Regierung will persönliche Daten der Bürger für Forschung freigeben

Das Ermächtigungsgesetz liegt bereits im Parlament und soll ab 2019 gelten. Dabei sei auch die Öffnung von ELGA-Daten möglich. Nicht nur Datenschützer schlagen Alarm.

Auch Daten aus der digitalen Gesundheitsakte ELGA sollen für Forschende zugänglich gemacht werden.
© APA (Schneider)

Wien — Die Regierung will persönliche Daten der Österreicher für die Forschung freigeben, darunter auch Informationen der elektronischen Gesundheitsakte ELGA. Ein entsprechendes Ermächtigungsgesetz liegt bereits im Parlament. Während Universitäten und Industrie die Pläne begrüßen, warnen von der APA befragte Datenschützer vor Missbrauch ähnlich dem aktuellen Facebook-Skandal. Kritik übt auch die Datenschutzbehörde.

Beschlossen hat die Regierung die Änderungen schon am 21. März. Einer breiten Öffentlichkeit bekannt wurden sie trotz vorheriger Begutachtung bisher nicht — wohl auch deshalb, weil die Novelle des Forschungsorganisationsgesetzes (FOG) in einem der 13 „Datenschutz-Anpassungsgesetze" der Regierung verborgen ist. Wobei die Datenschutzbehörde im Justizministerium schon in der Begutachtung kritisiert hat, dass die Pläne weit über bloße Anpassungen an das neue EU-Datenschutzrecht hinausgehen.

Welche Informationen in "Registern" gespeichert sind

Die wohl bekannteste staatliche Datenbank ist das Zentrale Melderegister, das alle in Österreich lebenden Personen erfasst. Es speichert u.a. Namen, Geschlecht, Geburtsdatum, Staatsangehörigkeit sowie Haupt- und Nebenwohnsitz. Daneben gibt es laut Statistik Austria eine Reihe weiterer Datenbanken: etwa das Personenstandsregister (Geburt, Ehe, Tod) sowie Datenbanken der Sozialversicherung und des AMS, das Grundbuch, das Firmenbuch.

Auch wer in Österreich an einer schweren ansteckenden Krankheit leidet, wird in einer Datenbank erfasst ("Register der anzeigepflichtigen Krankheiten"). Ebenso die Träger von Implantaten. Wobei je nach Register unterschiedliche Daten erfasst werden: So speichert das Implantatregister Personenkennzeichen, Geschlecht und Geburtsjahr des Patienten. Das Register der ansteckenden Krankheiten erfasst dagegen auch den Namen und das exakte Geburtsdatum.

Grundsätzlich sieht das "Forschungsorganisationsgesetz" vor, dass Forscher die Namen der abgefragten Personen nur in Ausnahmefällen erfahren (wenn die Namensangaben für den Forschungszweck erforderlich sind). In der Regel wird der Name durch ein "bereichsspezifisches Personenkennzeichen" ersetzt, das dann auch zur Vernetzung mit Daten über diese Person verwendet werden kann, die in anderen Datenbanken liegen.

Geplant ist nämlich, dass persönliche Daten der Österreicher, die der Bund erhoben und abgespeichert hat, für Forschungszwecke abgefragt werden dürfen („Registerforschung") — wobei die Namen der Betroffenen durch eine Kennzahl ersetzt werden, um die namentliche Zuordnung ihrer Daten zu verhindern. Voraussetzung ist, dass die zuständigen Minister der Öffnung „ihrer" Datenbanken zustimmen. Zugriff erhalten sollen ab 2019 nicht nur Universitäten, Fachhochschulen und Museen. Auch Forschungsabteilungen von Industrieunternehmen und Einzelpersonen im In- und Ausland können beim Verkehrsministerium um eine Genehmigung ansuchen.

Datenschutzorganisationen schlagen Alarm

Scharfe Kritik kommt von der Datenschutzorganisation epicenter.works, aus deren Sicht das bloße Löschen der Namen für eine verlässliche Anonymisierung nicht ausreicht. Direktor Thomas Lohinger warnt vor Missbrauch und erinnert daran, dass auch Cambridge Analytica, die Skandalfirma in der aktuellen Facebook-Affäre, als Forschungsprojekt auftrat. „Hochsensible Gesundheitsdaten für globale Marktforschungszwecke zu öffnen, ist eine ganz schlechte Idee. Die Cambridge Analyticas dieser Welt können einzelne Personen leicht in den mangelhaft anonymisierten Daten wiederfinden", sagt Lohinger.

TT-ePaper gratis testen

Jetzt kostenlos TT-ePaper lesen, das Test-Abo endet nach 4 Wochen automatisch

Schritt 1 / 3

In nur 30 Sekunden gelangen Sie zum kostenlosen Test-Abo.

Zweifel an EU-Rechtskonformität

Was die Anonymisierung der Daten angeht, attestiert die Datenschutzbehörde den aktuellen Plänen tatsächlich Fortschritte gegenüber dem Erstentwurf. Dennoch halten die Datenschützer im Justizministerium das Gesetz für unausgewogen. Ziel sei offenbar, „es den Forschungseinrichtungen so leicht wie möglich zu machen", so der stellvertretende Leiter Matthias Schmidl auf APA-Anfrage.

Konkret vermisst die Datenschutzbehörde eine Interessensabwägung zwischen dem Datenschutz und der Wissenschaftsfreiheit. Weil es sich dabei um zwei konkurrierende Grundrechte handelt, geht Schmidl davon aus, dass eigentlich in jedem Fall zu prüfen wäre, ob der Zweck eines Forschungsprojekts den Eingriff in den Datenschutz der betroffenen Bürger wirklich rechtfertigt. Diese „Interessensabwägung" ist im Entwurf aber nicht vorgesehen.

Außerdem wird das Recht der Bürger auf Datenauskunft, Löschung und Berichtigung falscher Daten gegenüber Forschungseinrichtungen eingeschränkt. Die Speicherfristen für persönliche Daten werden erweitert. Und für (teil)staatliche Forschungseinrichtungen ist weitgehende Straffreiheit bei Verstößen gegen die EU-Datenschutzregeln vorgesehen. Ob das im Lichte EU-Datenschutzgrundverordnung überhaupt zulässig sei, werde im Zweifel der Europäische Gerichtshof prüfen müssen, so Schmidl.

Das Wissenschaftsministerium hält dem entgegen, dass von Forschern eine Reihe von Datensicherheitsmaßnahmen verlangt wird. „Vorsätzlich rechtswidriges Verhalten wird jedoch auch durch über die im FOG hinausgehenden Maßnahmen nie gänzlich ausgeschlossen werden können", räumt das Ministerium zwar ein. Allerdings müssten die Wissenschafter einen eigenen Datenschutzbeauftragten installieren, der auf Datensicherheit achte. Die Veröffentlichung der Personenkennzeichen sei verboten. Und das Gesetz schreibe den Forschern eine „lückenlose Dokumentation der Zugriffe" und die Geheimhaltung der Daten vor.

Zugriff auch auf anonymisierte Daten aus Gesundheitsakte „Elga"

Grundsätzlich verfügt der Bund über eine ganze Reihe von Datenbanken, die Informationen über Gesundheit, Bildung, Sozialversicherung und Steuerdaten der Österreicher enthalten. Eine genaue Liste jener „Register", die für Forschungszwecke zugänglich sein sollen, gibt es noch nicht. Sie soll per Verordnung festgelegt werden, wobei auch die jeweils zuständigen Minister zustimmen müssen.

Explizit vom Zugriff ausgeschlossen werden im Forschungsorganisationsgesetz nur Datenbanken der Justiz und das Strafregister, nicht aber die elektronische Gesundheitsakte ELGA. Im Gegenteil: In den Erläuterungen wird explizit festgehalten, dass die neuen Regeln auch für ELGA gelten würden, obwohl das dortige Gesetz vorsieht, dass nur die Patienten selbst und die behandelnden Ärzte Daten abfragen dürfen. Die im ersten Entwurf vorgesehene Möglichkeit der Bürger, die Weitergabe ihrer Daten generell zu verweigern, wurde in der Regierungsvorlage wieder gestrichen.

Zweifel an EU-Rechtskonformität

Was die Anonymisierung der Daten angeht, attestiert die Datenschutzbehörde den aktuellen Plänen tatsächlich Fortschritte gegenüber dem Erstentwurf. Dennoch halten die Datenschützer im Justizministerium das Gesetz für unausgewogen. Ziel sei offenbar, „es den Forschungseinrichtungen so leicht wie möglich zu machen“, so der stellvertretende Leiter Matthias Schmidl auf APA-Anfrage.

Konkret vermisst die Datenschutzbehörde eine Interessensabwägung zwischen dem Datenschutz und der Wissenschaftsfreiheit. Weil es sich dabei um zwei konkurrierende Grundrechte handelt, geht Schmidl davon aus, dass eigentlich in jedem Fall zu prüfen wäre, ob der Zweck eines Forschungsprojekts den Eingriff in den Datenschutz der betroffenen Bürger wirklich rechtfertigt. Diese „Interessensabwägung“ ist im Entwurf aber nicht vorgesehen.

Außerdem wird das Recht der Bürger auf Datenauskunft, Löschung und Berichtigung falscher Daten gegenüber Forschungseinrichtungen eingeschränkt. Die Speicherfristen für persönliche Daten werden erweitert. Und für (teil)staatliche Forschungseinrichtungen ist weitgehende Straffreiheit bei Verstößen gegen die EU-Datenschutzregeln vorgesehen. Ob das im Lichte EU-Datenschutzgrundverordnung überhaupt zulässig sei, werde im Zweifel der Europäische Gerichtshof prüfen müssen, so Schmidl.

Scharfer Protest dagegen kommt von der Ärztekammer. „Ich finde das eine Katastrophe. Der Datenschutz von hochbrisanten und persönlichen Patientendaten ist nicht gewährleistet", sagte Vizepräsident Harald Mayer am Mittwoch gegenüber der APA. ELGA sei ein System, das nur den behandelnden Ärzten den Zugriff auf die Daten erlauben solle. „Und dann nimmt man das her, um bezahlte Forschungsarbeit zu machen", kritisiert Mayer: „Man braucht dafür nur ein Gesetz zu ändern." Offenbar seien die Patientendaten in ELGA nicht sicher, meint Mayer: „Jetzt kann man den Patienten nur empfehlen, aus ELGA auszutreten."

In die Erstellung des Gesetzes nicht eingebunden war die Datenschutzbehörde, die erst durch den Gesetzesentwurf von den Plänen erfahren hat. Allerdings verweist das Wissenschaftsministerium darauf, dass in der Begutachtung mit der Datenschutzbehörde und dem Datenschutzrat eine Reihe von Fragen ausgeräumt worden seien. Auch habe es zahlreiche Gespräche mit anderen Bundesministerien sowie mit datenschutzrechtlichen Experten gegeben. (tt.com, APA)


Kommentieren


Schlagworte