gms | German Medical Science

Einleitung: Nach Art. 35 der EU-Datenschutz-Grundverordnung (DSGVO) ist u.a. bei einer umfangreichen Verarbeitung von Gesundheitsdaten vorab eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen. Aus den Diskussionen in der TMF-Community geht hervor, dass in der medizinischen Forschungsgemeinschaft noch viele Unsicherheiten speziell zu Art und Umfang der Analyse der Risiken bestehen [1]. Bei einem Inhaltsvergleich von DS-FA und Datenschutzkonzept wird deutlich, dass insbesondere die Risikoanalyse spezifisch für die DS-FA ist. Jedoch sind viele Inhalte ansonsten weitgehend übereinstimmend [2]. Insofern wird mittlerweile häufig empfohlen, ein integriertes Dokument für beide Anforderungen zu erstellen, wobei das Datenschutzkonzept den übergreifenden Rahmen bildet [3]. Beispielhaft ist dies im übergreifenden Datenschutzkonzept der MII umgesetzt [4], [1]. Aus dem Vergleich zwischen Datenschutzkonzepten und DS-FA geht hervor, dass die geforderte detaillierte Risikoanalyse bislang in Datenschutzkonzepten nicht in dieser Form dokumentiert wurde. Daher besteht ein Bedarf an standardisierten Vorlagen oder Tools, die zum einen den Prozess der geforderten Risikoanalyse einer DS-FA unterstützen und zum anderen deren Integration im Datenschutzkonzept erleichtern.

Methodik: Die TMF-Geschäftsstelle hat für die Unterstützung mehrerer Projekte ein strukturiertes Excel-Template einer Risikoanalyse zur Einbettung ins Datenschutzkonzept entwickelt. Das Template wurde mehrfach in der TMF-AG-Datenschutz vorgestellt, die das Thema DS-FA zum einen im Projekt zur Erarbeitung des neuen TMF-Datenschutzleitfadens 3.0 behandelt und zum anderen auch bereits in einem Workshop aufgriff, der auf der GMDS 2022 vorgestellt und diskutiert wurde [1]. Daraufhin eingegangenes Feedback wurde bei der weiteren Ausarbeitung des Templates berücksichtigt. Anschließend wurden in einem Projekt durch Freiwillige aus der AG mithilfe des Templates Risikoanalysen dokumentiert und dezidierte Reviews erstellt, die zur Verbesserung des Templates und Erstellung einer ausführlichen Nutzungsanleitung führten.

Ergebnisse: Das Template basierend auf Microsoft Excel erlaubt die Festlegung auf Projektstrukturen (z.B. beteiligte Stellen, Szenarien) samt Zuordnung von Prozessen. Je Prozess kann dann durch Kopie eines Template-Arbeitsblattes eine Auswahl von Risiken samt Zuordnung von bis zu 6 Gewährleistungszielen [5] sowie eine Auswahl von Risikoquellen erfolgen. Zentral ist dann die Bewertung der Risiken sowohl vor und nach Zuordnung der Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen. Das Template enthält in separaten Arbeitsblättern bereits Listen von für die medizinische Verbundforschung beispielhaften Risiken/-quellen und Maßnahmen in praxisabgestimmter Detailtiefe und Eingruppierung, die aber dennoch abgeändert und ergänzt werden können. Zu jeder Maßnahme, die genau wie die Risiken als Kurzbeschreibung angeboten werden, wird ein direkter Verweis zur ausführlichen Beschreibung im Datenschutzkonzept angeboten. Zudem ist ein Übersichtsblatt im Template enthalten, in dem beispielhaft eine Projektstruktur mit dazugehörigen Prozessen eines medizinischen Forschungsvorhabens aufgeführt werden und deren risikobasierte Bewertungen bereits erstellt worden sind. Dieses Beispiel kann angepasst und in das eigene Datenschutzkonzept überführt werden.

Diskussion: Das Template unterstützt Personen, die für die Erstellung und Abstimmung von Datenschutzkonzepten in der medizinischen Forschung verantwortlich sind und zunehmend mit der Anforderung einer DS-FA konfrontiert werden. Das Ziel besteht darin, die Dokumentation einer DS-FA durch das qualitätssichernde Template zu erleichtern. Zweitens können Datenschutzbeauftragte der Forschungseinrichtungen die standardisierten DS-FAs mithilfe dieses Templates nutzen und bewerten.

Schlussfolgerungen: Das qualitätssichernde Excel-Template wird in den ToolPool-Gesundheitsforschung aufgenommen und somit der wissenschaftlichen Gemeinschaft zur Verfügung gestellt. Perspektivisch könnte auch ein Tutorial zur Nutzung des Templates der Forschungscommunity angeboten werden.

Die Autoren geben an, dass kein Interessenkonflikt besteht.

Die Autoren geben an, dass kein Ethikvotum erforderlich ist.