gms | German Medical Science

Autor: SZ in seiner Funktion als Projektleiter des ZaPoD-Projektes der DGAI

Einleitung und Fragestellung: Die wissenschaftliche Sekundärnutzung im Gesundheitswesen erhobener Routinedaten macht einen Erkenntnisgewinn zum Wohle der Patienten, und in der Folge der Allgemeinheit möglich. Insbesondere in Bezug auf seltene Ereignisse und seltene Erkrankungen wird sinnvolle Forschung durch eine multizentrisch organisierte Nutzung von Routinedaten überhaupt erst umsetzbar, da auf anderem Wege, z.B. durch prospektive Studien, mit realisierbarem Aufwand keine für valide Aussagen ausreichenden Fallzahlen untersucht werden können. Die institutionsübergreifende Zusammenführung solcher Routinedaten ohne explizite Einwilligung des Patienten, die ja z.B. für Notfallbehandlungen grundsätzlich nicht eingeholt werden kann, setzt aber voraus, dass die Daten nicht mehr personenbeziehbar sind, da sonst die Rechtsgrundlage für die Verarbeitung und Übertragung fehlt. Bei fehlender Personenbeziehbarkeit hingegen findet auch das Datenschutzrecht keine Anwendung. Lediglich innerhalb der einzelnen Institutionen kann, abhängig vom Bundesland, eine Ermächtigungsgrundlage für den behandelnden Arzt zur wissenschaftlichen Nutzung der personenbezogenen Routinedaten seiner Patienten bestehen. Zur Sicherstellung des Fehlens der Personenbeziehbarkeit der Daten vor der für eine zentralisierte Auswertung multizentrischer Daten erforderlichen Zusammenführung in einer zentralen Datenbank wurden üblicherweise definierte identifizierende Merkmale wie Name und Geburtsdatum gelöscht oder verändert („Anonymisierung“) und der so deidentifizierte Datensatz übertragen und weiter verarbeitet. Die neuere Datenschutzliteratur hat aber zahlreiche theoretische Angriffsszenarien konstruiert und diskutiert, die unter der Nutzung von hypothetischem, dem Angreifer bekannten Zusatzwissen eine Wiederherstellung des Personenbezugs solcher Daten möglich erscheinen lassen, eine gute Zusammenfassung der Thematik aus (angloamerikanischer) medikolegaler Sicht bietet z.B. [1]. Im Wesentlichen basieren solche Angriffsszenarien auf der Nutzung des Zusatzwissens des Angreifers sowie der kombinatorischen Vielfalt nicht klassisch als identifizierend betrachteter Merkmale im Datensatz. In Zeiten ubiquitärer Verfügbarkeit elektronischer Recherchemöglichkeiten wird die Hürde zum Erwerb für erfolgreiche Angriffe erforderlichen Zusatzwissens reduziert gesehen.

In diesem Beitrag soll diese Problematik am konkreten Beispiel des geplanten Zentralarchivs Perioperativer Daten (ZaPoD) der Deutschen Gesellschaft für Anästhesiologie und Intensivmedizin (DGAI) vorgestellt und so eine interdisziplinäre Diskussion dieser potentiell ja sowohl Bestandsdaten als auch zukünftig geplante Projekte betreffenden Problematik stimuliert werden.

Material und Methoden: Die DGAI hat nach initialer Evaluation der technischen Machbarkeit entschieden, das Zentralarchiv Perioperativer Daten (ZaPoD) aufzubauen, welches bundesweit administrative Falldaten im standardisierten §21-Format mit perioperativen Daten aus der weit verbreiteten teilstrukturierten Narkosedokumentation sowie mittelfristig der Intensivbehandlung zusammenführen und einer wissenschaftlichen und betriebswirtschaftlichen (institutionsübergreifendes Benchmarking) Sekundärnutzung zuführen soll. Die technische Umsetzung ist als klassisches Zentralregister projektiert, in das deidentifizierte Patientendaten nach lokaler Zusammenführung auf Fallbasis in der behandelnden Einrichtung eingespeist werden. Für die technische Umsetzung wurde Software in Java implementiert, die Mapping und Deidentifizierung über ein graphisches Benutzerinterface steuerbar macht. Das Datenmodell wurde, soweit bei etwas anderer Datenstruktur möglich, an das von der US-amerikanischen Multicenter Perioperative Outcomes Group [2] entwickelte Schema angelehnt, um die technischen Hindernisse für eine zukünftige internationale Kooperation möglichst gering zu halten.

Ergebnisse: Nachdem das Pilotprojekt auf der Basis lokaler, positiver Datenschutz- und Ethikvoten in mehreren Universitätsklinika erfolgreich initiiert werden konnte, wurden im Rahmen der Projektvorstellung auf dem Deutschen Anästhesiecongress 2013 in Nürnberg durch fachlich versierte Teilnehmer Zweifel an der Datenschutzkonformität des Projektes aufgrund o.g. theoretischer Angriffsszenarien und der daraus resultierenden fundamentalen Unmöglichkeit der endgültigen Anonymisierung wissenschaftlich relevanter Datensätze geäußert. Laut Stellungnahme der AG Datenschutz der TMF (Technologie- und Methodenplattform für vernetzte medizinische Forschung) ist die aktuelle Fassung des Datenschutzkonzeptes, in die auch Änderungsvorschläge der TMF eingeflossen sind, technisch ausgereift, aber eine Güterabwägung zwischen Allgemeininteresse und verbleibendem Risiko für den individuellen Patienten erforderlich, die durch die TMF nicht getroffen werden kann. Aktuell liegt das Konzept, der Empfehlung der TMF folgend, dem Landesbeauftragten für Datenschutz und Informationsfreiheit NRW zur Abstimmung mit sämtlichen anderen Datenschutzbeauftragten der Länder vor.

Um Handlungsoptionen für den Fall der negativen Bewertung des ZaPoD-Projektes durch die Aufsichtsbehörden zu eröffnen und eine gegenüber Änderungen der regulatorischen Rahmenbedingungen ausreichend robuste Umsetzung des europäischen Analogprojektes EUPOG (European Perioperative Outcomes Group) unter der Schirmherrschaft der European Society for Anesthesiology (ESA) vorzubereiten, wurde parallel ein Umsetzungskonzept entwickelt, welches auf vollständig verteilter Datenhaltung und -analyse basiert und damit den datenschutzrechtlich kritischen Schritt der zentralen Zusammenführung umgeht. Die resultierende technische Komplexität macht allerdings umfangreiche interdisziplinäre Entwicklungsarbeiten erforderlich, die Vorbereitung eines entsprechenden interdisziplinären Konsortiums wurde initiiert.

Diskussion: Unter aktuellen regulatorischen Rahmenbedingungen erfordert die institutionsübergreifende Zusammenführung klinischer Routinedaten auch bei technisch optimaler Umsetzung eine Güterabwägung, da eine auch langfristig sichere Anonymisierung unter Erhalt des wissenschaftlichen Wertes der Daten nicht gewährleistet werden kann. Statistische Verfahren zur Reduktion des Risikos der erfolgreichen Reidentfikation der Patienten können zwar in Einzelfällen hilfreich sein, können aber ebenfalls keine absolute Sicherheit bieten und gehen zusätzlich mit Veränderungen der Daten selbst einher, die im wissenschaftlichen Kontext möglicherweise nicht akzeptabel sind. Da die somit immer erforderliche Güterabwägung ja letztlich einen ethischen und keinen primär juristischen Hintergrund hat, wurde die Problematik auch an den Arbeitskreis deutscher Ethikkommissionen herangetragen. Ein weiterer mittelfristig wichtiger Aspekt ist auch die Meinungsbildung auf EU-Ebene, wo eine „General Data Protection Regulation“ in Vorbereitung ist, die im Unterschied zur aktuellen EU-Regelung bei Inkrafttreten unmittelbar nationales Recht brechen würde und in ihrer ersten Fassung, die durch massiven Einsatz diverser Interessengruppen gestoppt werden konnte, wissenschaftliche Sekundärdatennutzung durch harte Zweckbindung wohl untersagt hätte.

Inwieweit technische Lösungsansätze im Sinne einer vollständig verteilten Datenhaltung und -analyse im Kontext der Krankenhaus-IT-Landschaft praktikabel umsetzbar sind und ob eine solcher Ansatz die regulatorische Problematik überhaupt abschließend lösen kann, ist Gegenstand aktueller Untersuchungen.

Danksagung: Der Autor dankt der Stiftung Deutsche Anästhesiologie e.V. (Nürnberg) für die Unterstüzung des ZaPoD-Projektes.