Interview | Forschungsdaten verantwortungsvoll nutzen – Datenschutz als Voraussetzung für gute Forschung

Yvonne, du bist seit rund acht Monaten als Datenschutzberaterin und Compliance Officer am KSA tätig. Was ist dir im Umgang mit Forschungsdaten besonders aufgefallen?
Forschungsdaten machen nur einen kleinen Teil meiner Tätigkeit aus. Mir ist jedoch aufgefallen, dass verbindliche, interne Regelungen, welche die gesetzlichen Vorgaben für das KSA übersetzen, weitgehend fehlen. Viele Mitarbeitende handelten bislang nach ihrem – sehr guten – Bauchgefühl. Da die Komplexität der Anfragen jedoch stetig zunimmt, müssen wir die Prozesse unbedingt vereinheitlichen und verschriftlichen. Eine Analyse des ersten Teils unseres Data-Governance-Projekts zeigte, dass oft unklar ist, wer welche Daten zu welchem Zweck verwenden darf. Das betrifft Daten generell, ist bei den besonders geschützten Patientendaten aber hochkritisch. Wir erhalten regelmässig Anfragen, ohne dass die Zugriffe, der Verwendungszweck oder die rechtlichen Rahmenbedingungen eindeutig geklärt sind.

Genau hier setzt Data Governance an: Sie umfasst die Regeln, Rollen und Prozesse, die eine korrekte, sichere und verantwortungsvolle Datennutzung im Unternehmen sicherstellen. Es freut mich daher besonders, dass die Geschäftsleitung am 16. Juni 2026 die Erarbeitung und Einführung einer unternehmensweiten Data Governance (Projekt Data Governance Phase II) genehmigt hat.

Was sollten Forschende bei retrospektiven Studien besonders beachten?
Zunächst muss man sich bewusst sein, dass Patientendaten Personendaten sind. Verknüpft mit Diagnosen oder anderen sensiblen Informationen, werden sie zu besonders schützenswerten Personendaten. Daraus ergeben sich praktische Fragen: Wie werden die Daten übermittelt? Wo werden sie gespeichert? Wer hat Zugriff? Und was passiert mit den Daten nach Abschluss des Projekts? Werden sie gelöscht oder anonymisiert? Diese Fragen müssen bereits vor dem Start einer Studie geklärt sein. Gerade bei diesen Themen erlebe ich noch einen gewissen Sensibilisierungsbedarf.

In der Forschung wird häufig von codierten oder anonymisierten Daten gesprochen. Wo liegt der Unterschied?
Der Begriff „codierte Daten“ stammt nicht aus dem Datenschutzgesetz. Wichtig ist, die verschiedenen Begriffe sauber auseinanderzuhalten, denn Datenschutzgesetz und Humanforschungsgesetz verwenden teilweise unterschiedliche Definitionen. Anonymisierte Daten sind Daten, die so verändert wurden, dass die betroffene Person nicht mehr identifiziert werden kann – sie fallen nicht mehr unter das Datenschutzrecht. Von pseudonymisierten, verschlüsselten oder codierten Daten spricht man, wenn identifizierende Angaben entfernt oder verändert werden, aber ein Schlüssel existiert, mit dem die Person weiterhin identifizierbar bleibt. Gerade bei seltenen Erkrankungen oder genetischen Daten ist echte Anonymisierung besonders anspruchsvoll. Genetische Daten können heute grundsätzlich einer Person zugeordnet werden, und auch bei seltenen Erkrankungen kann bereits die Kombination weniger Merkmale ausreichen, um jemanden zu identifizieren. Deshalb muss stets sorgfältig geprüft werden, ob Daten tatsächlich als anonym gelten.

Wo liegen die Grenzen des Datenzugriffs für die Forschung im Klinikalltag und wie sieht die konkrete Lösung aus?
Die Grenzen ergeben sich im Wesentlichen aus dem Datenschutzrecht, dem Humanforschungsgesetz und dem Grundsatz der Zweckbindung. Klinische Daten werden primär für die Behandlung erhoben – nicht für Forschungszwecke. Für diese Zweckänderung braucht es eine explizite Einwilligung. Diese Einwilligung kann in Form eines Generalkonsents vorliegen, sofern dieser die Nutzung der betreffenden Daten für Forschungszwecke ausdrücklich abdeckt und nicht widerrufen wurde.

Da das Spitalpersonal primär einen Behandlungs- oder Forschungsauftrag hat, dürfen Forschungsideen nicht zu unbefugten Recherchen im System verleiten. Die Lösung: Ein geregelter Prozess, bei dem die gesetzlichen Vorgaben geprüft sowie personenbezogene Daten über ein Vier-Augen-Prinzip geschützt werden. Das gilt auch für erste Abklärungen, bei denen unkomplizierte, anonymisierte Daten bereitgestellt werden sollen.

Du bist am KSA am Projekt Data Governance beteiligt. Worum geht es dabei?
Zusammen mit René Burgener habe ich den Auftrag erhalten, den Umgang mit Daten zu regeln. Ziel ist es, Transparenz darüber zu schaffen, wer welche Daten benötigt, wer Zugriff hat und welche Prozesse künftig gelten sollen. Aktuell prüfen wir verschiedene Modelle – von einer zentralen Anlaufstelle für Datenanfragen bis hin zu dezentralen Modellen, bei denen die Forschung oder das Qualitätsmanagement eigene Zuständigkeiten übernehmen. Die Optionen sorgfältig zu prüfen und uns eng mit den Verantwortlichen der Bereiche auszutauschen, bildet nun den nächsten zentralen Projektschritt.

Wie unterstützt du Forschende, wenn es zu einer Datenschutzverletzung kommt?
Als Datenschutzberaterin unterstütze ich Forschende, indem ich Datenschutzvorfälle rasch einordne, die Risiken für Betroffene bewerte und die notwendigen Schritte wie Dokumentation, Meldung und Sofortmassnahmen koordiniere. Dabei ist darauf zu achten, dass eine allfällige Meldung wegen unbefugter Datenbearbeitung oder der Verlust von Daten der Aufsichtsbehörde unverzüglich (d.h. innerhalb von 72 Stunden) gemeldet werden muss. Gleichzeitig helfe ich dabei, Ursachen zu identifizieren und präventive Massnahmen zu etablieren, damit ähnliche Vorfälle künftig vermieden werden.

Was gilt beim Austausch von Daten mit externen Partnern?
Beim Austausch von Daten mit externen Personen ist entscheidend, dass der Zugriff ausschliesslich im Rahmen der geltenden Rechtsgrundlagen erfolgt und die Vertraulichkeit der Patientendaten jederzeit gewahrt bleibt. Insbesondere ist auf eine sichere Speicherung, verschlüsselte Übertragung und klar geregelte Zugriffe zu achten. Zudem muss die Zusammenarbeit vertraglich geregelt sein, zum Beispiel über ein Data Sharing Agreement.

Welche Tools sind für Studien geeignet?
Für Forschungsprojekte – insbesondere im klinischen Umfeld – eignen sich Tools, die datenschutzkonform und auditierbar (vollständiger Audit Trail) sind sowie Rollen- und Berechtigungskonzepte unterstützen, eine sichere Speicherung gewährleisten, sowie GCP-konform sind. Typische und geeignete Tools sind zum Beispiel REDCap. Die Datenbearbeitung über ein Excel-Sheet ist im Forschungs- und Datenschutzkontext aus den genannten Gründen ungeeignet.

Was möchtest du Forschenden mit auf den Weg geben?
Datenschutz soll die Forschung nicht behindern, sondern die Grundlage dafür schaffen, dass sie verantwortungsvoll und rechtskonform stattfinden kann. Mir ist wichtig, gemeinsam pragmatische Lösungen zu entwickeln, die rechtliche Anforderungen erfüllen und im Forschungsalltag funktionieren. Dafür braucht es einen offenen Austausch und enge Zusammenarbeit. Ich ermutige Forschende, sich frühzeitig zu melden – die Datenschutzberaterin ist keine Kontrollinstanz, sondern Unterstützung und Beratung für sichere und professionelle Forschung.