Identitäten in sicheren Händen beim Datentreuhänder: So arbeiten Vertrauensstellen
Veröffentlicht am 29.04.2021
Gesundheitsdaten aus dem medizinischen Alltag könnten der Forschung einen immensen Schub verleihen. Allerdings ist ihr Austausch an strenge Bestimmungen geknüpft. Datentreuhänder können in ihrer Funktion als Vertrauensstelle Abhilfe schaffen. Der Schlüssel: die Pseudonymisierung von Identitätsdaten.
Datenschutz dank Datentreuhänder
Die Suche nach einem Corona-Impfstoff verlief nicht nur im Rekordtempo – sie trieb auch das Interesse an der klinischen Arzneimittelentwicklung in ungeahnte Höhen. Mit beinahe wissenschaftlicher Präzision erklärten Laien skeptischen Verwandten, warum eine Phase-III-Studie verlässliche Ergebnisse liefert. Selbst gescheiterten Impfstoff-Projekten konnte man etwas Positives abgewinnen – sie zeigten, dass der Prozess funktioniert. In der Forschung bestanden daran ohnehin keine Zweifel. Schließlich hatte sich die klinische Entwicklung schon bei anderen Durchbrüchen bewährt. Und doch ist man sich ihrer Nachteile bewusst. Denn klinische Studien finden im wahrsten Sinne des Worts unter Laborbedingungen statt, schließen beispielsweise bestimmte Risikogruppen aus.
Und so fordert nicht nur die forschende Pharma-Industrie, verstärkt Gesundheitsdaten aus dem medizinischen Versorgungsalltag zu nutzen – Daten, die wertvolle Informationen darüber liefern könnten, bei welchen Patientengruppen welches Medikament besonders effektiv wirkt. Ohne Frage: Derartige Einblicke könnten die Therapiewahl und die Entwicklung von Arzneimitteln weitaus zielgerichteter machen.
Deswegen sieht auch das Patientendaten-Schutz-Gesetz (PDSG) vor, ab 2023 Daten aus der elektronischen Patientenakte zu Forschungszwecken zu spenden. Klar ist aber: Gesundheitsdaten sind hochsensibel. Ihr Austausch, etwa zwischen einer Klinik und einer Forschungseinrichtung, ist daher an strenge Auflagen gekoppelt. Vor allem braucht es einen unabhängigen Vermittler zwischen denen, die Daten geben, und denen, die sie nutzen. Genau dafür sind Datentreuhänder da. Sie handeln strikt im Auftrag des Gebers, verfolgen keinerlei kommerzielles Interesse und stellen sicher, dass nur Berechtigte auf die Informationen zugreifen können.
Die Arbeit der Vertrauensstelle
In der medizinischen Forschung sind Datentreuhänder besser unter der Bezeichnung Vertrauensstelle (VST) bekannt. In dieser Funktion übernehmen sie eine ganz zentrale Aufgabe des Datenschutzes: die Pseudonymisierung von personenbezogenen Daten. Die Nutzer sollen am Ende lediglich mit medizinisch relevanten Informationen arbeiten, dabei jedoch keinerlei Rückschlüsse auf die Identitäten von Patienten ziehen können. Deswegen wandelt die Vertrauensstelle Angaben wie den Vor- und Nachnamen, den Wohnort oder das Geburtsdatum in Zeichenketten um – sogenannte Hash-Werte. Für klinische Krebsregister, bei denen die Forschung onkologische Patientendaten abrufen kann, gehört diese Arbeit zum festen Tagesablauf.
CenTrust als Vertrauensstelle
Mit der Datentreuhänder-Plattform CenTrust greift die Bundesdruckerei auf ein bewährtes, zweistufiges Pseudonymisierungsverfahren zurück. An diesem lässt sich gut nachvollziehen, wie Vertrauensstellen Daten DSGVO-konform weitergeben. Folgendes Szenario: Ein Pharma-Unternehmen fordert bei der Vertrauensstelle die Daten von Patienten an, die an einer bestimmten rheumatischen Erkrankung leiden. Unter ihnen ist auch Erika Muster-Mayer, die in mehreren Arztpraxen und Krankenhäusern in Behandlung war. In jeder Einrichtung sind medizinische Daten sowie Angaben zu ihrer Identität gespeichert. Erika Muster-Mayer hat eingewilligt, diese Daten über eine Vertrauensstelle Forschungszentren und Pharma-Unternehmen zur Verfügung zu stellen. Von hier an übernimmt die VST die Abwicklung des Prozesses.
Pseudonymisierung: von Hash-Werten und einer Prise Salt
Erste Amtshandlung der Vertrauensstelle: Sie gibt den Praxen und Kliniken das Verfahren für die erste Pseudonymisierung der Identitätsdaten vor. Und dieses hat zwei Stufen:
-
Stufe eins: die Standardisierung
Auf dieser Stufe gilt es zunächst, die Identitätsdaten zu standardisieren. Erika Muster-Mayers Nachnamen zum Beispiel würde man in Großbuchstaben umwandeln und in zwei Teile – MUSTER und MAYER – zerlegen.
-
Stufe zwei: die erste Pseudonymisierung
Auf die Standardisierung folgt die erste Pseudonymisierung durch das Hash-Verfahren. Hierbei handelt es sich um eine Einwegfunktion: Sie zerteilt die identifizierenden Daten und erzeugt aus ihnen Zeichenketten, die sich nicht zurückrechnen lassen.
Streng genommen aber könnten Hacker mit einigem Aufwand Hash-Werte knacken – durch langes Ausprobieren oder mithilfe sogenannter Rainbow Tables, mit denen Kriminelle normalerweise Passwörter entschlüsseln. Sie enthalten unzählige Begriffe mit den passenden Hash-Werten. Deshalb beinhaltet das Hash-Verfahren, das die Vertrauensstelle den Praxen und Kliniken vorgibt, auch einen sogenannten Salt – eine zufällige Abfolge von Zeichen, die in keiner Tabelle zu finden ist. Der Salt wird den Identitätsdaten vor der Hash-Bildung hinzugefügt.
Record Linkage und Pseudonymtausch
Das Pseudonym der ersten Pseudonymisierungsstufe enthält am Ende die Hash-Werte für alle identifizierenden Daten einer Person. Man spricht auch vom Hash-Tupel, das nun an die Vertrauensstelle geht. Dort erfolgt das sogenannte Record Linkage: Die VST verknüpft die Datensätze aus den unterschiedlichen Quellen zu einer Person.
Erika Muster-Mayer etwa war in mehreren Kliniken sowie Praxen in Behandlung. Zu ihr existieren folglich mehrere Datensätze. Diese ordnet die VST einem einzigen Pseudonym zu.
Phonetik schafft letzte Klarheit
Normalerweise sollte das einfach sein. Denn beim Pseudonymisieren mit Hash-Funktion gilt: Identische Ausgangsdaten schaffen identische Hash-Werte. Das Hash-Tupel zum Identitätsdatensatz des Hausarztes ist höchstwahrscheinlich identisch mit dem aus dem heimischen Krankenhaus. Was aber, wenn Erika Muster-Mayer in einer Arztpraxis als Erika Muster-Meier und in der dritten von vier besuchten Kliniken als Erika Muster-Meyer geführt wurde? Für diese Fälle gibt es zum einen noch andere gehashte Identitätsdaten. Zum anderen werden auf der ersten Pseudonymisierungsstufe neben Hash-Werten auch phonetische Codes der Namensbestandteile gebildet, die gegenüber Tippfehlern robuster sind.
-
Das Finale: der Pseudonymtausch
Nach dem Record Linkage bildet die Vertrauensstelle ein neues Pseudonym und übermittelt es an die Datenquellen. Die Praxen und Kliniken verknüpfen es mit den entsprechenden medizinischen Daten und senden das Paket wiederum verschlüsselt an die VST. Diese nimmt nun einen Pseudonymtausch vor, sodass der Forschende nicht dasselbe Pseudonym nutzt, das der Datenquelle vorliegt. Wichtig: Eine Entschlüsselung der medizinischen Daten ist der Vertrauensstelle nicht möglich. Dafür aber der Forschungseinrichtung, die im letzten Schritt die medizinischen Daten mit dem ausgetauschten Pseudonym erhält. Mit diesem sind auch andere medizinische Datenpakete zur selben Person versehen. Der Forschende wird also keine Probleme haben, alles zusammenzuführen.
Erika Muster-Mayer kann dann zu einer von vielen Heldinnen des medizinischen Fortschritts werden. Oder besser: zu einer Alltagsheldin, die aus gutem Grund unerkannt bleibt.