Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die DSGVO setzt die Datenschutzerverordnung der Europäischen Union (EU) um.¹ Im April wurde im Nationalrat das Datenschutzanpassungsgesetz (WFDSAG) beschlossen.²

Das Datenschutzanpassungsgesetz: Ministerien und Behörden haben Bürgerdaten zu verteilen

Für Wissenschaft, Forschung und Unternehmen, die Forschung betreiben, sieht dieses Gesetz zahlreiche Ausnahmen vom DSGVO und privilegierten Zugang zu Daten von Behörden und Ministerien vor.

Die als Register bezeichneten Datenbestände von Ministerien, Behörden und anderen öffentlichen Einrichtungen können Organisationen zur Verfügung gestellt werden, die nachweisen können, dass sie forschen. Nur das Strafregister und die Gerichtsbarkeit werden nicht für die Foschung freigegeben.

Da jedes größere Unternehmen leicht nachweisen kann, dass es forscht, wird durch das Datenschutzanpassungsgesetz die Freigabe von Bürgerdaten für Konzerne und Großbetriebe ermöglicht.

Identifizierbar trotz Pseudonymisierung

Im Datenschutz wird Anonymisierung als das Verändern von personenbezogenen Daten bezeichnet, sodass der Personenbezug nicht mehr hergestellt werden kann. Bei der Pseudonymisierung hingegen werden Namensangaben oder Merkmale durch ein Pseudonym ersetzt. Der Personenbezug ist dabei schwieriger herzustellen, er bleibt aber grundsätzlich vorhanden.

Der Datenbestand von Behörden soll nun zu Forschungszwecken in pseudonymisierter Form freigegeben werden können. Dabei werden Namensangaben durch bereichsspezifische Personenkennzeichen ersetzt. Bereichsspezifisch bedeutet, dass Namensangaben aus unterschiedlichen Datenbanken auch unterschiedliche Personenkennzeichen erhalten.

Da nur Namensangaben durch ein Personenkennzeichen pseudonymisiert werden, könnte es aufgrund von Eigenschaften der Person zu der Identifizierung einer Person kommen. So gelangten 2014 Testergebnisse des Bildungsforschungsinstitues ins Internet. Schülernamen waren zwar gelöscht, aber aufgrund von Schul- und Klassenzugehörigkeit konnten Betroffene identifiziert werden.³

Empfehlung zum Herausoptieren aus dem elektronische Gesundheitsakt (ELGA)

Auch die Daten des elektronischen Gesundheitsaktes sollen für Forschungszwecke freigegeben werden. Unter den personenbezogenen Daten gehören Gesundheitsdaten zu den besondere Kategorien von Daten (sensible Daten), die eigentlich strengen Vorschriften bei der Verarbeitung unterliegen und für die hohe Schutzbestimmungen gelten.

So weist die Datenschutzbehörde (DSB) darauf hin, dass gerade diese Personenkennzeichen einen besonders starken Personenbezug herstellen.⁴ Der IT-Rechtler Hötzendorfer kritisiert, dass gerade die bereichspezifischen Personenkennzeichen die Identifizierbarkeit von Betroffenen erleichtern können, da diese Personenkennzeichen eindeutig sind. Im Rahmen der Forschung können aus unterschiedlichen Datenbanken große Datenmengen zusammengeführt werden und dadurch kann auch ein Rückschluss auf die Identität einer Person erfolgen. Bei der Verarbeitung von Klartextnamen wird diese Verknüpfung durch Datenzwillinge, wie z.B. das häufige Vorkommen des Namens Hans Huber erschwert.⁵

Aufgrund der prekären Sicherheit beim ELGA forderte der Vizepräsident der Ärztekammer Johannes Steinhart die Gesundheitsministerin Beate Hartinger-Klein auf, die Verwendung von ELGA Daten für Forschungszwecke zu verbieten. Der Vizepräsident der Ärztekammer empfiehlt allen, die nicht möchten, dass ihre Gesundheitsdaten an Dritte weitergegeben werden, ein Herausoptieren aus dem ELGA.(6) Er erklärt zudem, dass das „bloße Löschen von Namen für eine zuverlässige Anonymisierung nicht ausreicht“ und es dort wo „es einen gelockerten Zugriff auf Patientendaten gibt, es auch Datenmissbrauch gibt.“⁶

Der Chemie- und Pharmakonzern Bayer bedankt sich!

Warum wird das Grundrecht auf den Schutz bei Verarbeitung von personenbezogenen Daten bei den Daten, über die der Staat selbst verfügt, zu großen Teilen wieder aufgehoben? Zumindest im Hinblick auf den ELGA bringt folgende Stellungnahme von Bayer Österreich zum Datenschutzanpassungsgesetz etwas Klarheit:

„Zunächst dürfen wir uns für die offenen und sehr konstruktiven Gespräche, die in den vergangenen Monaten im Zusammenhang mit dem vorliegenden Gesetzesentwurf stattgefunden haben, und dafür, dass die Diskussionspunkte großteils in den Gesetzesentwurf Eingang gefunden haben, bedanken. In Anbetracht dessen, dass die DSGVO eine gewisse Privilegierung der Datenverarbeitung zu Forschungszwecken vorsieht und dafür eine Reihe von Öffnungsklauseln für den nationalen Gesetzgeber enthält, wird das Bestreben des Ministeriums, von diesen Öffnungsklauseln Gebrauch zu machen, um damit durch Schaffung entsprechender Rahmenbedingungen für Wissenschaft und Forschung eine Benachteiligung des Wirtschaftsstandorts Österreich im europäischen Vergleich zu vermeiden, sehr begrüßt.“⁷

Eine Öffnungsklausel in einer EU Verordnung gibt dem nationalen Gesetzgeber bei der Gesetzgebung Freiheiten von dieser Verordnung. Hier wird es wahrscheinlich schon auf Ebene der Bürokratie der Europäischen Union „offene und konstruktive Gespräche“ gegeben haben, damit die passenden Öffnungsklauseln in die EU Verordnung kommen. Diese Öffnungsklauseln werden dann auf nationaler Ebene unter Verweis auf die Standortkonkurrenz zu Lasten der Bevölkerung und zu Gunsten von Konzernen zur Aushebelung des Datenschutzes angewendet.

Klicken Sie hier, um Informationen zum herausoptieren aus dem ELGA zu finden.

Quellennachweis

(1) Datenschutzverordnung der Europäischen Union

(2) Datenschutzanpassungsgesetz

(3) Testergebnisse des Bildungsforschungsinstitut im Internet

(4) Stellungnahme Epicenter (Seite 2)

(5) IT-Rechtler Hötzendorfer warnt vor Grundrechtseingriff

(6) Ärztekammer rät zu Ausstieg

(7) Bayer bedankt sich

Bildnachweis: Bildschirmfoto aus ELAG Konto