Die europäische Datenschutz-Grundverordnung (DSGVO)
Die europäische Datenschutz-Grundverordnung (auch unter der Abkürzung DSGVO bekannt) schafft eine einheitliche rechtliche Grundlage für den Schutz personenbezogener Daten von EU-Bürgern für sämtliche Länder der Europäischen Union. Diese EU-Verordnung trat im Mai 2018 in Kraft. Jeder Mitgliedsstaat wird darin verpflichtet, Gesetze zu verabschieden, die ihre Prinzipien umsetzen, und präzisere Vorgaben dahin gehend zu machen, wie einige dieser Prinzipien durchgesetzt werden sollen. Sämtliche EU-Mitgliedsstaaten haben die DSGVO bereits in ihrer nationalen Gesetzgebung verankert. Einige von ihnen sind dabei, entsprechende Gesetze für bestimmte Geltungsbereiche zu verabschieden, u.a. für die Nutzung von Daten für Forschungszwecke.
Schutz von Gesundheitsdaten
Die DSGVO gilt für sämtliche Organisationen (Unternehmen u.a.), die im Rahmen ihrer Tätigkeiten oder unternehmerischen Aktivitäten Daten von EU-Bürgern erfassen und nutzen.
Sie gilt daher auch für Organisationen im Gesundheitswesen und der Forschung, im öffentlichen Bereich und in der Privatwirtschaft. Sämtliche Organisationen müssen entscheiden, welche Daten sie benötigen, weshalb sie sie benötigen, wie sie sie verwenden wollen, wie lange sie sie speichern, und wie sie geschützt werden. Zudem sind sie verpflichtet, dies den Patient*innen bzw. Proband*innen zu kommunizieren. Wenn sie die Daten gemeinsam mit anderen Organisationen nutzen möchten, mit denen sie zusammenarbeiten, müssen sie erklären, weshalb und wie diese gemeinsame Nutzung erfolgt.
Die Organisationen, die die Daten erfassen, werden als Datenverantwortliche bezeichnet, da sie für die Daten, die sie erfassen und nutzen, verantwortlich zeichnen. Die Personen, deren Daten erfasst werden, werden als Datensubjekte bezeichnet.
Rechtliche Begründung der Datenerfassung
Die Datenverantwortlichen müssen nachweisen, dass die Erfassung der Daten rechtlich begründet ist. Als rechtliche Begründung gilt das Einverständnis des Datensubjekts oder die Erfüllung eines Vertrags, die Einhaltung rechtlicher Bestimmungen oder - im Fall von Organisationen im Gesundheitswesen oder von Mediziner*innen - eine Gesundheitsdienstleistung für die fragliche Person.
Laut DSGVO dürfen Daten für Forschungszwecke nur dann verwendet werden, wenn die Daten für die Forschungszwecke unabdingbar sind, und die Untersuchungen von einer Stelle gemäß anerkannten ethischen Richtlinien durchgeführt, und die Daten sachgemäß geschützt werden. Die Grafik zeigt die wesentlichen von der DSGVO definierten Prinzipien und die entsprechenden Pflichten, die sich hieraus für die Datenverantwortlichen ergeben.