Hintergrund zur Medizininformatik-Initiative (MII)
Die Medizininformatik-Initiative (MII) arbeitet in öffentlicher Förderung daran, die Standorte der Universitätsmedizin (und künftig weitere Kliniken) in einer Forschungsinfrastruktur zusammenzuschließen und Daten aus der Patientenversorgung behandelnder medizinischer Institutionen standortübergreifend in sicherer und kontrollierter Weise für die medizinische Forschung verfügbar zu machen. Das soll dazu beitragen, Krankheiten zukünftig schneller und effektiver therapieren zu können. Die Beachtung des Datenschutzes und ethischer Aspekte spielen eine zentrale Rolle in der MII. Patientenorganisationen, Datenschutzbehörden und weitere Akteure begleiten und unterstützen diese Arbeiten vielfältig in Gremien und Veranstaltungen. Das Deutsche Forschungsdatenportal für Gesundheit (FDPG) ist ein Element dieser gemeinsamen Infrastruktur.
Die Infrastruktur Medizininformatik-Initiative (MII) ist so ausgelegt, dass die sensiblen Patientendaten in den beteiligten Universitätsklinika am jeweiligen Standort vorgehalten werden. Diese dezentrale Verarbeitung sensibler Gesundheitsdaten erfolgt in den darauf spezialisierten Universitätsklinika, die zusätzlich als Standorte der Maximalversorgung mit großen jährlichen Fallzahlen auch nach § 6 der BSI-KRITIS-Verordnung zu den kritischen Infrastrukturen zählen. Insofern gelten für diese Standorte erhöhte Anforderungen in Bezug auf die IT-Sicherheit [1]. Das übergreifende Datenschutzkonzept der MII geht ausführlich auf diesen Umstand ein, enthält aber keine Kopie der an den Standorten bereits detailliert festgelegten und dokumentierten Schutzmaßnahmen zur sicheren Verarbeitung sensibler Patientendaten.
Aufgaben und Funktionen des Forschungsdatenportals für Gesundheit (FDPG)
Wie in dem Artikel auf heise online richtig dargestellt, fokussiert das übergreifende Datenschutzkonzept der MII drei Anwendungsszenarien bzw. Angebote für Forschende: Machbarkeitsanfragen, eine Datennutzung im Sinne verteilter Analysen sowie Datenüberlassungen. Anders als in dem Artikel spekuliert wird, werden aktuell keine anderen Szenarien unterstützt bzw. angeboten. Forschende sind dabei nur Personen aus dem akademischen oder privatwirtschaftlichen Umfeld mit einer wissenschaftlichen Tätigkeit, die bei der Registrierung überprüft werden.
Was passiert nun mit den sensiblen Patientendaten in diesen drei Szenarien? Beim Forschungsdatenportal für Gesundheit (FDPG) können Forschungsinteressierte Machbarkeitsanfragen stellen, um einen Überblick über die Anzahl von Datensätzen zu bekommen, die bestimmten forschungsrelevanten Kriterien entsprechen. Hierzu werden die Kriterien vom FDPG an die Standorte übermittelt, dort lokal ein Zählprozess gestartet und dann ein zusätzlich verrauschtes Ergebnis des Zählprozesses an das FDPG zurückübermittelt. Insofern kommen beim FDPG nur vollständig anonyme Fallzahlen an, deren Übermittlung nicht mehr dem Datenschutzrecht unterliegt. Eine Notwendigkeit für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO besteht daher nicht.
Bei einer Datennutzung im Sinne einer verteilten Analyse wird zwischen den Standorten und der Forscherin/dem Forscher ein Nutzungsvertrag [2] geschlossen. Das FDPG vermittelt diesen Vertrag und übernimmt hierzu bestimmte koordinierende Funktionen, ohne selbst Vertragspartner in dem Nutzungsvertrag zu werden. Die sensiblen Patientendaten verbleiben im Rahmen dieses Vertragsverhältnisses vollständig an den beteiligten Universitätsklinika. Lediglich die von der Forscherin/dem Forscher bereitgestellten Analysemethoden werden an die Standorte verteilt, dort in einem sicheren Bereich auf speziell für das Forschungsprojekt ausgewählten Daten ausgeführt, und die wiederum anonymen Ergebnisse dieser Auswertung werden zurück an die Forscherin/den Forscher übermittelt. Das FDPG verarbeitet in diesem Rahmen keine sensiblen Patientendaten, sondern lediglich die personenbezogenen Daten der Vertragsbeteiligten.
Auch bei einer Datennutzung im Sinne einer Überlassung wird zwingend zuvor ein Nutzungsvertrag zwischen den beteiligten Standorten und der Forscherin oder dem Forscher geschlossen. Das FDPG wiederum steuert den Abschluss des Vertrags und übernimmt weitere koordinierende Funktionen, ohne selbst Vertragspartner zu werden. Die für das Projekt speziell ausgewählten sensiblen Patientendaten werden von den beteiligten Standorten in einer speziell für dieses Projekt pseudonymisierten Form an eine im Vertrag festgelegte Datenmanagementstelle geschickt, die die gesammelten Daten dann der Forscherin bzw. dem Forscher übermittelt. Diese Datenmanagementstelle ist nie das FDPG, sondern im Regelfall einer der beteiligten Standorte, in Ausnahmefällen auch ein unbeteiligtes Universitätsklinikum mit einem Datenintegrationszentrum.
Datenschutzrechtliche Grundlagen
Die Nutzung der Daten der MII basiert immer auf einer ausreichenden datenschutzrechtlichen Erlaubnis. Das ist in aller Regel und bei der Überlassung von Daten immer eine informierte Einwilligung [3]. Das bedeutet, dass das FDPG selbst weder Pseudonyme noch anderweitig in irgendeiner Form personenbeziehbare Patientendaten verarbeitet und in Bezug auf deren Verarbeitung auch keine Verträge schließt, sondern diese koordiniert. Die Verarbeitung der personenbeziehbaren Daten von Nutzern der Website sowie den Vertragspartnern von Nutzungsverträgen selbst ist weder technisch besonders anspruchsvoll noch mit besonders hohen Risiken für die Betroffenen verbunden, so dass nach den Kriterien der DSGVO keine Notwendigkeit besteht, eine Datenschutz-Folgenabschätzung durchzuführen.
Die Bestimmung der datenschutzrechtlichen Verantwortlichkeit für die einzelnen Prozessschritte in einem solchermaßen dezentral-koordinierten Vorgehen, wie von der MII umgesetzt, ist nach den Vorgaben der DSGVO alles andere als intuitiv und einfach nachvollziehbar. Die jüngere Rechtsprechung des Europäischen Gerichtshofs (EuGH) hat zudem den Anwendungsbereich der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sehr weit ausgedehnt, so dass z. B. auch ohne Zugriff auf personenbezogene Daten eine Verantwortlichkeit für deren Verarbeitung entstehen kann. Diese komplexen Grundlagen sind im übergreifenden Datenschutzkonzept der MII sowie in den Nutzungsverträgen und einem Teilnahmerahmenvertrag zwischen allen beteiligten Universitätsklinika, dem FDPG und weiteren Stellen vollständig berücksichtigt. Demnach trifft das FDPG eine Mitverantwortung für die Durchführung von Machbarkeitsanfragen an den Standorten, auch wenn gar kein Zugriff auf personenbezogene Daten durch das FDPG besteht. Im Teilnahmerahmenvertrag ist hierzu geregelt, dass die Zuständigkeit für die Prüfung der Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung sowie ggf. auch für die Durchführung selbst von den jeweils involvierten Universitätsklinika übernommen wird.
Schutz von Patientenrechten
Im Artikel auf heise online wird zum übergreifenden Datenschutzkonzept der MII ausgesagt, dieses würde technisch-organisatorische Maßnahmen nur aus einer Perspektive der Informationssicherheit formulieren und damit ein mangelhaftes Verständnis von Datenschutz zum Ausdruck bringen, in dem fälschlicherweise der Schutz von Daten, nicht der Schutz von Grundrechten der Patientinnen und Patienten im Vordergrund stehe. Diese Darstellung ignoriert vollständig die ausführliche und systematische Darstellung nicht nur technischer, sondern auch organisatorischer und vertragsrechtlicher Schutzmaßnahmen im übergreifenden Datenschutzkonzept, wie etwa das notwendige Votum einer unabhängigen Ethikkommission für jedes Nutzungsprojekt, die intensive Prüfung jedes Nutzungsantrags durch multidisziplinär besetzte Use & Access Committees (UACs) an allen Universitätsklinika, die Prüfung auf Notwendigkeit einer Datenüberlassung statt einer verteilten Analyse durch die UACs sowie die umfassenden im Nutzungsvertrag geregelten Schutzverpflichtungen. Übersehen wurden auch die umfangreichen Darstellungen zur Umsetzung von Betroffenenrechten sowie die besonderen Transparenzmaßnahmen der MII in Bezug auf die durchgeführten Projekte. All diese Maßnahmen dienen dem Schutz der Rechte und Freiheiten der betroffenen Patientinnen und Patienten, auf deren Vertrauen die medizinische Forschung zentral angewiesen ist.
Weiter wird kritisiert, dass Vorgaben für die Authentifizierung und Autorisierung von Benutzerinnen und Benutzern oder die Überlassung von Bioproben im übergreifenden Datenschutzkonzept der MII fehlen. Die Überlassung von Bioproben wird zwar auf der Webseite schon beschrieben, technisch aber noch nicht unterstützt. Zu den Vorgaben der Authentifizierung und Autorisierung ist zu sagen, dass organisationsübergreifende Benutzerlogins zwar geplant, derzeit aber noch nicht verwendet werden. Im Konzept wird daher auf die Notwendigkeit weitergehender Spezifikationen hingewiesen. Diese sind intern bereits erfolgt und werden mit dem nächsten Release des übergreifenden Datenschutzkonzepts öffentlich einsehbar.
Auch soll in Bezug auf die Risikoabschätzung eine Angreifermodellierung fehlen, die die verarbeitende Person als Hauptangreiferin in das Zentrum der Analyse und der zu treffenden Maßnahmen stellt. Nach dem dezentralen Ansatz der MII findet ein Großteil der Verarbeitung sensibler Patientendaten in den Universitätsklinika statt. Unabhängig von der MII ist es Aufgabe der Universitätsklinika, das Risiko durch interne Angriffe zu bewerten und Maßnahmen zur Abwehr zu ergreifen. Eine detailliertere Risikomodellierung zur Unterstützung der Universitätsklinika wird aktuell durch die Taskforce Datenschutz der MII erarbeitet und im nächsten Release des übergreifenden Datenschutzkonzepts berücksichtigt.
Insgesamt ist festzustellen, dass die Prozesse und die dezentrale Struktur der MII trotz umfangreich verfügbarer Informationen [4] im Artikel von heise online vom 08. Juni 2023 nicht korrekt dargestellt wurden. Insoweit ist die Kritik in weiten Teilen nicht nachvollziehbar. Die MII ist an einer kritischen journalistischen Begleitung ihrer Aktivitäten sehr interessiert und stellt gerne Ansprechpersonen und Materialien zu allen Anfragen kurzfristig zur Verfügung. Patientinnen und Patienten, die von der mit Hilfe der MII durchgeführten Forschung profitieren wollen, haben das berechtigte Interesse, präzise und korrekt über diese Infrastruktur informiert zu werden.
Abgrenzung zum Forschungsdatenzentrum Gesundheit, der elektronischen Patientenakte (ePA) und dem Europäischen Gesundheitsdatenraum
Das FDPG der Medizininformatik-Initiative (MII) ist institutionell und funktionell zu unterscheiden von dem beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelten Forschungsdatenzentrum Gesundheit (FDZ), welches – einwilligungsfrei – Abrechnungsdaten der Gesetzlichen Krankenversicherung in anonymisierter Form für Forschungsanträge verfügbar macht (Verfahren gemäß § 303a-f SGB V) und das künftig auch – einwilligungsbasiert – Daten aus der Elektronischen Patientenakte (ePA) für Forschungsanfragen gebündelt zur Verfügung stellen soll (Verfahren gemäß § 363 SGB V Abs. 1–7). Entsprechend haben auch politische Ankündigungen, für die ePA sogenannte „opt-out-Verfahren“ zur Wahrnehmung der Patientenautonomie gesetzlich zu verankern, keine Relevanz für das FDPG und die Datennutzung in der MII, ebenso wenig wie in der Diskussion befindliche politische Vorstellungen zu einwilligungsfreier Datennutzung in einem künftigen Europäischen Gesundheitsdatenraum (EHDS). Die Datennutzung in der MII einschließlich des FPDG erfolgt auf Grundlage aktueller europäischer und nationaler Gesetze und ist einwilligungsbasiert.
Hintergrund
Ziel der Medizininformatik-Initiative (MII) ist es, Routinedaten aus der Patientenversorgung bundesweit digital zu vernetzen und für die medizinische Forschung verfügbar zu machen, um Krankheiten zukünftig schneller und effektiver behandeln zu können. Daran arbeiten alle Einrichtungen der Universitätsmedizin Deutschlands gemeinsam mit weiteren Forschungseinrichtungen, Unternehmen, Krankenkassen und Patientenvertretungen in den vier Konsortien DIFUTURE, HiGHmed, MIRACUM und SMITH. Datenschutz und Datensicherheit haben hierbei höchste Priorität.
Im Fokus der Ausbau- und Erweiterungsphase (2023-2026) steht eine erweiterte Zusammenarbeit zwischen den Universitätskliniken und deren Kooperation mit neuen Partnern in Versorgung und Forschung, insbesondere um die standortübergreifende Datennutzung in Bezug auf die Datenarten und Datenquellen zu erweitern.
Das Bundesministerium für Bildung und Forschung (BMBF) fördert die MII bis einschließlich 2026 mit insgesamt über 400 Millionen Euro.
Für die nationale Abstimmung der MII ist eine Koordinationsstelle zuständig, die die Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF) mit dem Medizinischen Fakultätentag (MFT) und dem Verband der Universitätsklinika Deutschlands e.V. (VUD) in Berlin betreibt.