Forschungsdatenweitergabe

Daten in der ePA, die technisch betrachtet in gut strukturierter Form vorliegen (also z.B. keine PDF eines gescannten Ärzt*innenbriefs), werden zukünftig automatisch in pseudonymisierter Form an das Forschungsdatenzentrum Gesundheit weitergeleitet.

Das Forschungsdatenzentrum wird vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) betrieben. Unterschiedliche Akteur*innen können dort einen Zugriff auf die Forschungsdaten anfragen und bekommen so Zugang zu den Daten. Auch Pharma-Unternehmen können Zugriff erhalten.

Voraussetzung ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Widerspruchsmöglichkeit

Patient*innen können der Nutzung ihrer Daten zu Forschungszwecken widersprechen.

Ein Widerspruch kann direkt in der ePA-App oder über die Ombudsstellen der Krankenkassen erfolgen.

Allerdings ist keine feingliedrigere Freigabe bzw. ein Widerspruch zu bestimmten Forschungszwecken möglich. Patient*innen können das in der ePA nicht von Studie zu Studie oder abhängig von den jeweils Forschenden machen.

Was bedeutet Pseudonymisierung?

Die Daten werden pseudonymisiert weitergegeben und gespeichert. Das heißt, dass eindeutig auf die Person rückführbare Einzeldaten (z.B. Name, Geburtsdatum, Adresse) aus dem Datensatz entfernt werden.

Aber: Forscher*innen haben immer wieder darauf hingewiesen, dass insbesondere bei Gesundheitsdaten eine Re-Identifikation relativ einfach ist. Das passiert z.B., indem man den Datensatz mit anderen Datensätzen, die weitere personenbezogene Daten dieser Person enthalten, zusammenführen kann. Aufgrund bestimmter bekannter einzelner Datenpunkte kann die ursprüngliche Person dann wieder eindeutig in einer Menge an peudonymen Datensätzen gefunden werden.

Das Risiko der Re-Identifikation wäre insbesondere dann gegeben, wenn es zu einem Datenleck kommt (siehe Abschnitt IT-Sicherheit).

Eine umfangreiche Einordnung zu Pseudonymisierung und dem Risiko von Re-Identifikationen gibt zum Beispiel Prof. Dr. Dominique Schröder vom Lehrstuhl für Angewandte Kryptographie der Uni Erlangen-Nürnberg:

Aufgrund der Feingranularität der medizinischen Daten komme ich zu dem Schluss, dass die Re-Identifikation ohne großen Aufwand möglich ist, sofern nicht weitere Maßnahmen zum Schutz der Privatsphäre ergriffen werden.“

Prof. Dr. Dominique Schröder, Gutachten für die Gesellschaft für Freiheitsrechte

Forschungsdatenzentrum bisher ohne Sicherheitskonzept

Das Forschungsdatenzentrum besteht bereits. Gesetzliche Krankenkassen speisen gemäß dem Digitale-Versorgung-Gesetz (DVG) von 2019 die Daten ihrer Versicherter in pseudonymisierter Form dort ein. Die Daten werden dann auf Antrag Forscher*innen zur Verfügung gestellt.

Insbesondere, weil sie keine angemessene IT-Sicherheit gegeben sieht und weil es keine Widerspruchsmöglichkeiten für Versicherte gibt, klagt die Gesellschaft für Freiheitsrechte (GFF) gegen das DVG.

Während die GFF in ersten Instanzen Recht bekommen hat, ruht das Hauptverfahren derzeit. Der Grund: das Forschungsdatenzentrum konnte bislang kein Sicherheitskonzept vorlegen. Eine Beurteilung der bereits laufenden Datenverarbeitung ist dem Gericht nach daher bisher nicht möglich.