– 43 –
4.1.1.2 Pseudonymisierung von Sozialversichertendaten mit einem
Höchstmaß an Sicherheit
Aufgrund rechtlicher Vorgaben im SGB V müssen die
Spitzenverbände der Krankenkassen und die Kassenärztliche Bundesvereinigung eine Vertrauensstelle und eine
Datenaufbereitungsstelle einrichten und die übermittelten
Leistungs- und Abrechnungsdaten pseudonymisieren.
Das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG)
enthält auch Vorschriften zur Pseudonymisierung der Leistungs- und Abrechnungsdaten (§§ 303a, 303c SGB V).
Um dem Transparenzgebot Rechnung zu tragen und zugleich den Datenschutz zu gewährleisten, muss technisch
sichergestellt werden, dass aus den Daten nicht auf die
Identität des einzelnen Versicherten geschlossen werden
kann. Hierzu soll in Zusammenarbeit mit dem BSI ein
Verfahren entwickelt werden, das auch datenschutzrechtlichen Anforderungen Rechnung trägt: Die Daten sollen
unter einem Pseudonym gespeichert werden. Das Pseudonymisierungsverfahren ist so zu gestalten, dass die Abrechnungs- und Leistungsdaten für alle Leistungsbereiche
dem nicht namentlich gespeicherten Versicherten und
dem Leistungserbringer periodenübergreifend zugerechnet werden können. Ferner muss das Pseudonym für den
Versicherten Angaben zum Geburtsjahr, Geschlecht, Versichertenstatus sowie die ersten beiden Ziffern der Postleitzahl und für den Leistungserbringer Angaben zur Art
des Leistungserbringers, Spezialisierung sowie ebenfalls
die ersten beiden Ziffern der Postleitzahl enthalten.
Wie die ersten Gespräche ergaben, sollte die Erzeugung
eines Pseudonyms auf dem Verfahren zur Erzeugung einer einheitlichen Krankenversichertennummer aufbauen
(vgl. hierzu Nr. 17.1.3). Hier wie dort ergab sich aus datenschutzrechtlicher Sicht das Problem der eindeutigen
Zuordnung der Daten zu einem Versicherten, die zwangsläufig mit der Erhebung eines umfangreichen Datenkranzes eines jeden Versicherten verbunden wäre. Um trotzdem mit möglichst wenig Daten auskommen zu können,
habe ich darauf gedrungen, dass die einheitliche Krankenversichertennummer in das neu zu entwickelnde Verfahren einfließt.
Die Gespräche zur Entwicklung des Verfahrens sind noch
nicht abgeschlossen. Meine Position habe ich den Beteiligten wie folgt dargelegt: Auf der Basis der einheitlichen
dublettenfreien Krankenversichertennummer, ergänzt um
die im Gesetz genannten weiteren Daten für den Versicherten und den Leistungserbringern sollte ein Verfahren
entwickelt werden, das ein Pseudonym erzeugt, das eindeutig ist und eine Reidentifizierung nicht ermöglicht –
entsprechend der einheitlichen Krankenversichertennummer (vgl. Nr. 17.1.3) mit einer Hash-Funktion und einem
Verschlüsselungsalgorithmus.
Weiterhin müssen beide Verfahren in der Vertrauensstelle
technisch, organisatorisch und personell strikt getrennt
voneinander eingerichtet werden. Die Trennung der pseudonymisierten Daten von den Leistungs- und Abrechnungsdaten muss ebenfalls sichergestellt werden. Eine
Weiterleitung der Daten an die Datenaufbereitungsstelle
darf nur unter der Verwendung des Pseudonyms erfolgen.
Nach der Übermittlung der pseudonymisierten Daten an
die Datenaufbereitungsstelle sind die Daten bei der Vertrauensstelle unverzüglich zu löschen.
Die Wahl des Pseudonymisierungsverfahrens muss in
Abhängigkeit vom Zweck der Datenauswertung getroffen
werden. So muss beispielsweise bei Langzeitbeobachtungen trotz Veränderung von personenidentifizierenden Daten (z. B. Kassenwechsel, Namensänderung) sichergestellt sein, dass für die Betroffenen weiterhin dasselbe
Pseudonym erzeugt wird. Außerdem ist zu prüfen, ob
eine Depseudonymisierung, d. h. die nachträgliche Zuordnung der pseudonymisierten Daten zum Träger des
Pseudonyms, im Einzelfall möglich sein muss und mit
welchem Aufwand dies verbunden wäre. Aus Datenschutzsicht ist hier allerdings ein Einweg-Pseudonymisierungsverfahren zu bevorzugen, da hierbei eine Depseudonymisierung wesentlich aufwändiger und damit weniger
wahrscheinlich wäre. Die Sicherheit hängt beim EinwegPseudonym nicht nur vom „Geheimnis“ (Algorithmus,
Schlüssel, Zuordnungstabelle) ab, sondern außerdem von
sämtlichen der Pseudonymisierung zugrunde liegenden
Personendaten von allen in die Auswertung einbezogenen
Personen und der Anzahl der pseudonymisierenden Stellen. Je mehr Stellen Kenntnis desselben Algorithmus und
Schlüssels haben, um so angreifbarer wird das Verfahren.
Deshalb halte ich das Konzept einer Vertrauensstelle zur
Erzeugung und Pflege des pseudonymisierten Datenbestands für sinnvoll.
Die Gefahr der Depseudonymisierung aufgrund von Alleinstellungsmerkmalen einzelner Personen, etwa das Zusammentreffen einer sehr seltenen Krankheit mit weiteren
Merkmalen, die nur in geringer Häufigkeit auftreten, ist
letztlich nur zu vermeiden, wenn derartige Kombinationen bei Auswertungen mit anderen Fallgruppen zusammengefasst und nicht einzeln verwendet werden.
Darüber hinaus ist ein Verfahren zu entwickeln wie mit
Pseudonymen umgegangen wird, die durch Sicherheitslücken oder andere Mängel aufgedeckt und ihren Trägern
zugeordnet wurden.
4.1.1.3 Personalbefragung, immer anonym
oder zumindest pseudonym!
Mitarbeiterbefragungen werden neuerdings auch mit
Hilfe der Informationstechnik durchgeführt. Die Anonymität oder zumindest Pseudonymität müssen auch bei
elektronischen Erhebungen gewährleistet werden.
Immer wieder werde ich um Beratung zu einer „Online“Mitarbeiterbefragung gebeten, verbunden mit der Bitte,
die dabei zu beachtenden technischen und organisatorischen Voraussetzungen zu benennen (zu den rechtlichen
Voraussetzungen vgl. Nr. 10.2.4). Grundsätzlich sind bei
einer Befragung die freiwillige Teilnahme und die Anonymität der Befragten zu wahren.
Wird aus wirtschaftlichen oder organisatorischen Gründen die Erhebung und Auswertung mit Hilfe der Informationstechnik durchgeführt, müssen sich diese Grundsätze
BfD
20. Tätigkeitsbericht
2003–2004