Neue Pseudonymisierungsleitlinien der EDSA schaffen Klarheit für medizinische Studien

Table of Contents

Die am 16.01.2025 veröffentlichten Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur Pseudonymisierung erwähnen spezifisch die Anwendung der Pseudonymisierung in sensiblen Bereichen wie Patientendaten und Forschung, da hier besondere Anforderungen an den Schutz personenbezogener Daten gelten. Dabei gehen die Leitlinien speziell auf folgende Punkte ein:

Pseudonymisierung in der medizinischen Forschung

  • Die Pseudonymisierung wird als essenzielles Werkzeug betrachtet, um den Schutz der Privatsphäre von Patienten bei der Verarbeitung von Gesundheitsdaten zu gewährleisten. Diese Daten gehören zu den besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und erfordern daher zusätzliche Schutzmaßnahmen.
  • Die Leitlinien betonen, dass pseudonymisierte Patientendaten es ermöglichen, datenschutzkonforme Analysen durchzuführen, ohne dass die direkte Identifikation von Patienten erforderlich ist.
  • Dies ist insbesondere in der klinischen Forschung wichtig, um Studienergebnisse zu analysieren, ohne unnötige Risiken für die Betroffenen einzugehen.

Anwendungsbeispiele in der Forschung

  • Multizentrische Studien: Pseudonymisierung ermöglicht den Austausch von Patientendaten zwischen verschiedenen Forschungseinrichtungen, indem sie sicherstellt, dass nur autorisierte Stellen Zugriff auf die Identifikationsdaten haben.
  • Langzeitstudien: In der medizinischen Forschung, bei der die Verfolgung von Patientendaten über Jahre hinweg erforderlich ist, erlaubt die Pseudonymisierung die Nachverfolgbarkeit der Daten, ohne die Identität der Patienten preiszugeben.
  • Kombination von Datensätzen: Die Leitlinien warnen vor den Risiken, die entstehen, wenn pseudonymisierte Daten mit externen Quellen kombiniert werden (z. B. öffentliche Datenbanken), da dies zu einer Re-Identifikation führen könnte.

Anforderungen an die Pseudonymisierung bei Patientendaten

  • Trennung der zusätzlichen Informationen: Die zur Re-Identifikation erforderlichen Daten (z. B. Schlüssel oder Mapping-Tabellen) müssen strikt getrennt und geschützt aufbewahrt werden.
  • Technische Maßnahmen: Die Pseudonymisierung sollte durch kryptografische Verfahren erfolgen, die gegen Angriffe wie Brute-Force- oder Linkage-Angriffe resistent sind.
  • Organisatorische Maßnahmen: Nur autorisierte Personen, z. B. ein Studienkoordinator oder Datenschutzbeauftragter, dürfen Zugriff auf die Re-Identifikationsschlüssel haben.

Förderung von Datenschutz in der Forschung

  • Die Leitlinien betonen, dass die Pseudonymisierung eine zentrale Maßnahme für die Einhaltung des Prinzips der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) ist. Forscher sollten nur auf die Daten zugreifen, die für ihre spezifischen Forschungszwecke erforderlich sind, und dabei pseudonymisierte Daten verwenden, wann immer möglich.
  • Ethikkommissionen und Datenschutzbeauftragte spielen eine Schlüsselrolle bei der Überprüfung, ob die angewandten Pseudonymisierungsmethoden den gesetzlichen Anforderungen entsprechen.

Herausforderungen bei der Nutzung in der Forschung

  • Quasi-Identifikatoren: Bei Patientendaten können Attribute wie Alter, Geschlecht, Wohnregion oder Krankheitsgeschichte eine Re-Identifikation ermöglichen, wenn diese Daten mit externen Quellen kombiniert werden. Die Leitlinien fordern hier gezielte Maßnahmen wie Generalisierung oder Randomisierung.
  • Wiederholte Veröffentlichungen: Bei der Veröffentlichung von pseudonymisierten Daten über mehrere Forschungsprojekte hinweg besteht das Risiko, dass durch Kombination dieser Datensätze die Pseudonymisierung unwirksam wird.

Related Posts

Ärzte warnen vor Datenschutzproblemen in der elektronischen Patientenakte

Berlin – Ärzteverbände äußern erhebliche Bedenken hinsichtlich der Datensicherheit in der elektronischen Patientenakte (ePA). Anlass sind kürzlich enthüllte Sicherheitslücken, die der Chaos Computer Club (CCC) aufgedeckt hat. Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärzte (BVKJ) sehen in den Mängeln ein erhöhtes Risiko für Patientendaten.

Read More

E-Rezept 2024 - Bedenken aus Datenschutzsicht

Ab dem 1. Januar 2024 wird das elektronische Rezept (E-Rezept) in Deutschland für verschreibungspflichtige Medikamente verpflichtend. Das E-Rezept bietet verschiedene Einlösemöglichkeiten für gesetzlich Versicherte: Über die elektronische Gesundheitskarte (eGK), eine spezielle E-Rezept-App der Gematik oder über einen Papierausdruck mit einem Rezeptcode. Die E-Rezept-App ermöglicht es, Rezepte online einzulösen, den Medikationsstatus einzusehen und Apotheken zu finden. Zudem können auch Rezepte für Familienmitglieder in der App verwaltet werden. Das e-Rezept umfasst dabei folgende für den DSGVO relevante Daten:

Read More

Vertragsverletzungsverfahren gegen Deutschland: EU fordert Umsetzung der NIS-2-Richtlinie

Die Europäische Union hat ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil die Umsetzung der NIS-2-Richtlinie (Network and Information Security Directive 2) in nationales Recht nicht fristgerecht erfolgt ist. Diese Richtlinie soll die Cybersicherheit und Resilienz kritischer Infrastrukturen stärken und eine einheitliche Grundlage für den Schutz vor Cyberangriffen in der EU schaffen. Die Situation hat erhebliche Auswirkungen auf die deutsche Gesetzgebung und den Schutz kritischer Einrichtungen.

Read More