Methodische Grundlagen

In Biobanken werden – wie in der Patientenversorgung und an anderen Stellen der medizinischen Forschung – grundsätzlich personenbeziehbare Daten verwaltet, d. h.

Daten, die einer Person – einem Probanden oder einem Patienten, zum Teil auch einem Forschenden oder Behan-delnden – zuzuordnen sind.

Grundsätzlich kategorisiert man in medizinische Daten (MDAT) einerseits und in die personenbeschreibenden, probanden- oder patientenidentifizierenden Daten (IDAT) andererseits. Bei Letzteren handelt es sich meistens um die klassischen administrativen Daten zu einer Person, wie z. B. Name, Geburtsdatum, Geschlecht, Versiche-rungsnummer. In bestimmten klinischen Kontexten oder in speziellen Datensammlungen können aber auch klini-sche Parameter wie eine sehr seltene Diagnose in Verbin-dung mit der Wohnregion oder eine bestimmte genetische Konstellation indirekt „personenidentifizierend“ sein.

Der Personenbezug von grundsätzlich personenbeziehba-ren Daten kann unterschiedlich ausgestaltet sein. Das Bundesdatenschutzgesetz (BDSG) nimmt in § 3 folgende Definition vor:

– Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer be-stimmten oder bestimmbaren natürlichen Person (Be-troffener). Besondere personenbezogene Daten sind z. B. Angaben über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeu-gungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

– Anonymisieren ist das Verändern personenbezogener Daten derart, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

– Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzei-chen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Gemäß § 3a BDSG ist bei der Speicherung von personen-beziehbaren medizinischen Forschungsdaten das Gebot der Datensparsamkeit zu berücksichtigen, insbesondere ist von den Möglichkeiten der Anonymisierung und Pseu-donymisierung Gebrauch zu machen – aber mit der Ein-schränkung, „soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht“.

Personenbezug und direkt personenbezogene Daten Ein direkter Personenbezug grundsätzlich personenbe-ziehbarer Daten liegt dann vor, wenn Daten offenkundig lesbaren und verständlichen Angaben zugeordnet sind, die ohne größeren Aufwand die Bestimmung der zuge-ordneten Person erlauben. Die Führung direkt personen-bezogener medizinischer Daten ist datenschutzrechtlich nur im direkten Behandlungszusammenhang erlaubt. Hier

greift die „Barriere der ärztlichen Schweigepflicht“:

Durch die ärztliche Schweigepflicht ist ein starker Schutz vor Datenweitergabe und widerrechtlicher Nutzung ge-währleistet, die auch einen Beschlagnahmeschutz vor den Strafverfolgungsbehörden einschließt. Außerhalb von Be-handlungszusammenhang und behandelnder Institution ist dieser vorausgesetzte Schutz vor Nutzung medizini-scher Daten zum Nachteil des Patienten nicht mehr gege-ben. Deshalb müssen hierfür andere Maßnahmen ergrif-fen werden – entweder die Abtrennung des Personenbezugs oder die explizite Einwilligung des Pa-tienten zu einer sehr genau beschriebenen Nutzung von Daten.

Anonymisierung und anonymisierte Daten

Anonymisierung bedeutet gemäß § 3 BDSG, dass eine Zuordnung der Daten zu einer Person technisch und in-haltlich nicht mehr möglich ist (Entpersonalisierung), oder aber eine Reidentifikation inhaltlich nur noch mit unverhältnismäßig großem Aufwand möglich wäre, so-dass eine Reidentifikation höchst unwahrscheinlich er-scheint. Bei der sogenannten „vollkommenen Anonymi-sierung“ liegt eine nicht nur technisch, sondern auch inhaltlich absolut irreversible Abtrennung der Daten von der dahinterstehenden Person vor.

Wenn es jedoch eine hinreichende Konstellation von in der Summe eindeutig personenidentifizierenden Daten („Alleinstellungsmerkmale“) im (formal) anonymisierten Datensatz gibt und wenn diese Datenkonstellation in Ver-gleichsdatenbanken – oder auch im persönlichen Wissen – mit offenem Personenbezug vorhanden ist, so kann aus dem Inhalt der Daten heraus auf die Person zurückge-schlossen werden, also trotz formaler Abtrennung der personenidentifizierenden Daten eine Reidentifikation er-folgen. Damit wäre auch die Zuordnung der weiteren im Datensatz enthaltenen, zuvor nicht bekannten Daten zur betreffenden Person möglich.

Ist eine solche Reidentifizierung aus dem Inhalt der Daten zwar theoretisch möglich, angesichts des zu betreibenden hohen Aufwands und der erforderlichen Vergleichsdaten-mengen in praxi höchst unwahrscheinlich, so liegt eine

„faktische Anonymisierung“ vor. Nur Letztere ist im Da-tenschutzrecht (§ 3 Abs. 7 BDSG) gefordert. Eine solche für den Datenschutz ausreichende faktische Anonymisie-rung kommt etwa dann in Betracht, wenn es um geneti-sche Grundlagenforschung (zum Beispiel genetigeneti-sche Epi-demiologie) geht, die keinen Rückbezug zu sonstigen Daten des Probenspenders erfordert. Also immer dann, wenn das zur Reidentifikation notwendige Zusatzwissen – hier die entsprechende Referenzprobe – nur mit unver-hältnismäßig großem Aufwand erlangt werden kann, kann eine Probe als anonymisiert im Sinne des Daten-schutzes angesehen werden (Die Datenschutzbeauftrag-ten des Bundes und der Länder 2005).

Grundsätzlich hängt die Beurteilung des Risikos einer Reidentifikation aus dem Inhalt eines anonymisierten Da-tensatzes von drei Faktoren ab: vom Umfang des anony-misierten Datensatzes, da mit der Zahl der Daten die Chance auf eine eindeutige Datenkonstellation steigt; von

der Art und Häufigkeit der enthaltenen Daten, da die Chance auf eindeutige Datenkonstellationen bei seltenen Ausprägungsformen in den Datensätzen steigt; sowie von Zahl, Art und Umfang verfügbarer Vergleichskollektive.

Da sich diese Faktoren im Zuge der wissenschaftlichen und gesellschaftlichen Entwicklung stark verändern, ist die Risikobeurteilung zudem vom Zeitpunkt der Betrach-tung abhängig: Eine steigende Anzahl von Datensamm-lungen mit personenbeziehbaren Daten auf allen Feldern der Gesellschaft – und damit von wechselseitig infrage kommenden Vergleichskollektiven – rücken zunehmend diesen Aspekt nur vermeintlich sicher anonymisierter Da-tensätze ins Blickfeld.⁴⁸

Bei heutigen medizinischen Datensammlungen in der Forschung liegen die medizinischen Daten in anonymi-siertem Zustand irreversibel entkoppelt von den patienten-identifizierenden Daten vor. Aus wissenschaftlicher und medizinischer Sicht ist das Verfahren der Anonymisie-rung zwar gängige Praxis, jedoch in drei grundlegenden Fällen unbefriedigend: (1) Wenn Forschungsvorgänge und Behandlungsvorgänge parallel laufen, (2) wenn eine langfristige Beobachtung des Patienten mit entsprechend longitudinaler Fortschreibung der Forschungsdaten ge-wünscht ist und dies mehrzeitige Datenexportvorgänge oder Behandlungsschritte an unterschiedlichen Institutio-nen erfordert, (3) wenn sich aus einer Analyse der Forschungsdaten (durch nichtbehandelnde Ärzte und Wissenschaftler) mögliche neue und bessere Behand-lungsoptionen, auch Optionen auf Teilnahme an weiteren Studien ergeben können, die man dem Patienten mitteilen muss.

Für den ersten und zweiten Fall ist die Fortschreibung des

„anonymen“ Falls in den Forschungsdatenbanken oder Kohorten (Registern) erforderlich, sodass trotz Auslas-sung patientenidentifizierender Merkmale die Daten im-mer derselben Person zugeordnet werden können. Im dritten Fall ist zusätzlich eine Rückermittlung der dahin-terstehenden Person anhand eines primär „anonymen“

Falls erforderlich.

In diesen Fällen ist eine reine Anonymisierung nicht adä-quat, da weder eine Fallfortschreibung noch eine – hier gewollte – Reidentifikation der Person möglich sind. Da-her muss bei diesen Anforderungslagen, wie sie bei einer Vielzahl von Forschungsdatenbanken und Registern, aber auch beim Aufbau von elektronischen Patientenakten im Rahmen der „vertikalen Vernetzung“ und integrierten Versorgung gegeben sind, stattdessen mit einer Pseudo-nymisierung operiert werden.

Anonymisierte Daten und Materialien fallen nicht unter die Datenschutzgesetze, da sie einer bestimmten Person nicht mehr zugeordnet werden können und es damit per definitionem nicht zu einer Verletzung von

Persönlich-48 Die Zahl notwendiger Einzeldaten, um in der Kombination eine Per-son eindeutig zu kennzeichnen, kann selbst in größten Kollektiven erstaunlich klein sein: Nach Lin et al. (2004) reicht die Bestimmung von 30 bis 80 statistisch voneinander unabhängigen „Single Nucleo-tide Polymorphisms“ (SNPs) aus, um eine Person weltweit eindeutig zu identifizieren.

keitsrechten kommen kann. Wenn allerdings, wie oben erwähnt, die faktische Anonymisierung und damit auch die Anonymisierbarkeit an bestimmte Rahmenbedingun-gen geknüpft ist, dann ist die Frage der Anonymisierung ggf. neu zu stellen, beispielsweise bei einer Weitergabe von anonymisierten Proben an Dritte. Aus diesem Grund kann eine Probe nicht von einem bestimmten Zeitpunkt an als grundsätzlich und dauerhaft anonymisiert definiert werden. Diese Eigenschaft ist im jeweiligen Kontext im-mer neu zu prüfen (Die Datenschutzbeauftragten des Bundes und der Länder 2005). Sollte die Anonymisier-barkeit nicht mehr gegeben sein, weil beispielsweise Re-ferenzproben aufgrund neuer Technologien oder im neuen Nutzungskontext mit weniger Aufwand zu be-schaffen sind und damit das Rückidentifizierungsrisiko steigt, gelten die Proben nur noch als pseudonymisiert und unterliegen wieder in vollem Umfang den Bestim-mungen des Datenschutzes und sind mit den entsprechen-den Auflagen zu nutzen (TMF 2006, S.122 f.).

Pseudonymisierung und pseudonymisierte Daten Unter Pseudonymisierung versteht man sinngemäß eine eingeschränkte Anonymisierung – ein klarer Personenbe-zug auch in der longitudinalen Fortschreibung der For-schung muss gewährleistet sein. Zugleich soll aber im pseudonymisierten Zustand keinerlei direkte Möglichkeit der Identifikation der sich hinter dem Pseudonym verber-genden natürlichen Person gegeben sein. Ziel der Pseudo-nymisierung ist es also gemäß der o. a. Definition des § 3

Abs. 6a BDSG nicht, den Personenbezug irreversibel ab-zutrennen, sondern lediglich durch ein eindeutiges Kenn-zeichen (Pseudonym) zu ersetzen, das für sich genommen die Identifikation der dahinterstehenden Person aus-schließt oder aber wesentlich erschwert. Vereinfacht ge-sagt, kann durch die Pseudonymisierung der Personenbe-zug so verschleiert werden, dass faktische Anonymität entsteht, ohne die gewünschte Verwertung der Daten nen-nenswert zu behindern (Pommerening 1995 u. 1996).

Es gibt diverse technische und organisatorische Pseudo-nymisierungsverfahren. So unterscheidet man:

– einstufige Pseudonymisierung: Hierbei ist nur eine Umschlüsselung von IDAT auf ein dauerhaft gespei-chertes Pseudonym vorgesehen;

– mehrstufige Pseudonymisierung: Hierbei wird zwei-fach umgeschlüsselt von IDAT über einen temporären, dem Behandler/Betreuer ebenfalls bekannten Identifi-kator (primäres Pseudonym) auf ein dauerhaft gespei-chertes, außerhalb der dauerhaften Datensammlung nirgends bekanntes Pseudonym (sekundäres Pseudo-nym) vorgesehen;

– Einwegpseudonymisierung: Hierbei erfolgt die Um-schlüsselung zu einem Pseudonym mithilfe eines Al-gorithmus bzw. Verfahrens, das mangels inverser Re-chenvorschrift nur in eine Richtung funktioniert (und damit eine Depseudonymisierung ausschließt) – im Gegensatz zur „normalen“ Pseudonymisierung.

A b b i l d u n g 1

Pseudonymisierung

Quelle: Pommerening et al. 2005, nach TMF 2006, S. 106 Proben- und

Datenquelle Arzt, KH, Inst.

Person (Proband bzw.

Patient)

Patientenliste

... ...

Maier, Johannes 6AZCB661 Maier, Josef KY2P96WA Maier, Jupp L85FD23S

... ...

IDAT PID

... ...

Maier, Johannes 6AZCB661 Maier, Josef KY2P96WA Maier, Jupp L85FD23S

... ...

IDAT PID

Person lokal bekannt

zentrale Erzeugung der PID (Identitätsmanagement)

– streng geheim! –

Forschungs-datenbank

DB

poten Angreifer potenzieller

Angreifer potenzielles

Datenleck PID

IDAT

Person zentral unbekannt

L85FD23S xxyyzz…

... ...

PID MDAT

L85FD23S xxyyzz…

... ...

PID MDAT

?

MDAT

Im Gegensatz zu einer faktischen Anonymisierung gibt es aber einen „Geheimnisträger“, der in der Lage ist, durch Depseudonymisierung den Personenbezug wieder herzu-stellen. Für andere Personen ist ein pseudonymisierter Datensatz dagegen genauso wenig einem Individuum zu-zuordnen wie ein anonymisierter. Entscheidend ist die or-ganisatorisch-technische Sicherung des „Geheimnisses“, d. h. der Zuordnung von Person (Identifikationsdaten) zum Pseudonym (Geheimnisschutz).

Die Abbildung 1 skizziert das Verfahren der Pseudonymi-sierung in seiner einfachsten Form: Beim Übergang vom direkten Kontakt mit dem Probanden bzw. Patienten in eine Forschungsdatenbank werden die personenidentifi-zierenden Daten (IDAT) von den medizinischen Daten (MDAT) getrennt; zur Fortschreibung wird als neues Ord-nungskriterium das Pseudonym (hier als kryptographisch verschlüsselter Patientenidentifikator = PID bezeichnet) in der Forschungsdatenbank geführt. Nur die Stelle, wel-che die Zuordnung bzw. Umschlüsselung von IDAT auf PID vornimmt (hier als „Patientenliste“ bezeichnet), kennt den – streng schutzwürdigen – Zusammenhang vom Pseudonym zur dahinterstehenden Person.

Ein potenzieller Angreifer auf die Forschungsdatenbank und die darin enthaltenen – gemäß § 3a BGSD sensiblen und daher besonders schutzwürdigen – medizinischen Daten könnte mit der PID keine Zuordnung zur Person vornehmen – obwohl grundsätzlich eine Personenbezieh-barkeit weiter besteht (Pommerening et al. 2005).

Pseudonymisierung erlaubt also im Gegensatz zur Ano-nymisierung eine erneute identische Umschlüsselung so-wie eine Rückidentifizierung. Diese kann gewollt und kontrolliert durch (aktive) Depseudonymisierung stattfin-den. Grundsätzlich gilt: Pseudonymisierte Daten bleiben personenbeziehbar und dürfen daher i. d. R. nur verwen-det werden, wenn die Probanden bzw. Patienten hierin eingewilligt haben.

Im Dokument Deutscher Bundestag (Seite 75-78)