"Es wird mehrere Module geben"
Interview mit Prof. Dr. Klaus Pommerening zum Ausbau einer ID-Management-Infrastruktur für die klinische Forschung
Prof. Dr. Klaus Pommerening
November 2010. „Es wird mehrere Module geben mit verschiedenen Pseudonymen, die nur bei Bedarf und durch speziell autorisierte Personen über die ID-Management-Tools miteinander verbunden werden können. Konkret sind das ein Versorgungsmodul, ein Studienmodul, ein Forschungsmodul und ein Biobank-Modul.“
Das Interview führte Beate Achilles im Oktober 2010. Eine Kurzfassung erscheint in der Zeitschrift E-Health-COM 6 | 2010.
Beim Workshop „Tools zum ID Management in der klinischen Forschung“ am 24. September 2010 in Berlin sprachen Sie als Leiter der TMF-Arbeitsgruppe Datenschutz über bekannte und noch nicht umgesetzte Anforderungen an die Werkzeuge zum ID-Management. Wie sehen diese neuen Anforderungen aus?
Die bisherigen TMF-Konzepte für das ID-Management passen nicht auf große Forschungsnetze. Sie wurden ursprünglich für die Kompetenznetze entzündliche Darmerkrankungen und Rheuma entwickelt, die mit einer einzelnen, großen Datenbank arbeiten. Anschließend hat man diese Lösungen auch für andere Forschungsnetze angeboten. Dabei stellte sich heraus, dass diese Netze andere Anforderungen haben und die bestehenden Konzepte nicht überall passen.
In den großen Forschungsnetzen, klinischen Studien, Biobanken und Kohorten von heute zum Beispiel gibt es eine Vielzahl von Forschungsdatenbanken und auch unterschiedliche gesetzliche Datenschutz-Anforderungen. Zudem hat sich gezeigt, dass man beispielsweise eine Phonetik für ausländische Patientennamen benötigt, denn dort gibt es relativ häufig Schreibfehler. So gibt es inzwischen eine ganze Reihe von kleineren Nachbesserungen, die eingearbeitet werden müssten.
Wie sieht ihre Roadmap zum Ausbau einer ID-Management-Infrastruktur für die klinische Forschung aus?
Ich würde das nicht als Roadmap bezeichnen. Es wird mehrere Module geben mit verschiedenen Pseudonymen, die nur bei Bedarf und durch speziell autorisierte Personen über die ID-Management-Tools miteinander verbunden werden können. Konkret sind das ein Versorgungsmodul, ein Studienmodul, ein Forschungsmodul und ein Biobank-Modul.
Welche besonderen Anforderungen gibt es für das ID-Management bei Proben in Biobanken?
In Biobanken werden biologische Proben und Probenextrakte aller Art für die medizinische Forschung gesammelt. Dabei können die Zweckbestimmung einer Probe, die Speicherdauer und der Nutzerkreis meist nicht von vornherein verbindlich festgelegt werden. Dies kann zu Problemen führen, da man aus Biomaterial genetische Fingerabdrücke gewinnen kann, über die sich der Probenspender herausfinden lässt. Eine wirksame Anonymisierung ist praktisch unmöglich.
Aus rechtlicher Sicht müssen bei Biobanken deshalb besondere technische und organisatorische Schutzmaßnahmen getroffen werden. Eine gezielte Trennung von gespeicherten Informationen und eine Kommunikation über vertrauenswürdige Dienste sind unerlässlich. Geeignete Verfahren zur Pseudonymisierung müssen Daten einerseits verschlüsseln, andererseits aber eine kontrollierte Zusammenführung von gespeicherten Informationen gestatten.
Unter dem Dach der TMF wurde bereits ein geeignetes Datenschutzkonzept für den Betrieb von Biobanken (BMB-Datenschutzkonzept) entwickelt. Es berücksichtigt verschiedene Situationen und Organisationsformen und macht konkrete, aber noch anpassbare Vorgaben. Die TMF stellt darüber hinaus die nötigen IT-Werkzeuge zur Verfügung und gibt Empfehlungen für organisatorische Maßnahmen und für die Formulierung von Einwilligungserklärungen.
Ein weiteres Thema beim Workshop war das ID-Management in Grid-Strukturen? Was sind hier die Besonderheiten?
In einem Grid werden die Daten auf verteilten Rechnersystemen verarbeitet oder bereitgestellt. Man weiß nicht genau, wo die Daten hingehen. Dies führt dazu, dass der Zugriffsschutz und die Sicherheit der Daten nicht in dem gleichen Maße gewährleistet werden können, wie beispielsweise in separaten Forschungsdatenbanken. Dennoch kann man auch hier ein hohes Sicherheitsniveau erreichen, indem man beispielsweise über eine doppelte Pseudonymisierung den Schutzbedarf der Daten absenkt. Ein solches Verfahren schlägt die TMF auch für langfristige Forschungsdatenbanken vor.
Daneben kann man für die Berechnungsoperationen im Grid auch mit temporären Pseudonymen arbeiten, die den Schutzbedarf noch weiter absenken. Problematisch bleibt die Verarbeitung von medizinischen Datensätzen, die so umfangreich und detailliert sind, dass sie aus sich selbst heraus eine Reidentifizierung erlauben und deshalb kaum wirksam pseudonymisiert werden können.
Was sind die besonderen Anforderungen an das ID-Management in Single-Source Ansätzen, also bei Konstellationen, in denen der Patient behandelt wird und zur gleichen Zeit an einem Forschungsprojekt teilnimmt.
Hier sind spezielle rechtliche Rahmenbedingungen zu erfüllen, die Prof. Dr. Alexander Roßnagel in einem 2008 veröffentlichten Rechtsgutachten der TMF (Rechtsgutachten zum Datenschutz in der medizinischen Forschung) erörtert hat. Technische Lösungen zur Nutzung der Versorgungsdaten durch die Forschung gibt es heute bereits, aber man möchte die Schnittstellen zu den Versorgungssystemen noch verbessern, um doppelte Dateneingaben zu vermeiden. Das Datenschutzkonzept A der TMF beinhaltet keine Schnittstellen, mit denen man den Datentransfer zwischen einem KIS und einer Forschungsdatenbank bewerkstelligen könnte. An entsprechenden Schnittstellen, die die Standards CDISC und HL7 berücksichtigen, arbeitet die TMF derzeit. Für die Pseudonymisierung der Patientendaten stehen entsprechende Tools der TMF zur Verfügung.
Ein weiteres Problem bei Single-Source Architekturen ist die unterschiedliche inhaltliche Ausrichtung von Versorgungs- und Forschungsdatenbanken. Die für die Versorgung benötigten Daten erfassen hauptsächlich Sachverhalte, die für die Abrechnung relevant sind. Vieles, was für Forschungsdatenbanken wichtig wäre, ist abrechnungstechnisch irrelevant und umgekehrt. Für Forschungszwecke sind die Daten aus der Versorgung deshalb oft sind nicht umfangreich genug und qualitativ nicht ausreichend.
Im September dieses Jahres demonstrierten in Berlin rund 7.500 Menschen unter dem Motto “Freiheit statt Angst” für Bürgerrechte und Datenschutz. Redner machten dort unter anderem gegen die elektronische Gesundheitskarte mobil. Ein Vertreter der Freien Ärzteschaft behauptete, durch die elektronische Gesundheitskarte werde das "unverzichtbare Bollwerk der ärztlichen Schweigepflicht" durch die im Hintergrund bereits angelegten "riesigen Server" zur Datenzusammenführung weggefegt. Kann man solchen Befürchtungen mit den vorhandenen Tools der TMF zum ID-Management entgegentreten?
Zunächst muss man dazu sagen, dass die zentralen Infrastrukturen für die elektronische Gesundheitskarte nicht in der Forschung, sondern in der Versorgung bei der Gesellschaft für Telematikanwendungen der Gesundheitskarte GmbH (gematik) aufgebaut werden. Die TMF-Datenschutzmodelle werden in der Versorgung gar nicht verwendet. Sofern eines Tages zentrale IT-Infrastrukturen für die Forschung aufgebaut werden sollten, wird man solchen Befürchtungen aus meiner Sicht mit den Tools der TMF zum ID-Management entgegentreten können. Die TMF-Lösungen genießen schon heute ein hohes Vertrauen. Viele Patientenverbände wenden sich an die TMF, um sich zu TMF-Datenschutzkonzepten und Tools für das ID-Management beraten zu lassen.
Prof. Dr. Klaus Pommerening ist Inhaber des Lehrstuhls für Medizinische Informatik am Institut für Medizinische Biometrie, Epidemiologie und Informatik, Johannes-Gutenberg-Universität Mainz, und Sprecher der TMF-Arbeitsgruppe Datenschutz.
- Nachbericht zum TMF-Workshop ID-Management