Position:

Datenschutz

Die Erfassung von Daten zum Gesundheitszustand eines Menschen ist sehr sensibel. Es ist im Interesse aller Beteiligten, dass sie strengen Umgangsregeln und gesetzlichen Normierungen unterliegt. Neben dem zu gewährleistenden Schutz der persönlichen Informationen sowohl der Patientinnen und Patienten als auch der behandelnden Ärztinnen und Ärzte muss das Landeskrebsregister insbesondere im Hinblick auf die klinische Krebsregistrierung aber gleichzeitig auch das Interesse der Patientinnen und Patienten an einer qualitätsgesicherten medizinischen Behandlung in den Blick nehmen. Hierfür ist ein hohes Maß an Informationsaustausch im Behandlungszusammenhang erforderlich. Daten aus unterschiedlichen Bereichen der interdisziplinären und intersektoralen Versorgung onkologischer Patientinnen und Patienten müssen fallbezogen in einer spezifischen Patientendokumentation zusammengeführt werden, um die Qualität medizinischer Entscheidungsprozesse und deren Wirkungen beurteilen zu können. Dabei darf es innerhalb des Systems zum Datenfluss und zur Datenhaltung von Krebsregisterdaten außerhalb der unmittelbar an der Patientenversorgung beteiligten Personen niemandem möglich sein, zugleich personenidentifizierbare Merkmale und medizinische Behandlungsdaten einzusehen.

Das Landeskrebsregister NRW gliedert sich in die Teile klinisches und epidemiologisches Krebsregister. Beide Teile werden unter einer gemeinsamen Dachstruktur im Sinne eines Landeskrebsregisters für Nordrhein-Westfalen zusammengeführt.

Das Landeskrebsregister, welches alle Daten der epidemiologischen und klinischen Krebsregistrierung primär entgegennimmt, wird aus datenschutzrechtlichen Erwägungen in eine Vertrauensstelle und eine Registerstelle unterteilt. Die Vertrauensstelle ist in der Datenannahmestelle des Landeskrebsregisters verortet, die gleichzeitig auch das elektronische Melderportal betreibt. Die Vertrauensstelle erhält die personenbezogenen Identitätsdaten im Klartext, die medizinischen Behandlungsdaten liegen hier jedoch lediglich verschlüsselt vor und können nicht eingesehen werden. Die Registerstelle (Datenvalidierungs- und -speicherstelle) erhält hingegen die medizinischen Daten unverschlüsselt; die Identitätsdaten liegen hier allerdings  verschlüsselt in Form von Pseudonymen vor, die für sich genommen keinen Rückbezug zu den Ausgangsdaten mehr zulassen. Auf diese Weise ist sichergestellt, dass Mitarbeiter der Vertrauensstelle ohne Patienteneinwilligung zu keiner Zeit Einblick in unverschlüsselte medizinische Behandlungsdaten haben und keine Zuordnung zu personenidentifizierenden Daten vornehmen können.

Die zentrale Aufgabe der Vertrauensstelle ist es, die persönlichen Daten vor der Weitergabe an den Registerbereich zu verschlüsseln. Dabei werden zwei Arten von Verschlüsselungen vorgenommen. Zunächst werden in einem gestuften Verfahren aus den personenidentifizierenden Merkmalen Kontrollnummern (Pseudonyme) gebildet, die eine Rückgewinnung der persönlichen Daten im Klartext ausschließen. Funktionell gliedert sich der Vertrauensbereich hierfür in den Teil, der in der Datenannahmestelle angesiedelt ist und die Kontrollnummernstelle, die von der Kassenärztlichen Vereinigung Westfalen-Lippe betrieben wird (§ 4 Abs. 2 LKRG NRW). Die funktionelle Gliederung der Vertrauensbereichs zur Bildung von Kontrollnummern (Pseudonyme) begründet sich unter Aspekten des Datenschutzes wie folgt:

die Identitätsdaten werden im Vertrauensbereich des Landeskrebsregisters, wie bisher in allen epidemiologischen Krebsregistern in Deutschland üblich, in einem doppelten Kryptographierungsverfahren in Kontrollnummern (Pseudonyme) umgewandelt. Dabei werden die Identitätsdaten zerlegt, normiert und ein erstes Mal in sogenannte Identitäts-Kryptogramme verschlüsselt (Hash-Einwegverschlüsselung). Diese einwegverschlüsselten Identitätsdaten werden anschließend symmetrisch unter Verwendung eines geheim zu haltenden Verschlüsselungsstrings in Kontrollnummern (Pseudonyme) überverschlüsselt, die dann dem Registerbereich übermittelt werden. Da beide Verschlüsselungsverfahren deterministisch sind (d.h. identische Merkmale im Klartext erzeugen identische verschlüsselte Daten), könnte eine Stelle, die beide Verschlüsselungsverfahren durchführen kann, sogenannte Probeverschlüsselungen von Identitätsdaten vornehmen, sich damit eine Verweistabelle für Kontrollnummern (Pseudonyme) verschaffen und so potentiell auf die Identitätsdaten zurückschließen. Daher wird die Vertrauensstelle in zwei getrennte Organisationseinheiten gegliedert.

Über eine spezielle Kommunikations-ID (meldestellenbezogene Referenznummer nach § 2 Abs. 7 Nr. 3 LKRG NRW) wird es für die jeweiligen Leistungserbringer/Melder dennoch ermöglicht, sämtliche Informationen zu den von ihnen behandelten Patientinnen und Patienten sektorenübergreifend, eindeutig und fehlerfrei einzusehen, ohne dass dabei der Vertrauensbereich des Landeskrebsregisters Einblick in die unverschlüsselten medizinischen Behandlungsdaten des Registerbereichs erhält.

Durch die oben genannte funktionelle Gliederung des Vertrauensbereichs bietet sich zudem die Möglichkeit externer Kohortenabgleiche ohne Rückgriff auf die Identitätsdaten im Klartext.

Darüber hinaus sind die Pseudonymisierungs- und Zugriffskonzepte im Landeskrebsregister so gestaltet, dass personenbezogene Datenexporte zu Forschungszwecken im Sinne einer kontinuierlichen Verbesserung der medizinisch-onkologischen Versorgungsprozesse sowie für klinische oder translationale Forschung prinzipiell möglich sind, und zwar durch die zusätzliche Bildung von sogenannten Identitätschiffraten, die im Registerbereich gespeichert werden und mit deren Hilfe die persönlichen Angaben wie Name, Adresse und Versicherungsdaten nicht mehr erkennbar sind, aber eine Wiedergewinnung der Ausgangsdaten im Vertrauensbereich ermöglichen.

Gegen die Bildung der Identitäts-Chiffrate nach § 2 Abs. 14 LKRG NRW und damit der Möglichkeit zur personenbeziehbaren Datenverarbeitung können die Patientinnen und Patienten jedoch jederzeit Widerspruch einlegen. Das bedeutet, dass die Patientinnen und Patienten als Person namentlich nicht mehr erkennbar sind. Die jeweiligen medizinischen Behandlungsdaten bleiben jedoch für die Auswertungen erhalten. Die Erhebung des Widerspruchs hat zur Folge,

 

  • dass die Behandlungsdaten der Patientinnen und Patienten den jeweils behandelnden Ärztinnen und Ärzten sowie Kliniken nicht zur Verfügung gestellt werden können,
  • dass die Patientinnen und Patienten nicht kontaktiert werden können, um ein Einverständnis zur Teilnahme an Forschungsprojekten (z.B. Befragungsstudien zur Lebensqualität von Krebspatientinnen und -patienten) zu geben,
  • dass die Patientinnen und Patienten selbst keine Möglichkeit haben, von Seiten des Landeskrebsregisters eine personenbezogene Auskunft über die von ihnen gespeicherten medizinischen Behandlungsdaten zu erhalten.

Im Registerbereich des Landeskrebsregisters werden alle Informationen unterschiedlicher Melder und Leistungserbringer einrichtungs- und sektorenübergreifend zusammengeführt, um dann den gesamten im Landeskrebsregister verfügbaren Verlauf der Krebserkrankungen eines Patienten/einer Patientin in einer „Krebsakte“ umfassend darzustellen. Diesbezüglich wird das Landeskrebsregister NRW zukünftig als Kommunikationsplattform fungieren, indem jeder einzelne Leistungserbringer auf alle relevanten Daten zu den von ihnen behandelten Patientinnen und Patienten im Landeskrebsregister zugreifen kann. So besteht die Möglichkeit, dass das Landeskrebsregister nicht nur qualitätsreflektierend, sondern auch qualitätsfördernd und effektivitätssteigernd wirksam wird.