Datenschutz: Ist medizinische Forschung anonymisierbar?

Interview mit Prof. Klaus Pommerening, Sprecher der AG Datenschutz, TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V.

Elektronische Patientenakten, Telemedizin, Clouds und Big Data: Fragen des Datenschutzes tauchen überall im digitalisierten Gesundheitswesen auf. Aber wie sieht es eigentlich fern der Anwendung, an den Grundlagen der Medizin, aus? Können Patientendaten und Persönlichkeitsrechte in der Forschung geschützt werden, wenn sich mehrere Zentren und zahllose Forscher an Studien beteiligen?

08.07.2015

Foto: Mann mit Brille und Halbglatze - Prof. Klaus Pommerening

Prof. Klaus Pommerening; ©privat

Prof. Klaus Pommerening spricht im Interview mit MEDICA.de über einen Leitfaden für Datenschutzkonzepte in der Forschung, den Aufbau eines Datenschutzkonzeptes und die (Nicht-)Anonymisierbarkeit von Patientendaten.

Herr Prof. Pommerening, was regelt eigentlich den Datenschutz in der medizinischen Forschung? Gibt es hier Gesetze, Standards oder Normen?

Prof. Klaus Pommerening: Von Seiten des Gesetzgebers sind bei uns in Deutschland nur die allgemeinen Datenschutzgesetze anzuwenden. Außerdem existiert natürlich, soweit es um Behandlungsdaten geht, die ärztliche Schweigepflicht. Es gibt außerdem eine Stellungnahme des Deutschen Ethikrats zur Arbeit von Biobanken, die irgendwann auch auf die Forschung außerhalb der Biobanken übertragen wurde. Aber diese Stellungnahme hat keinen Rechtscharakter.

Hinsichtlich Standards hat die TMF Anfang 2014 einen Leitfaden zum Datenschutz bei medizinischen Forschungsprojekten herausgebracht. Er enthält Vorschläge zu Best-Practice-Lösungen, die man selber umsetzen kann. Der Leitfaden steht in der Tradition eines Vorgängerprojektes, das "Generische Datenschutzkonzepte für Forschungsnetze in der Medizin" hieß.

Und international?

Pommerening: Soweit ich das aus einigen internationalen Projekten sagen kann, an denen wir uns beteiligt haben, gibt es in den betreffenden Ländern keinen solchen Leitfaden. Natürlich gibt es dort auch Stellungnahmen, die in diese Richtung gehen, aber keine Dokumente zu Best-Practices. In Europa ist die Datenschutzgesetzgebung aber weitgehend einheitlich, sodass in den europäischen Ländern die Situation im Prinzip ähnlich ist.
Foto: kleine Zyklopen glotzen auf eine Festplatte

Die Rahmenbedingungen eines Forschungsvorhabens und die Zusammenarbeit aller Beteiligten bestimmen letztendlich, wie ein Datenschutzkonzept aussehen muss; ©panthermedia.net/ 3dkombinat

Wen kann man sich denn zum Beispiel als Vorbild für die Umsetzung des Datenschutzes nehmen?

Pommerening: Sie meinen ein konkretes Forschungsnetzwerk? Die TMF hat natürlich schon einige beraten, die sich jetzt an unserem Leitfaden oder dem Vorgänger orientieren. Konkret kann ich aber auf niemanden hinweisen, da die Netzwerke dies vorher autorisieren müssten. Auf der Webseite der TMF kann man sich aber nach Registrierung einige Beispiele ansehen.

Reicht denn ein solcher Leitfaden für alle Forschungsprojekte oder muss man sein Konzept vom Forschungsvorhaben abhängig machen?

Pommerening: Es hängt natürlich vom Vorhaben ab. Unser Leitfaden ist aber modularisiert aufgebaut. Im Prinzip können Benutzer die Teile aussuchen, die sie für ihr Projekt brauchen, und daraus ihr Konzept erstellen. Netzwerke, die sich nach dem Leitfaden gerichtet haben, haben in der Regel sehr schnell ein Konzept aufgestellt, das auch von den behördlichen Datenschutzbeauftragen abgenommen wurde.

Mit welchem Aufwand und welchen Kosten ist so ein Konzept verbunden?

Pommerening: Das ist sehr schwer zu quantifizieren. Die Überlegungen, die man sich zum Aufbau des Forschungsnetzes machen muss, sind zwar einerseits auch die Überlegungen, die letztendlich zum Datenschutzkonzept führen. Man muss sich also zuerst über die organisatorischen Rahmenbedingungen und die Zusammenarbeit aller Beteiligten klar werden. Das betrifft dann auch die IT-Ebene. Je besser das Projekt durchdacht ist, umso besser sind dann auch die Erfolgsaussichten des Datenschutzkonzeptes.

Kostentechnisch sind auch bestimmte Zusatzmaßnahmen zu bedenken. Dazu gehören zum Beispiel Investitionen in die IT-Sicherheit und die Einrichtung eines Pseudonymisierungs- und Anonymisierungsdienstes, der die Daten und die Identität der Patienten schützt.
Foto: Menschen mit bedeckten Gesichtern

Bei der Anonymisierung in der medizinischen Forschung werden alle Patientendaten entfernt, die direkt auf eine Person hinweisen. Außerdem müssen weitere Merkmale bearbeitet werden, die indirekt einen Rückschluss auf ihre Identität zulassen; ©panthermedia.net/ dolgachov

Wie funktioniert denn die Anonymisierung von Patientendaten?

Pommerening: Grundsätzlich werden alle direkt identifizierenden Merkmale einer Person gelöscht: unter anderem Name, Anschrift und Fallnummer aus dem Krankenhausinformationssystem. Alles, was direkt auf den Betroffenen hinweist. Das ist aber nur der erste Schritt, denn auch aus Daten, die dann übrigbleiben, kann man einen Patienten identifizieren.

Es gibt bestimmte Merkmale, aus deren Kombination jemand identifiziert werden könnte. Gute Anonymisierungstools prüfen, wie man diese Merkmale vergröbern, zusammenfassen, klassifizieren kann. Sie machen eben alles, was eine Re-Identifizierung des Patienten erschwert. Eine völlige Anonymisierung und Ausschluss der Re-Identifizierbarkeit aber, wie sie in den Datenschutzgesetzen formuliert ist, ist kaum schaffbar in der Medizin. Dann sind die Daten nicht mehr nutzbar oder auswertbar. Das geht nur bei ganz groben Statistiken, nicht bei genaueren Untersuchungen.

Das ist letztendlich auch der Standpunkt der TMF: Sinnvoll nutzbare Daten können nie so weit anonymisiert werden, dass man sie zum freien "public use" geben könnte. Man muss immer eine Nutzungsbeschränkung implementieren, wie immer man die auch erzwingen will.
Foto: Bild einer Frau, von Binärcode überdeckt

Der Datenschutz wird immer schwieriger, denn es werden immer mehr Daten generiert; ©panthermedia.net/ editorialz

Wohin, würden Sie sagen, entwickelt sich der Datenschutz? Welche Trends erkennen Sie?

Pommerening: Es entstehen immer mehr Daten und es wird immer mehr gespeichert. Erstens geben die Menschen immer bereitwilliger ihre Daten Preis, zum Beispiel in sozialen Netzwerken. Das ist von uns natürlich schwer beeinflussbar. Zweitens: Tracker und Wearable Devices, Ambient Assisted Living oder andere Assistenzsysteme liefern auch ohne unser Zutun Daten. Zum Beispiel bei betreuten Wohnungen werden die Menschen und ihr Gesundheitszustand ja überwacht. An sich ist das sinnvoll, aber es werden auch den ganzen Tag detaillierte Daten aufgezeichnet.

Ein drittes Problem ist, dass zum Beispiel in der individualisierten Medizin genomische Daten entstehen und verwendet werden, die ein hohes Potenzial zur Re-Identifizierung haben.

Mindestens diese drei Trends machen den Datenschutz immer komplexer. Damit wird auch die Frage nach der nicht-möglichen Anonymisierung von Daten immer wichtiger und immer dringender, aber auch immer schwieriger zu beantworten.
Foto: Timo Roth; Copyright: B. Frommann

© B. Frommann

Das Interview wurde geführt von Timo Roth.
MEDICA.de