Hallo liebes Lage-Team,
in der aktuellen Lage diskutiert ihr ja die Impfsituation in Israel und die Tatsache, dass dort wohl deutlich mehr Daten der Patienten an zB Pfizer weitergegeben werden, was im Gegenzug mit schnellerer/besserer Versorgung mit Impfstoff „belohnt“ wird.
Ihr erwähnt hier ein Zitat von Angela Merkel, die sagt, sowas wäre ich Deutschland nicht so einfach möglich wegen dem hierzulande höheren Datenschutz. Ihr kritisiert das, und sagt, dass das ja eigentlich kein Argument sein kann, weil man die Daten ja schließlich anonymisiert weiterleiten könne.
Ich wollte hier jetzt explizit auf die Punkte Datenschutz und Patientendaten eingehen (nicht auf Israel oder die politische Argumentation), da ich selbst in einem Biotech unternehmen arbeite, in dem wir gelegentlich Patientendaten (zB im Rahmen von Patientenstudien oder bei der Verarbeitung von Biopsien von Patienten) verarbeiten.
Wie ihr wisst, haben wir ja in Europa die DSGVO (engl. GDPR). Die regelt nahezu alles, was im Zusammenhang mit „personenbezogenen Daten“ so zu beachten ist. Eine wichtige Unterscheidung sind hier „normale personenbezogene Daten“ und „besonders empfindliche personenbezogene Daten“. Normale Daten sind bspw. Name, Adresse, Alter … also Daten, die eher unspektakulär, aber dennoch persönlich sind. Zu den sensiblen Daten gehören zB Religionszugehörigkeit oder eben auch Patienten-/Krankheitsdaten.
Per Definition sind jetzt alle Daten, die einem einer einzelnen Person zuzuordnen waren, personenbezogene Daten. Aufgrund der Tiefe und Vielfalt von medizinischen Daten reicht es außerdem nicht aus, einfach nur den Namen wegzulassen oder auf andere Art die Datensätze zB über Nummern zu pseudonymisieren. Denn eine Deanonymisierung ist sehr leicht möglich (es gibt eben nur sehr wenige Patienten, die Alter X, Krankheit Y, Blutwert Z und Wohnort K haben).
Der klassische Weg ist daher die Aggregation von Daten. Man legt also möglichst gleiche Patienten zu Gruppen zusammen, und schreibt dann nur noch Gruppenweise bestimmte Merkmale auf plus die Anzahl der Individuen in der entsprechenden Gruppe.
So, jetzt kommt aber das Problem: Die Daten müssen ja iregndwo erstmal erhoben, gespeichert, verarbeitet und anschließend aggregiert werden. Alle diese Schritte fallen unter DSGVO, alle Server, Formulare, etc. müssen entsprechende „Compliance Richtlinien“ verfolgen. Die Patienten müssen umfangreich informiert/aufgeklärt werden, und auch einwilligen (per entsprechendem Formular). Es müssen darüber hinaus weitere Grundsätze der DSGVO eingehalten werden (Löschbarkeit, Nachverfolgbarkeit, Überprüfbarkeit auf Richtigkeit, etc.).
Jedes Mal wenn also ein neues Projekt aufgesetzt wird, kann man nicht einfach den alten Server und die alten Formulare wiederverwenden, sondern alles muss neu auf Compliance überprüft werden und in der ganzen Kette der Datenspeicherung muss dies eingehalten werden. Da kann nicht einfach irgendwer irgendwo ein Formular ausfüllen und mal ebne rüberfaxen, wenn das nicht explizit durch die Datenschutzerklärung/-einwilligung des Patienten gedeckt ist …
Also, worauf ich hinaus will: Es gibt sehr wohl (zu Recht!) sehr hohe Hürden in Punkto Datenschutz. Und ich halte die auch für absolut sinnvoll in diesem Bereich. Und ja, die Firmen die diese Daten verarbeiten (wie mein Arbeitgeber), sollten wissen was sie da tuen und entsprechende Maßnahmen und technische Möglichkeiten haben, dass „compliant“ sind. Es darf also eigentlich kein echtes Argument für Wochen-/Monatelange verzögerungen sein.
Trotzdem zieht man das nicht mal eben über Nacht hoch und speziell Anonymisierung (=Name weglassen) ist HIER definitiv nicht so einfach, denn auch nach dem Weglassen der Namen sind es immer noch hoch-sensible personenbezogene Daten! Das darf man nicht mit der Anmeldung im Sportverein verwechseln, wo man gern mal über die Datenschutz-Merkblätter genervt ist …
Beste Grüße
Erik