Der Durchführung einer klinischen Studie gehen in der Regel mehrjährige Forschungstätigkeiten voraus. Ein großer Teil der Arbeit ist getan und eine klinische Studie soll die gewünschten Ergebnisse zur Wirkung und Wirksamkeit des Medikaments bringen. Auf dem Weg heraus aus dem Labor und hinein in die Klinik wird der Datenschutz ein stetiger Begleiter einer jeden klinischen Studie.

Der nachfolgende Beitrag soll den datenschutzrechtlichen Blick auf die Beteiligten innerhalb einer klinischen Studie richten und deren Verhältnisse zueinander näher beleuchten. Im Mittelpunkt wird dabei die datenschutzrechtliche Verantwortlichkeit stehen.

Die Hauptakteure

Jede klinische Studie benötigt eine entsprechende Anzahl an Teilnehmern. Aus datenschutzrechtlicher Sicht sind alle Studienteilnehmer Betroffene, deren Daten erhoben und ausgewertet werden. Jeder Studienteilnehmer erklärt freiwillig seine Einwilligung zur Teilnahme an einer Studie, womit die entsprechenden Datenverarbeitungen einhergehen. Um eine transparente Einwilligungserklärung (Informed Consent Forms (ICF)) erstellen zu können, müssen die datenschutzrechtlichen Verantwortlichkeiten zwischen den Pharmaunternehmen (Sponsor), den Studienzentren / Krankenhäusern (Study Sites) sowie den Clinical Research Organization (CRO) geklärt sein.

Die Verträge

Die datenschutzrechtliche Einordnung von Dienstleistungen nach Art. 28 DSGVO, die im Auftrag eines Verantwortlichen durchgeführt werden, hat sich nach der Einführung der DSGVO weitestgehend verfestigt. Unter anderem ist das auf die verschiedenen Veröffentlichungen der einzelnen Aufsichtsbehörden zurückzuführen, die zur Abgrenzung der Tätigkeiten beitragen (bspw. BayLDA https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf).

Im Vergleich hierzu, kommen Verträge nach Art. 26 DSGVO, auch bekannt als Verträge zur gemeinsamen Verantwortlichkeit (Joint Controller Verträge), seltener zum Einsatz. Vorlagen und weitere Informationen wurden in der Vergangenheit ebenfalls durch die Aufsichtsbehörden zur Verfügung gestellt (bspw. LfDI BaWü https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/).

Die Vertragsparteien

Der Sponsor einer Studie übernimmt die Rolle des datenschutzrechtlichen Verantwortlichen nach Art. 4 Nr. 7 DSGVO. Regelmäßig wird sich dieser einer CRO bedienen, welche die Durchführung der Studie begleitet, eine beratende Position einnimmt oder sogar die gesamte Studie organisiert und den Kontakt zu den Study Sites herstellt. Auch wenn hierbei eine entscheidende Rolle in der Datenverarbeitung an einen Dienstleister ausgelagert wird und die CRO unter Umständen den Ablauf der Studie erheblich beeinflussen kann, so wird hier von einer Auftragsverarbeitung nach Art. 28 DSGVO ausgegangen. Dies liegt darin begründet, dass die CRO die im Rahmen der klinischen Studie erhobenen personenbezogenen Daten der Studienteilnehmer ohne Eigeninteresse und lediglich weisungsgebunden verarbeitet. Um eine ausreichende Anzahl an geeigneten Studienteilnehmern zu finden und diese während der Studie zu betreuen, ist der Sponsor auf die Zusammenarbeit mit den Study Sites angewiesen. Die Frage, welche datenschutzrechtliche Verantwortlichkeit die Study Sites während der Durchführung der klinischen Studie einnehmen, ist derzeit nicht endgültig geklärt und bedarf einer jeweiligen Prüfung im Einzelfall. Die nachfolgenden Punkte gilt es hierbei zu berücksichtigen:

Study Sites haben den direkten Kontakt zum Patienten / Studienteilnehmer. Sie entscheiden darüber, ob ein Patient die Anforderungen zur Teilnahme an einer Studie erfüllt und klären diesen anschließend über gesundheitliche Risiken auf. Gegebenenfalls entscheiden sie auch darüber, ob ein Patient die Studie verlassen sollte. Der Patient wird in seinem Study Doctor die vertrauenswürdige Person sehen, über die er von der Studie erfahren hat und welche während der Studie regelmäßige Kontrolluntersuchungen durchführt. Bei Fragen und Bedenken wird sich ein Patient regelmäßig an sie wenden. Neben der Sicht der Betroffenen, sind auch die eigentlichen Datenverarbeitungen innerhalb einer klinischen Studie zu berücksichtigen. Die vom Sponsor benötigten Studiendaten (Study Data) entwachsen den Daten der Patientenakte (Clinical Data). Letztere wird in eigener Verantwortlichkeit und nach den gesetzlichen Vorgaben durch die Study Site verarbeitet, gespeichert und archiviert. Die Einhaltung der gesetzlichen Vorgaben zur Durchführung einer klinischen Studie obliegt selbstverständlich dem Sponsor. Aufgrund der Regelung der Good Clinical Practice wird es während der Studie weder dem Sponsor, noch seinem CRO erlaubt sein, die Klarnamen seiner Studienteilnehmer zu erfahren. Damit befindet sich der Sponsor in einem grundsätzlichen Abhängigkeitsverhältnis gegenüber der Study Sites. Um seinen datenschutzrechtlichen Verpflichtungen nachkommen zu können, ist dieser auf die zwingende Mithilfe der Study Site angewiesen.

Aussagen und Leitlinien der Aufsichtsbehörden

Um diese internen Verantwortlichkeiten zu klären und die Rahmenbedingungen für eine Zusammenarbeit zu definieren, kann ein Vertrag nach Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit genutzt werden. Diese Auffassung findet auch bei den Ausführungen der DSK anklang (https://www.datenschutzzentrum.de/uploads/dsgvo/kurzpapiere/DSK_KPNr_16_Gemeinsame-Verantwortliche.pdf). Hier heißt es:

„Nachfolgend werden daher ohne Anspruch auf Vollständigkeit einige Fälle aufgezeigt, bei denen – je nach Gestaltung – ggf. gemeinsame Verantwortlichkeit in Betracht kommen kann:

    • klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
    • […]“

Demgegenüber stehen Überlegungen, die ebenfalls Gehör finden und zu berücksichtigen sind. In diesen wird die Study Site, trotz ihrer hervorgehobenen Position gegenüber dem Patienten, als Dienstleister nach Art. 28 DSGVO gesehen, welche ausschließlich weisungsgebunden personenbezogene Daten verarbeitet. Einem Sponsor kann diese Vertragsgestaltung u.U. sogar entgegenkommen, da dieser so die Hoheit über die Studie und die Daten behält. Der Dreh- und Angelpunkt ist hierbei das Studienprotokoll, dass allen Beteiligten ihre Rollen und Aufgaben diktiert. Hierüber kann einer Study Site ein sehr enger Handlungsspielraum vorgegeben werden, der eher an eine weisungsgebundene Datenverarbeitung erinnert, als an eine gemeinsame Verantwortlichkeit. Der datenschutzrechtliche Verantwortungs- und Handlungsspielraum kann durch den Sponsor noch zusätzlich eingeschränkt werden, wenn dieser die notwendigen Einwilligungserklärungen und Aufklärungsbögen zur Verfügung gestellt. Diese Vorgehensweise erhält auch Unterstützung seitens des European Data Protection Board (https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf). In seinen Ausführungen zur gemeinsamen Verantwortlichkeit aus September 2020 am Beispiel einer klinischen Studie trifft dieses die folgende Aussage:

„[…] In the event that the investigator does not participate to the drafting of the protocol (he just accepts the protocol already elaborated by the sponsor), and the protocol is only designed by the sponsor, the investigator should be considered as a processor and the sponsor as the controller for this clinical trial.“

In diesem Fall wird die federführende Position bei der Erstellung des Studienprotokolls zur datenschutzrechtlichen Entscheidungshilfe.

In der Praxis kann diese Einschätzung insbesondere bei einer Vielzahl von teilnehmenden Study Sites Klarheit bringen und die Abschlüsse der Verträge nach Art. 28 DSGVO ermöglichen, wenn die Weisungsgebundenheit im Vordergrund liegt. Dem Sponsor muss dabei bewusst sein, dass die Haftung und Kontrollpflichten einseitig bei ihm verbleiben.

Die Verantwortlichkeit der Study Site in Bezug auf die Clinical Data (Patientenakte) bleibt hiervon selbstverständlich unberührt.

Positionierung der Ethikkommissionen

Ethikkommissionen übernehmen die Prüfung der Einwilligungserklärungen (ICF), die eingangs erwähnt wurden, und werden dabei durch den Arbeitskreis Medizinischer Ethik-Kommissionen in der Bundesrepublik Deutschland e.V. unterstützt. Dessen zuletzt empfohlene Mustertext zur Einholung einer Einwilligung berücksichtigt die datenschutzrechtliche Verantwortlichkeit wie folgt:

„[…] c) Verantwortlichkeit

Verantwortlich im Sinne des Datenschutzrechts ist der Sponsor ebenso wie die Prüfstelle und Ihr Prüfarzt. Die Prüfstelle bleibt davon unabhängig für Ihre Behandlungsdaten verantwortlich (unkodierte Patientendaten).

[Die möglicherweise sehr komplexen Strukturen einer gemäß Art. 26 DSGVO gemeinsamen Verantwortlichkeit und das Wesentliche sind gesondert darzustellen.] […]“

Eine Begründung, weshalb diese Einschätzung vertreten wird, liegt derzeit noch nicht vor. Es wird jedoch davon ausgegangen, dass diese Formulierung durch alle Beteiligten zu berücksichtigen sein wird und bei gegenteiliger Auffassung zu Diskussionsbedarf führt.

Im Ergebnis wird es schwer sein, hier eine klare Linie zu ziehen, da sich alle Ansichten mit guten Argumenten vertreten lassen. Ob eine abschließende Beurteilung oder Richtlinie der zuständigen Aufsichtsbehörden den einzelfallbezogenen Anforderungen klinischer Studien gerecht werden kann, bleibt abzuwarten.