Kein Datenschutz bei anonymisierten Daten?

Liebes Lage-der-Nation-Team,

Ulf hat schon häufiger davon gesprochen, dass der Datenschutz aus seiner Sicht insbesondere von Behörden häufig als Nebelkerze vorgeschoben werden würde, um (sinnvolle) Weiterentwicklungen abzubügeln. In der jüngsten LdN-Folge hat er in diesem Zusammenhang auch die Aussage der Kanzlerin kritisiert, dass Deutschland anders als Israel aus Datenschutzgründen nicht einfach anonymisierte Daten an BioNTech weitergeben könne. Seine Kritik hat er u.a. damit begründet, dass anonymisierte Daten dem Datenschutz ja gar nicht unterfallen würden.

Dies ist allerdings nur so halb richtig. Zwar gelten für anonymisierte Daten die Regeln des Datenschutzes tatsächlich nicht mehr (wobei sich in diesem Zusammenhang immer die Frage stellt, wann die Daten tatsächlich als anonymisiert anzusehen sind und auf wessen Sicht es insoweit ankommt); allerdings bedarf der Schritt der Anonymisierung personenbezogener Daten durchaus einer Rechtsgrundlage und zwar umso mehr, wenn es sich wie vorliegend um die Anonymisierung besonders sensibler sog. Gesundheitsdaten handelt. Eine entsprechende Rechtsgrundlage ist mir bislang nicht bekannt.

So handelt es sich gem. Art. 4 Nr. 2 DSGVO bei so ziemlich jeder Handlung im Zusammenhang mit personenbezogenen Daten um eine sog. Verarbeitung. Selbst das Löschen der Daten stellt danach ausdrücklich eine Verarbeitung dar. Demnach muss auch das Löschen nur eines Teils der Daten, nämlich des Personenbezugs, eine Verarbeitung in diesem Sinne darstellen (so sieht das auch der Bundesdatenschutzbeauftragte, vgl. etwa https://www.bfdi.bund.de/SharedDocs/Konsultationsverfahren/2020/01_Anonymisierung-TK.pdf?__blob=publicationFile&v=6).

Für die Anonymisierung bedarf es daher – wie bei jeder Verarbeitung personenbezogener Daten – einer Rechtsgrundlage. Für „normale“ personenbezogene Daten ergibt sich dies aus Art. 6 DSGVO. Für die Verarbeitung von besonders sensiblen Daten wie etwa Gesundheitsdaten (vgl. zum Begriff der „Gesundheitsdaten“ u.a. Art. 4 Nr. 15 und Erwägungsgrund (35)) gilt gem. Art. 9 DSGVO ein sog. Verbot mit Erlaubnisverbot, d.h. die Verarbeitung dieser Daten ist grundsätzlich verboten und nur ausnahmsweise unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Eine Verarbeitung kommt danach grundsätzlich u.a. zu den in Art. 9 Abs. 2 lit. g, h oder i DSGVO genannten Zwecken in Betracht (d.h. u.a. auch für wissenschaftliche Forschungszwecke), wenn die Verarbeitung hierfür erforderlich ist und auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats erfolgt, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht (u.a. in den Erwägungsgründen (52), (53) und (54) werden die zulässigen Verarbeitungszwecke noch weiter beschränkt).

Zur Zulässigkeit der Anonymisierung bedarf es mithin – wenn keiner der übrigen Rechtfertigungsgründe, wie etwa eine ausdrückliche Einwilligung des Betroffenen, vorliegt – (neben weiteren Voraussetzungen) einer entsprechenden gesetzlichen Grundlage. Eine solche ist mir bislang nicht bekannt. Man könnte vielleicht an § 22 BDSG n.F. denken, allerdings ist dort die Verarbeitung zu wissenschaftlichen Forschungszwecken nicht genannt, d.h. man müsste das Ganze etwa unter den „Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ subsumieren (§ 22 Abs. 1 Nr. 1 lit. c) BDSG). Zum einen bestehen aus meiner Sicht aber Zweifel daran, dass § 22 BDSG als Rechtsgrundlage hinreichend konkret gefasst ist, um den Voraussetzungen des Art. 9 Abs. 2 lit. g DSGVO zu genügen. Zum anderen werden „normalen“ Gesundheitsdaten im Sinne der DSGVO durch bestimmte Verarbeitungen schnell zu sog. Sozialdaten im Sinne der SGBs, deren Verarbeitung nur noch unter den dortigen (noch engeren) Voraussetzungen zulässig ist (vgl. etwa § 35 SGB I und §§ 67a ff. SGB X) (um das Chaos komplett zu machen, wird der Begriff „Sozialdaten“ im SGB I und im SGB X trotz verwirrender wechselseitiger Verweise auch noch unterschiedlich definiert…). Auch in den SGBs gibt es für die vorliegende Konstellation aber meines Erachtens bislang keine einschlägige Rechtsgrundlage.

Im Ergebnis kann ich die Zurückhaltung der Kanzlerin daher durchaus nachvollziehen und finde Ulfs Kritik zu pauschal.

Viele Grüße
Anna

Um die Frage der Rechtsgrundlage ging es in der Lage gar nicht - nur um die Frage, ob Datenschutz-Erwägungen eine Übermittlung von Daten an Impfstoff-Hersteller prinzipiell ausschließen würden. Ob dazu dann noch eine Rechtsgrundlage geschaffen werden muss ist sicher auch eine spannende Frage, aber politisch gesehen weniger relevant, denn das ließe sich ja notfalls in kürzester Zeit nachholen.

Sie veranschaulichen hier doch imposant genau das Problem: warum muss es denn so kompliziert sein, erhobene Daten zu anonymisieren? Bei dem Paragraphendschungel, den Sie da zitieren, ist es ja kein Wunder, dass sich da kein Behördenleiter trauen würde, personenbezogene Daten in irgendeiner Weise zu nutzen, selbst wenn es nur darum geht sie zu anonymisieren und der Forschung zur Verfügung zu stellen. Das Datenschutzrecht ist hierzulande viel zu komplex, hyperbürokratisch und kontraproduktiv.

Naja, damit machst du es Dir glaube ich zu einfach. Du sagst in der Lage wörtlich, dass das mit Datenschutz nichts zu tun hätte und es nur eine Frage der Organisation der Statistik sei. Das halte ich so eben nicht für richtig. Ich glaube auch nicht, dass sich das „in kürzester Zeit nachholen“ lassen würde. Nach Deiner Argumentation hätte man ja im Rahmen der EU-Verhandlungen mit BioNTech etwas vereinbaren müssen, was zu diesem Zeitpunkt noch keine gesetzliche Grundlage gehabt hätte. Eine nationale Rechtsgrundlage hätte wohl keinen Sinn gemacht, d.h. man hätte dann auf EU-Ebene eine entsprechende Grundlage schaffen müssen und die öffentliche Debatte in diesem Zusammenhang wäre sicherlich auch sehr lebhaft geworden. Es gibt nach meiner Erfahrung viele Leute, die auch mit einer anonymisierten Verarbeitung ihrer Daten nicht einverstanden sind, weil eben nicht klar ist, welche Schlussfolgerungen noch aus anonymisierten Gesundheitsdaten gezogen werden können (Stichwort: Big Data). Die Krankenkassen würden bspw. sehr gern einfach so sämtliche Patientendaten anonymisiert verarbeiten. Dem hat der Gesetzgeber aber - aus meiner Sicht auch mit gutem Grund - einen Riegel vorgeschoben, indem er u.a. den strengen (und leider ziemlich missglückten) Sozialdatenschutz geschaffen hat, der teilweise sogar ausdrückliche Einwilligungen der Betroffenen in die Datenverarbeitung nicht zulässt. Klar wäre die Welt ohne diese Beschränkungen manchmal sehr viel einfacher und man könnte sicherlich viele tolle, auch medizinisch relevante Erkenntnisse gewinnen. Andererseits kann man aber eben auch nicht abschätzen, was passiert, wenn solche großen Datenmengen in die falschen Hände geraten. Einmal anonymisiert sind die Daten quasi vogelfrei und jeder könnte damit anfangen, was er möchte.

Warum nicht? Die DSGVO schließt nationale Regelungen ja nicht aus.

Und das Beispiel mit den Krankenkassen ist denke ich schwer vergleichbar, einfach weil die Kassen extrem viele Einzeldaten zu Personen haben, sodass es ein signifikantes Risiko der Deanonymisierung gibt. Das wäre bei BioNTech anders, wenn sie nur einige wenige statistische Infos bekommen.

Das wäre ja noch komplizierter gewesen. Dann hätte man im Nachgang zu den EU-Verhandlungen in jedem Mitgliedstaat gesondert eine gesetzliche Regelung schaffen müssen.

Das Problem einer etwaigen Deanonymisierung hat damit aus meiner Sicht nicht so viel zu tun. Der (Sozial-)Datenschutz zielt nicht (allein) darauf ab, die Gefahr einer Deanomnymisierung zu minimieren, sondern soll verhindern, dass einfach so große Datenmengen aggregiert werden, aus denen Schlüsse über die Bevölkerung gezogen werden können - selbst wenn die Daten unumkehrbar anonymisiert sind. Es differenziert nicht nach der Menge der Daten, weil jedes (Gesundheits-)Datum schutzwürdig ist. Ich weiß auch nicht, welche Art von Daten genau von Israel an BioNTech übermittelt werden, aber wenn von 447,7 Millionen EU-Bürgern bspw. Alter, Geschlecht, Impfstatus, Vorerkrankungen und Verträglichkeit erfasst werden würden, wäre das wahrscheinlich eine der größten Datensammlungen der EU-Geschichte.

Ich fürchte zudem, dass mit wirklich anonymisierten Daten auch gar nicht so viel anzufangen ist: Ich will ja zB wissen, ob jemand, der geimpft ist, auch wirklich später nicht erkrankt oder irgendwelche anderen Impffolgen hat usw usw. Daher würde es sich wahrscheinlich um pseudonymisierte Daten handeln (also schon pro Person aber ohne die konkrete Person zu kenne, „der Name muss ja nicht mit übermittelt werden“ sagte Ulf dazu in der Sendung). Und die sind dann auch wieder schwierig, denn wieviele Personen mit Alter x aus Dorf y mit Vorerkrankung z gibt es denn? Da kann dann doch schnell mal auf die konkrete Person zurückgeschlossen werden und dann ist das handling der Daten gleich wieder viel schwieriger.

Im Sinne des Datenschutzes stellt sich mir schonmal die Frage, ob der Ansatz, die Daten an BioNTech weiterzugeben überhaupt der richtige wäre. Sollte es BioNTech nicht reichen, die Ergebnisse einer wissenschaftlichen Auswertung zu erhalten? Der bessere Ansatz wäre imho, entsprechende Auswertungen in Deutschland z.B. beim RKI (oder der EU) durchzuführen. Die bekommen doch ohnehin schon Daten geliefert, also muss es da ja schon Regelungen geben (ggf. müssten die angepasst/erweitert werden). Die Zustimmung zur Datenverarbeitung könnte ja bei der Impfung abgefragt werden. Das bekommen wir freilich nicht auf die Reihe - siehe RKI und Gesundheitsämter. Damit wären wir dann wieder bei dem Punkt, dass das Hauptproblem erstmal nicht beim Datenschutz liegt.

Sagt ja keiner, dass das Dorf y auch mit aufgenommen wird.

Im letzte Podcast wurde zitiert und in Abrede gestellt, die erfolgreiche Israelische Impfkampagne sei nur möglich, weil Datenlieferungen vereinbart worden seien, die unserem Verständnis von Datenschutz nicht entsprechen würden. Darum geht es dabei nicht. In Deutschland würde es bei solchen Datenlieferungen die Einwilligung der Probanden bedürfen da ansonsten kein Ethikkomitee eine solche Lieferung/Studie akzeptieren würde. In Israel scheint das einfacher gesehen zu werden.
Ansonsten wären natürlich auch deutsche Stadtstaaten oder kleine Bundeseländer wie das Saarland ideale Orte für Feldstudien. Aber halt nur mit Zustimmung der Probanden.

Hast du dafür einen Beleg? Bei anonymisierten Daten braucht man eigentlich gerade keine Einwilligung mehr.

Und was soll ein Ethikkomitee mit den Impfzentren zu tun haben?

Ich denke, das wäre nur richtig, wenn es sich tatsächlich um eine (klinische) Studie handeln würde, bei der etwa die Verträglichkeit eines neuen Arzneimittels oder Medizinproduktes erprobt werden soll. Das ist ja aber vorliegend nicht (mehr) der Fall. Die Impfstoffe sind bereits getestet und zugelassen und werden jetzt ganz regulär verimpft. Ich wüsste also auch nicht, auf welcher Grundlage eine Ethikkommission einzubinden sein sollte.

Das halte ich so aber - wie bereits eingangs gesagt - dennoch nicht für richtig, weil es so klingt als bedürfte es auch aus datenschutzrechtlicher Sicht für die Anonymisierung der Daten generell keiner Rechtsgrundlage (wie etwa eines entsprechenden Gesetzes oder einer ausdrücklichen Einwilligung der Betroffenen).

Ich glaube, atdotde meint, dass man auch die Entwicklung nach der Impfung beobachten will (also etwa die Verträglichkeit und ob sich der Geimpfte später dennoch infiziert und ggf. mit welchen Symptomen) und es dafür weiterhin einer Zuordbarkeit zu einzelnen Betroffenen bedürfe, d.h. man müsste die Geimpften unter einem Pseudonym führen. Pseudonymisierte Daten sind aber personenbezogene Daten im Sinne des Datenschutzrechts und unterliegen damit vollumfänglich den Regeln des Datenschutzes.

Genau das wird das Problem sein. Und es ist eben leider mit der DSGVO nicht zu machen.
Alternativ müsste man auf Verdacht alle möglichen Daten erheben, um später einen möglichen Zusammenhang herstellen zu können. Und das ist nun zum Glück mit der DSGVO nicht zu machen.

Hallo zusammen, ich bin ziemlich spät dran für die Diskussion hier, habe aber gerade erst die Lage nachgehört und wollte mich auch einmal dazu äußern. Ich arbeite selber als Studienkoordinatorin das heißt, unser Team führt klinische Studien (normalerweise Phase 2) mit Prüfmedikamenten durch. Dabei hatten wir beispielsweise jetzt auch eine Studie, in welcher ein Prüfmedikament/Placebo in der Altersgruppe 60+ gespritzt wurde um einen schweren Covid-19 Verlauf zu verhindern. Innerhalb der Studien werden natürlich Daten erhoben und dazu zählen unter anderem Geburtsjahr, Geschlecht, Größe, Gewicht, Blutdruck, Vorerkrankungen und Medikamente (beides mit Start- und ggf. Stoppdatum). Darüber hinaus wird meistens auch ein EKG geschrieben und Blut abgenommen. Die Patient:innen füllen in aller Regel noch Fragebögen aus und auch die Ärzt:innen haben noch medizinische Fragebögen. Jede:r Patient:in bekommt eine individuelle Patientennummer zugeteilt und nur die wird für die weitere Kommunikation mit Sponsoren, etc verwendet. Allerdings muss man hier auch ganz klar sagen, dass die Monitore (die überprüfen die Arbeit der Studienkoordinator:innen) und die Mitarbeitenden am Zentrum (wo die Studie durchgeführt wird) sowohl die Patientennummer als auch den vollständigen Namen, Anschrift und Telefonnummer kennen. Es muss nämlich ein Subject Identification Log geführt werden in welchem all diese Daten einzusehen sind. Die Impfstoffe sind natürlich nicht mehr in der klinischen Prüfungsphase, allerdings hätte ich auch etwas Bauchschmerzen wenn ich mich nur impfen lassen könnte wenn ich meine Daten (wenn auch anonymisiert) rausgebe. Durch meine Arbeit weiß ich einfach, dass man alleine aufgrund von ein paar medizinischen Informationen sehr viel über eine Person wissen kann. Ich fände es zum Beispiel eine gute Idee, wenn man seine Daten freiwillig herausgeben kann um der Forschung zu helfen, da wär ich total dabei. Allerdings bezweifle ich, dass wir hierfür digital genug aufgestellt sind. Bei solchen Datenmengen müsste man das eher wie in einem ecrf gestalten. Das haben wir bei Studien bereits, dort werden alle Informationen (nur mit der Patientennummer) eingetragen und sind für alle, inklusive Sponsor einsehbar. Das dürfte dann doch auch Datenschutztechnisch kein riesen Problem darstellen.