zurück zum Artikel

eHealth: "Mangelhaftes VerstÀndnis von Datenschutz" bei Forschungsdatenportal Update

Christiane Schulzki-Haddouti

(Bild: rvlsoft/Shutterstock.com)

Das Datenschutzkonzept fĂŒr das Leuchtturmprojekt des Deutschen Forschungsdatenportals fĂŒr Gesundheit (FDPG) scheint seinen Zweck verfehlt zu haben.

Mitte Mai ging das Deutsche Forschungsdatenportal fĂŒr Gesundheit (FDPG) in den Pilotbetrieb [1]: Dort können Forschende Millionen von pseudonymisierten Gesundheitsdaten und Bioproben der deutschen UniversitĂ€tsmedizin beantragen. Gefördert wird das Portal vom Bundesforschungsministerium (BMBF). FĂŒr die Datenausleitung genĂŒgt der von der Datenschutzkonferenz von Bund und LĂ€ndern formulierte "Broad Consent" der Betroffenen. Sie willigen damit in die Verarbeitung fĂŒr Forschungszwecke ein, auch wenn die Zwecke nicht abschließend definiert sind. Ein fĂŒr heise online vorgenommener Datenschutz-Check zeigt schwere MĂ€ngel auf.

Betrieben wird das zentrale Datenportal von der Technologie- und Methodenplattform fĂŒr die vernetzte medizinische Forschung e. V. (TMF), angeschlossen sind Dateninformationszentren der UniversitĂ€tskliniken an rund 30 Standorten in Deutschland. Eine DatenschutzfolgenabschĂ€tzung hat die TMF bis heute nicht erstellt. Diese sei nicht nötig, so die TMF gegenĂŒber heise online, da aufgrund der Pseudonymisierung am FDPG keine besonders schutzbedĂŒrftigen Daten verarbeitet wĂŒrden. Das im Januar 2022 beschlossene Datenschutzkonzept [2] (PDF) der Medizin-Informatiok-Initiative wurde nicht abschließend erstellt. Beispielsweise fehlen Vorgaben fĂŒr die Authentifizierung und Autorisierung von Benutzern oder die Überlassung von Bioproben.

Laut Medizin-Informatik-Initiative erhĂ€lt das FDPG in dem oben dargestellten Prozess keine personenbezogenen Gesundheitsdaten von Patientinnen und Patienten – auch nicht in pseudonymisierter Form – auch gibt das Portal selbst keine Daten an Forschende heraus. Im Szenario der kontrollierten, einwilligungsbasierten Herausgabe einzelner pseudonymisierter Daten erfolge die Datenherausgabe an Forschende durch entsprechende Datenmanagementstellen an den UniversitĂ€tskliniken. Es gebe DatenschutzfolgeabschĂ€tzungen fĂŒr alle Verarbeitungsprozesse medizinischer Daten wie auch fĂŒr diesen speziellen Prozess der Datenherausgabe an jedem Uniklinikstandort, der diesen im Rahmen der vertraglich geregelten Kooperation anbietet. An den Standorten seien die jeweils zustĂ€ndigen Datenschutzbeauftragten und gegebenenfalls die jeweils dort zustĂ€ndige Landesdatenschutzaufsichtsbehörde eingebunden.

Konzept Aufsichtsbehörden erst im MÀrz vorgestellt

Die fĂŒr TMF zustĂ€ndige Berliner Datenschutzbeauftragte teilte heise online mit, dass sie nicht in die Entwicklung des Forschungsdatenportals und des Datenschutzkonzepts eingebunden war: "Wir hatten keinen direkten Kontakt mit dem Betreiber TMF." Daher könne sie keine Bewertung des Pseudonymisierungsverfahrens oder der DatenschutzfolgenabschĂ€tzung vornehmen. Die Behörde verweist darauf, dass sich die "Taskforce Forschungsdaten" der Datenschutzkonferenz mit den zugrundeliegenden EinwilligungserklĂ€rungen nĂ€her befasst habe, die vom Bundesdatenschutzbeauftragten und dem Hessischen Datenschutzbeauftragten geleitet wird.

GegenĂŒber heise online erklĂ€rten diese beiden Behörden, dass auf ihren Wunsch die TMF das FDPG erstmals Mitte MĂ€rz 2023 der Taskforce vorgestellt habe. Einen eigenen Bericht der Taskforce zum FDPG gebe es nicht. Die Notwendigkeit der DatenschutzfolgenabschĂ€tzung hat sie nicht geprĂŒft. Aktuell beraten die einzelnen Landesdatenschutzbeauftragten auf Anfrage die Datenzentren der Unikliniken, die am FDPG teilnehmen. Hierbei will die Taskforce als Ansprechpartnerin dienen.

Datenschutzkonzept im Check

Der Datenschutzexperte Rainer Rehak, der auch als SachverstĂ€ndiger in der Klage der Gesellschaft fĂŒr Freiheitsrechte (GFF) gegen die Sammlung von Gesundheitsdaten beim Forschungsdatenzentrum Gesundheit vor Gericht auftrat, hat sich fĂŒr heise online das Datenschutzkonzept der Medizin-Informatik-Initiative angesehen. Das Konzept fokussiere demnach nur auf drei Basis-Anwendungsszenarien. Dazu gehörten Machbarkeitsanfragen, die Daten-Nutzung im Sinne verteilter Analysen sowie im Sinne von Daten-Überlassung. "Viele andere Szenarien werden hier nicht betrachtet", hĂ€lt Rehak fest. Mit der Überlassung der Daten seien fĂŒr die Patienten und Patientinnen "sehr große Risiken" verbunden, wobei die Verarbeitung nur knapp dargestellt werde, womit eine Risikobeurteilung aufgrund der Angaben in dem Konzept nicht möglich sei.

Auch soll es den verantwortlichen Datenverarbeitenden ermöglichen, eine DatenschutzfolgenabschĂ€tzung durchzufĂŒhren. Rehak kritisiert, dass diese aber nicht "aufgrund nur von generischen Aussagen durchgefĂŒhrt werden" könne. Hinsichtlich der Pseudonymisierung hĂ€lt der PrĂŒfexperte fest, dass offensichtlich der Schutz der Daten im Vordergrund stehe. Dies reflektiere "ein mangelhaftes VerstĂ€ndnis von Datenschutz, in dem fĂ€lschlicherweise der Schutz von Daten, nicht der Schutz von Grundrechten der Patientinnen und Patienten im Vordergrund steht, wie Artikel 1 DSGVO auch ganz klar sagt."

Methodisch fragwĂŒrdige Rosinenpickerei

Zwar nimmt das Konzept Bezug auf das Schutzstufenkonzept der niedersÀchsischen Landesdatenschutzbeauftragten, viele andere operative Konzepte der Datenschutzkonferenz etwa zum Risiko im Datenschutz hingegen nicht. Rainer Rehak sagt: "Es wird vermutlich nur das zur Kenntnis genommen, was in das enge VerstÀndnis von Datenschutz passt oder was datenschutzpolitisch opportun ist."

"Ob die von der TMF im Datenschutzkonzept beschriebene Pseudonymisierung bei hohem Risiko ĂŒberhaupt ausreicht, mĂŒsse tiefergehend untersucht werden", sagt Rehak. Eine Pseudonymisierung sei inzwischen so komplex und fĂŒr Betroffene riskant, dass sie auch fĂŒr das Pseudonymisierungsverfahren eine eigene DatenschutzfolgenabschĂ€tzung erstellen mĂŒssten. Ob diese vorliege, gehe aus dem Konzept nicht hervor. Das Konzept liste hingegen nur unsystematisch viele verschiedene technische Hinweise und Anforderungen auf.

Schutz der Patientinnen und Patienten nicht im Blick

Auch zur RisikoabschĂ€tzung sieht Rehak wenig Hilfreiches, da eine datenschutzspezifische Angreifermodellierung fehle, die den Verarbeiter selbst als Hauptangreifer in das Zentrum der Analyse und der zutreffenden Maßnahmen stelle. Es reicht damit nicht, einen Datenmissbrauch nur seitens Hackern zu vermuten, sondern es mĂŒssen auch mögliche interne MissbrĂ€uche wie eine Zweckentfremdung in den Blick genommen werden. Das Konzept bietet damit keine Orientierung der Risikominimierungen anhand der spezifischen Datenschutzrisiken an.

Überdies, so kritisiert Rehak, werden technisch-organisatorische Maßnahmen nur aus einer Perspektive der Informationssicherheit formuliert. Diese aber diene einzig dem Schutz der betroffenen Organisationen, aber nicht den eigentlich Betroffenen, den Patientinnen und Patienten. Der Datenschutzexperte Rehak kommt zu dem Schluss, dass das Datenschutzkonzept "trotz einer Menge an relevanten Einzelinformationen zu Pseudonymisierung und Einwilligungsmanagement wenig ‬methodisch formuliert‭" sei. Es könne daher seinen "selbst formulierten Hauptzweck, nĂ€mlich relevante Orientierung zur DurchfĂŒhrung von DatenschutzfolgeabschĂ€tzungen fĂŒr Verarbeiter fĂŒr diese drei Szenarien zu bieten, nicht erfĂŒllen."

Update

ErgÀnzung zum Forschungsdatenportal ab dem zweiten Absatz ergÀnzt.

Melden Sie sich zum KI-Update an Melden Sie sich zum KI-Update an [3]

(mack [4])

URL dieses Artikels:
https://www.heise.de/-9181407

Links in diesem Artikel:
[1] https://www.heise.de/news/Gesundheitsdaten-Zentrales-Datenportal-fuer-Forschungsdaten-9058803.html
[2] https://www.medizininformatik-initiative.de/sites/default/files/2022-03/MII-Datenschutzkonzept_v1.0.pdf
[3] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[4] mailto:mack@heise.de

Copyright © 2023 Heise Medien