Die Datenschutz-Grundverordnung (DSGVO) hat erheblichen Einfluss auf die Verarbeitung persönlicher Daten, und das betrifft auch den Bereich der medizinischen Forschung. Ein wichtiger Aspekt der DSGVO ist das sogenannte Forschungsprivileg, das es Studien und Folgestudien in der medizinischen Forschung erleichtert, persönliche Daten zu verarbeiten. Aber was genau verbirgt sich hinter diesem Privileg? Um das zu verstehen schauen wir uns erstmal den sog. Erwägungsgrund 159 aus der DSGVO an, der erklärt, in welcher Form Forschung und Datenschutzgesetz zusammen harmonieren.
Erwägungsgrund 159 Datenverarbeitung zu Forschungszwecken
1Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gelten. 2Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen. 3Darüber hinaus sollte sie dem in Artikel 179 Absatz 1 AEUV festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung tragen. 4Die wissenschaftlichen Forschungszwecke sollten auch Studien umfassen, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. 5Um den Besonderheiten der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu genügen, sollten spezifische Bedingungen insbesondere hinsichtlich der Veröffentlichung oder sonstigen Offenlegung personenbezogener Daten im Kontext wissenschaftlicher Zwecke gelten. 6Geben die Ergebnisse wissenschaftlicher Forschung insbesondere im Gesundheitsbereich Anlass zu weiteren Maßnahmen im Interesse der betroffenen Person, sollten die allgemeinen Vorschriften dieser Verordnung für diese Maßnahmen gelten.
Das Forschungsprivileg: Ein Ausnahmebestimmung für die medizinische Forschung
Das Forschungsprivileg ist eine Ausnahmebestimmung in der DSGVO, die die Verarbeitung persönlicher Daten für wissenschaftliche Forschungszwecke, einschließlich medizinischer Forschung, erleichtert.
Es wurde eingeführt, um den Datenschutz und die gleichzeitig dringend benötigte Forschung im Gesundheitswesen in Einklang zu bringen.
Während in Frankreich, Belgien und Grossbritannien das Forschungsprivileg so ausgelegt wird, dass auch eine Datenverarbeitung ohne Patienteneinwilligung rechtmäßig ist, sieht die deutsche Rechtsprechung in fast allen erdenklichen Fällen eine Patienteneinwilligung vor.
Was ist beim Aufsetzen von klinischen Studien zu beachten?
Das Studienprotokoll
Bei einer klinischen Studie ist der Hinweis zum Datenschutz bereits in der grundlegenden Beschreibung und Gliederung der Studie einzufügen. Auch wenn hier nicht der richtige Platz ist, alle wichtigen Eckpunkte zum Datenschutz aufzunehmen, so sollte doch deutlich werden, dass die Einhaltung der rechtlichen Vorgaben zum Schutz der personenbezogenen Daten eine entsprechende Priorisierung erfahren wird.
Auswahl des CRO
Bei der Auswahl der CRO (Clinical Research Organisation) sollte insbesondere daran gedacht werden, dass diese in einem erheblichen Umfang mit den personenbezogenen Daten der Studienteilnehmer arbeiten wird. Ein besonderes Augenmerk sollte daher auf der sicheren Datenverarbeitung sowie der Gewährleistung der Betroffenenrechte liegen. Als Sponsor, und somit Verantwortlicher der Datenverarbeitung, stehen einem auch die notwendigen Kontrollbefugnisse nach Art. 28 DSGVO zu. Bei der Durchsicht des Vertrages nach Art. 28 DSGVO erhält man sicherlich einen guten ersten Eindruck dazu, wie das Thema Datenschutz bei der CRO gehandhabt wird. Zusammen mit den beigelegten Technischen Organisatorischen Maßnahmen kann sich ein gutes erstes Bild ergeben.
Landes-spezifische Besonderheiten
Jedes Bundesland besitzt eigene Krankenhausgesetze, welche unter anderem auch den Datenschutz regeln. Die wichtigsten Datenschutz-spezifischen Inhalte haben wir für Sie zusammengefasst.
Baden-Württemberg: § 46 Abs. 1 Ziff. 2a LKHG
Entsprechend § 46 Abs. 1 Ziff. 2a LKHG dürfen Patientendaten an Personen und Stellen außerhalb des Krankenhauses übermittelt werden, soweit dies zur Durchführung medizinischer Forschungsvorhaben des Krankenhauses erforderlich ist. D. h. es ist immer erforderlich, dass es sich um ein Forschungsvorhaben des Krankenhauses handelt.
Bayern: Art. 27 Abs. 4 BayKrG
Entsprechend Art. 27 Abs. 4 S. 1 BayKrG dürfen Krankenhausärzte Patientendaten nutzen, soweit dies zu Forschungszwecken im Krankenhaus oder im Forschungsinteresse des Krankenhauses erforderlich ist. Entsprechend Art. 27 Abs. 4 S. 2 2.HS BayKrG dürfen Krankenhausärzte zu Zwecken der Forschung auch anderen Personen die Nutzung von Patientendaten gestatten, wenn dies zur Durchführung des Forschungsvorhabens nach Satz1 erforderlich ist und die Patientendaten im Gewahrsam des Krankenhauses verbleiben.
Auch in Bayern muss es sich immer um die Forschung eines im Krankenhaus ärztlichen Beschäftigten oder um das Forschungsinteresse des Krankenhauses handeln.
Berlin: § 25 LKG
Nach § 25 Abs. 1 LKG Berlin ist grundsätzlich eine Aufklärung der Patienten in das Forschungsvorhaben sowie die Erteilung einer Einwilligung erforderlich. § 25 Abs. 1 S.2 LKG Berlin kennt vier Ausnahmen von der Erfordernis der Erteilung einer Einwilligung:
- Ärztinnen und Ärzte verarbeiten Patientendaten für eigene wissenschaftliche Forschungsvorhaben und schutzwürdige Belange der Patientin oder des Patienten stehen der Verarbeitung nicht entgegenstehen; eine gewerbliche Nutzung der Daten muss ausgeschlossen sein.
- Es ist nicht zumutbar, die Einwilligung einzuholen und schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden.
- Das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens überwiegt das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich.
- Im Rahmen der Krankenhausbehandlung erhobene und gespeicherte Patientendaten werden vor ihrer weiteren Verarbeitung zur Forschung anonymisiert.
Brandenburg: § 31 BbgKHEG
§ 31 BbgKHEG verlangt, dass eine Offenlegung von Patientendaten an andere Stellen oder Personen für Forschungszwecke ohne Einwilligung der betroffenen Person nur erfolgen darf, wenn zuvor die Bestätigung der zuständigen Rechtsaufsichtsbehörde vorliegt.
Weiterhin gilt entsprechend § 31 S. 3 BbgKHEG § 25 BbgDSG „unbeschränkt“, d. h. für ein bestimmtes Forschungsvorhaben können Stellen wie ein Krankenhaus Patientendaten auch ohne Einwilligung verarbeiten, wenn schutzwürdige Belange der Patienten nicht beeinträchtigt werden oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der Patienten überwiegt und der Zweck der Forschung nicht auf andere Weise erreicht werden kann.
Bremen: § 7 BremKHDSG
§ 7 Abs. 1 BremKHDSG verlangt die Einwilligung des Patienten in die Nutzung seiner Daten zu Forschungszwecken, jedoch beinhaltet § 7 Abs. 2 BremKHDSG hiervon eine Ausnahme: Der Einwilligung bedarf es nicht, soweit schutzwürdige Belange der betroffenen Patienten nicht beeinträchtigt werden oder wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Patienten oder der Patientin erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden.
Hamburg: § 12 HmbKHG
Entsprechend § 12 Abs. 1 HmbKHG darf ein Krankenhaus oder eine Krankenhausgruppe die eigenen Patientendaten ohne Einwilligung für eigene wissenschaftliche Forschung verarbeiten.
Darüber hinaus darf ein Krankenhaus besondere Kategorien personenbezogener Daten ohne Einwilligung für Forschungszwecke verarbeiten, wenn die Verarbeitung zu diesem Zweck erforderlich ist und das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schützenswerten Interessen der betroffenen Person überwiegt. D.h. grundsätzlich dürfen zu den eigenen Patientendaten noch weitergehenden Daten zu Forschungszwecken verarbeitet werden.
Hessen: § 12 Abs. 3 HKHG 2011 i.V.m. § 24 HDSIG
Gemäß § 12 Abs. 3 HKHG 2011 gilt § 24 HDSIG für Krankenhäusern. § 24 Abs. 1 HDSIG gestattet die Verarbeitung von Patientendaten für Forschungszwecke ohne Einwilligung, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung überwiegen.
Mecklenburg-Vorpommern: § 37 LKHG M-V
Entsprechend § 37 Abs. 1 LKHG M-V ist für die Nutzung von Patientendaten zu Forschungszwecken grundsätzlich eine Einwilligung der Patienten erforderlich, ausgenommen
- schutzwürdige Belange der Patientinnen und Patienten wegen der Art der Daten, ihrer Offenkundigkeit oder der Art ihrer Nutzung werden nicht beeinträchtigt oder
- das für die Aufsicht für das Krankenhaus zuständige Ministerium stellte fest, dass das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der Patientinnen und Patienten erheblich überwiegt und der Zweck des Forschungsvorhabens auf andere Weise, insbesondere mit anonymisierten Daten, nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
Nordrhein-Westfalen: § 6 GDSG NW
Grundsätzlich ist eine Einwilligung zur Nutzung von Patientendaten zu Forschungszwecken erforderlich. Entsprechend § 6 Abs. 2 GDSG NW darf wissenschaftliches Personal Patientendaten, auf die es im Rahmen seiner Versorgungstätigkeit nach § 2 Abs. 1 GDSG NW ohnehin Zugriff hat, zu Forschungszwecken auch ohne Einwilligung der jeweiligen Patienten nutzen.
Der Einwilligung des Patienten bedarf es ferner nicht, wenn
- der Zweck eines Forschungsvorhabens nicht auf andere Weise erreicht werden kann,
- das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des Patienten erheblich überwiegt und
- es entweder nicht möglich ist oder dem Patienten aufgrund seines derzeitigen Gesundheitszustandes nicht zugemutet werden kann, ihn um seine Einwilligung zu bitten.
Rheinland-Pfalz : § 37 LKG
Entsprechend § 37 Abs. 1 S. 2 LKG bedarf es zur Nutzung von Patientendaten keiner Einwilligung durch die Patienten, wenn
- es nicht zumutbar ist, die Einwilligung einzuholen und schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden,
- das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt oder
- im Rahmen der Krankenhausbehandlung erhobene und gespeicherte Patientendaten vor ihrer weiteren Verarbeitung anonymisiert werden.
Ansonsten ist die Nutzung von Patientendaten nur mit Einwilligung der jeweiligen Patienten statthaft.
Saarland: § 14 SKHG
Entsprechend § 14 Abs. 1 SKHG dürfen Krankenhausärztinnen und Krankenhausärzte die innerhalb ihrer Fachabteilung zu Behandlungszwecken aufgezeichneten Patientendaten für eigene medizinische wissenschaftliche Forschung nutzen, wenn der Zweck der Forschung auf andere Weise nicht erreicht werden kann und
- die Patientin oder der Patient nach Unterrichtung über Art, Umfang und Zweck des Forschungsvorhabens nicht widersprochen hat oder
- schutzwürdige Belange nicht beeinträchtigt werden und nachträglich die Möglichkeit zum Widerspruch nicht oder nur mit unverhältnismäßigem Aufwand eingeräumt werden kann.
Sachsen: § 34 SächsKHG
Entsprechend § 34 Abs. 1 SächsKHG dürfen Ärzte Patientendaten, die innerhalb ihrer Fachabteilung oder bei Hochschulen innerhalb ihrer medizinischen Einrichtungen, in den Universitätsklinika oder in sonstigen medizinischen Einrichtungen gespeichert sind, für eigene wissenschaftliche Forschungsvorhaben verarbeiten,
Ansonsten ist eine Nutzung von Patientendaten nur mit Einwilligung zulässig. Gemäß § 34 Abs. 3 SächsKHG bedarf es keiner Einwilligung, wenn der Zweck eines bestimmten Forschungsvorhabens nicht auf andere Weise erfüllt werden kann und
- das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des Patienten erheblich überwiegt oder
- es nicht zumutbar ist, die Einwilligung einzuholen und schutzwürdige Belange des Patienten nicht beeinträchtigt werden.
Sachsen-Anhalt: § 17 KHG LSA
Eine Verarbeitung von Patientendaten zu Forschungszwecken ist nach § 17 Abs. 1 KHG LSA mit Einwilligung zulässig. § 17 Abs. 1 S. 2 KHG LSA erlaubt eine Verarbeitung ohne Einwilligung, wenn
- im Rahmen der Krankenhausbehandlung erhobene und gespeicherte Patientendaten vor ihrer weiteren Verarbeitung anonymisiert werden,
- die Einholung der Einwilligung des Patienten unzumutbar ist, der Forschungszweck auf andere Weise nicht erreicht werden kann und schutzwürdige Interessen des Patienten nicht betroffen sind oder
- das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des Patienten erheblich überwiegt.
Thüringen: § 27 Abs. 4 ThürKHG, § 27a ThürKHG
Krankenhausärzte dürfen Patientendaten zu Forschungszwecken im Krankenhaus oder im Forschungsinteresse des Krankenhauses verarbeiten, wenn die Verarbeitung dieser Daten zur Erreichung des Forschungszweckes erforderlich ist.
Außer Niedersachsen und Schleswig- Holstein existieren somit in jedem Land spezialgesetzliche Regelungen zur Nutzung von Patientendaten zu Forschungszwecken
Herausforderungen und Pflichten:
Obwohl das Forschungsprivileg eine wichtige Ausnahme für die medizinische Forschung darstellt, gibt es dennoch Herausforderungen und Pflichten für Forscher:
- Datenschutz-Folgenabschätzung: Forscher müssen Datenschutz-Folgenabschätzungen durchführen, um die Risiken für die Privatsphäre der Betroffenen zu bewerten und geeignete Schutzmaßnahmen zu ergreifen.
- Sicherheit der Daten: Die Sicherheit der verarbeiteten Daten ist von größter Bedeutung. Forscher müssen angemessene technische und organisatorische Maßnahmen treffen, um die Daten vor Verlust, Diebstahl oder unbefugtem Zugriff zu schützen.
- Transparenz und Rechenschaftspflicht: Forscher müssen transparent über ihre Forschungsziele und -methoden sein und Rechenschaftspflicht über die Verarbeitung persönlicher Daten ablegen.
Wie bereitet man sich auf klinische Studien vor?
Vor der Studie
Ethik-Kommissionen und Vertragsgestaltung
Bevor die Studie beginnt, wird sie von Ethik-Kommissionen geprüft. Diese Kommissionen achten insbesondere darauf, dass die datenschutzrechtlichen Voraussetzungen erfüllt sind. Die Vertragsgestaltung, ein wesentlicher Bestandteil jeder klinischen Studie, erfolgt parallel zur Prüfung durch die Ethik-Kommissionen. Sie legt die Rollen und Verantwortlichkeiten der beteiligten Parteien fest – einschließlich des Sponsors, der Auftragsforschungsorganisationen (CROs), der Prüfer und der Prüfstellen.
Aufklärung und Einwilligung
Die Einwilligung der Patienten ist ein kritischer Schritt. Bevor sie jedoch erteilt wird, müssen die Patienten umfassend aufgeklärt werden. Diese Aufklärung muss klar und transparent sein, damit die Patienten die Implikationen ihrer Teilnahme vollständig verstehen.
Innerhalb der Studie
Pseudonymisierung
Die Pseudonymisierung der Patientendaten erfolgt bereits bei der Erhebung. Dieser Prozess ersetzt identifizierende Daten durch eine Zuordnungskennung, wobei die Zuordnungsregel getrennt aufbewahrt wird. Dieser Schritt ist entscheidend, um die Privatsphäre der Patienten zu schützen, während die Daten für die Forschung nutzbar bleiben.
Fazit
Die datenschutzrechtlichen Anforderungen an klinische Studien sind landesspezifisch und gleich in mehreren Gesetzbüchern gleichzeitig geregelt. Sie spiegeln die Komplexität und Sensibilität der verarbeiteten Daten wider. Jeder Schritt, von der Vertragsgestaltung über die Aufklärung bis hin zur Datenverarbeitung, ist gesetzlich geregelt, um die Rechte der Patienten zu schützen.
![DSGVO- und IT-Security Beratung. Externer Datenschutzbeauftragter](https://www.sentiguard.eu/wp-content/uploads/2023/07/sentiguard-datenschutzbeauftragter-andreas-dickow.jpg)
So erreichen Sie mich
Ihr Ansprechpartner: Andreas Dickow
- Datenschutzaudit
- Bestandsaufnahmen zu Datenschutz und IT Security
- Einführung ISMS nach BSI IT Grundschutz
- Umsetzung Hinweisgeberschutz (Whistleblowing Hotline)
- Ersthilfe nach Hackerangriffen
- Einführung Technisch- Organisatorischer Massnahmen
- IT Sicherheit nach DIN ISO 27001
- IT Sicherheitskonzepte
- Externer Datenschutzbeauftragter
- Zertifizierter IT Security Partner des Krankenhauszukunftsfonds
- 10 Jahre Erfahrung in Datenschutz und IT Security für staatliche Rechenzentren
- Cyber Security Spezialist, Open Source Contributor und Ethical Hacker
- Dipl.-Ing. (univ.) Elektro- und Informationstechnik
![](https://www.sentiguard.eu/wp-content/uploads/FK-Datenschutz_082026_ger_tc_p-201x300.png)
![](https://www.sentiguard.eu/wp-content/uploads/Cyber-Sicherheitsnetzwerk.png)
Digitaler Ersthelfer
Redebedarf?