Hintergrund

Medizinische Forschung kann zunehmend nur vernetzt und einrichtungsübergreifend organisiert und durchgeführt werden. Typischerweise arbeiten dabei häufig universitäre und außeruniversitäre Forschungsinstitutionen sowie medizinische Versorgungseinrichtungen zusammen. Für die standortübergreifende Infrastruktur zur Sammlung, Zusammenführung und langfristigen Speicherung von Daten, die in solchen Vorhaben aufgebaut wird, ist die Entwicklung und Abstimmung von tragfähigen Datenschutzkonzepten unerlässlich. Sie sind eine wichtige Voraussetzung für das Vertrauen von Patienten, Probanden und anderen Stakeholdern, ohne das medizinische Forschungsprojekte nicht erfolgreich arbeiten können.

Materialien und Serviceangebote

Um Forscher und Verbundmanager bei der Erstellung von Datenschutzkonzepten zu unterstützen, steht eine Reihe von Materialien und Serviceangeboten zur Verfügung:

Seit vielen Jahren bilden die generischen Datenschutzkonzepte der TMF die Grundlage für die Planung und Umsetzung von medizinischen Forschungsprojekten. Die aktuelle Version dieser Konzepte ist 2014 als Leitfaden zum Datenschutz in medizinischen Forschungsprojekten in der TMF-Schriftenreihe erschienen.  Die Konzepte wurden mit den Datenschutzbeauftragten des Bundes und der Länder abgestimmt und von diesen als Basis für die Ausarbeitung konkreter Datenschutzkonzepte empfohlen.

Der kontinuierliche Dialog der Forscher mit den Datenschutzbeauftragten hat die Verständigung auf eine gemeinsame Sprache sowie die Klärung der gegenseitigen Anforderungen gefördert und zu einer deutlichen Verschlankung und Verkürzung der Genehmigungsverfahren beigetragen.

Auf der Basis des Leitfadens bietet die TMF-Arbeitsgruppe Datenschutz an, medizinische Forschungsprojekte bei der Erstellung ihrer Datenschutzkonzepte zu beraten. Zum Abschluss des Beratungsverfahrens können die Projekte ein Votum der Arbeitsgruppe erhalten, das die gesetzlich geforderte Vorabprüfung der Datenschutzkonzepte unterstützt. Die Arbeitsgruppe hat in den vergangenen Jahren mehr als 100 Projekte beraten – ein Erfahrungsschatz, der wiederum in die Beratung einfließt. Aufgrund der großen Nachfrage, die mit den zur Verfügung stehenden Ressourcen nicht mehr gedeckt werden kann, steht diese Beratung seit Ende 2017 nur noch für TMF-Mitglieder zur Verfügung. Nicht-Mitglieder können je nach zeitlicher Verfügbarkeit ihre Projekte und Konzepte weiterhin in den regulären Arbeitsgruppensitzungen vorstellen und erhalten im Nachgang das ausführliche Protokoll zur weiteren Verwendung.

Im Laufe der Jahre sind im Rahmen der Datenschutzberatungen immer wieder ähnliche Fragen aufgekommen. In der Arbeitsgruppe Datenschutz abgestimmte Antworten auf diese typischen Fragen (FAQ-Liste) stehen auf der TMF-Website zur Verfügung.

Spezifische Hinweise zu den (datenschutz-)rechtlichen Regelungen beim Forschen mit Behandlungsdaten enthält das Rechtsgutachten zur Sekundärnutzung klinischer Daten, das 2015 ebenfalls in der TMF-Schriftenreihe erschienen ist. Um die jeweils geltenden Rechtsgrundlagen schneller auffindbar zu machen, wird das Buch durch ein Online-Tool ergänzt.

Weiterhin sind in den vergangenen Jahren eine Reihe von Rechtsgutachten zu verschiedenen Themen eingeholt worden:

Rechtsgutachten zum Aufbau und Betrieb von Biomaterialbanken (plus Musterverträge)

Rechtsgutachten zu Biobanken-Kooperationen in der EU

Rechtsgutachten zum Datenschutz in der medizinischen Forschung

Rechtsgutachten zur elektronischen Datentreuhänderschaft

Identitätsmanagement: Verwaltung von Pseudonymen

Ein Kernthema des Datenschutzes in der medizinischen Forschung ist das Identitätsmanagement. Es ist überall dort relevant, wo mit patientenbezogenen Daten geforscht wird.  Ein sorgfältig konzipiertes und sicher umgesetztes Identitätsmanagement ist für den datenschutzgerechten Betrieb eines Forschungsnetzes unerlässlich. Es stellt sicher, dass die Identität eines Patienten oder Probanden verborgen wird. Durch Pseudonymisierung und ggf. Einsatz eines Datentreuhänders (informationelle Gewaltenteilung) wird ein versehentlicher oder absichtlicher Missbrauch der Daten wesentlich erschwert.

Soweit Forschung direkt im Behandlungszusammenhang stattfindet, ist der Patient persönlich bekannt und ein gesondertes Identitätsmanagement nicht nötig. Es wird aber dann erforderlich, wenn für eine klinische Studie, ein Register oder eine Biobank eine örtlich oder zeitlich über die direkte Behandlung hinausreichende Datenspeicherung oder -verwendung vorgesehen ist.

Eine Besonderheit der medizinischen Verbundforschung ist, dass hier sehr oft voneinander unabhängige Projekte kooperieren, die jeweils eigene Pseudonymisierungsschemata einsetzen müssen. Dabei muss das Identitätsmanagement des Verbundes auch in der Lage sein, die verschiedenen Pseudonyme zu verwalten und bei bestehender Notwendigkeit zusammenzuführen.

Da Pseudonyme die Zuordnung zwischen medizinischen Daten und Identitätsdaten bewahren, bleiben die Daten im rechtlichen Sinne personenbezogen. Ihre Speicherung und Verarbeitung muss daher im Regelfall durch eine passende Einwilligungserklärung abgedeckt sein.

Zentrale Treuhänderdienste als unabhängige Instanz

Das Identitätsmanagement wird durch eine unabhängige, vertrauenswürdige Instanz (TTP = Trusted Third Party oder Datentreuhänderdienst) betrieben. Eine wesentliche Anforderung an den Datentreuhänderdienst im Sinne des Datenschutzes ist seine organisatorische Unabhängigkeit von den übrigen Teilnehmern des Forschungsverbunds. Damit ist der Dienst nur an die Regeln des Verbunds gebunden, aber nicht weisungsabhängig.

Implementation durch zentrale Dienste empfohlen

In der Verbundforschung müssen zwei Klassen von IT-Systemen an das Identitätsmanagement angebunden werden: Zum einen solche, die speziell für den Forschungsverbund beschafft oder geschaffen werden. Zum anderen Systeme, die der Routineversorgung dienen und Daten für den Forschungsverbund exportieren. Damit das Identitätsmanagement in heterogene IT-Landschaften integriert werden kann, sollte die Implementation durch zentrale Dienste erfolgen, die als Web-Services über einheitliche Schnittstellen genutzt werden können.

Werkzeuge zur Unterstützung

Das Identitätsmanagement ist vor allem für Forschungsverbünde (einschließlich deren Biobanken) ein unverzichtbares Mittel zur Erfüllung der Datenschutzanforderungen. Es ist daher auch eine zentrale Komponente des TMF-Leitfadens zum Datenschutz. In der TMF und in einzelnen Forschungsverbünden sind verschiedene Werkzeuge entwickelt worden, die das Identitätsmanagement unterstützen und die für eine Nutzung durch die Community zur Verfügung stehen.

Anonymisierung

Bei der Anonymisierung handelt es sich um eine weitere wesentliche Methode des Datenschutzes in der medizinischen Forschung. Sie hat im Unterschied zur Pseudonymisierung das Ziel, den Rückbezug eines Datensatzes zu einem Patienten oder Probanden völlig auszuschließen. Dies wird über das Löschen von direkten Identifikationsdaten durch eine Veränderung personenbezogener Merkmale erreicht. Außerdem kann sie zur Umsetzung des Prinzips der Datensparsamkeit und zur Dokumentierung von Risiken eingesetzt werden.

Die Anonymisierung von medizinischen Individualdaten umfasst ein breites Spektrum an Methoden. Da anonymisierte Daten rechtlich nicht mehr als personenbezogene Daten gelten, ist ihre Verarbeitung außerhalb der Bestimmungen des Datenschutzrechts möglich. Relevant ist dies vor allem für den intra- und interinstitutionellen Austausch von Daten für Forschungszwecke und für die Nutzung von im Behandlungskontext gesammelten klinischen Daten für die Forschung. Profitieren können von einer Anonymisierung insbesondere Biobanken, die ihre Proben auf granularer Ebene durchsuchbar machen sollen, sowie Forschungsprojekte, die auf den Austausch von Daten über die Grenzen von Institutionen hinweg ausgerichtet sind.

Nachteil der Anonymisierung ist oft, dass die nötige Veränderung der Daten ihre wissenschaftliche Aussagekraft mehr oder weniger stark einschränkt. Deshalb ist es wichtig, Maßnahmen kontextspezifisch auszuwählen und zu kombinieren. Dabei kann aus einem großen Spektrum an Methoden für Individualdaten, Ausgabedaten und Prozesse der Datenverarbeitung gewählt werden.

Open Source-Software und Schulungsangebote

Anonymisierungsmethoden sind an der Schnittstelle zwischen Informatik und Statistik angesiedelt. Ihr fachgerechter Einsatz erfordert fundierte Kenntnisse und die Berücksichtigung des konkreten Kontextes. Die IT-Landschaft im Bereich der Anonymisierungswerkzeuge besteht vor allem aus Open-Source-Software. Die TMF bietet Schulungsworkshops zum Thema Datenanonymisierung an.