Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 08.06.1998; Ergänzt: 19.3.2004;

Epidemiologie und Datenschutz

Konsenspapier zwischen dem Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und der Deutschen Arbeitsgemeinschaft für Epidemiologie (DAE); von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder mit Umlaufbeschluß vom 08.06.1998 zustimmend zur Kenntnis genommen.

Deutsche Arbeitsgemeinschaft für Epidemiologie (DAE)

Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

Inhaltsübersicht:

• Einleitung
• 1. Rechtliche Rahmenbedingungen für die Forschung mit personenbezogenen Daten
• 1.1 Forschung mit anonymisierten Daten
• 1.2 Forschung mit Einwilligung der Betroffenen
• 1.3 Forschung mit personenbezogenen Daten ohne Einwilligung der Betroffenen
• 2. Forschungsansätze in der Epidemiologie, Datenbedarf und Rechtsgrundlagen der Datenverarbeitung
• 3. Typische Problemfelder
• 3.1 Zweckbindung von personenbezogenen Daten
• 3.2 Löschung der Daten nach Beendigung des Forschungsvorhabens
• 3.3 Weitergabe anonymisierter Daten
• 3.4 Optimale Gestaltung der Einverständniserklärung bzw. des Antrags auf Übermittlung der Daten
• 3.5 Verknüpfung personenbezogener Datensätze (record linkage) z.B. bei Kohortenstudien
• 3.6 Nutzung der amtlichen Statistik
• 3.7 Aufbewahrung von Daten der amtlichen Statistik
• 3.8 Nutzung von Krebsregistern für Fall-Kontroll-Studien
• 3.9 Datenschutzfragen bei bundesweiten Studien
• Ergänzung vom 19.3.2004

Epidemiologie und Datenschutz

Redaktion für die Deutsche Arbeitsgemeinschaft für Epidemiologie:

• Wichmann, H. E.;
• Raspe, H. H.;
• Jöckel, K. H.

Redaktion für den Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder:

• Hamm, R.;
• Wellbrock, R.

Einleitung

Die epidemiologische Forschung zielt nicht auf personenbezogene, sondern auf bevölkerungsbezogene wissenschaftliche Aussagen. Hierbei stützt sie sich jedoch in der Regel auf personenbezogene Daten zum Gesundheitszustand der Probanden, soziodemographische Angaben, Informationen über Risikofaktoren und oftmals medizinische Untersuchungsbefunde und Ergebnisse aus der Analyse biologischer Materialien. Die individuellen Untersuchungsergebnisse werden üblicherweise den Probanden mitgeteilt. Zur Durchführung der Forschungsprojekte werden vielfach Namen und Anschriften zur Kontaktaufnahme benötigt. Darüber hinaus muß eine korrekte Zuordnung von Follow-up-Ergebnissen sowie die Zusammenführung von Daten aus verschiedenen Quellen sichergestellt werden.

Epidemiologie und Datenschutz stehen traditionell im Spannungsfeld des Schutzes der Persönlichkeitsrechte der von der Datenverarbeitung Betroffenen und dem wissenschaftlichen Anliegen, durch das Auswerten von Gesundheitsdaten zu wichtigen und auf andere Weise nicht erreichbaren Kenntnissen zu gelangen.

Im Anschluß an eine Diskussion der datenschutzrechtlichen Fragen zwischen der Deutschen Forschungsgemeinschaft und dem Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben Epidemiologen und Datenschützer versucht, typische Problemfelder zu identifizieren und zu gemeinsamen Lösungsvorschlägen zu kommen. Die folgenden Vorschläge sollen den mit Datenschutzfragen bei epidemiologischen Studien befaßten Wissenschaftlern, Datenschützern, Ethikkommissionen, Behörden und Forschungsförderern zur Information und Orientierung dienen, um Probleme zu vermeiden, die durch fehlende Kenntnis der datenschutzrechtlichen Vorschriften, ungeeignet formulierte Einverständniserklärungen oder durch eine falsche oder übervorsichtige Interpretation der Rechtsvorschriften zur Datenübermittlung für Forschungszwecke etc. bedingt sind.

1. Rechtliche Rahmenbedingungen für die Forschung mit personenbezogenen Daten

1.1 Forschung mit anonymisierten Daten

Die datenschutzrechtlichen Bestimmungen finden nur Anwendung, wenn für ein Forschungsprojekt personenbezogene Daten benötigt werden. Forschung mit anonymisierten Daten ist jederzeit ohne datenschutzrechtliche Vorgaben möglich. Ob es sich im konkreten Fall um personenbezogene oder um anonymisierte Daten handelt, bedarf allerdings sorgfältiger Prüfung. §3 Abs.7 BDSG enthält eine gesetzliche Definition des Anonymisierens. Dieser Definition zufolge ist Anonymisieren das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (sog. "faktische Anonymisierung"). Anonymisierung wird in der wissenschaftlichen bzw. datenschutzrechtlichen Diskussion ganz überwiegend im Sinne einer faktischen Anonymisierung verstanden. Einzelangaben sind z. B. dann keine anonymisierten Daten, wenn beim Forschungsinstitut bzw. beim Forscher lediglich eine organisatorische Trennung der Hilfsmerkmale von den übrigen Daten vorgenommen wurde oder wenn lediglich Name und Adresse der Betroffenen weggelassen wurden und die Betroffenen anhand der weiteren Angaben noch identifizierbar sind. Auch aggregierte Daten können nicht immer als anonymisiert qualifiziert werden. Im Einzelfall muß eine Risikoanalyse unter Berücksichtigung insbesondere des eventuellen Wertes der in Frage stehenden Daten für potentielle Interessenten sowie der dem Empfänger oder den potentiellen Interessenten zur Verfügung stehenden Ressourcen (Zusatzwissen, technische Möglichkeiten der Datenverarbeitung etc.) durchgeführt werden.

In einigen wenigen Bundesländern wird Anonymisierung im Sinne einer absoluten Anonymisierung verstanden, d.h. Einzelangaben werden nur dann als anonym qualifiziert, wenn sie unter keinen Umständen mehr zuzuordnen sind.

1.2 Forschung mit Einwilligung der Betroffenen

Personenbezogene Daten können im Rahmen der epidemiologischen Forschung auf der Basis einer Einwilligung der Betroffenen verarbeitet werden. Nach den datenschutzrechtlichen Regelungen muß die Einwilligung der Betroffenen bestimmte inhaltliche und formale Voraussetzungen erfüllen, damit sie rechtswirksam ist. Insbesondere müssen die Betroffenen über die vorgesehene Verarbeitung ihrer Daten informiert werden (Träger und Leiter des Forschungsprojekts, Zweck des Forschungsvorhabens, Art und Weise der Datenverarbeitung, Personenkreis, der von den personenbezogenen Daten Kenntnis erhält, Zeitpunkt der Löschung der personenbezogenen Daten etc.), damit sie die Tragweite ihrer Entscheidung erkennen können. Die Einwilligung muß in der Regel schriftlich erteilt werden, die gesetzlichen Regelungen sehen jedoch Ausnahmen vor. Ferner ist ein Hinweis erforderlich, daß die Einwilligung freiwillig ist, aus der Verweigerung der Einwilligung keine Nachteile entstehen und ein Widerruf der Einwilligung möglich ist. Einzelheiten sind den jeweils einschlägigen Regelungen zu entnehmen.

Verfügt die Forschungsstelle nicht über die Namen und Adressen der Personen, bei denen Einwilligungen eingeholt werden sollen, und kann sie sich diese Daten aufgrund der rechtlichen Regelungen (z.B. Meldegesetz) nicht beschaffen, so kann die Forschungsstelle die Betroffenen in der Weise kontaktieren, daß sie ihre Anschreiben, Merkblätter etc. in verschlossenen Umschlägen der Stelle übergibt, die über die Daten verfügt, damit letztere auf die Umschläge Namen und Adressen schreibt und die Anschreiben dann versendet. Auf diese Weise wird vermieden, daß die Daten Dritten zur Kenntnis gelangen. Dabei sollte für die Betroffenen in dem Anschreiben eindeutig erkennbar sein, daß ihre geschützten Daten von der Stelle, die über die Daten verfügt, nicht an die forschende Stelle weitergegeben wurden.

1.3 Forschung mit personenbezogenen Daten ohne Einwilligung der Betroffenen

Das Grundgesetz gewährleistet das Recht auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts im Sinne von Artikel2 i.V.m. Artikel1 Grundgesetz. Ebenso gewährleistet das Grundgesetz die Freiheit von Wissenschaft und Forschung in Artikel5 Grundgesetz. Diese beiden Grundrechte können bei Forschungsvorhaben, für die -zumindest vorübergehend- personenbezogene Daten benötigt werden, miteinander in Konflikt geraten. In dieser Situation ist es -wie auch bei anderen Grundrechtskonflikten- in erster Linie Aufgabe des Gesetzgebers, diese potentiellen Konflikte so zu regeln, daß beide Grundrechte möglichst weitgehend realisiert werden können. Der Gesetzgeber muß die rechtlichen Rahmenbedingungen festlegen, unter denen personenbezogene Daten zu Forschungszwecken ohne Einwilligung der Betroffenen verwendet werden dürfen. Dabei sind auch die besonderen Schweigepflichten wie z.B. die ärztliche Schweigepflicht i.S. der Berufsordnung und des §203 StGB zu beachten. Nach der Rechtsprechung des Bundesverfassungsgerichts ist eine Einschränkung des Rechts auf informationelle Selbstbestimmung nur im überwiegenden Allgemeininteresse und unter Beachtung des Grundsatzes der Verhältnismäßigkeit zulässig. Die Verarbeitung personenbezogener Daten muß für den angestebten Zweck geeignet und notwendig sein und es darf keine Alternative geben, die die Betroffenen weniger belastet (z.B. Anonymisierungs- bzw. Pseudonymisierungsverfahren, Einwilligung der Betroffenen).

Gesetzliche Forschungsregelungen, die das Recht auf informationelle Selbstbestimmung und die Freiheit von Wissenschaft und Forschung in diesem Sinne zuordnen, sind z.B. in Landeskrankenhausgesetzen, Meldegesetzen, im SozialgesetzbuchX, Krebsregistergesetzen, im Bundesdatenschutzgesetz und in Landesdatenschutzgesetzen enthalten. Entgegen dem allgemeinen Grundsatz der Zweckbindung personenbezogener Daten können nach diesen Regelungen unter bestimmten Voraussetzungen Daten, die zu einem anderen Zweck als wissenschaftlicher Forschung erhoben wurden, zu Forschungszwecken weiterverwendet werden.

2. Forschungsansätze in der Epidemiologie, Datenbedarf und Rechtsgrundlagen der Datenverarbeitung

Die Epidemiologie ist die Lehre von der Verteilung der Krankheiten und ihrer Risikofaktoren in der Bevölkerung. Aussagen epidemiologischer Forschung betreffen nicht das Individuum, sondern eine Bevölkerungsgruppe. Daher werden personenbezogene Daten nur für die Datenerfassung und ggf. spätere Kontaktaufnahmen sowie für die Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen benötigt.

Als wichtigste epidemiologische Studientypen sind beispielhaft anzusehen:

• Bei Querschnittserhebungen wird typischerweise einmalig eine Befragung und/oder Untersuchung von Probanden durchgeführt. Diese werden persönlich um ihr Einverständnis gebeten. Die epidemiologische Fragestellung umfaßt z.B. die Charakterisierung von Erkrankungshäufigkeiten in der untersuchten Bevölkerungsgruppe oder den Zusammenhang zwischen dem Auftreten von Erkrankungen und Risikofaktoren. Aus datenschutzrechtlicher Sicht sind hier – wie auch bei den anderen Studienformen – die formalen und inhaltlichen Voraussetzungen der Einwilligungserklärung der Betroffenen zu beachten, ferner die jeweils einschlägigen Vorschriften zur Verarbeitung und Nutzung personenbezogener Daten durch die Forschungseinrichtungen (z.B. §40 BDSG).
• Als zweiter Studientyp ist die Kohortenstudie zu nennen. Hierbei werden -z.B. ausgehend von einer Querschnittstudie- wiederholt Untersuchungen an denselben Probanden durchgeführt. Für diese Follow-up-Untersuchungen ist es erforderlich, personenbezogene Daten zu speichern, Anschriften zu aktualisieren etc. Diese Datenverarbeitung muß von den Einwilligungserklärungen umfaßt sein. Als epidemiologische Fragestellungen werden das Auftreten neuer Erkrankungen oder bestimmter Todesursachen im Zusammenhang mit bestimmten Risikofaktoren bearbeitet. Im letzteren Fall ist es zusätzlich erforderlich, über Einwohnermeldeämter und Gesundheitsämter den Vitalstatus sowie im Falle des Versterbens die Todesursache zu erheben. Als Rechtsgrundlage hierfür kommen die gesetzlichen Forschungsregelungen oder die Einwilligung der Betroffenen in Betracht.
• Einen Spezialfall von Kohortenstudien stellen retrospektive Kohortenstudien (mit zurückverlagertem Beginn) dar, die insbesondere im Bereich der Berufsepidemiologie häufig eingesetzt werden. Bei solchen Studien wird typischerweise aufgrund von betrieblichen Unterlagen die Exposition gegenüber bestimmten Arbeitsstoffen am Arbeitsplatz erhoben. Häufig interessiert das Auftreten von Krebserkrankungen oder das Versterben an bestimmten Todesursachen im Zusammenhang mit den beruflichen Expositionen. Hierbei ist es nicht ungewöhnlich, daß die Personen selbst nicht befragt werden, sondern daß ihre Exposition aus den betrieblichen Unterlagen bestimmt wird und die Krebserkrankung oder Todesursache durch Auswertung eines Krebsregisters oder über Einwohnermeldeamt und Gesundheitsamt in Erfahrung gebracht wird. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten kommen die gesetzlichen Forschungsregelungen oder die Einwilligung der Betroffenen in Betracht.
• Als weiterer epidemiologischer Studientyp ist die Fall-Kontroll-Studie zu nennen. Hierbei werden als Fälle Personen mit bestimmten Erkrankungen bezeichnet, die Kontrollpersonen gegenübergestellt werden. Fälle und Kontrollen werden im Hinblick auf in der Vergangenheit liegende Risikofaktoren befragt. Häufig ist es sinnvoll, Fälle aus Registern, z.B. Krebsregistern, einzubeziehen. Als Rechtsgrundlage kommen die gesetzlichen Forschungsregelungen, z.B. in Krebsregistergesetzen, oder die Einwilligung der Betroffenen in Betracht.

3. Typische Problemfelder

3.1 Zweckbindung von personenbezogenen Daten

Problem:

Personenbezogene Daten werden auf der Grundlage einer Einwilligung der Betroffenen oder einer gesetzlichen Forschungsregelung zu einem bestimmten Zweck, d.h. für eine konkrete epidemiologische Studie, erhoben. Aus wissenschaftlicher Sicht kann es allerdings später wichtig werden, diese Daten für die Bearbeitung neuer Fragestellungen zu nutzen, die zum Zeitpunkt der Einwilligungserklärung der Betroffenen bzw. der Übermittlungen der Daten noch nicht bekannt waren und daher in die Angaben zum Zweck der Verwendung der Daten nicht einbezogen wurden. Eine erneute Kontaktierung der Probanden ist häufig nicht möglich oder wäre mit zusätzlichem hohem Aufwand und Kosten verbunden und könnte wegen Umzug, Tod, Desinteresse etc. der Betroffenen auch zu Problemen im Hinblick auf die Repräsentativität der Daten führen.

Lösungsansätze:

• Soweit es sich um anonymisierte Daten handelt, unterliegt eine Zweckänderung der Daten keinen rechtlichen Beschränkungen. Die datenschutzrechtlichen Regelungen sind nicht anzuwenden. Dies gilt entsprechend für die Verwendung biologischer Materialien.
• Es besteht die Möglichkeit, Einwilligungserklärungen so zu formulieren, daß eine eventuelle inhaltliche Änderung bzw. Ausweitung der Fragestellungen der Studie mit umfaßt ist. Grundsätzlich muß eine Einwilligungserklärung hinreichend bestimmt sein. Die Anforderungen an die Vollständigkeit und Präzision der Einwilligungserklärungen können jedoch je nach der konkreten Verarbeitungssituation variieren. Bei der Verarbeitung personenbezogener Daten für eine wissenschaftliche Studie ist eine weitere Formulierung des Zwecks vertretbar und angemessen. Es ist die Entscheidung der Betroffenen, inwieweit sie auch eine Einwilligungserklärung mit einer weiteren Formulierung des Zwecks der Studie unterschreiben, d.h. es handelt sich um eine Frage der Akzeptanz. Die Einwilligungserklärung kann auch verschiedene Varianten der Verwendung der Daten enthalten, über die die Betroffenen entscheiden.
• Bei einer Übermittlung personenbezogener Daten auf der Grundlage einer gesetzlichen Forschungsregelung ist es vertretbar und angemessen, den Zweck der Übermittlung der Daten (d.h. die Darstellung des Forschungsvorhabens) so zu formulieren, daß eventuelle inhaltliche Änderungen bzw. Ausweitungen der Fragestellungen der Studie mit umfaßt sind.
• In Betracht kommt auch eine Anwendung der datenschutzrechtlichen Regelungen über die Zweckänderung personenbezogener Daten. Die rechtlichen Voraussetzungen für eine Zweckänderung sind im Einzelfall zu prüfen.
• Verfahrensrechtliche Lösungen wie z.B. Einschaltungen von Ethikkommissionen, Datenschutzbeauftragten etc. kommen im Regelfall nur dann in Betracht, wenn Rechtsvorschriften vorhanden sind, die grundsätzlich eine Zweckänderung der Daten unter bestimmten Voraussetzungen zulassen, denn weder Ethikkommissionen noch Datenschutzbeauftragte können ihre Entscheidung an die Stelle der Entscheidung der Betroffenen setzen.

3.2 Löschung der Daten nach Beendigung des Forschungsvorhabens

Problem:

Es ist offen, in welchem Umfang die Daten nach Beendigung des Forschungsvorhabens gelöscht werden müssen.

Lösungsansätze:

• Soweit die Daten anonymisiert sind, sind die datenschutzrechtlichen Regelungen nicht anzuwenden und die weitere Verarbeitung der Daten unterliegt keinen rechtlichen Beschränkungen.
• Werden personenbezogene Daten verarbeitet, sollte der Zeitpunkt der Löschung der personenbezogenen Daten in dem Text der Einwilligungserklärung bzw. dem Antrag auf Übermittlung der Daten konkret benannt werden. Ist im Einzelfall eine Speicherung anonymisierter Daten für die wissenschaftliche Nachprüfbarkeit der Forschungsergebnisse nach ihrer Publikation nicht ausreichend. so kann eine Speicherung der personenbezogenen Daten für einen bestimmten Zeitraum nach der Publikation der Forschungsergebnisse zur wissenschaftlichen Nachprüfbarkeit der Forschungsergebnisse zulässig sein. Der Zeitpunkt für die Löschung der personenbezogenen Daten sollte in der Einwilligungserklärung bzw. in dem Antrag auf Übermittlung der Daten möglichst konkret benannt werden.

3.3 Weitergabe anonymisierter Daten

Problem:

In einem Forschungsvorhaben erweist es sich als sinnvoll, anonymisierte Daten aus mehreren Studien zu poolen, d.h. zusammenzuführen und gemeinsam statistisch auszuwerten, weil sich für viele Fragestellungen nur dadurch ausreichend große Fallzahlen erreichen lassen. Auch eine Weitergabe von anonymisierten Daten in Form von Public Use Files kann sinnvoll sein, um die Daten anderen Wissenschaftlern für ihre Forschung zugänglich zu machen.

Lösungsansätze:

• Grundsätzlich können anonymisierte Daten ohne rechtliche Beschränkungen weitergegeben werden. Es muß allerdings im Einzelfall geprüft werden, ob es sich tatsächlich um anonymisierte Daten handelt und ob die Daten auch nach der Zusammenführung mit den Daten aus den anderen Studien noch als anonymisiert qualifiziert werden können. Eine Zusammenführung anonymisierter Daten aus mehreren Studien führt häufig dazu, daß eine Deanonymisierung der Daten noch schwieriger wird. Im Einzelfall kann es jedoch durchaus auch die Konstellation geben, daß anonymisierte Daten durch ihre Zusammenführung mit Daten aus anderen Studien leichter deanonymisiert werden können und dann u.U. als personenbezogen qualifiziert werden müssen. In diesem Fall sind die datenschutzrechtlichen Regelungen zu beachten.
• Eine Übermittlung personenbezogener Daten ist nicht in jedem Fall ausgeschlossen. Es gilt das oben unter 3.1 Gesagte entsprechend.

3.4 Optimale Gestaltung der Einverständniserklärung bzw. des Antrags auf Übermittlung der Daten

Problem:

Einerseits sollten in der Einverständniserklärung bzw. in dem Antrag auf Übermittlung der Daten möglichst präzise die zu untersuchende Fragestellung, die Vorgehensweise und die an der Studie beteiligten Institutionen angegeben werden. Andererseits kann es sich im Laufe einer Studie ergeben, daß Kooperationspartner wechseln und sich Fragestellungen erweitern bzw. neue Fragestellungen auftauchen. Wie kann dies in der Einverständniserklärung bzw. in dem Antrag optimal berücksichtigt werden?

Lösungsansätze:

• Die Formulierung des Zwecks der epidemiologischen Studie kann so erfolgen, daß eine evtl. inhaltliche Änderung bzw. Ausweitung der Fragestellungen der Studie mit umfaßt ist (vgl. oben 3.1).
• Die datenverarbeitende Stelle -im Regelfall die Institution (Klinikum, Institut etc.) - muß in der Einwilligungserklärung bzw. in dem Antrag auf Übermittlung personenbezogener Daten konkret und verbindlich benannt werden. Aus datenschutzrechtlicher Sicht ist es von zentraler Bedeutung, daß die Verantwortlichkeit für die personenbezogenen Daten dauerhaft klar geregelt ist und der Bürger eindeutig darüber informiert ist, an wen er sich wo bei Auskunftsersuchen, Widerruf seiner Einwilligung etc. wenden kann. Die Namen der Kooperationspartner müssen nur dann konkret aufgeführt werden, wenn sie mit einer eigenständigen Auswertung der personenbezogenen Daten befaßt sind.
• Im Einzelfall ist es auch möglich, eine Klausel dahingehend aufzunehmen, daß Abweichungen von der angegebenen Vorgehensweise und Erweiterungen der Fragestellungen nur nach Rücksprache mit dem zuständigen Datenschutzbeauftragten bzw. der Ethikkommission erfolgen.

3.5 Verknüpfung personenbezogener Datensätze (record linkage), z.B. bei Kohortenstudien

Problem:

Es soll eine Studie durchgeführt werden, bei der ein Abgleich verschiedener Datenbestände vorgenommen wird, die Betroffenen jedoch zu keinem Zeitpunkt direkt kontaktiert bzw. um Einwilligung gebeten werden. Ein Beispiel hierfür ist eine Studie, bei welcher die Expositionsbedingungen am Arbeitsplatz aus betrieblichen Unterlagen der dort tätigen Arbeitnehmer zusammengestellt werden. Die Erhebung der aufgetretenen Erkrankungen erfolgt über vorhandene Krankheitsregister (z.B. Krebsregister) oder über Einwohnermeldeämter und Gesundheitsämter zur Erhebung des Vitalstatus und der Todesursache.

Lösungsansätze:

• In einzelnen gesetzlichen Regelungen wie z.B. Krebsregistergesetzen ist ein Abgleich verschiedener Datenbestände vorgesehen. Im übrigen sehen die bundes- bzw. landesrechtlichen Regelungen - mit Unterschieden im einzelnen- grundsätzlich die Möglichkeit von Datenübermittlungen durch Betriebe, Einwohnermeldeämter, Gesundheitsämter, Krebsregister etc. vor (vgl. z.B. § 28 Abs.2 Nr.2 BDSG, Meldegesetze, Gesetze über den öffentlichen Gesundheitsdienst, Krebsregistergesetze, Forschungsregelungen im Bundesdatenschutzgesetz und in den Landesdatenschutzgesetzen). Die rechtlichen Voraussetzungen dieser Übermittlungsbestimmungen müssen im Einzelfall geprüft werden.
• Vor der Durchführung einer Studie sollte der Einsatz eines Treuhänders, d.h. eines vertrauenswürdigen Dritten, geprüft werden, der insbesondere personenbezogene Daten aus verschiedenen Quellen zuordnet, speichert und anonymisiert an die Forschungsinstitution übermittelt. Die Übermittlung personenbezogener Daten an einen Treuhänder bedarf ebenso wie die Übermittlung personenbezogener Daten an die Forschungsinstitution selbst einer Rechtsgrundlage. Der Einsatz eines Treuhänders kann jedoch im Einzelfall den Eingriff in das Recht der Betroffenen auf informationelle Selbstbestimmung minimieren, indem der Kreis derjenigen Personen, die personenbezogene Daten zur Kenntnis erhalten, reduziert wird und die Datensicherheit umfassender gewährleistet wird. Diese Aspekte haben Relevanz für die in vielen Forschungsregelungen vorgesehene Abwägung zwischen den schutzwürdigen Belangen der Betroffenen und dem öffentlichen Interesse an der Durchführung des Forschungsvorhabens.

3.6 Nutzung der amtlichen Statistik

Problem:

Häufig werden von den statistischen Ämtern des Bundes und der Länder in der Praxis nur Daten übermittelt, bei denen eine Mindestzahl auftretender Konstellationen pro Zelle erfüllt ist. Hierdurch werden bestimmte Aussagen unmöglich gemacht, z.B. die Unterteilung einer Untersuchungsgruppe nach Altersklassen oder nach genaueren diagnostischen Einheiten wie Todesursachen.

Lösungsansätze:

Die statistischen Ämter des Bundes und der Länder dürfen faktisch anonymisierte Einzelangaben für wissenschaftliche Vorhaben an Hochschulen und andere Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung übermitteln, wenn die Empfänger Amtsträger, für den öffentlichen Dienst Verpflichtete oder nach §16 Abs.7 Bundesstatistikgesetz Verpflichtete sind (§16 Abs.6 BStatG). Die Daten sind zu löschen, sobald das Vorhaben durchgeführt ist, eine verbindliche Löschungsfrist besteht nicht (§16 Abs.8 BStatG).

Es besteht die Möglichkeit, aus bereits vorliegenden Individualdaten faktisch anonymisierte Einzelangaben zu bestellen. Von diesem Weg wird jedoch häufig aus Kostengründen Abstand genommen. Für einige Bereiche sind faktisch anonyme Daten auf Vorrat erstellt worden, z.B. aus dem Mikrozensus 1995 und der Einkommens- und Verbrauchsstichprobe 1993. Einzelangaben aus solchen Beständen können gegen geringe Gebühr bezogen werden, die breite Anwendung dieser Verfahren wird aber durch Geldmangel behindert.

Leichter verfügbar sind statistische Tabellen, die i.a. dadurch anonymisiert sind, daß Felder mit geringen Belegungen so zusammengefaßt wurden, daß Zahlen kleiner als 3 nicht mehr auftreten. Dies ist für Forschungszwecke oft hinderlich. Soweit jedoch die Angaben aus Feldern mit zu geringer Belegung nicht mehr erkennen lassen, als nach §16 Abs.6 BStG übermittelt werden darf, und auch die weiteren Bedingungen dieser Vorschrift erfüllt werden, bestehen keine datenschutzrechtlichen Bedenken gegen die Übermittlung auch solcher Tabellen mit faktisch anonymisierten Einzelangaben.

3.7 Aufbewahrung von Daten der amtlichen Statistik

Problem:

Die Löschung älterer Datenbestände kann der epidemiologischen Forschung unwiederbringlich Grundlagen entziehen.

Lösungsansätze:

Abgesehen von den Hilfsmerkmalen (insbesondere Namen und Anschriften) gibt es i.a. keine gesetzlichen Löschungsfristen für statistische Einzelangaben. Die Löschungspraxis richtet sich nach der Einschätzung des zu erwartenden Nutzens aus der weiteren Aufbewahrung im Verhältnis zu deren Kosten. Datenschutzrechtlich zulässig wäre eine weitere Speicherung statistischer Einzelangaben auch für zukünftig erwartete, aber noch nicht im einzelnen bekannte Zwecke. Vor Löschung der Daten sind diese nach den jeweils geltenden archivrechtlichen Bestimmungen den zuständigen Archiven anzubieten. Zur Dauer der Speicherung der Daten bei den statistischen Ämtern bzw. bei den Archiven sollte aus dem Wissenschaftsbereich der Bedarf dargelegt werden. Die Aufbewahrung der Totenscheine (im Original) richtet sich nach dem jeweiligen Landesrecht.

3.8 Nutzung von Krebsregistern für Fall-Kontroll-Studien

Problem:

Bei Fall-Kontroll-Studien wird häufig ein (möglichst repräsentativer) Zugang zu bestimmten Erkrankungsgruppen benötigt. Dieser kann unter hohen Kosten auf der Grundlage von Einwilligungen der Betroffenen oder gesetzlichen Forschungsregelungen über Krankenhäuser erfolgen, in denen diese Patienten behandelt werden. Ein effektiverer und vollständigerer Zugang ist aber derjenige über Krankheitsregister (z.B. Krebsregister). Der Zugang über das Register dient dabei nur der Auffindung des Patienten und der Kontaktaufnahme mit ihm, alles weitere kann durch die Einverständniserklärung der beteiligten Personen abgedeckt werden. Diesen Patienten werden dann Kontrollpersonen aus der Bevölkerung gegenübergestellt, die auf anderem Wege kontaktiert und in die Studie einbezogen werden.

Lösungsansätze:

• Gemäß § 8 des Krebsregistergesetzes des Bundes (KRG) können für Maßnahmen des Gesundheitsschutzes und bei wichtigen und auf andere Weise nicht durchzuführenden, im öffentlichen Interesse stehenden Forschungsaufgaben die zuständigen Behörden der Vertrauensstelle des Krebsregisters die Abgleichung Personen identifizierender Daten mit Daten des Krebsregisters und die Entschlüsselung der erforderlichen verschlüsselten Identitätsdaten und deren Übermittlung im erforderlichen Umfang genehmigen.
  Vor der Übermittlung personenbezogener Daten hat die Vertrauensstelle über den meldenden behandelnden Arzt oder Zahnarzt die schriftliche Einwilligung des Patienten einzuholen. Ist der Patient verstorben, hat die Vertrauensstelle vor der Datenübermittlung die schriftliche Einwilligung des nächsten Angehörigen einzuholen, soweit dies ohne unverhältnismäßigen Aufwand möglich ist.
• Die Länder können in ihren Gesetzen zur Ausführung des Krebsregistergesetzes abweichende Regelungen treffen (§13 Abs.5 Nr.2 KRG). Einige Länder haben vom Krebregistergesetz des Bundes abweichende datenschutzrechtliche Modelle (z.B. keine Aufgliederung des Registers in Vertrauensstelle und Registerstelle) gewählt. Im Einzelfall sind die einschlägigen Übermittlungsbestimmungen zu prüfen und zu beachten.

3.9 Datenschutzfragen bei bundesweiten Studien

Problem:

Bei Studien, die in mehreren Bundesländern stattfinden, sind häufig die unterschiedlichen datenschutzrechtlichen Regelungen der Bundesländer zu berücksichtigen.

Lösungsansätze:

Zur Vereinfachung des Verfahrens kann der Studienleiter den für ihn zuständigen Datenschutzbeauftragten bzw. denjenigen Datenschutzbeauftragten, in dessen Bundesland die zentrale Speicherung der Daten des Forschungsprojekts erfolgen soll, darum bitten, die Stellungnahmen der anderen Datenschutzbeauftragten (soweit von dem konkreten Forschungsprojekt betroffen) zu koordinieren.

Ergänzung vom 19.3.2004

Das Papier zitiert das Krebsregistergesetz des Bundes. Dieses ist mit Ablauf des 31.12.1999 außer Kraft getreten. Es gelten die jeweiligen Landeskrebsregistergesetze. In Bayern wurde mit Art. 11 Bayerischen Krebsregistergesetz eine dem § 8 des Krebsregistergesetzes des Bundes entsprechende Lösung geschaffen.