Kurzgutachten über das Auditverfahren gemäß 43 Abs. 2 LDSG

Transkript

1 Kurzgutachten über das Auditverfahren gemäß 43 Abs. 2 LDSG Konzept des GENOMatch-Systems für die Unterstützung der pharmakogenetischen Forschung der Fa. Schering AG, vorgelegt und vertreten von der AG Kommunikationssysteme des Instituts für Informatik der Christian-Albrechts-Universität zu Kiel, Prof. Dr.-Ing. Norbert Luttenberger

2 - 2 - I. Gegenstand des Datenschutzaudits Gegenstand dieses Datenschutzaudits ist ein Datenschutzkonzept, das die Firma Schering AG in Zusammenarbeit mit der AG Kommunikationssysteme des Instituts für Informatik der Christian-Albrechts-Universität zu Kiel (CAU), Prof. Norbert Luttenberger, erstellt hat, und das von der AG Kommunikationssystem dem ULD zur Auditierung vorgelegt worden ist. Dieses Datenschutzkonzept bezieht sich auf eine Erweiterung der technisch-organisatorischen Logistik- Infrastruktur, die die Schering AG zur Durchführung pharmakogenetischer Studien aufgebaut hat, und die hier in Referenz auf das zugehörige Projekt als GENOMatch-System bezeichnet wird. Im Rahmen der Pharmakogenetik werden Blut- bzw. Gewebeproben von Probanden daraufhin untersucht, welche Zusammenhänge es zwischen bestimmten genetischen Informationen und der Wirkungsweise von Arzneimitteln gibt. Bei den pharmakogenetischen Studien handelt es sich um Substudien zu klinischen Studien. Dabei werden genetische Daten aus Blut- oder Gewebeproben der Teilnehmer gewonnen und mit den im Rahmen der klinischen Studie gewonnenen medizinischen Daten der Teilnehmer abgeglichen. Das o.a. GENOMatch-Projekt hat die Aufgabe, die für pharmakogenetische Studien benötigte technisch-organisatorische Infrastruktur aufzubauen und zu betreiben. Insbesondere soll das GENOMatch-Projekt auch die in diesem Umfeld erforderlichen Datenschutzmaßnahmen umfassen. Das Projekt unterteilt sich in drei Abschnitte. Die Projektaufteilung von GENOMatch gestaltet sich wie folgt: Teil 1: Aufbau einer pharmakogenetischen Biobank, d.h. die Sammlung und das Management von Blut- und Gewebeproben -sog. sample & save-phase. Teil 2: Generierung und sichere Speicherung von pseudonymisierten genetischen und klinischen Daten. Teil 3: Unterstützung für die statistische Analyse der Daten, d.h. Datamatching von klinischen und genetischen Daten (Erzeugung von aggregierten Daten) im Rahmen von pharmakogenetischen Studien. Teil 1 ist Gegenstand des am 24. Juni 2003 unter der Registernummer 03/2003 verliehenen Audits. Mit dem vorliegenden Datenschutzaudit wird der 1. Teil des Konzepts reauditiert und das Audit gleichzeitig erweitert um den zweiten und dritten Teil des GENOMatch-Projektes. Im Einzelnen beinhaltet das vorliegende Audit neben den bereits auditierten Bestandteilen die Funktionen des GE- NOMatch-Systems zur - Zusammenführung von klinischen und genetischen Daten - Information von Studienteilnehmern über ihre individuelle genetische Konstitution

3 Anonymisierung von genetischen Proben zur Weitergabe an Dritte (Dritte können auch Mitarbeiter der Firma Schering sein, die nicht in der Secure Data Area arbeiten) - Unterstützung der Prüfung des Rekrutierungsstatus und der Kosten einzelner Studien. II. Gegenstand der Begutachtung Gegenstand der Begutachtung im Rahmen des Auditverfahrens ist das von der CAU vorgelegte und vertretene Konzept für die Erweiterung des GENOMatch- Systems zur Unterstützung der pharmakogenetischen Forschung der Schering AG. Im Rahmen der Reauditierung wird außerdem der erste Teil des Konzepts einer erneuten Prüfung unterzogen. Das Konzept für die Erweiterung des GENOMatch-Systems ist in der Fassung vom 2. November 2005 dem ULD zur Begutachtung vorgelegt worden. Dieses Konzept basiert auf dem Konzept der CAU vom 8. Mai 2003 für eine Gestaltung des Verfahrens zur pseudonymisierten Speicherung von Blut- und / oder Gewebeproben. Die darin festgelegten Grundlagen gelten auch für das vorliegende Datenschutzaudit. Hinsichtlich des ersten Teils des GENOMatch-Systems liegt eine Stellungnahme vom 18. Januar 2006 vor, derzufolge nach Verleihung des Audits am 24. Juni 2003 keine Veränderungen an dem Konzept vorgenommen wurden. Auf das Konzept vom 8. Mai 2003 sowie das Kurzgutachten des ULD vom 24. Juni 2003 wird in vollem Umfang Bezug genommen. III. Rechtliche Bewertung des ersten Teils des GENOMatch-Systems Der erste Teil des GENOMatch-Systems ist am 24. Juni 2003 vom ULD auditiert worden und hat seitdem keine Änderungen erfahren. Die Rechtslage und der Stand der Technik, die der Bewertung durch das ULD im Jahr 2003 zu Grunde gelegt wurden, haben sich ebenfalls nicht verändert. Das am 24. Juni 2003 verliehene Audit kann daher ohne Änderungen für weitere 3 Jahre verlängert werden. IV. Rechtliche Bewertung des Konzepts zur Erweiterung des GENO- Match-Systems Im Folgenden werden für jede Funktion des GENOMatch-Systems zunächst die Datenschutzziele beschrieben (a), von denen das Konzept ausgeht. Sodann wird erläutert, wie hiernach das Verfahren gestaltet wird, um diese Ziele zu erreichen

4 - 4 - (b). Im Anschluss wird die datenschutzrechtliche Zulässigkeit des beschriebenen Verfahrens geprüft (c). 1. Zusammenführung genetischer und klinischer Daten a) Datenschutzziele Die Zusammenführung von genetischen und klinischen Daten soll nach dem Konzept so erfolgen, dass die mit der Pseudonymisierung der Daten verfolgten Ziele nicht beeinträchtigt werden. Das Konzept geht von einem sehr hohen Schutzbedarf genetischer Daten aus. Da ein Personenbezug der Daten für die Zwecke der wissenschaftlichen Forschung nicht erforderlich ist, eine Anonymisierung jedoch aus anderen Gründen - insbesondere aufgrund der Widerrufsmöglichkeit und des Auskunftsrechts der Teilnehmer - nicht erfolgen soll, werden genetische und klinische Daten im Rahmen der pharmakogenetischen Analyse ausschließlich in pseudonymisierter Form verwendet. Dabei kommen verschiedene Pseudonyme zum Einsatz: Im Rahmen von klinischen Studien werden die dort erhobenen klinischen Daten durch Studien- und Patientennummern gekennzeichnet (SN und PN). Ebenso werden Blut- und Gewebeproben bei der Spende, die im klinischen Bereich erfolgt, zunächst mit diesen Nummern gekennzeichnet. Bei der Einlagerung der Proben in die GE- NOMatch-Biobank ( sample & save Verfahren, Teil 1 des GENOMatch- Projektes) werden diese Pseudonyme in zwei Schritten von verschiedenen Akteuren (Probenregistrar, Probencode-Tauscher) durch andere Pseudonyme in Form von Barcodes ersetzt. Diese werden in Konzept und Gutachten mit BC, gefolgt von einem Index, bezeichnet. Die Proben und die dazugehörigen genetischen Daten werden nach zweifacher Pseudonymisierung mit Hilfe von Pseudonymen verwaltet, die als BC2 bezeichnet werden. Bei der Erzeugung genetischer Daten aus einer Probe wird der BC2 der Probe auch zur Referenzierung der gewonnenen genetischen Daten genutzt. Es ist möglich, dass im Rahmen einer Studie mehrere Blut- oder Gewebeproben einer Person untersucht werden. Alle Proben, die von einer Person kommen, bzw. alle zugehörigen Barcodes BC2 werden unter einer sog. Sample Group Number (SGN) zusammengefasst. Zwischen der SGN und den Pseudonymen für Proben gibt es daher eine 1:n-Beziehung. Einer Gruppe von Pseudonymen BC2 lässt sich nicht ansehen, ob sie zu verschiedenen Personen oder zu einer Person gehören. Die Speicherung der Zuordnung zwischen den Pseudonymen erfolgt in einer externen Datenbank, dem sog. SIM-Center (Secure Identifier Management Center). Betreiber dieser zentralen Datenbank, auf die die Akteure mittels eines Webbrowsers zugreifen, ist der öffentliche Dienstleister dataport. Die Funktionsweise des SIM-Center war bereits Gegenstand des 1. Teils des Konzeptes. Die klinischen Daten, die per (SN, PN) identifiziert werden (bedingt durch ihre Herkunft aus einer klinischen Super-Studie ), müssen zur Durchführung der

5 - 5 - pharmakogenetischen Forschung mit den Pseudonymen auf den Probenröhrchen (BC2-Barcodes) verknüpft werden, damit klinische und genetische Daten einander zugeordnet werden können. Damit in diesem Schritt nicht eine ungewollte Wieder-Zuordnung der genetischen Daten zu der Patientennummer eines Probenspenders erfolgen kann, werden die im folgenden zu beschreibenden Verfahrensschritte angewendet. Während der Durchführung pharmakogenetischer Forschungsarbeiten erfolgt die Speicherung klinischer und genetischer Daten in einem so genannten Sicheren Datenbereich (Secure Data Area, SDA). Gegenstand der folgenden Beschreibung ist der Austausch und die Ergänzung der Pseudonyme (SN, PN) in den Daten aus dem klinischen Bereich durch die SGN und die Zuordnung von Barcodes, die bei der Lagerung der Proben und der Datenanalyse verwendet werden. Um eine höchstmögliche Sicherheit zu erreichen, soll das eingesetzte Pseudonymisierungsverfahren so gestaltet werden, dass - es niemandem alleine möglich ist, anhand des an einer Blut-/Gewebeprobe angebrachten Identifikators (Barcodes) oder des entsprechenden Gendatenidentifikators (SGN) die Studien- und Patientennummer (SN, PN) des Probenspenders zu ermitteln und - für alle an Forschungsvorhaben beteiligten Personen - mit Ausnahme des Klinischen Studienzentrums (Clinical Trial Site) maximal die Auflösung von Pseudonymen nur bis zur Studien- und Patientennummer möglich ist. Eine Auflösung des Patientennamens ist nicht möglich. Für das Verfahren der Zusammenführung klinischer und genetischer Daten werden die Datenschutzziele in Abschnitt 3.3 des Konzepts folgendermaßen spezifiziert: - Ein klinischer Datensatz (Clinical Data Record), der in einem pharmakogenetischen Forschungsprozess verwendet wird, darf keine Daten (z. B. Geburtstage, Initialen etc.) über den Probenspender enthalten, die eine Identifizierung der Person (ohne die Auflösung des Pseudonyms) erleichtern. - Es dürfen keine spenderbezogenen Pseudonyme (SN, PN) in den Sicheren Datenbereich (Secure Data Area) gelangen, in der die klinischen und genetischen Daten durch den pharmakogenetischen Biostatistikexperten wissenschaftlich untersucht werden. - Niemandem darf es allein möglich sein, die Zuordnung zwischen dem Pseudonym (SN, PN), unter dem die Identitätsdaten der Teilnehmer sowie die klinischen Daten im Studienzentrum gespeichert sind, und den Pseudonymen SGN, BC2, unter denen im Sicheren Datenbereich die klinischen Daten und die genetischen Daten gespeichert sind, herzustellen.

6 - 6 - b) Verfahren Klinische Datensätze werden über die Studienzentren an die Schering AG übermittelt. Pharmakogenetische Studien werden allgemein als Substudien zu einer klinischen Studie durchgeführt. Für die pharmakogenetische Studie wird kein gesonderter Datensatz erhoben, sondern es wird hierfür der Datensatz aus der Hauptstudie verwendet. Die Schering AG erhält sämtliche klinischen Datensätze aus der Hauptstudie. Diese werden in einem ersten Schritt durch den Datenverwalter (Data Manager) für die pharmakogenetische Auswertung aufbereitet. Die klinischen Datensätze sind zum Zeitpunkt des Eingangs beim Datenverwalter mit dem Pseudonym (SN, PN) versehen. Außerdem enthalten sie die Initialen und das Geburtsdatum des Teilnehmers. Diese Angaben sollen nach dem Konzept nicht in den Sicheren Datenbereich gelangen und nicht in Zusammenhang mit den genetischen Daten der Studienteilnehmer gebracht werden können. Daher werden die klinischen Datensätze durch ein Filterprogramm, den Match Filter (mit den Komponenten MF1 und MF2), um diese Angaben bereinigt. Im Einzelnen erfolgt dies in zwei Schritten: Im ersten Schritt sendet der Match Filter 1 alle (SN, PN)-Pseudonyme an das SIM-Center. Das SIM-Center ergänzt die Pseudonyme um ein weiteres Pseudonym, eine sog. Match-ID (MID) und sendet diese Pseudonyme (SN, PN, MID) an den Match Filter 1 zurück. Im zweiten Schritt ersetzt der Match Filter 1 die in den klinischen Datensätzen enthaltenen Pseudonyme (SN, PN) durch die Match-ID (MID), entfernt die Initialen des Teilnehmers und ersetzt das Geburtsdatum durch das Geburtsjahr. Die so neu pseudonymisierten und bereinigten klinischen Datensätze werden auf CD gebrannt und in den Sicheren Datenbereich an den pharmakogenetischen Biostatistikexperten (Pharmacogenetic Biostatistical Expert, PBE) übergeben. Im Sicheren Datenbereich werden die eingegangenen klinischen Datensätze durch den Match Filter 2 weiter bearbeitet. Der Match Filter 2 übersendet alle MIDs an das SIM-Center und erhält vom SIM-Center für jede vorhandene genetische Probe die Pseudonyme (MID, SGN, BC2). Im Anschluss werden in den klinischen Datensätzen die MIDs durch die SGN ersetzt und gleichzeitig eine Datei angelegt, die die Zuordnung der SGN zu den dazu vorhandenen mit dem BC2 versehenen Proben bzw. genetischen Daten enthält. c) Datenschutzrechtliche Zulässigkeit des Verfahrens Die datenschutzrechtliche Zulässigkeit des grundlegenden Verfahrens der Probengewinnung sowie Lagerung der Proben wurde auf der Grundlage des Konzepts vom 8. Mai 2003 bereits im Datenschutzaudit Nr. 03/2003 vom 24. Juni

7 untersucht. Auf das Ergebnis der rechtlichen Bewertung wird in vollem Umfang Bezug genommen. Die Zulässigkeit der Durchführung von pharmakogenetischen Studien und der Speicherung von hierfür genutzten Gewebeproben basiert auf der informierten Einwilligung der Betroffenen. Das Verfahren der Einholung der Einwilligung ist nicht Gegenstand des vorliegenden Audits. Dieses bezieht sich auf die datenschutzgerechte weitere Verarbeitung nach zulässiger Erhebung durch das Klinische Studienzentrum. Hierbei ist zu beachten, dass Gewebeproben und genetische Daten für wissenschaftliche Studienzwecke als Patientengeheimnisse zu behandeln sind ( 203 StGB, 9 MBO-ÄK) und dass es sich hierbei um Angaben über die Gesundheit und damit um besondere Arten personenbezogener Daten nach 3 Abs. 9 BDSG handelt. Nach 28 Abs. 6 BDSG ist die Verarbeitung solcher Daten im Rahmen der Einwilligung nach 4a Abs. 3 BDSG zulässig. Erhalten andere als in 203 Abs. 1 u. 3 StGB genannte Personen zulässig Kenntnis von Gesundheitsdaten, so sind diese nach 28 Abs. 7 S. 3 BDSG zur Beachtung der selben materiellen Regelungen, wie sie für einen Arzt gelten, verpflichtet. Zur Durchführung der pharmakogenetischen Substudie werden ausschließlich pseudonyme Daten verwendet. Die Möglichkeit einer Zuordnung der klinischen und insbesondere der genetischen Daten zu der Person des Teilnehmers über eine Auflösung der Pseudonyme soll durch das Konzept verhindert werden. Ob dies gewährleistet ist, hängt von der Gestaltung des Pseudonymisierungsprozesses ab. Hier sind die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um eine Identifizierung des Studienteilnehmers zu verhindern. Eine entsprechende Pflicht ergibt sich aus 9 BDSG. Danach sind von der verantwortlichen Stelle sowie von Stellen, die Daten im Auftrag verarbeiten, die technisch-organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die gesetzlichen Anforderungen sowie die im Anhang dieser Vorschrift genannten Ziele zu erreichen. Zu den Zielen gehört es, den Zugriff von Unbefugten auf die personenbezogenen Daten zu unterbinden sowie die Authentizität und die Verfügbarkeit dieser Daten zu gewährleisten (Nrn. 1, 3, 5 u. 7 Anlage zu 9 S. 1 BDSG). Nach 3a BDSG ist die Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten (Grundsatz der Datensparsamkeit und Datenvermeidung). Insbesondere ist von der Möglichkeit der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Diese Regelungen des BDSG genügen den rechtlichen Anforderungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Europäische Datenschutzrichtlinie EU-

8 - 8 - DSRL, insbes. Art. Art. 2 lit. h), Art. 8 Abs. 1, Art. 17 EU-DSRL). Sie gehen hierüber in 3a BDSG hinaus. Art. 14 der überarbeiteten Rahmenrichtlinien zu der Internationalen Erklärung zu humangenetischen Daten des Internationalen Bioethik-Komitees der UNESCO sieht vor, dass für wissenschaftliche Zwecke erfasste humangenetische Daten von einer identifizierbaren Person getrennt werden müssen. Ist die Trennung aufhebbar, so müssen Vorkehrungen getroffen werden, um die Vertraulichkeit der Daten sicherzustellen. Das in dem Konzept vorgesehene zweistufige Verfahren für die Zusammenführung klinischer und genetischer Daten gewährleistet die Umsetzung der Anforderungen der 3a, 9 BDSG bzw. der o.g. Rahmenrichtlinien. Es berücksichtigt die hohe Sensibilität und Schutzwürdigkeit der gespeicherten Gewebeproben bzw. der klinischen und genetischen Daten. Die doppelte Pseudonymisierung, die der gesamten Verwaltung der Proben zu Grunde liegt, setzt sich bei der Zusammenführung von klinischen und genetischen Daten fort. Es ist einer beteiligten Stelle auch bei Verstoß gegen Vorschriften oder interne Regeln nicht möglich, das Pseudonym so aufzulösen, dass die Identität der Person bekannt wird. Hierfür bedarf es des Zusammenwirkens zweier unterschiedlicher Stellen. 2. Information von Studienteilnehmern über ihre individuelle genetische Konstitution a) Datenschutzziele Das Konzept geht davon aus, dass eine Auskunft über individuelle genetische Veranlagungen an die Teilnehmer der pharmakogenetischen Studie möglich sein soll. Zum Einen soll damit dem datenschutzrechtlichen Auskunftsrecht des Betroffenen Rechnung getragen werden. Zum Anderen ist die Schering AG bestrebt, bei Auftreten relevanter Studienergebnisse (d.h. bei signifikanten Ergebnissen und ernsthaften gesundheitlichen Risiken) die Teilnehmer hierüber zu informieren. Ein solcher Benachrichtigungsanlass besteht nach dem Konzept, wenn sich in der Studie ein statistischer Zusammenhang zwischen einer bestimmten genetischen Konstitution und Krankheitsveranlagungen herausstellt. In jedem Falle wird in diese Entscheidung ein unabhängiges Beratergremium (Pharmacogenetic Advisory Board) mit einbezogen. Betroffene, deren DNA in dieser Studie untersucht wurde und die somit zu dem statistischen Ergebnis beigetragen haben, sollen nach dem Konzept die Möglichkeit haben, auf Wunsch ihre individuelle genetische Veranlagung zu erfahren. Ein solches Feedback über die individuelle genetische Konstitution erfordert eine Verknüpfung der jeweiligen genetischen Daten mit der Person des auskunftsbegehrenden Teilnehmers. Ziel des Konzepts ist, diesen Feedbackprozess so zu gestalten, dass diese Verknüpfung von genetischen Daten und Identitätsdaten nur

9 - 9 - denjenigen Personen möglich ist, für deren Aufgabe diese Kenntnis erforderlich ist. Nach dem Konzept wird in den Feedbackprozess ein Arzt eingebunden, der die individuellen genetischen Daten dem Teilnehmer eröffnet. Es ist grundsätzlich nicht vorgesehen, dass ein Teilnehmer für sich allein Auskunft über die genetischen Daten erhält (falls ein Teilnehmer hierauf besteht und die Gesetzgebung des entsprechenden Landes dies vorsieht, soll dies aber ermöglicht werden können). Der Arzt soll eine medizinische Beratung sowie eine Betreuung des Teilnehmers bei der Benachrichtigung über die individuellen genetischen Daten sicherstellen. Welcher Arzt diese Funktion wahrnimmt, kann der Teilnehmer selbst bestimmen. Er kann entweder den Studienarzt oder einen anderen Arzt seines Vertrauens mit der Benachrichtigung über die genetischen Daten beauftragen. Im Einzelnen verfolgt das Konzept für den Feedbackprozess folgende Datenschutzziele: - Außer dem Teilnehmer und dessen Vertrauensarzt kann keine andere Person Zugang zu den personenbezogenen genetischen Daten des Teilnehmers erhalten. - Teilnehmer und Vertrauensarzt können nur gemeinsam Zugang zu den individuellen genetischen Daten erhalten, keiner von beiden kann allein die Daten zur Kenntnis nehmen. - Nur ein nachweisbar vom Teilnehmer dazu berechtigter Vertrauensarzt kann einen individuellen Feedbackprozess in Gang setzen. - Die GENOMatch-Biobank und der pharmakogenetische Biostatistikexperte der Schering AG nehmen vor der Übermittlung individueller genetischer Daten eine Validierung der genetischen Daten des anfragenden Patienten vor, ohne dabei Kenntnis von der Person des Teilnehmers erlangen zu können. - Der pharmakogenetische Biostatistikexperte der Schering AG erstellt den individuellen Feedback-Bericht für den Teilnehmer, ohne dabei Kenntnis von der Person des Teilnehmers oder seiner Patientennummer zu erlangen. b) Verfahren Sobald berichtenswerte Ergebnisse in einer pharmakogenetischen Studie auftreten, erstellt der pharmakogenetische Biostatistikexperte einen allgemeinen Bericht über das entsprechende Ergebnis, der mit der Studiennummer (SN) versehen ist. Diesen Bericht übersendet der Biostatistikexperte an das Feedback Handling Center. Diese Einrichtung sowie die Rolle des dort verantwortlichen Feedback Handler ist für den Feedbackprozess neu eingerichtet worden.

10 Um die Teilnehmer an der Studie herauszufinden, fragt der Feedback Handler beim SIM-Center die zu der Studiennummer vorhandenen Patientennummern ab. Das SIM-Center übermittelt eine Liste der (SN, PN), die zusätzlich mit einer Feedback-Nummer (FN) gekennzeichnet sind. Dabei übermittelt das SIM-Center die Patientennummern nur unter folgenden Voraussetzungen: - Die vom Teilnehmer abgegebene Probe wurde tatsächlich untersucht und in die Studie einbezogen. - Der Teilnehmer hat in seiner Einwilligung für die Teilnahme an der pharmakogenetischen Studie angegeben, dass er grundsätzlich an einem individuellen Feedback über die Studienergebnisse Interesse hat. Das allgemeine Studienergebnis wird anschließend durch den Feedback Handler an das Studienzentrum versendet, um von dort aus an die Teilnehmer weiterverteilt zu werden, die die genannten Kriterien erfüllen. Gleichzeitig übersendet der Feedback Handler für jeden Teilnehmer dem Studienzentrum ein Formular für eine zweite Teilnehmereinwilligung und einen versiegelten Brief, der mit den Pseudonymen PN und BC4 gekennzeichnet ist und einen Schlüssel K1 enthält. Die Schlüssel K1 sowie die zugehörigen Pseudonyme BC4 fordert der Feedback Handler zuvor beim SIM-Center auf Vorrat an. Sie werden in Form verschlossener Briefe geliefert, die jeweils einen Schlüssel K1 enthalten und auf der Außenseite mit einem Pseudonym BC4 gekennzeichnet sind. Der Feedback Handler ordnet jedem Umschlag eine PN zu und übersendet die Zuordnung PN zu BC4 darauf an das SIM-Center. Das Studienzentrum nimmt nach Erhalt der Patientennummern Kontakt zu den Teilnehmern auf. Die Teilnehmer erhalten vom Studienzentrum das allgemeine Studienergebnis. Studienteilnehmer, die die o.g. Kriterien nicht erfüllen, werden im Feedbackprozess nicht benachrichtigt. Ein Teilnehmer kann nach Erhalt des allgemeinen Studienergebnisses entscheiden, ob er seine individuellen genetischen Daten bekommen möchte. Ist dies der Fall, muss er hierzu eine Einwilligung erklären. Soll das Ergebnis nicht durch den Arzt im Studienzentrum, sondern einen vom Teilnehmer erwählten Arzt bekanntgegeben werden, so erhält der Teilnehmer das Einwilligungsformular sowie den versiegelten Umschlag mit dem Schlüssel K1 zur Weitergabe an den Arzt seines Vertrauens oder die Unterlagen werden dem Arzt direkt vom Studienzentrum zugeleitet. Der Arzt übersendet seine Kontaktdaten, die vom Teilnehmer unterschriebene Einwilligung sowie den BC4 an den Feedback Handler. Durch die Einwilligung sowie die Kenntnis über den BC4 weist der Arzt gegenüber dem Feedback Handler seine Ermächtigung zur Durchführung des Feedbackprozesses nach. Der Schlüssel K1 verbleibt im Besitz des Arztes.

11 Der Feedback Handler sendet SN und PN des Teilnehmers sowie die Kontaktangaben des Arztes an das SIM-Center. Das SIM-Center übersendet daraufhin an den Proben-Registrar in der GENO- Match-Biobank einen Auftrag zur Probenvalidierung. Der Auftrag enthält die Pseudonyme SN, PN und FN sowie die Kontaktdaten des Arztes. Der Proben- Registrar fordert daraufhin beim SIM-Center einen Schlüssel K2 und ein zugehöriges Pseudonym BC3 an, der vom SIM-Center ähnlich wie der Schlüssel K1 in einem versiegelten Umschlag geliefert wird, der mit dem BC3 gekennzeichnet ist. Außerdem erhält der Proben-Registrar zwei mit dem BC3 versehene Aufkleber. Anschließend bereitet die Probenerfassung ein Probenröhrchen für die Validierungsprobe vor, das mit dem BC3 sowie mit SN und PN beklebt wird. Die Zuordnung des BC3 zu SN und PN meldet der Proben-Registrar an das SIM-Center. Das vorbereitete Probenröhrchen sowie der Schlüssel K2 im versiegelten Umschlag werden durch die Probenerfassung an den Arzt weitergeleitet. Der Arzt händigt dem Patienten den Schlüssel K2 aus und entnimmt anschließend eine Blut-/Gewebeprobe zur Validierung, die er an die GENOMatch-Biobank sendet. Bei Eingang der Probe beim Proben-Registrar der GENOMatch-Biobank beginnt der in Konzept vom 8. Mai 2003 beschriebene "sample and save" Prozess (wobei der BC3 die Rolle des dort beschrieben BC1 übernimmt). Am Ende des Prozesses erhält die Probe einen BC2, so dass sie von "normalen" Proben nicht unterscheidbar ist. Das SIM-Center, dem die Zuordnung des BC3 zu dem BC2 gemeldet wurde, sendet nun einen Auftrag zur Validierung der Probe an den pharmakogenetischen Biostatistikexperten. Dieser Auftrag enthält die Feedback Nummer, den BC2 und alle weiteren BC2, die zu dem Teilnehmer unter seiner SGN gespeichert sind. Daraufhin wird die DNA der Validierungsprobe analysiert und die Ergebnisse an den pharmakogenetischen Biostatistikexperten übergeben, so dass dieser die genetischen Daten der Validierungsprobe mit denen der anderen Probe(n) vergleichen kann. Stimmen die Proben überein, erstellt der Biostatistikexperte einen individuellen Bericht, den er mit beiden Schlüsseln K1 und K2 verschlüsselt und auf CD brennt. Die Schlüssel K1 und K2 fordert er vom SIM-Center unter Angabe der Feedback Nummer an. Die CD mit den individuellen genetischen Daten wird an das Feedback Center versandt und von dort an den Arzt weitergegeben. Arzt und Teilnehmer können nur gemeinsam mit beiden Schlüsseln K1 und K2 die Datei mit dem Bericht entschlüsseln.

12 c) Datenschutzrechtliche Zulässigkeit des Verfahrens Mit dem Feedback-Verfahren bietet die Schering AG den Teilnehmern eine Leistung an, die über den Auskunftsanspruch nach 34 BDSG hinausgeht. Da die vorhandenen genetischen Daten für die Schering AG nicht personenbezogen sind, besteht grundsätzlich kein Anspruch eines Teilnehmers auf Auskunft über die zu seiner Person gespeicherten genetischen Daten nach 34 BDSG. Der nach dem Konzept gleichwohl vorgesehene Informationsprozess, der auf die Herstellung eines Personenbezugs für die an diesem Prozess Beteiligten bei Schering, in der Biobank und dem Feedback Handling Center verzichtet, trägt dem Prinzip der Transparenz Rechnung, ohne dass eine gesetzliche Verpflichtung hierzu besteht. Das Informationsverfahren bedingt nach seiner Konzeption eine gleichzeitige Offenbarung der individuellen genetischen Daten in Kenntnis der Identität des Teilnehmers an den Studienarzt oder einen anderen vom Patienten benannten Arzt. Rechtsgrundlage für die Offenbarung der medizinischen Daten an den Arzt ist die Einwilligung des Patienten, die dieser zu Beginn des Feedbackprozesses erklärt. Angesichts der Tatsache, dass die Information über die individuelle genetische Konstitution für den Teilnehmer regelmäßig erläuterungsbedürftig sein wird und außerdem Mitteilungen über Veranlagungen für ernsthafte Erkrankungen enthalten kann, ist die Entscheidung im Konzept nachvollziehbar, der Auskunftserteilung im Beisein eines fachkundigen Arztes gegenüber einer direkten Auskunftserteilung an den Teilnehmer den Vorzug zu geben. Durch das vorgesehene Feedback-Verfahren wird in ausreichender Weise sichergestellt, dass der Arzt ausschließlich mit dem Patienten gemeinsam die individuellen genetischen Daten einsehen kann. Dies wird durch eine doppelte Verschlüsselung erreicht. Der Teilnehmer enthält seinen Schlüssel unmittelbar nach Erklärung seiner Einwilligung zum Erhalt des Feedbacks. Erst danach gibt er seine Vergleichsprobe ab, durch deren Weitergabe der individuelle Feedbackprozess in Gang gesetzt wird. Der Arzt ist somit beim Eintreffen des individuellen Berichts des Teilnehmers nicht mehr im Besitz des Teilnehmerschlüssels, so dass ihm allein eine Kenntnisnahme des Berichts nicht möglich ist. In vorbildlicher Weise wird außerdem auch dem Gegenstück des Auskunftsrechts des Betroffenen, dem Recht auf Nichtwissen, Rechnung getragen. Insbesondere bei genetischen Analysen ist die Gewährleistung dieses Rechts von besonderer Bedeutung, da es sich um Informationen über Veranlagungen für ernsthafte Krankheiten handeln kann, deren tatsächliches Eintreten in der Zukunft jedoch ungewiss ist. Hier muss jeder Teilnehmer die Möglichkeit haben, auf eine Information über die individuelle genetische Konstitution zu verzichten. Dies wird durch das GENOMatch-Konzept in zwei Stufen gesichert. Zu Beginn der Teilnahme wird der Patient in der Einwilligung gefragt, ob er grundsätzlich an einer Information über die individuelle genetische Konstitution Interesse hat. Nur wenn er dies bejaht, wird er in einem Feedbackprozess überhaupt berücksichtigt. Pati-

13 enten, die diese Frage verneint haben, haben können sich im Verlaufe der Studie oder auch danach noch umentscheiden. Während des Feedbackprozesses haben Teilnehmer, die grundsätzliches Interesse an einer Auskunft bekundet haben, nochmals die Möglichkeit zu entscheiden, ob sie zu dem bestimmten allgemeinen Studienresultat ihre individuellen Daten erfahren möchten. 3. Anonymisierung von genetischen Proben zur Weitergabe an Dritte Die GENOMatch-Biobank soll auch Dritten zugänglich sein, die nicht den ablauforganisatorischen Prozessen (Standard Operating Procedures, SOP) unterliegen, die für das GENOMatch-Projekt festgelegt wurden. Solche Dritte können u.a. auch Einrichtungen innerhalb der Schering AG sein, wenn diese nicht an die GENOMatch-SOPs gebunden sind. a) Datenschutzziele Das Konzept geht davon aus, dass nur anonymisierte genetische und klinische Daten aus der GENOMatch Biobank an Dritte herausgegeben werden dürfen. Die zu übermittelnden Daten dürfen somit keine Zuordnung zu einer bestimmten oder bestimmbaren Person ermöglichen. Bezogen auf die Studiendaten leitet das Konzept daraus zwei konkrete Ziele ab: - Es darf nicht möglich sein, genetische Daten einer identifizierbaren Person zuzuordnen. - Es darf nicht möglich sein, genetische Daten einem klinischen Datensatz zuzuordnen. Zwar ist der klinische Datensatz insofern keiner bestimmten Person zugeordnet, als er nicht mit Identitätsdaten gekennzeichnet ist. Es kann aber nicht ausgeschlossen werden, dass anhand der im klinischen Datensatz aufgeführten Merkmale eine Identifizierung des Teilnehmers erfolgen kann. b) Verfahren Anfragen von Dritten werden durch den pharmakogenetischen Biostatistikexperten bearbeitet. Anfragen können sich auf genetische Proben von Teilnehmern mit bestimmten klinischen Merkmalen, genetische Proben eines bestimmten Genotyps oder auf beides beziehen. Der Biostatistikexperte durchsucht die genetische und / oder die klinische Datenbank nach Proben, die die Kriterien der Anfrage erfüllen. Als Hilfsmittel für die Datenbanksuche wird das GENOMatch Data Anonymization Module (DAM) eingesetzt, das im Sicheren Datenbereich betrieben wird. Das DAM gibt dem

14 Biostatistikexperten die Anzahl der zu den Kriterien gefundenen Treffer an. Wenn die Anzahl der Treffer acht oder mehr beträgt, erstellt der Biostatistikexperte aus den gefundenen klinischen Datensätzen einen aggregierten klinischen Datensatz. In diesem aggregierten Datensatz werden die Angaben aus den einzelnen klinischen Datensätzen zusammengefasst. In der Regel werden keine Einzelwerte, sondern nur Bereiche, in denen sich die einzelnen Werte bewegen, angegeben. Zu den einbezogenen klinischen Datensätzen werden die zugehörigen Proben hinzugefügt. Die Anzahl der Proben ist jedoch stets geringer als die Anzahl der in den aggregierten Datensatz eingeflossenen klinischen Datensätze (sog. Subsampling). Bei großen Fallzahlen wird eine Subsampling-Rate von 8:10 angewendet (d.h. zu jeweils acht Datensätzen werden 2 weitere hinzugemischt ). Bei kleineren Fallzahlen steigt die Subsampling-Rate. Wird im Extremfall der aggregierte klinische Datensatz aus nur acht individuellen klinischen Datensätzen gebildet, dann werden nur fünf genetische Proben übermittelt. (Bei einer generellen Anwendung einer Subsampling-Rate von 5:8 würde die wissenschaftliche Verwendbarkeit der weitergegebenen Proben sehr stark eingeschränkt.) Im Einzelnen werden im Konzept drei Fälle unterschieden: - Werden von dem Dritten genetische Proben zu Teilnehmern angefordert, die bestimmte klinische Merkmale aufweisen, wird der aggregierte klinische Datensatz aus denjenigen Einzeldatensätzen gebildet, die die Kriterien der Anfrage erfüllen. Es wird aber nur eine geringere Anzahl von Proben beigefügt, die aus den zu den klinischen Einzeldatensätzen gehörenden Proben nach dem Zufallsprinzip ausgewählt werden. - Werden genetische Proben eines bestimmten Genotyps angefordert, so wird der aggregierte Datensatz aus denjenigen Einzeldatensätzen erstellt, die zu den entsprechenden Proben gehören. Gleichzeitig werden aber auch weitere klinische Einzeldatensätze einbezogen, deren Proben den Genotyp nicht zwingend aufweisen müssen. Hintergrund dieses Vorgehens ist folgender: Es kann nicht ausgeschlossen werden, dass Dritte in den aggregierten klinischen Daten einzelne ihnen bekannte klinische Datensätze (und ggf. sogar die dahinter stehenden Personen) wiedererkennen. Dies kann insbesondere passieren, wenn (ggf. in anderem Zusammenhang) mehrfache, auf einander aufbauende Anfragen anhand klinischer Merkmale gestellt werden. Würden nur solche klinischen Datensätzen in die Aggregation einfließen, die den angefragten Genotyp enthalten, könnte man bei einer Wiedererkennung eines klinischen Datensatzes in den aggregierten Daten mit Sicherheit darauf schließen, dass die zugehörige Person den fraglichen Genotyp trägt. Durch die Hinzunahme von klinischen Daten, die den fraglichen Genotyp nicht zwingend haben, kann ein solcher Schluss nicht mit Sicherheit gezogen werden.

15 Bezieht sich die Anfrage sowohl auf Daten eines bestimmten Genotyps als auch bestimmte klinische Merkmale, entspricht die Vorgehensweise der vorgenannten. Der aggregierte Datensatz wird wiederum aus Einzeldatensätzen erstellt, die selbst bzw. deren zugehörige Proben die Kriterien der Anfrage erfüllen und zusätzlich mit Einzeldatensätzen angereichert, die die klinischen Merkmale aufweisen, deren zugehörige Proben den gesuchten Genotyp aber nicht zwingend aufweisen müssen. Es werden in beiden vorgenannten Fällen jedoch an den Dritten jeweils nur solche Proben ausgeliefert, die den in der Anfrage bezeichneten Genotyp aufweisen. Zusätzlich zur Erstellung des aggregierten Datensatzes wird eine Liste erstellt, die die BC2 derjenigen Proben enthält, die zu dem aggregierten Datensatz herausgegeben werden sollen. Dies geschieht mit Hilfe der DAM. Die Anzahl der gefundenen Proben sowie Informationen über die anfragende Person oder Stelle werden gemeinsam mit einer Anfrage zur Anonymisierung (Request for Anonymization) der zugehörigen Proben an den Ablaufkontrolleur (Process Controller) im Sicheren Datenbereich der Schering AG weitergeleitet. Die Entscheidung darüber, ob das genetische Material anonymisiert und an den Dritten ausgeliefert wird, trifft der Ablaufkontrolleur. Die Entscheidung des Ablaufkontrolleurs wird im DAM vermerkt. Das DAM informiert den Biostatistikexperten über die Entscheidung. Außerdem sendet das DAM eine Anfrage zur Neukennzeichnung der Proben an das Sample Anonymization Module (SAM). Das SAM wird im SIM-Center betrieben und kontrolliert den Ablauf der Neukennzeichnung der Proben. Die Neukennzeichnung der Proben wird durch den Probenverwalter (Sample Manager) in der GENOMatch Biobank durchgeführt, der hierfür durch das SAM beauftragt wird. Der Probenverwalter entnimmt aus der Biobank diejenigen Proben, die mit den BC2 gekennzeichnet sind, die ihm vom SAM übermittelt wurden und bereitet diese zur Auslieferung an den Dritten vor. Hierzu wird die herauszugebende Probe mit einem neuen Pseudonym, dem BCA, gekennzeichnet, der dem Empfänger keine Zuordnung zu den in der genetischen und klinischen Datenbank vorhandenen Studiendaten ermöglicht. Bei der Erstellung der neuen Pseudonyme BCA müssen diese kurzzeitig den Pseudonymen BC2 zugeordnet werden: Mit BC2 sind die Proben, die zugehörigen klinischen Datensätze sowie der aggregierte Datensatz, zu dem die fraglichen Proben beigetragen haben, gekennzeichnet. Nach der Re-Pseudonymisierung der Proben müssen die Codes BC2 in den aggregierten Datensätzen durch die neuen Pseudonyme BCA ersetzt werden. Nachdem dieser Vorgang abgeschlossen ist,

16 wird die Zuordnung von BCA zu BC2, die nur lokal in der SAM vorgehalten wurde, gelöscht. Während der Neukennzeichnung einer Probe erfolgen durch den Probenmanager Zugriffe auf korrespondierende alte Pseudonyme (BC2) und neue Pseudonyme (BCA) unmittelbar nacheinander, um den jeweiligen Probenstatus in der SIM- Datenbank zu ändern. Würden diese Zugriffe direkt an die SIM-Datenbank weitergereicht, so ließe sich dort durch eine Analyse der Protokolldateien der Zusammenhang zwischen beiden Pseudonymen rekonstruieren. Dies wird durch eine Zwischenspeicherung aller Zugriffe, Umsortierung der Pseudonyme im so genannten SC-DB-Pufferspeicher der DAM und eine geblockte Ausführung aller Zugriffe verhindert. Um sicherzustellen, dass die Probe tatsächlich für die Herausgabe an den Dritten ausgewählt wurde und während des Prozesses der Neukennzeichnung nicht für andere Zwecke verwendet wird, erfolgt eine Rückkopplung mit dem SAM, das den jeweiligen Status der Probe vermerkt. Die für die herauszugebenden Proben verwendeten BCA werden in den aggregierten klinischen Datensatz eingetragen und ersetzen dort die Pseudonyme BC2, die die zu diesem Datensatz gehörenden Proben bezeichnen. Dies erfolgt über das DAM, dem die Liste der verwendeten BCA übersandt wird. Der aggregierte klinische Datensatz mit den BCA der zugehörigen Proben wird sodann durch den Biostatistikexperten an den Dritten herausgegeben. Die Proben werden entweder vom Probenverwalter direkt oder über den Biostatistikexperten an den Empfänger herausgegeben. c) Datenschutzrechtliche Zulässigkeit Eine Rechtsgrundlage für die Übermittlung von Studiendaten an Dritte ist nicht vorhanden. Weder bezieht sich nach dem Konzept die Einwilligung auf eine solche Übermittlung noch ist eine gesetzliche Grundlage für die Weitergabe ersichtlich. Einer datenschutzrechtlichen Ermächtigung bedarf es vorliegend jedoch auch nicht, da es sich um anonymisierte Daten und Proben handelt. Die Anonymisierung der klinischen Daten und der Proben erfolgt auf der Grundlage einer Einwilligung des Teilnehmers in die Anonymisierung seiner Daten, die vor Beginn der Teilnahme an der Studie gesondert zur Einwilligung in die Datenverarbeitung im Rahmen der Studie erklärt werden kann. Die klinischen Datensätze werden durch Aggregierung hinreichend anonymisiert. Die Proben werden mit einem neuen Barcode versehen, der dem Empfänger keinen Rückschluss auf die Identität des Probenspenders erlaubt.

17 Sollte der Empfänger aufgrund von ihm zur Verfügung stehenden Zusatzwissens (z. B. Zugang zu klinischen Datensätzen und den Identitäten der zugehörigen Personen) in der Lage sein, in dem aggregierten Datensatz einzelne klinische Daten (und ggf. sogar die dahinter stehenden Personen) zu ermitteln, erhält er durch das Verfahren keine zusätzlichen Informationen: Über die klinischen Daten verfügt er bereits; genetisches Material kann er wegen des Subsamplings (Mengenverhältnis 5:8 von Proben zu aggregierten Daten bzw. 8:10 bei großen Fallzahlen) nicht eindeutig ihm bekannten klinischen Datensätzen zuordnen, und Schlüsse über genetische Disposition (z. B. Vorhandensein bestimmter Genotypen) kann er nicht mit Sicherheit ziehen, weil in den aggregierten Datensatz auch Daten von Patienten, die nicht den fraglichen Genotyp aufweisen, mit eingehen können. 4. Unterstützung der Prüfung des Rekrutierungsstatus und der Kosten einzelner Studien Während des Studienablaufes werden der Rekrutierungsstatus und die Teilnehmerzahlen überprüft, um ggf. durch Kampagnen oder Hinzunahme von Testorten die Teilnehmerzahl zu erhöhen, falls sie hinter den Erwartungen zurückbleiben. Ebenso werden für die Kostenkontrolle der Studien genaue Zahlen über Probenentnahme, -lagerung und -analyse, die zum Teil von Dritten ausgeführt werden, benötigt. Diese müssen nach Studien, Studienorten und Zeiträumen aufschlüsselbar sein. Die dazu notwendigen Informationen liegen nicht in der Biobank vor, sondern werden anhand der im SIM-Center vorliegenden Daten ermittelt. Zuständig für die Überwachung der Rekrutierung und der Kosten ist der Ablaufkontrolleur (Process Controller) der Firma Schering. a) Datenschutzziele Das Konzept nennt in Abschnitt 6.1 als wichtigstes Datenschutzziel, dass durch die Abfragen auch bei Vorliegen von Extremwerten (z. B. lediglich ein Studienteilnehmer in einer bestimmten Stadt) keine direkten oder indirekten Informationen über die Verknüpfung PN-BC2 gegeben werden. Dies gilt insbesondere im Hinblick darauf, dass Mitarbeiter, die die Auswertungen vornehmen, ggf. auch Zugriffe auf andere Datenbestände haben, und so über Zusatzwissen verfügen können. b) Verfahren Um das oben dargestellte Ziel zu erreichen, werden nur aggregierte Informationen angezeigt. Dies betrifft beim Rekrutierungsstatus die Zahl von Teilnehmern, die nach Studien, Ländern und Studienorten aufgeschlüsselt werden können. Die Darstellung erfolgt in aggregierter Form durch die Anwendung Study Management and Sample Tracking. Diese stellt anstelle von absoluten Teilnehmerzahlen lediglich die prozentuale Teilnehmerrate (Anteil der Patienten der kli-

18 nischen Studie, die auch an der pharmakogenetischen Studie teilnehmen) in 5 Stufen bereit. Gibt es an einem Testort weniger als 5 Teilnehmer, so erfolgt keine Antwort ( not available ). Die Kosten können nach Studien und Lagerorten der Proben (CSR) aufgeschlüsselt werden. Nach Eingabe von Kostensätzen pro Probe für einzelne Tätigkeiten (z. B. Probenidentifizierung, - analyse und lagerung) berechnet das Programm anhand der Probenanzahl die Kosten pro Tätigkeitsmerkmal sowie die Gesamtkosten. Durch Division lässt sich daher auf die absolute Anzahl zurückschließen. Falls die Anzahl der Studienteilnehmer kleiner als fünf ist (diese wird anhand des Quotienten Gesamtzahl der Proben / durchschnittliche Probenanzahl pro Spender geschätzt), erfolgt ebenfalls keine Angabe. Die entsprechenden Summen fehlen dann in der Berechnung. Bei der Darstellung des Rekrutierungsstatus wird komplett auf die Angabe absoluter Zahlen verzichtet; im Rahmen der Kostenaufstellung können diese aber ermittelt werden. Die unterschiedliche Vorgehensweise liegt darin begründet, dass zum einen die Kostenermittlung erst am Ende einer Studie erfolgt und somit höhere Teilnehmerzahlen als während der Rekrutierungsphase vorliegen und dass zum anderen bei der Kostenaufstellung lediglich nach Lagerort der Proben, nicht aber nach Ländern und Studienorten differenziert werden kann. Die jeweiligen Anonymitätsgruppen sind daher größer als während der Rekrutierungsphase. c) Datenschutzrechtliche Zulässigkeit Eine Kenntnisnahme von personenbezogenen Studiendaten oder Informationen über die Teilnahme einer einzelnen Person an einer pharmakogenetischen Studie ist für die Aufgabenerfüllung des Ablaufkontolleurs (Process Controller) nicht erforderlich. Diese Daten werden ihm daher nicht dargestellt; er kann lediglich kumulierte Teilnehmerzahlen und Kosten auswerten. Prinzipiell besteht aber die Möglichkeit, dass ein Ablaufkontrolleur aufgrund weiteren Wissens über einen Spender (sei es aus weiteren Studien, einer vorhergehenden Tätigkeit oder aus privatem Umfeld) dieses ergänzen kann um die Tatsache, dass ein Spender an einer bezeichneten pharmakogenetischen Studie teilnimmt. Daher werden die Teilnehmerzahlen ihm nur in aggregierter Form (als prozentuale Beteiligungsrate) bzw. in geringerem Detaillierungsgrad (ohne Bekanntgabe des Studienortes bei der Kostenkalkulation am Ende einer Studie) zugänglich gemacht. Datenschutzrechtlich ist die Aggregation als Umsetzung des Gebotes der Datensparsamkeit gemäß 3a BDSG zu betrachten: Durch die zusätzliche Aggregation wird die Anonymitätsgruppe, in der sich die Studienteilnehmer befinden, vergrößert und so die Möglichkeit einer De-Anonymisierung durch Zusatzwissen erschwert. Die Rechte der Betroffenen werden durch die Aggregation nicht beeinträchtigt.

19 Datenschutzmanagementsystem Ein umfassendes Datenschutzmanagementsystem für die Einrichtung und Überwachung der Abläufe innerhalb der Schering AG und zwischen den weiteren Beteiligten sowie der technischen und organisatorischen Sicherung und der Kontrolle der Abläufe im SIM Center ist im Konzept vom 8. Mai 2003 beschrieben und im Audit vom 24. Juni 2003 bewertet. Auf die dortigen Ausführungen wird in vollem Umfang Bezug genommen.

20 V Zusammenfassende Bewertung des Konzeptes Das von der CAU vorgelegte Konzept zur Erweiterung des GENOMatch-IT- Systems zur Unterstützung pharmakogenetischer Forschung der Schering AG erfüllt zusammen mit dem Konzept der CAU vom 8. Mai 2003 (Implementierung des ersten Teils des GENOMatch-Projektes) die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit. Die vorgesehenen Verfahren zur Zusammenführung genetischer und klinischer Daten, zur Information von Studienteilnehmern über ihre individuelle genetische Konstitution, zur Anonymisierung von genetischen Proben und klinischen Daten vor der Weitergabe an Dritte sowie zur internen Status- und Kostenkontrolle gewährleisten einen hohen Sicherheitsstandard: Durch eine doppelte Pseudonymisierung werden klinische und genetische Daten auch bei einem (niemals auszuschließenden) Fehlverhalten einzelner Mitarbeiter oder einer beteiligten Stelle geschützt; für eine Auflösung eines Pseudonyms müssen mindestens zwei Stellen zusammenwirken. Das Feedback-Verfahren zur Information von Studienteilnehmern über ihre individuelle genetische Konstitution, das die Auflösung des Pseudonyms erfordert, sichert die Übermittlung der Ergebnisse durch ein kryptographisches Verfahren so ab, dass die Konstitutionsdaten nur dem Studienteilnehmer zusammen mit einem Arzt seines Vertrauens zur Kenntnis gelangen. Außerdem wird weder der Biobank, noch der Schering AG bekannt, welcher Patient die Herausgabe individueller genetischer Daten verlangt hat. Durch die Aggregation von klinischen Daten in einen einzigen Datensatz und die Herausgabe einer Anzahl von Proben, die geringer ist als die Anzahl der verwendeten klinischen Datensätze kann ausgeschlossen werden, dass Dritte einen gesicherten Zusammenhang von einer genetischen Probe und zu einem einzelnen klinischen Datensatz konstruieren und somit einen Personenbezug zu den genetischen Daten herstellen können, falls einzelne klinische Daten aufgrund vorhandenen Zusatzwissens einer Person zugeordnet werden können. Bei großen Fallzahlen wird eine Subsampling-Rate von 8:10 angewendet (d.h. zu jeweils acht Datensätzen werden 2 weitere hinzugemischt ). Bei kleineren Fallzahlen steigt die Subsampling-Rate. Wird im Extremfall der aggregierte klinische Datensatz aus nur acht individuellen klinischen Datensätzen gebildet, werden nur fünf genetische Proben übermittelt. Durch die Aggregation von Daten bei der internen Rekrutierungs- und Kostenkontrolle wird die Möglichkeit, über eventuell vorhandenes Zusatzwissen Rückschlüsse auf eine Studienteilnahme einzelner Patienten ziehen zu können, erheblich erschwert. Die Verleihung des Datenschutz-Audits nach 43 Abs. 2 LDSG für die Erweiterung des Konzeptes ist damit gerechtfertigt.