Schutz genetischer, medizinischer und sozialer Daten als multidisziplinäre Aufgabe Heribert M. Anzinger • Kay Hamacher Stefan Katzenbeisser (Hrsg.) Schutz genetischer, medizinischer und sozialer Daten als multidisziplinäre Aufgabe 1  3 Herausgeber Heribert M. Anzinger Stefan Katzenbeisser Fakultät für Mathematik und Fachbereich Informatik Wirtschaftswissenschaften Technische Universität Darmstadt Universität Ulm Darmstadt Ulm Deutschland Deutschland Kay Hamacher Fachbereich Biologie Technische Universität Darmstadt Darmstadt Deutschland ISBN 978-3-642-34740-5 ISBN 978-3-642-34741-2 (eBook) DOI 10.1007/978-3-642-34741-2 Springer Heidelberg Dordrecht London New York Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © Springer-Verlag Berlin Heidelberg 2013 Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Über- setzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenver- arbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk be- rechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Gedruckt auf säurefreiem Papier Springer ist Teil der Fachverlagsgruppe Springer Science+Business Media (www.springer.com) Vorwort In den letzten Jahren ist verstärkt der Trend wahrnehmbar, personenbezogene Daten im großen Stil zu sammeln, zu verknüpfen und auszuwerten. Dieser Trend ist so- wohl in der Privatwirtschaft – beispielsweise bei sozialen Netzwerken – als auch im öffentlichen Sektor – etwa durch die Einheitliche Identifikationsnummer, die Ver- knüpfung von Gesundheitsdaten und die Vorratsdatenspeicherung – festzustellen. Sowohl die technische Entwicklung als auch die regulatorischen Vorgaben sehen eine immer stärkere Verknüpfung dieser Daten vor: bisher dezentral gesammelte und gespeicherte Daten werden zusammengeführt und synergetisch ausgewertet; dadurch wird die Aussagekraft der Daten überproportional gesteigert. Während in den 1970er und 1980er Jahren eine hohe Sensibilität für die Verwen- dung personenbezogener Daten vorhanden war, obgleich die technischen Möglich- keiten zur Speicherung und Verknüpfung aus heutiger Sicht äußerst gering waren, lassen sich heute die technischen Nutzungsmöglichkeiten für den Einzelnen kaum mehr vorhersehen und die Verwendung der Daten nicht mehr kontrollieren. Dieser Fortschritt hat indessen nicht zu einem bewussteren Umgang mit Daten geführt, sondern in der Öffentlichkeit die Frage nach der Schutzbedürftigkeit von Daten im Allgemeinen aufgeworfen. Der technische Fortschritt lässt ein Dilemma entstehen: einerseits sind viele An- wendungen nur dann sinnvoll einsetzbar, wenn personenbezogene Daten im gro- ßen Umfang verfügbar und verknüpfbar sind; andererseits birgt jedoch gerade die zentrale Verarbeitung und unübersehbare Weitergabe und Verwendung sensitiver Daten die Gefahr, dass der Einzelne auf ein Datenraster reduziert wird und dadurch Selbstbestimmungsmöglichkeiten verliert. Ein Beispiel hierfür sind medizinische und genetische Daten. Mit der „perso- nalisierten Medizin“ am Horizont werden Genomdaten zukünftig die Basis jeder Diagnose und Therapie sein. Zunehmend wird dabei auch eine computergestütz- te Therapieplanung notwendig, um den systembiologischen Zusammenhängen Rechnung zu tragen bzw. diese Kenntnisse nutzbringend anwenden zu können. Dies stellt gleich in zwei Dimensionen eine Auflösung des klassischen Arzt-Pa- tienten-Modells dar: Zum einen werden die Daten der Patienten immer sensibler und aussagekräftiger. Gleichzeitig wird aber die Rolle des Arztes ausgehöhlt, da er auf eine Gruppe von Dienstleistungsanbietern angewiesen ist, die medizinische V VVII Vorwort und genomische Daten erheben, speichern, auswerten und daraus individualisierte Therapiepakete schnüren. Dadurch sind die derzeit benutzten Verfahren zum Daten- schutz einerseits (lokale, vertrauliche Patientenakte) und zur Wahrung des geistigen Eigentums andererseits (Kompetenz des Arztes, Beschränkung durch Approbation, nur lokale und persönliche Nutzung von Therapieplanungsinstrumente) in Frage gestellt. Weitere Beispiele finden sich im Steuer- und Sozialrecht, wo durch die Verknüp- fung von bisher dezentral angelegten Datenbeständen die Verwaltung effizienter gestaltet und Rechtsverstöße besser aufgedeckt werden sollen. Bereits umgesetzt ist die Einheitliche Identifikationsnummer, die eine Grundvoraussetzung für die Verknüpfung personenbezogener Daten bildet. Im Steuerrecht sind Einwilligungs- pflichten geschaffen worden, die eine gleichheitsgerechte Besteuerung von der Weitergabe personenbezogener Daten zwischen Arbeitgeber, Versicherungsträgern, Finanzverwaltung und weiteren Stellen abhängig machen. Im Aufbau befindet sich zudem eine zentrale Glaubens- und Konfessionsdatenbank, die sowohl von staat- lichen als auch von privaten Stellen abgerufen werden kann. Die Fragen der Schutzbedürftigkeit und der Schutzfähigkeit personenbezogener Daten, die mit den Stichworten „Gesundheitskarte“, „Elektronische Patientenakte“, „ELENA“, „Genomanalyse“, „Einheitliche Steueridentifikationsnummer“ auch die Tagespresse regelmäßig bereichern, adressieren die Wissenschaft nicht mehr nur als neutralen Beobachter. Sie ist häufig selbst in erheblichem Umfang auf genetische, medizinische und soziale Daten angewiesen und sucht diese in vielfältiger Weise zu speichern und zu verknüpfen. Die Rechtswissenschaft als Hüterin und Forum des Datenschutzrechts kann die vielfältigen Fragen nicht allein beantworten. Notwen- dig ist eine breite Diskussion, die den notwendigen Schutz und Schutzumfang ge- netischer, medizinischer und sozialer Daten möglichst aus technischer, juristischer und ethischer Sicht gemeinsam beleuchtet. Zu diesem Zweck hat das Center for Advanced Security Research Darmstadt (CASED) gemeinsam mit der Darmstädter Juristischen Gesellschaft und dem Forum für Interdisziplinäre Forschung der Tech- nischen Universität Darmstadt in den Jahren 2010 und 2011 drei Vortragsabende ausgerichtet, die sich mit dem Schutz genetischer und medizinischer Daten sowie dem Schutz von Sozialdaten befassten. Der vorliegende Sammelband knüpft an diese Veranstaltungen an und greift die dort diskutierten Themen auf. Die Beiträge im ersten Teil des Buchs legen den Fokus auf genetisch- sowie genomisch-medizinische Daten. Regine Kollek geht der Schutzbedürftigkeit dieser Daten nach und legt damit das Fundament für die theoretischen Fragen, die durch aktuelle Entwicklungen im Bereich der biomedizinisch-genetischen Forschung aufgeworfen werden. Insbesondere der Zielkonflikt zwischen dem individuellen Interesse an effektivem Datenschutz und der Notwendigkeit, große Kohorten von Patienten mit möglichst detaillierten Angaben zu genetischen Dispositionen und physiologischen Beobachtungen für die Entwicklung neuer Diagnosemethoden zur Verfügung zu haben, wird von ihr eindrucksvoll dargelegt. Instruktiv zeigt sie die Perspektiven zur Schutzbedürftigkeit genetisch- sowie genomisch-medizinischer Daten auf: vom Exzeptionalismus, der genetischen Daten einen besonderen Stellen- wert und damit eine höhere bis extreme Schutzwürdigkeit zuweist, über den Gene- Vorwort VVIIII ralismus, der genetische Daten nicht anders behandelt sehen will als beispielsweise Gewebeproben, bis hin zum Kontextualismus, der den jeweiligen Untersuchungs-, Analyse- und Fragekontext in den Vordergrund stellt. Klaus Pommerening weist im zweiten Beitrag an zwei Beispielen nach, welche Herausforderungen des Datenschutzes sich in der modernen Medizintechnik ent- wickeln. Sein erstes Beispiel beleuchtet das Ambient Assisted Living. Elektroni- sche Systeme sollen nicht nur autonome Langzeitdiagnosen ermöglichen, sondern gesundheitliche Beeinträchtigungen etwa im Alter auch dauerhaft abmildern. Diese Technik erhebt – teilweise rund um die Uhr – mittels Sensorik Vitaldaten von Patienten und begründet dadurch das Risiko des vielfältigen Missbrauchs dieser Verhaltensdaten. Im zweiten Beispiel diskutiert Klaus Pommerening die Risiken der personalisierten Medizin bzw. die für die medizinische Forschung immer rele- vanter werdenden Biobanken für das informationelle Selbstbestimmungsrecht des Einzelnen. An die von Klaus Pommerening eingeführten Beispiele der personalisierten Me- dizin knüpft der Beitrag von Kay Hamacher und Stefan Katzenbeisser an, die einen neuartigen Ansatz für den technischen Datenschutz sensibler Daten beschreiben. Der Ansatz erlaubt den Aufbau einer dezentralen Struktur von „Dateneignern“ und „Datendienstleistern“, die sensible Daten nur in verschlüsselter Form austauschen. Die Autoren argumentieren, dass eine „kryptographisch abgesicherte Bioinforma- tik“ eine arbeitsteilige, auf Kompetenzen fokussierte personalisierte Medizin er- möglicht. Das Spannungsverhältnis zwischen technischem Fortschritt und Datenschutz verdeutlicht Gerrit Hornung am Beispiel der Elektronischen Gesundheitskarte. Instruktiv schildert er die Hintergründe, Rahmenbedingungen und Ziele dieses um- strittenen Großprojekts des Gesundheitswesens. Die von ihm identifizierten Grund- konflikte deuten darauf hin, dass Datenschutz im Gesundheitswesen tiefer wurzelt und zu den Fragen nach dem Verhältnis individueller Eigenverantwortung und staatlicher Gesundheitsfürsorge sowie von Patientenautonomie und dem ärztlichen Berufsverständnis zurückführt. Gerrit Hornung spannt den Bogen der Grundkon- flikte weiter und diskutiert den Wert von Einwilligungsvorbehalten, wenn sozialer Druck die Willensfreiheit des Einzelnen gefährdet. Er geht der Frage nach, wie sich Vertraulichkeit gegen die leichte Verfügbarkeit von Daten durchsetzen kann, wie technische Verfahren des Datenschutzes mit der Praktikabilität der Nutzung in Übereinstimmung gebracht werden können und wie sich die strikte Zweckbindung der auf der Gesundheitskarte gespeicherten Daten in der medizinischen Forschung verwirklichen lässt. Pragmatisch zieht er den Schluss, dass sich die widerstreiten- den Prinzipien nicht in die Kategorien „gut“ und „böse“ einordnen lassen und ver- meintliche Widersprüche zumindest abgemildert werden können. Das Großprojekt könne durch Transparenz auch eine höhere Akzeptanz in der Bevölkerung erlangen. Es bleibt, so Hornung, als einzige Lösung nur eine „Allianz“ von Recht und Tech- nik, um die anstehenden Probleme zu lösen. Michael Ronellenfitsch beschäftigt sich mit den Datenschutzproblemen bei der frühkindlichen Gesundheitsvorsorge. Er beschreibt das im Januar 2008 imple- mentierte Hessische Modell des Gesundheitsschutzes, in dem Eltern verpflichtet VVIIIIII Vorwort werden, die von den Krankenkassen finanzierten Vorsorgeuntersuchungen für ihre Kinder durchführen zu lassen. Um dieses Gebot durchzusetzen, müssen alle Kin- der und die bei ihnen vorgenommenen Vorsorgeuntersuchungen zentral erfasst und vorübergehend gespeichert werden. Ronellenfitsch untersucht zunächst die damit verbundenen Eingriffe in das Grundrecht auf körperliche Unversehrtheit und das grundrechtlich geschützte elterliche Erziehungsrecht, um dann die Frage möglicher Einschränkungen des Rechts auf informationelle Selbstbestimmung zu vertiefen. In der vorzunehmenden verfassungsrechtlichen Abwägung kommt er zu dem Ergeb- nis, dass sämtliche im Hessischen Modell angelegten Eingriffe in die Grundrechte der Eltern und der Kinder gerechtfertigt sind. Die im zweiten Teil zusammengefassten Beiträge stellen den Wert sozialer Daten und die rechtliche Ausgestaltung des Schutzes besonders solcher Daten in den Mittelpunkt, die in Besteuerungsverfahren erhoben werden. Den Wert sozia- ler Strukturdaten aus ökonomischer Sicht analysieren Jörg Gottschlich und Oliver Hinz. Sie adressieren damit ein Spannungsverhältnis ökonomischer Interessen zu den traditionellen Wertungen des Datenschutzes, das Parallelen zu der von Regine Kollek und Klaus Pommerening diskutierten Erhebung und Verarbeitung geneti- scher und medizinischen Daten aufweist. Soziale Strukturdaten, wie sie in reiner Form bei Plattformbetreibern wie Facebook oder Xing vorliegen, könnten auch aus Verbindungsinformationen von Telekommunikationsprovidern oder Kontobewe- gungen von Finanzinstituten gewonnen werden. Nach dem Prinzip „Sage mir, mit wem du umgehst, so sage ich dir, wer du bist“ eröffneten sich mit der Verfügbarkeit dieser Daten für Unternehmen neue Chancen und Interessen. Instruktiv zeigen Gott- schlich und Hinz mit der aktuellen betriebswirtschaftlichen Forschung auf, welcher Wert sozialen Strukturdaten innewohnt, wie dieser entsteht und wie er realisiert werden kann. Der Beitrag von Heribert Anzinger widmet sich dem Spannungsverhältnis zwi- schen Steuergerechtigkeit und informationeller Selbstbestimmung aus Sicht des Steuerrechts. Ausgehend von der historischen Entwicklung der Einkommensteuer diskutiert er zunächst die Frage, in welchem Umfang personenbezogene Daten vom Staat erhoben werden müssen, um sich dem Ideal einer gerechten Steuer an- zunähern. Instruktiv liefert er einen Überblick über den Umfang der im geltenden Steuerrecht erhobenen Daten. Kritisch vertieft er die Indienstnahme privater Dritter aus datenschutzrechtlicher Sicht, die durch die Einführung der einheitlichen Steuer- identifikationsnummer noch verstärkt werden dürfte. Er schlägt vor, das Span- nungsverhältnis zwischen Steuergerechtigkeit und informationeller Selbstbestim- mung auf drei Ebenen, im materiellen Einkommensteuerrecht, im Verfahrensrecht und durch technische Maßnahmen, stärker auszugleichen. Sven Polenz ergänzt den Blickwinkel des Datenschutzrechts auf das Steuerrecht. Er konzentriert sich dabei, wie Gerrit Hornung für das Gesundheitswesen, auf Großprojekte. Aufschlussreich führt er in FISCUS, KONSENS und ELSTER ein und zeigt die Chancen und Risiken einer einheitlichen Steueridentifikationsnummer auf. Aus datenschutzrechtlicher Sicht beleuchtet er den Abruf von Kontostamm- daten, die Speicherung von Daten für Zwecke künftiger Besteuerungsverfahren so- wie die ELSTAM-Datenbank, die die Lohnsteuerkarte ersetzen wird. Er streift auf Vorwort IIXX dem Weg zu einem Gesamtbild Bank- und Steuergeheimnis und geht auch auf die vom Bundesverfassungsgericht verneinte Frage ein, ob der Steuerpflichtige unein- geschränkt Auskunft über alle über ihn bei Finanzbehörden gespeicherte Daten ver- langen könne. Auch er spricht sich für einen Ausgleich des Spannungsverhältnisses zwischen Datenschutz und Steuergerechtigkeit aus. Der dritte Teil dieses Sammelbandes bündelt zwei Beiträge, die innovative technische und rechtliche Lösungsansätze beschreiben. Der Beitrag von Michael Waidner und Lukas Kalabis beleuchtet die Technik des „Federated Identity Ma- nagement“, mit deren Hilfe sich Benutzer einfach bei verschiedenen Anbietern von Diensten authentifizieren können. Zur Wahrung der Privatsphäre erlaubt es diese Technik, verschiedene „Identitäten“ im Verkehr mit verschiedenen Anbietern zu nutzen – Aktivitäten eines Nutzers können daher durch verschiedene Anbieter, selbst wenn diese kooperieren, nicht verknüpft werden. Zur Zeit sind Techniken zum Identitätsmanagement im Internet noch wenig verbreitet. Es bleibt jedoch zu hoffen, dass sie sich längerfristig bei den großen Dienstanbietern durchsetzen, da sie einen effektiven Schutz der Privatsphäre ermöglichen. Abschließend analysiert Viola Schmid die wesentlichen Voraussetzungen für die erfolgreiche Realisierung informationstechnologischer Projekte. Sie argumentiert, dass neben den klassischen Fragen der IT-Sicherheit, des „Privacy by Design“ und der Berücksichtigung rechtlicher Rahmenbedingungen, die Akzeptanz der Betrof- fenen sowie Kommunikation und Transparenz entscheidende Faktoren sind. Damit spannt sie eine Brücke zu dem Beitrag von Gerrit Hornung, der ebenfalls Transpa- renz als entscheidenden Faktor für die Akzeptanz einer Technologie herausstreicht. Gemeinsam zeigen alle Beiträge nicht nur die Gefahren neuer technologischer Entwicklungen für die Verwirklichung individueller Erwartungen an die informa- tionelle Selbstbestimmung auf. Sie liefern unterschwellig auch ein vielfarbiges Bild dieser Erwartungen und sensibilisieren für die nicht nur in den verschiedenen Wis- senschaftsdisziplinen bestehenden unterschiedlichen Vorstellungen des notwendi- gen Umfangs informationeller Selbstbestimmung und seiner Gewichtung. Gemein- sam ist den Beiträgen aber auch, unabhängig von der Bewertung des Rechts auf informationelle Selbstbestimmung, die Suche nach Möglichkeiten des Ausgleichs, durch technische Verfahren, politische Prozesse oder, etwa im Steuerrecht, durch Vorschläge zur Steigerung der Dateneffizienz. Wir hoffen, dass dieser Sammelband zur interdisziplinären Diskussion anregt. Die mit dem technischen Fortschritt zwingend verbunden zu scheinende vermehrte Speicherung und Vernetzung personenbezogener Daten erfordert neue technische und rechtliche Ansätze, aber auch eine fundierte Bewertung aus gesellschaftspoli- tischer, wirtschaftlicher und ethischer Sicht. Dies ist umso wichtiger, als mit der Etablierung großer Datenbanken im medizinischen und sozialen Bereich „Fakten“ geschaffen werden, die unser Leben in den nächsten Jahren nachhaltig beeinflussen dürften.Vor diesem Hintergrund ist sorgfältig abzuwägen, welche personenbezo- gene Daten für welchen Zweck gespeichert werden müssen und welchen Schutz- bedarf diese aufweisen. Gegebenenfalls muss aus diesen Überlegungen heraus die Entscheidung getroffen werden, nicht alles technisch Mögliche auch umzusetzen. XX Vorwort Am Zustandekommen dieses Bandes waren viele Personen beteiligt. Unser Dank gebührt zuerst allen Autoren, die unser Rahmenthema aufgegriffen und grundlegen- de und weiterführende Beiträge aus dem Blickwinkel ihrer jeweiligen Fachdisziplin beigesteuert haben. Dem Team vom Springer-Verlag, allen voran Dr. Niels Peter Thomas und Anke Seyfried, danken wir für die Unterstützung der Idee und die pro- fessionelle Begleitung der Publikation sowie für das Lektorat. Zuletzt gilt unser Dank dem Präsidenten des Landes-Sozialgerichts Darmstadt, Herrn Dr. Harald Klein, ohne dessen Initiative die Vortragsabende, auf denen dieses Buch basiert, nie stattgefunden hätten. Darmstadt und Ulm Heribert M. Anzinger im September 2012 Kay Hamacher Stefan Katzenbeisser