Die Regierung will persönliche Daten der Österreicher für die Forschung freigeben, darunter auch Informationen der elektronischen Gesundheitsakte ELGA. Ein entsprechendes Ermächtigungsgesetz liegt bereits im Parlament. Während Universitäten und Industrie die Pläne begrüßen, warnen von der APA befragte Datenschützer vor Missbrauch ähnlich dem aktuellen Facebook-Skandal. Kritik übt auch die Datenschutzbehörde.
Beschlossen hat die Regierung die Änderungen schon am 21. März. Einer breiten Öffentlichkeit bekannt wurden sie trotz vorheriger Begutachtung bisher nicht - wohl auch deshalb, weil die Novelle des Forschungsorganisationsgesetzes (FOG) in einem der 13 "Datenschutz-Anpassungsgesetze" der Regierung verborgen ist. Wobei die Datenschutzbehörde im Justizministerium schon in der Begutachtung kritisiert hat, dass die Pläne weit über bloße Anpassungen an das neue EU-Datenschutzrecht hinausgehen.
Daten für die Forschung
Geplant ist nämlich, dass persönliche Daten der Österreicher, die der Bund erhoben und abgespeichert hat, für Forschungszwecke abgefragt werden dürfen ("Registerforschung") - wobei die Namen der Betroffenen durch eine Kennzahl ersetzt werden, um die namentliche Zuordnung ihrer Daten zu verhindern. Voraussetzung ist, dass die zuständigen Minister der Öffnung "ihrer" Datenbanken zustimmen. Zugriff erhalten sollen ab 2019 nicht nur Universitäten, Fachhochschulen und Museen. Auch Forschungsabteilungen von Industrieunternehmen und Einzelpersonen im In- und Ausland können beim Verkehrsministerium um eine Genehmigung ansuchen.
Scharfe Kritik kommt von der Datenschutzorganisation epicenter.works, aus deren Sicht das bloße Löschen der Namen für eine verlässliche Anonymisierung nicht ausreicht. Direktor Thomas Lohinger warnt vor Missbrauch und erinnert daran, dass auch Cambridge Analytica, die Skandalfirma in der aktuellen Facebook-Affäre, als Forschungsprojekt auftrat. "Hochsensible Gesundheitsdaten für globale Marktforschungszwecke zu öffnen, ist eine ganz schlechte Idee. Die Cambridge Analyticas dieser Welt können einzelne Personen leicht in den mangelhaft anonymisierten Daten wiederfinden", sagt Lohinger.
Das Wissenschaftsministerium hält dem entgegen, dass von Forschern eine Reihe von Datensicherheitsmaßnahmen verlangt wird. "Vorsätzlich rechtswidriges Verhalten wird jedoch auch durch über die im FOG hinausgehenden Maßnahmen nie gänzlich ausgeschlossen werden können", räumt das Ministerium zwar ein. Allerdings müssten die Wissenschafter einen eigenen Datenschutzbeauftragten installieren, der auf Datensicherheit achte. Die Veröffentlichung der Personenkennzeichen sei verboten. Und das Gesetz schreibe den Forschern eine "lückenlose Dokumentation der Zugriffe" und die Geheimhaltung der Daten vor.
Grundsätzlich verfügt der Bund über eine ganze Reihe von Datenbanken, die Informationen über Gesundheit, Bildung, Sozialversicherung und Steuerdaten der Österreicher enthalten. Eine genaue Liste jener "Register", die für Forschungszwecke zugänglich sein sollen, gibt es noch nicht. Sie soll per Verordnung festgelegt werden, wobei auch die jeweils zuständigen Minister zustimmen müssen.
Explizit vom Zugriff ausgeschlossen werden im Forschungsorganisationsgesetz nur Datenbanken der Justiz und das Strafregister, nicht aber die elektronische Gesundheitsakte ELGA. Im Gegenteil: In den Erläuterungen wird explizit festgehalten, dass die neuen Regeln auch für ELGA gelten würden, obwohl das dortige Gesetz vorsieht, dass nur die Patienten selbst und die behandelnden Ärzte Daten abfragen dürfen. Die im ersten Entwurf vorgesehene Möglichkeit der Bürger, die Weitergabe ihrer Daten generell zu verweigern, wurde in der Regierungsvorlage wieder gestrichen.
In die Erstellung des Gesetzes nicht eingebunden war die Datenschutzbehörde, die erst durch den Gesetzesentwurf von den Plänen erfahren hat. Allerdings verweist das Wissenschaftsministerium darauf, dass in der Begutachtung mit der Datenschutzbehörde und dem Datenschutzrat eine Reihe von Fragen ausgeräumt worden seien. Auch habe es zahlreiche Gespräche mit anderen Bundesministerien sowie mit datenschutzrechtlichen Experten gegeben.
Zweifel an EU-Rechtskonformität
Was die Anonymisierung der Daten angeht, attestiert die Datenschutzbehörde den aktuellen Plänen tatsächlich Fortschritte gegenüber dem Erstentwurf. Dennoch halten die Datenschützer im Justizministerium das Gesetz für unausgewogen. Ziel sei offenbar, "es den Forschungseinrichtungen so leicht wie möglich zu machen", so der stellvertretende Leiter Matthias Schmidl auf APA-Anfrage.
Konkret vermisst die Datenschutzbehörde eine Interessensabwägung zwischen dem Datenschutz und der Wissenschaftsfreiheit. Weil es sich dabei um zwei konkurrierende Grundrechte handelt, geht Schmidl davon aus, dass eigentlich in jedem Fall zu prüfen wäre, ob der Zweck eines Forschungsprojekts den Eingriff in den Datenschutz der betroffenen Bürger wirklich rechtfertigt. Diese "Interessensabwägung" ist im Entwurf aber nicht vorgesehen.
Außerdem wird das Recht der Bürger auf Datenauskunft, Löschung und Berichtigung falscher Daten gegenüber Forschungseinrichtungen eingeschränkt. Die Speicherfristen für persönliche Daten werden erweitert. Und für (teil)staatliche Forschungseinrichtungen ist weitgehende Straffreiheit bei Verstößen gegen die EU-Datenschutzregeln vorgesehen. Ob das im Lichte EU-Datenschutzgrundverordnung überhaupt zulässig sei, werde im Zweifel der Europäische Gerichtshof prüfen müssen, so Schmidl.
Ein mit dem Zustandekommen des Gesetzes vertrauter Experte aus dem Universitätsbereich warnt davor, dass "viel zu wenig Hürden für massiven Missbrauch" eingebaut wurden. Namentlich genannt werden will er nicht, denn offiziell haben die Universitäten - wie auch die Pharma-Branche - die Erleichterung ihres Datenzuganges begrüßt. "Es war ein Wunschkonzert der Uni-Vertreter und Lobbygruppen", sagt er gegenüber der APA. Er geht davon aus, dass die Ent-Anonymisierung der persönlichen Daten möglich sein wird, sobald eine hinreichend große Datenmenge verfügbar ist.
Lob für den Gesetzesentwurf
Als "äußerst gelungen" lobt dagegen die Universität Wien den Gesetzesentwurf. Zustimmung kam in der Begutachtung u.a. auch von der Med Uni-Wien und der TU Graz. Der Fachverband der Chemischen Industrie in der Wirtschaftskammer meint, dass die Öffnung der Daten "für ein wettbewerbsfähiges Forschungsumfeld in Österreich sorgen" werde. Andernfalls drohe ein Standortnachteil. Explizit begrüßt der Fachverband, dass auch Firmen (und nicht nur gemeinnützige oder universitäre Forscher) als "wissenschaftliche Einrichtung" mit privilegiertem Datenzugang gelten.
Unterstützt wurde die Kritik der Datenschutzbehörde im Begutachtungsverfahren dagegen von der Arbeiterkammer. Sie warnte, dass das Gesetz auch rein kommerzielle Aktivitäten ermöglichen würde und bezeichnete ein unbeschränktes Zugriffsrecht auf alle behördlichen Register als "unverhältnismäßig". Die Arbeiterkammer forderte daher "Rechtsschutzgarantien" für die Geheimhaltungsinteressen der Betroffenen - also etwa die Genehmigung der Zugriffe durch die Datenschutzbehörde.
NEOS finden Forschungsgesetz "problematisch"
Die NEOS kritisieren die im neuen Forschungsorganisationsgesetz enthaltenen Pläne der Regierung zur Einführung der "Registerforschung". Die Abgeordnete Claudia Gamon stößt sich insbesondere an der breiten Definition der Forschungseinrichtungen, die auf die Daten Zugriff haben sollen, und an der mangelnden "Pseudonymisierung" personenbezogener Daten.
"Man kann schon unterschiedliche Meinungen zu diesen Punkten haben: Wenn man sie getrennt betrachtet müssen sie nicht unbedingt problematisch sein, aber in der Zusammenwirkung des Gesetzes wären sie problematisch", sagt Gamon.
Gamon kritisiert insbesondere, dass personenbezogene Daten durch das Löschen des Namens nicht ausreichend geschützt wären. "Wenn man immer noch eine Identifikation wie die Postleitzahl (im Datensatz, Anm.) hat, kann das bei vielen Individuen auf die jeweilige Person zugeordnet werden", warnt die Abgeordnete. Dass der Zugriff auf ELGA nur möglich wäre, wenn die Gesundheitsministerin der dafür nötigen Verordnung zustimmt, beruhigt Gamon nicht. Sie würde gerne wissen, "warum es (im Gesetz, Anm.) drin steht, wenn das Ministerium nicht vorhat, es anzuwenden".
Außerdem kritisiert Gamon zahlreiche "schwammige" Formulierungen im Gesetz - etwa unter welchen Bedingungen die Auskunftsrechte für betroffene Bürger gegenüber Forschungseinrichtungen eingeschränkt werden dürfen. Dies soll nämlich der Fall sein, wenn die Erreichung der Forschungsziele durch Datenauskunft oder durch Berichtigung falscher Daten "voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt" werden. "Das kann alles heißen", kritisiert Gamon.
"Ich will nicht sagen, dass das böswillig so geschrieben wurde - es kann auch sein, dass das aufgrund einer schlechten Legistik passiert ist", meint die Abgeordnete. Sie kritisiert aber grundsätzlich die Vorgehensweise der Regierung, mehr als ein Dutzend Datenschutz-Anpassungsgesetze gleichzeitig ins Parlament zu schicken: "Wir sind mit Gesetzen geflutet worden", die nun rasch durchs Parlament gepeitscht würden, kritisiert Gamon.
Liste Pilz empört
Empört hat die Liste Pilz auf die Pläne der Regierung, persönliche Daten der Österreicher für die Forschung freigeben, reagiert. "Es ist ungeheuerlich, dass Schwarz-Blau II vorsieht, diese persönlichsten Daten weiterzugeben", sagt Klubobmann Peter Kolba. Er forderte die Regierung auf, von dieser Idee schnell Abstand zu nehmen.
Hartinger-Klein: "Keine Freigabe der ELGA-Daten seitens BMASGK"
Sozialministerin Beate Hartinger-Klein (FPÖ) hat sich am Mittwoch klar gegen die Weitergabe von ELGA-Daten für Forschungszwecke ausgesprochen. Die Ministerin drängte auf eine entsprechende gesetzliche Klarstellung. "Wie Justizdaten und das Strafregister müssen ebenso ELGA-Daten im Forschungsorganisationsgesetz ausgeschlossen werden", so die Ministerin in einer Aussendung.
Hartinger-Klein kündigte einen entsprechenden Abänderungsantrag für das vom Ministerrat bereits ins Parlament geschickte Gesetz an, "um diese hochsensiblen Gesundheitsdaten zu schützen". Schon in der Begutachtung habe das Ministerium eine missverständliche Formulierung abgelehnt.
"Wie im ELGA-Gesetz geregelt, werden auch künftig nur die Patienten selbst und ausschließlich die tatsächlich behandelnden Ärzte ELGA-Daten abfragen dürfen. Die Patienten können immer kontrollieren, wer Einsicht auf ihre Daten hat", versicherte Hartinger-Klein. Die ELGA-Gesundheitsdaten werden auch nur in Österreich gespeichert.
Forschungsrat warnt vor Gefährdung des Standorts
Der Rat für Forschung und Technologieentwicklung (RFT) warnt vor einer Gefährdung des Forschungs- und Innovationsstandortes bei der Umsetzung des Datenschutz-Anpassungsgesetzes. Dieses sei "ein wesentlicher Bestandteil, um eine Absicherung der universitären und außeruniversitären Forschung in Österreich zu ermöglichen", so RFT-Vorsitzender Hannes Androsch in einer Aussendung.
Ziel des Datenschutz-Anpassungsgesetzes für Wissenschaft und Forschung müsse die Schaffung einer "ausgewogenen Balance zwischen bestmöglichem Schutz personenbezogener Daten einerseits und klaren Rahmenbedingungen für den Wissenschafts-, Forschungs- und Innovationsstandort Österreich andererseits sein", betonte Androsch. Vor allem die Frage der Registerforschung sei von Bedeutung: "Diese sollte nicht durch die Herausnahme einzelner Bereiche verwässert werden."
Eine unverhältnismäßig schwierige Auskunftserteilung würde die Forschungsarbeit "erheblich bürokratisieren und eine signifikante Verlangsamung der Prozesse bewirken", so der Rat. Jede inhaltliche Einschränkung der Ergebnisoffenheit in der Grundlagenforschung würde zu einem "de-facto-Verbot führen".
Verhandlungen über Verbandsklage
Eine Verbandsklage im Datenschutzgesetz könnte kommen. Laut SPÖ-Verfassungssprecher Peter Wittmann hat die ÖVP im heutigen Verfassungsausschuss zugestimmt, entsprechende Verhandlungen aufzunehmen.
Die SPÖ hat hier ein gewisses Druckmittel in der Hand, da Freitag kommender Woche im Plenum ein "Datenschutz-Deregulierungsgesetz" beschlossen werden soll, das einer Zwei-Drittel-Mehrheit bedarf. Bisher haben weder Sozialdemokraten noch NEOS ihre Zustimmung signalisiert.
Wittmann betont nun, dass für die SPÖ Bedingung für ein Ja sei, im Datenschutzgesetz ein höheres Datenschutzniveau durchzusetzen. Mit der Verbandsklage bekämen nicht-gewinnorientierte Datenschutzorganisationen die Möglichkeiten, Datenschutzrechte bei großen Konzernen wie Facebook, Google und Co. durchzusetzen.
