35 Art und Weise der Datenverarbeitung, Anonymisierung/Pseudonymisierung
Werden die Daten personenbezogen verarbeitet, pseudonymisiert oder anonymisiert? Was geschieht, wenn sich Daten/Biomaterialien nicht anonymisieren lassen?
Zusammenfassung
In der Patienteninformation ist der Patient über die Art und Weise der Datenverarbeitung zu informieren. Der Patient ist insbesondere darüber in Kenntnis zu setzen, ob die Verarbeitung der Daten personenidentifiziert (mit Nennung des Namens), pseudonymisiert oder anonymisiert erfolgt. Die Bedeutung der Begriffe müssen ihm erläutert werden. Darüber hinaus ist er darüber zu informieren, wie die Weitergabe erfolgt, bzw. welche Stellen in welcher Form die Daten erhalten.
Standardsatz / -lösung
„Ihre Daten werden in pseudonymisierter Form (d. h. Ihr Name wird durch eine Kenn-Nummer ersetzt) elektronisch gespeichert und ausgewertet.“
Modelllösung für ein Beispielszenario mit pseudonymisierter Verarbeitung über einen Datentreuhänder: „Ihre Daten und Materialien werden in pseudonymisierter Form (d. h. Ihr Name wird durch eine Kenn-Nummer ersetzt) gelagert, gespeichert und ausgewertet. Die Möglichkeit, Ihre Proben/Daten mittels dieser Kenn-Nummer (Pseudonym) Ihrer Person zuzuordnen hat in der Biomaterialbank X nur der Datentreuhänder Y.“
(Datenschutz-) Rechtliche Bewertung
Nach den Vorgaben des § 4a Abs. (1) BDSG bedingt die für eine wirksame Einwilligung des Betroffenen notwendige „freie Entscheidung“ eine Information, die den Betroffenen in die Lage versetzt, die im Zusammenhang mit seinen personenbezogenen Daten vorgesehenen Verarbeitungsprozesse (laienhaft) zu beurteilen. Hierzu gehört es auch, neben allgemeinen Ausführungen zur Art und Weise der Datenverarbeitung darauf hinzuweisen, ob und wie die personenbezogenen Daten des Betroffenen pseudonymisiert oder anonymisiert werden. Der Grund liegt in der Forderung des § 3a BDSG, von diesen Techniken Gebrauch zu machen, wo immer dies möglich ist. Auch setzt § 40 Abs. (2) BDSG diese allgemeine Forderung speziell für den Forschungszweck um. Diese Techniken - insbesondere die der Anonymisierung - prägen daher wesentlich den Grundansatz des Datenschutzes im Zusammenhang mit wissenschaftlicher Forschung. Der Betroffene muss deshalb naturgemäß ein Interesse daran haben, gerade auch über diese Aspekte der Verarbeitung seiner Daten informiert zu werden, bevor er in deren Erhebung, Verarbeitung oder Nutzung einwilligt. Spezifische (datenschutz-) rechtliche Aspekte für Biomaterialien Werden Biomaterialien des Betroffenen gelagert, ist dieser hierauf besonders hinzuweisen. Insbesondere ist er dabei darüber aufzuklären, dass diese Materialien die neuerliche Datengewinnung in späteren Zeiträumen erlauben. Fehlt es hieran, so könnten später Zweifel aufkommen, ob sich eine Einwilligung des Betroffenen deshalb auf diese spätere Datengewinnung und -verarbeitung erstreckt. Werden ausschließlich Daten gehalten, so bietet die Anonymisierung einen optimalen Schutz. Für die Lagerung von Biomaterialien ist dieses Vorgehen jedoch nicht so ohne weiteres anwendbar. Ein wesentlicher Grund hierfür ist, dass datenschutzrechtliche Vorgaben lediglich einen Aspekt des allgemeinen Persönlichkeitsrechts eines Betroffenen im Auge haben, nämlich das informationelle Selbstbestimmungsrecht. Dieses zu schützen ist der Grundansatz des Datenschutzes. Insofern ist es nur konsequent, den größtmöglichen Schutz darin zu sehen, dass Daten völlig ohne Personenbezug, also anonym, gespeichert und verarbeitet werden. Ist der Betroffene nicht identifizierbar, kann auch sein informationelles Selbstbestimmungsrecht nicht mehr tangiert sein. Mit der Lagerung von Biomaterialien sind jedoch Persönlichkeitsrechte des Betroffenen berührt, die über das informationelle Selbstbestimmungsrecht hinausreichen, so etwa dessen Recht, gelagerte Biomaterialien gegebenenfalls zurückfordern zu können. Diese weiterreichenden Persönlichkeitsrechte fallen nicht in den Regelungsbereich des Datenschutzes. Jedoch führt eine unter datenschutzrechtlichen Aspekten optimale Verhaltensweise, eine Anonymisierung, faktisch dazu, dass der Betroffene diese weiterreichenden Rechte nicht mehr ausüben kann: Sind Proben anonymisiert, können sie aufgrund der fehlenden persönlichen Zuordnungsmöglichkeit auch nicht mehr zurückgefordert werden. Dieser Regelungswiderspruch ist derzeit nicht aufzulösen. Es ist dies auch sicher keine originäre Aufgabe des Datenschutzrechts, sondern Aufgabe einer vor allem ethischen, aber auch eigentums- und persönlichkeitsrechtlichen Diskussion. Vorerst kann nur eine offene Darstellung des Problems gegenüber den Betroffenen empfohlen werden. Erfolgt die Lagerung der Biomaterialien anonymisiert, so ist der Betroffene deshalb darüber aufzuklären, dass damit zwar auch seine datenschutzrechtlichen Belange nicht mehr tangiert sein können, er jedoch andererseits auch keine faktische Möglichkeit mehr hat, diese Materialien zurückzufordern.
Bewertung
Damit der Patient informiert einwilligen kann, muss er auch über die Art und Weise der Datenverarbeitung unterrichtet werden. Dies soll in einfachen verständlichen Worten derart erfolgen, dass er sich ein angemessenes Bild von den Arbeitsschritten machen kann. Die Begriffe der Pseudonymisierung und der Anonymisierung sind dem Patienten zu erläutern. Personenidentifizierende Angaben (Name, Vorname, Geburtsdatum) oder Teile davon (Initialen) dürfen nicht als Klartext in dem Pseudonym enthalten sein. Für den Patienten ist zudem bedeutsam, wann pseudonymisiert oder anonymisiert wird und/oder ob eine Vertrauensstelle bzw. ein Datentreuhänder implementiert ist. Bei der Beschreibung sind detaillierte technische Formulierungen zu vermeiden. In klinischen Studien mit Patientenidentifikationsliste gilt, dass ausschließlich der Prüfarzt als verantwortliche Stelle in dieser Liste den Zusammenhang zwischen dem Namen des Patienten und dem Pseudonym herstellt und archiviert. Die Liste ist für 15 Jahre nach Ende der Studie aufzubewahren. Biomaterialbanken: Die Art und Weise, wie die Biomaterialien (und daraus abgeleitete Daten) verarbeitet werden, also anonymisiert, pseudonymisiert bzw. personenbezogen, muss dem Patienten/Probanden, analog zur Vorgehensweise mit Daten bei Forschungsvorhaben, in der Einwilligungserklärung mitgeteilt werden. Die Mitteilungspflicht erstreckt sich auch auf eine geplante Anonymisierung der Proben. Sollte zum Zeitpunkt der Einwilligung die Wahrscheinlichkeit als sehr hoch eingeschätzt werden, dass eine noch mögliche faktische Anonymisierbarkeit von Proben später nicht mehr gegeben ist, so sollte der Patient in der Patienteneinwilligung schon jetzt der dann später notwendigen pseudonymisierten Verarbeitung zustimmen (zur Frage der Anonymisierbarkeit von Biomaterialien siehe Kapitel „6. Spezifische Probleme bei der Forschung mit Biomaterialien“.
AMG
§ 40 (2a) S.2 Sie ist insbesondere darüber zu informieren, dass 1. die erhobenen Daten soweit erforderlich a) zur Einsichtnahme durch die Überwachungsbehörde oder Beauftragte des Sponsors zur Überprüfung der ordnungsgemäßen Durchführung der klinischen Prüfung bereitgehalten werden, b) pseudonymisiert an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben werden, c) im Falle eines Antrags auf Zulassung pseudonymisiert an den Antragsteller und die für die Zulassung zuständige Behörde weitergegeben werden, d) im Falle unerwünschter Ereignisse des zu prüfenden Arzneimittels pseudonymisiert an den Sponsor und die zuständige Bundesoberbehörde sowie von dieser an die Europäische Datenbank weitergegeben werden,
GCP-V
§6 (2) Dem Antrag an die zuständige Ethik-Kommission und dem Antrag an die zuständige Bundesoberbehörde müssen vom Antragsteller die folgenden Angaben und Unterlagen beigefügt werden: [..] 15. die Bestätigung, dass betroffene Personen über die Weitergabe ihrer pseudonymisierten Daten im Rahmen der Dokumentations- und Mitteilungspflichten nach § 12 und § 13 an die dort genannten Empfänger aufgeklärt werden; diese muss eine Erklärung enthalten, dass betroffene Personen, die der Weitergabe nicht zustimmen, nicht in die klinische Prüfung eingeschlossen werden.
EU DSGVO zu Aufhebung der EU DS 95/46/EG
[Einleitung: ...] in Erwägung nachstehender Gründe: (39) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. [...] Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (""Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz""); Artikel 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck: 5. ""Pseudonymisierung"" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
BDSG
§ 3a Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. (2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
DAE Empf genDat
IV. Erhebung und Verwendung von Daten Die genetische Diagnostik kann erst begonnen werden, wenn der Proband nach Aufklärung sein schriftliches Einverständnis gegeben hat. In diesem sensiblen Bereich wäre es in der Regel bedenklich, hiervon abzuweichen (vgl. § 4 Abs. 2, § 4a Abs. 1-3 BDSG). Die informierte Einwilligung setzt die vorherige umfassende Unterrichtung über die datenverarbeitende Stelle der Studie, die eventuelle Zusammenführung von Daten, den Ansprechpartner und weitere Modalitäten des Ablaufes, voraus.
EU VERORDNUNG 536/2014
Artikel 56 Aufzeichnung, Verarbeitung, Behandlung und Speicherung von Informationen
(1) Alle Daten zu einer klinischen Prüfung werden durch den Sponsor oder gegebenenfalls den Prüfer so aufgezeichnet, verarbeitet, behandelt und gespeichert, dass sie korrekt übermittelt, ausgelegt und überprüft werden können, wobei gleichzeitig die Vertraulichkeit der Unterlagen und der personenbezogenen Daten der Prüfungsteilnehmer gemäß dem geltenden Recht zum Datenschutz gewahrt bleibt.
(2) Es werden geeignete technische und organisatorische Maßnahmen getroffen, um die verarbeiteten Informationen und personenbezogenen Daten vor unbefugtem oder unrechtmäßigem Zugriff, unbefugter und unrechtmäßiger Bekanntgabe, Verbreitung und Veränderung sowie vor Vernichtung oder zufälligem Verlust zu schützen, insbesondere wenn die Verarbeitung die Übertragung über ein Netzwerk umfasst.