Bürgerdaten für die Forschung
Am 25. Mai tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Bis dahin haben die Staaten noch Zeit, für die gesetzliche Umsetzung zu sorgen. Obwohl diese EU-Verordnung schon 2016 beschlossen wurde, kommen erst jetzt viele entsprechende Anpassungsgesetze in den Nationalrat - darunter die sehr heikle Materie Wissenschaft und Forschung. Politiker und Datenschützer schlagen Alarm.
Dieser Artikel ist älter als ein Jahr.
Denn im geplanten Datenschutz-Anpassungsgesetz für Wissenschaft und Forschung findet sich eine sehr breite Definition für wissenschaftliche Einrichtungen, die mit weitreichenden Befugnissen zur Verarbeitung von personenbezogenen Daten ausgestattet werden sollen. Unter den Daten sollen sich auch Informationen des Elektronischen Gesundheitsakts (ELGA) befinden.
Verordnung bereits gültig
In Kraft ist die EU-DSGVO bereits seit Mai 2016. Tatsächlich durchgesetzt wird sie aber erst mit dem 25. Mai 2018. Grundsätzlich will die Verordnung strengere Regeln für den Schutz personenbezogener Daten bringen - inklusive hoher Strafen, wenn die Bestimmungen nicht eingehalten werden.
Während Universitäten und Industrie die Pläne begrüßten, warnten Opposition, Ärztekammer und Datenschützer vor Missbrauch. Auch Sozialministerin Beate Hartinger-Klein (FPÖ) sprach sich am Mittwoch gegen die Weitergabe von ELGA-Daten für Forschungszwecke aus. Einer breiten Öffentlichkeit wurden die umstrittenen Änderungen trotz vorheriger Begutachtung bisher nicht bekannt - wohl auch deshalb, weil die Novelle des Forschungsorganisationsgesetzes (FOG) in einem der 13 Datenschutz-Anpassungsgesetze der Regierung verborgen ist. Die Verabschiedung im Ministerrat am 21. März ging sang- und klanglos vonstatten.
Kennzahlen ersetzen Namen
Geplant ist konkret, dass persönliche Daten der Österreicherinnen und Österreicher, die der Bund erhoben und abgespeichert hat, für Forschungszwecke abgefragt werden dürfen („Registerforschung“). Die Namen der Betroffenen soll durch eine Kennzahl ersetzt werden, um die namentliche Zuordnung ihrer Daten zu verhindern.
Forschungsstandort soll gestärkt werden
Die Regierung will mit den geplanten Maßnahmen den Forschungsstandort Österreich stärken. Die Datenqualität für die Wissenschaft solle erhöht und so Wettbewerbsnachteile vermieden werden.
Voraussetzung ist, dass die zuständigen Minister der Öffnung „ihrer“ Datenbanken zustimmen. Zugriff erhalten sollen ab 2019 nicht nur Universitäten, Fachhochschulen und Museen. Auch Forschungsabteilungen von Industrieunternehmen und Einzelpersonen im In- und Ausland können beim Verkehrsministerium um eine Genehmigung ansuchen.
„Ganz schlechte Idee“
Aus Sicht der Datenschutzorganisation epicenter.works reicht das bloße Löschen der Namen für eine verlässliche Anonymisierung nicht aus. Direktor Thomas Lohninger warnt vor Missbrauch und erinnert daran, dass auch Cambridge Analytica, die Skandalfirma in der aktuellen Facebook-Affäre, als Forschungsprojekt auftrat. „Hochsensible Gesundheitsdaten für globale Marktforschungszwecke zu öffnen ist eine ganz schlechte Idee. Die Cambridge Analyticas dieser Welt können einzelne Personen leicht in den mangelhaft anonymisierten Daten wiederfinden“, so der Datenschützer.
APA/Herbert Pfarrhofer
Datenschützer Thomas Lohninger warnt vor den „Cambridge Analyticas dieser Welt“
Genaue Liste gibt es noch nicht
Das Wissenschaftsministerium hält dem entgegen, dass von Forschern eine Reihe von Datensicherheitsmaßnahmen verlangt werde. „Vorsätzlich rechtswidriges Verhalten wird jedoch auch durch über die im FOG hinausgehenden Maßnahmen nie gänzlich ausgeschlossen werden können“, räumt das Ministerium ein. Allerdings müssten die Wissenschaftler einen eigenen Datenschutzbeauftragten installieren, der auf Datensicherheit achte.
Die Veröffentlichung der Personenkennzeichen sei verboten. Und das Gesetz schreibe den Forschern eine „lückenlose Dokumentation der Zugriffe“ und die Geheimhaltung der Daten vor. Grundsätzlich verfügt der Bund über eine ganze Reihe von Datenbanken, die Informationen über Gesundheit, Bildung, Sozialversicherung und Steuerdaten der Österreicherinnen und Österreicher enthalten. Eine genaue Liste jener „Register“, die für Forschungszwecke zugänglich sein sollen, gibt es noch nicht. Sie soll per Verordnung festgelegt werden, wobei auch die jeweils zuständigen Minister zustimmen müssen.
Strafregister und Justizdaten ausgeschlossen
Explizit vom Zugriff ausgeschlossen werden im Forschungsorganisationsgesetz nur Datenbanken der Justiz und das Strafregister, nicht aber ELGA. Im Gegenteil: In den Erläuterungen wird explizit festgehalten, dass die neuen Regeln auch für ELGA gelten würden, obwohl das dortige Gesetz vorsieht, dass nur die Patientinnen und Patienten selbst und die behandelnden Ärztinnen und Ärzte Daten abfragen dürfen. Patienten können bestimmte Befunde auch für den Zugriff der Ärzte sperren oder sich ganz aus dem System nehmen („Opt-out“). Die im ersten Entwurf vorgesehene Möglichkeit der Bürgerinnen und Bürger, die Weitergabe ihrer Daten generell zu verweigern, wurde in der Regierungsvorlage wieder gestrichen.
ELGA seit 2015
ELGA wird seit 2015 schrittweise eingeführt und soll im Vollausbau u. a. Befunde und Medikamente erfassen. Bis Herbst 2019 soll das System in ganz Österreich laufen. Dann werden alle den Patienten verschriebenen Medikamente ein Jahr lang gespeichert.
Datenschutzbehörde nicht eingebunden
In die Erstellung des Gesetzes nicht eingebunden war die Datenschutzbehörde im Justizministerium, die erst durch den Gesetzesentwurf von den Plänen erfuhr. Allerdings verweist das Wissenschaftsministerium darauf, dass in der Begutachtung mit der Datenschutzbehörde und dem Datenschutzrat eine Reihe von Fragen ausgeräumt worden seien. Auch habe es zahlreiche Gespräche mit anderen Ministerien sowie mit datenschutzrechtlichen Experten gegeben.
Beschlossen hatte der Ministerrat die Änderungen schon am 21. März. Derzeit wird die Regierungsvorlage im Verfassungsausschuss und ab Montag im Forschungsausschuss behandelt. Die Datenschutzbehörde hatte schon in der Begutachtung kritisiert, dass die Pläne weit über bloße Anpassungen an das neue EU-Datenschutzrecht hinausgehen.
Zwei Grundrechte in Konkurrenz
Was die Anonymisierung der Daten angeht, attestiert die Datenschutzbehörde den aktuellen Plänen tatsächlich Fortschritte gegenüber dem Erstentwurf. Dennoch halten die Datenschützer im Justizministerium das Gesetz für unausgewogen. Ziel sei offenbar, „es den Forschungseinrichtungen so leicht wie möglich zu machen“, so der stellvertretende Leiter Matthias Schmidl auf APA-Anfrage.
APA/Robert Jäger
Die vorgesehen Freigabe auch von ELGA-Daten ruft nun Datenschützer und die Opposition auf den Plan
Konkret vermisst die Datenschutzbehörde eine Interessenabwägung zwischen dem Datenschutz und der Wissenschaftsfreiheit. Weil es sich dabei um zwei konkurrierende Grundrechte handelt, geht Schmidl davon aus, dass eigentlich in jedem Fall zu prüfen wäre, ob der Zweck eines Forschungsprojekts den Eingriff in den Datenschutz der betroffenen Bürger wirklich rechtfertigt. Diese „Interessenabwägung“ ist im Entwurf aber nicht vorgesehen.
Zweifel an EU-Rechtskonformität
Außerdem wird das Recht der Bürger auf Datenauskunft, Löschung und Berichtigung falscher Daten gegenüber Forschungseinrichtungen eingeschränkt. Die Speicherfristen für persönliche Daten werden erweitert. Und für (teil)staatliche Forschungseinrichtungen ist weitgehende Straffreiheit bei Verstößen gegen die EU-Datenschutzregeln vorgesehen. Ob das im Lichte der EU-Datenschutzgrundverordnung überhaupt zulässig sei, werde im Zweifel der Europäische Gerichtshof prüfen müssen, so Schmidl.
Auch ein mit dem Zustandekommen des Gesetzes vertrauter Experte aus dem Universitätsbereich warnte gegenüber der APA davor, dass „viel zu wenige Hürden für massiven Missbrauch“ eingebaut wurden. Namentlich genannt werden wollte er nicht, denn offiziell haben die meisten Universitäten - wie auch die Pharmabranche - die Erleichterung ihres Datenzugangs begrüßt. „Es war ein Wunschkonzert der Univertreter und Lobbygruppen“, sagte er.
AK: Zugriffsrecht „unverhältnismäßig“
Unterstützt wurde die Kritik der Datenschutzbehörde im Begutachtungsverfahren von der Arbeiterkammer (AK). Sie warnte, dass das Gesetz auch rein kommerzielle Aktivitäten ermöglichen würde, und bezeichnete ein unbeschränktes Zugriffsrecht auf alle behördlichen Register als „unverhältnismäßig“. Die AK forderte daher „Rechtsschutzgarantien“ für die Geheimhaltungsinteressen der Betroffenen - also etwa die Genehmigung der Zugriffe durch die Datenschutzbehörde.
NEOS: Viele unklare Formulierungen
Die Regierung sei mit den Anpassungsgesetzen für die EU-Datenschutzverordnung grundsätzlich sehr spät dran. Zudem seien die komplizierten Vorlagen zum Teil unklar und schwammig formuliert, kritisierte NEOS-Wissenschaftssprecherin Claudia Gamon am Mittwoch im Ö1-Morgenjournal. Auch sie stößt sich insbesondere an der breiten Definition der Forschungseinrichtungen, die auf die Daten Zugriff haben sollen, und an der mangelnden „Pseudonymisierung“ personenbezogener Daten. Gamon sieht die Gefahr, dass die Ergebnisse nicht EU-verfassungskonform sein könnten und erst recht im Nachhinein erneut novelliert werden müssten.
Scharfer Protest kommt auch von der Ärztekammer. „Ich finde das eine Katastrophe. Der Datenschutz von hochbrisanten und persönlichen Patientendaten ist nicht gewährleistet", so Vizepräsident Harald Mayer. Damit sehen sich alle, die sich etwa von ELGA abgemeldet haben bzw. abmelden wollen, in ihren Ängsten bestätigt“, sagte Peter Kolba, Klubobmann der Liste Pilz (LP).
Hartinger-Klein will Änderungen
Hartinger-Klein drängt in der aufkeimenden Debatte nun auf eine gesetzliche Klarstellung. „Wie Justizdaten und das Strafregister müssen ebenso ELGA-Daten im Forschungsorganisationsgesetz ausgeschlossen werden", so die Ministerin am Mittwoch. Sie kündigte einen entsprechenden Abänderungsantrag für das vom Ministerrat bereits ins Parlament geschickte Gesetz an. Die Patienten können immer kontrollieren, wer Einsicht auf ihre Daten hat“, versicherte sie.
Uni Wien: „Äußerst gelungen“
Als „äußerst gelungen“ lobte dagegen die Universität Wien den Gesetzesentwurf. Zustimmung kam in der Begutachtung unter anderem auch von der Med-Uni Wien und der TU Graz. Der Fachverband der Chemischen Industrie in der Wirtschaftskammer meinte, dass die Öffnung der Daten „für ein wettbewerbsfähiges Forschungsumfeld in Österreich sorgen“ werde. Andernfalls drohe ein Standortnachteil. Explizit begrüßte der Fachverband, dass auch Firmen - und nicht nur gemeinnützige und universitäre Forscher - als „wissenschaftliche Einrichtung“ mit privilegiertem Datenzugang gelten.
Der Rat für Forschung und Technologieentwicklung (RFT) warnte vor einer „Verwässerung“ bei der Registerforschung. Das Datenschutz-Anpassungsgesetz sei „ein wesentlicher Bestandteil, um eine Absicherung der universitären und außeruniversitären Forschung in Österreich zu ermöglichen“, so RFT-Vorsitzender Hannes Androsch.
Links:
