Es schien wie der perfekte Zeitpunkt. Nach dem neuerlichen Datenskandal bei Facebook kommt die EU mit einer verschärften Datenschutz-Grundverordnung, kurz DS-GVO, um die Ecke. Tatsächlich ist die neue Regelung allerdings schon 2016 in Kraft getreten, wird aber jetzt erst angewandt. Somit wird ab dem 25. Mai der Datenschutz in der EU besonders groß geschrieben. „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten,“ heißt es dann auch in Kapitel 1 (Art. 1) der Verordnung.
Hauptpunkt der neuen, EU-weit geltenden DS-GVO ist vor allem eins: Information. Bevor er persönliche Daten preisgibt, muss der Bürger ausführlich darüber informiert werden, wofür diese verwendet, welche Daten überhaupt gespeichert werden und wie lange. Erst dann darf er um eine Einwilligung zur Speicherung und Verarbeitung gebeten werden. Der Bürger hat außerdem jederzeit das Recht, „seine“ Daten einzusehen und seine Einwilligung zu widerrufen. Auch kann er verlangen, dass seine Daten in Gänze gelöscht werden.
Auch bei Laborjournal hat die neue DS-GVO ihre Spuren hinterlassen. Hinter den Kulissen wurde ein riesiger Aufwand betrieben, die Webseite Verordnungs-konform zu bekommen. LJ-Webmaster und Datenschutzbeauftragter Carsten Rees verrät Details: „Es ist ja nicht so, als hätten wir uns vor der DS-GVO nicht auch um den Datenschutz gekümmert. So liegt der Vertrag mit Google schon viele Jahre unterschrieben und gegengezeichnet bei unseren Unterlagen. Auch um die Datenkraken ‚soziale Netze‘ haben wir uns früh gekümmert und z.B. die Buttons für Twitter, Facebook und G+ mit Datenschutz hinterlegt – dank eines tollen Projektes von ct und heise. Die regelmäßige Löschung von Log-Dateien und Datenbanksätzen auf unserem Server ist eine Selbstverständlichkeit – schon aus Selbstschutz, denn da sammelt sich sonst eine unsinnige Datenflut an. Aber manche Änderungen, die wir nun vornehmen mussten, muten skurril an: Wenn die Leser uns Daten per Webformular schicken, müssen sie jetzt mit einem Häkchen (vornehm: Tick-Box – aber ganz ohne Zecke) bestätigen, dass sie uns Daten schicken möchten. Nun ja – ein Häkchen – aber es sind schon einige Formulare. Und hier sehe ich den Sinn nicht wirklich. Ich befürchte, in einem nächsten Schritt der DS-GVO wird man die Weitergabe von Daten mit einem Tropfen Blut besiegeln müssen.“
Blut, Schweiß und Tränen wurden wohl auch in so manchem Wissenschafts-Verlag vergossen. In vielen Redaktionen werden nämlich die Adressen von potentiellen, aktiven und ehemaligen Gutachtern in riesigen Datenbanken abgespeichert. Künftig muss auch hier jeder Reviewer explizit angefragt, umfassend informiert und dessen Zustimmung zur Datenspeicherung und -verarbeitung eingeholt werden. Ein zusätzlicher Mehraufwand auf beiden Seiten – mehr Emails, mehr Tick-Boxen etc. Die ohnehin schon niedrige Erfolgsquote von Review-Einladungen könnte sich dadurch noch weiter verschlechtern, fürchten manche.
Betroffen sind aber auch Forscher, die mit Patienten-Daten zu tun haben. Man denke an klinische oder humangenetische Studien, Biobanken oder Big Data. „Durch entsprechende Information (...) und mehr Dokumentation bezüglich der Verarbeitungen ihrer Daten im Klinikum soll mehr Transparenz und die Einhaltung bestimmter Verarbeitungsgrundsätze wie Zweckbindung, Vertraulichkeit, Datenminimierung sichergestellt werden,“ erklärt Martin Schurer, Datenschutzbeauftragter des Universitätsklinikums Heidelberg gegenüber Laborjournal.
Konkret beschreibt und interpretiert die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) zusammen mit der Gesellschaft für Datenschutz und Datensicherheit (GDD) in einer Ausarbeitung die neuen „Datenschutzrechtlichen Anforderungen an die medizinische Forschung“.
Forschung, heißt es da, ist ein europäisches Grundrecht. Deshalb räumt die neue DS-GVO Forschung und Wissenschaft auch einen besonderen Stellenwert ein und lässt verschiedene Ausnahmeregelungen gelten, die vor allem die Zweckgebundenheit der Datenverarbeitung etwas lockern.
Weitere Neuerungen gibt es bei der Patienten-Einwilligung. „Eine datenschutzrechtlich wirksame Aufklärung bedarf einer vollständigen Information, wer zu welchem Zweck wann und wo welche Daten zu verarbeiten beabsichtigt. Auch die Beteiligten und die Speicherdauer sind von Bedeutung. Erst nach einer umfassenden Aufklärung kann der Patient um die Einwilligung gebeten werden, diesem Verfahren zuzustimmen. Dabei muss dem Patienten bekannt gemacht worden sein, dass er jederzeit das Recht auf Widerruf seiner Einwilligung hat. Diesbezüglich gilt es ihm jedoch auch aufzuzeigen, welche Konsequenzen sein Widerruf hat,“ schreiben GMDS und GDD.
Ebenso kommen auf den Forscher Rechenschaftspflichten zu. Zu Beginn des Projekts muss jedoch erst ein externer Auditor bescheinigen, dass es sich um „Forschung im Sinne des DS-GVO handelt“ - z. B. neues Wissen generiert, die Lebensqualität verbessert wird oder die Finanzierung des Projekts steht. „Denn nur, wenn eine Forschung solide finanziert ist, kann diese auch ernsthaft durchgeführt werden. In allen anderen Fällen muss damit gerechnet werden, dass aufgrund von Finanzierungslücken die Forschung abgebrochen werden muss und damit eine ‚Ernsthaftigkeit‘ der Forschung anzweifelbar wäre,“ meinen GMDS und GDD.
Der Forscher hat außerdem die Pflicht, die Datenverarbeitung genauestens schriftlich oder elektronisch zu dokumentieren, damit auch später nachvollzogen werden kann, was genau mit den Daten passiert ist. Schließlich ist „der Sponsor bzw. Leiter der klinischen Prüfung (...) verpflichtet, dem Probanden Einblick in die Unterlagen zu gewähren und Kopien aller Papiere herauszugeben, die sich auf den Versuch an diesem Probanden beziehen.“
Klingt nach einer Menge zusätzlicher Arbeit. Jedoch: „Datenschutzbeauftragte haben an sich weniger Aufgaben gemäß der EU-Datenschutzgrundverordnung“, sagt Schurer. Das stimmt aber nur zum Teil, denn „häufig müssen sie sich aber auch um die meisten datenschutzrechtlichen Anforderungen kümmern, die sich an den Verantwortlichen/die Verantwortliche für die Verarbeitung richten. Insoweit ist der Aufgabenberg derzeit enorm und in Zukunft auch größer als bisher.“
Stehen also Aufwand und Nutzen der neuen Regelung in einem gesunden Verhältnis oder hat die EU mal wieder über das Ziel hinausgeschossen? Fakt ist: Datenschutz ist immens wichtig. Fakt ist aber auch, dass die Bürokratie auf beiden Seiten massiv zunehmen wird. „Leider gibt es Aspekte der DS-GVO, die nahelegen, dass man die Mittleren und Kleinen da gängeln will, wo man an die ganz Großen nicht rankommen kann oder will“, meint dazu der LJ-Webmaster und auch Martin Schurer gibt zu, dass „viele geforderte Maßnahmen, die auf den ersten Blick bürokratisch sind, sich nicht sofort in Vorteilen für die Betroffenen oder das Klinikum niederschlagen. Auch sind viele Regelungen/Anforderungen definitiv nicht unter Berücksichtigung der Praxis eines Krankenhauses oder Klinikums geschrieben worden und nicht immer wortlautgemäß umzusetzen“.
Aber sowohl Schurer als auch Rees können der ganzen Sache etwas Positives abgewinnen. „Es gibt (...) Bereiche, in denen die neuen Anforderungen den Blick öffnen auf Sachverhalte, die einer konsequenteren Aufarbeitung als bisher bedürfen. Dadurch ist eine Anhebung des Datenschutzniveaus insgesamt durchaus zu erwarten“, ist sich Schurer sicher. Und der LJ-Webmaster hat noch einen Tipp: „Wenn Sie an Schlafstörungen leiden, lesen Sie sich doch einfach mal unsere Datenschutzerklärung durch. Unglaublich gründlich und dreimal wirkungsvoller als jeder Einschlaftee.“
Kathleen Gransalke