A-1010 Wien, Ballhausplatz 1

Tel.  ++43-1-531 15/2527

Fax: ++43-1-53109/2702

REPUBLIK ÖSTERREICH

e-mail: dsrpost@bka.gv.at

DATENSCHUTZRAT

 

DVR: 0000019

GZ BKA-817.351/0002-DSR/2008

 

An das

Bundesministerium für

Gesundheit, Familie und Jugend

 

Per Mail: Clemens.Auer@bmgfj.gv.at

                Sylvia.Fueszl@bmgfj.gv.at'

 

 

 

 

Betrifft: Bundesgesetz, mit dem das Arzneimittelgesetz, das Gewebesicherheitsgesetz, das Bundesgesetz über Krankenanstalten und Kuranstalten, das Blutsicherheitsgesetz und das Gesundheits- und Ernährungssicherheitsgesetz geändert wird

Stellungnahme des Datenschutzrates

 

 

Der Datenschutzrat hat in seiner 184. Sitzung am 19. November 2008 einstimmig beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:

Zu Z 35 (§ 39 Abs. 3) und zu Z 36 (§ 39a):

Grundsätzlich wird angemerkt, dass gemäß § 1 Abs. 2 iVm § 7 Abs. 3 DSG 2000

Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und

mit den gelindesten zur Verfügung stehenden Mitteln erfolgen dürfen.

Abs. 2 DSG 2000 führt als eine zulässige Ausnahme vom Geheimhaltungsschutz die Zustimmung des Betroffenen zur Verwendung seiner Daten an. Der Betroffene selbst kann über das Schicksal seiner Daten entscheiden. Gerade bei der Verwendung von sensiblen Daten  - wie dies im Gesundheitsbereich der Fall ist – ist die gültige datenschutzrechtliche Zustimmung besonders wichtig, daher sieht § 9 DSG 2000 als Ausführungsbestimmung zum Grundrecht zwingend die ausdrückliche Zustimmung vor. Dabei ist von der Legaldefinition der Zustimmung in § 4 Z 14 auszugehen, die die jederzeitige Widerrufbarkeit der Zustimmung vorsieht. In diesem Sinn ist auch der in § 1 Abs. 2 DSG 2000 normierte zulässige Eingriff in das Grundrecht auf Datenschutz zu verstehen. 

Gemäß § 9 Z 6 DSG 2000, werden schutzwürdige Geheimhaltungsinteressen bei der Verwendung sensibler Daten dann nicht verletzt, wenn der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt.

Der derzeitige § 39 AMG scheint von dieser Freiwilligkeit und Widerrufbarkeit abzugehen. Die Änderung des § 39 Abs. 3 und die Ergänzung des § 39a würde nun von einer Zustimmung ausgehen, bei der in bestimmten Fällen ein Widerruf wirkungslos bleibt und die damit den freien Willen des Betroffenen nicht gänzlich respektiert. Diese Zustimmung entspricht nicht den Kriterien der im DSG 2000 normierten Zustimmung. Daher würde dieser Eingriff in das Grundrecht auf Datenschutz auch nicht durch den in § 1 Abs. 2 DSG 2000 genannten Eingriffstatbestand der „Zustimmung“ gedeckt sein.

 

Eine gesetzliche Regelung, die eine Zustimmung „sui generis“ vorsieht und den freien Willen des Betroffenen nicht respektiert, wäre überdies schon im Hinblick auf die Sensibilität der Daten abzulehnen. Auch scheint eine derartige Regelung nicht den Kriterien des § 1 Abs. 2 iVm § 9 Z 3 DSG 2000 sowie der EG-Datenschutzrichtlinie 95/46 EG zu entsprechen.

 

Es wird daher dringend angeraten, sich an den Wortlaut des § 9 Z 6 DSG 2000 zu orientieren, wobei bei einem Widerruf die Weiterverwendung der Daten untersagt wird. Bei einer Weiterverwendung der Daten müsste daher jeglicher Personenbezug des Prüfungsteilnehmers beseitigt und eine echte Anonymisierung herbeigeführt werden.

 

Weiters sollte im Gesetzesentwurf überprüft werden, inwieweit bei klinischen Prüfungen auch bei gültiger Zustimmung des Betroffenen mit indirekt personenbezogenen Daten oder anonymisierten Daten das Auslangen gefunden werden könnte. Dabei wäre eine Differenzierung der Verwendung von Daten (anonymisiert – indirekt personenbezogen – direkt personenbezogen) zu beachten. Wenn die Erfüllung gesetzlich übertragener Aufgaben mit anonymisierten Daten nicht möglich ist, so soll eine Verwendung in indirekt personenbezogener Form gewählt werden; ein direkter Personenbezug sollte ausschließlich nur dann hergestellt werden, wenn die gesetzlich übertragenen Aufgaben nur mit der Verwendung direkt personenbezogener Daten erfüllt werden können.

Für Zwecke des Monitorings und Auditorings bedarf es wohl nur indirekt personenbezogener Daten.

 

Zu Z 44 (§ 47a) des Entwurfes:

 

Insgesamt wird durch den Ausdruck „zur Erfüllung seiner Aufgaben nach diesem Abschnitt’“ nicht die notwendige Determinierung einer ausdrücklichen gesetzlichen Ermächtigung (für die Verwendung sensibler Daten) vorgenommen.

 

25. November 2008

Für den Datenschutzrat

Der Vorsitzende:

WÖGERBAUER

 

Elektronisch gefertigt