gms | German Medical Science

67. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS), 13. Jahreskongress der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (TMF)

21.08. - 25.08.2022, online

Herausforderungen bei Datenschutz-Folgenabschätzungen in der medizinischen Forschung: Bericht vom TMF-Workshop

Meeting Abstract

Suche in Medline nach

  • Falk Schlegelmilch - Institut für Allgemeinmedizin, Universitätsmedizin Göttingen, Göttingen, Germany
  • Knut Kaulke - TMF - Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V., Berlin, Germany

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. 67. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS), 13. Jahreskongress der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF). sine loco [digital], 21.-25.08.2022. Düsseldorf: German Medical Science GMS Publishing House; 2022. DocAbstr. 150

doi: 10.3205/22gmds014, urn:nbn:de:0183-22gmds0143

Veröffentlicht: 19. August 2022

© 2022 Schlegelmilch et al.
Dieser Artikel ist ein Open-Access-Artikel und steht unter den Lizenzbedingungen der Creative Commons Attribution 4.0 License (Namensnennung). Lizenz-Angaben siehe http://creativecommons.org/licenses/by/4.0/.


Gliederung

Text

Einleitung: Das mit der Datenschutzgrundverordnung (DSGVO) neu eingeführte Instrument der Datenschutz-Folgenabschätzung (DS-FA) ist für die medizinische Forschung relevant, wenn z.B. neue Technologien oder umfangreiche Verarbeitungen besonderer Kategorien nach Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) verarbeitet werden [1]. Leitfäden für die Implementierung der DS-FA sind seit 2017 international normiert [2], [3], die damit verbundenen Herausforderungen sind auch zwei Jahre nach Einführung der DS-FA vorhanden [4], [5], [6], [7]. Wir setzten uns im Rahmen des DFG-Forschungsprojektes RADARplus mit diesen Herausforderungen auseinander und diskutierten Fragestellungen mit der AG Datenschutz der Technologie- und Methodenplattform für die vernetzte medizinischen Forschung e.V. (TMF). Ein Erfahrungsaustausch zwischen medizinisch Forschenden und Datenschutzbeauftragten (DSB) zu den Herausforderungen bei der DS-FA wurde von der TMF e.V. begrüßt und gefördert. Ziel des bundesweiten TMF-Workshops mit Forschenden und Datenschutzbeauftragten war die Identifikation und Diskussion dieser Herausforderungen im medizinischen Forschungskontext.

Methodik: Medizinisch Forschende (MF), Datenschutzbeauftragte (DSB) der Universitätsklinika, Landesbeauftragte und Bundesbeauftragte für den Datenschutz (LfD, BfD) wurden zu einem halbtägigen Online-Workshop im März 2022 eingeladen. Im Workshop wurden Impulsvorträge mit Erfahrungen zu Frameworks und der praktischen Umsetzung der DS-FA im Netzwerk Universitätsmedizin (NUM) und der Medizininformatik-Initiative (MII) als Ausgangspunkt für die Diskussion gezeigt. In Kleingruppenarbeit wurden die unter den Herausforderungen identifizierten Schwerpunktthemen bearbeitet, dokumentiert und im Plenum vorgestellt.

Ergebnisse: 53 von 74 angemeldeten Personen haben am Workshop teilgenommen (48x MF und DSB, 3x BfD, 0x LfD, 2x Industrie). Für die Kleingruppenarbeit haben die Teilnehmenden die Themengebiete

  • Granularität der Risiko- und Schutzbedarfsanalyse
  • Typische Risiken und Schadensszenarien
  • Risikobewertung
  • Organisatorische Rahmenbedingungen
  • Darstellung von Datenkategorien und Datenverarbeitungsvorgängen

als herausfordernd angesehen. Im Ergebnis konnten folgende Themen zur weiteren Bearbeitung identifiziert werden:

  • Berücksichtigung des Verhältnisses von Infrastruktur und Projekten
  • Prüfung der Erforderlichkeit einer DS-FA für einzelne Projekte auf Basis einer einheitlichen Infrastruktur
  • Detailliertheit der Datenbeschreibung von identifizierenden und medizinischen Daten (IDAT/MDAT), Risiken, Schäden und Schutzmaßnahmen
  • Auflistung von typischen Risiken und deren Gegenmaßnahmen in medizinischen Forschungsprojekten
  • Vorgehensweise / Verantwortung / Aufgabenteilung in Verbundforschungsprojekten
  • Arbeitsanteile der DSB
  • häufige Personaländerungen in Forschungsprojekten
  • Motivationsmöglichkeiten zur Erstellung einer DS-FA bei den Projektbeteiligten
  • veränderliche Forschungsprozesse mit nicht immer linearen Abfolgen
  • Nomenklatur und Schutzklassenzuordnung für Datenkategorien
  • Einschätzung des Missbrauchspotenzials
  • DS-FA bei qualitativen Forschungsdaten
  • Bewertungsverfahren für Eintrittswahrscheinlichkeiten
  • Trennung von Schäden für Betroffene und Verantwortliche
  • Risiko-Nutzen-Bewertung und Verhältnismäßigkeit der Maßnahmen

In der abschließenden Umfrage begrüßten 76% der Teilnehmenden die Fortführung der Workshopthemen (0% dagegen, 24% Enthaltungen).

Diskussion: Der Workshop hat gezeigt, dass medizinisch Forschende und Datenschutzbeauftragte aus universitären Einrichtungen mit verschiedenartigen Herausforderungen bei der Initiierung und Umsetzung der DS-FA in medizinischen Forschungsprojekten konfrontiert sind. Ansätze zur Begegnung dieser Herausforderungen sind sichtbar, werden aber meist individuell oder einrichtungsspezifisch verfolgt. Tendenziell ist ein vielschichtiger Unterstützungsbedarf bzgl. der Umsetzung von DS-FA in medizinischen Forschungsvorhaben erkennbar.

Schlussfolgerungen: Eine systematische Bedarfsanalyse sollte den Unterstützungsbedarf bei medizinisch Forschenden bzgl. DS-FA konkret herausarbeiten. Diese Analyse sollte die Grundlage für die Erstellung von niederschwelligen und möglichst bundeseinheitlichen Hilfestellungen zur DS-FA für medizinische Forschende darstellen.

Förderung: Das Projekt RADARplus wird von der Deutschen Forschungsgemeinschaft unter den Kennzeichen HU 1587/2-2, RI 1000/7-2, HO 1937/7-2, YA 191/8-2 und KR-1093/10-2 gefördert.

Die Autoren geben an, dass kein Interessenkonflikt besteht.

Die Autoren geben an, dass kein Ethikvotum erforderlich ist.


Literatur

1.
Europäisches Parlament; Rat der Europäischen Union. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). 2016 [cited 2022 Apr 13]. Available from: https://eur-lex.europa.eu/search.html?scope=EURLEX&text=2016%2F679&lang=de&type=quick&qid=1649840353360 Externer Link
2.
Deutsches Institut für Normung. DIN EN ISO/IEC 29134. Informationstechnik - Sicherheitsverfahren - Leitlinien für die Datenschutz-Folgenabschätzung (ISO/IEC 29134:2017) = Information technology - security techniques - guidelines for privacy impact assessment (ISO/IEC 29134:2017). Deutsche Fassung EN ISO/IEC 29134:2020. Berlin: Beuth Verlag GmbH; 2020.
3.
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 (Artikel-29-WP). Brussels: Article 29 Data Protection Working Party; 2017 [cited 2022 May 23]. Available from: https://ec.europa.eu/newsroom/article29/items/611236 Externer Link
4.
Martin N, Mester BA, Schiering I, Friedewald M, Hallinan D. Datenschutz-Folgenabschätzung: Ein notwendiges „Übel“ des Datenschutzes? Datenschutz und Datensicherheit. 2020;44(3):149–53.
5.
Schiering I, Mester BA, Friedewald M, Martin N, Hallinan D. Datenschutz-Risiken partizipativ identifizieren und analysieren: Datenschutz-Folgenabschätzung in Unternehmen und Behörden. Datenschutz und Datensicherheit. 2020; 44(3):161–5.
6.
Friedewald M, Schiering I, Martin N. Datenschutz-Folgenabschätzung in der Praxis: Herausforderungen bei der Implementierung eines innovativen Instruments der DSGVO. Datenschutz und Datensicherheit. 2019;43(8):473–7.
7.
Nägele P, Petrlic R, Schemmel F. Die Datenschutz-Folgenabschätzung in der Praxis. Datenschutz und Datensicherheit. 2020; 44(11):719–28.