CONTROLLER
2.8
Einwilligung
Die Einwilligung genügt für ein öffentliches Organ zwar nicht als Rechtfertigung zur Datenbearbeitung, spielt aber in einigen Fällen trotzdem eine Rolle.
Wenn wir als öffentliches Organ Personendaten bearbeiten wollen, dann brauchen wir dafür immer eine gesetzliche Grundlage. Eine Einwilligung der betroffenen Personen genügt nicht und kann die Rechtsgrundlage nicht ersetzen. Trotzdem ist die Einwilligung unter bestimmten Umständen durchaus von Bedeutung.
- Erstens kann mit einer Einwilligung eine Datenbekanntgabe gerechtfertigt werden. Das ist im § 21 des IDG vorgesehen. Wenn ein öffentliches Organ also rechtmässig über bestimmte Personendaten verfügt, dann darf es diese Daten weitergeben, sofern dafür entweder eine weitere gesetzliche Grundlage besteht oder sofern die betroffene Person im Einzelfall ausdrücklich eingewilligt hat.
- Zweitens kann die Einwilligung bei einer Abwägung der privaten Interessen von Bedeutung sein.
- Drittens kann die Einwilligung Bestandteil der erforderlichen gesetzlichen Grundlage sein, und zwar als eine Voraussetzung. Das ist vor allem in zwei Bereichen der Fall: bei der medizinischen Behandlung und bei der Forschung. Bei der medizinischen Behandlung gibt das Gesundheitsgesetz zwar grundsätzlich die Aufgabe vor, Patient:innen zu behandeln, knüpft diese Behandlung aber zugleich an deren Einwilligung. Nur in Ausnahmefällen darf jemand ohne Einwilligung medizinisch behandelt werden. Die Forschung als zweiten Bereich werden wir uns im Folgenden ausführlicher anschauen.
Die Einwilligung in der Forschung
Ähnlich wie bei medizinischen Behandlungen ist es auch bei der Forschung so, dass Gesetze es Universitäten, Fachhochschulen und Institutionen erlauben zu forschen. Ob aber konkret mit meinen Daten geforscht werden darf, das habe ich zu entscheiden. Es braucht also meine Einwilligung dafür. Im Bereich der Forschung mit Menschen ist das im Humanforschungsgesetz festgelegt. Das Humanforschungsgesetz erlaubt die Weiterverwendung von Gesundheitsdaten zu Forschungszwecken ohne die Einwilligung der betroffenen Person nur unter sehr eingeschränkten Voraussetzungen: nämlich dann, wenn sie anonymisiert oder unter Umständen pseudonymisiert sind. Nur dann kann die Einwilligung abgelöst werden durch eine Widerspruchsmöglichkeit. Das heisst, wenn die betroffene Person nicht ausdrücklich widersprochen hat, darf mit ihren (nicht genetischen) Gesundheitsdaten in anonymisierter bzw. pseudonymisierter Form geforscht werden.
Auch bei Befragungen oder Erhebungen dürfen die Daten nur mit Einwilligung der befragten Person erhoben und bearbeitet werden. In diesem Kontext meint Einwilligung informed consent, das heisst die freiwillige Zustimmung (zu einer bestimmten Datenbearbeitung) nach hinreichender vorgängiger Information. Für einen solchen informed consent muss die befragte Person also über den Zweck und über die Risiken aufgeklärt werden. Sie muss darüber informiert werden, was mit ihren Daten gemacht werden soll, in welcher Form die Daten bearbeitet werden und ob sie anonymisiert oder pseudonymisiert werden.
Ohne eine Einwilligung darf also nur dann mit Personendaten geforscht werden, wenn für die Verwendung der Daten eine gesetzliche Grundlage besteht. Das ist unter zwei Voraussetzungen zulässig, die im IDG unter § 10 und § 22 vorgesehen sind und die wir uns nun genauer ansehen werden. Dabei geht es einerseits um die Weiterbearbeitung und andererseits um die Bekanntgabe von Personendaten.
§ 10 IDG
Der § 10 IDG betrifft die Weiterbearbeitung von Personendaten, die ein öffentliches Organ zur Erfüllung seiner gesetzlichen Ausgabe besitzt, zu einem anderen Zweck. Dazu zählen beispielsweise Statistik, Planung oder Forschung. Dafür müssen wir allerdings bestimmte Auflagen berücksichtigen:
- Erstens dürfen diese Daten nicht mehr zu einem personenbezogenen Zweck verwendet oder weitergegeben werden.
- Zweitens müssen die Daten anonymisiert oder pseudonymisiert werden, sobald es der Bearbeitungszweck erlaubt.
- Drittens dürfen die Ergebnisse dieser weiteren Bearbeitung nur in so einer Form bekannt gegeben werden, dass keinerlei Rückschlüsse auf die betroffenen Personen mehr möglich sind.
Besonders wichtig ist hier die Zweckänderung. Denn die Daten wurden ja zunächst zur Erfüllung der gesetzlichen Aufgabe zu einem personenbezogenen Zweck erhoben und bearbeitet. Für eine Zweitverwendung, wie sie im § 10 IDG vorgesehen ist, dürfen sie aber nur noch zu einem nicht-personenbezogenen Zweck verwendet werden. Umgekehrt bedeutet die Erlaubnis der Zweckänderung allerdings, dass die Verwendung von Daten zu nicht-personenbezogenen Zwecken in der Verwendung zu personenbezogenen Zwecken inbegriffen ist. Das heisst: Wenn ein öffentliches Organ Personendaten personenbezogen bearbeiten darf, dann darf es diese Daten auch ohne weitere Einwilligung zu einem nicht-personenbezogenen Zweck wie Statistik, Forschung oder Planung weiterverwenden.
So bearbeitet beispielsweise die Sozialhilfe Daten von einer Person, um herauszufinden, ob diese Person bedürftig ist und um ihr allenfalls Sozialhilfe zukommen zu lassen. Das ist eindeutig ein personenbezogener Zweck: Es geht um die Person und um Entscheide, die diese Person betreffen. Wenn diese Daten nun zu Forschungszwecken weiterverwendet werden sollen, so ist der Zweck nicht mehr personenbezogen, sondern es geht beispielsweise darum festzustellen, welche Faktoren einen Einfluss auf die Bedürftigkeit von Menschen allgemein haben.
§ 22 IDG
Der § 22 IDG betrifft die Bekanntgabe von Personendaten, wie schon im vorigen Abschnitt, zu einem nicht-personenbezogenen Zweck. Das betrifft Daten, die ein öffentliches Organ an Dritte weitergibt, damit diese sie weiterverwenden können. So darf beispielsweise die Sozialhilfe Daten an Forschende weitergeben, die an einem soziologischen Projekt arbeiten. Auch hier müssen aber bestimmte Voraussetzungen erfüllt sein, die ähnlich sind wie bei der Weiterverwendung der Daten durch das öffentliche Organ selbst:
- Erstens dürfen der Weitergabe der Daten keine besonderen Geheimhaltungsbestimmungen entgegenstehen. Das heisst, wir müssen zunächst prüfen, ob die Daten einem besonderen Amts- oder Berufsgeheimnis unterstehen, die eine Weitergabe verbieten. Nur wenn das nicht der Fall ist, dürfen wir die Daten an Forschende weitergeben.
- Zweitens müssen die Daten anonymisiert oder pseudonymisiert werden, sobald es der Bearbeitungszweck erlaubt.
- Drittens dürfen die Auswertungen nur in so einer Form bekannt gegeben werden, dass keinerlei Rückschlüsse auf die betroffenen Personen mehr möglich sind.
Diese Voraussetzungen gelten für die Bekanntgabe von Personendaten zu einem nicht-personenbezogenen Zweck an andere öffentliche Organe im Kanton, in anderen Kantonen oder im Bund. Wenn wir die Daten aber an Private weitergeben wollen, gelten zusätzliche Voraussetzungen. Dann müssen wir diese privaten Empfänger*innen dazu verpflichten, dass sie:
- erstens die Personendaten nicht für andere Zwecke bearbeiten,
- zweitens die Personendaten nicht an Dritte weitergeben
- und drittens für die Informationssicherheit sorgen.
Diese Auflage braucht es nur bei der Weitergabe von Daten an Private und nicht an öffentliche Organe, weil die öffentlichen Organe bereits zu diesen Punkten verpflichtet sind.
Anonymisierung und Pseudonymisierung
Eine Anonymisierung liegt vor, wenn der Personenbezug irreversibel aufgehoben wurde, sodass die Re-Identifikation nicht mehr ohne unverhältnismässigen Aufwand möglich ist. Auch wenn klar identifizierende Merkmale wie Name, Geburtsdatum oder Adresse entfernt werden, reicht dies in der Regel noch nicht zwingend aus, um eine Re-Identifikation auszuschliessen. Bei pseudonymisierten Daten liegt hingegen noch ein Personenbezug vor, wobei dieser mittels Schlüssel (z. B. einem Code oder einer ID) ersetzt wird. Pseudonymisierte Daten gelten solange als Personendaten, wie die Anonymisierung zu einem späteren Zeitpunkt wieder rückgängig gemacht werden kann. Ist der Schlüssel zur Re-Identifikation noch vorhanden, gelten die pseudonymisierten Daten als Personendaten für sämtliche Personen, die einen Zugang zu diesem Schlüssel haben.
Wie wir gesehen haben, ist es in beiden Fällen wichtig, dass wir die Daten anonymisieren oder pseudonymisieren, sobald es der Bearbeitungszweck erlaubt. Aber was bedeutet das konkret? Ab wann erlaubt es ein Zweck, dass wir Daten anonymisieren oder pseudonymisieren? In der Regel ist das recht früh möglich. Es kann sogar unter Umständen sein, dass ein öffentliches Organ Daten bereits anonymisieren oder pseudonymisieren muss, wenn es die Daten gar nicht selbst personenbezogen braucht. Schwieriger ist es, wenn die Daten aus unterschiedlichen Quellen stammen und man sie einander zuordnen können muss. Dann ist eine Anonymisierung nicht möglich und eine Pseudonymisierung nur, wenn sie bei jeder Weitergabe gleichartig ist. In so einem Fall muss abgewägt werden, wann der Zweck es zulässt, die Daten zu anonymisieren oder zu pseudonymisieren (vgl. auch den Grundsatz der Verhältnismässigkeit).
Zusammenfassung
Fassen wir abschliessend die wichtigsten Punkte zur Einwilligung zusammen:
- Eine Einwilligung allein genügt für ein öffentliches Organ nicht als Rechtfertigung, um Daten zu erheben und zu bearbeiten. Sie kann aber eine Bekanntgabe rechtfertigen, wie sie im § 21 IDG vorgesehen ist.
- Unter Umständen machen Spezialgesetze es erforderlich, dass wir als Voraussetzung zusätzlich zur gesetzlichen Grundlage eine Einwilligung brauchen. Das gilt etwa für Gesundheitsfachpersonen, die zwar als gesetzliche Aufgabe die Behandlung von Patient:innen haben, aber trotzdem bei jeder konkreten Behandlung individuell die ausdrückliche Einwilligung der jeweiligen Person brauchen.
- Das IDG erlaubt unter bestimmten Umständen eine Weiterverwendung oder Weitergabe von Personendaten ohne eine Einwilligung, sofern es keine Geheimhaltungsbestimmungen gibt. Der neue Zweck muss dafür nicht-personenbezogen sein, die Daten müssen anonymisiert oder pseudonymisiert werden, sobald es der Zweck zulässt, und die Auswertungen dürfen nur so bekannt gegeben werden, dass man nicht mehr feststellen kann, um welche Person(en) es sich handelt.
Lizenz
Universität Basel