Datenschutz & Anonymisierung

Lieber Garnix,
würde mich sehr interessieren, wie sie die DSGVO v.a. bezüglich des Forschungsprivilegs auslegt. Das Problem hierbei ist ja der Begriff der Forschung oder wenn man so will medizinischer Forschung. Das kann klinische Forschung sein, die öffentlich finanziert und gefördert ist, es kann aber auch privatwirtschaftliche Forschung sein, die behauptet, dem öffentlichen Interesse zu dienen. Melde dich gerne mit ihrer Rückmeldung.
LG Franz“

Abzustellen ist wohl – wie du schon angedeutet hast – auf:

Art. 89 DSGVO Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

(2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind.

bzw. Erwägungsgrund 156 Verarbeitung für Archivzwecke und zu wissenschaftlichen oder historischen Forschungszwecken*

Es sollte den Mitgliedstaaten erlaubt sein, unter bestimmten Bedingungen und vorbehaltlich geeigneter Garantien für die betroffenen Personen Präzisierungen und Ausnahmen in Bezug auf die Informationsanforderungen sowie der Rechte auf Berichtigung, Löschung, Vergessenwerden, zur Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Widerspruch bei der Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorzusehen. 6

Wirst du alles sicher schon wissen – wenn nicht: hier ist noch ein bisschen Einführungszeug und ein paar ganz gute Links zum Schluss.

Zulässigkeit der Erfassung von Gesundheitsdaten zu statistischen Zwecken: Anonymisierung aus Sicht des Datenschutzes und des Datenschutzrechts,

Rechtsvorschriften

•Erwägungsgrund 26 der DSGVO (Anonymisierung)

•Artikel 6 und 9 DSGVO (Verarbeitungsgrundlagen)

Daten sind wertvoll; gerade im Gesundheitssektor werden große Datenmengen beispielsweise in Krankenhäusern ohnehin schon erhoben, z.B., wenn Computertomografie-Scans gespeichert oder Daten über den körperlichen Zustand aufgenommen werden. Mit der Zusammenführung all dieser Daten werden immer bessere Analysen möglich. Unter dem Stichwort „Big Data“ können aus großen und ungeordneten Datenmengen Gesetzmäßigkeiten herausgelesen werden, mit denen Krankheiten immer besser verstanden und bekämpft werden können. Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn besondere Rechtfertigungsgründe vorliegen. Bei den sensiblen Gesundheitsdaten gelten neben den allgemeinen datenschutzrechtlichen Anforderungen zusätzliche Voraussetzungen. Besondere Anforderungen sind für die Daten von Ärzten und anderen Heilberufen zu beachten. Denn diese Heilberufe unterliegen besonderen Schweigepflichten, deren Verletzung auch strafrechtlich sanktioniert werden kann. Es muss deswegen neben den datenschutzrechtlichen Vorschriften auch geprüft werden, ob die Verarbeitung von Gesundheitsdaten in diesen Fällen berufsrechtlich zulässig ist

Fraglich ist, ob diese Daten erfasst werden können oder ob der Datenschutz nicht unmöglich macht. Der Datenverarbeitung sogn. personenbezogene Daten, die die EU-Datenschutz-Grundverordnung („DSGVO“) in Art. 4 Nr. 1 als Informationen definiert, „die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, werden zum Schutz dieser Personen einige Schranken auferlegt. Im Gesundheitsbereich gelten sogar noch strengere Vorgaben, da Gesundheitsdaten als besonders sensibel und damit besonders schutzwürdig eingestuft werden. Insbesondere dient dieser Schutz vor allem auch der Verbesserung der Transparenz der Datenverarbeitung, was das Vertrauen der betroffenen Personen in die Rechtsmäßigkeit und Sicherheit der Verarbeitung stärken soll.

Damit ist allerdings nicht gemeint, dass sich die DSGVO neuen Technologien in den Weg stellen möchte. Wer sich nun möglichst wenig mit den datenschutzrechtlichen Vorgaben auseinandersetzen möchte, kann auf eine Anonymisierung von Daten zurückgreifen. Dabei wird der Personenbezug der Daten derart aufgehoben, dass sie keine personenbezogenen Daten mehr darstellen – damit sind datenschutzrechtliche Regelungen (insbesondere die DSGVO) nicht mehr anwendbar. Zwar können Big Data-Anwendungen grundsätzlich auch auf der Basis von nicht-anonymisierten personenbezogenen Daten durchgeführt werden, doch müssen dann alle datenschutzrechtlichen Anforderungen der DSGVO erfüllt werden. Das ist im Gesundheitsbereich sehr oft nicht oder nur mit hohem Aufwand möglich, da allein schon die Erfüllung der Informationspflichten bei großen Datenmengen sehr arbeitsintensiv sein kann. In vielen Fällen fehlt es auch an einer gesetzlichen Rechtsgrundlage für die gewünschte Verarbeitung der Daten, so dass dann auf eine Einwilligung der Betroffenen zurückgegriffen werden muss, die allerdings jederzeit auch widerrufen werden kann. Nach einer Anonymisierung der Daten hingegen gilt die DSGVO nicht mehr und die Daten können zu Forschungs- oder sonstigen Zwecken genutzt werden, ohne dass datenschutzrechtliche Anforderungen oder Beschränkungen (wie z.B. auch der Zweckbindungsgrundsatz) beachtet werden müssen.

Eine Anonymisierung ist eine Operation, die personenbezogene Daten (Input) in nicht-personenbezogene Daten (Output) transformiert. Sie fällt in den Anwendungsbereich der Datenschutz-Grundverordnung. Der Zweck jeder Anonymisierung besteht darin, den Anwendungsbereich der DSGVO zu verlassen. Damit einher geht der Verlust deseffektiven Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen. Vor einer Anonymisierung ist demnach notwendig eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen.

Anonymisierte Gesundheitsdaten fallen dann nicht mehr in den Anwendungsbereich des Datenschutzrechts und können daher auch ohne Einhaltung der datenschutzrechtlichen Vorgaben im Rahmen von Big-Data-Analysen ausgewertet werden. Die Anonymisierung stellt eine Verarbeitung personenbezogener Daten dar, für die ein Rechtfertigungsgrund vorliegen muss. An den eigentlichen Prozess der Anonymisierung von Gesundheitsdaten werden zudem hohe Anforderungen gestellt. Anonymisierte Gesundheitsdaten fallen nicht in den Anwendungsbereich des Datenschutzrechts und können daher auch ohne Einhaltung der datenschutzrechtlichen Vorgaben im Rahmen von Big-Data-Analysen ausgewertet werden. Die Anonymisierung stellt eine Verarbeitung personenbezogener Daten dar, für die ein Rechtfertigungsgrund vorliegen muss. An den eigentlichen Prozess der Anonymisierung von Gesundheitsdaten werden zudem hohe Anforderungen gestellt. Die Anonymisierung stellt eine Datenverarbeitung dar, für die bei Gesundheitsdaten eine Ausnahme vom Verbot der Datenverarbeitung sowie eine Rechtsgrundlage erforderlich ist. Als Ausnahmetatbestände kommen insbesondere eine Einwilligung sowie die Verarbeitung zugunsten von wissenschaftlicher Forschung oder statistischen Zwecken (§ 27 BDSG) in Betracht. Die Aufhebung des Personenbezugs ist bei Gesundheitsdaten besonders schwierig, da Gesundheitsdaten häufig sehr individuell sind und der Betroffene daher häufig anhand weniger Zusatzinformationen identifiziert werden kann. Beispiel: Die bloße Entfernung von Namen und Adresse reicht für eine Anonymisierung grundsätzlich nicht. Durch die verbleibenden Informationen lässt sich häufig der Personenbezug wiederherstellen. Das gilt insbesondere, wenn es sich um sehr spezielle Informationen handelt, z.B. Kauf eines Medikaments für eine seltene Krankheit und eine hiermit in Verbindung stehende Postleitzahl des Wohnorts. Welche Maßnahmen für eine erfolgreiche Anonymisierung erforderlich sind, kann nur im jeweiligen Einzelfall bestimmt werden. Die bloße Entfernung des Namens und der Adresse der Person ist in aller Regel nicht ausreichend. Vielmehr sind besondere Anonymisierungstechniken zu verwenden und ggf. miteinander zu kombinieren. Zur Anonymisierung können unterschiedliche Techniken angewandt und ggf. miteinander kombiniert werden. Gesetzliche Vorgaben für die zu verwendenden Techniken bestehen nicht. Die hier genannten Techniken dienen als Beispiele und stellen keinen abschließenden Katalog dar.

Bei Randomisierungstechniken werden die Daten teilweise verändert, um den Bezug zu einer konkreten Person zu beseitigen. Die Daten sind dann zwar immer noch singulär, d.h. jeder Datensatz kann immer noch einem Datensubjekt zugeordnet werden. Es ist aber schwieriger, den Datensatz einer bestimmten Person zuzuordnen. Möglichkeiten der Randomisierung sind z.B.:•Veränderung einzelner Werte für bestimmte Attribute, so dass sie weniger genau sind, sich aber an der Gesamt-verteilung nichts ändert. Beispiel: Die Körpergröße einer Person wurde auf den nächsten Zentimeter genau gemessen. Der anonymisierte Datensatz stellt die Körpergröße nur auf +/- 10 cm genau dar.

Vertauschung einzelner Werte für bestimmte Attribute, so dass die Werte einem anderen Datensubjekt zu -geordnet werden. Beispiel: Die genau gemessenen Körpergrößen werden jeweils anderen Datensubjekten zugeordnet.

Bei Verallgemeinerungstechniken werden die Attribute der betroffenen Personen verallgemeinert, indem der jeweilige Maßstab oder die Größenordnung (z.B. eine Region anstatt einer Stadt, ein Monat anstatt einer Woche) geändert wird. Es können dann keine einzelnen Werte einer bestimmten Person zugeordnet werden, ggf. kann eine Person aber in eine bestimmte Gruppe eingeordnet werden. Möglichkeiten der Verallgemeinerung sind z.B.:•Zusammenfassung von mehreren Datensubjekten zu Gruppen in der Weise, dass die gemeinsamen Attribute ein Stück weit verallgemeinert werden. Beispiel: Anstatt Personen mit demselben Geburtstag werden Personen mit demselben Geburtsjahr zusammengefasst. Sicherstellung einer ausreichenden Diversität der Werte für einzelne Attribute innerhalb der gebildeten Gruppen. Beispiel: Es ist sicherzustellen, dass nicht Gruppen gebildet werden, bei denen alle in demselben Jahr geborenen Patienten dieselbe Diagnose erhalten haben. Denn in diesem Fall könnte man bereits allein anhand des Geburtsjahres auf die Diagnose schließen. Ggf. muss die Gruppe vergrößert werden. Es ist sinnvoll, Datenklassen zu bilden und in jedem Einzelfall zu überprüfen, ob ein Rückschluss auf eine konkrete Person möglich ist. Ist eine Identifizierung weiterhin möglich, muss eine abstraktere Datenklasse gewählt werden. Keine Anonymisierung liegt vor, wenn der Verantwortliche mit weiteren (ggf. bei Dritten) verfügbaren Daten einen Personenbezug herstellen kann. Bei der Übermittlung anonymisierter Daten an einen Empfänger muss zudem berücksichtigt werden, ob der Empfänger über Mittel verfügt, die Personenbeziehbarkeit wiederherzustellen.

Die Anonymisierung von Gesundheitsdaten kann sinnvoll sein, wenn die maßgeblichen Informationen effektiv genutzt werden können, ohne dass bekannt sein muss, auf wen sich diese Informationen beziehen. Gleichzeitig leidet bei jeder Anonymisierung die Qualität der Daten. Denn bestimmte Ursachenzusammenhänge werden entfernt oder unkenntlich gemacht, um die Identifikation zu verhindern. Aus datenschutzrechtlicher Sicht können folgende Elemente zu einer Anonymisierung beitragen:

Kombination unterschiedlicher Anonymisierungstechniken, Entfernung seltener Attribute (z.B. seltene Krankheiten). Bei einer Verallgemeinerung sollte keine Beschränkung auf ein Generalisierungskriterium für das gleiche Attribut erfolgen. Vielmehr ist die Auswahl der Generalisierungskriterien von der Verteilung der jeweiligen Werte abhängig.

Das klingt allerdings einfacher, als es in der Praxis oftmals tatsächlich ist. Denn da es für anonymisierte Daten keinerlei datenschutzrechtliche Vorgaben mehr gibt, muss zum Schutz der Personen, auf die sich das ursprüngliche Datenmaterial bezieht, der Personenbezug auch wirklich zweifelsfrei unmöglich gemacht worden sein – entsprechend hoch kann der mit dem Anonymisierungsprozess verbundene Aufwand sein. Auch das gilt für das Gesundheitswesen wieder in besonderem Maße. Denn neben ihrer Sensibilität weisen Gesundheitsdaten oftmals einen hohen Grad an Individualität auf, welcher die Identifizierung der betroffenen Personen unter Umständen auch dann noch möglich macht, wenn sonstige Klarangaben oder IDs (wie zum Beispiel eine Patientennummer o.Ä.) fehlen bzw. gelöscht werden. Zudem können systemarchitektonische Umstände dazu führen, dass eine Anonymisierung nicht ohne Weiteres umsetzbar ist. Das kann insbesondere dann der Fall sein, wenn die Aufhebung des Personenbezugs eigentlich die Löschung einer bestimmten Angabe (wie z.B. eine Patientennummer) erfordern würde, dieser Angabe aber eine systemarchitektonische Funktion zukommt und ihre Löschung zum Zusammenbruch des Verarbeitungssystems oder zu Funktionseinschränkungen führen würde. Um eine Anonymisierung doch erreichen zu können, gibt es verschiedene Verfahren, von denen einige im Folgenden vorgestellt werden.

Zurück zur eigentlichen Anonymisierung: Was also muss mit den Daten nun gemacht werden? Werden einfach Name und Adresse entfernt, reicht das in aller Regel nicht aus, um die Daten zu anonymisieren. Aus den übrigen Daten (beispielsweise über Krankheitsbilder oder verabreichte Medikamente in Kombination mit dem behandelnden Arzt oder auch nur dem Wohnort) lässt sich oft trotzdem die betreffende Person schnell identifizieren. Einheitliche Vorgaben, die man erfüllen muss, um eine Anonymisierung zu erreichen, gibt es leider nicht – denn welche Maßnahmen zur Anonymisierung genau notwendig sind, hängt immer von der Datenlage im konkreten Fall ab. Je individueller und einzigartiger die Daten, desto mehr muss verändert werden. Seltene Attribute sollten also in aller Regel entfernt werden. Für ein besseres Ergebnis gibt es sechs gängige Anonymisierungstechniken (diese werden häufig unterschiedlich betitelt), die auch miteinander kombiniert werden können, wenn nicht sogar auch miteinander kombiniert werden sollten.

Mit der Methode der Verallgemeinerung können die Maßstäbe der jeweiligen Datensätze vergrößert werden, sodass die Daten keiner einzelnen Person mehr zugeordnet werden können. Die Verallgemeinerung muss dabei einerseits groß genug sein, um den Personenbezug ausschließen zu können; andererseits darf sie nicht so groß sein, dass die jeweilige Information ihre Aussagekraft völlig verliert: Erhalten alle Patienten innerhalb einer verallgemeinerten Gruppe aufgrund der Verallgemeinerung im Ergebnis das gleiche Medikament, hat die Verallgemeinerung wenig genützt.

Bei der Methode der Nichtangabe wird das zu schützende Datum nicht verwendet, also einfach weggelassen. Zum Beispiel kann bereits durch eine Löschung einer ganzen Tabellenspalte einer Datenbank eine Anonymisierung erfolgen. Letztlich ist die Nichtangabe die sicherste Methode Daten zu Anonymisieren, solange genügend Daten nicht angegeben worden sind.

Greift man auf die Methode der Maskierung/Ersetzung zurück, werden die zu schützenden Daten mit einer Konstanten oder sich ändern den Wert, Zeichen oder Zeichenkette ersetzt. Sobald der Tag und der Monat von Geburtsdaten jeweils auf „00“ geändert wird oder die Namen auf feste Zeichenkette z.B. Max Mustermann umgestellt werden erfolgt bereits dadurch eine Maskierung. Eine Maskierung kann auch erfolgen in dem das Datum durch mit einem sich erhöhendem Wert ersetzt wird.

Ein(e) Verwürfelung/Tausch der in den Datensätzen enthaltenen Werte erfolgt bei der Mischungs-/Shuffelingsmethode. Die Grundlage für diese Durchmischung sollte eine Zufallsverteilung sein, die jedem Datenfeld die Daten bzw. Teilmenge der Daten eines anderen Datenfeldes zuordnet, wodurch letztlich ein neuer Datensatz gebildet wird.

Durch die sog. Varianzmethode werden die Werte zahlenbasierter Daten erhöht oder verringert, ohne dabei die Aussage der Statistik zu verändern. Das lässt sich mit Veränderungen wie des Geburtsdatums vom 14. auf den 17. August oder der Körpergröße von 1,77 m auf 1,72 m erreichen. Ähnlich ist das Vertauschen einzelner Werte, indem die verschiedenen Attribute einfach anderen Personen zugeordnet werden. Das verändert nicht die statistische Aussage und kann dennoch dazu führen, dass nicht mehr klar ist, welche Gesundheitsdaten zu welcher Person gehören.

Letztlich kann eine Anonymisierung der Daten auch durch die sogenannten Kryptografischen Methoden erfolgen. Hierbei kommen Verschlüsselungs- und/oder Hash-Algorithmen zum Einsatz die die verschiedenen Daten soweit automatisiert anonymisieren.

Vor einer Anonymisierung ist eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Es gibt kritische Stimmen, die die Methode der Anonymisierung für das Gesundheitswesen grundsätzlich in Frage stellen und davon ausgehen, dass sich bei Gesundheitsdaten, will man sie noch vernünftig verwenden, ein Personenbezug fast immer wieder herstellen lässt. Doch letztlich muss im Einzelfall entschieden werden, ob die vorhandenen Methoden ausreichend und ob die am Ende verallgemeinerten, geänderten oder vertauschten Daten für die Verwendung zu den gewünschten Zwecken noch geeignet sind. Denn nur wenn es gelingt, einen Datensatz zu generieren, bei dem die Identifizierung der Betroffenen nicht mehr möglich oder aufgrund des erforderlichen unverhältnismäßigen Aufwands praktisch nicht mehr durchführbar ist, sind die Daten anonymisiert und frei verwendbar. Ist das nicht möglich, müssen alle datenschutzrechtlichen Vorgaben beachtet werden. Grundsätzlich lässt sich festhalten, dass Datenschutz und neue Technologien wie Big Data-Anwendungen auch im Gesundheitswesen miteinander vereinbar sind. Will man sich bei der Verarbeitung und Auswertung von Daten und Informationen darauf berufen, dass diese vor der Verarbeitung anonymisiert wurden, sollten die Anforderungen und Möglichkeiten einer datenschutzrechtlich sicheren Anonymisierung in der Praxis sorgfältig geprüft und beachtet werden.

Weiterführende Links:

gmds/GDD, Datenschutzrechtliche Anforderungen an die medizinische Forschung unter Berücksichtigung der EU-DSGVO, 9.5, Mai 2017: https://www.gdd.de/arbeitskreise/datenschutz-und-datensicherheit-im-gesundheits-und-sozialwesen/materialien-und-links/datenschutzrechtliche-anforderungen-an-die-medizinische-forschung-unter-beru-cksichtigung-der-eu-datenschutz-grundverordnung

Europarat, Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data, Januar 2017 (engl.): https://rm.coe.int/16806ebe7a

Universität Kiel, Vorschlag einer modernen Dateninfrastruktur für die medizinische Forschung in Deutschland, September 2017: https://www.uni-kiel.de/medinfo/documents/TWMK%20Vorschlag%20DInfMedForsch%20v1.9%20170927.pdf

MPI für Bildungsforschung, Datenschutzrechtliche Anforderungen der DSGVO an die Verwendung von Gesundheitsdaten in der Forschung, Juli 2017: https://www.eaid-berlin.de/wp-content/uploads/2017/07/Vortrag-EAID-17-07-06_Katrin_Schaar.pdf

Ein Gedanke zu „Datenschutz & Anonymisierung“

  1. Lieber Garnix,

    danke für deine/eure Mühe, dass hier für alle einmal aufzuschlüsseln.

    Noch ein Hinweis: ich finde es viel hilfreicher, von personenbeziehbaren und nicht-personenbeziehbaren Daten zu sprechen, statt von personenbezogenen und nicht-personenbezogenen Daten. Der Grund ist einfach der, dass dabei die Unmöglichkeit einer dauerhaften Anonymisierung schon mitgedacht wird. Fraglich ist, wie man mit den Daten aus den ganzen anderen Quellen umgeht (elektronical patient record, lifestyle data, etc.), die ja sinnvollerweise auch eingespeist werden sollen. Wollen wir die z.B. in großen Zentren sammeln und dort anonymisieren oder zuvor schon an Vertrauensdatenstellen? Es gibt immer noch ein sehr hohes Aufdeckungs- und Missbrauchspotential, da die Daten oft sehr sensible Infos enthalten. Deshalb mein Umschwenken auf Blockchain. Hier kann man nachhalten, wer zugreift und was dann tatsächlich mit den Daten geschieht. Die bleiben ja bei mir. Und so kann jeder Missbrauch sofort nachvollzogen und sanktioniert werden. Das scheint mir das Potential dafür zu erhöhen, dass Leute darin einwilligen, ihre Daten zu Forschungszwecken freizugeben. Denn bei vielen Datentypen gibt es eben noch keine Erlaubnistatbestände. Gerade diese Daten sind es aber, die die Forschung noch viel gezielter reichhaltiger machen können.

    LG
    Franzmann

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

%d Bloggern gefällt das: