Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz: Biometrie - 17.08.17

Genetische Forensik und Datenschutz

Thilo Weichert

in: vorgänge Nr. 218 (Heft 2/2017), S. 123-134

In diesem Jahr wurden – ausgelöst durch Medienberichte zu spektakulären Kriminalfällen – mehrere Gesetzesinitiativen zur erweiterten Nutzung der DNA-Analyse im strafrechtlichen Ermittlungsverfahren vorgelegt. Am 22. Juni 2017 verabschiedete der Bundestag einen Gesetzentwurf „zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ (BT-Drs. 18/11277). Er erlaubt u.a. bei genetischen Massenscrennings, Blutsverwandte bis zum 3. Grad zu ermitteln. Parallel dazu hatten Baden-Württemberg (BR-Drs. 117/17) und Bayern (BR-Drs. 117/1/17) Gesetzesanträge „zur Erweiterung des Umfangs der Untersuchungen von DNA-fähigem Material“ in den Bundesrat eingebracht, mit denen die genetische Untersuchung von Gewebeproben erweitert werden sollten, um Augenfarbe, Haar- und Hautfarbe sowie biologisches Alter und „biogeografische Herkunft“ bestimmen zu können.

Alle Vorschläge fanden eine weitgehend positive Medienresonanz, wurden bisher nur in engen Fachkreisen kritisch diskutiert. Am 9. Juni 2017 veranstaltete das „Freiburg Institute for Advanced Studies“ ein interdisziplinäres Symposium zur „Erweiterten DNA-Analyse in der Forensik: Möglichkeiten, Herausforderungen, Risiken“, auf dem Thilo Weichert über die datenschutzrechtlichen Grundlagen und Grenzen für die Verwertung von DNA-Proben referierte. Der folgende Text ist eine erweiterte Verschriftlichung seines bei diesem Symposium gehaltenen Vortrags.

 

1 Verfassungsrechtliche Grundlagen

Die verfassungsrechtliche Bewertung von Genanalysen im Strafverfahren hat als zentralen Ausgangspunkt das aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, also das aus dem allgemeinen Persönlichkeitsrecht abgeleitete Grundrecht auf informationelle Selbstbestimmung. Im Volkszählungsurteil vom 15.12.1983 hat das Bundesverfassungsgericht (BVerfG) entschieden, dass jeder Mensch ein Recht darauf hat, grds. selbst zu bestimmen, wer, was, wann, bei welcher Gelegenheit über ihn weiß. In dieses Grundrecht darf nur auf Grundlage einer Einwilligung oder eines Gesetzes aus überwiegenden Allgemeinwohlgründen eingegriffen werden. Das erlaubende Gesetz muss normenklar bestimmt und im Hinblick auf das verfolgte Ziel verhältnismäßig sein, d. h. es muss hierfür geeignet, erforderlich und angemessen sein. Zudem muss es grundrechtsschützende prozessuale sowie technisch-organisatorische Vorkehrungen enthalten.

Inzwischen ist dieses „Grundrecht auf Datenschutz“ in Art. 8 der 2009 in Kraft getretenen Europäischen Grundrechte-Charta (GRCh) in der gesamten Europäischen Union ausdrücklich zugesichert. Dieses Grundrecht wird dahingehend präzisiert, dass die Verarbeitung personenbezogener Daten einem konkreten Zweck dienen und nach Treu und Glauben erfolgen muss, dass die Betroffenen einen Auskunftsanspruch hinsichtlich ihrer Daten haben, und dass die Verarbeitung von einer unabhängigen staatlichen Aufsicht kontrolliert werden muss.

Diese verfassungsrechtlichen Festlegungen gehen auf den in den 1970er und 1980er Jahren in Europa entwickelten Datenschutz zurück, der eine Wurzel in Art. 8 der Europäischen Menschenrechtskonvention hat, welche die Privatsphäre unter Schutz stellt. Konkretisierend regelte der Europarat diesen Schutz in der Datenschutzkonvention aus dem Jahr 1981. Von Anfang an war anerkannt, dass sensitive personenbezogene Daten einen besonderen Schutz genießen müssen, wozu u. a. Angaben zur Ethnie, zur Herkunft, zur Gesundheit oder zur Sexualität gehören.

Der Datenschutz bezieht sich nur auf lebende Personen, nicht auf Angaben zu Verstorbenen, deren Daten nur einen verfassungsrechtlich geringeren Schutz genießen.

Neben dem zentralen Grundrecht auf Datenschutz sind bei der Genanalyse in strafrechtlichen Ermittlungen weitere durch das deutsche Grundgesetz sowie durch die GRCh festgelegte verfassungsrechtlichen Werte und Prinzipien zu beachten. Dies sind insbesondere das Recht auf körperliche Unversehrtheit, einschließlich einem Eugenikverbot und dem grundsätzlichen Erfordernis einer freien Einwilligung bei Eingriffen (Art. 3 GRCh), das Recht auf Freiheit und Sicherheit (Art. 6 GRCh) sowie das Diskriminierungsverbot im Hinblick auf die Ethnie, die Herkunft, die Genetik oder auch der Religion, der politischen Meinung und der Sexualität (Art. 21 GRCh). Weitere tangierte Aspekte sind die Gewährung sozialer Sicherheit (Art. 34 GRCh), der Gesundheitsschutz (Art. 35 GRCh) und evtl. der Verbraucherschutz (Art. 38 GRCh). Gene erforschende Wissenschaftler können für sich die Forschungs- und Wissenschaftsfreiheit ins Feld führen (Art. 13 GRCh). Den von DNA-Analysen betroffenen Menschen wird in Art. 47 wirksamer Rechtsschutz bei unabhängigen Gerichten zugesichert (Art. 47 GRCh).

Die Grundrechte gelten nicht uneingeschränkt. Sie müssen sich messen an der staatlichen Schutzpflicht gegenüber der Gesellschaft allgemein bzw. den einzelnen Menschen konkret. Im Hinblick auf die Verfolgung und Ahndung von Regelverstößen hat das BVerfG das Rechtsinstitut der „Effektivität der Strafrechtspflege“ entwickelt, an dem die Grundrechtseingriffe zu messen sind.

2 Grundprinzipien des Datenschutzes

Die verfassungsrechtlichen Vorgaben werden im Datenschutzrecht konkretisiert, das sich sowohl in allgemeinen wie in spezifischen Regelungen findet. Allgemeine Regelungen sind u. a. das seit 1977 mehrfach überarbeitete Bundesdatenschutzgesetz (BDSG) sowie die seit dem 25.05.2016 in Kraft befindliche und ab dem 25.05.2018 direkt anwendbare Europäische Datenschutz-Grundverordnung (DSGVO). Bereichsspezifische Datenschutzregelungen finden sich in vielen Gesetzen, so u. a. auch in der das Strafverfahren regelnden Strafprozessordnung (StPO) sowie in der parallel zur DSGVO verabschiedeten Europäischen Datenschutzrichtlinie für die Polizei und die Justiz (DSRl-JI).

Grunderwägung dieser Regelungen ist das „Verbot mit Erlaubnisvorbehalt“, also die Erfordernis einer gesetzlichen bzw. demokratisch legitimierten normativen Grundlage bei personenbezogener Datenverarbeitung. Jede Verarbeitung bedarf einer gesetzlichen Grundlage, bei der eine Abwägung der individuellen Schutzinteressen mit den Verarbeitungsinteressen Dritter oder der Gesellschaft vorgenommen wird. Eine Verarbeitung kann auch durch eine Einwilligung des oder der Betroffenen legitimiert sein, wobei grds. gewährleistet sein muss, dass diese Einwilligung informiert, bestimmt und freiwillig erfolgt (vgl. Art. 7 DSGVO). Liegen, wie z. B. bei genetischen Massenscreenings, insofern Zweifel vor, oder entstehen besonders hohe Risiken für die Betroffenen, so müssen zusätzlich gesetzliche Vorkehrungen getroffen werden.

Die derartig rechtmäßig erhobenen Daten unterliegen der Zweckbindung, d. h. sie dürfen grds. nur für den Zweck verarbeitet und genutzt werden, zu dem sie erhoben wurden. Anderenfalls bedarf es einer zusätzlichen rechtlichen Legitimation. Unabhängig davon gilt das Prinzip der Erforderlichkeit bzw. der Datenminimierung. Dies bedeutet, dass die Verfahren zur Verarbeitung personenbezogener Daten so gestaltet werden müssen, dass so wenig personenbezogene Daten wie möglich verarbeitet werden und dass diese Daten für den verfolgten Zweck auch tatsächlich erforderlich sind. Informationelle Selbstbestimmung bedeutet zudem, dass die Betroffenen über Art der Daten und deren Verarbeitung, Identität der verantwortlichen Stellen sowie Zweck informiert werden, d. h. dass für die Betroffenen Transparenz besteht. Dieses Transparenzerfordernis besteht auch in Bezug auf die demokratische, staatliche und rechtliche Kontrolle, also gegenüber Parlamenten, Aufsichtsbehörden und Gerichten. Die Datenschutzrechte der Betroffenen beschränken sich nicht auf Transparenz (Auskunftsanspruch und Informationsrechte), sondern umfassen u. a. auch die Sperrung bestrittener und die Berichtigung falscher Daten. Bei falschen und bei rechtswidrig gespeicherten Daten sowie bei solchen, die nicht mehr erforderlich sind, haben die Betroffenen einen Löschanspruch.

Schließlich gilt, dass personenbezogene Datenverarbeitung unter staatlicher Aufsicht bzw. Kontrolle erfolgen muss. Dies gilt insbesondere für sensitive Daten sowie solche, die jenseits der Kenntnis und der Einflusssphäre der Betroffenen (z. B. verdeckt und im Geheimen) erhoben und verarbeitet werden. Im Urteil zum Antiterrordateigesetz hat das BVerfG 2013 präzisiert, dass diese Kontrolle nicht nur theoretisch möglich sein, sondern auch praktisch und mit hinreichender Tiefe erfolgen muss.

Beim Schutz sensitiver Daten geht es nicht nur um die Gewährleistung informationeller Selbstbestimmung. Es werden weitere Schutzziele verfolgt. Diese bestehen zum einen in der Verhinderung von Diskriminierungen z. B. wegen bestimmter Merkmale wie der Herkunft oder der Zugehörigkeit zu einer bestimmten Ethnie. Zudem wird der Schutz von spezifischen Grundrechten beabsichtigt, etwa der Schutz der Gesundheit, der Familie oder der Gedanken- und Gewissensfreiheit. Eine weitere Zielrichtung besteht darin, dass durch die Datenverarbeitung die Inanspruchnahme von Hilfen in einer Notlage nicht beeinträchtigt wird. Dem dienen z. B. das Patienten- und das Sozialgeheimnis oder sonstige berufliche Schweigepflichten. Sie sollen die Intimsphäre und den Kernbereich privater Lebensgestaltung wahren. Eine – moderne – Zielrichtung besteht schließlich darin, die Erstellung umfassender Persönlichkeitsbilder zu verhindern. Die Objektivierung des Menschen durch (informations- und/oder biotechnische) Datenverarbeitung soll vermieden werden. Aus diesem Grund werden nach der DSGVO neuerdings auch persönliche Identifikatoren als sensitiv angesehen, wobei es sich hierbei um digitale und/oder biometrische (z. B. um genetische) Identifikatoren handeln kann. Mit Hilfe solcher Identifikatoren können Datenbestände aus unterschiedlichen Kontexten zu umfassenden Persönlichkeitsbildern zusammengeführt werden, was aus persönlichkeitsrechtlicher Sicht verhindert oder zumindest eingeschränkt werden soll.

Der Datenschutz hat nicht nur eine rechtliche, sondern auch eine technisch-organisatorische Komponente, die mit den sechs folgenden technischen Schutzzielen adressiert wird:

  • Die Wahrung der Vertraulichkeit der Daten kann z. B. über deren Verschlüsselung, durch qualifizierte Zugriffskonzepte oder durch räumliche oder logische Trennung erreicht werden.
  • Die Datenintegrität bzw. Authentizität lässt sich durch zertifizierte Verfahren der Verarbeitung, durch Maßnahmen der Qualitätssicherung oder durch die digitale Signierung von Datensätzen gewährleisten.
  • Mit der Datenverfügbarkeit wird sichergestellt, dass die Funktion der Verarbeitung durch Datenverlust nicht beeinträchtigt wird. Dem kann durch Replizierung der Daten (Backups) sowie durch Redundanz der Verarbeitungssysteme (bis zur Sicherung der Stromversorgung) genügt werden.
  • Intervenierbarkeit zielt auf die persönlichkeitsrechtsbedingte Veränderbarkeit des Datenbestandes oder einzelner Daten, also z. B. die spezifische Sperr- und Löschbarkeit.
  • Mit der Transparenz durch Dokumentation und Protokollierung wird die Datenverarbeitung revisionsfähig gemacht, um die Verantwortlichkeiten feststellen und prüfen zu können.
  • Technische und organisatorische Maßnahmen zur Nichtverkettbarkeit, etwa über eine Datei- oder Mandantentrennung, über Rollenkonzepte, Abschottungen und Treuhändermodelle haben die Absicherung des Zweckbindungsgrundsatzes zum Ziel.

3 Das Spezifische von Gendaten

Gendaten unterscheiden sich von anderen, insbesondere von rein informationstechnisch erhobenen und verarbeiteten Daten, durch folgende persönlichkeitsrechtlich relevante Eigenschaften:

  • Es besteht eine weitgehende Unveränderbarkeit dieser Daten eines Menschen von dessen Zeugung bis weit nach dem Tod.
  • Dadurch eignen sich diese Daten als eindeutiger (biometrischer) Identifikator des Menschen.
  • Dies führt dazu, dass sowohl der genetische Code sowie die Gewebeproben, aus denen dieser gewonnen wird, wirksam nicht anonymisierbar sind.
  • Die Gendaten sind somit „schicksalhaft“ den jeweiligen Betroffenen vorgegeben und zwar auch in Bezug auf höchstpersönliche Eigenschaften.
  • Diese Eigenschaften sind teilweise von höchster Sensibilität, etwa wenn sie sich auf seelische oder gesundheitliche Dispositionen beziehen.

  • 1

    2

    3

    Vor