IRB-Rückkontakt-Protokoll: Leitfaden zur umkehrbaren Verschlüsselung
IRBs verlangen heute mehr als einen Anonymisierungsplan. Sie brauchen auch einen Rückkontakt-Plan. Sie müssen zwei Dinge zeigen. Erstens: Unbefugte können keine echten Patientennamen erreichen. Zweitens: Ihr Team kann es — wenn die Ethikkommission es genehmigt.
Diese Doppelregel kommt aus der Praxis. Lange Studien haben dringende Befunde mitten im Prozess ergeben. Aber die Daten waren gesperrt. Es gab keinen Rückweg. Das hat die Patientenversorgung blockiert. Aufsichtsbehörden haben das wahrgenommen.
Wie wir das unterstützen, zeigen unsere Compliance-Übersicht und Sicherheitspraktiken.
Warum IRBs eine Zwei-Wege-Tür brauchen
DSGVO-Bußgelder stiegen 2024 um 56 % (DLA Piper Annual Report 2025). DSGVO Artikel 89 reagiert auf diesen Trend. Er verlangt Pseudonymisierung — keine vollständige Löschung — für Forschungsdaten. Die Regel erkennt an, dass Forschung manchmal einen Rückweg zum echten Datensatz braucht.
Ein NEJM-AI-Beitrag von 2024 untersuchte LLM-basierte De-Identifizierung. Er fand ein Kernproblem. Bereinigte klinische Notizen bleiben durch dieselben klinischen Muster mit der Patientenidentität verknüpft, die sie nützlich machen. Der Beitrag empfiehlt: Pseudonymisierung mit einem dokumentierten Schlüsselplan. Das hält den Rückkontakt-Weg offen.
Ihr IRB muss beide Seiten dieser Tür sehen. Wer kann re-identifizieren? Unter welchen Bedingungen? Wer hält den Schlüssel? Was wird protokolliert?
Wie das System funktioniert
AES-256-GCM läuft im deterministischen Modus. Jede Patienten-ID wird immer zum gleichen Token. „Patient_001" gibt jedes Mal dieselbe Ausgabe. Dieses Token erscheint bei der Baseline, nach 3 Monaten und bei der Abschlussauswertung. Das Team verfolgt jeden Patienten nur über das Token. Keine echten Namen gelangen in die Arbeitsdateien.
Die Schlüsseltrennung erfüllt die EDPB-Anforderung. Das Forschungsteam hält die verschlüsselten Daten. Ein Datentreuhänder hält den Schlüssel in einem getrennten System. Keine Seite kann allein re-identifizieren. Das Team kann nicht entschlüsseln. Der Treuhänder kann ohne die Daten keine Schlüssel mit Patienten verknüpfen.
Wenn ein Rückkontakt genehmigt wird, wendet der Treuhänder den Schlüssel auf genannte Datensätze an. Jeder Schritt wird protokolliert: welche Datensätze, wann, wer die Genehmigung gab. Dieses Protokoll ist Ihr DSGVO-Artikel-89-Nachweis.
Ein konkretes Beispiel
Ein Onkologiezentrum führt eine Kohorte mit 5.000 Patienten in drei Ländern. Jeder Standort arbeitet nur mit Tokens. Der Datenschutzbeauftragte des federführenden Zentrums hält den Schlüssel.
Mitte der Studie markiert ein Scan 47 Patienten mit erhöhtem Risiko. Die Ethikkommission genehmigt den Rückkontakt. Der Beauftragte entschlüsselt diese 47 Datensätze. Das Pflegeteam erreicht diese 47 Patienten. Die anderen 4.953 bleiben an allen drei Standorten geschützt.
Der Schlüssel bewegt sich nicht. Die Daten bleiben verschlüsselt. Nur diese 47 Datensätze werden je mit echten Namen verknüpft.
Mehr zu Pseudonymisierung vs. vollständiger Anonymisierung finden Sie in unserem Leitfaden zur umkehrbaren De-Identifizierung.