Seminararbeit im Datenschutzrecht

zum Thema

Biobanken und Datenschutz

Teilleistung für das universitäre Staatsexamen der Universität Passau im

Studienschwerpunkt Medien- und Kommunikationsrecht

Anna Giedke

---

Gliederung

A.

Einleitung 3

B.

Biobanken in der Praxis 5

I.

Island 5

II.

Estland 9

III.

Großbritannien 13

IV.

Deutschland 15

C.

Körpersubstanzen in Biobanken 19

I.

Chemischer Aufbau und biologische Funktionen der DNS 19

1. Codierende

DNS-Abschnitte 20

2. Nichtcodierende

DNS-Abschnitte 21

II.

Datenschutzrechtliche Brisanz der Körpersubstanzen 22

III.

Datenschutzrechtliche Brisanz von Körpersubstanzen in Biobanken 25

D.

Datenschutzrechtliche Bewertung von Biobankprojekten in Deutschland 26

I.

Schutzgegenstand des BDSG 26

II.

Anwendbarkeit des BDSG 28

1.

Einzelangaben über persönliche und sachliche Verhältnisse 28

2.

Bestimmte oder bestimmbare Person 30

a. Bestimmte

Person 30

b. Bestimmbare

Person 31

(1) Anonymität und Personenbezug als Komplementärbegriffe 32

(2) Kein Ausschließlichkeitsverhältnis von Anonymität und Personenbezug 36

(3) Sonderfall Körperstoffe in Biobanken 41

III.

Legitime Datenverarbeitung 45

1. Allgemeine

Wirksamkeitsvoraussetzungen 45

2. Formelle

Wirsamkeitsvoraussetzungen 46

a. Höchstpersönliche

Abgabe 46

b. Schriftformerfordernis 46

c.

Verzicht auf das Schriftformerfordernis 47

(1) Anerkannte Fallgruppen 47

(2) Kosten 48

(3) Misstrauen 48

(4) Anonymisierung der Daten und gesetzliche Geheimhaltungspflichten 49

(5) Aufwand 49

(6) Verzicht auf das Einwilligungserfordernis als solches? 49

(7) Unzumutbarkeit des Einwilligungserfordernisses 52

d. Dokumentationspflicht 52

e.

Ausdrücklicher Bezug auf besondere persönliche Daten 52

f. Hervorhebung 53

g.

Verletzung der Formvorschriften 53

3. Materielle

Wirksamkeitsvoraussetzungen 53

a. Freiwilligkeit 53

(1) Abhängigkeitsverhältnisse 54

(2) Finanzielle Anreize 54

1

---

b. Informiertheit 56

c. Bestimmtheit 61

d. Problemfall

,,allgemeine

Biobanken" 62

(1) §4a I 2 BDSG 63

(2) Unzureichende Information des Betroffenen 63

(3) Ausreichende Information des Betroffenen 65

E.

Resümee 73

F.

Anhang 76

I.

Fragebogen des Estnischen Genomprojekts 76

II. Einwilligungsformular des Estnischen Genomprojekts 85

Literaturverzeichnis 87

2

---

A.

Einleitung

Die hier betrachteten Biobanken sind Sammlungen von Körpersubstanzen, die mit

umfangreichen Zusatzinformationen über ihre Spender verknüpft sind. 1 Sie dienen der

Erforschung weitverbreiteter Krankheiten (,,Volkskrankheiten") und der Entwicklung

wirksamerer und nebenwirkungsärmerer Medikamente.2

Neben Körpersubstanzen werden in Biobanken gesundheits- und lebensstilbezogene sowie

genealogische Daten des Spenders gespeichert.3 Grund hierfür ist, dass die weitestverbreiteten

Krankheiten, wie Herz-Kreislauferkrankungen oder Krebs so genannte multifaktoriell

bedingte Krankheiten sind.4 Das heißt, nicht die Mutation nur eines einzelnen Gens ist für die

Entstehung dieser Krankheiten verantwortlich (monogenetische Krankheiten),5 sondern die

Veränderung mehrerer Gene sowie Umwelt- und Lebensstilfaktoren.6 Zudem bedarf es der

umfangreichen Daten in Biobanken um genetische Profile zu identifizieren, die die Wirkungs-

und Nebenwirkungswahrscheinlichkeit von medikamentösen Substanzen beeinflussen 7

(Pharmakogenetik und Pharmakogenomik).8

Aus mehreren Gründen sind diese Datensammlungen (datenschutz)rechtlich besonders

interessant: Es handelt sich um eine ungewöhnlich große Anhäufung sensibler Daten.

Insbesondere zellhaltige Körperstoffe enthalten die gesamte biologische Grundinformation

über einen Menschen in chemisch codierter Form. Zwar ist diese heute noch längst nicht

vollständig ablesbar, doch der Fortschritt in Wissenschaft und Technik wird es ermöglichen,

den Körperproben zukünftig sehr viel mehr Informationen zu entnehmen.9

1 Nationaler Ethikrat (NER),

Biobanken für die Forschung - Stellungnahme

, 2004 Nationaler Ethikrat, Berlin, online verfügbar unter:

http://www.ethikrat.org/stellungnahmen/stellungnahmen.html, eingesehen am 19.05.2006, S.24.

2 Bachmann, A., Probst-Hensch, N.M.,

Chancen und Risiken von Biobanken

, in: Schweizerische Ärztezeitung, 2004, S.1987-1989, (1987).

3 Vgl. NER,

Stellungnahme

, a.a.O., S.24.

4 Aretz, S., et al.,

Indikationen zur molekulargenetischen Diagnostik bei erblichen Krankheiten

, in: DÄBl. 2006, A550-560, (557), weitere

Beispiele sind: Diabetes, Osteoporose, Schizophrenie, vgl. Kasten 10.

5 Aktuell wird die Zahl monogenetischer Krankheiten auf 4000 geschätzt, vgl. Aretz, a.a.O., A551.

6 Bachmann, a.a.O. S. 1987, ausführlich zu monogenetischen, polygenetischen und multifaktoriellen Krankheiten: Deutsches

Humangenomprojekt,

Gene und Krankheit

, http://www.dhgp.de/media/publication/bmbf/text13.html, eingesehen am 18.05.2006.

7 Bachmann, a.a.O., S.1987.

8 Ausführlich hierzu: Verband Forschender Arzneimittelhersteller e.V.,

Pharmakogenetik

, 16.01.2006,

http://www.vfa.de/de/presse/positionen/pharmakogenetik.html, eingesehen am 19.05.2006.

9 Zu dem rasanten wissenschaftlichen Fortschritt siehe: Human Genome Project,

http://ornl.gov/sci/techresources/Human_Genome/home.shtml, eingesehen am 19.05.2006, vgl. ausführlich Kasper, D. L. et al.,

Harrison′s

Principles of Internal Medicine

, 2006 The McGraw-Hill Companies, New York, Kapitel 58, 59.

3

---

Zur Zeit der Spende weiß der Spender somit nicht abschließend, welche Informationen er

über sich zur Verfügung stellt. Auch Informationen, von deren Existenz Spender und

Forschender zur Zeit der Abnahme noch keine Kenntnis haben, können möglicherweise in

Zukunft aus den Proben gewonnen werden.

Aus datenschutzrechtlicher Sicht fragt sich zunächst, ob die Körperproben, die in codierter

Form besondere persönliche Daten enthalten, selbst als solche zu qualifizieren sind. Ferner,

ob die mögliche Entstehung detaillierter Persönlichkeitsprofile der einzelnen

Probenspender,10 von denen der Betroffene unter Umständen keine Kenntnis hat, mit dem

Recht auf informationelle Selbstbestimmung vereinbar ist; genauer gefragt: ob angesichts

dieser zukünftigen Unsicherheiten eine informierte Einwilligung in die Datenerhebung,

-verwendung und -nutzung möglich ist.

Im Folgenden wird zunächst anhand von Praxisbeispielen in die Thematik eingeführt (B.).

Nach einem knappen biologischen Überblick, der die datenschutzrechtliche Brisanz der

Körperproben verdeutlicht (C.), wird die Vereinbarkeit von Biobankprojekten mit dem

deutschen Datenschutzrecht überprüft (D.). Abschließend wird ein Resümee gezogen (E.).

10 Durch Zusammenführung von Körperproben und umfassenden Zusatzinformationen, vgl. Nationaler Ethikrat, (NER),

Wortprotokoll der

Jahrestagung zum Thema Biobanken

, 24.10.2002, Berlin, (Wellbrock, R.) S.21 f., verfügbar unter:

http://www.ethikrat.org/texte/pdf/Jahrestagung_2002_Wortprotokoll.pdf, eingesehen am 19.05.2006.

4

---

B.

Biobanken in der Praxis

I.

Island

Eines der ältesten Biobankprojekte ist die isländische Gesundheitsdatenbank.11 Sie ist in dem

Act on a Health Sector Database

no. 139/198 (AHSD)12 von 1998 geregelt und wird von dem

börsennotierten Pharmaunternehmen deCODE Genetics geführt.13

Der Gesetzeszweck ist gem. Art.1 AHSD der Aufbau und Betrieb einer zentralen Datenbank

mit Gesundheitsdaten ohne Personenbezug, um mit den gewonnenen Erkenntnissen die

Gesundheit und Gesundheitseinrichtungen zu verbessern.14

Daten ohne Personenbezug sind solche, die weder direkt noch indirekt eine Identifizierung

des Betroffenen ermöglichen. Eine Identifizierung ist insbesondere durch Zuordnung zu einer

Identitätsnummer oder zu einem oder mehreren physischen, physiologischen, psychischen,

wirtschaftlichen, kulturellen oder sozialen Faktoren, die für den Betroffenen spezifisch sind,

möglich, vgl. Art.3 clause 3 i.V.m. clause 2 AHSD.15

Durch die ausdrückliche Einbeziehung indirekter Identifizierbarkeit wird de facto ein

Anspruch völliger Anonymität 16 der in der Datenbank verarbeiteten Gesundheitsdaten

formuliert.17

Realiter werden in der

Health Sector Database

drei bestehende umfangreiche Datenbanken

zusammengeführt: Eine genealogische, eine genetische und eine Gesundheits-Datenbank.18

11 Ausführlich hierzu: Sokol, B.,

Der Fall deCODE ­ Das isländische Beispiel für den Einsatz genetischer Forschung

, in: DuD 2001, S.5-11;

Schulz, L.,

Genetische Datenbanken und Selbstbestimmung: Das Beispiel Island

, in: DuD 2001, S.12-19; siehe auch: deCODE,

www.decode.com, eingesehen am 20.05.2006.

12 Islandic Ministry of Health and Social Security,

Laws and Regulations

, http://eng.heilbrigdisraduneyti.is/laws-and-

regulations/nr/659#kafli1, eingesehen am 12.03.2006.

13 deCODE Genetics, www.decode.com, eingesehen am 20.05.2006.

14 Art.1 AHSD: The objective of this legislation is to authorise the creation and operation of a centralised database of non-personally

identifiable health data with the aim of increasing knowledge in order to improve health and health services.

15 Art.3 clause 2 AHSD:

Personal data

: all data on a personally identified or personally identifiable individual. An individual shall be counted

as personally identifiable if he can be identified, directly or indirectly, especially by reference to an identity number, or one or more factors

specific to his physical, physiological, mental, economic, cultural or social identity. Art.3 clause 3 AHSD:

Non-personally identifiable data

:

data on a person who is not personally identifiable as defined in clause 2.

16 Zur Frage ob dies realisierbar und wünschenswert ist vgl. Schulz, a.a.O., S.19: Gesundheitsdatenbanken sollen aktualisierbar sein, was bei

vollständiger Anonymität nicht möglich ist.

17 Vgl. Sokol, a.a.O., S.6; siehe auch Art.7 II sentence 5 AHDS, der eine ,,Einweg-Codierung" persönlicher Daten fordert: Personal

identification shall be coded one-way, i.e. by coding that cannot be traced using a decoding key.

18 Vgl. hierzu Sokol, a.a.O., S.5 und 6.

5

---

Dies ist vom Gesetz ausdrücklich gestattet, Art. 10 sentence 2 AHSD.19 Mit der gesetzlich

geforderten Anonymität ist dies jedoch nicht vereinbar.20

Die genealogische Datenbank beinhaltet die Verwandtschafts- und Herkunftsbeziehungen aller

270 000 Isländer.21 In der genetischen Datenbank befinden sich Gewebeproben, die seit dem

Zweiten Weltkrieg gesammelt wurden.22 Aufgrund der hohen Zahl an Autopsien und Biopsien

ist das vorhandene Material umfangreich und erfasst auch frühere Generationen.23 In der

Gesundheitsdatenbank befinden sich ausführliche Patientenakten, die seit 1915 von allen

Einwohnern geführt werden. 24 Welche Informationen genau in der Gesundheitsdatenbank

enthalten sind, ist in Art.2 II der Regulation No.227/1991 on

Medical records and Reporting

of Health Issues

25 festgeschrieben:

Unter anderem sind dies: Name des Patienten, Adresse, Telefonnummer, Identitätsnummer,

Titel, Ehestand, Angehörige,26 die Krankengeschichte, ärztliche Gutachten, medikamentöse

Behandlung, Allergien gegen Medikamente, Ernährungsgewohnheiten, Genuß von Tabak,

Alkohol und anderen Rauschmitteln 27 und Informationen über Familie und soziale

Umstände.28

19 Art. 10 I sentence 2 AHDS: The licensee shall be authorised to process data on the health sector database from the health data recorded

there, provided that data are processed and connected in such a way that they cannot be linked to identifiable individuals. The licensee shall

develop methods and protocols that meet the requirements of the Data Protection Commission in order to ensure confidentiality in

connecting data from the health-sector database, from a database of genealogical data, and from a database of genetic data. With regard to

linking the data on the health-sector database with other databases than those specified here, the Act on recording and handling of personal

data shall apply. It is not permissible to give information on individuals, and this shall be ensured e.g. by limitation of access.

20 Für die Zusammenführung der Datenbanken bedarf es für die verteilten Datensätze der Einzelpersonen zumindest eines verbindenden

Merkmals. Es muss demnach ein Pseudonymisierungskonzept gemeint sein. Zudem wären auch andere Vorschriften des AHSD bei

anonymen Daten sinnlos, vgl. Art.10 II AHSD: It is not permissible to give information on individuals, and this shall be ensured e.g. by

limitation of access; Art. 12 I AHSD: The Data Protection Commission shall monitor the creation and operation of the health sector database

with regard to recording and handling of personal data and the security of data on the database, and is responsible for monitoring compliance

with conditions laid down by the commission, vgl. hierzu auch Sokol, a.a.O., S.8.

21 NER,

Stellungnahme

, a.a.O., S.41.

22 Sokol, a.a.O., S.5.

23 Id.

24 Schulz, a.a.O., S.12, Fn.1.

25 As amended by Article 1 of regulation No. 545/1995. Die Verordnung ist noch nicht englisch zugänglich, vgl. aber Urteil des Obersten

Gerichtshofs in Island vom 27.11..2003, Ragnhildur Guðmundsdóttir v. the State of Iceland, verfügbar unter:

http://www.mannvernd.is/english/index.html,

The Icelandic Health Sector Database Act stricken down as unconstitutional

, Latest news and

articles, 30. March 2004, eingesehen am 20.05.2006.

26 Art.2 II clause 1 der Verordnung.

27 Id. clause 3.

28 Id. clause 4.

6

---

Das isländische Gesetz schreibt nicht vor, welche dieser Informationen verschlüsselt werden

müssen bzw. überhaupt transferiert werden dürfen. 29 In der Praxis werden lediglich die

Identitätsnummer, der Name des Patienten und seiner Angehörigen sowie die genauen

Adressdaten nicht in die

Health Sector Database

aufgenommen.30

Somit verbleiben umfassende Informationen, die in der Biodatenbank zusammengeführt

werden. Von ,,Daten ohne Personenbezug" zu sprechen, wenn beispielsweise von dem

Spender bekannt ist, dass er Isländer ist, mit 14 Jahren einen gebrochenen Arm, mit 35 Jahren

Malaria hatte und einen an Alzheimer erkrankten Vater und eine an Diabetes leidende Mutter

hat, ist problematisch.31 Auch ohne Kenntnis des genauen Namens etc. kann ein eindeutiger

Schluss auf den Datenspender möglich sein.32 Das isländische Gesetz kann den vielfach

geforderten fehlenden Personenbezug nicht garantieren und ist somit nicht mit Art.71 I der

isländischen Verfassung33 vereinbar.34

Art.8 AHSD 35

ermöglicht es Patienten, der Aufnahme ihrer Daten in die

Gesundheitsdatenbank zu widersprechen. Diese Widerspruchslösung setzt die Zustimmung

der Betroffenen voraus (,,presumed consent").36 Das AHSD wurde zum Teil so interpretiert,

als ob es das Widerspruchsrecht zeitlich begrenzt. Diese Auslegung konnte sich in der Praxis

nicht durchsetzen.37

Die bereits eingespeisten Informationen sollen ­ so der

Director General of Public Health

­

nach der Inbetriebnahme der Gesundheitsdatenbank unwiderruflich dort eingespeichert sein.

Nur die weitere Aufnahme von Daten könne verhindert ­ nicht jedoch die Beseitigung bereits

vorhandener Daten verlangt werden.38

29 Vgl. Ragnhildur Guðmundsdóttir v. The State of Iceland, a.a.O.

30 Id.

31 Schulz, a.a.O., S.19.

32 Vgl. Ragnhildur Guðmundsdóttir v. The State of Iceland, a.a.O.

33 Art.71 I Isländische Verfassung: Everyone shall enjoy freedom from interference with privacy, home, and family life.

34 Vgl. Ragnhildur Guðmundsdóttir v. The State of Iceland, a.a.O.

35 Art.8 S.1 und 2 AHSD: A patient may request at any time that information on him/her not be entered onto the health-sector database. The

patient′s request may apply to all existing information on him/her or that which may be recorded in the future, or to some specific

information. Such a request must be complied with.

36 Schulz, a.a.O., S.16; NER,

Stellungnahme

, a.a.O., S.42.

37 Das Widerspruchsrecht sollte ursprünglich nur für ein halbes Jahr bestehen (bis zum 17.06.1999), vgl. hierzu Schulz, a.a.O., S.16. Am

30.06.2003 hatten bereits 20 426 IsländerInnen der Aufnahme ihrer Daten in die Gesundheitsdatenbank widersprochen, vgl. Mannvernd,

over 20,426 opt-outs by June 30, 2003

, http://www.mannvernd.is/english/index.html, eingesehen am 20.05.2006.

38 Mannvernd,

over 20,426 opt-outs

, a.a.O.

7

---

Dies ist unvereinbar mit der vom Weltärztebund 39 erlassenen Erklärung von Helsinki

(B.Nr.22 S.2),40 derzufolge der Einzelne jederzeit seine Zustimmung zu seiner Teilnahme an

einem Forschungsprojekt widerrufen können muss. 41 Zwar haben Deklarationen des

Weltärztebundes grundsätzlich keine rechtlichen Verpflichtungen zur Folge.42 Doch unter

anderem die Erklärung von Helsinki ist so hoch angesehen, dass sie in verbindliche

Regelungen aufgenommen wird, wie beispielsweise in den Act on Patients′ Rights, (APR)

74/1997.43 Gem. Art. 10 APR ist für die Forschung am Menschen eine ausdrücklich erklärte

und informierte Einwilligung erforderlich, die die Aufklärung des Patienten über sein

jederzeitiges Widerrufsrecht verlangt.44

Schließlich ist gesetzlich festgelegt, zu welchen Zwecken die Biobank verwendet werden

kann, vgl. Art.9 und 10 I AHSD. 45 Und zwar für statistische und gesundheitspolitische

Zwecke und zur Entwicklung neuer oder besserer Vorsorge-, Diagnose- und

Behandlungsmethoden. Gleichzeitig ist es dem lizenznehmenden Unternehmen ausdrücklich

gestattet, Gewinn mit der Datenbank zu machen,46 Art.10 IV AHSD.47

39 World Medical Association (WMA), gegründet am 17.11.1947 in Paris, von Medizinern aus 27 Ländern. Mittlerweile sind ca. 80 nationale

Vereinigungen von Medizinern Mitglieder. Die WMA gibt ethische Richtlinien für Ärzte vor, in Form von Erklärungen, Beschlüssen und

Stellungnahmen. Hierunter sind z.B. der "International Code of Medical Ethics" außerdem Stellungnahmen über Patientenrechte, Forschung

an Menschen und vieles mehr, vgl. Webpage der WMA, http://www.wma.net/e/about/whatdoes.htm; die isländische Ärztekammer ist

Mitglied der WMA, vgl. http://www.wma.net/e/members/list_ghi.htm#iceland, eingesehen am 20.05.2006.

40 B. Nr.22 S.2 der Erklärung von Helsinki: The subject should be informed of the right to abstain from participation in the study [concerning

research on human beings] or to withdraw consent to participate at any time without reprisal,

http://www.catholicdoctors.org.uk/Helsinki_declaration.htm, eingesehen am 20.05.2006, vgl. auch Mannvernd,

over 20,426 opt-outs

, a.a.O.

41 Mannvernd,

over 20,426 opt-outs

, a.a.O.

42 Dr. med. Susann Katelhön, persönliche Korrespondenz, 28.03.2006.

43 In Deutschland schließt die Musterberufsordnung (MBO) für deutsche Ärztinnen und Ärzte die in der Deklaration von Helsinki des

Weltärztebundes niedergelegten ethischen Grundsätze für die medizinische Forschung am Menschen ein, vgl. §15 IV MBO, verfügbar unter:

Bundesärztekammer, http://www.bundesaerztekammer.de/30/Berufsordnung/Mbopdf.pdf, eingesehen am 07.05.2006; nach der MBO richten

sich die für deutsche Ärzte verbindlichen Berufsordnungen der Ärztekammern, vgl. Bundesärztekammer,

http://www.bundesaerztekammer.de/30/Berufsordnung/05Einfuehrung.html, eingesehen am 28.05.2006.

44 Dr. Sigurblorn Sveinsson, Präsident der isländischen Ärztekammer, persönliche Korrespondenz, 22.05.2006.

45 Art.9 AHSD: The Ministry of Health and Director General of Public Health shall always be entitled to statistical data from the health sector

database so that it may be used in statistical processing for the making of health reports and planning, policy-making and other projects of

these bodies. This information to the specified parties shall be provided free of charge.

Art.10 I AHSD: Data recorded or acquired by processing on the health-sector database may be used to develop new or improved methods of

achieving better health, prediction, diagnosis and treatment of disease, to seek the most economic ways of operating health services, and for

making reports in the health sector.

46 Dies erhöht die Gefahr eines Datenmissbrauchs, vgl. Sokol, a.a.O., S.9.

47 Art.10 IV AHSD: The licensee is authorised during the period of the licence to use the data on the database for purposes of financial profit,

under the conditions laid down in this legislation and the licence.

8

---

Zwar wäre ein Zugriff auf die Daten durch Großunternehmer und

Versicherungsgesellschaften 48 oder Strafverfolgungsbehörden 49

mit der gesetzlichen

Zweckbestimmung unvereinbar; doch gesetzlich ausdrücklich ausgeschlossen wurde er

nicht.50

Die Gefahr einer (gesellschaftlich akzeptierten) Zweckentfremdung besteht unstreitig: In

Schweden wurde der Zugriff der Staatsanwaltschaft auf eine seit 30 Jahren geführte

Neugeborenendatenbank zur Ermittlung des Mörders der schwedischen Außenministerin

Anna Lindh gestattet ­ ein klarer Verstoß gegen das schwedische Biobankengesetz.51 Ein

erneuter Zugriff zur Identifizierung der schwedischen Tsunami-Opfer wurde durch ein

Sondergesetz von 18 Monaten Geltungsdauer legitimiert.52

II.

Estland

Auch das Estnische Genomprojekt53 hat eine spezialgesetzliche Grundlage, den

Human Genes

Research Act

(HGR).54 Es wird von der

Estonian Genome Project Foundation

(dem

Chief

Processor

) betrieben, einer nicht gewinnorientierten Organisation,55 die von der estnischen

Regierung 2001 gegründet wurde, vgl. §3 I HGR.56 Dass diese Biobank von einer öffentlichen

Stiftung 57

und keiner privaten Firma wie in Island betrieben wird, erhöht ihre

Grundrechtsrelevanz.58

48 Sokol, a.a.O., S.11.

49 Schulz, a.a.O., S.18; zu dem Interesse Dritter an den pathologischen Daten vgl. Mund, C.,

Biobanken ­ Datenquellen ohne Grenzen?

, in:

Jusletter 3. Oktober 2005, verfügbar unter: http://www.privacyconference2005.org/fileadmin/PDF/mund_d.pdf, eingesehen am 20.05.2006,

Rz.13 ff.

50 Schulz, a.a.O., S.18.

51 Mund, a.a.O., Rz.13.

52 Id.

53 Ausführlich hierzu: Mullari, T. et al.,

Estlands Genbankgesetz ­ eine Weltneuheit

, in: WiRO 2001, S.201-208; Eesti Geenivaramo,

http://www.geenivaramu.ee/index.php?show=main&lang=eng, eingesehen am 20.05.2006.

54 Eesti Geenivaramo, http://www.geenivaramu.ee/index.php?lang=eng&sub=18&eetika=1, eingesehen am 20.05.2006.

55 Zu der geplanten Kommerzialisierung der Datenbank vgl. NER,

Stellungnahme

, a.a.O., S.44.

56 §3 I HGR: The chief processor of the Gene Bank is a non-profit foundation founded by the Republic of Estonia on the basis of the

Foundation of and Participation in Legal Persons in Private Law by the State Act (RT I 1996, 48, 942; 73, correction notice; 1998, 59, 941)

within the area of government of the Ministry of Social Affairs which has the right to organise the taking of tissue samples, to prepare

descriptions of state of health and genealogies, to code, decode, store, destroy and issue descriptions of state of health and genealogies, to

perform genetic research and to collect, store, destroy and issue genetic data.; vgl. auch: Eesti Geenivaramo,

http://www.geenivaramu.ee/index.php?lang=eng&sub=58, eingesehen am 20.05.2006.

57 Mullari, a.a.O., S.202.

58 Id., S.201; zu der Vereinbarkeit des estnischen Genbankgesetzes mit den deutschen Grundrechten, S.205.

9

---

Ziel des Gesetzes ist, den Aufbau und Erhalt einer Genbank zu ermöglichen und die hierfür

notwendige Forschung zu organisieren, die Freiwilligkeit der Genspende und die

Geheimhaltung der Identität der Genspender zu gewährleisten und Personen vor dem

Missbrauch genetischer Daten sowie einer Diskriminierung auf Grund der Struktur ihrer DNS

und daraus sich ergebender Risiken zu schützen, vgl. §1 I HGR.59

,,Genbank" wird definiert als Datenbank, die von dem ,,Chief Processor" errichtet und

unterhalten wird und Gewebeproben, Beschreibungen der DNS und des

Gesundheitszustandes, Stammbäume, genetische Daten und Daten, die die Identifizierung von

Genspendern ermöglichen, enthält, §2 X i.V.m. III HGR. 60 Die ,,Beschreibung des

Gesundheitszustands" bezieht sich auf Daten, die für die genetische Forschung erhoben

wurden und den Gesundheitszustand des Genspenders wiedergeben, erlittene Krankheiten und

ihre Behandlung, Informationen über seinen Lebensstil, sein physisches und soziales Umfeld

und seine ererbten Charakteristika, §2 V HGR.61

Im Gegensatz zur isländischen beinhaltet die estnische Biobank somit auch soziale Daten.62

Ursprünglich sollte das Estnische Genomprojekt bis 2008 eine Millionen Menschen (mehr als

zwei Drittel der Bevölkerung) erfassen.63 De facto waren im Jahre 2005 Daten von 10 000

Spendern vorhanden und angestrebt wird nunmehr, 100 000 Daten bis 2009 zu gewinnen.64

Im Gegensatz zu Island wird hier ausdrücklich anerkannt, dass die Biobank Daten enthält, die

die Identifizierung des Datenspenders ermöglichen.65 Dementsprechend sind in den §§22-24

HGR umfangreiche datenschutzrechtliche Anforderungen enthalten. Besonders

59 §1 I HGR: The objectives of this Act are to regulate the establishment and maintenance of a Gene Bank, to organise the genetic research

necessary therefore, to ensure the voluntary nature of gene donation and the confidentiality of the identity of gene donors, and to protect

persons from misuse of genetic data and from discrimination based on interpretation of the structure of their DNA and the genetic risks

arising therefrom.

60 §2 X HGR:

Gene Bank

means a database established and maintained by the chief processor consisting of tissue samples, descriptions of

DNA, descriptions of state of health, genealogies, genetic data and data enabling the identification of gene donors.

§2 III HGR:

description of DNA

means a digital model of DNA created as a result of genetic research.

61 §2 V HGR:

description of state of health

means data collected for use in genetic research which reflects the state of health of a gene donor,

illnesses he or she has suffered from and treatment thereof, and his or her lifestyle, physical and social environment and hereditary

characteristics.

62 Z.B. Daten über Beruf, Haushaltsführung, Ernährungsgewohnheiten, vgl. Anhang,

Fragebogen des estnischen Genomprojekts

, verfügbar

unter: http://www.geenivaramu.ee/index.php?lang=eng&sub=76, eingesehen am 20.05.2006; Wagenmann, U.,

An der Biotheke

, in: Freitag,

Die Ost- West- Wochenzeitung, 30.01.2004, http://www.freitag.de/2004/06/04061801.phpm, eingesehen am 20.05.2006.

63 Vgl. Wagenmann,

An der Biotheke

, a.a.O.

64 Eesti Geenivaramo, http://www.geenivaramu.ee/index.php?lang=eng&sub=58&PHPSESSID=7444ec7f5e294c326c999291b217395c,

eingesehen am 15.03.2006.

65 Vgl. §2 X HGR a.a.O.

10

---

hervorzuheben sind §§22 III, 24 II HGR. Gem. §22 III HGR66 legt der ,,Chief Processor" u.a.

abschließend fest, wer die Codierung und Decodierung vornehmen kann und wer Zugang zu

den Daten der Spender hat. §24 II HGR regelt abschließend sieben Fälle, in denen eine

Decodierung vorgenommen werden kann. Beispielsweise zur Vernichtung des gesamten

Materials oder der Daten, die eine Decodierung ermöglichen, §24 II Nr.1,67 auf Wunsch des

Genspenders, um ihm selbst Zugang zu seinen Daten zu verschaffen, §24 II Nr.2 HGR68 oder

um die bestehenden Daten zu ergänzen, zu erneuern oder zu berichtigen, §24 II Nr.3 HGR.69

Die Spenderrechte sind von ganz anderer Dimension als in Island, vgl. §§8-13 HGR.

Zur Gewinnung der Proben und der ergänzenden Daten bedarf es einer freiwillig erteilten,

schriftlichen Einwilligung nach Aufklärung, §12 HGR. Insbesondere ist eine umfassende

Aufklärung des Spenders über seine Rechte vorgesehen.70 Das Einwilligungsformular des

Estnischen Genomprojekts 71

sieht ferner eine Aufklärung über den Zweck des

Biobankprojekts vor und weist den Spender darauf hin, dass die Forschung, die an der

Genbank durchgeführt wird, nicht auf die momentanen wissenschaftlichen Möglichkeiten

beschränkt ist.

Der Datenspender hat ein Recht auf Zerstörung derjenigen Daten, die seine Identifizierung

ermöglichen, §10 I i.V.m. §21 I HGR. 72 Doch ein Anspruch auf die Zerstörung von

Körpermaterialen, Beschreibungen der DNS etc. soll nur dann bestehen, wenn die Identität

66 § 22 III HGR: The chief processor shall appoint the specific persons who perform coding or decoding, who have access to the consent of

gene donors, to the collection of tissue samples and descriptions of DNA, to descriptions of state of health and to genealogies, and who issue

coded or uncoded tissue samples, descriptions of DNA or descriptions of state of health.

67 §24 II HGR: The chief processor is permitted to decode data only in the following cases and for the following purposes:

§ 24 II Nr.1 HGR: in order to destroy a tissue sample, a description of DNA or a description of state of health or data which enables

decoding.

68 § 24 II Nr.2 HGR: in order to enable access to data on a gene donor stored in the Gene Bank, except genealogies, at the written request of

the gene donor.

69 §24 II Nr.3 HGR: in order to renew, supplement or verify a description of the state of health of a gene donor without contacting the gene

donor unless the gene donor has prohibited the supplementation, renewal or verification of the description of his or her state of health.

70 Insbesondere die Freiwilligkeit der Spende, das Recht jederzeit die Vernichtung der die Decodierung ermöglichenden Daten zu verlangen,

das Recht die Vernichtung des gesamten Forschungsmaterials zu verlangen, wenn die Identität des Spenders wider seinen Willen enthüllt

wurde, das Recht auf Kenntnis und Unkenntnis seiner genetischen Daten und das Recht seine Einwilligung zu widerrufen.

71 Annex I der Verordnung Nr. 125, 17. Dezember 2001 des Ministers für Soziales,

Gene Donor Consent Form

, verfügbar unter:

http://www.geenivaramu.ee/index.php?lang=eng&sub=74, eingesehen am 20.05.2006; siehe auch Anhang.

72 §10 I HGR: Pursuant to the provisions of § 21 of this Act, gene donors have the right to apply, at any time, to the chief processor for the

destruction of

data which enables decoding

.

§21 I HGR: If a gene donor applies to the chief processor for the destruction of data which enables decoding, the chief processor is required

to destroy the

data which enables decoding

within two weeks as of the receipt of the corresponding written application from the gene donor.

11

---

des Spenders unrechtmäßig aufgedeckt wurde, §10 II i.V.m. §21 II HGR.73 Der Betroffene

kann die Vernichtung seiner Gewebeproben somit erst verlangen, wenn sein ,,Geheimnis

enthüllt" ist. Ein Vertrauensverlust gegenüber der Genbank genügt nicht.74

Wie aus §§10, 21 aber auch 24 II Nr.1 HGR ersichtlich wird, differenziert das Gesetz

zwischen ,,Körperstoffen" und ,,Daten, die eine Reidentifizierung ermöglichen".

Körpersubstanzen sind also nach diesem Gesetz nicht per se personenbezogene Daten.

Diese Sichtweise erklärt auch, dass ein Widerrufsrecht des Genspenders nur bis zum

Zeitpunkt der Codierung vorgesehen ist, §12 IV Nr.7 HGR.75 Trotz der Möglichkeit, die

Probe des Betroffenen mithilfe des Zuordnungsschlüssels auszumachen, soll er kein Recht

haben, nach der Codierung seine Einwilligung zur Verwendung seiner Körperprobe zu

widerrufen.76 Allerdings wird auch nicht ausgeschlossen, dass Körperstoffe die Identifikation

des Spendes ermöglichen können: so wird ,,codieren" in §2 Nr.11 HGR77 definiert als das

,,Ersetzen (...) jener Daten einer Körperprobe (...), die die Identifikation einer Person

erlauben".

Schließlich ist der Zweck der Genbank gesetzlich festgeschrieben: Sie darf nur für

wissenschaftliche Forschungsarbeit, für die Untersuchung und Behandlung der Krankheiten

von Genspendern, für die Untersuchung der Gesundheit des Volkes und für statistische

Zwecke verwendet werden, §16 I1 HGR. 78 Die Verwendung der Genbank zu anderen

73 §10 II HGR: If the identity of a gene donor is unlawfully disclosed, the gene donor has the right to apply to the chief processor for the

destruction of the tissue sample, description of DNA and description of the state of health pursuant to the provisions of § 21 of this Act.

§21 II HGR: If a gene donor applies to the chief processor for the destruction of a tissue sample, description of DNA or description of his or

her state of health due to unlawful disclosure of his or her identity, the chief processor is required to organise the destruction of the tissue

sample, description of DNA and description of state of health within one month as of the receipt of the corresponding written application

from the gene donor unless the chief processor proves that the identity of the gene donor was disclosed as a result of the gene donor′s own

behaviour.

74 Vgl. hierzu Mullari, a.a.O., S.207.

75 §12 IV Nr.7 HGR: a gene donor has the right to withdraw his or her consent until his or her tissue sample or the description of his or her

state of health is coded.

76 An dieser Stelle sei anzumerken, dass seit dem Jahre 2004 Daten ohne Personenbezug an andere Forscher oder Pharmaunternehmen

ausgegeben werden, vgl. http://www.geenivaramu.ee/index.php?lang=eng&sub=58&PHPSESSID=7444ec7f5e294c326c999291b217395c,

eingesehen am 20.05.2006, Hierüber wird der Betroffene aufgeklärt, vgl.

Gene Donor Consent Form

, a.a.O., Nr.3 S.2 HS.2: I am aware of

the fact that (...) commercial entities may receive anonymous data about gene donors; und Nr.8: The Estonian Genome Project Foundation

may issue tissue samples, descriptions of DNA and descriptions of the state of health from the Gene Bank only in coded form so that the

identity of the gene donor remains unknown to the receiver.

77 §2 Nr.11 HGR:

coding

means the replacement with a unique code of such data of a tissue sample, description of DNA, description of state

of health or genealogy which enables the identification of the person.

78 §16 I 1 HGR: The Gene Bank may be used only for scientific research, research into and treatment of illnesses of gene donors, public health

research and statistical purposes.

12

---

Zwecken, insbesondere für Gerichtsverfahren oder die Strafverfolgung, ist verboten, §16 I 2

HGR.79

III. Großbritannien

Seit 2006 wird in Großbritannien die

UK Biobank

aufgebaut, mit dem Ziel, von 500 000

Spendern zwischen 40 und 69 Jahren Blut- und Urinproben und Lebensstildaten zu erfassen.80

Sie ist an der

University of Manchester

angesiedelt 81 und wird von einer gemeinnützigen

Organisation

UK Biobank Limited

verwaltet. 82

Öffentliche und private

Forschungsförderungseinrichtungen finanzieren das Projekt.83

Anders als in Island und Estland gibt es in Großbritannien keine spezialgesetzliche

Grundlage,84 vielmehr ist das allgemeine Datenschutzrecht - der

Data Protection Act

(1998)85

(DPA) - einschlägig.86

Der Umfang der über die Spender zu erhebenden Daten ist mit dem der estnischen Biobank

vergleichbar.87

Der Anwendungsbereich des DPA ist bei Verarbeitung personenbezogener Daten eröffnet,

S.588 i.V.m. S.1 Cl.1 DPA,89 worunter auch genetische Daten fallen.90 Aus dem Gesetz geht

79 §16 I 2 HGR: Use of the Gene Bank for other purposes, especially to collect evidence in civil or criminal proceedings or for surveillance, is

prohibited.

80 UK Biobank,

Overview

, http://www.ukbiobank.ac.uk/about/overview.php, eingesehen am 20.05.2006.

81 Id.

82 UK Biobank,

Organisation

, http://www.ukbiobank.ac.uk/about/organisation.php, eingesehen am 20.05.2006.

83 Vgl. UK Biobank,

Overview

, a.a.O.

84 Wilson, S.,

Access and Accountability

, in: The BA (British Association for the Advancement of Science), September 2005, verfügbar unter:

http://www.the-ba.net/the-ba/CurrentIssues/ReportsandPublications/ScienceAndPublicAffairs/SPASept05/_Biobank2.htm

,

eingesehen am

20.05.2006.

85 Verfügbar unter: http://www.opsi.gov.uk/ACTS/acts1998/19980029.htm, eingesehen am 20.05.2006.

86 Taylor Wessing,

Biobank UK and the Data Protection Act

, http://www.tjg.co.uk/topical/life_sciences/ls_biobank.html, eingesehen am

20.05.2006.

87 Vgl. UK Biobank,

Participant Information Leaflet

, S.3 und

Further Information Leaflet

,

http://www.ukbiobank.ac.uk/about/participantinformation.php, eingesehen am 20.05.2006.

88 S.5 Cl.1 DPA: Expect as otherwise provided by (..) this Act applies to data controller in respect of any data (..).

89 S. 1 Cl.1 DPA:

Data controller

means (..) a person who (..) determines the purposes for which and the manner in which any personal data

are, or are to be, processed.

Personal data

means data which relate to a living individual who can be identified (a) from those data, or (b) from those data and other

information which is in the possession of, or is likely to come into the possession of, the data controller, and includes any expression of

opinion about the individual and any indication of the intentions of the data controller or any other person in respect of the individual.

13

---

nicht klar hervor, ob auch die Körperstoffe per se, die zur Gewinnung genetischer Daten

dienen, selbst als personenbezogene Daten zu qualifizieren sind.

Für die Erhebung (auch aus den Körperproben) und Verwendung der Daten der

UK Biobank

die in S.4 i.V.m. Schedule 1 DPA enthaltenen datenschutzrechtlichen Prinzipien einzuhalten.

Diese verlangen u.a. eine Datengewinnung für begrenzte Zwecke, 91 die gegenüber dem

verfolgten Zweck verhältnismäßig und erforderlich ist.92 Persönliche Daten sollen zudem

fehlerfrei sein und wenn nötig auf dem aktuellen Stand gehalten werden.93

Bei Gesundheitsdaten und Daten über ethnische und rassische Herkunft handelt es sich um

sensitive Daten, S.2 (e), (a) DPA,94 für deren Verarbeitung eine ausdrückliche Einwilligung

des Spenders erforderlich ist, Schedule 3 Nr.1 DPA.95 Diese muss freiwillig und informiert

sein.96

Ss.28 ff. DPA sehen Ausnahmen von den datenschutzrechtlichen Prinzipien vor: So ist unter

anderem ein Zugriff der Polizei auf Datenbestände zur Strafverfolgung oder -prävention und

um Straftäter zu überführen und zu verurteilen, gestattet, S.29 DPA.97 Die Polizei hat schon

anhand eines Durchsuchungsbefehls Zugriff auf Forschungsdaten genommen.98

Ferner greifen die datenschutzrechtlichen Geheimhaltungspflichten gem. S.35 I DPA nicht,

wenn ein Gesetz, ein Rechtsgrundsatz oder ein Gerichtsurteil eine Offenbarung der Daten

verlangen.99

90 Parliamentary Office of Science and Technology,

Postnote- the UK Biobank

, Juli 2002, Nr.180, http://www.parliament.uk/post/pn180.pdf,

eingesehen am 21.05.2006, S.2.

91 Schedule 1 Cl.2 DPA: Personal data shall be obtained only for one or more specified and lawful purposes, and shall not be further processed

in any manner incompatible with that purpose or those purposes.

92 Schedule 1 Cl.3 DPA: Personal data shall be adequate, relevant and not excessive in relation to the purpose or purposes for which they are

processed.

Schedule 1 Cl. 5 DPA: Personal data processed for any purpose or purposes shall not be kept for longer than is necessary for that purpose or

those purposes.

93 Schedule 1 Cl.4 DPA: Personal data shall be accurate and, where necessary, kept up to date.

94 S.2 DPA: In this Act

sensitive personal data

means personal data consisting of information as to:

(a): the racial or ethnic origin of a data subject, (...), (e): his physical or mental health or condition.

95 Schedule 3 Cl.1 DPA: The data subject has given his explicit consent to the processing of the [sensitive] personal data.

96 Parliamentary Office of Science and Technology, a.a.O. S.3.vgl. ausführlich zu den Voraussetzungen einer wirksamen Zustimmung in GB:

Kennedy, I., Grubb, A.,

Medical Law

, 2000, 3. Auflage Butterworths London, Edinburgh, Dublin, S.575ff, 650ff und 753ff.

97 S.29 Cl.1 DPA: Personal data processed for any of the following purposes ­ (a) the prevention or detection of crime, (b) the apprehesion or

prosecution of offenders, (...) are exempt from the first data protection principle (...).

98 Parliamentary Office of Science and Technology, a.a.O. S.3.

99 S.35 C.1DPA: Personal data are exempt from the non-disclosure provisions where the disclosure is required by or under any enactment, by

any rule of law or by the order of a court.

14

---