Archiv


Lücken im System

Medizin.- Weltweit existieren riesige Datenbanken, die klinische Informationen über Probanden, Angestellte und Straftäter enthalten, etwa Krankheiten, ethnische Herkunft, Haar-, Haut- und Augenfarbe. Die Daten sind kodiert und damit anonymisiert. Doch lassen sich durch die Kombination von Datenbanken die darin enthalten Personen reidentifizieren?

Von Michael Stang |
    Vor knapp zwei Jahren sorgte eine Studie im Fachblatt PLoS Genetics für Aufregung. Der US-amerikanische Genetiker Nils Homer hatte mithilfe statistischer Methoden gezeigt, dass er Rückschlüsse auf Teilnehmer sogenannter genomassoziierter Studien machen konnte, deren persönliche Daten anonymisiert worden waren. Die Veröffentlichung machte unter dem Namen "Homer-Attacke" die Runde, sagt Bradley Malin von der Vanderbilt Universität in Nashville, Tennessee.

    "Es war eine Lücke im System, die anfangs niemand bemerkt hatte. Da wurde vielen erstmals bewusst, dass es sich beim Datenschutz immer um eine Art Katz-und-Maus-Spiel handelt. Ein System, das Daten kodieren soll, funktioniert immer wunderbar - bis jemand kommt und eine Schwachstelle entdeckt. Dann muss man das System unter die Lupe nehmen und den Fehler analysieren."

    Klinische Daten existieren zum einen als biologische Proben, also etwa Blut oder Speichel, die tiefgefroren archiviert werden. Zum anderen befinden sich deren Analysen in einem elektronischen medizinischen System, einer Datenbank. Bei Veröffentlichungen dieser Daten werden nicht nur die Studienergebnisse präsentiert, sondern auch noch Zusatzmaterial, also die Anzahl der Teilnehmer, das Geschlechterverhältnis, Alter der Probanden und so weiter. Je mehr Daten veröffentlicht werden, desto mehr Zugriff haben Außenstehende auf diese sensiblen Daten. Sie sollen jedoch keine Möglichkeit haben, auf tatsächliche Studienteilnehmer schließen zu können. Die Publikation einer Studie ist also ein datenschutztechnischer Drahtseilakt. Auf der einen Seite müssen die Ergebnisse empirisch belegt sein, auf der anderen Seite müssen die persönlichen Daten der Probanden geschützt werden. Aber auch zwei Jahre nach der Homer-Attacke und nachträglich eingeführten Sicherungssystemen konnte Bioinformatiker Bradley Malin Informationen über anonyme Studienteilnehmer rekonstruieren.

    "Bei den meisten Studien haben wir uns einfach nur die Zusatzinformationen der Studie angeschaut: wo wurde die Studie durchgeführt, wie viele Teilnehmer gab es, wie alt waren sie und woher stammen die Leute? Wenn man diese Daten kombiniert und Zugang zu den genetischen Datenbanken hat, kann man den Personenkreis relativ leicht einengen."

    Damit seien sie zwar nicht in der Lage, Teilnehmer aus einer Studie exakt zu identifizieren, jedoch könne man die Kandidaten auf einen kleinen Personenkreis eingrenzen. Einen Lösungsvorschlag, um Daten sicher zu machen, gebe es bereits. Für jede Einsicht in Studiendaten muss eine separate Kontrolle erfolgen, damit sichergestellt wird, wer mit den Daten arbeiten darf und wer nicht. Dadurch werde auch die Kombination verschiedener Studien erschwert. Je engmaschiger das Netz, desto sicherer, versichert Bradley Malin. Erste Änderungen beim Zugang zu den Datenbanken in der Vanderbilt Universität hätten gezeigt, dass eine Re-Identifizierung von Probanden kaum noch möglich ist. Standards variieren jedoch von Universität zu Universität und werden nicht einheitlich gehandhabt.

    "Ich denke, dass die Politik immer langsamer als die Technologie ist. Effektive Schutzsysteme sind noch in ihrer Entwicklung. Verschiedene Arbeitsgruppen forschen an Systemen, wer sich wie akkreditieren muss, um Einsicht in bestimmte Daten zu bekommen, damit der Datenschutz tatsächlich gewahrt werden kann. Ob und wie diese Systeme auch wirklich umgesetzt werden, das steht auf einem anderen Blatt."

    Bis dahin müssten wohl weitere Projekte folgen, bei denen Lücken im System aufgedeckt und die Politik zum Handeln gezwungen wird, resümiert Bradley Malin. Der anonyme Studienteilnehmer ist also noch nicht in Sicht.