Die Privatsphäre und Sicherheit von Bürgerinnen und Bürgern steht für das FDZ Gesundheit an oberster Stelle. Deshalb werden die Daten am FDZ Gesundheit durch diverse technische und organisatorische Maßnahmen geschützt, um Datenschutz und Datensicherheit gemäß dem neuesten Stand der Technik zu gewährleisten. Diese Maßnahmen werden kontinuierlich in Absprache mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und überprüft.
Beispielhafte Sicherheitsmaßnahmen umfassen:
- Zertifizierung des Speicherorts: Bevor Daten übertragen werden, wird die technische Infrastruktur des FDZ in enger Abstimmung mit dem BSI aufgebaut und regelmäßig auf Einhaltung höchster Sicherheitsstandards kontrolliert.
- Keine direkte Datenübermittlung an Forschende: Personenbezogene Daten werden niemals direkt an Forschende übermittelt. Stattdessen werden nur notwendige Daten in einem virtuellen Analyseraum bereitgestellt. Diese Datenzuschnitte dürfen nur im virtuellen Analyseraum bearbeitet werden.
- Überprüfung der Forschungsergebnisse: Alle Forschungsergebnisse werden von Mitarbeitenden des FDZ sorgfältig geprüft, um das Risiko einer Re-Identifikation der Daten so weit wie möglich zu minimieren.
- Ständige Anpassung der Sicherheitsmaßnahmen: Die technischen und organisatorischen Sicherheitsvorkehrungen werden kontinuierlich aktualisiert, um den sich ändernden Anforderungen und Technologien gerecht zu werden.
Diese und weitere Maßnahmen am FDZ Gesundheit führen dazu, dass die Daten auf höchstem Niveau geschützt werden und die Privatsphäre der betroffenen Personen stets gewahrt bleibt.
Pseudonymisierung
Die Pseudonymisierung ist essentiell zum Schultz der Identität von Bürgerinnen und Bürgern. „Pseudonymisierung“ bedeutet, dass personenbezogene Daten so verändert werden, dass sie ohne zusätzliche Informationen keiner bestimmten Person mehr zugeordnet werden können. Diese zusätzlichen Informationen werden getrennt aufbewahrt und sind durch technische und organisatorische Maßnahmen geschützt, sodass die personenbezogenen Daten nicht mehr einer bestimmten Person zugeordnet werden können.
Konkret bedeutet das, dass eindeutig identifizierende Merkmale wie z.B. Name, Adresse oder Versichertennummer nicht an das FDZ Gesundheit übermittelten werden. Stattdessen werden für jede Person im Datensatz auf unterschiedlichen Ebenen Pseudonyme erstellt. Pseudonyme sind eine Art Code, der die Person nicht direkt identifizierbar macht. Diese Pseudonymisierung erfolgt zum ersten Mal bevor die Daten die Krankenkasse überhaupt verlassen. Das geschieht mithilfe der Vertrauensstelle. In unserem Fall übernimmt das Robert Koch-Institut diese Aufgabe und führt das Pseudonymisierungsverfahren durch.
Durch dieses Verfahren ist sichergestellt, dass im FDZ Gesundheit zu keinem Zeitpunkt identifizierende Merkmale mit Gesundheitsdaten in Verbindung gebracht werden können.
Anonymisierung vs. Pseudonymisierung
Anonymisierung bedeutet, dass Informationen so verändert werden, dass sie nicht mehr einer bestimmten Person zugeordnet werden können.
Anonymisierte Daten sind in der Forschung oft weniger nützlich, weil sie keinen eindeutigen Bezug zu einzelnen Personen ermöglichen. Im Gegensatz dazu bieten pseudonymisierte Daten einen wichtigen Personenbezug, ohne dass die Identität einer Person preisgegeben wird. Statt eines Namens wird jeder Person im Datensatz ein Pseudonym zugewiesen, das keine Rückschlüsse auf ihre echte Identität zulässt.
Der Bezug zu unbekannten aber eindeutigen Personen ist für viele wissenschaftliche Studien sehr wichtig. Nehmen wir als Beispiel die Forschung zu Krebsrisiken: Forschende nutzen pseudonymisierte Daten, um zu untersuchen, ob und wie bestimmte Vorerkrankungen das Risiko für Krebs beeinflussen können. Pseudonymisierte Daten erlauben es ihnen, frühere Diagnosen mit später auftretenden Krankheiten einer Person zu verknüpfen. Denn jede Person in dem FDZ Datensatz behält über alle Jahre das gleiche Pseudonym. So wissen Forschende, dass z.B. die Person X im Jahr 2019 Schnupfen hatte und im Jahr 2024 eine Krebserkrankung bekommen hat. Diese Verknüpfung ist mit anonymisierten Daten häufig nicht möglich. Denn durch das Anonymisierungsverfahren werden die Zusammenhänge zwischen dem Jahr 2019 und 2024 entkoppelt. Wir könnten also nicht mehr nachvollziehen, welche Vorerkrankungen die Person X vor ihrer Krebserkrankung im Jahr 2024 hatte. Solche Fragestellungen sind aber essenziell für die Forschung.
Die Datenschutzgrundverordnung (DSGVO) erlaubt es, Daten zu anonymisieren oder zu pseudonymisieren, solange dies den Zweck der Forschung nicht beeinträchtigt. Das Forschungsdatenzentrum Gesundheit folgt diesen Vorgaben, um sicherzustellen, dass wichtige Forschungsfragen beantwortet werden können, ohne die Privatsphäre der Personen zu gefährden.