Pseudonymisierungskonzept für das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns“ (UPDK)

Das Projekt UPDK hat das Ziel, eine Übersicht der datenschutzrechtlichen Herausforderungen in den Krankenhausbetrieben Mecklenburg-Vorpommerns zu erfassen. Dabei geht es nicht um die Einzelanalyse der Krankenhäuser, sondern um eine realistische Erfassung der datenschutzrechtlichen Bedürfnisse im Alltag der Krankenhausbetriebe. Die Erfahrungswerte und Expertise des Fachpersonals der Krankenhäuser sind notwendig, um die Alltagstauglichkeit des Datenschutzes im Krankenhaus einzuschätzen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern und der Datenschutzbeauftragte der Nordkirche stellen jedoch klar, dass unabhängig von der Kontaktaufnahme, keine identifizierenden Daten von Krankenhäusern oder personenbezogene Daten der Fachkräfte für die Auswertung und Erlangung der Ziele des Projekts erforderlich sind. Aus diesem Grund erstellten beide Datenschutzbeauftragte ein Datenschutzkonzept, um identifizierende und personenbezogene Daten nach der Datenerhebung zu pseudonymisieren und folgend zu anonymisieren.

Hier sind die wichtigsten Punkte des Datenschutzkonzeptes, an dem sich alle beteiligten Mitarbeiter des Projekts verpflichtend orientieren.

1.    Kontaktdaten werden von den Mitarbeitern beider Datenschutzbeauftragten erhoben, soweit es für die Kontaktaufnahme für die Befragung notwendig ist.

2.    Nach der Befragung werden die Kontaktdaten durch ein Pseudonym ersetzt, welches in einem zufälligen Verfahren, noch vor dem ersten Termin, erstellt worden ist. Danach werden die Kontaktdaten in allen Dokumenten und Datensätzen gelöscht.

3.    Alle Befragungsdaten werden in einem zugriffsgesicherten und verschlüsselten Datencontainer, außerhalb des internen Dokumentenmanagementsystems (DMS) der Behörde, gespeichert, so dass nur die zwei zuständigen Interviewer auf die Befragungsdaten zugreifen können.

4.    Die Befragungsdaten werden in einem zweiten Schritt inhaltlich pseudonymisiert und zusammengefasst, um daraus Daten für die Analyse zu erstellen.

5.    Bevor die Analysedaten weiterverarbeitet werden können, bekommen die Analysedaten ein zweites Pseudonym, welches das erste Pseudonym ersetzt. Damit sind die erhobenen Daten anonymisiert, da nicht einmal die Interviewer einen Rückschluss zu einzelnen Teilnehmern noch zu den teilnehmenden Krankenhäusern ziehen können. Die neuen Pseudonyme wurden vor Kontaktaufnahme in einem zufälligen Verfahren erstellt. Alle Dokumente, die mit dem ersten Pseudonym gekennzeichnet sind, werden gelöscht.

6.    Erst wenn die Analysedaten das zweite Pseudonymisierungs-Verfahren durchlaufen haben, werden die Analysedaten von den Interviewern des Projekts analysiert und gelten als anonym.

7.    Das Projekt wird durch einen Bericht abgeschlossen. Dieser wird veröffentlicht. Mit Erstellung des Berichtes werden alle Pseudonymisierungs-Kennzeichen und die entsprechenden Speicherungen in den internen DMS-en der Datenschutzbeauftragten vollständig gelöscht.

Zugriffskonzepte und Zugriffsberechtigungen für das Projekt werden wie folgt festgelegt:

1.    Kontaktdaten der Krankenhäuser und teilnehmenden Fachkräfte werden von den Mitarbeitern beider Datenschutzbeauftragten nur nach dienstlicher Notwendigkeit einsehbar sein. Die Kontaktdaten beinhalten den Namen des Krankenhauses, die Adresse des Krankenhauses, den Namen des Geschäftsführers sowie das Datum der Befragung. Nach dem Befragungstermin werden alle Kontaktdaten der Teilnehmenden durch einen Pseudonym ersetzt und aus den Aufzeichnungen gelöscht.

2.    Alle weiteren Daten des Projekts werden ausschließlich von den durchführenden Mitarbeitern verarbeitet. Die Mitarbeiter sind verpflichtet, alle Daten und Informationen bezüglich des Projekts für sich zu bewahren, und dürfen diese Daten auch innerhalb der Behörde nicht an Dritte weitergeben. Weiterhin verpflichten sich die Interviewer Frau Mauch und Herr Kipka für einen Zeitraum von 3 Jahren keine Kontrollbesuche bei den beteiligten Bereichen in den beteiligten Krankenhäusern vorzunehmen.

3.    Mit der Veröffentlichung des Berichts ist das Projekt beendet und die anonymisierten Daten öffentlich zugänglich.

Diese dargestellten Maßnahmen ergreifen beide Datenschutzbeauftrgten, um die Pseudonymisierung und Anonymisierung der Teilnehmer am Projekt zu garantieren.