ArchivDeutsches Ärzteblatt33/2003Vernetzte medizinische Forschung: Akzeptiertes Datenschutzkonzept

THEMEN DER ZEIT

Vernetzte medizinische Forschung: Akzeptiertes Datenschutzkonzept

Dtsch Arztebl 2003; 100(33): A-2134 / B-1776 / C-1680

Reng, Carl-Michael

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Die Telematikplattform für Medizinische Forschungsnetze
hat eine Lösung für den Datenschutz in medizinischen
Forschungsnetzen vorgestellt.

Carl-Michael Reng1*, Peter Debold2, Klaus Adelhard3*,
Klaus Pommerening4*

Eine der großen Herausforderungen für die medizinische Forschung in Deutschland ist es, klinische Studien über längere Zeiträume an großen Patientenkollektiven durchzuführen. Hierbei treten komplexe rechtliche Probleme auf. Diese Restriktionen kommen besonders zum Tragen, wenn das Fortschreiben einer „wissenschaftlichen Krankengeschichte“ für die Langzeitbeobachtung chronisch kranker Patienten erforderlich ist, wenn mehrere Stellen an der Dokumentation der wissenschaftlichen Daten beteiligt sind und wenn die am Patienten erhobenen Daten nicht nur für die Forschung, sondern auch im Behandlungszusammenhang genutzt werden sollen. In der Regel sind hier konventionelle Pseudonymisierungs- und Anonymisierungsverfahren für medizinische Daten, wie sie beispielsweise in papierbasierten klinischen Studien eingesetzt werden, als Lösung schlecht oder gar nicht geeignet. Für die Realisation der gewünschten Funktionalität in zentralen Datenbanksystemen gibt es bisher keine verfügbaren, juristisch akzeptablen Standardlösungen.
Die Telematikplattform für Medizinische Forschungsnetze (TMF; www.
tmf-net.de) ist eine Interessensgemeinschaft öffentlich geförderter medizinischer Forschungsverbünde und zahlreicher Koordinierungszentren für klinische Studien in Deutschland (Textkasten). Sie soll die Interessen der Forschungsverbünde in der Entwicklung und im Auf- und Ausbau leistungsfähiger IT-Infrastrukturen für die medizinische Forschung koordinieren. Die Kompetenznetze für die Medizin (www.kompetenznetze-medizin.de) haben hierbei die Aufgabe, über den bundesweiten Zusammenschluss von Forschungsinitiativen die Kompetenz in Bildung, Forschung, Entwicklung, Anwendung und Dienstleistung zu bündeln. Die Koordinierungszentren für klinische Studien (www.kks-info.de) sollen vernetzte Strukturen etablieren, die die Qualität und Effizienz klinischer Forschung verbessern helfen. Besonders schwierig und aufwendig war es bisher für die medizinischen Forschungsnetze, ein gesetzeskonformes Datenschutzkonzept zu erarbeiten, das sowohl den Interessen der an der Forschung Beteiligten, gegebenenfalls den Interessen der klinisch Behandelnden, als auch den legitimen und vorrangigen Interessen der Patienten gerecht wird.
Um diese Datenschutzprobleme nicht wie bisher in hochspezifischen Einzelkonzepten wiederholt, teuer und zeitraubend anzugehen, hat sich die TMF in Zusammenarbeit mit dem Arbeitskreis (AK) Wissenschaft der Datenschutzbeauftragten des Bundes und der Länder – insbesondere mit den Landesbeauftragten für Datenschutz in Bayern, Hessen, Nordrhein-Westfalen und Berlin – entschlossen, ein allgemeines, generisches Datenschutzkonzept für die medizinische Forschung in Deutschland zu erstellen. Diesem innerhalb der letzten zwei Jahre erarbeiteten Konzept haben jetzt sowohl der AK Wissenschaft als auch der AK Gesundheit und Soziales der Datenschutzbeauftragten des Bundes und der Länder zugestimmt. Damit steht ein Datenschutzmodell zur Verfügung, das auf nahezu beliebige vernetzte medizinische Forschungsvorhaben übertragbar ist und sowohl von öffentlich geförderten als auch von kommerziellen Forschungsvorhaben genutzt werden kann. Auch die Übertragung auf Szenarien der Regelversorgung ist sinnvoll und denkbar.
Rahmenbedingungen
Die einfache zentrale Sammlung von patientenbezogenen oder potenziell patientenbeziehbaren Daten widerspricht nicht nur den Datenschutzvorschriften, sondern ist kontraproduktiv für die medizinische Forschung und Regelversorgung. Bereits bei berechtigten Zweifeln an den Datenschutzvorkehrungen, spätestens aber nach Bekanntwerden des ersten Missbrauchs solcher zu wissenschaftlichen Zwecken gesammelter Informationen werden sich kaum mehr Patienten und Ärzte zur aktiven Mitarbeit in einem Netz bereit finden. Ein Missbrauchsfall kann sogar zu einem Misstrauen von Patienten gegenüber medizinischen Netzwerken führen. Ziel war daher ein Konzept, das die Identifizierung von Personen unmöglich macht und die Möglichkeiten der Pseudonymisierung ausschöpft.
Dabei waren einige Besonderheiten zu beachten, die bisherige Lösungsansätze einzelner Forschungsverbünde nur unzureichend berücksichtigt haben:
- Datenschutz in Deutschland ist Ländersache; die zugehörige Gesetzgebung unterscheidet sich von Bundesland zu Bundesland. Zielführend kann daher nur ein Ansatz sein, der alle Landesbeauftragten und den Bundesbeauftragten für den Datenschutz einbindet.
- Zu einem Datenschutzkonzept gehören neben technischen auch organisatorisch-logistische Lösungen. Diese müssen bereits in einem generischen Konzept bedacht werden, um dessen Nutzern sinnvolle und weitgehende Hilfestellung bieten zu können.
- Werden medizinische Daten zu Studienzwecken erfasst, so fallen oft gleichzeitig auch Laborproben der teilnehmenden Patienten an, die in speziellen Biomaterial-Banken gelagert werden. Für den Schutz der medizinischen Daten und auch der Laborproben ist ein gemeinsames technisches, organisatorisches und logistisches Konzept erforderlich.
- Für die Erfassung von Patientendaten zu Forschungszwecken ist eine Qualitätssicherung notwendig. Ohne die Möglichkeit, die erfassten Daten auf Richtigkeit und Vollständigkeit zu kontrollieren, ist der Aufbau von Datenpools für die Wissenschaft wertlos.
- Die medizinische Forschung kann zu einem Ergebnis führen, das für die Gesundheit des Patienten, an dessen Daten beziehungsweise biologischen Proben dieses Wissen gewonnen wurde, besonders wichtig ist. Es muss deshalb möglich sein, den betroffenen Patienten darüber zu informieren.
Frühere Datenschutzkonzepte boten vor allem im Bereich des Rückführens von Forschungsergebnissen auf den
kooperierenden Patienten nur eingeschränkte Möglichkeiten. Darüber hinaus wurden Aspekte der Qualitätssicherung der Forschungsdaten und die Bedürfnisse der zur Datenerfassung herangezogenen klinisch tätigen Ärzte nur wenig berücksichtigt (1).
Generisches Datenschutzkonzept
Die Analyse der unterschiedlichen medizinischen Forschungsnetzstrukturen ergab, dass zwei Lösungswege erforderlich waren, um für sämtliche Szenarien ein auf gemeinsamen Strukturen, Prozeduren und Definitionen basierendes generisches Konzept zu formulieren.
Anhand der Struktur der zugrunde liegenden Forschungsnetzkonstruktion und den daraus resultierenden unterschiedlichen Bedürfnissen bei der Datenprozessierung werden klinisch fokussierte von wissenschaftlich fokussierten Forschungsnetzen unterschieden. Im ersten Netztypus erheben und dokumentieren vor allem die Ärzte und ihre Mitarbeiter die wissenschaftlichen Daten direkt aus dem klinischen Behandlungsprozess heraus. Bei Letzteren erheben Wissenschaftler die Daten in einem vom Behandlungsprozess abgekoppelten Dokumentationsvorgang.
Klinisch fokussierte Netze
Das spezielle datenschutzrechtliche Problem bei diesen Forschungsnetzen besteht darin, den Ärzten im Behandlungszusammenhang einen unmittelbaren Rückgriff auf die im Forschungsnetz erfassten Patientendaten – auch von Mitbehandlern – zu ermöglichen, um so die Daten auch im Behandlungsprozess nutzen zu können.
In der erarbeiteten Lösung (Grafik 1) ist die wissenschaftliche Dokumentation integraler Bestandteil des Behandlungsablaufs. Eine zeitaufwendige Doppeldokumentation wird vermieden. Die im Behandlungsprozess etablierte Qualitätssicherung kommt direkt der wissenschaftlichen Dokumentation zugute. Durch ein von der AG-DS gemeinsam mit dem Kompetenznetz chronisch entzündliche Darm­er­krank­ungen (www.kompetenznetz-ced.de) entwickeltes Konstrukt ist es möglich, eine klinisch und wissenschaftlich gemeinsam nutzbare Dokumentation zu führen, ohne dass hierdurch die Datenschutzrechte des Patienten beeinträchtigt würden.
Technisches Kernstück sind zwei räumlich und organisatorisch getrennte Datenbanken, die eine strikte Trennung von identifizierenden Patientendaten (Patientenliste) und Behandlungsdaten (Behandlungsdatenbank) gewährleisten. Die Daten eines Patienten referenzieren sich wechselseitig über einen gemeinsamen Patientenidentifikator (PID). Der Zugriff auf Patientendaten im Behandlungszusammenhang erfolgt nach Authentifizierung des behandelnden Arztes und Identifikation des gesuchten Patienten (Grafik 1/1) über einen Zwischenschritt. Im Server der Patientenliste wird ein zufälliger, temporärer, eindeutiger Identifikator (TempID) generiert, der ausschließlich an den Rechner des Arztes und den der Behandlungsdatenbank übertragen wird (Grafik 1/2). Der TempID wird vorübergehend im Behandlungsdatensatz des gesuchten Patienten, nicht aber in der Patientenliste gespeichert. Der Arztrechner kann
unter Nutzung der übermittelten TempIDs (Grafik1/3) online auf die Daten des gewählten Patienten zugreifen (Grafik 1/4).
Der Zugriff auf Behandlungsdaten durch die Wissenschaft ist nur offline möglich, nachdem die benötigten Daten aus der Behandlungsdatenbank exportiert worden sind (Grafik 1/5). Identifizierende Patientendaten werden im Rahmen dieses Datenbankexports nicht übermittelt. Unter Berücksichtigung der im Datenschutzkonzept festgelegten, weiterführenden Regelungen ist gewährleistet, dass zu keinem Zeitpunkt an irgendeiner Stelle abseits des Rechners des behandelnden Arztes identifizierende und Behandlungsdaten gemeinsam verfügbar sind. Nur für den Arzt sind beide Datenteile seines Patienten gemeinsam einsehbar und gegebenenfalls änder- oder erweiterbar.
Wissenschaftlich fokussierte Netze
Die generische Datenschutzlösung für diese Forschungsnetze erfordert eine technisch-organisatorische Struktur, die verhindert, dass dem Wissenschaftler identifizierende Patientendaten zur Kenntnis gelangen. Gleichzeitig müssen ihm jedoch eine lückenlose Qualitätskontrolle der Daten und die Fortschreibung einer Forschungsakte für chronisch kranke Patienten ermöglicht werden. Gemeinsam mit dem Kompetenznetz Rheumatologie (www. rheumanet.org) wurde ein technisch-organisatorisches Modell entwickelt, das die gewünschte Funktionalität aufweist und die geltenden Datenschutzbestimmungen berücksichtigt (Grafik 2).
Die identifizierenden Daten des Patienten werden in einer Patientenliste abgelegt, die in einer räumlich und organisatorisch von der wissenschaftlichen Datenprozessierung getrennten Datenbank gespeichert werden (Grafik 2/1). Die Patientenliste bein-
haltet keinerlei Behandlungsinformationen. In einem der Datenerfassung unmittelbar nachgeschalteten Prozess erfolgt die Qualitätssicherung der Daten, die es ermöglicht, eine Überprüfung, Ergänzung oder Korrektur durch die erfassenden Personen zu veranlassen (Grafik 2/2 und 2/3). Die Daten werden nur bis zum Abschluss der Qualitätssicherung, das heißt temporär, in diesem Bereich vorgehalten. Nachdem ein spezieller Dienst deren Pseudonymisierung vorgenommen hat (Grafik 2/4), werden die Behandlungsdaten dauerhaft in der Forschungsdatenbank gespeichert (Grafik 2/5). Die technische Beschaffenheit des Pseudonymisierungsdienstes ermöglicht es, Patientengeschichten in pseudonymisierter Form fortzuschreiben, ohne dass die identifizierenden Daten aus dem Pseudonym zurückzurechnen sind. Die Forschungsdatenbank steht für den Online-Zugriff durch die Wissenschaft zur Verfügung (Grafik 2/6).
Beide Konzepte nutzen gemeinsame Strukturen, Prozeduren und Definitionen und wenden komplexe kryptographische und technisch-organisatorische Schutzmaßnahmen an. Standardvertragswerke und Einverständniserklärungen wurden formuliert sowie Lösungen für die datenschutzgerechte Behandlung von Blut- und Gewebeproben definiert. Beide Modelle ermöglichen es, dass der Patient über seinen Hausarzt eine Mitteilung erhält, wenn die wissenschaftliche Analyse seiner Daten oder biologischen Proben dies im Interesse seiner Gesundheit erfordern. Hierzu wurde ein ergänzendes Regelwerk erstellt, das den Miss-brauch dieser Rückidentifikationsmöglichkeit weitestgehend ausschließt.
Eine simple Datenschutzkonzeption „von der Stange“ macht auch das generische Konzept der TMF nicht verfügbar. Zu unterschiedlich sind die Datenstrukturen, Bedürfnisse und Anforderungen in der vernetzten medizinischen Forschung. Vernetzte Forschungsvorhaben sollen aber durch die Verfügbarkeit der generischen Konzepte nachhaltig unterstützt werden. Das langwierige Einarbeiten in die Materie, das Suchen nach geeigneten Lösungsansätzen und die technische und administrative Umsetzung der vernetzten Daten- und Probenprozessierung soll der Einsatz dieser Musterlösungen verkürzen. Mit der TMF steht darüber hinaus eine Organisation zur Verfügung, die in sämtlichen Bereichen der medizinischen Forschungsunterstützung das geeignete Know-how vermittelt und Hilfesuchenden – auch außerhalb der in der TMF organisierten Verbünde – beratend beisteht.
Fazit
Es ist im Interesse aller Beteiligten, Lösungen zu finden, die den Aufbau vernetzter medizinischer Forschungsverbünde mit gemeinsamem Datenpool ermöglichen und dabei den größtmöglichen Schutz der Daten gewährleisten, gleichzeitig aber auch praktikabel und rechtlich unbedenklich sind. Eine solche Lösung liegt mit den generischen Konzepten der TMF zum Datenschutz für die medizinische Forschung nun in einer von allen Datenschutzbeauftragten der Länder und des Bundes abgestimmten Form vor.
Bei großen Datenbeständen ist es nicht völlig auszuschließen, dass selbst anonymisierte Patientendaten oder Laborproben anhand einer typischen Konstellation von Einzelwerten auf einzelne Patienten zurückgeführt werden können. Auch kann bereits das Wissen über die Mitwirkung eines Patienten in einem bestimmten Forschungsnetz Aufschluss über dessen – schützenswerte – Diagnose geben. Dieses geringe restliche Missbrauchspotenzial minimieren die strikte Zugangskontrolle auch zu Forschungsdaten und organisatorische Regelungen im Konzept.
Das erarbeitete Datenschutzkonzept zielt zwar primär darauf ab, Probleme des Datenschutzes für Forschungsnetze zu bewältigen. Es kann aber – modifiziert – auch im Bereich der Regelversorgung dazu beitragen, die drängenden Datenschutzprobleme zu lösen.

zZitierweise dieses Beitrags:
Dtsch Arztebl 2003; 100: A 2134–2137 [Heft 33]

Literatur
1. Schulte J, Wehrmann R, Wellbrock R: Das Datenschutzkonzept des Kompetenznetzes Parkinson. Datenschutz und Datensicherheit 2002; 26: 605–610.

Anschrift für die Verfasser:
Dr. med. Carl-Michael Reng
Klinik und Poliklinik für Innere Medizin I
Universität Regensburg
93042 Regensburg
E-Mail: michael.reng@medicdat.de
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema