Was passiert im Gehirn bei Leseschwächen? Wie funktioniert unser Tastsinn? Warum verfestigen sich Essstörungen? Um Antworten auf spannende Forschungsfragen wie diese zu finden, analysieren Forschende der kognitiven Neurowissenschaften zum Beispiel Gehirnscans aus dem Magnetresonanztomografen (MRT). Das geht jedoch oft mit einem Dilemma einher. Denn komplizierte Datenschutzvorschriften machen es für Forschende oftmals so unübersichtlich, welche Rechte und Pflichten sie beim Erheben, Speichern, Verknüpfen, Weitergeben und Veröffentlichen von wissenschaftlichen Daten haben, dass sie sich juristische Hilfe holen müssen.
"Uns ist es quasi unmöglich festzustellen, was wir dürfen und was nicht. Wir brauchen Fachleute, die uns auseinanderdividieren, was datenschutzrechtlich erlaubt ist", sagt der Kognitionspsychologe Florian Hutzler von der Paris Lodron Universität Salzburg (PLUS) über die Herausforderung. Um zu klären, warum das so ist, und Verbesserungsvorschläge zu erarbeiten, hat er mit dem ebenfalls an der Salzburger Uni tätigen Verfassungsjuristen Sebastian Schmid das interdisziplinäre Projekt Digital Neuroscience Initiative initiiert.
Schutz der Identität
Datenschutzverordnungen regeln die Verwendung von personenbezogenen Daten, vor allem wenn sie sich auf den Gesundheitszustand von Probanden oder Patienten beziehen. "Man will natürlich nicht, dass diese online frei zugänglich sind, womöglich noch mit einer Diagnose oder gar mit Namen und Wohnadresse", betont Sebastian Krempelmeier, der dem Projekt als Datenschutzexperte beigezogen wurde. Es dürfe auch niemand Unbefugter in der Lage sein, aus den Daten auf die Identität einer Person zu schließen.
"Die erste Frage war, ob MRT-Gehirnscans überhaupt personenbezogene Daten im Sinne des Datenschutzrechts sind. Handelt es sich um Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen und damit dem Datenschutzrecht unterliegen", umreißt Krempelmeier die Fragestellung. Seiner Analyse zufolge ist das der Fall. Denn auf den MRT-Aufnahmen ist nicht nur das Gehirn, sondern auch das Gesicht der Probanden erkennbar. Zwar nicht ganz so klar wie bei einem Foto, aber doch so, dass man die Person eventuell identifizieren könnte.
Streng geschützte Gehirndaten
Grundsätzlich werden Gesichter zwar mithilfe von Software entfernt. Würden dadurch aber forschungsrelevante Informationen verlorengehen, werde darauf jedoch verzichtet. Auf solche Bilder sei das Datenschutzrecht jedenfalls anwendbar. "Da es sich bei Gehirndaten um Gesundheitsdaten, also sensible Daten, handelt, unterliegen sie sogar einem strengeren Schutz", erklärt Krempelmeier. Welche konkreten Vorgaben zu beachten sind, sei jedoch kompliziert und nicht nur für Datenschutzbeauftragte von Universitäten, sondern sogar für Rechtsexperten nicht immer mit Sicherheit zu beantworten, sekundiert ihm der Salzburger Professor für Datenschutzrecht, Dietmar Jahnel.
"Da es sich bei Gehirndaten um Gesundheitsdaten handelt, unterliegen sie sogar einem strengeren Schutz." – Sebastian Krempelmeier, Datenschutzexperte
Denn der Schutz der Privatsphäre muss mit dem Ziel, freie Forschung zu ermöglichen, ausbalanciert werden. Bei diesem sogenannten datenschutzrechtlichen "Wissenschaftsprivileg" geht es darum, die Verarbeitung und Auswertung der Daten für die Wissenschaft zu erleichtern. Deshalb gelten in diesem Fall bestimmte strengere Datenschutzvorgaben nicht oder nur in abgewandelter und angepasster Form. Übergeordnet regelt in Europa die Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten.
Wilde Mischung aus Regeln
Die DSGVO gibt Nationen dann in Form sogenannter Öffnungsklauseln die Möglichkeit zu abweichenden oder ergänzenden Regelungen. Österreichische Forschende müssen gleich zwei nationale Datenschutzgesetze beachten, nämlich das genauere Forschungsorganisationsgesetz (FOG) und das allgemeinere Datenschutzgesetz (DSG), das noch einmal eigene Forschungsvorschriften enthält.
Datenschutzexperte Krempelmeier kritisiert das FOG als schwer durchschaubar und plädiert für eine dringende Überarbeitung, um Rechtssicherheit für die Forschung zu schaffen: "Das ist eine wilde Mischung aus Regeln, die in diverse Kategorien von Datenschutzvorschriften gehören." Das müsse man zunächst einmal besser strukturieren.
Das größere Problem aber sei, dass neben dem FOG auch das DSG noch zwei Sondervorschriften für Datenverarbeitungen zu Forschungszwecken enthalte. "Es ist einfach unklar, wie sich diese Vorschriften zueinander verhalten. Die beiden Gesetze erlauben die Datenverarbeitung unter verschiedenen Voraussetzungen, also mit unterschiedlichen Rechten und Pflichten", sagt Krempelmeier.
Überarbeitung gefordert
Vereinfacht gesagt, erlaube das DSG weniger als das FOG, stelle dafür aber auch weniger strenge Anforderungen. Umgekehrt dürfen Forschende, wenn sie die strengeren Anforderungen des FOG einhalten, auch mehr. Das Problem dabei: "Kann ich mir als Forschender jetzt aussuchen, ob ich mich auf das Forschungsorganisationsgesetz stütze oder auf das Datenschutzgesetz? Oder darf ich mich unter bestimmten Bedingungen nur auf das eine und unter den anderen Bedingungen auf das andere stützen?", fragt Krempelmeier.
"Grundsätzlich ist es im Recht so: Wenn ein Gesetz speziellere Regelungen als ein anderes enthält, die Regeln aber denselben Gegenstand haben, dann gilt das speziellere Gesetz vorrangig", sagt Krempelmeier. So eindeutig sei das aber in diesem Fall nicht, plädiert er für eine Klärung durch den Gesetzgeber. "Am besten wäre es, die Sondervorschriften im Datenschutzgesetz zu beseitigen und dafür das Forschungsorganisationsgesetz klarer und systematisch neu zu gestalten." (Veronika Szentpetery-Kessler, 29.5.2023)