Artikel
Herausforderungen bei Datenschutz-Folgenabschätzungen in der medizinischen Forschung: Bericht vom TMF-Workshop
Suche in Medline nach
Autoren
Veröffentlicht: | 19. August 2022 |
---|
Gliederung
Text
Einleitung: Das mit der Datenschutzgrundverordnung (DSGVO) neu eingeführte Instrument der Datenschutz-Folgenabschätzung (DS-FA) ist für die medizinische Forschung relevant, wenn z.B. neue Technologien oder umfangreiche Verarbeitungen besonderer Kategorien nach Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) verarbeitet werden [1]. Leitfäden für die Implementierung der DS-FA sind seit 2017 international normiert [2], [3], die damit verbundenen Herausforderungen sind auch zwei Jahre nach Einführung der DS-FA vorhanden [4], [5], [6], [7]. Wir setzten uns im Rahmen des DFG-Forschungsprojektes RADARplus mit diesen Herausforderungen auseinander und diskutierten Fragestellungen mit der AG Datenschutz der Technologie- und Methodenplattform für die vernetzte medizinischen Forschung e.V. (TMF). Ein Erfahrungsaustausch zwischen medizinisch Forschenden und Datenschutzbeauftragten (DSB) zu den Herausforderungen bei der DS-FA wurde von der TMF e.V. begrüßt und gefördert. Ziel des bundesweiten TMF-Workshops mit Forschenden und Datenschutzbeauftragten war die Identifikation und Diskussion dieser Herausforderungen im medizinischen Forschungskontext.
Methodik: Medizinisch Forschende (MF), Datenschutzbeauftragte (DSB) der Universitätsklinika, Landesbeauftragte und Bundesbeauftragte für den Datenschutz (LfD, BfD) wurden zu einem halbtägigen Online-Workshop im März 2022 eingeladen. Im Workshop wurden Impulsvorträge mit Erfahrungen zu Frameworks und der praktischen Umsetzung der DS-FA im Netzwerk Universitätsmedizin (NUM) und der Medizininformatik-Initiative (MII) als Ausgangspunkt für die Diskussion gezeigt. In Kleingruppenarbeit wurden die unter den Herausforderungen identifizierten Schwerpunktthemen bearbeitet, dokumentiert und im Plenum vorgestellt.
Ergebnisse: 53 von 74 angemeldeten Personen haben am Workshop teilgenommen (48x MF und DSB, 3x BfD, 0x LfD, 2x Industrie). Für die Kleingruppenarbeit haben die Teilnehmenden die Themengebiete
- Granularität der Risiko- und Schutzbedarfsanalyse
- Typische Risiken und Schadensszenarien
- Risikobewertung
- Organisatorische Rahmenbedingungen
- Darstellung von Datenkategorien und Datenverarbeitungsvorgängen
als herausfordernd angesehen. Im Ergebnis konnten folgende Themen zur weiteren Bearbeitung identifiziert werden:
- Berücksichtigung des Verhältnisses von Infrastruktur und Projekten
- Prüfung der Erforderlichkeit einer DS-FA für einzelne Projekte auf Basis einer einheitlichen Infrastruktur
- Detailliertheit der Datenbeschreibung von identifizierenden und medizinischen Daten (IDAT/MDAT), Risiken, Schäden und Schutzmaßnahmen
- Auflistung von typischen Risiken und deren Gegenmaßnahmen in medizinischen Forschungsprojekten
- Vorgehensweise / Verantwortung / Aufgabenteilung in Verbundforschungsprojekten
- Arbeitsanteile der DSB
- häufige Personaländerungen in Forschungsprojekten
- Motivationsmöglichkeiten zur Erstellung einer DS-FA bei den Projektbeteiligten
- veränderliche Forschungsprozesse mit nicht immer linearen Abfolgen
- Nomenklatur und Schutzklassenzuordnung für Datenkategorien
- Einschätzung des Missbrauchspotenzials
- DS-FA bei qualitativen Forschungsdaten
- Bewertungsverfahren für Eintrittswahrscheinlichkeiten
- Trennung von Schäden für Betroffene und Verantwortliche
- Risiko-Nutzen-Bewertung und Verhältnismäßigkeit der Maßnahmen
In der abschließenden Umfrage begrüßten 76% der Teilnehmenden die Fortführung der Workshopthemen (0% dagegen, 24% Enthaltungen).
Diskussion: Der Workshop hat gezeigt, dass medizinisch Forschende und Datenschutzbeauftragte aus universitären Einrichtungen mit verschiedenartigen Herausforderungen bei der Initiierung und Umsetzung der DS-FA in medizinischen Forschungsprojekten konfrontiert sind. Ansätze zur Begegnung dieser Herausforderungen sind sichtbar, werden aber meist individuell oder einrichtungsspezifisch verfolgt. Tendenziell ist ein vielschichtiger Unterstützungsbedarf bzgl. der Umsetzung von DS-FA in medizinischen Forschungsvorhaben erkennbar.
Schlussfolgerungen: Eine systematische Bedarfsanalyse sollte den Unterstützungsbedarf bei medizinisch Forschenden bzgl. DS-FA konkret herausarbeiten. Diese Analyse sollte die Grundlage für die Erstellung von niederschwelligen und möglichst bundeseinheitlichen Hilfestellungen zur DS-FA für medizinische Forschende darstellen.
Förderung: Das Projekt RADARplus wird von der Deutschen Forschungsgemeinschaft unter den Kennzeichen HU 1587/2-2, RI 1000/7-2, HO 1937/7-2, YA 191/8-2 und KR-1093/10-2 gefördert.
Die Autoren geben an, dass kein Interessenkonflikt besteht.
Die Autoren geben an, dass kein Ethikvotum erforderlich ist.
Literatur
- 1.
- Europäisches Parlament; Rat der Europäischen Union. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). 2016 [cited 2022 Apr 13]. Available from: https://eur-lex.europa.eu/search.html?scope=EURLEX&text=2016%2F679&lang=de&type=quick&qid=1649840353360
- 2.
- Deutsches Institut für Normung. DIN EN ISO/IEC 29134. Informationstechnik - Sicherheitsverfahren - Leitlinien für die Datenschutz-Folgenabschätzung (ISO/IEC 29134:2017) = Information technology - security techniques - guidelines for privacy impact assessment (ISO/IEC 29134:2017). Deutsche Fassung EN ISO/IEC 29134:2020. Berlin: Beuth Verlag GmbH; 2020.
- 3.
- Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 (Artikel-29-WP). Brussels: Article 29 Data Protection Working Party; 2017 [cited 2022 May 23]. Available from: https://ec.europa.eu/newsroom/article29/items/611236
- 4.
- Martin N, Mester BA, Schiering I, Friedewald M, Hallinan D. Datenschutz-Folgenabschätzung: Ein notwendiges „Übel“ des Datenschutzes? Datenschutz und Datensicherheit. 2020;44(3):149–53.
- 5.
- Schiering I, Mester BA, Friedewald M, Martin N, Hallinan D. Datenschutz-Risiken partizipativ identifizieren und analysieren: Datenschutz-Folgenabschätzung in Unternehmen und Behörden. Datenschutz und Datensicherheit. 2020; 44(3):161–5.
- 6.
- Friedewald M, Schiering I, Martin N. Datenschutz-Folgenabschätzung in der Praxis: Herausforderungen bei der Implementierung eines innovativen Instruments der DSGVO. Datenschutz und Datensicherheit. 2019;43(8):473–7.
- 7.
- Nägele P, Petrlic R, Schemmel F. Die Datenschutz-Folgenabschätzung in der Praxis. Datenschutz und Datensicherheit. 2020; 44(11):719–28.