A 518 Deutsches Ärzteblatt
|
Jg. 108|
Heft 10|
11. März 2011D
ie medizinische Forschung mit genetischen Daten wird im- mer wichtiger. Mit ihrer Hilfe kön- nen viele Krankheiten effektiver be- kämpft sowie erkrankte Patienten personalisiert und damit besser be- handelt werden. Allerdings handelt es sich bei genetischen Daten um die sensibelsten Daten überhaupt, da sie viele, zum Teil intimste Informatio- nen über die betroffene Person be - inhalten. Um optimale Forschungs - ergebnisse zu erzielen, werden Pro- jekte zur Erforschung genetischer Daten häufig auf europäischer Ebene durchgeführt. Dies hat zur Folge, dass genetische Daten zwischen Institutio- nen in mehreren europäischen Staa- ten ausgetauscht werden müssen.Diese Projekte stehen deshalb vor der Herausforderung, ihre Forschung so zu gestalten, dass sie mit den Anforderungen des Datenschutzes an die Verarbeitung sensibler Daten vereinbar ist. Datenschutzrechtliches Ziel ist es immer, so wenig personen- bezogene Daten wie möglich zu ver-
arbeiten. Es gilt daher ein Daten- schutzkonzept zu entwickeln, das in die Verfahrensabläufe eines europä - ischen Genforschungsprojekts inte- griert werden kann, möglichst keine personenbezogenen Daten verarbei- tet und dabei die Forschungsarbeit nicht über die Maßen beeinträchtigt.
Das hier vorgestellte Datenschutz- konzept, das die Autoren im Rahmen des europäischen Forschungsprojekts Advancing Clinico Genomic Trials on Cancer (ACGT; www.eu-acgt.
org) entwickelt haben, erfüllt diese Voraussetzungen. Es besteht aus zwei zentralen Säulen: der rechtli- chen Ausgestaltung und der techni- schen Umsetzung dieser Vorgaben.
Sicherheitsnetz
Im Gegensatz zu der gängigen Pra- xis, medizinische Forschungspro- jekte datenschutzrechtlich allein durch die Einwilligungen der Pa- tienten abzusichern, setzt das Kon- zept früher an. Ziel ist es, keine per- sonenbezogenen Daten zu verarbei-
ten. Dies hat drei entscheidende Vorteile: erstens, dass das Recht auf informationelle Selbstbestimmung von Patienten auf diese Weise am besten geschützt wird, zweitens, dass die datenschutzrechtliche Zu- lässigkeit nicht ausschließlich auf Einwilligungen der Patienten be- ruht, und drittens, dass die Forscher nicht den Restriktionen des Daten- schutzrechts unterliegen.
Nur mit anonymen Daten zu ar- beiten, ist jedoch schwierig umzu - setzen. Genetische Daten beinhalten nicht nur höchst sensible Informatio- nen, sondern sind zudem einzigartig.
Das bedeutet, dass genetische Daten, selbst nachdem alle anderen identifi- zierenden Merkmale entfernt worden sind, zumindest theoretisch, immer wieder einer Person zugeordnet wer- den können. Eine vollständige An - onymität gibt es bei genetischen Da- ten nicht. Allerdings werden Daten auch dann als – faktisch – anonym bewertet, wenn sie nur mit einem un- verhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren na- türlichen Person zugeordnet werden können (§ 3 Absatz 6 Bundesdaten- schutzgesetz). Das Datenschutzkon- zept sieht daher vor, die genetischen Daten in einem anonymen Kontext einer geschlossenen Benutzergruppe zu verarbeiten, um organisatorisch, technisch und vertraglich sicherzu- stellen, dass die verarbeiteten Patien- tendaten nur faktisch anonym verar- beitet werden.
Dazu wurde zunächst ein un - abhängiges projektinternes Daten- schutzgremium geschaffen. Dieses Gremium ist dazu befähigt, die Be- teiligten durch Verträge zur Einhal- tung der (für das Projekt entwickel- ten) Datenschutzbestimmungen zu verpflichten und bei Verstoß gegen diese Bestimmungen Sanktionen zu erlassen.* Hierfür schließt das Da-
*Für ACGT wurde hier- für das Center for Data Protection (www.priva cypeople.org), eine ge- meinnützige Gesell- schaft unter belgischem
Recht, gegründet.
Forscherin im Genlabor bei der Typisierung von DNA-Proben
Foto: Superbild
DATENSCHUTZ
Forschen mit genetischen Daten
Im Rahmen des Projekts „Advancing Clinico Genomic Trials on Cancer“ haben
Forscher ein Datenschutzkonzept für europäische Genforschungsprojekte entwickelt.
T H E M E N D E R Z E I T
Deutsches Ärzteblatt
|
Jg. 108|
Heft 10|
11. März 2011 A 519 tenschutzgremium Verträge mit denProjektbeteiligten, die die Einhal- tung des im Folgenden beschriebe- nen internen Datenschutzkonzepts rechtlich absichern. Zugleich ist es die für die gesamte Datenverarbei- tung im Projekt verantwortliche Stel- le und damit Ansprechpartner für die betroffenen Personen bei jedweden Verletzungen des Grundrechts auf informationelle Selbstbestimmung.
Faktische Anonymisierung Sodann ist die Implementierung ei- ner technischen Sicherungsstruktur erforderlich, die sich einerseits auf Pseudonymisierung stützt und an- dererseits einen Datentreuhänder in die Architektur einbindet.
Die genetischen Daten eines Pa- tienten werden vom jeweils behan- delnden Arzt entnommen und wie gewöhnlich vor Ort im Kranken- haus oder in angeschlossenen Labo- ren analysiert und gespeichert. Bis zu diesem Punkt handelt es sich um personenbezogene Daten, und der Schutz der Patientendaten obliegt ausschließlich dem Krankenhaus.
Erklärt sich ein Patient bereit, an dem Forschungsprojekt teilzuneh- men, werden seine Daten mit einer speziellen Software pseudonymi- siert und anschließend an das Pro- jekt übermittelt. Der Schlüssel, der die (Re-)Identifizierung des Patien- ten ermöglicht, wird ausschließlich von einem Datentreuhänder verwal- tet. Soweit die Daten erstens nur in- nerhalb des Projekts genutzt wer- den und zweitens niemand außer dem Datentreuhänder Zugriff auf den Schlüssel hat, können sie be- reits zu diesem Zeitpunkt als fak- tisch anonym bewertet werden.*
Sämtliche an dem Projekt betei- ligten Institutionen müssen sich ver- traglich zur Einhaltung von Daten- schutzmaßnahmen verpflichten. Da- zu müssen zwei Arten von Verträgen geschlossen werden, um die erarbei- teten Datenschutzbestimmungen für das Projekt verbindlich zu imple- mentieren. Der erste Vertrag befasst sich mit der Datenübermittlung von Krankenhäusern oder Forschungs- einrichtungen an das Forschungs-
netzwerk, hier werden vor allem An- forderungen an die Pseudonymisie- rung der Daten festgelegt. Diesen Vertrag müssen alle Krankenhäuser unterzeichnen, die genetische Daten an das Netzwerk übermitteln. Ein weiterer Vertrag ist von jedem Pro- jektpartner zu unterzeichnen, der mit Daten aus dem Netzwerk arbeiten will. Inhalt dieses Vertrags ist vor allem der Umgang mit den Daten, insbesondere im Hinblick auf den Abgleich dieser Daten mit anderen Datenbanken, die Weitergabe oder Veröffentlichung der Daten.
Gleichwohl verzichtet auch die- ses Konzept nicht vollständig auf die Einwilligung der Patienten, de- ren genetische Daten in dem Projekt untersucht werden sollen. Nur fun- giert die Einwilligung dabei als Si- cherheitsnetz, sollte der anonyme Kontext einmal gestört sein und es doch zu einer Verarbeitung perso- nenbezogener Daten kommen. Da- durch wird der Patient in das Projekt einbezogen. Dies sorgt für Transpa- renz und generiert Vertrauen – ein wichtiger Faktor bei Forschungs- projekten dieser Art und aus ethi- schen Gründen ohnehin erforder- lich. Überdies schafft das Vor liegen einer Einwilligung Rechtssicherheit für die beteiligten Forscher.
Um die rechtlichen Anforderun- gen an die De-Identifizierung zu er- füllen, wurde ein Programm entwi- ckelt, um pseudonymisierte Daten aus den Datenquellen der Kliniken an das Projekt zu übermitteln.
Dadurch, dass das Programm ei- ne generische Lösung bietet, unab- hängig davon, welche Art von Da- ten behandelt werden oder was ge- nau die De-Identifizierungsanforde- rungen sind, handelt es sich um eine innovative Lösung, die unterschied- lichen Anforderungen gerecht wird.
Das Programm besteht aus einer
„workbench“ und einem „wizard“.
Die „workbench“ definiert die Me- chanismen (Datenschutzprofil), die zum Datenexport genutzt werden, der „wizard“ wendet diese Mecha- nismen auf die verschiedenen Da- tenquellen an. Die datenschutzbe- dingten Veränderungen werden als Bibliothek vorgehalten. Diese kön- nen Entwickler über Schnittstellen zur Anwendungsprogrammierung
nutzen, um die Funktionen des Pro- gramms zu erweitern und an neue Anforderungen anzupassen.
Sensible Daten können nur als faktisch anonym qualifiziert werden, wenn der Kontext, in dem sie genutzt werden, vom projektinternen Daten- schutzgremium als verantwortlicher Stelle beherrscht wird, das heißt, dass auf sensible Daten nur solche Personen und Organisationen Zugriff haben, die rechtlich an die Daten- schutzbestimmungen des Projekts gebunden sind. Technisch werden sie dabei von einem separaten Autori - sierungsservice unterstützt, der vom Datenschutzgremium verwaltet wird und alle Datenschutzgrundsatzent- scheidungen trifft. Durch das zentra- le Datenschutzmanagement können die Service- und Datenprovider die Datenschutzbestimmungen innerhalb des Projekts mühelos befolgen, und gleichzeitig kann sich das Daten- schutzgremium aus der Haftung be- freien, falls ein Datenprovider ab- sichtlich gegen die Datenschutzbe- stimmungen verstößt.
Fazit
Die Forschung an menschlichen Ge- nen birgt enorme Chancen, aber auch große Risiken. Es ist daher wichtig, Modelle für die Genforschung zu entwickeln, die den medizinischen Fortschritt unterstützen und zugleich die Privatsphäre der betroffenen Per- sonen wirksam schützen. Nur wenn diese beiden Faktoren gewährleistet sind, wird die Genforschung für the- rapeutische Zwecke von der Bevöl- kerung nachhaltig akzeptiert. Um dies zu erreichen, müssen die geneti- schen Daten sobald wie möglich anonymisiert werden. Durch die Schaffung einer geschlossenen Be- nutzergruppe, die in einem anony- men Kontext arbeitet, kann gewähr- leistet werden, dass Forscher mit für sie faktisch anonymen genetischen Daten arbeiten können. Das hier vor- gestellte Datenschutzkonzept erfüllt diese Voraussetzungen. ■
Marian Arning, Brecht Claerhout, Eva Egermann, Prof. Dr. Nikolaus Forgó, Dr. Tina Krügel
Kontaktadresse
Institut für Rechtsinformatik, Leibniz-Universität Hannover, Königsworther Platz 1, 30167 Hannover, E-Mail: arning@iri.uni-hannover.de
*vgl. Arning M, Forgó N, Krügel T: Datenschutz- rechtliche Aspekte der Forschung mit genetischen Daten. DUD 2006, 700
