Gesundheitsdaten
Wie klappt der sichere Austausch?
Die bloße Anonymisierung schützt Patientendaten nicht, mahnt ein Experte. Es sind schon mehrstufige Schutzverfahren nötig.
Veröffentlicht:MÜNCHEN. Deutschland ist im internationalen Vergleich ein Land mit hohen Datenschutzstandards. Diese seien auf gleich drei Ebenen verankert – über nationales und EU-Recht, aber eben auch auf der Ebene der einzelnen Bundesländer, machte Dr. Fabian Praßer vom Lehrstuhl für Medizinische Informatik der TU München vor Kurzem bei der Münchener-Tagung "Digitalisierung der Medizin in Bayern" deutlich.
Das macht es der medizinischen Forschung nicht immer leicht: Auswertungs- und Anwendungsziele erforderten in diesem Kontext pragmatische Lösungen, so Praßer. Ähnlich sieht es beim Datenaustausch zwischen medizinischen Einrichtungen aus. Doch wie weit darf dieser Pragmatismus gehen?
Vorsicht bei Sekundärnutzung
Insbesondere bei der Sekundärnutzung von Gesundheitsdaten, die ursprünglich für andere Zwecke erhoben wurden, ist Vorsicht geboten. Der erste Schritt ist laut Praßer das Entfernen direkter Identifikatoren wie Name oder Versicherungsnummer, die eine unmittelbare Zuordnung von Daten zu einer Person ermöglichen.
Jedoch ermögliche schon das Verknüpfen weniger Merkmale in anonymisierten Datensätzen das nachträgliche Herausfiltern von einzelnen Personen. So ließen sich in einer US-Studie zwischen 60 bis 100 Prozent aller Personen anhand von Geburtsdatum, Geschlecht und Postleitzahl erkennen.
Dieser Prozess wird als Reidentifikation bezeichnet, die Merkmale als indirekte Identifikatoren. Daher würden auch diese oft aus Datensätzen entfernt. Sämtliche Identifikatoren werden dabei häufig in einem getrennten Datensatz abgespeichert, sodass sie nur von den Verantwortlichen in Zusammenhang gebracht werden können, etwa über einen Code.
Problemfall: Seltene Diagnosen
Problematisch sind nach den Ausführungen des Experten aber auch seltene Diagnosen: Einer Studie der Universität Vanderbilt zufolge stellen sie ein hohes Reidentifikationsrisiko dar. Die Forscher zeigten zudem, wie viel Diagnosen generell über die Person verraten: Mit zwei ICD-Codes waren bereits fünf Prozent der Personen eines Datensatzes erkennbar, mit vier Codes 55 Prozent.
Praßer verwies darauf, dass große Datensätze durch robuste Algorithmen leicht deanonymisiert werden können.Datenschutz sei, so Praßer, immer "ein Abwägungsprozess zwischen Nützlichkeit und Reidentifikationsrisiko". Ein hohes Datensicherheitsniveau im Sinne der Patienten und entsprechend rechtlicher Vorgaben sei nur mit reduzierten Nutzungsmöglichkeiten zu erhalten.
Er empfahl eine Kombination primärer Schutzmaßnahmen, wie Pseudo- und Anonymisierung, mit Sekundärmaßnahmen wie dem Einsatz spezieller, sicherer Auswertungsmethoden oder Zugangsbeschränkungen zum Datensatz. (cmb)