Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Gesundheit vom 11. Juni 2019 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/10852 19. Wahlperiode 13.06.2019 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Ulla Jelpke, Dr. André Hahn, Gökay Akbulut, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 19/10491 – Datenschutzrechtliche Probleme bei Anbietern der genetischen Genealogie V o r b e m e r k u n g d e r F r a g e s t e l l e r Insbesondere in den USA erfreuen sich Angebote, anhand der von den Kundinnen und Kunden eingesendeten DNA nach Verwandten zu suchen oder die Abstammungsgeschichte nachvollziehen zu können, immer größerer Beliebtheit. Laut eines Beitrags im Wissenschaftsmagazin „Science“ (Identity inference of genomic data using long-range familial searches, Oktober 2018) haben bis April 2018 15 Millionen Kundinnen und Kunden autosomale Gentests in Anspruch genommen, bei denen sie ihre wesentlichen genetischen Marker in Erfahrung bringen können. Auch in Deutschland ist mit dem US-Unternehmen „Ancestry“ ein Anbieter auf den Markt getreten, der damit wirbt, seine Kundinnen und Kunden über die geographische Herkunft ihrer Vorfahren aufklären zu können oder in seiner bereits vorhandenen DNA-Datenbank nach Verwandten bis hin zu Cousins vierten Grads weltweit suchen zu können (www.ancestry.de). Der profilierte Datenschützer Thilo Weichert hat in einem Rechtsgutachten (12/2018) und in der Fachzeitschrift „Datenschutz und Datensicherheit“ (3/2019) auf die bislang kaum diskutierten datenschutzrechtlichen Problematiken dieses Angebots hingewiesen. Bei genetischen Daten handele es sich um hoch sensible Daten: sie seien kaum wirksam anonymisierbar, anders als viele äußere Merkmale sogar bis über den Tod hinaus unveränderbar, ließen Rückschlüsse auf äußere und innere körperliche wie seelische Merkmale zu und seien zudem leicht beschaffbar. Dies sei verfassungsrechtlich dahingehend anerkannt worden, dass hier ein Recht auf „Nichtwissen“ geschaffen worden sei. Die Kenntnis über Dispositionen oder biologische Verwandtschaftsverhältnisse könne das persönliche Wohlbefinden erheblich beeinträchtigen. Hierin liegt überhaupt ein wichtiger Wesenszug genetischer Daten: sie haben ihrer Natur nach immer einen Drittbezug – von der Kenntnis über ein biologisches Verwandtschaftsverhältnis können Menschen betroffen sein, die davon gar keine Kenntnis haben wollen und selbst nie ihre genetischen Daten untersuchen lassen oder gar offenlegen würden. In dem Zusammenhang weist Thilo Weichert darauf hin, dass Ancestry in seinen AGB die datenschutzrechtliche Verantwortlichkeit für die Datenschutzrechte der biologischen Verwandten allein an die Kundinnen und Kunden weise; das sei rechtswidrig, hier gelte eine gemeinsame Verantwortlichkeit der Kundinnen und Kunden und des Unternehmens im Sinne des Artikel 26 der Datenschutz-Grundverordnung (DSGVO). Auch sei nicht Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/10852 – 2 – Deutscher Bundestag – 19. Wahlperiode ausreichend für die Richtigkeit der erhobenen Daten Sorge getragen – es sei vollständig unproblematisch, unter falscher Identität Speichel untersuchen zu lassen, um verdeckte eigentlich unzulässige Abstammungstests durchführen zu lassen. Wegen der fehlenden Schnittstelle zwischen analoger Speichelprobenentnahme und der digitalen Auswertung seien diese Genanalysen nach europäischem Recht nicht zulässig. Ein weiterer Kritikpunkt betrifft die Nutzung der gewonnenen Daten vorgeblich zu Forschungszwecken. Daten zweckändernd für Forschungszwecke zu nutzen, könne nach EU-Datenschutzrecht zulässig sein. Gerade in diesem Bereich gibt es aber Zweifel an der reinen Bindung an den Zweck der Forschung, vielmehr gehe es um kommerzielle Produktentwicklung. Dass ein Unternehmen, das zur „Ahnenforschung“ viele Gendaten sammelt, von einem Pharmakonzern mehrere hundert Millionen US-Dollar für diese Daten erhält, kann nach Ansicht der Fragesteller durchaus als Hinweis gewertet werden, dass es hier um kommerzielle Zwecke geht. Anders herum untersagen wiederum die Genealogieanbieter ihren Kundinnen und Kunden, die Erkenntnisse zu ihren DNA-Sequenzen für eigene Zwecke zu nutzen. Sie wollen sich für die weitere Verwertung die Exklusivität sichern. Das steht in deutlichem Widerspruch zum grundrechtlichen Auskunftsanspruch auf die personenbezogenen Daten zur eigenen Person. In seinem Rechtsgutachten stellt Thilo Weichert zudem Verstöße der Geschäftsbedingungen von Ancestry gegen das Gendiagnostikgesetz (GenDG) fest. Es reguliert seit 2010 die Verarbeitung von personenbezogenen Gendaten und soll Betroffene vor genetischer Diskriminierung schützen und das Recht auf Nichtwissen wahren. Es wird sich dabei auf medizinische Gentests und Tests zur Klärung der Abstammung bezogen – beide Zwecke würden selber von Ancestry gegenüber Kundinnen und Kunden genannt. Voraussetzung für beide Zwecke sei eine umfassende ärztliche Aufklärung der Betroffenen und die Dokumentation ihrer Einwilligung. Diesen Anforderungen entspräche Ancestry jedoch nicht. Zudem sei laut Gutachten unklar, ob die Analysen durch „Ärztinnen oder Ärzte oder durch auf dem Gebiet der Abstammungsbegutachtung erfahrene nichtärztliche Sachverständige mit abgeschlossener naturwissenschaftlicher Hochschulausbildung“ vorgenommen wird, wie es das GenDG erfordert. 1. Wie viele Anbieter von genetischen Abstammungs- und Herkunftstests auf dem deutschen Markt sind der Bundesregierung derzeit bekannt? Die Bundesregierung führt keine eigenen amtlichen Verzeichnisse über die Anbieter von genetischen Abstammungs- und Herkunftstests auf dem deutschen Markt. 2. Welche Anforderungen müssen diese Unternehmen erfüllen, um ihre Dienstleistungen auf dem deutschen Markt anbieten zu können? Den Unternehmen obliegt die Verantwortung, die in Deutschland für die jeweilige Dienstleistungen geltenden Gesetze und sonstigen einschlägigen Anforderungen einzuhalten. 3. Inwieweit entspricht das Angebot von Anbietern der Anforderung des Gendiagnostikgesetz (GenDG) einer umfassenden und dokumentierten ärztlichen Aufklärung von Betroffenen über „Zweck, Art, Umfang und Aussagekraft “ von genetischen Untersuchungen? Die Bundesregierung kann keine Einzelsachverhalte beurteilen. Dies ist gegebenenfalls Aufgabe der Gerichte beziehungsweise der zuständigen Behörden. Liegen Verstöße gegen das Gendiagnostikgesetz (GenDG) vor, kommen Sanktionen nach den §§ 25, 26 GenDG in Betracht. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/10852 4. Welche Aufsichtsbehörden sind neben den jeweils lokal zuständigen Landesbeauftragten für den Datenschutz mit der Zulassung von und Aufsicht über diese Unternehmen zuständig? Zuständig ist jeweils die Aufsichtsbehörde des Bundeslandes, in dem der Sitz des Unternehmens liegt. Die zuständige Behörde bestimmt sich nach dem jeweiligen Landesrecht. 5. Ist der Bundesregierung bekannt, wie sichergestellt wird, dass Anbieter auf dem deutschen Markt die im GenDG geforderten Qualitätsanforderungen erfüllen , nach der genetische Untersuchungen nur durch Fachpersonal in akkreditierten Einrichtungen, nach dem aktuellen Stand der Wissenschaft und Technik durchgeführt werden dürfen? Auf die Antwort zu Frage 3 wird verwiesen. 6. Ist der Bundesregierung das Problem bekannt, unter Angabe einer falschen Identität genetische Verwandtschaftstests durchführen zu lassen, und welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung daraus? Das GenDG enthält in den §§ 25 und 26 Straf- und Bußgeldvorschriften. Die zuständigen Behörden haben zu prüfen, ob das in Frage 6 beschriebene Verhalten strafbar ist oder als Ordnungswidrigkeit geahndet werden kann; es kommt auf die genauen Umstände des Einzelfalls an. 7. Was ist der Bundesregierung dazu bekannt, ob auf dem deutschen und EU- Markt Anbieter für genetische Genealogie aktiv sind, die ihre Daten für Forschungszwecke veräußern, und ist nach Erkenntnis der Bundesregierung gesichert , dass diese Forschungszwecke den Anforderungen von Artikel 89 Absatz 1 DSGVO genügen? Der Bundesregierung liegen hierzu keine Erkenntnisse vor. 8. Inwieweit ist für diesen Bereich nach Ansicht der Bundesregierung der EU- US-Privacy Shield einschlägig, insofern Daten von deutschen bzw. Kundinnen und Kunden aus der EU von den mit der genetischen Untersuchung beauftragten Unternehmen aus den USA dort selbst an weitere Unternehmen oder andere (auch öffentliche) Stellen weitergegeben werden? Wenn die datenverarbeitende Stelle wie z. B. das Gentest-Unternehmen oder die Forschungseinrichtung eine Niederlassung in der EU hat, so wird die Erhebung und weitere Verarbeitung der Kundendaten vom Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) erfasst und für Übermittlungen der Kundendaten in einen Drittstaat gelten die Regelungen des Privacy Shields. Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) enthält in Kapitel V (Artikel 44 ff.) strenge Voraussetzungen, wenn Verantwortliche oder Auftragsverarbeiter personenbezogene Daten aus der Europäischen Union an Empfänger in Drittländern übermitteln möchten. Auch bei einer Weiterübermittlung solcher Daten im Drittland (sog. Onward Transfer) gelten dieselben Zulässigkeitsvoraussetzungen wie im Fall der Erstübermittlung. Mit anderen Worten bleibt das Schutzniveau auch bei einer Weiterübermittlung erhalten. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/10852 – 4 – Deutscher Bundestag – 19. Wahlperiode Übermittlungen in Drittländer sind u. a. möglich, wenn die Europäische Kommission nach Artikel 45 DSGVO einen Angemessenheitsbeschluss gefasst hat. Der sog. EU-US-Privacy Shield (Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, ABl. L 207 vom 1. August 2016, S. 1 ff.) ist ein solcher Angemessenheitsbeschluss der EU-Kommission: In dem Beschluss stellt die EU-Kommission fest, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die im Rahmen des EU-US-Datenschutzschilds aus der EU an bestimmte Organisationen im nicht-öffentlichen Bereich in den USA übermittelt werden. Diese US-Organisationen müssen in der „Datenschutzschild -Liste“ aufgeführt sein, nachdem sie sich ordnungsgemäß den Datenschutzgrundsätzen des Datenschutzschilds unterworfen haben. Entsprechendes gilt, wenn es zu Weiterübermittlungen in den USA kommt. Der EU-US-Privacy- Shield trifft im nicht-öffentlichen Bereich keine gesonderten Regelungen zu Datenverarbeitungen für den Bereich genetischer Untersuchungen. Für den öffentlichen Bereich gilt der EU-US-Privacy Shield nicht. Die DSGVO gilt aber auch, wenn ein Unternehmen mit Niederlassung außerhalb der EU seine Dienste in der EU anbietet (Marktortprinzip). Insofern sind in diesen Fällen die Kundendaten im Drittstaat ebenfalls effektiv geschützt. 9. Unter welchen Voraussetzungen ist nach Kenntnis der Bundesregierung für deutsche Strafverfolgungsbehörden ein Datenabgleich (ggf. auch zur Suche nach Verwandten dritten Grades oder weiter) mit den von Unternehmen in diesem Bereich gesammelten Daten möglich? Ein Datenabgleich von im Strafverfahren erlangten Material, an dem molekulargenetische Untersuchungen durchgeführt werden konnten, ist gemäß §§ 81e ff. der Strafprozessordnung (StPO) nur mit der beim Bundeskriminalamt als zentrale Verbunddatei geführten DNA-Analysedatei zulässig. Soweit die Frage darauf abzielt, welche Informationen eine Strafverfolgungsbehörde bei der Ermittlung von Straftaten und beim Vorliegen bestimmter Verdachtsmomente nutzen darf und ob sie dabei auch auf Informationen zurückgreifen darf, die bei einem privaten Unternehmen vorhanden sind, richtet sich dies nach § 161 StPO, der sogenannten Ermittlungsgeneralklausel. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333