Home
Intern
veröffentlicht am 28. September 2022
Bei Drittmittelverträgen in der Forschung, nachfolgend Forschungsverträge, ergeben sich viele datenschutzrechtliche Fragestellungen und Fallstricke. Der nachfolgende Artikel soll eine kurze Übersicht geben auf welche Punkte besonders zu achten ist.
Bei Forschungsverträgen werden Gesundheitsdaten verarbeitet und auch zwischen den Vertragsparteien ausgetauscht. Dieses sind nach der DS-GVO als besondere personenbezogene Daten eingestuft, deren Verarbeitung noch einmal speziellere Anforderungen unterliegt. Es ist daher besonders wichtig auf die datenschutzrechtlichen Vorgaben beim Abschluss von Forschungsverträgen zu achten.
Fraglich ist zunächst, ob auf Drittmittelverträge die Forschungsprivilegierung des Art. 5 Abs. 1 b) DS-GVO Anwendung findet. Danach ist die Weiterverarbeitung personenbezogener Daten „für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke ... nicht als unvereinbar mit den ursprünglichen Zwecken” anzusehen. In Art. 89 Abs. 1 DS-GVO werden für diese Zwecke „Garantien für die Rechte und Freiheiten der betroffenen Person” gefordert, mit denen u.a. sichergestellt wird, „dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird”.
Was genau unter „Forschung” zu verstehen ist, lässt die DS-GVO dabei offen. In Deutschland besteht Uneinheitlichkeit in den geltenden Forschungsregelungen. Die Gesetzgebungszuständigkeit liegt hier teilweise beim Bund und teilweise bei den Ländern. Eine Einheitlichkeit kann hier nur durch einen Staatsvertrag hergestellt werden.
Für die privilegierte Weiternutzung von Patientendaten zu Forschungszwecken ist es in jedem Fall erforderlich, dass die Forschung „unabhängig” ist. Nur eine solche ist in ihrer Ideenfindung komplett frei und kann daher innovative neue Ideen hervorbringen.
Dieses ist nicht alleine dadurch ausgeschlossen, dass der Auftrag durch eine dritte Stelle erfolgt oder dass der Auftrag durch einen Dritten finanziert wird. Ferner kann nicht alleine die Tatsache, dass eine bestimmte Fragestellung vorgegeben ist die Unabhängigkeit ausschließen. Ausschlaggebend ist und kann alleine sein, dass auf den Forschungs- und Erkenntnisprozess selber keinen Einfluss genommen wird um die Unabhängigkeit zu gewährleisten.
In jedem Fall empfehlen wir aber, umfangreiche datenschutzrechtliche Vereinbarungen in den Forschungsvertrag mit aufzunehmen, um keine unbeabsichtigte Lücke im Datenschutz zu erzeugen und damit gegebenenfalls hohe Bußgelder zu riskieren.
Wir empfehlen eine gesonderte Vereinbarung zu dem Hauptvertrag zu schließen, die als Anlage Vertragsbestandteil von diesem wird. In dem meisten Fällen dürfte eine datenschutzrechtliche gemeinsame Verantwortung vorliegen. Somit ist eine solche Vereinbarung zu schließen.
In Betracht kommt aber auch eine Auftragsdatenverarbeitung. Ausschlaggebend ist der Hauptvertrag zwischen den Parteien. Da eine pauschale Aussage hier nicht getroffen werden kann, ist jeweils eine genaue Einzelfallprüfung vorzunehmen.
Für die datenschutzrechtliche Anlage sollten keine Standardverträge benutzt werden. Da jeder Forschungsvertrag unterschiedliche Ziele und Pflichten erhält, ist auch die Anlage jeweils individuell anzupassen. Ferner ist in jedem Fall der Grundsatz der Datenminimierung zu beachten.
Um Fehler zu vermeiden empfehlen wir den Datenschutzbeauftragten in die Vertragsgestaltung von Beginn an einzubeziehen.
Carina Richters
Rechtsanwältin, Compliance Officer (TÜV)
Manager
Anfrage senden
- DFG-Programmpauschale
- Gesundheits- und Sozialwirtschaft
