Bilddatenübermittlung für klinische Studien

Wissenswertes für Ärzte und Studiensponsoren

Eine Zusammenfassung befindet sich am Ende des Artikels.

Zur Analyse von Bilddaten in einem Zentrallabor (“Imaging Core Lab”) müssen diese von der Klinik zum Labor übermittelt werden. Bilddaten werden in den Kliniken ausschließlich im weltweit verbreiteten DICOM-Standard gespeichert. DICOM-Dateien können neben den reinen Bilddaten auch eine Reihe weiterer Metadaten enthalten, z.B. Aufnahmedatum, Aufnahmeeinstellungen, Patientenname, Klinik usw.
Dieses Datenformat bietet vielfältige Vorteile, gleichzeitig verursachen die mit dem Bild verknüpften Daten verschiedene potenzielle Probleme.

Folgende Aspekte werden nachfolgend vor dem Hintergrund der Übermittlung von Bilddaten an uns als Labor zur (Bild-)Datenauswertung beleuchtet:

  • Datenschutz und Verschwiegenheitspflicht
  • Vermeidung von Verwechslungen / Zuordnungsfehlern
  • Anonymisierung von Bilddaten
  • Qualitätsverlust
  • Datenübermittlung

Datenschutz und Verschwiegenheitspflicht

Grundsätzlich ist ein Arzt nach § 203 Strafgesetzbuch (StGB) gesetzlich verpflichtet die Schweigepflicht zu wahren. Damit sich der Arzt bei der Übermittlung von Bilddaten nicht strafbar macht, muss eine befugte Datenübermittlung vorliegen:

1. nach § 28 Abs. 7 des Bundesdatenschutzgesetzes (BDSG), für die Verarbeitung durch Berufsgeheimnisträger (u.A. Ärzte, Psychologen, Mitarbeiter von Krankenkassen und Verrechnungsstellen). Abs. 7 S 3 erlaubt ferner die Verarbeitung durch Personen von Herstellern von Heilmitteln, sofern diese eine entsprechende Schweigepflichterklärung abgeben.
2. bei einer Übermittlung an “berufsmäßige Gehilfen” nach § 203 Abs. 3 S. 2 StGB
3. bei einer Einwilligung des Patienten zur Datenweitergabe

Eine vertraglich geregelte Auftragsdatenverarbeitung nach § 11 BDSG erfüllt zwar die Legitimation nach dem BDSG, ist jedoch von einer befugten Datenübermittlung nach dem StGB zu unterscheiden.

Bewertung des Vorliegens einer befugten Datenübermittlung mit Raylytic als Empfänger der Bilddaten:

Zu 1:
Als ISO 13485 zertifizierter Hersteller medizinischer Software wird die Raylytic GmbH rechtlich als Medizinproduktehersteller eingruppiert. Dies ermöglicht uns die Abgabe einer Schweigepflichterklärung nach § 28 Abs. 7 gegenüber dem jeweiligen Arzt, Praxis oder Klinik und legitimiert so den Datenaustausch unter Wahrung der gesetzlichen Schweigepflicht des Arztes analog zu anderen Herstellern von Medizinprodukten. Inwiefern diese Regelung auf die ab 2018 geltende DSGVO noch anzuwenden ist befindet sich derzeit in der Klärung.

Zu 2:
Die Definition berufsmäßiger Gehilfen ist in der Literatur und Gesetzgebung mit einer Unschärfe behaftet. Je näher der “Gehilfe” im Auftrag des behandelnden Arztes tätig ist, die beauftragte Tätigkeit hauptberuflich ausübt, die Ausbildung der Mitarbeiter der ausgeübten Tätigkeit entspricht und je umfangreicher der Mitarbeiter zur Beachtung der Verschwiegenheit verpflichtet ist, desto sicherer kann die Person als “berufsmäßiger Gehilfe” nach § 203 Abs. 3 S. 2 StGB angesehen werden.
Sämtliche Mitarbeiter, die bei Raylytic mit Patientendaten in Berührung kommen, sind zur besonderen und strafbewehrten Verschwiegenheit bezüglich der Patientendaten verpflichtet, so dass sämtliche Anforderungen gemäß § 203 Abs. 3 S. 2 StGB erfüllt sind. Eine Verarbeitung von nicht-anonymisierten Bilddaten durch Raylytic ist deshalb auch ohne Schweigepflichterklärung zulässig, sofern der behandelnde Arzt uns mit der Bildanalyse beauftragt. Die Übermittlung der Bilddaten zum Zweck der Analyse ist zweifelsohne als konkludente Beauftragung zu werten.

Zu 3:
Der zweckmäßigste Weg zur Sicherstellung einer befugten Datenübermittlung führt über eine Aufnahme eines entsprechenden Passus (falls nicht ohnehin schon enthalten) in die Einwilligungserklärung des Patienten in der Klinik / Praxis. Die Einwilligungserklärung sollte sämtliche Bereiche abdecken (Erheben, Verarbeiten, Speichern und Nutzen von klinischen Daten einschließlich Bilddaten durch ein externes Labor).

Eine reine Auftragsdatenverarbeitung ist dann unproblematisch, wenn dem Datenverarbeiter keine Merkmale zur Identifikation des Patienten vorliegen. Eine vollständige Anonymisierung oder eine Pseudonimisierung der Datensätze, die aufgrund der übermittelten Informationen und der beschränkten Zugangsmöglichkeiten des Auftragsdatenverarbeiters zu Datenquellen mit weiteren Informationen einer Anonymisierung gleichkommt, erfüllt diese Anforderung. Ist dies nicht gewährleistet, ist eine wesentlich detailliertere Betrachtung der Verarbeitungstätigkeiten, der damit betrauten Personen, deren Berufsstand und Zweck der Datenverarbeitung notwendig.

Daten für Forschungszwecke

Für Forschungszwecke gibt es grundsätzlich die Möglichkeit einer Sekundärnutzung klinischer Daten, auch ohne vorherige Zustimmung des Patienten. Hierbei sind eine Vielzahl von Regelungen und Abwägungen auf Länder- und Bundesebene zu prüfen. Allgemein gilt jedoch: nach einer Anonymisierung greifen die Gesetze zu Datenschutz und Schweigepflicht nicht mehr, so dass eine weitestgehend problemlose Verarbeitung und Nutzung der Daten möglich ist. Eine Pseudonymisierung innerhalb der medizinischen Einrichtung vor Datenweitergabe ist dem gleichgestellt.
Es stellt sich häufig die Frage, welche Daten für den Forschungszweck notwendig sind, und welche aufgrund der Identifizierbarkeit des Patienten entfernt werden müssen. § 3a des BDSG definiert den Begriff der Datensparsamkeit, wonach nur die Daten weiterzugeben sind, die für den beabsichtigten Zweck unbedingt notwendig sind – sofern die Reduzierung der Daten auf dieses Maß keinen unverhältnismäßigen Aufwand erfordert.
In Bezug auf medizinische Bilddaten ist unstrittig, dass persönliche Daten des Patienten wie Name, Anschrift, Telefonnummer, Email-Adresse usw. nicht einem Forschungszweck dienlich sein können und daher entfernt werden müssen.

Daten wie Alter, Geschlecht, Gewicht, Begleiterkrankungen oder Beruf können für wissenschaftliche Fragestellungen jedoch relevant sein. Eine Aufhebung der Anonymität durch diese Daten ist möglich, wenn diese Daten mit weiteren Datenquellen kombiniert werden. Zur Vermeidung eines Verlusts des wissenschaftlichen Werts der Daten empfehlen wir deshalb solche Daten zu entfernen, die alleine oder in Kombination mit frei verfügbaren Datenquellen einen Verlust der Anonymisierung bewirken könnten. Daten, die für wissenschaftliche Fragestellungen relevant sind und für eine Identifikation des Patienten ungeeignet sind, sollten dagegen in den DICOM-Dateien verbleiben.
Zur Reduktion eines etwaigen Missbrauchs durch die Verknüpfung verschiedener Datenquellen, werden bei uns erfasste Bilddaten im Sinne des § 3a BDSG vor einer internen Bearbeitung (z.B. durch Radiologen) oder Weitergabe an eine weitere Partei (Studiensponsor, Behörde) automatisch um sämtliche etwaig vorhandenen Daten bereinigt, die für die unmittelbare Fragestellung nicht benötigt werden.

Vermeidung von Verwechslungen

Die völlständige Entfernung jeglicher Kennzeichnungen erhöht die Gefahr von Verwechslungen bzw. verhindert oftmals die Nutzung der Daten insgesamt. Ein aus datenschutzrechtlichem Blickwinkel beliebtes Vorgehen ist die Konvertierung von DICOM-Dateien in ein anderes Bildformat (z.B. JPEG) da hier regelmäßig keine Metainformationen übertragen werden. Diese Daten werden dann über einen Datenträger oder elektronisch übertragen. Sobald diese Dateien von einem Begleitschreiben oder anderen beschreibenden Informationen getrennt sind, ist jegliche Zuordenbarkeit zum Patienten-Pseudonym (Patienten-ID), Untersuchungszeitpunkt und Studie verloren. Eine programmatische Plausibilitätsprüfung kann praktisch nicht mehr durchgeführt werden.

Unseren Erfahrungen nach steht der Aufwand für die Auflösung von unzuordenbaren Bilddaten, die manuelle Abklärung von daraus resultierenden Fragen und der Verlust an Datenqualität aufgrund unentdeckter Fehler in einem derart ungünstigen Kosten/Nutzen-Verhältnis, dass wir die Verarbeitung von Bilddaten ohne Metadaten ablehnen.
Im Gegensatz dazu bieten DICOM-Bilddaten mit einer sinnvollen Datenreduktion verschiedene Möglichkeiten der Plausibilitätsprüfung ohne das Schutzbedürfnis des Patienten auf Anonyme Datenverarbeitung zu beeinträchtigen. Anhand der Metadaten “Geschlecht” und “Geburtsdatum” (bzw. einer Prüfsumme über diese Werte die keinen Rückschluss auf die tatsächlichen Werte erlaubt) kann z.B. relativ zuverlässig festgestellt werden, ob neue Bilddaten zu bereits vorhandenen Bilddaten passen könnten oder ob eine Verwechslung der Daten vorliegen muss. Der Metatag “Aufnahmedatum” erlaubt die genaue zeitliche Einreihung und Feststellung, ob eine Aufnahme innerhalb des im Studienprotokoll oder durch die Behandlungsleitlinien definierten Untersuchungsintervalls erstellt wurde.

Anonymisierung von Bilddaten

Eine sehr einfache Möglichkeit zur Anonymisierung von DICOM-Bilddaten wurde durch unser QDICOM-System geschaffen. Über einen vollständig im Webbrowser integrierten DICOM-Viewer können DICOM-Bilddaten betrachtet und identifiziert werden, ohne dass es der Installation einer Software durch den Anwender oder durch IT-Mitarbeiter bedarf.
Der Patientenname kann pro Bild oder für alle Bilder in einem Verzeichnis der Klinik mit wenigen Mausklicks entfernt werden.

Eine frei zugängliche Version des Dicom-Viewers mit integrierter Anonymisierung ist über den Menüpunkt DICOM-Viewer erreichbar. Eine Beschreibung der wichtigsten Funktionen befindet sich im selben Fenster unterhalb des Viewers.

Qualitätsverlust

Eine Umwandlung von DICOM-Bilddaten über einen Export z.B. in des JPEG-Format führt in den meisten Fällen zu einem deutlichen Qualitätsverlust. Dies hat mehrere Ursachen:
Die üblichen Voreinstellungen des Datenexports des KIS-, RIS- oder PACS-Systems dienen dem einfachen elektronischen Versand und sind deshalb auf eine Optimierung der Dateigröße ausgelegt.
Dies führt regelmäßig zu einer Reduzierung der Bildauflösung (Anzahl der Pixel), zu einem Verlust bzw. Verfälschung des Bildinhalts durch “Verwaschungen”, sog. Kompressionsartefakte sowie zu einem Verlust von Grauwertinformationen.

Während DICOM-Bilder bis zu 65536 Graustufen enthalten können, werden JPG-Bilder oft in 256, maximal in 4096 Helligkeitsabstufungen pro Farbkanal gespeichert.
Die Reduktion von 65536 auf 4096 Grauwerte führt zwangsläufig zu einem Verlust an Informationen. Ist die Verteilung der Grauwerte im Originalbild auf die verfügbaren Graustufen nicht gleichmäßig, ist das resultierend JPEG-Bild oft deutlich über- oder unterbelichtet, was aufgrund der gröberen Abstufung eine Analyse solcher Bilder erschwert oder verhindert. Aus diesem Grund sind die in der Praxis anzutreffenden, von DICOM nach JPEG umgewandelten Bilder für eine Analyse nach wissenschaftlichen Maßstäben in der Regel ungeeignet.

Datenübermittlung

Die “Good Laboratory Practice” (GLP) schreibt die lückenlose Rückverfolgbarkeit von Proben vor. Dies bedeutet, die Übermittlung der Bilddaten, der Eingang und die Verarbeitung müssen nachvollziehbar sein. Dies ist nur durch ein System gewährleistet, das sämtliche Schritte aufzeichnet und nachvollziehbar macht. Eine Übermittlung einzelner Dateien per Email im Rahmen einer Studie ist ungeeignet, da zahlreiche Schritte außerhalb des Systems manuell stattfinden.

Eine Übermittlung durch Datenträger (CD-ROM, DVD, elektronische Datenträger wie Festplatten) mit entsprechendem Begleitschreiben ist dagegen akzeptabel. Der direkte elektronische Upload in unser QDICOM-System, ausgehend von der Klinik bzw. dem behandelnden Arzt, ist ein besonders bequemer und sicherer Weg der Übermittlung.
Über unseren QDICOM-Viewer werden automatisch sämtliche Schritte der Datenübermittlung GLP-Konform dokumentiert1. Als Nebeneffekt: Die Anonymisierung der Bilddaten erfolgt klinikseitig automatisch im Webbrowser das Nutzers bevor die Daten elektronisch übermittelt werden.

1 Verfügbar ab Dezember 2017

Zusammenfassung

  • Die Bilddatenübermittlung an Raylytic ist als befugte Datenübermittlung einzustufen. Eine nicht durchgeführte Anonymisierung der Bilddaten stellt keinen Verstoß gegen die ärztliche Schweigepflicht dar.
  • Über eine Schweigepflichterklärung durch uns oder entsprechende Hinweise in der Einwilligungserklärung des Patienten kann eine befugte Datenübermittlung an uns explizit dokumentiert werden.
  • Zur Erfüllung des Gebotes der Datensparsamkeit nach dem BDSG bieten wir über unseren webbasierten DICOM-Viewer eine einfache Möglichkeit, vor der Übertragung Daten, die zur Identifizierung des Patienten geeignet sind, zu entfernen.
  • Zur Vermeidung von Verwechslungen sollte von einer vollständigen Entfernung sämtlicher DICOM-Metadaten abgesehen werden.
  • Insbesondere Dicom-Tags wie “Acquisition Datetime”, “SOPInstanceUID”, “StudyUID” und “SeriesUID” sind essenziell für eine reibungslose Verarbeitung.
  • Der Export in ein verlustbehaftetes Dateiformat wie JPG kann den Informationsgehalt der Bilddaten so weit reduzieren, dass eine Analyse nicht mehr möglich ist.