 46 f. DSGVO, insb. Abschluss der EU-Standardvertragsklauseln inkl. Durchführung eines „Transfer Impact Assessment“, um festzustellen, ob die Rechtslage oder die Behördenpraxis in dem betroffenen Land der Durchführung dieser Klauseln ggf. entgegenstehen könnten und darauf basierend ggf. die Umsetzung zusätzlicher Maßnahmen zur weiteren Absicherung der Übermittlung oder Abschluss von Binding Corporate Rules;
• Im Ausnahmefall auch Art. 49 Abs. 1 lit. d DSGVO („aus wichtigen Gründen des öffentlichen Interesses notwendig“).

Praxisempfehlungen: So können forschende Stellen die DSK‑Hinweise für sich nutzen

Die Anwendungshinweise der DSK beinhalten wertvolle Informationen und Leitlinien für Stellen, die personenbezogene Daten für medizinische Forschungszwecke verarbeiten, wie z. B. (pharmazeutische) Unternehmen, Forschungsgemeinschaften und Kliniken.

Dies gilt gerade für den Fall, dass Daten auf Basis eines „Broad Consent“ verarbeitet werden sollen. Indem die DSK dieses Konzept noch einmal bekräftigt und weitere mögliche Kompensationsmaßnahmen konkret benennt, trägt sie erfreulicherweise zur weiteren Rechtssicherheit bei.

Dies gilt insbesondere vor dem Hintergrund, dass forschende Stellen in der Praxis oftmals auf den „Broad Consent“ angewiesen sind und nur dann bereit sind, (erhebliche) Investitionen in die medizinische Forschung zu tätigen, wenn die dafür notwendige Datenverarbeitung auch rechtssicher durchgeführt werden kann.

Im Ergebnis können forschende Stellen also vor allem die folgenden beiden Aspekte aus den Anwendungshinweisen der DSK für sich nutzbar machen:

• (Gesundheits-)Daten können rechtssicher auf Basis eines Broad Consent verarbeitet werden – dies gilt zumindest für die Datenverarbeitung auf der „ersten Stufe“. Hierdurch können Forschungsprojekte (neu) ermöglicht oder zumindest rechtssicherer durchgeführt werden. Auf eine sorgfältige Formulierung der Einwilligungserklärung sollte jedoch in jedem Fall geachtet werden, insbesondere im Hinblick auf diejenigen Aspekte der avisierten Datenverarbeitung, die bereits zu einem höheren Grad bestimmt (und somit in den Einwilligungstext aufgenommen) werden können.
• Möchte eine forschende Stelle personenbezogene Daten auf Basis eines Broad Consent verarbeiten, sollte sie ferner prüfen, ob sie ggf. einige der von der DSK ausdrücklich genannten Kompensationsmaßnahmen umsetzen kann. Hierdurch erhöht sich die Rechtssicherheit, dass auch die Datenschutzaufsichtsbehörden den jeweiligen Broad Consent als wirksam ansehen.

Für die Übermittlung auf der zweiten Stufe, also den Transfer in ein Drittland außerhalb des EWR, bieten die Dokumente hingegen eher wenig Neues, zumal die DSK hierzu eher restriktive Positionen vertritt, sodass sich für Unternehmen aus den genannten Dokumenten in der Praxis keine nennenswerten Erleichterungen ergeben.

Im Ergebnis sollten forschende Stellen daher auch in diesem Kontext, soweit möglich, eher auf ein „klassisches Instrument“ nach Art. 44 ff. DSGVO zurückgreifen, um eine etwa erfolgende Übermittlung in ein Drittland auf der zweiten Stufe zu rechtfertigen, wie z.B. den Abschluss von EU-Standardvertragsklauseln (mit Durchführung eines Transfer Impact Assessments und ggf. der Implementierung zusätzlicher Schutzmaßnahmen).

Ausblick

Spannend bleibt in diesem Zusammenhang, ob und wann der Europäische Datenschutzausschuss, in dem die Datenschutzaufsichtsbehörden sämtlicher EU-Mitgliedstaaten vertreten sind, seine bereits seit mehreren Jahren angekündigten „Guidelines on the processing of personal data for scientific research purposes“ fertigstellen wird – und ob er darin ggf. Positionen vertreten wird, die es Unternehmen und anderen mit der medizinischen Forschung beschäftigten Stellen erleichtern werden, personenbezogene Daten zu diesem Zweck zu verarbeiten und auch in Länder außerhalb des EWR zu übermitteln.

Denn gerade so wie die medizinische Forschung von der weltweiten Zusammenarbeit lebt und daher auf den (rechtssicheren) Austausch personenbezogener Daten angewiesen ist, sind die dahinterstehenden Verantwortlichen auch auf eine europaweit einheitliche Auslegung der hierfür wesentlichen datenschutzrechtlichen Konzepte angewiesen.