Das Problem der longitudinalen Forschung
Die longitudinale klinische Forschung operiert in einem grundlegenden Spannungsfeld: Die Identitäten der Teilnehmer müssen während des Studienzeitraums geschützt werden, um die Anforderungen der IRB zu erfüllen und das Vertrauen der Teilnehmer aufrechtzuerhalten, aber die gleichen Teilnehmer müssen möglicherweise für klinische Nachverfolgung kontaktiert werden, wenn die Forschung unerwartete Ergebnisse offenbart.
Ein onkologisches Forschungszentrum, das eine Biomarker-Studie mit 5.000 Patienten durchführt, stellt während der Studie fest, dass 47 Teilnehmer Marker aufweisen, die auf ein erhöhtes Risiko für eine aggressive Krebsvariante hinweisen, die ursprünglich nicht als Studienendpunkt identifiziert wurde. Der Ethikrat prüft das Ergebnis und genehmigt die erneute Kontaktaufnahme gemäß der Pflicht zur Warnung — der potenzielle medizinische Nutzen rechtfertigt die Identifizierung und Kontaktaufnahme mit den betroffenen Teilnehmern.
Wenn die ursprüngliche De-Identifizierung permanent war — wenn die Identitäten der Patienten durch zufällige Codes ersetzt wurden, ohne dass eine Zuordnungstabelle beim Datenverwalter aufbewahrt wurde — kann das Forschungsteam nicht identifizieren, welche echten Patienten den 47 betroffenen Teilnehmern entsprechen. Das Forschungsergebnis kann nicht umgesetzt werden. Patienten, die möglicherweise dringende klinische Aufmerksamkeit benötigen, können diese nicht erhalten. Der ethische Rahmen der Studie, der den Datenschutz gegen die Möglichkeit klinisch umsetzbarer Ergebnisse abwog, hat in seinem wichtigsten Anwendungsfall versagt.
GDPR und die Anforderung der Schlüsseltrennung
Die EDPB-Richtlinien 05/2022 zur Pseudonymisierung erkennen dieses Spannungsfeld an und bieten einen Rahmen zur Lösung. Pseudonymisierung wird als Datenschutzmaßnahme anerkannt, die die Möglichkeit der Re-Identifizierung bewahrt, wenn dies erforderlich ist.
Die Anforderung ist die Schlüsseltrennung: Der Entschlüsselungsschlüssel muss getrennt von den pseudonymisierten Daten aufbewahrt werden, unter technischen und organisatorischen Kontrollen, die unbefugten Zugriff verhindern. Ein Forschungsteam kann nicht gleichzeitig auf den anonymisierten Datensatz und den Entschlüsselungsschlüssel zugreifen — die Kontrollen müssen sicherstellen, dass die Re-Identifizierung einen autorisierten Prozess erfordert, nicht einfach den Besitz des Datensatzes.
Die Umfrage der IAPP 2024 ergab, dass nur 23 % der Anonymisierungstools echte Reversibilität bieten — die Fähigkeit, einen pseudonymisierten Datensatz mit einer beibehaltenen Entschlüsselungsfähigkeit zu erstellen, die die Anforderung der Schlüsseltrennung der EDPB erfüllt. Die Mehrheit der Tools bietet permanente Ersetzung oder Maskierung, die die autorisierte Re-Identifizierung verhindern, die das Szenario der Pflicht zur Warnung erfordert.
Die Architektur der reversiblen Verschlüsselung
Die klinische Forschungsarchitektur, die sowohl die Datenschutzanforderungen der IRB als auch die Re-Identifizierungsbedürfnisse der Pflicht zur Warnung erfüllt:
Der Forschungsdatensatz wird unter Verwendung reversibler Verschlüsselung mit AES-256-GCM verarbeitet, wobei deterministische verschlüsselte Tokens aus Patientenidentifikatoren generiert werden. Der Identifikator jedes Patienten wird in allen Studiendokumenten konsistent dargestellt, um die referenzielle Integrität zu wahren und gleichzeitig die Identität zu schützen. Der Entschlüsselungsschlüssel wird von einem benannten Datenverwalter aufbewahrt, getrennt vom anonymisierten Datensatz, unter Zugriffskontrollen, die eine dokumentierte Genehmigung für jede Entschlüsselungsoperation erfordern.
Das Forschungsteam arbeitet ausschließlich mit dem anonymisierten Datensatz — kein Zugriff auf den Entschlüsselungsschlüssel wird für die routinemäßige Analyse gewährt. Wenn die 47 betroffenen Teilnehmer in der statistischen Analyse identifiziert werden, löst die Genehmigung des Ethikrats den autorisierten Re-Identifizierungsprozess aus. Der Datenverwalter wendet den Entschlüsselungsschlüssel auf die spezifischen 47 Datensätze an. Das Forschungsteam erhält die echten Patientenidentitäten nur für diese 47 Teilnehmer. Die Identitäten der verbleibenden 4.953 Teilnehmer bleiben geschützt.
Quellen: