Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.07.2007

Merkblatt zum Datenschutz bei medizinischen Studien mit Patientendaten

Version 1.0 (18.07.2007)

0. Vorwort

Die medizinische Forschung benötigt für ihre Arbeit sowohl medizinische Patientendaten als auch in zunehmendem Maße Biomaterialien (Blut-, Gewebeproben etc.). Insbesondere im Zeitalter der genetischen Analyse spielt der Datenschutz eine wichtige Rolle auch für die Akzeptanz der Studien beim Patienten. Vor allem um spätere Änderungen am Konzept und damit Verzögerungen im Projekt zu vermeiden, sollte der Datenschutz von Anfang an systematisch betrachtet werden. Hierzu soll vorliegendes Merkblatt als Leitfaden dienen und aufzeigen, welche Aspekte aus Datenschutzsicht bei der Konzeption medizinischer Studien zu beachten sind.

Kapitel 1 umfasst das eigentliche Merkblatt, das stichpunktartig die zu untersuchenden Punkte zusammenfasst. Kapitel 2 beinhaltet ausführlichere Erklärungen dieser Punkte.

1. Merkblatt Datenschutz bei medizinischen Studien

Im Rahmen der Studienkonzeption sollten folgende Punkte diskutiert und, in allgemein verständlicher Form, schriftlich dokumentiert werden. Häufig ist es empfehlenswert, die Ergebnisse in einem eigenen Datenschutzkonzept zusammenzufassen.

1. Inhalt und Zweck
2. Betroffener Personenkreis
3. Beteiligte, speichernde Stelle im Sinne des Datenschutzes
4. Erhobene Daten und Proben sowie deren Erforderlichkeit
5. Analyseergebnisse der Proben
6. Rechtsgrundlage, Einwilligungserklärung, Patienteninformation
7. Datenflüsse, Speicherorte
8. Lagerung und Weitergabe von Proben
9. Verfahren zur Pseudonymisierung und Anonymisierung inklusive Risikoabschätzung
10. Datenlöschung, Vernichtung von Proben, Nutzung von Daten und Proben nach Studienende
11. Workflow, Beschreibung typischer Abläufe
12. Qualitätssicherung, Monitoring
13. Technische Ausgestaltung
14. Technisch-organisatorische Sicherheitsmaßnahmen nach Art. 7 BayDSG
15. Beurteilung des behördlichen Datenschutzbeauftragten
16. Freigabe nach Art. 26 BayDSG

2. Erläuterungen

Zu 1: Inhalt und Zweck der Studie

Grundlage jeder Prüfung auf datenschutzrechtliche Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist die Betrachtung der Verhältnismäßigkeit und Erforderlichkeit. Im ersten Schritt ist daher eine Beschreibung des Projekts in allgemein verständlicher Form nötig, die es dem Prüfenden (sowie dem Patienten) ermöglicht, ein Verständnis für die Aufgaben und Belange der Studie zu entwickeln. Insbesondere soll dadurch die Möglichkeit bestehen, die Schwere des Eingriffs in die Privatsphäre des Patienten abzuwägen.

Zu 2: Betroffener Personenkreis

Unter diesem Punkt soll die Gruppe der anvisierten Studienteilnehmer näher beschrieben werden. Insbesondere von Interesse sind z.B. nicht-einwilligungsfähige Personen oder auch Fälle, in denen zum eigentlichen Probanden Informationen zu weiteren Personenkreisen (z.B. Verwandte) hinzugezogen werden sollen.

Zu 3: Beteiligte, Speichernde Stelle

Es ist aufzuführen, welche Stellen (insbesondere bei Multicenter-Studien) an der Studie beteiligt sind und wie die Aufgaben verteilt sind. Im Einzelnen bedeutet dies, dass dargelegt werden sollte, welche Stellen Daten und Proben erheben und aufbewahren, an welche Stellen Daten und Proben weitergegeben werden und wer Zugriff zu Forschungszwecken hat.

Insbesondere ist anzugeben, wer speichernde Stelle im Sinne des Art. 4 Abs. 9 BayDSG ist, d.h. wer gegenüber Patienten aber auch prüfenden Stellen die Verantwortung für die Einhaltung des Datenschutzes im Projekt übernimmt.

Zu 4: Erhobene Daten und Proben

Unter diesem Punkt soll im Einzelnen dargestellt werden, welche patientenbezogenen Daten und Proben in der Studie erhoben werden und warum diese erforderlich sind. Nach Möglichkeit sollte eine vollständige Aufzählung der beim Patienten erhobenen wie auch der aus den Proben gewonnenen Daten vorgenommen werden, wobei keine detaillierte Erklärung der Angaben erforderlich ist. Zweck ist vielmehr die Gewinnung eines Überblicks über den Umfang der erhobenen Daten.

Zu 5: Analyseergebnisse der Proben

Des Weiteren sollte genauer aufgeführt werden, welche Analysen an den Proben durchgeführt werden und welche anderen Informationen potenziell noch aus den Proben gewonnen werden könnten. Hintergrund dieser Angaben ist es festzustellen, wie schützenswert die aus den Proben gewonnenen Erkenntnisse und damit auch die Proben sind. Zudem sollte dargelegt werden, ob die erhobenen Proben noch für andere bzw. weitergehende Forschungsvorhaben von Interesse sein könnten.

Zu 6: Rechtsgrundlage

Es ist darzulegen, aufgrund welcher rechtlichen Basis die Daten und Proben erhoben werden dürfen. In den meisten medizinischen Studien dürfte dies die Einwilligung des Patienten sein. Hierzu sind eine Patienteninformation und eine Einwilligungserklärung nötig. Zum einen soll hiermit der Patient über die Modalitäten der Studie, sowie die genutzten Daten und Proben aufgeklärt werden, zum anderen soll er über seine Rechte im Rahmen der Studie (z.B. Widerruf der Einwilligung, Löschung von Daten) informiert werden. Die eigentliche Einwilligung muss schriftlich erfolgen.

Ein wichtiger Aspekt hierbei ist die Zweckbindung der Daten und Proben, die ebenfalls in der Einwilligungserklärung festgehalten werden muss. Erhobene Daten und Materialien dürfen nur für die dort angegebenen Zwecke verwendet werden, eine "Umwidmung" ist daher nicht möglich. Dies soll verhindern, dass der Patient die Nutzung seiner Proben und Daten nicht mehr kontrollieren kann oder dass sie zu Zwecken genutzt werden, die nicht im Sinne des Patienten sind.

Weitere Details zum Thema Patienteninformation und Einwilligung sind in den Tätigkeitsberichten enthalten, z.B. 19. TB, Kapitel 2.3.1, "Grundsätzliche Anforderungen an die datenschutzgerechte Ausgestaltung von Forschungsvorhaben" und 21. TB, Kapitel 20.2.2, "Anforderungen an Anonymisierung und Einwilligung bei Forschungsvorhaben".

Zu 7: Datenflüsse und Speicherorte

Unter diesem Punkt soll (eventuell auch graphisch) ein Überblick gegeben werden, von welcher Stelle welche Daten erhoben und gespeichert werden und wohin Daten übermittelt werden. Ein wichtiger Aspekt sind hierbei Zugriffsmöglichkeiten auf Daten, sowohl auf die Erhebungsdaten (evtl. mit Patientenbezug, soweit sie auch im Behandlungszusammenhang genutzt werden) als auch auf die Forschungsdaten (in der Regel pseudonymisiert oder anonymisiert).

Kern dieses Punktes ist eine Darstellung auf logischer Ebene, die Einzelheiten der technischen Realisierung sind erst später von Interesse.

Zu 8: Lagerung und Weitergabe von Proben

Analog zu den Angaben (unter 7.) bzgl. der Daten, sollten auch die Modalitäten der Aufbewahrung und Weitergabe von Proben überblicksartig dargelegt werden (Informationen, die aus den Proben gewonnen werden, fallen unter den Punkt 7. Umgang mit Daten.).

Zu 9: Pseudonymisierungsverfahren

Normalerweise werden zu Forschungszwecken keine personenbezogenen Daten benötigt. Hierfür verwendete Daten sind daher frühestmöglich zu anonymisieren, oder, falls ein begründbarer Bedarf an Personenbeziehbarkeit besteht, zu pseudonymisieren. Auch Proben sollten im Forschungszusammenhang nur anonymisiert bzw. pseudonymisiert genutzt werden. Einzelheiten hierzu können einer Orientierungshilfe zu diesem Thema entnommen werden, abrufbar unter http://www.datenschutz-bayern.de/technik/orient/ohilfe_psn_03.html.

Im Rahmen der Studienkonzeption sind auf jeden Fall folgende Punkte zu klären (und zu dokumentieren):

• Ort der Pseudonymisierung
• Verfahren zur Generierung des Pseudonyms
• Anzahl der Pseudonymisierungsschritte
• Soweit Depseudonymisierung gewünscht, Verfahren hierzu
• Verwaltung der Zuordnung Pseudonym - Patientendaten
• Beschlagnahmeschutz
• Beschreibung des Gesamtablaufs der Pseudonymisierung der Daten (evtl. auch grafisch)

Zudem ist eine Risikoabschätzung zum Thema unbefugte Depseudonymisierung erforderlich, um festzustellen, ob das gewählte Verfahren ausreichenden Schutz für die Patientendaten und Proben bietet. Dabei sind folgende Punkte zu untersuchen:

• Sensibilität der verarbeiteten Daten
• Angriffsszenarios
• Analyse der Schwachstellen, insbesondere Anzahl der für eine unbefugte Depseudonymisierung zu kompromittierenden Stellen

Zu 10: Datenlöschung

Grundsätzlich dürfen Daten (und Proben) nur solange aufbewahrt werden, wie sie für die Erfüllung der Aufgabe, sprich die Auswertung der Studie benötigt werden. Danach müssen sie entweder anonymisiert oder gelöscht werden. Diskutiert wird derzeit, ob Proben und Daten (mit Einwilligung des Patienten) ohne Zeitbeschränkung für zukünftige (d.h. noch unbestimmte) Forschungszwecke aufbewahrt werden können. Aus Sicht des Datenschutzes ist dies kritisch zu sehen und muss im Einzelfall gründlich geprüft werden, z.B. bei seltenen Materialien oder seltenen Krankheiten. Entsprechende Hinweise müssen in die Einwilligungserklärung aufgenommen werden.

Darüber hinaus kann üblicherweise der Patient die Löschung der Daten bzw. Vernichtung der Proben fordern, indem er seine Einwilligung zur Studie zurückzieht. Dies ist grundsätzlich jederzeit möglich, da die Teilnahme an einer Studie freiwillig ist. Die Modalitäten der Löschung / Vernichtung sind in der Patienteninformation darzustellen.

Zu 11: Workflow

Wichtig für die Analyse der Datenschutzkonformität der Daten- und Probenflüsse ist eine Beschreibung der Abläufe. Diese sollten daher schrittweise grafisch oder textuell aufgezeigt werden. Typische derartige Abläufe sind z.B.:

• Aufnahme eines Patienten in die Studie
• Erhebung der Daten
• Evtl. Entnahme von Proben
• Beschriftung der Proben
• Übermittlung von Daten und/oder Proben
• Wissenschaftliche Auswertung, Veröffentlichung von Ergebnissen
• Widerruf der Teilnahme durch den Patienten, inklusive Datenlöschung, Vernichtung von Proben
• Auskunft über gespeicherte Daten an den Patienten

Zu 12: Qualitätssicherung, Monitoring

Die Qualitätssicherung ist ein wichtiger Aspekt bei der Verwendung von Daten und Proben für die Forschung, da nur so verwertbare Ergebnisse erzielt werden können. Es sollten daher bereits in der Konzeptionsphase Überlegungen angestellt werden, wie eventuell benötigte Zugriffe durch Monitore datenschutzkonform realisiert werden können. Dies beinhaltet z.B. Festlegungen, welche Personen zum Zugriff berechtigt sind, wie dies erfolgen soll und auf welche Daten der Zugriff erlaubt sein soll. Auch hier gilt der Grundsatz, dass nach Möglichkeit nur auf pseudonymisierte oder anonymisierte Daten zugegriffen werden soll.

Zu 13: Technische Ausgestaltung

Unter diesem Punkt soll eine Übersicht gegeben werden, mit welchen technischen Mitteln die Datenerhebung und -verarbeitung erfolgen soll. Dies gilt sowohl für eine papierbasierte Studiendokumentation als auch für die elektronische Datenerhebung. Für letzteren Fall sollten folgende Punkte dargestellt werden:

• Beschreibung der verwendeten Datenbanken und zugehörigen Server
• Beschreibung der Komponenten bei Datenlieferanten und Datenabrufenden (Clients)
• Vernetzungsstruktur zwischen den beteiligten Komponenten
• Verantwortlichkeiten für die Komponenten
• Anwendungen, eingesetzte Software

Darüber hinaus sollte zu den Punkten der Workflowbeschreibung, die sich mit Datenübermittlungen und -speicherungen beschäftigen, nunmehr die Details ihrer technischen Realisierung dargestellt werden. So sollte z.B. ausgeführt werden, wie im Einzelnen die elektronische Datenerfassung abläuft.

Zu 14: Technisch-organisatorische Sicherheitsmaßnahmen

Gemäß Art. 7 BayDSG sind bei der automatisierten Datenverarbeitung technisch-organisatorische Sicherheitsmaßnahmen erforderlich. Diese sollen mit technischen Mitteln eine unbefugte Kenntnisnahme der Daten verhindern. Analog dazu sind auch Schutzmaßnahmen für die Proben nötig, d.h. eine gesicherte Aufbewahrung und Weitergabe.

Als grundsätzliche Orientierung bei der Festlegung von geeigneten Maßnahmen können beispielsweise die "10 Gebote" des Art. 7 BayDSG verwendet werden. Diese beinhalten folgende Punkte (weitere Einzelheiten können der Orientierungshilfe zu diesem Thema http://www.datenschutz-bayern.de/technik/orient/10geb.htm entnommen werden):

• Zugangskontrolle, z.B. räumliche Absicherung, Verschluss, Zugangsregelungen
• Datenträgerkontrolle, z.B. Kopierschutz, Inventarisierung von Geräten, Entsorgung
• Speicherkontrolle, z.B. personenbezogene Benutzerkennungen, differenzierte Zugriffsrechte, Protokollierung
• Benutzerkontrolle, z.B. Identifikation und Authentifikation von Benutzern, Verschlüsselung
• Zugriffskontrolle, z.B. revisionsfähige Benutzerkennungen und Zugriffsrechte
• Übermittlungskontrolle, z.B. Protokollierung, Quittierung, Nichtabstreitbarkeit
• Eingabekontrolle, z.B. Plausibilitätskontrolle, Zuordenbarkeit zum Benutzer, Protokollierung
• Auftragskontrolle, z.B. Vertragsgestaltung, sorgfältige Auswahl der Auftragnehmer
• Transportkontrolle, z.B. Verschlüsselung, elektronische Signatur
• Organisationskontrolle, z.B. Funktions- und Aufgabentrennung, schriftliche Regelungen

Diese Maßnahmen sollten für alle Komponenten der im vorigen Punkt beschriebenen Systemstruktur untersucht werden, also sowohl für Server, Clients, Netzinfrastruktur, Räume als auch für die Anwendungen zum Datenmanagement. Analog muss für die Proben untersucht werden, welche Maßnahmen z.B. zur physischen Sicherung gegen Diebstahl erforderlich sind.

Ein systematisches Vorgehen zur Erstellung eines Sicherheitskonzepts bieten beispielsweise die Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) http://www.bsi.de/gshb/index.htm (externer Link) (ehemals das sogenannte Grundschutzhandbuch), die speziell für größere Projekte interessant sein können. Sie bieten ein mehrstufiges Vorgehen, bei dem an Hand eines gewissen Kriterienkatalogs Gefahren und Sicherheitsrisiken untersucht und darauf aufbauend Maßnahmen festgelegt werden.

Zu 15: Beurteilung des behördlichen Datenschutzbeauftragen

Unabhängig von der Verfahrensfreigabe (siehe nächster Punkt) sollte der behördliche Datenschutzbeauftragte bereits frühzeitig in die Studienkonzeption miteinbezogen werden. Dadurch können Änderungen aufgrund des Datenschutzes zu einem späteren Zeitpunkt vermieden werden.

Zu 16: Verfahrensfreigabe

Gemäß Art. 26 BayDSG ist für alle Verfahren, mit denen personenbezogene Daten automatisiert verarbeitet werden, eine Freigabe durch den behördlichen Datenschutzbeauftragten und eine Aufnahme ins Verfahrensverzeichnis gemäß Art. 27 BayDSG nötig. Dies soll u.a. sicherstellen, dass eine zentrale Übersicht über alle in einer öffentlichen Stelle betriebenen Verfahren existiert und hierbei der Datenschutz berücksichtigt wurde.

Insbesondere für Multicenter-Studien mit mehreren beteiligten Einrichtungen muss unter den Projektbeteiligten ein Verfahren festgelegt werden, wie diese Freigabe erfolgen soll. Es genügt nicht, dies nur bei der Studienzentrale durchzuführen, sondern jede beteiligte Stelle (d.h. jede Stelle die im Rahmen der Studie Daten verarbeitet) muss für ihren Teil der Studie eine eigene Freigabe vornehmen. Bei länderübergreifenden Studien sind hierbei die jeweiligen Landesdatenschutzgesetze zu beachten. Ein effizientes und koordiniertes Verfahren kann daher sinnvoll sein.

Weiterführende Literaturhinweise

• R. Metschke, R. Wellbrock, Datenschutz in Wissenschaft und Forschung, Materialien zum Datenschutz Nr. 28, http://www.datenschutz-berlin.de/infomat/heft28/dswi_f_c.htm (externer Link) (enthält auch Beispiele für Einwilligungserklärungen)
• Bayerischer Landesbeauftragter für den Datenschutz, Datenschutzrechtliche Aspekte in Medizin und Epidemiologie, http://www.datenschutz-bayern.de/verwaltung/epidem2.htm
• Deutsche Arbeitsgemeinschaft für Epidemiologie (DAE), Arbeitskreis Wissenschaft der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Epidemiologie und Datenschutz, http://www.datenschutz-bayern.de/verwaltung/epidem.htm