Saarbrücker Forscher des Kompetenzzentrums für IT-Sicherheit (CISPA) haben bewiesen, dass die Daten weniger unterschiedlicher micro-RNA ausreichen, um einen Personenbezug herzustellen. An micro-RNA als besondere Art genetischer Daten wird in medizinischen Studien zurzeit intensiv geforscht. Die IT-Forscher haben dies zum Anlass genommen, micro-RNA-Datenbanken auf Datenmissbrauch zu untersuchen. Sie konnten mit zwei Angriffsmethoden die Studienteilnehmer herausfinden. Sie entwickelten jedoch auch Gegenmaßnahmen.

Was sind eigentlich micro-RNA?

Die Bedeutung von micro-RNA wurde erst vor wenigen Jahren entdeckt. Um zu verstehen, was micro-RNA sind, muss zunächst der Weg vom Gen zum Protein erklärt werden. Die DNA enthält sämtliche Erbinformationen des jeweiligen Individuums. Die DNA wird bei Bedarf in eine Arbeitsversion, die RNA übersetzt. Diese Version ist eher flüchtig. Die RNA wird von den Ribosomen ausgelesen und in Protein übersetzt. Micro-RNA sind nicht kodierend, d.h. sie enthalten keine Informationen zum Bau von Proteinen. Sie haben andere Funktionen bei der Regulierung, beispielsweise, ob der Schritt von DNA zu RNA bei (kodierenden) Genen durchgeführt wird. Dies nennt man Genexpression. Eine andere Funktion ist die posttranslationale Modifikation. Posttranslationale Modifikation ist die Modifikation eines Proteins nach der Übersetzung von RNA zu Protein. Die meisten Proteine sind nach diesem Schritt nicht fertig und müssen noch modifiziert werden. Es kann zu Fehlfunktionen, also Krankheiten kommen, wenn diese Modifikation nicht funktioniert.

Gefahren für die Persönlichkeitsrechte Betroffener

Datenbanken mit micro-RNA-Analyseergebnissen eignen sich also hervorragend dazu, vielfältige genetische Fragestellungen zu beantworten. Die Antworten haben regelmäßig eine erhebliche Tragweite für das Leben von Studienteilnehmern und Patienten. Es können nicht nur Aussagen über die derzeitige oder zukünftige Gesundheit des Teilnehmers getroffen werden, sondern auch über die Gesundheit von Verwandten. Eine Krankenkasse kann beispielsweise mit veröffentlichten Studienergebnissen herausfinden, ob ein Mitglied teilgenommen hat, und unter welchen Krankheiten dieses leidet, sofern sie das micro-RNA-Profil des Mitgliedes kennt.

Mögliche Gegenmaßnahmen

Die Saarbrücker Forscher des Kompetenzzentrums für IT-Sicherheit entwickelten Gegenmaßnahmen, um Angriffe zu verhindern. Die erste Gegenmaßnahme, micro-RNA-Moleküle wegzulassen, die verräterisch und für die Diagnose nicht wichtig sind, hat laut Aussage der Forscher nicht dazu geführt, einen Angriff zu verhindern. Bei der zweiten Gegenmaßnahme wird den Daten ein sogenanntes Rauschen in Form von weiteren Daten hinzugefügt, um die Identität der einzelnen Studienteilnehmer zu schützen. Die Tendenz des Gesamtresultats bleibt jedoch noch erkennbar. Die zweite Maßnahme unterbindet zwar den Angriff, erschwert laut Aussage der Forscher die ärztliche Arbeit jedoch erheblich. Die Forscher empfehlen daher die Daten nur minimal zu verrauschen und darauf zu achten, dass ausreichend viele Teilnehmer in der Studiengruppe sind, um einen Angriff zu verhindern.

Was ist aus datenschutzrechtlicher Sicht zu beachten?

Soweit das Gendiagnostikgesetz keine Anwendung findet (wie z.B. bei Studien zu Forschungszwecken) unterliegen Studien über micro-RNA dem Bundesdatenschutzgesetz (BDSG) beziehungsweise den jeweiligen Landesgesetzen.

In der genbasierten Forschung müssen Daten anonymisiert werden, sobald es für den Forschungszweck möglich ist, § 40 Absatz 2 Satz 1 BDSG. Ob genetische Daten überhaupt anonymisierbar sind, ist jedoch unter Juristen umstritten. Die Ergebnisse der IT-Forscher zeigen, dass nur wenige Daten über micro-RNA ausreichen, um auf den hinter den Daten stehenden Menschen zu schließen. Auch dürfen die Daten nicht zu stark verrauscht werden, da sie sonst für die Forscher unbrauchbar werden. Verfügt eine Stelle wie eine Krankenkasse oder eine Versicherung über das entsprechende Zusatzwissen, sind Rückschlüsse auf vielfältige Aussagen über die Gesundheit möglich. In einem solchen Fall sind die Daten nicht anonym.

Sollen die Forschungsergebnisse veröffentlicht werden, gilt § 40 Absatz 3 BDSG. Eine Veröffentlichung der personenbezogenen Daten ist unter anderem nur mit Einwilligung des Betroffenen zulässig. Wegen der besonderen Qualität der micro-RNA-Daten sind sehr hohe Anforderungen an diese Einwilligung zu stellen, denn der Betroffene muss umfassend informiert werden.

In Zukunft wird die Verarbeitung genetischer Daten der Datenschutzgrundverordnung (DSGVO) unterfallen. Eine Legaldefinition genetischer Daten findet sich in Art. 4 Nr. 13 DSGVO, die von Erwägungsgrund 34 erläutert wird. Die Verarbeitung selbst richtet sich nach Art. 9 Absatz 1, Absatz 2 h) oder j) DSGVO. Zudem ist auch Art. 9 Absatz 4 DSGVO zu beachten. Dieser enthält eine Öffnungsklausel für die Verarbeitung von genetischen Daten. Die Mitgliedstaaten können folglich zusätzliche Beschränkungen und Bedingungen für die Verarbeitung von genetischen Daten einführen beziehungsweise aufrechterhalten.

Fazit

Bei der Durchführung und Veröffentlichung von micro-RNA-Studien sollte der Datenschutz stets im Blick gehalten werden. Eine vermeintliche Anonymisierung der micro-RNA-Daten kann sich aufgrund neuer Angriffsmethoden als Trugschluss erweisen. Forschungseinrichtungen sollten sich daher den datenschutzrechtlichen Herausforderungen stellen und Studienteilnehmer der Missbrauchsgefahren bewusst sein.