Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Konzept einer Datenverarbeitungsinfrastruktur der Fa. Schering AG für die sichere pseudonyme Einlagerung und Verwahrung von für genetische Analysen genutzten Blut- und Gewebeproben

entwickelt von der AG Kommunikationssysteme am Institut für Informatik und Praktische Mathematik, Prof. Norbert Luttenberger, Christian-Albrechts-Universität zu Kiel

I.     Gegenstand des Datenschutzaudits
II.     Gegenstand der Begutachtung
III.     Rechtliche Bewertung des Konzepts

1. Darstellung der Schutzziele
2. Umsetzung der Ziele im vorgestellten Datenschutzkonzept
3. Datenschutzrechtliche Zulässigkeit des Verfahrens
4. Datenschutzmanagementsystem
5. Gesamtbewertung

 

I. Gegenstand des Datenschutzaudits

Gegenstand dieses Datenschutzaudits ist ein Sicherheitskonzept, das die AG Kommunikationssysteme am Institut für Informatik und Praktische Mathematik, Prof. Norbert Luttenberger, der Christian-Albrechts-Universität zu Kiel (CAU) im Auftrag und in Zusammenarbeit mit der Firma Schering AG erstellt hat. Dieses Sicherheitskonzept bezieht sich auf ein Projekt der Schering AG zur Durchführung pharmakogenetischer Studien. Im Rahmen der Pharmakogenetik werden Blut- bzw. Gewebeproben von Probanden daraufhin untersucht, welche Zusammenhänge es zwischen bestimmten genetischen Informationen und der Wirkungsweise von Arzneimitteln gibt. 

Die Schering AG führt pharmakogenetische Studien durch, die durch eine IT-Infrastruktur unterstützt werden. Bei den pharmakogenetischen Studien handelt es sich um Zusatzstudien zu klinischen Studien. Dabei werden genetische Daten aus Blut- oder Gewebeproben der Teilnehmer erhoben und mit den im Rahmen der klinischen Studie gewonnenen medizinischen Daten der Teilnehmer abgeglichen. 

Dieses Verfahren, bezeichnet als GENOMatch-Projekt, hat die Aufgabe, die für pharmakogenetische Studien benötigte IT-Infrastruktur aufzubauen und zu betreiben. Insbesondere soll das GENOMatch-Projekt auch die in diesem Umfeld erforderlichen Datenschutzmaßnahmen umfassen. Das Projekt unterteilt sich in drei Abschnitte. Die Projektaufteilung von GENOMatch gestaltet sich wie folgt:

Teil 1: Aufbau einer pharmakogenetischen Biobank, d.h. die Sammlung und das Management von Blut- und Gewebeproben - sample & save Strategie.

Teil 2: Generierung und sichere Speicherung von pseudonymisierten genetischen und klinischen Daten. 

Teil 3: Unterstützung für die statistische Analyse der Daten, d.h. "Data-matching" von klinischen und genetischen Daten (Erzeugung von aggregierten Daten) im Rahmen von pharmakogenetischen Studien.

Das vorliegende Datenschutzaudit bezieht sich auf den ersten Teil des GENOMatch-Projektes, d.h. diedatenschutzkonforme Sammlung und das Management von Blut- und Gewebeproben.
 

 

II. Gegenstand der Begutachtung

Gegenstand der Begutachtung im Rahmen des Auditverfahrens ist das Konzept der CAU für eine Gestaltung des Verfahrens zur pseudonymisierten Speicherung von Blut- und/oder Gewebeproben, die den Anforderungen an Datenschutz und Datensicherheit entspricht. 

Dieses Konzept in der Version 2.0 vom 8. Mai 2003 wurde dem ULD zur Begutachtung vorgelegt.
 

 

III. Rechtliche Bewertung des Konzepts

Im Folgenden werden zunächst die Datenschutzziele beschrieben (1), von denen das Konzept ausgeht. Sodann wird erläutert, wie hiernach das Verfahren zur Sammlung und Untersuchung der Proben gestaltet wird, um diese Ziele zu erreichen (2). Im Anschluss wird die datenschutzrechtliche Zulässigkeit des beschriebenen Verfahrens geprüft (3) sowie das im Konzept vorgesehene Datenschutzmanagementsystem begutachtet (4).
 

1. Darstellung der Datenschutzziele

Im Rahmen der pharmakogenetischen Studien werden sowohl genetische Daten als auch medizinische Daten der Teilnehmer bzw. Probanden erhoben. Das Konzept geht davon aus, dass bei beiden Arten von Daten ein sehr hoher Schutzbedarf besteht. Da für den Schutz von medizinischen Daten im Rahmen von klinischen Studien schon anerkannte Maßnahmen und Standards in der pharmazeutischen Industrie bestehen, konzentriert sich das Konzept der CAU auf den Schutz genetischer Daten. Das Konzept geht davon aus, dass für genetische Daten strenge Anforderungen hinsichtlich der Gewährleistung des Datenschutzes und der Datensicherheit bei der Erhebung der Daten im Rahmen des Prozesses der pharmakogenetischen Forschung zu stellen sind. Schwachstellen müssen identifiziert und technische und organisatorische Maßnahmen für deren Beseitigung entwickelt und eingerichtet werden.

Auch wenn es bei der Pharmakogenetik nicht primär um individuelle Gentests geht, sondern um valide statistische Beziehungen zwischen genetischen Daten und der Wirksamkeit eines Medikaments, so berücksichtigt das Konzept dennoch die hohe Schutzwürdigkeit genetischer Daten. Für die hohe Schutzbedürftigkeit genetischer Daten gelten gemäß dem Konzept folgende Gründe:
 

• Die genetische Veranlagung eines Menschen ist individuell und einzigartig.
• Die Gene eines Menschen können Aufschluss geben über die Veranlagung für bestimmte Krankheiten. Auch wenn der tatsächliche Ausbruch dieser Krankheiten zusätzlich von vielen anderen Faktoren abhängig ist, so kann doch die Kenntnis anderer Personen über die genetische Veranlagung zu gravierenden Diskriminierungen führen, etwa bei Fragen der Personaleinstellung oder dem Abschluss einer Versicherung.
• Die Kenntnis eines Menschen über genetische Veranlagungen für bestimmte Krankheiten kann das Leben dieses Menschen - auch wenn der Ausbruch der Krankheit ungewiss ist - erheblich beeinflussen.
• Genetische Daten geben nicht nur über diejenige Person, deren Genom analysiert wurde, Aufschluss, sondern darüber hinaus auch über Verwandte, die über gleiche genetische Veranlagungen verfügen können.

Grundsätzlich würde der höchste Schutz der im Rahmen von Forschungsvorhaben verwendeten personenbezogenen Daten erreicht, wenn diese anonymisiert würden. Für pharmakogenetische Studien können die genetischen und medizinischen Daten jedoch nicht anonymisiert werden, obgleich kein wissenschaftliches Interesse an einer individuellen Zuordnung zu einzelnen Teilnehmern besteht. Folgende Gründe werden für die Notwendigkeit angeführt, die Personenbeziehbarkeit der im Rahmen der Studie anfallenden Daten zu erhalten:

• Nach den Forderungen der Enquete-Kommission Recht und Ethik der modernen Medizin des Deutschen Bundestages muss jeder Teilnehmer das Recht haben, zu jedem Zeitpunkt seine Teilnahme an der Studie zu widerrufen. Für diesen Fall müssen seine genetischen und sonstigen Daten gelöscht werden. Die Enquete-Kommission fordert daher "das Recht von Betroffenen, eine überprüfbare Löschung bzw. Vernichtung ihrer bzw. seiner Proben und anderen Daten zu verlangen, durch Pseudonymisierung zu sichern".

  Die CAU verfolgt mit dem vorliegenden Konzept das Ziel, die Vernichtung bzw. Löschung der Proben und anderen Daten zu ermöglichen, ohne dass eine Reidentifizierung bei der Forschungsstelle oder dem Lager, in dem die Proben aufbewahrt werden, stattfindet.

• Arzneimittelzulassungsstellen haben das Recht, zu Kontrollzwecken (Überprüfung der Richtigkeit der Arzneimittelstudie) Zugang zu allen im Rahmen einer Studie erhobenen Daten auf Datensatzebene zu verlangen.
• Im Rahmen der Studie kann sich herausstellen, dass ein Teilnehmer genetische Veranlagungen hat, die relevant für seine gesundheitliche Integrität sein können. Um den Teilnehmer hierüber informieren zu können, muss dieser adressierbar sein.
• Im Rahmen der Studie kann sich weiter herausstellen, dass bestimmte genetische Faktoren erhebliche Unverträglichkeiten hinsichtlich des in der Studie getesteten Medikaments bedingen. In solchen Fällen müssen die Teilnehmer, die über solche genetischen Konstellationen verfügen, ermittelt und von der Studie ausgeschlossen werden können.

Da eine Anonymisierung nicht möglich ist, verfolgt die CAU in dem vorliegenden Konzept das Ziel, einen optimalen Schutz der im Rahmen der Studie verarbeiteten Daten durch Pseudonymisierungherzustellen. Dabei macht sie sich den Umstand zu Nutze, dass bei der wissenschaftlichen Auswertung eine Identifizierung nicht erforderlich ist und eine Zuordnung genetischer und medizinischer Daten zu jeweils einem Fall genügt. Um eine höchstmögliche Sicherheit zu erreichen, soll das eingesetzte Pseudonymisierungsverfahren so gestaltet werden, dass

• es niemandem alleine möglich ist, anhand des an einer Blut-/Gewebeprobe angebrachten Identifikators oder des entsprechenden Gendatenidentifikators die Studien- und Patientennummer des Probenspenders zu ermitteln und
• für alle an Forschungsvorhaben beteiligten Personen - mit Ausnahme des Klinischen Studienzentrums (Clinical Trial Site) - die Auflösung von Pseudonymen nur bis zur Studien- und Patientennummer möglich ist.

 

2. Umsetzung der Ziele im vorgestellten Datenschutzkonzept 

a) Verfahren der Probenentnahme und -untersuchung 

Im Folgenden wird der Ablauf der Probensammlung und -untersuchung nach dem Konzept der CAU beschrieben.

Die folgenden Einrichtungen sind in diesen Prozess eingebunden:

• Clinical Trial Site (Klinisches Studienzentrum)
• Central Sample Repository (Zentrale Gewebeprobenbank)
• SIM Center (Zentrum für sicheres Identitätsmanagement)
• Schering mit seiner Secure Data Area (Sicherer Datenbereich)
• Extraction Laboratory (Extraktions-Labor)
• DNA-Analysis Laboratory (DNA-Analyse-Labor)

Die Blut- bzw. Gewebeproben werden bei Patienten durch das Klinische Studienzentrum (Clinical Trial Site) entnommen. Die Patienten haben zuvor ihre Einwilligung zur Teilnahme an einer pharmakogenetischen Studie erteilt. Diese Studie hat eine Studiennummer (SN). Die verschiedenen (n) Proben eines Patienten werden im Klinischen Studienzentrum mit einer Patientennummer (PN) und jeweils einem zufällig generierten zwölfstelligen Barcode (Barcode 1) versehen. Diejenigen Barcodes, die zu einem Patienten gehören, werden durch eine Probengruppennummer (Sample Group Number) zusammengefasst.

Das Klinische Studienzentrum füllt einen pharmakogenetischen Begleitbrief aus. In diesem Begleitbrief, der im Original bei dem Klinischen Studienzentrum verbleibt und in Kopie an die zentrale Gewebeprobenbank geht, sind folgende Angaben enthalten: 

• die Patientennummer
• eine Information zur Plausibilitätsprüfung, die regelmäßig eine patientenbezogene Information darstellt (z.B. Geburtsdatum des Patienten)
• die Identifikation des Klinischen Studienzentrums
• das Land, in dem das Klinische Studienzentrum seinen Sitz hat
• die Studiennummer
• die Bestätigung des Klinischen Studienzentrums über die Abgabe der Einwilligungserklärung des Patienten
• ein Aufkleber mit dem Barcode 1 (BC1)
• das Ende der Aufbewahrungsfrist für die Probe

Der Barcode wird durch das so genannte SIM Center (Secure Identity Management Center - Zentrum für sicheres Identitätsmanagement) generiert. Dem SIM Center kommt die Funktion eines automatisierten Datentreuhänders zu. Die Auflösung der Pseudonyme zu einer Studien- und Patientennummer kann nur über das SIM Center in den oben definierten Ausnahmefällen erfolgen. Außerdem wird die Weitergabe der Proben im SIM Center dokumentiert. Im SIM Center werden keine klinischen oder genetischen Daten gespeichert. Für eine Identifizierung des einzelnen Patienten ist zusätzlich die Einbeziehung des Klinischen Studienzentrums nötig. Diese Treuhänderfunktion soll durch die Datenzentrale Schleswig-Holstein wahrgenommen werden. 

Das Klinische Studienzentrum erhält von der zentralen Gewebeprobenbank eine Menge vonProbenröhrchen und zusammen mit jedem Röhrchen zwei identische Barcodes 1 (BC1) und einen leeren Aufkleber, auf dem die Patientennummer eingetragen werden muss, sowie Formulare für einen sog. pharmakogenetischen Begleitbrief. Die zentrale Gewebeprobenbank ihrerseits fordert die Barcodes beim SIM Center an. Der Studienarzt klebt einen der BC1 zusammen mit dem leeren Aufkleber auf das Röhrchen und den zweiten BC1 auf den Begleitbrief, der im Original im Studienzentrum verbleibt. Die Kopie (bzw. Durchschrift) des Begleitbriefs, die an die Zentrale Gewebeprobenbank geht, trägt damit weder den BC1 noch den Patientennamen.

Anschließend werden die so gekennzeichneten Proben mit der Kopie des Begleitbriefs an die Zentrale Gewebeprobenbank (Central Sample Repository - CSR) weitergeleitet. Innerhalb der Zentralen Gewebeprobenbank werden drei Rollen mit streng voneinander abgegrenzten Befugnissen wahrgenommen: Die Probenerfassung (Sample Registrar), der Probencode-Tauscher (Sample Code Exchanger) und der Probenverwalter (Sample Manager). Die Zuweisung der Rollen und Befugnisse erfolgt durch den CSR Administrator. Der Administrator hat selbst keinen Zugang zu den Tabellen der CSR Datenbank. Als erste Gewebeprobenbank soll für die Schering AG das ärztlich geleitete "Labor für Klinische Forschung" in Kiel tätig werden. 

Die Kopie des mitübersandten pharmakogenetischen Begleitbriefs enthält folgende Angaben:

• die Patientennummer
• eine Information zur Plausibilitätsprüfung, die regelmäßig eine patientenbezogene Information darstellt (z.B. Geburtsdatum des Patienten)
• die Identifikation des Klinischen Studienzentrums
• das Land, in dem das Klinische Studienzentrum seinen Sitz hat
• die Studiennummer
• die Bestätigung der Klinischen Studienstelle über die Abgabe der Einwilligungserklärung des Patienten
• das Ende der Aufbewahrungsfrist für die Probe; diese Information wird dem CSR vom process controller zur Verfügung gestellt

In der Zentralen Gewebeprobenbank werden drei verschiedene Vorgänge in verschiedenen räumlich getrennten Bereichen von unterschiedlichen Mitarbeitern durchgeführt: 

Im ersten Schritt prüft die Probenerfassung die eingehenden Blut-/Gewebeproben, informiert dann das SIM Center darüber, welcher Patientennummer welcher Barcode 1 zugeordnet ist, entfernt anschließend die Patientennummer von der Probe und verwahrt die Probe im Gefrierschrank (Gefrierschrank 1). Die Probenerfassung (Sample Registrator) klebt die Patientennummer auf die Kopie des Begleitbriefs und archiviert diesen. 

Der nächste Schritt in der Zentralen Gewebeprobenbank wird durch den Sample Code Exchanger (Probencode-Tauscher) durchgeführt. Dieser erhält die Proben von der Probenerfassung (Sample Registrar), entfernt hiervon den Barcode 1 und ersetzt diesen durch einen zweiten Barcode 2 (BC2), den er ebenfalls zuvor beim SIM Center angefordert hat. Anschließend meldet er dem SIM Center, welchem Barcode 1 welcher Barcode 2 zugeordnet wurde, vernichtet den Barcode 1 und übergibt die mit dem Barcode 2 gekennzeichneten Proben dem Probenmanager, der diese in Gefrierschrank 2 lagert und verwaltet.

Als Pseudonymisierungsverfahren im SIM Center wird nicht auf eine einheitliche Verschlüsselung zurückgegriffen. Vielmehr werden für die Barcodes 1 und 2 sowie für die Sample Group Number (alle zu einer Person gehörenden Proben) eindeutige und einzigartige Zufallszahlen verwendet, die in Tabellenform einander zugeordnet werden. Dadurch sollen Fehler bei der Barcode-Erstellung und -Erkennung vermieden werden. Angesichts der geforderten möglichen zwanzigjähigen Aufbewahrungszeit muss gewährleistet werden, dass während dieser Zeit eine Kompromittierung der verwendeten Pseudonyme nicht zu befürchten ist, was durch elektronische Verschlüsselungsverfahren nicht zu erreichen ist. Dem Pseudonym wird zum Schutz vor Fehlern eine Prüfziffer angehängt. Sobald ein Barcode 2 einer Probe zugeordnet worden ist, wird dieser gespeichert und der Barcode 1 in der SIM Center-Datenbank deaktiviert, so dass dieser nicht mehr vergeben werden kann.

Auf Ersuchen von Schering übermittelt im dritten Schritt der Probenmanager (Sample Manager) die Proben aus dem Gefrierschrank 2 mit dem Barcode 2 entweder an das Extraktions-Labor (Extraction Lab) oder an das DNA-Analyse-Labor (DNA Analysis Lab). Sowohl das Extraction Lab als auch das Analysis Lab sind von der Schering AG unabhängige Institutionen. Gewebeproben sowie klinische und genetische Daten werden von Schering ausschließlich in mit dem Barcode 2 pseudonymisierter Form ausgewertet. Im Extraktions-Labor wird im Auftrag von Schering aus den Blut-/Gewebeproben DNA gewonnen und diese im Anschluss an den Probenmanager in der Zentralen Gewebeprobenbank zurückgesandt.

Im DNA-Analyse-Labor werden aus den DNA-Proben DNA-Sequenzen ermittelt und diese - immer noch mit dem Barcode 2 gekennzeichnet - direkt an den pharmakogenetischen Datenverwalter der Schering AG übermittelt.

Vor Einführung von klinischen Daten in eine pharmakogenetische Studie werden die Daten, die zu einer Reidentifizierung geeignet sind, so verändert, dass eine Reidentifizierung nicht mehr möglich ist (z.B. Ersetzen des Geburtsdatums durch das Alter). Damit soll eine indirekte Zuordnung der genetischen Daten zur Patientennummer über die klinischen Daten verhindert werden. Diese "Filterung" gehört zur zweiten Phase des GENOMatch-Projektes und ist nicht Gegenstand der Auditierung.

Die klinischen Datensätze enthalten als Identifikationsmerkmale die Studiennummer (SN) und die Patientennummer (PN). Bei der Übermittlung von klinischen Datensätzen in den Sicheren Datenbereich der Schering AG (Schering Corporate Pharmacogenomics/Secure Data Area) werden (in zwei Schritten) SN und PN entfernt und statt dessen die BC2s eingefügt, die zu dem entsprechenden Patienten gehören, weil damit seine genetischen Daten gekennzeichnet sind. Damit erfolgt eine weitere Pseudonymisierung. Um eine Zuordnung von Patientennummern zu genetischen Daten zu verhindern, wird die zusätzliche Pseudonymisierung der klinischen Daten in zwei Schritten (Match Filter I und II) in unterschiedlichen Bereichen durchgeführt. Match Filter I befindet sich außerhalb des Sicheren Datenbereichs (Secure Data Area) und dient dem Ersetzen (via SIM Center) der PN durch eine Sample Group Number (SGN). Der Match Filter II ersetzt die SGN durch den BC2.

Bei der Firma Schering werden genetische und medizinische Daten unter Einsatz biostatistischer Methoden abgeglichen und ausgewertet. Die bei der Schering AG vorhandenen genetischen Daten sind ebenfalls mit dem Barcode 2 gekennzeichnet.

Die wissenschaftliche Auswertung klinischer und genetischer Daten erfolgt im Sicheren Datenbereichder Schering AG. Diesen Bereich dürfen nur aggregierte Daten und keine Einzeldatensätze verlassen. In diesem Bereich werden eine genetische und eine klinische Datenbank geführt. Die genetische Datenbank enthält die vom DNA-Analyse-Labor erzeugten genetischen Daten (langfristige Speicherung). Die klinische Datenbank enthält die pseudonymisierten und gefilterten Patientendaten aus der klinischen Studie. Die klinischen Daten werden nach Beendigung einer pharmakogenetischen Studie gelöscht. Der Zugang zu dem Bereich wird gesondert kontrolliert. Der Netzzugriff auf Daten in dem Bereich ist durch ein Firewallsystem gesichert. 

Die medizinischen Daten werden bei der Schering AG so lange aufbewahrt, wie sie für den Abgleich und zur biostatistischen Auswertung benötigt werden. Die wissenschaftliche Auswertung erfolgt in dem Sicheren Datenbereich bei Schering (Schering Corporate Pharmacogenomics/Secure Data Area). Schering trägt zudem die Gesamtverantwortung für das Verfahren und für die Umsetzung des Datenschutzkonzepts. Die langfristige Speicherung der genetischen Daten und die temporäre Speicherung der gefilterten klinischen Daten findet in der Secure Data Area statt. Für die Analyse (d.h. Zusammenführung der genetischen und klinischen Daten) ist auch denkbar, dass beide mit dem BC2 gekennzeichneten Datensätze an eine externe Stelle gegeben werden, die allerdings auch eine Secure Data Area nach Schering-Standards aufweisen muss). 

Innerhalb des Sicheren Datenbereichs sind folgende Personen bzw. Rollen tätig: Der Administrator legt die Nutzerrollen, die mit mindestens einer Vertretung besetzt sind, fest. Der Ablaufkontrolleur (process controller) überwacht den Ablauf (workflow) im gesamten GENOMatch-Verfahren einschließlich den Umgang mit den Daten und Proben bei den beauftragten Einrichtungen und führt das interne Audit durch. Er trägt die Gesamtverantwortung für das GENOMatch-Verfahren. Der pharmakogenetische Datenverwalter (Pharmacogenetic Data Manager) ist für den korrekten Umgang mit den genetischen und den klinischen Daten zuständig. Er ist zuständig für die korrekte Filterung von klinischen Datensätzen sowie für die Funktionssicherheit des IT-Systems bei Schering. Der pharmakogenetische Biostatistikexperte definiert für das jeweilige Analyse-Projekt den zu erhebenden DNA-Datensatz. 

Es ist auch denkbar, dass die wissenschaftliche Auswertung klinischer und genetischer Daten an eineexterne pharmakogenetische Analyse-Einheit (Pharmacogenetic Data Analysis Facility) vergeben wird. Dieser werden dazu BC2-gekennzeichnete klinische und genetische Datensätze übergeben. Die externe Einheit muss ebenfalls einen Sicheren Datenbereich nach den von Schering gesetzten Standards betreiben. Schering trägt zudem die Gesamtverantwortung für das Verfahren und für die Umsetzung des Datenschutzkonzepts. 

Während des gesamten Prozesses kommt dem SIM Center die Aufgabe zu, Pseudonyme wie den Barcode 1 und 2 sowie die Sample Group Number zu generieren. Das SIM Center verfügt darüber hinaus über einen Datenbestand, aus dem sich die Zuordnung der Probenpseudonyme Barcode 1 und 2 und Sample Group Number zueinander und zu der Studiennummer und derPatientennummer ergibt. Über den Patientennamen verfügt das SIM Center jedoch nicht; dieser ist allein dem Klinischen Studienzentrum bekannt.

Die Proben werden gemäß der Einwilligungserklärung maximal 20 Jahre lang aufbewahrt und danach vernichtet. Kürzere Aufbewahrungszeiten sind nach dem Konzept möglich. 

Zur Absicherung der Qualität der Probenaufbewahrung und des Analyseablaufs bzw. -prozesses werden nichtmenschliche Gewebeproben bzw. solches Blut (z.B. von Affen) in unregelmäßigen Intervallen vom Klinischen Studienzentrum an die Zentrale Gewebeprobenbank eingeführt.

b) Verfahren bei Widerruf des Patienten

Für den Fall, dass ein Patient seine Teilnahme an der Studie widerruft, sieht das Konzept folgendes Verfahren vor:

Der Widerruf wird gegenüber dem Arzt der Studie bzw. dem Klinischen Studienzentrum erklärt. Der Arzt informiert sodann schriftlich und unter Angabe der Studien- und Patientennummer sowie der Angabe zur Plausibilitätsprüfung (Geburtsdatum des Patienten) den zuständigen Sample Registrar (Probenerfassung) bei der Zentralen Gewebeprobenbank über den Widerruf. Der Name des Patienten darf dabei nicht genannt werden. Die Probenerfassung sendet daraufhin eine Anfrage an das SIM Center, das der Studien- und Patientennummer den Barcode 1 zuordnet. Die Anfrage enthält neben der Studien- und Patientennummer auch die Angabe zur Plausibilitätsprüfung. Zur Vermeidung von betrügerischen Anfragen sendet das SIM Center eine Kopie zurück an den Schering Process Controller.

Wurde die Probe des Patienten noch nicht mit einem Barcode 2 versehen, so übermittelt das SIM Center - durch verschlüsselte und signierte E-Mail - der Probenerfassung in der Zentralen Gewebeprobenbank die Angabe, welcher Barcode 1 zu dieser Patientennummer vergeben wurde. Die Probenerfassung vernichtet daraufhin die Probe mit diesem Barcode 1. Wurde der Barcode 2 bereits vergeben, übermittelt das SIM Center diesen an den Probenmanager, der dann die entsprechende Probe aus dem Gefrierschrank 2 vernichtet. 

Gleichzeitig werden - durch verschlüsselte und signierte E-Mail - informiert:

• das Extraktions-Labor oder das DNA-Analyse-Labor, falls die Proben bereits an diese übermittelt worden sind. Diese vernichten daraufhin die Probe und löschen ggf., wenn bereits ermittelt, auch die genetischen Daten. Dies bestätigen sie gegenüber dem Probenmanager, der daraufhin den Probenstatus aktualisiert.
• Schering, falls Daten bereits erzeugt wurden. Diese werden dann durch den Pharmakogenetischen Biostatistikexperten gelöscht und die Löschung gegenüber dem SIM Center bestätigt.

Sobald die Vernichtung bzw. Löschung der Proben oder Daten beim SIM Center bestätigt wurde, informiert das SIM Center die Probenerfassung über die Löschung zu einer bestimmten Patientennummer. Die Probenerfassung betätigt die Vernichtung / Löschung durch Unterschrift auf der Kopie des Begleitbriefs und übermittelt die Information über die Vernichtung / Löschung an den Arzt bzw. das Klinische Studienzentrum. Diese archiviert die Unterlagen zusammen mit dem Widerruf des Patienten und den weiteren Unterlagen über die frühere Teilnahme des Patienten an der Studie.
 

3 Datenschutzrechtliche Zulässigkeit des Verfahrens

Die Zulässigkeit der Durchführung von pharmakogenetischen Studien und der Speicherung von hierfür genutzten Gewebeproben basiert auf der informierten Einwilligung der Betroffenen. Das Verfahren der Einholung der Einwilligung ist nicht Gegenstand des vorliegenden Audits. Dieses bezieht sich auf die datenschutzgerechte weitere Verarbeitung nach zulässiger Erhebung durch das Klinische Studienzentrum. Hierbei ist zu beachten, dass Gewebeproben und genetische Daten für wissenschaftliche Studienzwecke als Patientengeheimnisse zu behandeln sind (§ 203 StGB, § 9 MBO-ÄK) und dass es sich hierbei um Angaben über die Gesundheit und damit um besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG handelt. Nach § 28 Abs. 6 BDSG ist die Verarbeitung solcher Daten im Rahmen der Einwilligung nach § 4a Abs. 3 BDSG zulässig. Erhalten andere als in § 203 Abs. 1 u. 3 StGB genannte Personen zulässig Kenntnis von Gesundheitsdaten, so sind diese nach § 28 Abs. 7 S. 3 BDSG zur Beachtung der selben materiellen Regelungen, wie sie für einen Arzt gelten, verpflichtet.

Datenschutzrechtlich sind die Verarbeitungsvorgänge beim SIM Center, der zentralen Gewebeprobenbank sowie der Labore als Datenverarbeitung im Auftrag für Schering einzustufen, die aus Datenschutzsicht jeweils nach § 11 BDSG zulässig ist. Sämtliche Vorgänge erfolgen in pseudonymisierter Form, so dass mit der Weitergabe von Proben, Auswertungsergebnissen und Begleitbriefen keine Offenbarung von Patientengeheimnissen verbunden ist. Die Weisungen gegenüber den Auftragnehmern sind im Konzept sowie in entsprechenden Verträgen allgemein schriftlich festgelegt. Dabei sind Abweichungen im Einzelfall (Einzelweisungen) auszuschließen.

Nach § 9 BDSG sind von der verantwortlichen Stelle sowie von Stellen, die Daten im Auftrag verarbeiten, die technisch-organisatorischen Maßnahmen zu treffen, die erforderlich sind, die gesetzlichen Anforderungen sowie die im Anhang dieser Vorschrift genannten Ziele zu erreichen. Zu den Zielen gehört es, den Zugriff von Unbefugten auf die personenbezogenen Daten zu unterbinden sowie die Authentizität und die Verfügbarkeit dieser Daten zu gewährleisten (Nrn. 1, 3, 5 u. 7 Anlage zu § 9 S. 1 BDSG).

Nach § 3a BDSG ist die Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten (Grundsatz der Datensparsamkeit und Datenvermeidung). Insbesondere ist von der Möglichkeit der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Diese Regelungen des BDSG genügen den rechtlichen Anforderungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Europäische Datenschutzrichtlinie - EU-DSRL, insbes. Art. Art. 2 lit. h), Art. 8 Abs. 1, Art. 17 EU-DSRL). Sie gehen hierüber in § 3a BDSG hinaus. 

Art. 14 der überarbeiteten Rahmenrichtlinien zu der Internationalen Erklärung zu humangenetischen Daten des Internationalen Bioethik-Komitees der UNESCO sieht vor, dass für wissenschaftliche Zwecke erfasste humangenetische Daten von einer identifizierbaren Person getrennt werden müssen. Ist die Trennung aufhebbar, so müssen Vorkehrungen getroffen werden, um die Vertraulichkeit der Daten sicherzustellen.

Das in dem Konzept vorgesehene doppelte Pseudonymisierungsverfahren gewährleistet die Umsetzung der Anforderungen der §§ 3a, 9 BDSG bzw. der o.g. Rahmenrichtlinien. Es berücksichtigt die hohe Sensibilität und Schutzwürdigkeit der gespeicherten Gewebeproben bzw. der klinischen und genetischen Daten. Durch die Pseudonymisierung wird vermieden, dass Behörden im Rahmen der Nachkontrolle bei Arzneimittelprüfungen Kenntnis von der Identität der Probanden erhalten.

Das Konzept bezweckt sowohl die Abwehr von äußeren wie auch von internen Angriffen auf die Vertraulichkeit. Interne Angriffe werden durch eine rollenbasierte Zugangs- und Zugriffskontrolle abgewehrt. Versuche missbäuchlicher Datenverarbeitung werden protokolliert. Die Zuordnungstabellen im SIM Center werden in verschlüsselter Form abgelegt. Zur Abwehr unberechtigter Netzzugriffe ist beim SIM Center ein Firewall-System installiert. Die Kommunikation zwischen dem SIM Center und der Zentralen Gewebeprobenbank erfolgt in verschlüsselter Form durch ein Tunneln im Netz, so dass ein Abhören durch Unbefugte ausgeschlossen wird. 

Das Konzept stellt auch nach erfolgter Pseudonymisierung sicher, dass im Einzelfall bei Widerruf der Einwilligung eine Löschung der Daten bzw. Vernichtung der Proben erfolgen kann und dass demAuskunftsersuchen von Betroffenen bzw. Benachrichtigung über Betroffene entsprochen werden kann. Zugleich wird bei der gesamten wissenschaftlichen Bearbeitung von Proben und Daten durch die sichere doppelte Pseudonymisierung gewährleistet, dass die Probanden für die an den Projekten beteiligten Personen anonym bleiben. Selbst für den Fall, dass genetische bzw. klinische Daten oder Gewebeproben in die Hände von Unberechtigten gelangen, bedarf es für die Zuordnung der Einschaltung zweier voneinander unabhängiger Stellen. 

Durch die Umsetzung des Konzeptes werden nicht nur die bestehenden datenschutzrechtlichen Anforderungen umgesetzt. Vielmehr werden technische Standards gesetzt, die auch mittelfristig den steigenden Anforderungen an den Schutz genetischer Daten genügen. Den normativen Bedingungen für den Umgang mit genetischem Material bzw. genetischen Daten, wie sie derzeit im Vorfeld eines Gesetzgebungsverfahrens erörtert werden, wird entsprochen (vgl. Schlussbericht der Enquete-Kommission "Recht und Ethik der modernen Medizin" vom 14.05.2002, BT-Drs. 14/9020, Kap. 2.2.2.6 u. 2.4).

Angesichts des hohen Datenschutzstandards bei der Pseudonymisierung kann die Aufbewahrungszeitder Gewebeproben von maximal 20 Jahren als vertretbar angesehen werden.
 

4. Datenschutzmanagementsystem

Da in der Datenbank des SIM Center sämtliche patientenbezogenen Identifikationsmerkmale gespeichert sind, ist dessen technische Struktur von entscheidender Bedeutung für die gesamte GENOMatch-Infrastruktur. Das SIM Center hat vier funktionale Komponenten: die SIM Center Datenbank, die Identifizierungsanwendung (Identity Management - IM application), die Anwendung zur Rückverfolgung der Proben (Sample Tracking - ST application) und die Kontrolle (Audit application). Die IM application hat ausschließlichen Zugriff auf die Pseudonym-Zuordnungstabellen, die ST application nur auf die Angaben zum Probenstatus und die Audit application auf die Protokolldaten. So hat kein Teil des SIM Centers Zugriff auf den gesamten zu einem Pseudonym gespeicherten Bestand. 

Neben IM- und ST- sowie Log-Tabellen enthält die Datenbank Tabellen zur Gewährleistung des rollenbasierten Zugriffs auf die Datenbank. Der IM-Tabellenbereich ist verschlüsselt. Bei der Probenerfassung wird eine Qualitätskontrolle der eingehenden Proben und Probenbezeichnungen vorgenommen. Unregelmäßigkeiten werden unter Angabe der Gründe protokolliert und führen entweder zur Korrektur oder zur Probenvernichtung. 

Zur Durchführung von Kontrollen erhält der betriebliche Datenschutzbeauftragte des SIM Center sowie bei Bedarf die zuständige Datenschutzkontrollbehörde Zugriff auf die Protokolldaten, auf die rollenbasieren Zugriffsberechtigungstabellen sowie die Patientennummern (nicht auf die Barcodes oder Sample Group Numbers). Hierüber ist auch eine Kontrolle der Begleitbrief-Kopien möglich, um das Vorliegen wirksamer Einwilligungen zu prüfen. 

Der gesamte Datenaustausch zwischen dem SIM Center und den Kommunikationspartnern ist durch eine SSL-Tunnelung verschlüsselt. Durch die SSL-Verschlüsselung wird zugleich eine sichere Nutzer-Authentifizierung erreicht. Die Authentifizierung soll durch ein chipkartenbasiertes Signaturverfahren erfolgen. Der Zugriff auf die Chipkarte wird über eine PIN gesichert.

Das SIM Center ist durch ein Firewall-System abgesichert. Zugelassen werden ausschließlich HTTPS-Anfragen aus der Zentralen Gewebeprobenbank über einen definierten Port sowie SMTP-Anfragen von der bzw. zur Zentralen Gewebeprobenbank. Ein- und ausgehende Emails werden auf Viren hin geprüft und im Fall eines Virenbefalls ausgesondert. Aktive Inhalte werden nicht zugelassen.

Zur Vermeidung einer Kompromittierung der Zuordnungstabellen (mit SN, PN, Barcodes, SGN) durch eingeschleuste Schnüffelprogramme werden sämtliche Arbeitsplatzrechner in der Zentralen Gewebeprobenbank als Thin-Clients betrieben, auf denen die Nutzer zusätzlich zu dem Internet-Browser keine weitere Software installieren können. Für die Authentifizierung mit Chipkarten sind entsprechende Chipkartenleser vorgesehen.

Innerhalb von Schering ist der Schering Corporate Pharmacogenetics (CPG) Manager für die korrekten Abläufe und den korrekten Umgang mit den Daten verantwortlich. Er weist gemäß den Rollen für eine definierte Zeitspanne die Berechtigungen zu. Entsprechendes gilt für die Zentrale Gewebeprobenbank. Die Einräumung der Rechte erfolgt durch die jeweiligen Administratoren.

Das Datenschutzkonzept wird Teil der dokumentierten Gesamt-Dienstanweisung (Standard Operation Procedure). Sämtliche beteiligten Mitarbeiter werden mit diesem Datenschutzkonzept vertraut gemacht.

Der Schering Process Controller kontrolliert in regelmäßigen Intervallen die Nutzungsprotokolle. Werden Unregelmäßigkeiten festgestellt, wird der CPG Manager umgehend informiert.

Beschwerden von Probanden werden über das jeweilige klinische Studienzentrum vermittelt, um zu vermeiden, dass Schering Kenntnis von der Identität der Betroffenen erhält.

Der betriebliche Datenschutzbeauftragte von Schering wird regelmäßig aufgefordert, die GENOMatch-IT-Infrastruktur zu prüfen.

Als unabhängige Kontroll- und Beratungsinstanz ist ein Pharmakogenetischer Beirat(Pharmacongenetic Advisory Board - PGAB) eingerichtet mit externen Experten aus den Bereich Pharmakogenetik, Biowissenschaften, Ethik und Recht. Der Beirat muss dem allgemeinen Verfahrensplan jeder Studie zustimmen. Ein Veto des Beirates kann nur vom für Forschung und Entwicklung verantwortlichen Mitglied des Vorstands der Schering AG überstimmt werden.
 

5. Gesamtbewertung

Das von der CAU vorgelegte Konzept für eine Datenverarbeitungsstruktur zur sicheren pseudonymen Einlagerung und Verwahrung von für genetische Analysen genutzten Blut- und Gewebeproben erfüllt die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit. Das vorgesehene Pseudonymisierungsverfahren gewährleistet einen Sicherheitsstandard, der über die bisherige Praxis hinausgeht und setzt damit neue Maßstäbe. Das vorgelegte Datenschutzmanagementsystem stellt die Wahrung des Datenschutzes auch langfristig sicher. 

Das in sich schlüssige und umfassende Konzept ist geeignet, das Vertrauen von Probanden in den langfristigen Schutz der eigenen personenbezogenen Daten im Rahmen der pharmakogenetischen Arzneimittelforschung zu stärken.
 

Die Verleihung des Datenschutz-Audits gemäß § 43 Abs. 2 LDSG SH ist damit gerechtfertigt.