Forschung mit sensiblen Daten ohne Einwilligung: Das Forschungsprivileg nach § 27 BDSG und wie man es prüft

Ich bin Fachanwalt für IT-Recht und begleite eine Vielzahl von Forschungsprojekten. Dabei begegnet mir oft die weitverbreitete Annahme, dass die Nutzung von Gesundheitsdaten oder anderer sensibler Daten zwingend eine Einwilligung der betroffenen Personen voraussetzt.

In der Praxis ist das Einholen solcher Einwilligungen jedoch häufig faktisch unmöglich oder nur mit unverhältnismäßig hohem Aufwand realisierbar.

Der deutsche Gesetzgeber hat hierfür jedoch eine spezielle Vorschrift geschaffen, die Forschung mit sensiblen Daten auch ohne Einwilligung ermöglicht: das sogenannte Forschungsprivileg. Meine Erfahrung zeigt dennoch, dass viele Verantwortliche davor zurückschrecken, dieses Instrument zu nutzen. Die Prüfung wird oft als zu komplex und die Rechtslage als zu vage empfunden, sodass man die Finger davon lässt.

Dieser Artikel soll Forschungseinrichtungen helfen, die Prüfung des Forschungsprivilegs sicher durchzuführen. Er fasst die notwendigen Schritte zusammen und gibt meine Erfahrungen und Hinweise aus der Beratungspraxis wieder, um die Anwendung dieser wichtigen Rechtsgrundlage zu erleichtern.

1. Anwendungsbereich des Forschungsprivilegs

Der § 27 BDSG ist eine nationale deutsche Vorschrift, die auf einer Öffnungsklausel der Datenschutz-Grundverordnung (DSGVO) beruht und das sogenannte Forschungsprivileg enthält. Wenn dieses Privileg greift, dürfen besondere Arten von Daten nach Art. 9 Abs. 1 DSGVO, wie beispielsweise Gesundheitsdaten, auch ohne Einwilligung der betroffenen Personen verarbeitet werden. Zudem kann in der Regel vom Vorliegen einer Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO ausgegangen werden, da die Anforderungen des Forschungsprivilegs strenger sind als die einer einfachen Interessenabwägung.

Greift das Forschungsprivileg, ist keine Einwilligung nötig, selbst wenn eine solche noch einholbar wäre. Anders als nach alter Rechtslage gibt es keinen Vorrang der Einwilligung gegenüber dem Forschungsprivileg mehr. Die Prüfung und Einhaltung sonstiger Datenschutzanforderungen wie Datenschutz-Verträge, Datenminimierung, Löschkonzepte und Transparenz bleibt aber auch bei Vorliegen des Forschungsprivilegs weiterhin nötig.

a) Kooperationen mit öffentlichen Stellen

Der § 27 BDSG gilt für alle nicht-öffentlichen Stellen, also Unternehmen und Forschungseinrichtungen in Deutschland. Für öffentliche Stellen der Länder, wie Universitäten oder Universitätskliniken, gelten hingegen die jeweiligen Landesdatenschutzgesetze. Dies wird relevant, wenn eine private Forschungseinrichtung als gemeinsam Verantwortlicher mit einer öffentlichen Stelle Daten verarbeitet. Zwar kann sich die private Einrichtung auf § 27 BDSG berufen, der öffentliche Kooperationspartner muss aber eine Rechtsgrundlage im Landesrecht finden. Dieses enthält jedoch häufig ähnliche Regelungen, beispielsweise in Landeskrankenhausgesetzen oder Landesdatenschutzgesetzen. Steht die öffentliche Stelle im Wettbewerb zu anderen Unternehmen, findet gegebenenfalls auch auf sie § 27 BDSG Anwendung.

b) Typische Sachverhalte

Ein häufiger Sachverhalt sieht so aus, dass Daten eines Datenlieferanten, etwa einer Klinik, bei diesem pseudonymisiert, dann an die Forschungseinrichtung übermittelt und dort im Rahmen eines gemeinsamen Forschungsprojekts ausgewertet werden, ohne dass eine Einwilligung der Probanden vorliegt. Direkt identifizierende Merkmale werden beim Datenlieferanten entfernt, dieser verfügt aber weiter über eine Zuordnungsmöglichkeit. Die Forschungseinrichtung erhält die Daten nur mit dem Pseudonym, ohne Zuordnungsregel, und kann selbst die Daten keiner Person zuordnen.

2. Zweck der Verarbeitung muss wissenschaftliche Forschung sein (§ 27 (1) S. 1 BDSG)

Zweck der Verarbeitung muss die wissenschaftliche Forschung sein, wobei alle Kernmerkmale erfüllt sein müssen: Das Ziel muss ein Erkenntnisgewinn im Allgemeininteresse frei von sachfremden Erwägungen sein. Der Forschungsprozess und die Ergebnisse müssen transparent sein. Zudem müssen die Forschenden unabhängig und selbstständig agieren.

Der Begriff „Wissenschaftliche Forschung“ ist weit auszulegen. Umfasst sind Grundlagenforschung, technologische Entwicklungen, angewandte Forschung und privat finanzierte Forschung. Bei manchen Forschungseinrichtungen liegt teilweise schon aufgrund des Satzungszwecks und der Gemeinnützigkeit vor. Bei reiner Auftragsforschung mit Industriepartnern ist hingegen eine Prüfung sinnvoll. Auch die reine wissenschaftliche Lehre ist keine Forschung. 

3. Schutzmaßnahmen

a) Erforderlichkeit (§ 27 (1) S. 1 BDSG)

Es muss geprüft werden, ob eine Forschung mit gänzlich oder von Anfang an anonymisierten Daten möglich ist. Ist dies nicht möglich, muss begründet werden, warum. Gründe können sein, dass später aktualisierte Daten zu Probanden hinzugespeichert werden müssen oder dass die Daten auch ohne direkt identifizierende Angaben so spezifisch sind, dass sie vom Datenlieferanten einer Person zuordenbar wären.

Zudem ist zu prüfen, ob es kein gleichermaßen geeignetes, aber weniger belastendes Mittel zur Erreichung des Forschungszweckes gibt. Es dürfen nur die Datenfelder genutzt werden, die für den Zweck benötigt werden und nicht bloß nützlich sind. Auch darf nur die Menge an Daten zu so vielen Betroffenen genutzt werden, wie nötig ist. Schließlich muss die am wenigsten eingriffsintensive Verarbeitungsmethode gewählt werden, beispielsweise keine gesonderten oder auf das Nötigste beschränkte Untersuchungen.  Alternativen müssen erwogen werden und es muss dargelegt werden, warum diese ungeeignet oder weniger datenschutzfreundlich sind.

b) Anonymisierung (§ 27 (3) S. 1 BDSG)

Die Daten müssen anonymisiert werden, sobald dies nach dem Forschungszweck möglich ist.

Kann keine Anonymisierung erfolgen, muss dies begründet werden. Ein Grund kann sein, dass im Zuge von Langzeitstudien eine fortlaufende Zuordnung neuer Daten zu bereits vorhandenen Daten erforderlich ist. Auch kann es sein, dass die betroffene Person erneut kontaktiert werden muss oder die medizinische Forschung unmittelbar für Diagnose und Behandlung der betroffenen Person relevant ist. Bei genomischen Daten kann zudem aufgrund der enthaltenen Erbinformationen ein Personenbezug inhärent sein.

c) Pseudonymisierung (§ 27 (3) S. 2, 3 BDSG)

Sofern keine Anonymisierung erfolgt, müssen die Daten pseudonymisiert werden. Identifizierende Merkmale wie Name, E-Mail und Anschrift werden von den Einzelangaben wie Diagnosen gesondert gespeichert und besonders gesichert. Diese Merkmale werden mit Einzelangaben nur zusammengeführt, soweit der Forschungszweck dies erfordert.

Die Verwaltung der Pseudonyme und Zuordnungslisten sollte idealerweise durch eine organisatorisch oder rechtlich getrennte Stelle, eine sogenannte Treuhandstelle, erfolgen, die keinen Zugriff auf die medizinischen Daten hat. Um den Schutz zu erhöhen, kann eine doppelte Pseudonymisierung erfolgen. Dabei wird das beim Datenlieferanten vorliegende Pseudonym nochmals in eine neue, projektspezifische ID umgewandelt, die nach Projektende gelöscht wird.

Es muss zudem sichergestellt sein, dass anhand der Einzelangaben, etwa demografische Daten wie Alter oder PLZ, auch unter Zuhilfenahme von öffentlichen Daten keine Identifizierung von Betroffenen möglich ist. Hierzu können Daten verunschärft oder aggregiert werden, beispielsweise durch Einsatz von Differential Privacy oder K-Anonymity.

d) Keine Veröffentlichung (§ 22 (4) BDSG)

Es dürfen ausschließlich anonymisierte Daten veröffentlicht werden oder die Veröffentlichung erfolgt mit expliziter Einwilligung der Betroffenen.

„Anonymisiert“ bedeutet hierbei, dass für jedermann, außer dem Datenlieferanten, die Herstellung eines Personenbezugs auch auf absehbare Zukunft faktisch unmöglich ist.

e) Weitere angemessene und spezifische Maßnahmen (§ 27 (1) S. 2 BDSG, § 22 (2) S. 2 BDSG)

Es müssen weitere Maßnahmen zu Datenschutz getroffen werden, die beispielshaft in § 22 (2) S. 2 BDSG genannt sind. 

Beispiele: 

Die Daten müssen beim Transport und der Übergabe verschlüsselt werden und auch die Speicherung muss immer verschlüsselt erfolgen. Es kann eine gesonderte Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten erfolgen, etwa durch projektspezifische Anweisungen. Der Zugang zu den Daten kann innerhalb der Forschungseinrichtung auf einen engen Kreis von Personen beschränkt werden, die mit dem Forschungsvorhaben befasst sind.

Es müssen umfassende technische und organisatorische Maßnahmen zur Vertraulichkeit, Integrität und Verfügbarkeit getroffen werden. Dazu gehört auch eine technische Protokollierung, das Logging, mit Revisionssicherheit, um zu erkennen, wer Daten eingegeben oder verändert hat. Die Verarbeitung kann ausschließlich in einer gesicherten Forschungsumgebung (keine Public Cloud) ohne Einschaltung externer IT-Dienstleister erfolgen. Sollte dies nicht möglich sein, ist dies kritisch zu prüfen.

Die Datenverarbeitung kann zudem über die gesetzlichen Anforderungen hinaus transparent gemacht werden, etwa durch Informationen auf der Webseite oder Einträge in öffentliche Studienregister.

Die Daten verlassen idealerweise die gesicherte Umgebung des Datenlieferanten nicht; stattdessen erfolgt die Analyse durch das Einbringen von Algorithmen in die Umgebung, das sogenannte Distributed Analysis oder Sandboxing.

Den Betroffenen wird die Möglichkeit eingeräumt, ohne Angaben von Gründen der Datennutzung zu widersprechen.

Die Datenverwendung im Projekt wird durch eine unabhängige Ethikkommission geprüft.

Vertraglich sollte sich die Forschungseinrichtung gegenüber dem Datenbereitsteller verpflichten, keine Re-Identifizierung vorzunehmen, die pseudonymisierten Daten ausschließlich für das konkrete Forschungsprojekt zu nutzen und nicht an Dritte weiterzugeben.

Auch die Verarbeitung in unsicheren Drittländern ist am besten auszuschließen.

Die Speicherung sollte zeitlich eng beschränkt sein und nach Abschluss der Nutzung werden die Daten durch zusätzliche Maßnahmen wie das 4-Augen-Prinzip gesichert.

Beim Training von Künstlicher Intelligenz muss ausgeschlossen sein, dass pseudonymisierte Daten aus dem Modell extrahiert oder von diesem memorisiert werden .

3. Interessenabwägung (§ 27 (1) S. 1 BDSG)

Letzer Schritt ist die Interessenabwägung. 

Die Interessen der Forschungseinrichtung an der Verarbeitung müssen die Interessen der Betroffenen an einem Ausschluss der Verarbeitung erheblich überwiegen. Dies ist der entscheidende Aspekt der Prüfung.

Hierbei ist wie folgt vorzugehen: 

a) Bewertung der Interessen der Forschungseinrichtung

Es ist von einem besonders hohen Forschungsinteresse auszugehen, wenn der Nutzen für die Allgemeinheit außergewöhnlich hoch ist, etwa durch erhebliche Verbesserungen für die Gesundheit oder soziale Sicherheit. Auch ein besonders hohes Interesse an konkreten Forschungsvorhaben zur strategischen Ausrichtung oder Marktpositionierung kann relevant sein. Handelt es sich dagegen um Auftragsforschung, bei der der Nutzen stark im kommerziellen Interesse des Auftraggebers liegt, ist dies weniger gewichtig. Zu prüfen ist auch, ob durch die Forschung „Chilling Effects“ zu befürchten sind, also eine einschüchternde Wirkung auf die Ausübung geschützter Verhaltensweisen wie der Meinungsfreiheit.

Weitere Beispiele für Forschungsinteressen sind die Verbesserung der Patientensicherheit, der Versorgungsqualität, der Ressourceneffizienz oder die Betrugsprävention.

b) Bewertung entgegenstehender Interessen der Betroffenen

Mögliche negative Folgen für den Betroffenen müssen benannt werden. Dazu gehören Ausgrenzung, Ausschluss von Leistungen, Diffamierung oder Rufschäden, finanzielle Verluste, Schwächung einer Verhandlungsposition, Verlust der Kontrolle über eigene Daten oder negative emotionale Auswirkungen wie Ängste.

In einer Gesamtschau wird die Höhe des drohenden Schadens bewertet. Ein Schaden kann als geringfügig eingestuft werden, wenn Betroffene leichte Verärgerung oder vorübergehende Kopfschmerzen erleiden. Überschaubar ist der Schaden bei geringen psychischen Beschwerden oder spürbarem Verlust an Komfort. Ein substanzieller Schaden liegt vor bei schweren psychischen Beschwerden, finanziellen Schwierigkeiten oder schweren körperlichen Beschwerden. Als groß gilt ein Schaden bei dauerhaften, schweren psychischen oder körperlichen Beschwerden oder unumkehrbaren Konsequenzen.

Ebenso muss die Wahrscheinlichkeit des Eintritts bewertet werden. Diese kann von geringfügig, wo der Schaden nach derzeitigem Horizont nicht eintritt, bis groß reichen, wo der Schadenseintritt sehr wahrscheinlich ist.

Bei der Eintrittswahrscheinlichkeit kann auch das Re-Identifikationsrisiko mitberücksichtigt werden: Wie hoch ist die Wahrscheinlichkeit, dass durch Zusatzwissen aus öffentlichen Registern oder Social Media eine Person erkannt wird, etwa bei seltenen Krankheiten oder genauen Geodaten?

c) Weitere abwägungsrelevante Gesichtspunkte

Besonders zu berücksichtigen ist, ob Betroffene zu schützenswerten Gruppen wie Kindern oder psychisch Kranken gehören. Auch die Sensibilität der Daten, etwa Finanzdaten oder schwerwiegende Krankheitsdaten, spielt eine Rolle. Werden Daten zu sehr vielen, also vielen tausend Betroffenen verarbeitet oder werden sehr viele Informationen zu einem einzelnen Betroffenen verarbeitet, erhöht dies das Risiko.

Ein langer Zeitraum der Datenerhebung oder eine lange Projektlaufzeit von z.B. mehr als 5 Jahren sind weitere Faktoren. Erfolgt eine umfassende Verarbeitung durch Verknüpfung aus verschiedenen Systemen? Entspricht die Nutzung der vernünftigen Erwartungshaltung der Betroffenen, insbesondere bei Daten aus öffentlichen Quellen? Handelt es sich um rein retrospektive Daten, die ohnehin erhoben wurden? Werden die Ergebnisse für individuelle Entscheidungen wie Scoring oder Versicherungen genutzt?

Schließlich ist relevant, ob die Einholung einer Einwilligung unmöglich oder unverhältnismäßig wäre. Dies ist zwar keine zwingende Voraussetzung mehr, aber ein Argument in der Abwägung.

4. Gesamtergebnis und Abwägung

Im letzten Schritt erfolgt die Darlegung, warum die Forschungsinteressen die entgegenstehenden Interessen der Betroffenen erheblich überwiegen. Hierbei kann auch auf den Umfang der Schutzmaßnahmen eingegangen werden, soweit diese über die gesetztlichen Pflichtanforderungen hinausgehen.

Das Ergebnis kann lauten, dass das Forschungsprivileg greift, dass es vorbehaltlich zusätzlicher Maßnahmen greift, dass es nur eingeschränkt für bestimmte Verarbeitungen greift oder dass es nicht greift.