IckeT - Fotolia
Den Daten-Governance-Rechtsakt richtig umsetzen
Der Daten-Governance-Rechtsakt muss immer in Verbindung mit der Datenschutz-Grundverordnung gesehen werden. Datenschutzaufsichtsbehörden geben Hinweise zur richtigen Umsetzung.
Als zentrale Säule der europäischen Datenstrategie zielt das Daten-Governance-Gesetz darauf ab, das Vertrauen in den Datenaustausch zu erhöhen, die Mechanismen zur Erhöhung der Datenverfügbarkeit zu stärken und technische Hindernisse für die Weiterverwendung von Daten zu überwinden, so die EU-Kommission.
Vorteile durch den Data Governance Act (DGA) sieht die EU-Kommission unter anderem bei der Entwicklung von KI (künstliche Intelligenz): Ein gutes Datenmanagement und ein guter Datenaustausch werde die Industrie in die Lage versetzen, innovative Produkte und Dienstleistungen zu entwickeln, und viele Wirtschaftszweige effizienter und nachhaltiger machen. Das sei auch wichtig für die Ausbildung von KI-Systemen.
Da der DGA auch personenbezogene Daten betreffen kann, ist bei dem Datenteilen und der höheren Datenverfügbarkeit nach DGA immer auch der Datenschutz zu beachten. Hierzu erklärt das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht): „Besonders herausfordernd in diesem Zusammenhang ist vor allem auch das Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Datenteilen umfasst in einer Vielzahl von Fallkonstellationen auch personenbezogene Daten, sodass unweigerlich die Frage aufkommt, wie das Ziel eines erleichterten Datenaustausches mit den Vorgaben der DSGVO in Einklang gebracht werden kann. Eigene Regelungen oder gar eine eigene Rechtsgrundlage enthält der Data Governance Act nicht“, so die Datenschutzaufsicht.
Was also tun, wenn man Projekte für eine höhere Datenverfügbarkeit angehen will?
Wenn Daten „mobil“ werden, muss der Datenschutz stimmen
Der Daten-Governance-Rechtsakt, der mit einheitlichen Vorgaben die Datenverfügbarkeit stärken und das Vertrauen in den Datenaustausch erhöhen soll, ist ein Datenschutzthema, weil damit neben anderen Informationen auch personenbezogene Daten „in Bewegung geraten“, betont auch der Bayerische Landesbeauftragte für den Datenschutz. Das Regelwerk sei aber kein selbsterklärendes Gesetz. Deshalb machen die Datenschutzaufsichtsbehörden auch deutlich, dass die vom Gesetzgeber beabsichtigte Erhöhung der Datenverfügbarkeit bei personenbezogenen Daten grundsätzlich nur unter Achtung der im Datenschutzrecht etablierten Schutzstandards zu erreichen sei.
Das gilt ganz besonders für sensible Daten wie Gesundheitsdaten, die die EU-Kommission explizit als Anwendungsbereich für den Data Governance Act nennt: „Datengesteuerte Innovationen werden Unternehmen und Einzelpersonen Vorteile bringen, indem sie unser Leben und unsere Arbeit effizienter machen durch Verbesserung der personalisierten Behandlungen, Verbesserung der Gesundheitsversorgung und Unterstützung bei der Heilung seltener oder chronischer Krankheiten sowie der Einsparung von jährlich etwa 120 Milliarden Euro im Gesundheitssektor der EU.“
Die Datenschutzaufsichtsbehörden haben sich bereits zu konkreten Fragestellungen wie den Anforderungen an die Sekundärnutzung von genetischen Daten zu Forschungszwecken geäußert.
Besonderer Schutz für sensible Daten
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert eine datenschutzkonforme wissenschaftliche biomedizinische Forschung mit genetischen Daten zum Wohle der Patientinnen und Patienten, indem dazu ein gesetzlicher Rahmen geschaffen wird, der sanktionsbewehrte hohe Schutz- und Vertrauensanforderungen und wirksame Mitwirkungs- und Kontrollmöglichkeiten der betroffenen Personen vorsieht.
Für die datenschutzkonforme Verarbeitung genetischer Daten bedarf es grundsätzlich der ausdrücklichen Einwilligung der betroffenen Personen. Denn gerade in diesem äußerst sensiblen Bereich vermag nur die datenschutzrechtliche Einwilligung als Grundlage für eine individuelle Rechtsausübung dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen, wie die Datenschützer erklären.
Zudem hält es die DSK für geboten, dass eine gesetzliche Regelung für die Verarbeitung genetischer Daten zu Zwecken der Sekundärnutzung besondere Schutzmaßnahmen vorsieht. Dabei sollte unter anderem folgendes gewährleistet werden, wobei an dieser Stelle die technischen Maßnahmen genannt werden:
- Verschlüsselte Verarbeitung genetischer Daten und frühestmögliche Pseudonymisierung unter Einbindung unabhängiger Vertrauensstellen, weitere standardisierte Vorgaben zu den technischen und organisatorischen Maßnahmen einschließlich der Sicherheitsmaßnahmen und technisch implementierten Speicherbegrenzung und Löschung
- Lösch- und Vernichtungspflichten für die genetischen Daten und biologischen Proben mit einer gesetzlich festgelegten Aufbewahrungsdauer
- Zugang zu genetischen Daten von berechtigten Dritten nur nach einem Use-&-Access-Verfahren, das auch die datenschutzrechtlichen Grundsätze wie die Beschränkung des Zugangs für einen bestimmten wissenschaftlichen Forschungszweck, für eine bestimmte Zeit und für qualifizierte Forscherinnen und Forscher umfasst. Ein Datenzugriff berechtigter Dritter ist im Rahmen einer sicheren Verarbeitungsumgebung zu gewähren.
- Vorgaben zur Wahrung der Anonymität der betroffenen Personen bei Publikation von Forschungsergebnissen
Dies zeigt beispielhaft, wie der Datenschutz gewährleistet werden muss, wenn personenbezogene und sensible Daten verfügbar gemacht werden sollen, wie dies im Sinne des Data Goverance Acts geschehen soll und wird. Damit verhindert der Datenschutz nicht den Datenaustausch zum Wohle des medizinischen Fortschritts, sondern er sichert die Rechte auf informationelle Selbstbestimmung bei den Patientinnen und Patienten.
