Ethik & Datenschutz

Es handelt sich um eine prospektive, primär als Querschnitt angelegte multizentrische Register-Studie. Wenn mehrere Untersuchungen derselben Person eingeschlossen werden, sollen diese im Kontext zu einander betrachtet werden können. Die Zuordnung erfolgt auf Ebene des einschließenden Studienzentrums. Die zentrale Speicherung der Daten erfolgt pseudonymisiert. 

Die datenschutzrechtlichen Überlegungen und Konzepte basieren auf den in Art. 9 DS-GVO Abs. 1 Kategorien von Daten. Um hier höchste Standards und "best practices" gewährleisten zu können, wurde der Praxisleitfaden der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (10.12.2019, Creative Commons-Lizenz 4.0) genutzt. Einige der folgenden Formulierungen wurden wörtlich oder nach Anpassung für unseren Studienzweck übernommen. 

Wie ErwGr. 51 DS-GVO betont, handelt es sich bei Gesundheitsdaten um besonders sensible und schutzbedürftige Daten. Daher ist die Verarbeitung grundsätzlich verboten, d.h. für die Verarbeitung derartiger Daten muss ein Erlaubnistatbestand vorliegen, welcher entsprechend ErwGr. 52 DS-GVO angemessene Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte aufweisen muss. Im Rahmen von klinischen Studien stellt i.d.R. die Einwilligung der betroffenen Personen die Rechtsgrundlage für die Verarbeitung dar, jedoch bedingen die Vorgaben der DS-GVO, dass für eine rechtlich gültige Einwilligung gemäß den Anforderungen von ErwGr. 51 DS-GVO auch entsprechend angemessene Schutzmaßnahmen zur Verarbeitung dieser sensiblen Daten vorhanden sind. 

Welche Daten werden erhoben?

Videoaufnahmen der endoskopischen Untersuchung

Das Studienvorhaben setzt die vollständige Aufnahme von endoskopischen Untersuchungen, d.h. beginnend unmittelbar vor Eintritt des Geräts in den Körper und endend unmittelbar nach Austritt aus dem Körper, voraus. Da dies auch kurze Aufnahme der Analregion bedeutet, erachten wir die Daten als höchst sensibel.

Laut ErwGr. 51 DS-GVO Abs. 3 sind Lichtbilder nicht grundsätzlich als personenbezogene Daten zu werten:

Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. 

Um die Identifikation des Probanden anhand des Videos zu verhindern, werden folgende Maßnahmen im Studienzentrum getroffen:

1. Name und Geburtsdatum werden geschwärzt

2. Das Untersuchungsdatum wird geschwärzt

3. Nicht benötigte Video-Abschnitte werden entfernt oder geschwärzt

   1. Die benötigten Video Abschnitte beginnen unmittelbar vor Eintritt des Geräts in den Körper und enden unmittelbar nach Austritt aus dem Körper

   2. Aufnahmen vor und nach der Untersuchung werden entfernt

   3. Aufnahmen außerhalb des Körpers während einer Untersuchung, z.B. zur Bergung eines Polypen, werden geschwärzt

4. Das originale Videomaterial wird unmittelbar nach der Verarbeitung gelöscht

5. Das verarbeitete Videomaterial wird anschließend nur noch in der zentralen Datenbank unter Supervision von Herrn Dr. Lux gespeichert.  

Letztlich lässt sich das Risiko der Zuordnung zum Patienten allerdings nur minimieren - niemals jedoch ausschließen. In folgenden Szenarien ist eine Identifikation des Probanden anhand des Videos, zumindest theoretisch für einen sehr eingeschränkten Personenkreis, möglich:

1. Das in die Behandlung vor Ort involvierte medizinische Personal könnte - sofern die Untersuchung sehr einprägsam war - Stellen wiedererkennen.

   1. Zur Minimierung dieses Risikos werden die Videos zentral gespeichert. Somit hat Personal der externen Zentren nach der Pseudonymisierung keinen Zugriff auf die Videos.

   2. Eine Ausnahme bilden klinisch und forschend tätige Ärztinnen und Ärzte des Universitätsklinikums Würzburg

2. Personen im Besitz des Originalen, nicht pseudonymisierten Untersuchungsbefundes können die darin enthaltenen Einzelbilder im Video erkennen.

   1. Da diese Form der Zuordnung den Besitz hochsensibler medizinischer Daten sowie eine sehr aufwändige Frame-by-Frame Analyse des richtigen Videos erfordert sind das Risiko sowie die Menge an Zusatz-Informationen gering

3. Trotz höchster Standards unseres Pseudonymisierungs-Prozesses können hier Fehler passieren.

   1. Die Informationen werden unmittelbar entfernt.

   2. Das entsprechende Studienzentrum wird über den Vorfall informiert. Dieses informiert dann den Patienten über den genauen Sachverhalt.

Wie wird meine Privatsphäre geschützt?

Alle erhobenen Daten werden vor Ort pseudonymisiert und anschließend an die zentrale Datenbank der Universitätsklinik Würzburg übertragen. Hier wird, unter Nutzung von Hochleistungscomputern, erneut und automatisch geprüft ob sich patientenidentifizierende Merkmale im Datensatz befinden. Sollte dies der Fall sein erfolgt die automatische Löschung in der zentralen Datenbank. Zeitgleich erhält das Studienzentrum eine Benachrichtigung, dass die Übertragung fehlgeschlagen ist. Nach erneuter Prüfung auf sensible Inhalte kann der Datensatz übertragen werden.

Was geschieht nach Ende des Projekts mit meinen Daten?

Im Rahmen der Aufklärung stehen Ihnen die folgenden Optionen zur Verfügung:

1. Löschung aller personenbezogenen Daten nach Projektende. Es verbleiben nur strukturierte Zusammenfassungen der Untersuchungsberichte. Videos und Bilder von endoskopischen Eingriffen werden gelöscht, da

   1.  eine Anonymisierung in der Praxis, laut DS-GVO aber nicht in der Theorie, möglich ist. Das primäre Risiko bestünde darin, dass Personen mit Zugriff auf Bilder Ihrer Untersuchung (z.B. Ihr behandelnder Gastroenterologe oder Hausarzt) das "praktisch Anonymisierte" Video wiedererkennen könnte. Risiko und Konsequenz dieser Möglichkeit sind unserer Meinung nach zu vernachlässigen, dennoch halten wir uns natürlich streng and die Vorgaben der DS-GVO. 

2. Verbleib der, vorbehaltlich Personen mit Zugriff auf die originalen Dokumente, "anonymisierten" Daten in unserer Datenbank. Zusätzlich:

   1. Keine Veröffentlichung der Videos zu wissenschaftlichen Zwecken

   2. Veröffentlichung der Videos zu wissenschaftlichen Zwecken erlaubt