Datenschutz zwischen EU und USA – Probleme der Nutzung von Patientendaten

Datenschutz zwischen EU und USA – Probleme der Nutzung von Patientendaten

Vielfach wird Datenschutz gleichgesetzt mit dem Schutz von Daten in sozialen Netzwerken wie Facebook oder Google+. Teilweise werden auch Daten von Firmen – insbesondere im Zusammenhang der Berichterstattung über so genannte „Datenlecks“ – in Betracht gezogen. Seltener wandert der erste Gedanke zu Daten, die im Rahmen medizinischer Versorgung erhoben werden. Patientendaten sind nicht allein für den Patienten selbst bzw. seine Heilung wichtig, sondern können auch für die Forschung und das Allgemeinwohl von erheblicher Bedeutung und besonderem Nutzen sein. Doch wie werden solche Daten zugänglich gemacht? Wie können sie verwandt werden? Insbesondere steht hier die Frage im Raum: Wie können diese Daten sicher im transnationalen Raum genutzt werden?

In einem kurzen, aber sehr informativen Interview mit Ass. Iur. Stefanie Hänold, der Organisatorin des siebten „progress meeting“ des FP7-Projekts „p-medicine“  werden Antworten auf dieses schwierigen Fragen gegeben.
IRI: Guten Tag, Frau Hänold. Vielen Dank, dass Sie sich Zeit für ein kurzes Interview für den IRI-Blog nehmen. Lassen Sie uns doch gleich einsteigen: Was ist „p-medicine“ und worum geht es?

Hänold: „p-medicine“ steht für den vollständigen Projektnamen „From data sharing and integration via VPH models to personalized medicine“. Das Projekt wurde ins Leben gerufen, um die personalisierte Medizin in der Krebsbehandlung und -forschung voranzutreiben. Um dieses Ziel zu verwirklichen wird im Rahmen des Projekts eine Software-Plattform mit verschiedenen IT-Tools für Ärzte, Forscher und Patienten entwickelt [weitere Informationen hier: http://www.p-medicine.eu/]. Die Europäische Union unterstützt dieses Projekt, an welchem 19 Partner aus verschiedenen europäischen Ländern und Japan beteiligt sind, durch eine Ko-Finanzierung.

IRI: Welche Rolle spielen Datenschutz-Problematiken dabei?

Hänold: Der Datenschutz ist ein sehr wichtiger Aspekt. Das Projekt ist darauf angelegt u.a. mit echten Patientendatensätzen aus Krebsstudien zu arbeiten. Hier ist aus rechtlichen sowie ethischen Aspekten die Privatheit der Patienten zu schützen. Wir haben ein ausgefeiltes Datenschutz- und Datensicherheitsystem entwickelt, welches im Hintergrund die Einhaltung rechtlicher und ethischer Standards sichert, es den Forschern und Ärzten aber erlaubt in diesem Rahmen ungehindert medizinische Forschung zu betreiben. Das Projekt hat auch das Ziel die Rolle des Patienten zu stärken („Patient Empowerment“). So werden Patienten u.a. ihr informationelles Selbstbestimmungsrecht über die Verwendung ihrer Daten und biologischen Proben via einer „e-consent-App“ leicht und effektiv ausüben können.

IRI: Eine immer wieder auftauchende Frage im Zusammenhang mit dem Austausch von Patientendaten ist, ob eine transnationale Kooperation möglich ist? Wie sieht es aus, wenn die zukünftige Partnerinstitution in einem Drittstaat  kein – im Vergleich zur EU – adäquates Schutzlevel aufweist, wie z.B. die USA?

Hänold: Von rechtlicher Seite ist eine entsprechende Kooperation nicht ausgeschlossen. Natürlich müssen die Vorgaben der europäischen Datenschutzrichtlinie und der sie umsetzenden einschlägigen nationalen Regelungen eingehalten werden. Einer unserer Partner, National University Corporation Hokkaido University, ist in Japan angesiedelt. Japan wird aufgrund der konkreten rechtlichen Ausgestaltung der datenschutzrechtlichen Regelungen nicht als ein Land mit einem zur EU adäquatem Schutzlevel einzuschätzen sein, obwohl Privatheit in der japanischen Kultur einen großen Stellenwert hat. Dennoch wird auch dieser Partner Zugang zu den Patientendaten haben. Aus datenschutzrechtlicher Perspektive haben wir alle erforderlichen Schritte unternommen: zum einen werden nur anonyme Daten weitergegeben; zum anderen musste dieser Partner zusätzlich zu der Datenschutzvereinbarung, die jede Partei, die Zugang zu den Daten haben möchte, abschließen muss, eine weitere Vereinbarung -sogenannte Standardvertragsklauseln für den Transfer in Drittstaaten- eingehen. Ob das „p-medicine“-Projekt auch mit eventuellen Partnern aus den USA Patientendaten austauschen würde, darüber kann man keine pauschale Aussage treffen. Grundsätzlich wäre das möglich, bleibt aber in erster Linie eine Frage, die das Projekt-Konsortium zu entscheiden hat, wobei wir natürlich den Partnern das erforderliche Hintergrundwissen vermitteln, um Risiken besser einschätzen zu können. Entsprechende vertragliche Gestaltungen könnten auch hier das erforderliche Datenschutz- und Sicherheitsniveau wahren. Man muss sich aber bewusst sein, dass es keine hundertprozentige Sicherheit gibt. Ich denke aber, dass man im Hinblick auf die Bedeutung der medizinischen Forschung entsprechende auf ein Minimum reduzierte Risiken eingehen kann.

IRI: Aber wurde zur Sicherstellung des Datenschutzes nicht das Safe Harbor Agreement geschaffen?

Hänold: Grundsätzlich findet das Safe Harbour Agreement auch auf den Datentransfer von sensitiven Daten, wie Gesundheitsdaten i.S.d. Art. 8 der Datenschutzrichtlinie, Anwendung. Ich würde jedoch im Grundsatz einem Austausch sensibler Daten auf dieser Basis kritisch gegenüberstehen. Man kann ja schon anzweifeln, dass die „Safe Harbor Grundsätze“ überhaupt den Grundsätzen des Gemeinschaftsrechts im Datenschutz entsprechen. Überprüfungen haben zudem erhebliche Mängel in der praktischen Umsetzung gezeigt. Letztendlich muss der Übermittlungsadressat und die Übermittlungssituation sehr genau überprüft werden und man sollte auch eher auf zusätzliche Verträge setzen, um Rechte und Pflichten bezüglich der Patientendaten konkret festzulegen.

IRI: Nun zur letzten Frage: Sehen sie eine Zukunft für ein Datenschutzabkommen zwischen der EU und den USA?

Hänold: Das ist eine schwierige Frage. Im Moment finden Verhandlungen zwischen der EU und den USA über ein Datenschutzabkommen im Rahmen der polizeilichen und justiziellen Zusammenarbeit statt. Der ganze Verhandlungsprozess ist jedoch für die Öffentlichkeit sehr intransparent. Fakt ist, dass sich das Verständnis für den Datenschutz und die Regelungssysteme sehr unterscheiden, was sich auch in den zähen Verhandlungen widerspiegelt. Einer der schwierigsten Punkte, über die es ein Kompromiss zu finden gilt, scheint die Einräumung eines Rechts auf  Rechtsschutz von EU-Bürgern gegen US-Behörden vor den amerikanischen Gerichten zu sein, wenn ihre Daten mit den USA zu Strafverfolgungszwecken geteilt werden. Kritiker weisen zudem darauf hin, dass in den USA die Regierung jedes Klageverfahren durch Berufung auf die „nationale Sicherheit“ aushebeln kann, so dass die Einräumung eines solchen Klagerechts keinen effektiven Rechtsschutz verspricht. Überhaupt ist anzumerken, dass Aktivitäten im Bereich der nationalen Sicherheit von dem Abkommen nicht erfasst sein sollen. In einem Arbeitspapier des Rats der Europäischen Union über den Verhandlungslauf heißt es aber, dass für die EU effektiver Rechtsschutz ein Schlüsselelement für die Verhandlungen ist und man dies einer Lösung zuführen will. Die weitere Entwicklung bleibt abzuwarten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *