Newsletter heise-Bot heise-Bot

eHealth: "Mangelhaftes Verständnis von Datenschutz" bei Forschungsdatenportal

Das Datenschutzkonzept für das Leuchtturmprojekt des Deutschen Forschungsdatenportals für Gesundheit (FDPG) scheint seinen Zweck verfehlt zu haben.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen

(Bild: rvlsoft/Shutterstock.com)

Update
Lesezeit: 6 Min.
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Mitte Mai ging das Deutsche Forschungsdatenportal für Gesundheit (FDPG) in den Pilotbetrieb: Dort können Forschende Millionen von pseudonymisierten Gesundheitsdaten und Bioproben der deutschen Universitätsmedizin beantragen. Gefördert wird das Portal vom Bundesforschungsministerium (BMBF). Für die Datenausleitung genügt der von der Datenschutzkonferenz von Bund und Ländern formulierte "Broad Consent" der Betroffenen. Sie willigen damit in die Verarbeitung für Forschungszwecke ein, auch wenn die Zwecke nicht abschließend definiert sind. Ein für heise online vorgenommener Datenschutz-Check zeigt schwere Mängel auf.

Betrieben wird das zentrale Datenportal von der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (TMF), angeschlossen sind Dateninformationszentren der Universitätskliniken an rund 30 Standorten in Deutschland. Eine Datenschutzfolgenabschätzung hat die TMF bis heute nicht erstellt. Diese sei nicht nötig, so die TMF gegenüber heise online, da aufgrund der Pseudonymisierung am FDPG keine besonders schutzbedürftigen Daten verarbeitet würden. Das im Januar 2022 beschlossene Datenschutzkonzept (PDF) der Medizin-Informatiok-Initiative wurde nicht abschließend erstellt. Beispielsweise fehlen Vorgaben für die Authentifizierung und Autorisierung von Benutzern oder die Überlassung von Bioproben.

Laut Medizin-Informatik-Initiative erhält das FDPG in dem oben dargestellten Prozess keine personenbezogenen Gesundheitsdaten von Patientinnen und Patienten – auch nicht in pseudonymisierter Form – auch gibt das Portal selbst keine Daten an Forschende heraus. Im Szenario der kontrollierten, einwilligungsbasierten Herausgabe einzelner pseudonymisierter Daten erfolge die Datenherausgabe an Forschende durch entsprechende Datenmanagementstellen an den Universitätskliniken. Es gebe Datenschutzfolgeabschätzungen für alle Verarbeitungsprozesse medizinischer Daten wie auch für diesen speziellen Prozess der Datenherausgabe an jedem Uniklinikstandort, der diesen im Rahmen der vertraglich geregelten Kooperation anbietet. An den Standorten seien die jeweils zuständigen Datenschutzbeauftragten und gegebenenfalls die jeweils dort zuständige Landesdatenschutzaufsichtsbehörde eingebunden.

Konzept Aufsichtsbehörden erst im März vorgestellt

Die für TMF zuständige Berliner Datenschutzbeauftragte teilte heise online mit, dass sie nicht in die Entwicklung des Forschungsdatenportals und des Datenschutzkonzepts eingebunden war: "Wir hatten keinen direkten Kontakt mit dem Betreiber TMF." Daher könne sie keine Bewertung des Pseudonymisierungsverfahrens oder der Datenschutzfolgenabschätzung vornehmen. Die Behörde verweist darauf, dass sich die "Taskforce Forschungsdaten" der Datenschutzkonferenz mit den zugrundeliegenden Einwilligungserklärungen näher befasst habe, die vom Bundesdatenschutzbeauftragten und dem Hessischen Datenschutzbeauftragten geleitet wird.

Gegenüber heise online erklärten diese beiden Behörden, dass auf ihren Wunsch die TMF das FDPG erstmals Mitte März 2023 der Taskforce vorgestellt habe. Einen eigenen Bericht der Taskforce zum FDPG gebe es nicht. Die Notwendigkeit der Datenschutzfolgenabschätzung hat sie nicht geprüft. Aktuell beraten die einzelnen Landesdatenschutzbeauftragten auf Anfrage die Datenzentren der Unikliniken, die am FDPG teilnehmen. Hierbei will die Taskforce als Ansprechpartnerin dienen.

Datenschutzkonzept im Check

Der Datenschutzexperte Rainer Rehak, der auch als Sachverständiger in der Klage der Gesellschaft für Freiheitsrechte (GFF) gegen die Sammlung von Gesundheitsdaten beim Forschungsdatenzentrum Gesundheit vor Gericht auftrat, hat sich für heise online das Datenschutzkonzept der Medizin-Informatik-Initiative angesehen. Das Konzept fokussiere demnach nur auf drei Basis-Anwendungsszenarien. Dazu gehörten Machbarkeitsanfragen, die Daten-Nutzung im Sinne verteilter Analysen sowie im Sinne von Daten-Überlassung. "Viele andere Szenarien werden hier nicht betrachtet", hält Rehak fest. Mit der Überlassung der Daten seien für die Patienten und Patientinnen "sehr große Risiken" verbunden, wobei die Verarbeitung nur knapp dargestellt werde, womit eine Risikobeurteilung aufgrund der Angaben in dem Konzept nicht möglich sei.

Auch soll es den verantwortlichen Datenverarbeitenden ermöglichen, eine Datenschutzfolgenabschätzung durchzuführen. Rehak kritisiert, dass diese aber nicht "aufgrund nur von generischen Aussagen durchgeführt werden" könne. Hinsichtlich der Pseudonymisierung hält der Prüfexperte fest, dass offensichtlich der Schutz der Daten im Vordergrund stehe. Dies reflektiere "ein mangelhaftes Verständnis von Datenschutz, in dem fälschlicherweise der Schutz von Daten, nicht der Schutz von Grundrechten der Patientinnen und Patienten im Vordergrund steht, wie Artikel 1 DSGVO auch ganz klar sagt."

Methodisch fragwürdige Rosinenpickerei

Zwar nimmt das Konzept Bezug auf das Schutzstufenkonzept der niedersächsischen Landesdatenschutzbeauftragten, viele andere operative Konzepte der Datenschutzkonferenz etwa zum Risiko im Datenschutz hingegen nicht. Rainer Rehak sagt: "Es wird vermutlich nur das zur Kenntnis genommen, was in das enge Verständnis von Datenschutz passt oder was datenschutzpolitisch opportun ist."

"Ob die von der TMF im Datenschutzkonzept beschriebene Pseudonymisierung bei hohem Risiko überhaupt ausreicht, müsse tiefergehend untersucht werden", sagt Rehak. Eine Pseudonymisierung sei inzwischen so komplex und für Betroffene riskant, dass sie auch für das Pseudonymisierungsverfahren eine eigene Datenschutzfolgenabschätzung erstellen müssten. Ob diese vorliege, gehe aus dem Konzept nicht hervor. Das Konzept liste hingegen nur unsystematisch viele verschiedene technische Hinweise und Anforderungen auf.

Schutz der Patientinnen und Patienten nicht im Blick

Auch zur Risikoabschätzung sieht Rehak wenig Hilfreiches, da eine datenschutzspezifische Angreifermodellierung fehle, die den Verarbeiter selbst als Hauptangreifer in das Zentrum der Analyse und der zutreffenden Maßnahmen stelle. Es reicht damit nicht, einen Datenmissbrauch nur seitens Hackern zu vermuten, sondern es müssen auch mögliche interne Missbräuche wie eine Zweckentfremdung in den Blick genommen werden. Das Konzept bietet damit keine Orientierung der Risikominimierungen anhand der spezifischen Datenschutzrisiken an.

Überdies, so kritisiert Rehak, werden technisch-organisatorische Maßnahmen nur aus einer Perspektive der Informationssicherheit formuliert. Diese aber diene einzig dem Schutz der betroffenen Organisationen, aber nicht den eigentlich Betroffenen, den Patientinnen und Patienten. Der Datenschutzexperte Rehak kommt zu dem Schluss, dass das Datenschutzkonzept "trotz einer Menge an relevanten Einzelinformationen zu Pseudonymisierung und Einwilligungsmanagement wenig ‬methodisch formuliert‭" sei. Es könne daher seinen "selbst formulierten Hauptzweck, nämlich relevante Orientierung zur Durchführung von Datenschutzfolgeabschätzungen für Verarbeiter für diese drei Szenarien zu bieten, nicht erfüllen."

Update

Ergänzung zum Forschungsdatenportal ab dem zweiten Absatz ergänzt.

(mack)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot