Handy mit EKG-Ergebnissen
picture alliance/Phanie

Digitale Medizin
Wie können Mediziner Patientendaten schützen?

Will ein Forscher mit Daten von Patienten oder Probanden arbeiten, muss er dabei einiges beachten. Ein Gespräch mit dem Experten Ulrich Sax.

Von Vera Müller 18.10.2018

Forschung& Lehre: Anonymisierung und Pseudonymisierung sind Methoden, um medizinische Daten von Patienten beziehungsweise Probanden zu schützen. Wie wirksam sind diese Methoden, wo liegen ihre Grenzen?

Ulrich Sax: In der Tat ist das das Kernthema im Datenschutz. Sobald die Daten des Patienten oder Probanden den Kontext der direkten Heilbehandlung verlassen, gibt es keinen Grund mehr, sie weiterhin unter ihrem Namen zu führen mit weiter identifizierbaren Daten. Name, Vorname und möglicherweise das Geburtsdatum können dann durch ein Pseudonym, zum Beispiel eine Kombination aus acht Buchstaben und Zahlen, ersetzt werden. Dieses Pseudonym ist nichtsprechend, das heißt, aus diesem Pseudonym lässt sich nicht automatisch herausfinden, wer das ist. Das Verfahren kommt dann zur Anwendung, wenn die Daten aus verschiedenen Datenquellen stammen und nicht über den Namen zusammengeführt werden können, sondern über das Pseudonym eine eindeutige Zuordnung gemacht wird.

F&L: Wann ist das notwendig?

Ulrich Sax: Das ist aus zweierlei Gründen notwendig: Erstens, wenn ich die Daten nicht nur einmalig verwenden, sondern Folgedaten erheben möchte, benötige ich dafür das gleiche Pseudonnym. Zweitens kann es aus ethischen Gründen sinnvoll sein, dass der Patient im Bedarfsfall kontaktiert werden kann. Dann brauche ich das Pseudonym und die Tabelle, meistens eine Patientenliste, in der sich sowohl die identifizierenden Daten als auch das Pseudonym befinden. In bestimmten Fällen legt die Ethikkommission fest, dass der Patient informiert werden soll, wenn etwas Relevantes herauskommt. Bei der Anonymisierung ist das nicht möglich. Das Verfahren ist technisch ähnlich. Auch hier will man sicherstellen, dass der Patient eine eindeutige Nummer erhält, über die ich als Arzt die Daten zusammentrage. Der Unterschied liegt darin, dass es keinen Weg zurück gibt, das heißt, es gibt keine Tabelle mit Namen und Nummer. Das ist in vielen Fällen durchaus kritisch zu sehen, zum Beispiel wenn man sehr behandlungsnah arbeitet. Aber in der Forschung ist es oft besser als die Pseudonymisierung, weil das Risiko der Reidentifizierung des Patienten geringer ist. Wenn die Daten weitergegeben werden oder zum Beispiel als Grundlage dienen für einen Artikel, der dann publiziert wird und bei dem es kein Reidentifizierungsrisiko geben darf, ist das auf jeden Fall das geeignete Mittel.

F&L: Soweit die Theorie. Wie funktioniert das in der Praxis?

Ulrich Sax: Leider nicht immer so gut. Die technischen Verfahren schon, aber in dem Datensatz stehen nicht nur Namen, Vornamen, Geburtsdatum, Geschlecht und die Adresse, die ich pseudonymisieren oder anonymisieren kann. Problematisch sind hier Quasi-Identifier, die geschickt kombiniert werden können, zum Beispiel durch Körpergröße und Postleitzahl in einem Dorf. Ein Restrisiko bleibt also immer. Grundsätzlich gilt: je breiter der Datensatz, desto größer ist das Reidentifizierungsrisiko.

Prof. Dr. Ulrich Sax
Ulrich Sax ist Professor für Medizinische Informatik an der Universitätsmedizin Göttingen. privat

F&L: Forschungsdatenbanken halten die Daten vor, mit denen in der medizinischen Forschung gearbeitet wird. Wie sicher sind diese Datenbanken?

Ulrich Sax: Das ist ebenfalls ein Kernpunkt der Patienteninformationen und auch Kernpunkt der Datenschutzkonzepte: Wer hält die Daten? Prämisse ist, dass die Daten aufgeteilt werden, auf keinen Fall darf die Patientenliste in der gleichen disziplinarischen Hoheit liegen wie die medizinischen Daten. Es werden also zwei Betreiber benötigt, einer, der die Patientendaten hält, ein Treuhänder wie zum Beispiel ein anderes Rechenzentrum, das entsprechend ab- und zutrittsgesichert ist. Hier kann man vermuten, dass niemand die Daten stiehlt und niemand unbefugt an die Daten herankommt. Ganz ausschließen lässt sich das nicht, aber der worst case ist auch ein wichtiger Teil der Datenschutzkonzepte. Die medizinischen Daten müssen woanders gelagert werden. Und die Verbindung dazwischen funktioniert nur über das Pseudonym. Wenn jemand ein medizinisches Datenzentrum angreifen würde, dann hätte er eine Liste mit medizinischen Aussagen und einem Pseudonym, er wüsste aber nicht, wer das ist. Beide Institutionen dürfen nicht den gleichen Chef haben, der vielleicht erpresst wird und in der Lage ist, die Daten zusammenzuführen. Das darf nicht passieren.

F&L: Wie wird der Zugang zu diesen Daten geregelt?

Ulrich Sax: Es gibt ganz klare Regeln, wer mit diesen Daten arbeiten darf. Und ich  als Forscher muss, bevor ich Daten erfrage, den Patienten informieren und aufklären, wer der Betreiber ist, was wir mit den Daten vorhaben und wie lange die Daten aufbewahrt werden sollen. Diese Daten werden dann auf ganz bestimmte Fragen hin untersucht. Früher wurde das sehr spezifisch gemacht und dann standen Wissenschaftler regelmäßig vor dem Problem, die Fragestellung doch wieder zu ändern beziehungsweise zu erweitern. Die Patienten mussten also nochmals ihre Einwilligung geben. Inzwischen empfehlen sogar einige Ethiker, einen broad consent, also eine breitere Einwilligung, einzuholen.

F&L: Braucht es immer die schriftliche Einwilligung des Patienten beziehungsweise Probanden?

Ulrich Sax: Es gibt in Deutschland drei Standardmöglichkeiten, wie man mit Daten forschen kann: Erstens über eine Information oder Einwilligung, das heißt, der Wissenschaftler muss den Patienten oder Probanden davon überzeugen, dass das Forschungsprojekt sinnvoll ist. Mit dessen schriftlicher Einwilligung kann er das tun, was er beschrieben hat. Bei dem zweiten Erlaubnistatbestand ist eine Einwilligung nicht notwendig. Wenn es für die Gesundheit insgesamt wichtig ist, existiert eine gesetzliche Grundlage. Dazu gehört zum Beispiel medizinische Forschung im Rahmen des Infektionsschutzgesetzes, die an das Robert-Koch-Institut gemeldet werden muss. Ähnliches gilt für schwerwiegende oder seltene Erkrankungen. Hier werden die entsprechenden Daten zum Beispiel für ein Krebsregister gesammelt und verarbeitet. Bei der dritten Variante wird ausschließlich mit anonymen Daten gearbeitet. Hier kommt es darauf an, den zuständigen Datenschützer davon zu überzeugen, dass wirklich anonymisiert wurde.

F&L: Bei den Einwilligungen des Patienten setzt man das Bild des selbstbestimmten Patienten voraus. Ist das realistisch?

Ulrich Sax: Dem Wissenschaftler muss es auf der einen Seite gelingen, den Patienten umfassend darüber zu informieren, was er erforschen will, und über mögliche auftretende Risiken aufzuklären. Dieses Dokument muss im Arzt-Patienten-Kontakt ausgefüllt werden. Im Bereich der Ambulanz beispielsweise bedeutet das: Man hat im Prinzip nur drei Minuten Zeit für den Patientenkontakt. Innerhalb kurzer Zeit muss der Arzt dem Patienten verständlich machen, worum es geht, Rückfragen des Patienten beantworten und dessen Unterschrift erhalten. Anderseits gibt es Musterdokumente für eine informierte Einwilligung, die ein Patient, der in ein Krankenhaus kommt, ausfüllen soll. Es kommt vor, dass ein Musterdokument einen Umfang von 17 Seiten hat, weil alle beteiligten Gruppen ihre Texte einbringen wollten. Das ist natürlich unrealistisch, 17 Seiten wird sich niemand tatsächlich durchlesen. Da würden auch die Ethikkommissionen ihr Veto einlegen. Der Patient hat einen Leidensdruck und er will schnellstmöglich behandelt werden. Und so sucht man in der Praxis einen Mittelweg, indem man den Umfang der Einwilligung zum Beispiel auf zwei Seiten konzentriert und das Wichtige hervorgehoben ist. Das ist ein interessantes Wechselspiel zwischen den Forschern, die Daten sammeln wollen, und den Ethikern, die sicherstellen müssen, dass der Patient ausreichend informiert wurde. Hier gilt es, das richtige Level zu finden.

F&L: Sind die Anforderungen durch den Datenschutz richtig so oder würden Sie sagen, dass an der einen oder anderen Stelle zuviel geschützt und damit der Fortschritt in der medizinischen Forschung behindert wird?

Ulrich Sax: Die EU-Datenschutzgrundverordnung bietet eine klare Richtlinie und lässt Raum für mehr Mut. Es kommt häufig vor, dass Wissenschaftler in vorauseilendem Gehorsam sagen, das Sammeln von Daten und damit das gesamte Forschungsprojekt funktionierten aus Datenschutzgründen nicht. Meine Erfahrung zeigt, dass das in den wenigsten Fällen zutrifft. Wenn man mit der Ethikkommission und den lokalen Datenschützern spricht – jedes Klinikum hat zum Beispiel einen bestellten und unabhängigen Datenschutzbeauftragten – dann existieren immer Optionen, sowohl im Sinne des Patienten als auch im Sinne des Forschungsprojekts.

F&L: Um mehr und effizienter medizinische Daten von Patienten zu erheben und zu sammeln, rücken zunehmend die elektronische Patientenakte und die persönliche Gesundheitsakte in den Fokus. Können Sie kurz erläutern, was die beiden Akten verbindet beziehungsweise unterscheidet?

Ulrich Sax: Am verbreitetsten ist die elektronische Patientenakte, die vom Arzt beziehungsweise Krankenhaus geführt wird. Bei der persönlichen Gesundheitsakte spielt der Patient die entscheidende Rolle. Dabei steht im Vordergrund, dass am ehesten der Patient selbst ein Interesse daran hat, Informationen wie Diagnosen, Medikation, Impfungen zu sammeln. Eine interessante Beobachtung ist, dass chronisch Kranke eine solche persönliche Gesundheitsakte führen, mit der genauen Erteilung von Zugriffsrechten und mit dem Einstellen der entsprechenden Informationen sind sie allerdings stark gefordert bis überfordert.

F&L: Was bedeutet das für die Sicherheit dieser Daten?

Ulrich Sax: Bei einer chronischen Krankheit ist es sicher sinnvoll, dass ein Patient die relevanten Daten für die akute Krankheit selbst in der Hand hat. Aber es ist ein großer Unterschied, ob man chronisch krank ist und dadurch möglicherweise mehr Kompromisse eingeht oder ob man "nur" für seine Familie die Daten haben möchte. Als Patient würde ich darüber nachdenken, ob ich meine Gesundheitsdaten einem elektronischen Anbieter anvertrauen möchte und wenn ja, würde ich genau prüfen, welchem Datenschutzrecht dieser Anbieter unterliegt. Sinnvoll wäre zum Beispiel ein von der TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. oder vom TÜV abgenommenes Datenschutzkonzept. Die Schutzprinzipien, also eine klare Benennung, wo die Daten liegen sowie die Auftrennung in identifizierbare Daten und medizinische Daten, sollten daraus klar hervorgehen. Das Schlimmste wäre tatsächlich, wenn ein Patient aufgrund der dort eingestellten Daten zum Beispiel von einem Arbeitgeber diskriminiert oder von einer Krankenversicherung möglicherweise nicht mehr versichert würde, weil ein bestimmter Umstand eingetreten ist. Vor beidem muss der Patient geschützt werden.

F&L: Die deutschen Universitätskliniken  planen eine vernetzte elektronische Patientenakte, die auch an die klinische und biomedizinische Forschung angebunden sein soll...

Ulrich Sax: Das ist ein riesiger Schritt. Der Schlüssel zum Erfolg sind nicht die administrativen Verfahren wie Abrechnung oder Forensik, sondern die prozessbegleitende Dokumentation am klinischen Arbeitsplatz. Wenn man sich das Beispiel Pankreaskarzinom (Bauchspeicheldrüsenkrebs) anschaut, braucht man detaillierte Fragebögen und Informationen. Die Universitätskliniken arbeiten aber mit zum Teil dreißig Jahre alter Software. Sie leiden unter einem Innovationsstau, und das zur Verfügung stehende und damit zu verteilende Geldvolumen ist begrenzt. Es geht vielerorts darum zu entscheiden, ob gebaut, die Station saniert werden soll oder ob in die IT investiert wird. Letztere hat oft den Kürzeren gezogen. Das rächt sich natürlich irgendwann. Nicht nur die zur Verfügung stehenden Mittel sind begrenzt, sehr begrenzt ist auch der Markt für  Krankenhaussoftware. Es kommen also nicht ständig neue Anbieter auf den Markt, die das Krankenhausinformationssystem oder den klinischen Arbeitsplatz neu erfinden. Momentan warten alle ganz dringend auf eine große Disruption, also auf ein neues disruptives klinisches Arbeitsplatzsystem. Inzwischen geht jedoch ein Schub durch Deutschland: Da gibt es einmal die Medizininformatik-Initiative vom BMBF, die das Ziel hat, einen Kerndatensatz aus allen Kliniken datenschutzkonform mit der entsprechenden Einwilligung des Patienten zu bekommen und zu sammeln. Das voranzubringen ist schon eine große Herausforderung. Das andere ist die Hightech-Strategie der Bundesregierung, bei der das Thema "Krebsforschung" ganz oben auf der Liste steht: Hier warten alle Beteiligten, die Universitätskliniken, Patienten und Patienteninteressenverbände dringend darauf, dass die Patienten ihre Daten erhalten sowie mitentscheiden und mitgestalten können. Momentan ist das eher die Ausnahme.

F&L: Herr Professor Sax, vielen Dank für das Gespräch.

0 Kommentare