Die Anforderung des IRB an das Re-Identifikationsprotokoll
IRBs verlangen von Forschern mittlerweile häufig, dass sie ihr Re-Identifikationsprotokoll dokumentieren – nicht nur ihre Methode zur De-Identifizierung. Die Dokumentation muss gleichzeitig zwei Dinge beweisen: dass der de-identifizierte Datensatz von unbefugten Parteien nicht re-identifiziert werden kann und dass eine autorisierte Re-Identifizierung unter definierten Bedingungen möglich ist.
Diese doppelte Anforderung spiegelt die Lehren aus longitudinalen Studien wider, bei denen klinisch umsetzbare Erkenntnisse während der Studie auftauchten, aber eine permanente Anonymisierung das Handeln daran verhinderte. Die Durchsetzungsmaßnahmen der GDPR stiegen 56% im Jahr 2024 (DLA Piper Jahresbericht 2025), und die EU-Forschungsausnahme gemäß Artikel 89 verlangt speziell Pseudonymisierung anstelle von permanenter Anonymisierung für Forschungsdaten – in Anerkennung, dass Forschung Umkehrbarkeit unter kontrollierten Bedingungen erfordert.
Ein NEJM AI-Papier von 2024 zur LLM-basierten De-Identifizierung hebt diese Herausforderung ausdrücklich hervor: "de-identifizierte klinische Notizen bleiben statistisch an die Identität gebunden durch die sehr Korrelationen, die ihren klinischen Nutzen bestätigen." Die Empfehlung des Papiers: Pseudonymisierung mit dokumentierter Schlüsselverwaltung anstelle von permanenter Anonymisierung, speziell um die Wiederaufnahmefähigkeit zu bewahren, die longitudinalen Forschungen erforderlich ist.
Die kontrollierte Re-Identifikationsarchitektur
Deterministische AES-256-GCM-Verschlüsselung erzeugt konsistente Tokens: der gleiche Patientenidentifikator wird immer mit demselben Token unter Verwendung desselben Schlüssels verschlüsselt. "Patient_001" in der Basisbewertung wird zu "[ENC:f8a2c...]" verschlüsselt – dasselbe Token erscheint in der 3-Monats-Nachuntersuchung, der 12-Monats-Nachuntersuchung und der abschließenden Analyse. Das Forschungsteam kann die longitudinalen Daten des Patienten mithilfe des verschlüsselten Tokens als stabilen Identifikator verfolgen, ohne jemals auf die echte Identität zuzugreifen.
Die Schlüsselverwaltungsvereinbarung erfüllt die Anforderung der EDPB zur Schlüsseltrennung: das Forschungsteam hält den verschlüsselten Datensatz. Der benannte Datenverwalter hält den Entschlüsselungsschlüssel in einem separaten Schlüsselverwaltungssystem. Keine der Parteien kann Teilnehmer ohne die andere re-identifizieren – das Forschungsteam kann ohne den Schlüssel nicht entschlüsseln, und der Schlüsselverwalter kann nicht identifizieren, welche Datensätze zu welchen Teilnehmern gehören, ohne die Daten.
Wenn die Re-Identifizierung autorisiert ist (Genehmigung des Ethikkomitees, Pflicht zur Warnung, regulatorische Anforderung), wendet der Schlüsselverwalter den Schlüssel auf die spezifisch identifizierten Datensätze an. Jedes Entschlüsselungsereignis wird protokolliert: welche Datensätze, wann, von wem, unter welcher Genehmigung. Das Auditprotokoll zeigt die Einhaltung der Anforderungen des GDPR-Artikels 89 für dokumentierte Schutzmaßnahmen.
Praktische Umsetzung
Für ein europäisches Onkologie-Forschungszentrum mit einer Kohorte von 5.000 Patienten: Der Forschungsdatensatz wird vor der Verteilung an kooperierende Institutionen in drei Ländern mithilfe reversibler Verschlüsselung anonymisiert. Jedes Forschungsteam der Institution kann longitudinale Daten mithilfe verschlüsselter Patiententokens analysieren. Der Schlüssel wird vom Datenschutzbeauftragten der koordinierenden Institution gehalten.
Wenn eine biomarker Analyse zur Mitte der Studie 47 Teilnehmer mit erhöhten Risikomarkern identifiziert, löst die Genehmigung des Ethikkomitees eine formelle Re-Identifizierungsanfrage aus. Der Datenschutzbeauftragte entschlüsselt die 47 spezifischen Datensätze. Das klinische Team der koordinierenden Institution kontaktiert die 47 echten Patienten. Die Identitäten der 4.953 anderen Teilnehmer bleiben über alle drei kooperierenden Institutionen hinweg geschützt.
Quellen: