ArchivDeutsches Ärzteblatt25/2015Medizinische Forschung: Module für den Datenschutz

TECHNIK

Medizinische Forschung: Module für den Datenschutz

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die vielfältigen Szenarien medizinischer Forschung erfordern darauf abgestimmte Maßnahmen zum Schutz der Patientendaten.

Innerhalb der Medizin lassen sich verschiedene Forschungstypen unterscheiden: Grundlagenforschung, klinische Forschung, Versorgungsforschung und epidemiologische Forschung haben ihre jeweiligen Spezifika und besondere Anforderungen, was den Datenschutz angeht. Das IT-gestützte Datenmanagement muss dabei stets so gestaltet werden, dass die ärztliche Schweigepflicht gewährleistet wird. Darauf verwies Prof. Dr. rer. nat. Klaus Pommerening, Universitätsmedizin Mainz, bei der Fachtagung „Datenschutz in der Medizin – Update 2015“ in Wiesbaden.

Foto: iStockphoto
Foto: iStockphoto
Anzeige

Versorgung und Forschung sind meist eng verzahnt. Medizinische Forschung benötigt räumlich und zeitlich umfassende Datensammlungen (Register) und Probensammlungen (Biobanken), insbesondere für seltene oder hoch differenzierte Erkrankungen. Bei der internen Sekundärnutzung klinischer Daten im Krankenhaus werden Patientendaten nicht mehr nur im Rahmen der Behandlung genutzt, sondern die Zweckbindung wird für die Nutzung im Forschungskontext aufgelöst. „In der klinischen Forschung oder in der Versorgungsforschung werden dabei die Daten dort ausgewertet, wo sie angefallen sind“, erläuterte Pommerening. Diese Zweckänderung sei erlaubt, wenn es sich um anonyme Daten handele, der Patient eingewilligt habe oder wenn es spezialgesetzliche Regelungen (wie Landeskrankenhausgesetze) oder eine Forschungsklausel im Landesdatenschutzgesetz gebe.

Externe Sekundärnutzung

Geht es zusätzlich um eine externe Sekundärnutzung von Patientendaten, etwa für ein Register oder für epidemiologische Forschungszwecke, sind die Zweckänderung und der Datenexport ebenfalls unter bestimmten Voraussetzungen erlaubt: wenn die Daten anonymisiert sind, eine Einwilligung vorliegt oder spezialgesetzliche Regelungen (etwa Krebsregistergesetze) dies zulassen.

Bei einer klinischen Studie sind Zweckbestimmung und Studienziel vorher festgelegt, und die Studien unterliegen relativ strengen technisch-organisatorischen Regularien. Ein Personenbezug ist für die Datenauswertung nicht nötig: „Die Daten werden pseudonymisiert an den Sponsor weitergeleitet“, so Pommerening. Bei einer langfristigen Aufbewahrung von Patientendaten etwa in einem Krebsregister sind hingegen in der Regel Zweckbestimmung, Dauer und Nutzerkreis nur vage oder gar nicht vorher bekannt. „Wir sammeln die Daten auf Vorrat und gucken hinterher, was wir mit ihnen anfangen können.“ Hier nehme die medizinische Forschung für sich ein Privileg in Anspruch, da anders ein medizinischer Fortschritt gar nicht möglich sei, so der Datenschützer. Der Zielkonflikt mit den Persönlichkeitsrechten müsse dabei durch Abwägen und Kompromisse aufgelöst werden.

Je mehr Daten und Proben aus verschiedenen Stellen zusammengeführt werden, desto größer ist allerdings das Reidentifizierungsrisiko und desto schwieriger ist es, externe Datenabgleichungsmöglichkeiten zu kontrollieren. Auch steigen die IT-Sicherheitsprobleme mit der Größe der Datensammlung. „Komplexität ist immer der Hauptfeind der Sicherheit“, erklärte Pommerening.

Ist bei einer künftigen Nutzungsmöglichkeit von Daten und Proben etwa für Versorgungsforschung und epidemiologische Forschung die Daten- und Probenverwendung überhaupt kontrollierbar? Bei Biobanken etwa besteht die Besonderheit der Verfügbarkeit: Genomische Daten sind nicht geheim, Referenzproben können überall leicht gewonnen werden. Zudem sind Proben, anders als Daten, „unteilbar“, da immer die volle genetische Information auch in Teilen der Probe enthalten ist. Daher sind genomische Daten auch immer identifizierbar.

Langfristig Daten sammeln

Die Anonymisierung von Gesundheitsdaten ist zudem generell schwierig: „Wir haben hochdimensionale, sehr differenzierte Datensätze, wir haben unbekanntes externes, eventuell künftiges Zusatzwissen“, betonte der Datenschutzexperte. „Die Anonymität von Daten ist keine langfristig sichere Eigenschaft.“ Daten, die heute als ausreichend anonymisiert gelten, sind dies in zehn Jahren möglicherweise nicht mehr. Für langfristige Datensammlungen ist laut Pommerening daher die Pseudonymisierung auf Basis einer Einwilligung datenschutzrechtlich die bessere Lösung.

Je nach Bereich unterliegt die Forschung daher unterschiedlichen rechtlichen Rahmenbedingungen: „Es gibt nicht das Datenschutzkonzept für die medizinische Forschung. Man muss ein flexibles Instrument schaffen, das möglichst viele Bereiche abdeckt, aber auf den konkreten Fall möglichst weit adaptierbar ist.“

Vor diesem Hintergrund hat die TMF (Technologie- und Methodenplattform für die vernetzte medizinische Forschung) in ihrem Leitfaden* zu diesem Thema vier Bereiche/Module medizinischer Forschung identifiziert, die man ihr zufolge datenschutzrechtlich unterschiedlich handhaben muss (Kasten). Durch die Modularisierung wird auch in großen Forschungsverbünden eine informationelle Gewaltenteilung innerhalb des Verbundes mit jeweils unterschiedlicher Datenhoheit möglich. Verbindende Dienste sind beispielsweise das Identitätsmanagement, um Pseudonyme verwalten und zuordnen zu können, sowie das Rekrutierungs- und das Einwilligungsmanagement. Hinzu kommen ein Rechtemanagement mit Benutzer- und Rollenverwaltung sowie ein Datenqualitätsmanagement. Wichtig sei, dass diese Dienste durch Richtlinien für alle Netzteilnehmer zentral und rechtlich verbindlich festgelegt werden, betonte der Experte.

Ein wichtige Rolle spielt darüber hinaus der Datentreuhänder als unabhängige Instanz, die die Daten verwahrt. „Als pragmatische Lösung wird mit dieser Aufgabe oft das Rechenzentrum einer Uniklinik oder ein Medizininformatikinstitut betraut“, erläuterte Pommerening. Eine Auftragsdatenverarbeitung reiche hierfür nicht aus, denn die Datentreuhandstelle dürfe nicht weisungsgebunden gegenüber anderen Modulen des Forschungsverbunds sein, sondern müsse ein „gleichberechtigter“ Partner sein. Rechtsfähig sei etwa eine Universität oder ein Universitätsklinikum.

Skalierbarer Ansatz

Der TMF-Leitfaden fasst die rechtlichen und ethischen Rahmenbedingungen für die medizinische Forschung zusammen und erläutert die einzelnen Module. Er gibt ein modulares und skalierbares Baukastensystem für Datenschutzfragen an die Hand, das als Basis für die konkrete Ausgestaltung in Forschungsprojekten dienen kann. So kann beispielsweise in großen Verbundprojekten ein gemeinsam genutzter Datentreuhänderdienst sinnvoll sein, wohingegen in kleinen Projekten die Pseudonymisierung direkt an der Quelle ohne ein zentrales Identitätsmanagement stattfinden kann. Bei der Entscheidung für ein Konzept greift das Prinzip der Verhältnismäßigkeit, das etwa von der Größe und Komplexität eines Netzes, der Dauer der Aufbewahrungszeit der gespeicherten Daten oder auch der Brisanz der Daten- oder Biobank abhängt, etwa wenn es um stigmatisierende Krankheiten geht.

Trotz vieler Lösungsansatze – eine Baustelle für die medizinische Forschung bleibt weiterhin die Integration von Versorgungs- und Forschungsstrukturen: „Die Rechtslage lässt oft nur umständliche Lösungen zu, gerade was die Nutzung von Krankenhausdaten im eigenen Haus betrifft, da sind die Regelungen landesspezifisch sehr unterschiedlich“, meinte Pommerening. Ebenso erforderten internationale Kooperationen meist komplexe datenschutzrechtliche Lösungen.

Heike E. Krüger-Brand

*„Leitfaden zum Datenschutz in der medizinischen Forschung. Generische Lösungen der TMF – Version 2“

Vier Bereiche medizinischer Forschung

Der rechtliche Rahmen für medizinische Forschung lässt sich je nach Bereich differenzieren:

  • Die versorgungsnahe klinische Forschung, zum Beispiel Beobachtungsstudien und klinische Register, ist dadurch gekennzeichnet, dass die Forschung hierbei eng mit der Behandlung verzahnt ist, der Behandelnde online auf die Datenbank zugreifen kann und Daten langfristig gespeichert werden. Die Daten müssen dabei pseudonymisiert gespeichert werden, der Behandler hat einen personenbezogenen Zugriff. Zudem muss eine breite Einwilligung des Patienten vorliegen.
  • Die kontrollierte klinische Studie ist durch Spezialgesetze reguliert, mit der Behandlung verzahnt und hat eine konkrete Zweckbestimmung. Sie muss den Anforderungen des Arzneimittel- beziehungsweise des Medizinproduktegesetzes entprechen und den Grundsätzen der Good Clinical Practice folgen. Auch hierbei wird pseudonymisiert gespeichert, der Zugriff ist personenbezogen.
  • In der patientenfernen Forschung, etwa bei epidemiologischen Registern, Kohorten oder Datensammlungen zur Versorgungsforschung, fehlt die Verzahnung mit der Behandlung, die Daten werden langfristig gepeichert, der Forschungsansatz ist offern. Die Daten müssen pseudonym gespeichert werden, es erfolgt kein Zugriff aus dem Behandlungskontext heraus, und es ist eine breite Einwilligung des Patienten erforderlich.
  • Biobanken enthalten Proben und Annotationsdaten, die langfristig und mit einem offenen Forschungsansatz gespeichert werden. Betrieb und Nutzung sind dabei oft getrennt. Die Datenspeicherung muss pseudonymisiert erfolgen, Proben und Daten müssen getrennt gespeichert werden. Zudem ist eine breite Einwilligung erforderlich, Zusätzlich zu Datenschutzaspekten kommen hierbei auch Persönlichkeits- und Eigentumsrechte im Hinblick auf die Proben ins Spiel.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Stellenangebote