Genetische Daten werden durch mehrere Gesetze und in der MII noch zusätzlich durch spezielle vertragliche Vereinbarungen geschützt.
Rechtlicher Schutz genetischer Daten durch Gesetze
Wegen ihrer Besonderheiten werden genetische Daten in der Datenschutz-Grundverordnung (DSGVO) der EU, die seit 2018 geltendes Recht in allen Mitgliedsstaaten ist, für „besonders schutzwürdig“ erklärt (DSGVO Art. 9 Abs. 1). Für den Umgang mit genetischen Daten, d. h. für ihre Erzeugung, Speicherung, Weitergabe und Nutzung gelten daher europaweit strenge Regeln.
Genetische Daten werden in der Krankenversorgung und der medizinischen Forschung in Deutschland in Datenbanken gespeichert, deren Zugang besonders streng gesichert ist. Eine Herausgabe der Daten ist nur an solche Forschungseinrichtungen erlaubt, die den Anforderungen der DSGVO genügen.
In Deutschland verbietet das Gendiagnostikgesetz (GenDG) eine Benachteiligung von Personen aufgrund ihrer genetischen Eigenschaften. Insbesondere dürfen Arbeitgeber und Versicherungen niemanden aus genetischen Gründen schlechter- oder besserstellen als andere. Einzige Ausnahme (§ 18 GenDG Abs. 1): Versicherungen ist es erlaubt, genetische Daten aus vorangegangenen medizinischen Untersuchungen zur Risikobewertung zu verwenden, wenn die fragliche Versicherungssumme einen bestimmten Wert (derzeit 300.000 €) überschreitet. Das Vorliegen einer entsprechenden genetischen Veränderung kann also dazu führen, dass eine Versicherung in darüberhinausgehender Höhe nicht mehr abgeschlossen werden kann.
Das GenDG gilt zwar nur für genetische Daten aus der Krankenversorgung. Da aber gerade Versorgungsdaten im Zentrum der Arbeit der Medizininformatik-Initiative stehen, bietet das GenDG an dieser Stelle einen weitgehenden Schutz vor dem Missbrauch genetischer Daten. Für Daten, die zu Forschungszwecken erzeugt werden, hat das GenDG keine Gültigkeit. Deren Missbrauch wird durch das allgemeine Datenschutzrecht verboten. Außerdem wird möglichem Missbrauch durch technische und organisatorische Maßnahmen (siehe Frage 20) entgegengewirkt.
Rechtlicher Schutz genetischer Daten durch vertragliche Vereinbarungen der MII
Darüber hinaus gilt in der MII, dass jegliche Verarbeitung genetischer Daten (und anderer Patientendaten) immer einer vertraglichen Regelung unterliegt. In diesen Verträgen werden alle datenschutzrechtlichen Zuständigkeiten der einzelnen Beteiligten festgelegt. Im Rahmen eines Teilnahme-Rahmenvertrags haben sich so alle an der MII beteiligten Institutionen auf gemeinsame Standards und Zuständigkeiten für die Verarbeitung sensibler Daten sowie eine übergreifend geltende Nutzungsordnung festgelegt. Für jegliche Bereitstellung von genetischen oder anderen medizinischen Daten in der MII ist der Abschluss eines standardisierten Nutzungsvertrag zwingende Voraussetzung. Dieser verpflichtet die Nutzerinnen und Nutzer (die Forscherinnen und Forscher) beispielsweise darauf, alle sensiblen Patientendaten nach Abschluss des Projekts zu löschen und das gegenüber einer koordinierenden Stelle in der MII auch zu bestätigen. Zudem verbieten diese Verträge ausdrücklich die Weitergaben der Daten an unbefugte Dritte sowie jeden Versuch, einen Patienten bzw. eine Patientin anhand der Daten zu identifizieren (siehe Abschnitt 17.1).