Damit der Forschung mehr Gesundheitsdaten zur Verfügung stehen, wird von Elger/Junod die Einführung einer generellen Widerspruchslösung gefordert. Wer nicht widerspricht, dessen Gesundheitsdaten sollen in einem zentralen Register gesammelt und der Forschung zur Verfügung gestellt werden. Das Modell käme der Einführung einer sozialen Pflicht zur Abgabe von Gesundheitsdaten gleich. Die Forderung ist mit dem geltenden Recht und den Grundwerten unserer demokratischen Gesellschaft nur schwer vereinbar. Nicht die Sozialpflichtigkeit von (Gesundheits-)Daten ist das Modell der Zukunft. Vielmehr muss ein auf der digitalen Selbstbestimmung der Individuen beruhender Datenaustausch das zentrale Element jeglicher verantwortungsvollen Nutzung von Daten im Allgemeinen und von Gesundheitsdaten im Besonderen bilden.

Der vorliegende Beitrag stellt die Rechtslage in Bezug auf Datenzuordnung und Datenzugang überblicksartig dar und geht jeweils auch auf die möglichen Entwicklungen de lege ferenda ein. Er zeigt auf, dass die Zuordnung von Daten und der Zugang dazu komplementär sind: Je stärker die Zuordnung zu einem Rechtsträger ist, desto schwieriger wird es für Dritte, die Daten zu nutzen. Gegenwärtig besteht kein Instrument, um Daten als solche jemandem rechtlich zuzuordnen, und vorderhand wird auch kein solches Instrument eingeführt werden. So wird deutlich, dass Daten ihren Inhabern meist faktisch zugeordnet sind. Entsprechend kann ein Interessenausgleich zwischen dem Dateninhaber und Dritten auch nicht mit Einschränkungen bzw. Schranken eines bestehenden Rechts erzielt werden – es braucht dafür Datenzugangsrechte.

Der verfassungsmässige Schutz der persönlichen Freiheit und der informationellen Selbstbestimmung wird in den Datenschutzgesetzen konkretisiert. Sie stellen Rahmenbedingungen auf, wie mit Personendaten – alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen – umzugehen ist. Das Konzept der Datenschutzgesetze stammt aus den 1960er-Jahren: Die Risiken der neuen Technologien – die Grosscomputer halten Einzug in Verwaltung und Wirtschaft – sollen mit rechtlichen Massnahmen minimiert werden. Deshalb wird das Datenschutzrecht auch als «Technikfolgenrecht» bezeichnet.

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.