[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.12.2009

15. Medizinische Forschung und Evaluation

15.1. Errichtung einer Forschungsdatenbank für kinder- und jugendpsychiatrische Studien

Im Berichtszeitraum plante ein zu diesem Zweck gegründeter eingetragener Verein, dessen Mitglieder, kinder- und jugendpsychiatrische Kliniken, aus verschiedenen Bundesländern stammen, die Errichtung einer Datenbank zu Forschungszwecken im Bereich Kinder- und Jugendpsychiatrie. In der Datenbank sollten Daten zur Psychopharmakotherapie im Kindes- und Jugendalter gesammelt werden, die in der klinischen Routine von den jungen Patienten der an dem Kompetenznetz teilnehmenden kinder- und jugendpsychiatrischen, zumeist universitären Kliniken (Zentren) erhoben werden, um insbesondere Korrelationen zwischen Altersstufen, Dosierungen, Arzneimittel-Plasmaspiegeln im Blut, Wirkungen und Nebenwirkungen und anderen Einflussfaktoren der Wirksamkeit herstellen zu können. Auf die pseudonymisiert bzw. anonymisiert gespeicherten Daten sollten Berechtigte der Zentren (zentrumsintern, zentrumsübergreifend) und externe Forscher zugreifen können.

Ausschlaggebend für das Projekt sei gewesen, dass die Studienlage zu Wirkungen und Nebenwirkungen von Psychopharmaka im Kindes- und Jugendalter sehr gering sei, die meisten modernen Psychopharmaka demnach für Kinder und Jugendliche nicht zugelassen seien und die aus Zulassungsstudien optimierte Arzneimittelsicherheit für Kinder und Jugendliche somit nicht vorausgesetzt werden könne, sowie der Umstand, dass die Verstoffwechselung von Psychopharmaka bei Kindern und Jugendlichen altersabhängig sehr von derjenigen im Erwachsenenalter abweiche, so dass das Risiko ineffizienter oder aber überhöhter Dosierungen mit Nebenwirkungsgefahr schwieriger abschätzbar sei.

In einem genetischen Teilprojekt sollte darüber hinaus Patienten mit auffälligem Stoffwechsel angeboten werden, zur weiteren Abklärung genetische Besonderheiten der am Stoffwechsel beteiligten Enzyme zu analysieren und die gewonnenen Blutproben in einer Biomaterialbank im Genetik-Labor für Forschungszwecke aufzubewahren.

Ich habe im Rahmen meiner Beratungstätigkeit und Zuständigkeit den Aufbau des Projektes begleitet. Dabei habe ich eine Vielzahl von Änderungen und Ergänzungen zum Datenschutzkonzept und zum Verfahrensablauf vorgeschlagen. Insbesondere habe ich folgende Verbesserungen in allgemeiner datenschutzrechtlicher Hinsicht angeregt bzw. gefordert:

  • Nach Art. 25 Abs. 2 Satz 1 Bayerisches Datenschutzgesetz (BayDSG) ist für bayerische öffentliche Stellen ein behördlicher Datenschutzbeauftragter zu bestellen.
  • Den Bestimmungen des Art. 26 BayDSG zufolge ist insbesondere eine Verfahrensbeschreibung zu erstellen und hat eine datenschutzrechtliche Freigabe zu erfolgen.
  • Dem Datenschutzkonzept muss zweifelsfrei zu entnehmen sein, welchen der beteiligten Stellen (Prüfarzt, Zentren, e.V.) jeweils die datenschutzrechtliche Verantwortung zustehen soll.
  • Dem Datenschutzkonzept muss zweifelsfrei zu entnehmen sein, ob die Studien mit pseudonymisierten oder anonymisierten Daten durchgeführt werden sollen. Vorrang hat die Verwendung anonymisierter Daten, das bedeutet, dass die in der Datenbank gespeicherten Daten ohne PID oder eine sonstige rückführbare Nummer an die Forscher herausgegeben werden. Vorsorglich habe ich darauf hingewiesen, dass auch bei der Verwendung nur pseudonymisierter Daten die Forscher keinesfalls Zugriff auf die PID des Probanden erhalten dürfen. Vielmehr müsste für diesen Fall eine zweistufige Pseudonymisierung, d.h. eine weitere kryptografische Transformation der PID vorgesehen werden. Hierzu müsste die PID von einem Treuhänder in ein sog. PSN umgewandelt werden.
  • Für Biomaterialbanken bestehen besondere datenschutzrechtliche Anforderungen hinsichtlich der Pseudonymisierung der Proben. Grund hierfür ist, dass diese in der Regel genetisches Material enthalten, das für jeden Menschen einmalig ist. Dieser Umstand kann die Reidentifizierung deutlich erleichtern, z.B. wenn eine Referenzprobe mit den gleichen genetischen Eigenschaften zugänglich ist. Deshalb sind besondere Schutzmaßnahmen beim Umgang mit Proben erforderlich.

    So ist z.B. in den Konzepten des TMF e.V. entsprechend dem allgemein anerkannten datenschutzrechtlichen Standard vorgesehen, dass die Biomaterialbank - vorliegend also das Genetik-Labor - keine Kenntnis von der PID des Patienten erlangen darf, um ein Zusammenführen der Probe mit den identifizierenden Daten zu vermeiden. Für die Proben müsste deshalb im Zentrum eine sog. LabID generiert werden, mit der die Probe vor dem Versand beschriftet wird. Damit die in der Datenbank gespeicherten Daten nicht mit der Probe verknüpft werden können, darf die Datenbank (die die PID speichert) die LabID nicht kennen. Es ist daher sicherzustellen, dass das Gentik-Labor die LabID vor der Weitergabe der ProbDAT an die Datenbank kryptografisch in eine sog. LabID_trans transformiert, unter der dann die ProbDAT an die Datenbank weitergeleitet und dort gespeichert werden.

    Die Einzelheiten eines derartigen Pseudonymisierungskonzepts sind im Datenschutzkonzept festzulegen. Hierzu gehört insbesondere auch eine Risikobewertung aus dem Blickwinkel unbefugter Depseudonymisierungsversuche und der Kompromittierung einzelner Stellen. Grundsätzlich muss dabei gewährleistet werden, dass weder durch eine alleinige Kompromittierung der Datenbank noch des Genetik-Labors eine Depseudonymisierung möglich ist.
  • Im Datenschutzkonzept sollen die Fallgruppen der Reidentifizierung genau und abschließend benannt werden. Darüber hinaus ist für jeden Fall der Ablauf der Reidentifizierung festzulegen, insbesondere, wer im Einzelfall über die Berechtigung zur Reidentifizierung entscheidet und wie die Reidentifizierung konkret abgewickelt wird.
  • Für sehr bedenklich habe ich gehalten, dass der Prüfarzt einer am Projekt teilnehmenden Klinik (Zentrum) ein Formular mit Name, Adresse, Geburtsdatum und Geschlecht des Probanden und dem Pseudonym in seiner Patientenakte aufbewahren soll. Da die Patientenakte für eine Vielzahl von Mitarbeitern des Krankenhauses zumindest faktisch zugänglich ist, wäre durch eine solche Vorgehensweise die Pseudonymisierung nachhaltig geschwächt.
  • Darüber hinaus habe ich es für geboten gehalten, einen Zeitpunkt festzulegen, zu dem die Daten spätestens anonymisiert werden sollen.
  • Nicht nur beim genetischen Teilprojekt, sondern für das gesamte Projekt ist eine informierte - also auf einer ausreichenden Patienteninformation beruhende - datenschutzrechtliche Einwilligung erforderlich. Denn soweit Daten verwendet werden, die im Behandlungszusammenhang erhoben wurden, stellt die Speicherung in einer zentralen Datenbank und die Auswertung zu Forschungszwecken eine Zweckänderung dar, die einer gesonderten Einwilligung bedarf. Die Einwilligung in die Datenerhebung zum Zwecke der Behandlung umfasst nämlich nicht die Verarbeitung und Nutzung der Daten zu Forschungszwecken (siehe hierzu auch meine Ausführungen im 22. Tätigkeitsbericht Nr. 13.3.1 zum Aufbau einer Biomaterialbank).
  • Für dringend notwendig habe ich verbindliche Regelungen bezüglich des gesamten Projekts einschließlich des genetischen Teilprojekts gehalten, ob und ggf. unter welchen Voraussetzungen die datenschutzrechtlichen Einwilligungen nur von den Sorgeberechtigten, nur von den Kindern und Jugendlichen bzw. von beiden einzuholen sind. In diesem Zusammenhang bin ich der Auffassung, dass bei Kindern und Jugendlichen, sobald diese die natürliche Einsichtsfähigkeit (ca. 14 Jahre) erlangt haben, zumindest auch deren Einwilligung erforderlich ist. Die Patienteninformation und die Einwilligungserklärungen für Kinder und Jugendliche müssen dann altersgerecht abgefasst werden.

Zum Zeitpunkt des Redaktionsschlusses für diesen Tätigkeitsbericht waren noch nicht alle datenschutzrechtlichen Anforderungen erfüllt worden. Der eingetragene Verein hatte jedoch das Datenschutzkonzept sowie die Einwilligungserklärungen überarbeitet, so dass ich gegen den Beginn einer Pilotphase des Projektes keine Einwendungen erhoben habe, sofern insbesondere folgende datenschutzrechtlichen Mindestanforderungen sichergestellt sein würden:

  • In der Pilotphase wird ausschließlich das Basisprojekt, nicht hingegen das pharmakogenetische Teilprojekt durchgeführt.
  • Die Datenbank des e.V. wird ausschließlich für wissenschaftliche Studien/Auswertungen genutzt, zur konkreten Behandlung der Patienten wird hingegen nicht auf die Datenbank mit den pseudonymisierten Daten zugegriffen. Für den Zugriff auf die Datenbank im Behandlungszusammenhang müsste eine zusätzliche Pseudonymisierung mit einer eigenen PID durchgeführt werden. Darüber hinaus wäre zu prüfen, ob und ggf. inwieweit es den beteiligten Kliniken gestattet ist, Daten für den Behandlungszusammenhang außerhalb des Krankenhauses zu speichern (hier bestehen in Bayern Einschränkungen durch Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz).
  • Das Formular mit den IDAT des Probanden und dessen PID wird zu keinem Zeitpunkt in der Patientenakte des Probanden aufbewahrt.
  • Für sämtliche Auswertungen/Studien werden vorerst ausschließlich anonymisierte Daten zur Verfügung gestellt.

Ich habe mir ausdrücklich vorbehalten, auf Grund der weiteren datenschutzrechtlichen Prüfung unter Einbeziehung der sonstigen betroffenen Landesbeauftragten für den Datenschutz weitergehende Änderungen des Datenschutzkonzeptes, der Einwilligungserklärung und der Verfahrensbeschreibung zu verlangen.

15.2. Mammographie-Screening

Wie schon in früheren Jahren (vgl. hierzu Nr. 13.1.3, 22. Tätigkeitsbericht) war ich auch im aktuellen Berichtszeitraum intensiv mit verschiedenen datenschutzrelevanten Aspekten des Mammographie-Screening-Programms gemäß den Krebsfrüherkennungs-Richtlinien (KFÜ-RL) des Gemeinsamen Bundesausschusses befasst:

15.2.1. Einladungswesen

Zahlreiche Petitionen erreichten mich zum sog. Einladungswesen des Mammographie-Screening-Programms.

Die Krebsfrüherkennungs-Richtlinien sehen vor, dass die anspruchsberechtigten Frauen von einer sog. Zentralen Stelle eingeladen werden, diese ist in Bayern bei der Kassenärztlichen Vereinigung Bayerns (KVB) angesiedelt. Für die Einladung erhält die Zentrale Stelle von den Melderegistern die Daten aller in Frage kommenden Frauen. Die Zentrale Stelle weist jeder anspruchsberechtigten Frau eine eindeutige, lebenslang geltende Screening-Identifikationsnummer zu und legt Ort und Termin der Untersuchung auf Grundlage der Angaben der Screening-Einheit zu ihren Kapazitäten fest. Die Ärzte in den Screening-Einheiten erhalten von der Zentralen Stelle Name und Screening-Identifikationsnummer der Frau sowie Ort und Termin, zu dem sie eingeladen wurde (Einladungslisten). In die Liste trägt der Arzt ein, ob die eingeladene Frau teilgenommen hat. Die Einladungslisten sind spätestens nach vier Wochen von der Screening-Einheit an die Zentrale Stelle zu übermitteln, damit diese eine Erinnerung der Frauen veranlasst, die sich nicht auf die Einladung gemeldet haben. Bei der Screening-Einheit sind die von der Zentralen Stelle zur Verfügung gestellten personenbezogenen Daten nach Rückgabe der Einladungslisten an die Zentrale Stelle zu löschen. Auch die Zentrale Stelle löscht die personenbezogenen Daten der Einladungsliste einschließlich die der Nichtteilnehmerinnen und leitet die Angaben zur Teilnahme nur in anonymisierter Form zur Evaluation des Einladungswesens weiter.

Um das in den Krebsfrüherkennungs-Richtlinien beschriebene Verfahren auf landesrechtlicher Ebene in Bayern umzusetzen, wurde zum einen das Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) und zum anderen die Verordnung zur Übermittlung von Meldedaten (Meldedatenverordnung - MeldDV) geändert. Art. 31 a Satz 1 GDVG bestimmt, dass Zentrale Stellen, die befugt sind, Maßnahmen zur Früherkennung von Erkrankungen der Bevölkerung zu koordinieren, von den Meldebehörden Daten aus dem Melderegister erheben und verarbeiten können, soweit es zur Erfüllung ihrer Aufgaben erforderlich ist. Gemäß Art. 31 a Satz 2 GDVG erhält eine nach den Krebsfrüherkennungsrichtlinien des Gemeinsamen Bundesausschusses errichtete Zentrale Stelle zur Durchführung von bevölkerungsbezogenen Screening-Maßnahmen auch die Meldedaten der nicht gesetzlich versicherten Frauen. Nach § 15 Abs. 1 Satz 1 MeldDV übermittelt die AKDB (Anstalt für Kommunale Datenverarbeitung in Bayern) der Zentralen Stelle bei der Kassenärztlichen Vereinigung in Bayern jeweils zum ersten eines Monats personenbezogene Daten (Familiennamen, Geburtsnamen, Vornamen, Doktorgrad, Tag und Ort der Geburt, gegenwärtige Anschrift) aller Einwohnerinnen, die an diesem Tag das 50. Lebensjahr, aber noch nicht das 70. Lebensjahr vollendet haben und mit alleiniger oder Hauptwohnung in Bayern gemeldet sind. Die Übermittlung ist nur in dem seltenen Fall ausgeschlossen, dass eine Auskunftssperre nach Art. 31 Abs. 7 MeldeG wegen Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen vorliegt (§ 15 Abs. 1 Satz 2 MeldDV), nicht hingegen bei den sonstigen Übermittlungs- und Auskunftssperren. Die Zentrale Stelle bei der Kassenärztlichen Vereinigung in Bayern darf die Daten nur verwenden, um die weibliche Bevölkerung über Vorsorgeuntersuchungen gegen Brustkrebs flächendeckend zu informieren und um ein Einladungswesen zur Teilnahme am Mammographie-Screening-Projekt aufzubauen und fortzuführen (§ 15 Abs. 2 Satz 1 MeldDV).

Im Ergebnis ist festzustellen, dass für das derzeitige Einladungswesen des Mammographie-Screening-Programms eine ausreichende Rechtsgrundlage besteht. Eine andere, von den betroffenen Frauen, die sich an mich wenden, nicht zu Unrecht thematisierte Frage ist allerdings, ob das in den Krebsfrüherkennungs-Richtlinien festgelegte Einladungsverfahren mit einer automatisierten Terminvergabe bei einem einzigen bestimmten Arzt fachlich sinnvoll ist oder ob nicht mit einem Alternativverfahren eine höhere Akzeptanz bei den angeschriebenen Frauen erreicht werden könnte.

15.2.2. Begriffserläuterungen in der Einladung

Eine Petentin hat mich darauf aufmerksam gemacht, dass in den bei der Einladung zu einem Screening-Termin versandten Schreiben und Unterlagen an keiner Stelle erklärt wird, wer oder was sich hinter den Begriffen "Zentrale Stelle Mammographie-Screening" und "Mammographie-Screening-Programm" verbirgt und wie sich die organisatorischen Zusammenhänge darstellen. Mein entsprechender Hinweis an die KVB hat diese zumindest dazu bewogen, in das Einladungsschreiben die Erläuterung "Die Zentrale Stelle Mammographie-Screening Bayern ist eine gemeinsame Einrichtung der bayerischen Krankenkassen und der Kassenärztlichen Vereinigung Bayerns, angesiedelt bei der Kassenärztlichen Vereinigung Bayerns." aufzunehmen.

15.2.3. Evaluation der Intervallkarzinome und der Mortalität im Mammographie-Screening

Schon bislang ist in den Krebsfrüherkennungs-Richtlinien die Evaluation der sog. Intervallkarzinome geregelt. Als Intervallkarzinome werden alle jene Brustkrebsfälle verstanden, die bei Teilnehmerinnen am Screening zwischen den alle zwei Jahre stattfindenden Screening-Terminen diagnostiziert werden. Bei der Evaluation solcher Intervallkarzinome gilt es insbesondere die sog. falsch-negativen Diagnosen zu identifizieren, also jene Fälle, in denen der Arzt beim Screening einen bereits bestehenden Brustkrebs fehlerhaft übersehen hat.

Bei der Evaluation der Mortalität im Mammographie-Screening geht es darum, aussagefähige Vergleiche zwischen der Sterblichkeit von gescreenten und nicht gescreenten Tumorpatientinnen durchführen zu können. Auf diese Weise soll ermittelt werden, ob das Mammographie-Screening-Programm zu einer Verbesserung des Überlebens beitragen kann.

Die Kooperationsgemeinschaft Mammographie, eine in den Krebsfrüherkennungs-Richtlinien vorgesehene gemeinsame Einrichtung der Kassenärztlichen Bundesvereinigung und der Spitzenverbände der Krankenkassen, hat im Berichtszeitraum veränderte Konzeptionen für die Evaluation der Intervallkarzinome sowie neue Konzeptionen für die Evaluation der Mortalität im Mammographie-Screening mit Hilfe der Krebsregister vorgestellt und die Datenschutzbeauftragten des Bundes und der Länder um eine datenschutzrechtliche Prüfung gebeten. Diese Konzepte und auch deren datenschutzrechtliche Bewertung sind außerordentlich komplex, so dass es nicht möglich ist, diese im Rahmen eines Tätigkeitsberichts erschöpfend zu erläutern.

Ich habe durch meine Stellungnahme darauf hingewirkt, dass die Konzepte möglichst datenschutzfreundlich ausgestaltet werden.

Ferner habe ich darauf aufmerksam gemacht, dass die Konzepte eine Änderung der Krebsfrüherkennungs-Richtlinie voraussetzen. Diese ist mittlerweile erfolgt.

Sollen die Konzepte der Kooperationsgemeinschaft Mammographie tatsächlich umgesetzt werden, sind allerdings zusätzlich diverse Änderungen des Bayerischen Krebsregistergesetzes (BayKRG) notwendig. Dies betrifft insbesondere die Regelung des Datenabgleichs zur Feststellung der Intervallkarzinome in Art. 8 Abs. 1 Nr. 8 BayKRG, aber auch die Einführung der Evaluation der Mortalität im Mammographie-Screening als neue Aufgabe des Krebsregisters einschließlich der hierfür notwendigen Rechtsgrundlagen für die Meldung, Erhebung und Verarbeitung der erforderlichen Daten.

15.2.4. Datenhaltung in einem externen Rechenzentrum

Im letzten Tätigkeitsbericht (vgl. hierzu Nr. 13.1.3, 22. Tätigkeitsbericht) hatte ich darauf hingewiesen, dass die von der KVB als Zentrale Stelle praktizierte Datenhaltung bei einem externen Provider diverse Sicherheitsmaßnahmen erfordert, insbesondere eine verschlüsselte Datenspeicherung, damit der Provider keine Kenntnis von den bei ihm gespeicherten Daten nehmen kann. Diese Problematik stellt sich derzeit nicht mehr, da die KVB ein Insourcing der ausgelagerten Infrastruktur vorgenommen hat.

15.2.5. Externe Call-Center

Im Berichtszeitraum hat mich die KVB darüber informiert, dass sie eine private Firma mit der Erbringung von Call-Center-Dienstleistungen für die Zentrale Stelle im Mammographie-Screening beauftragten möchte. Hierzu habe ich die KVB auf Folgendes hingewiesen:

Nachdem die Mitarbeiter des Call-Centers auch auf die Datenbank der Zentralen Stelle zugreifen müssen, ist besonders an das Thema Rechtevergabe zu denken. Insbesonders muss sichergestellt sein, dass die Mitarbeiter der Call-Center nur auf die für ihre Aufgaben (z.B. Terminverschiebungen) benötigten Daten zugreifen können und dass die Datenzugriffe revisionsfähig sind.

Ferner hat die KVB darauf zu achten, zu welchen anderen Systemen der KVB die Mitarbeiter des Call-Centers Zugriff für andere Aufgaben erhalten, um die Gefahr einer Wissenshäufung bei diesen Mitarbeitern gering zu halten.

Schließlich sind bei der Beauftragung einer privaten Firma mit einem externen Call-Center auch die Anforderungen des Art. 6 BayDSG an eine Auftragsdatenverarbeitung einzuhalten.