Um eine klinische Studie auf datenschutzrechtlich sichere Füße zu stellen, gibt es verschiedene Prozesse und Entscheidungen, bei denen der Datenschutz zu involvieren ist. Der nachfolgende Beitrag bringt eine Übersicht, über die verschiedenen Punkten innerhalb einer klinischen Studie bei denen insbesondere die rechtliche Beratung im Datenschutz relevant ist.
Das Studienprotokoll
Bei einer klinischen Studie ist der Hinweis zum Datenschutz bereits in der grundlegenden Beschreibung und Gliederung der Studie einzufügen. Auch wenn hier nicht der richtige Platz ist, alle wichtigen Eckpunkte zum Datenschutz aufzunehmen, so sollte doch deutlich werden, dass die Einhaltung der rechtlichen Vorgaben zum Schutz der personenbezogenen Daten eine entsprechende Priorisierung erfahren wird.
Auswahl des CRO
Bei der Auswahl der CRO (Clinical Research Organisation) sollte insbesondere daran gedacht werden, dass diese in einem erheblichen Umfang mit den personenbezogenen Daten der Studienteilnehmer arbeiten wird. Ein besonderes Augenmerk sollte daher auf der sicheren Datenverarbeitung sowie der Gewährleistung der Betroffenenrechte liegen. Als Sponsor, und somit Verantwortlicher der Datenverarbeitung, stehen einem auch die notwendigen Kontrollbefugnisse nach Art. 28 DSGVO zu. Bei der Durchsicht des Vertrages nach Art. 28 DSGVO erhält man sicherlich einen guten ersten Eindruck dazu, wie das Thema Datenschutz bei der CRO gehandhabt wird. Zusammen mit den beigelegten Technischen Organisatorischen Maßnahmen kann sich ein gutes erstes Bild ergeben.
Auswahl des Studienzentrums
Das datenschutzrechtliche Verhältnis zwischen einem Studienzentrum und dem Sponsor lässt sich nur fallspezifisch qualifizieren (wir berichteten). Bei einer Integration des Studienzentrums als Dienstleister nach Art. 28 DSGVO gilt das bereits gesagte zur CRO entsprechend. Sollte hingegen eine gemeinsame Verantwortlichkeit verfolgt werden, so ist der Abschluss des Vertrages nach Art. 26 DSGVO notwendig. Für den Sponsor ist hierbei die prozessuale Regelung der Betroffenenanfragen von besonderer Bedeutung. Etwaige Anfragen sollten regelmäßig über das Studienzentrum abgewickelt werden, da es dem Sponsor regelmäßig nicht möglich ist, einen Personenbezug zwischen den Betroffenen und den personenbezogenen klinischen Daten herzustellen.
Zusammenarbeit mit den Prüfärzten und Ansprechpartnern
Damit die Zusammenarbeit mit den jeweiligen Prüfärzten, den Studien-Teams oder sonstigen Ansprechpartnern gelingen kann, werden regelmäßig Kontaktdaten ausgetauscht. In Abhängigkeit vom Erfolg der Studie wird die Verwendung von personenbezogenen Daten der Prüfärzte in Publikationen oder sonstigen Veröffentlichungen zu thematisieren sein. Die Information nach Art. 13 DSGVO sollte daher immer integraler Bestandteil der Kommunikation mit den Professionals sein.
Auswahl weiterer Studien-Dienstleister
Bei den Entscheidungen darüber, welche Dienstleister in die klinische Studie aufgenommen werden, sollte der Sponsor von seinen Kontrollrechte nach Art. 28 DSGVO umfassenden Gebrauch machen. Je nach Aufgabenübertragung, können durch den Dienstleister personenbezogene Daten in erheblichem Umfang verarbeitet werden. Sobald ein Dienstleister darauf überprüft wird, ob er die Anforderungen zur Teilnahme an der klinischen Studie erfüllt, sollten auch die datenschutzrechtlichen Anforderungen berücksichtigt werden. Hierbei werden u. a. die Datenflüsse und potenzielle Drittstaatentransfers zu überprüfen sein. Ggf. müssen Maßnahmen zur Gewährleistung eines einheitlichen Datenschutzniveaus umgesetzt werden. Es empfiehlt sich daher, bereits in der Evaluierungsphase den Datenschutz einzubinden um zu vermeiden, dass im Nachgang rechtliche Risiken zu thematisieren sind, die vermeidbar gewesen wären.
Erstellung des ICF
Die Einwilligungserklärung (Informed Consent Form kurz ICF) zur Teilnahme an einer klinischen Studie ist selbstverständlich ein datenschutzrechtlicher Schwerpunktbereich. Hierbei gilt es insbesondere darauf hinzuweisen, dass eine Einwilligung nach § 40 Arzneimittelgesetzes (AMG) nur in begrenztem Umfang einer datenschutzrechtlichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO entspricht.
Ferner ist die korrekte Benennung des Verantwortlichen oder ggf. dessen Vertreters von Bedeutung. Hier kann es, je nach Fallgestaltung, auch Abweichungen zu den Regelungen des § 40 AMG geben.
Abschließend sind die Regelungen nach Art. 13 DSGVO zur Umsetzung der Betroffenenrechte zu berücksichtigen.
Widerruf der Einwilligung
Die Verarbeitung von personenbezogenen Daten innerhalb der klinischen Studie verlangt die Einhaltung des AMG sowie der Good Clinical Practice (GCP) gemäß § 40 Abs. 1 AMG und ist regelmäßig hiernach auszurichten. Die Herausforderung ist hierbei, die gesetzlichen Anforderungen der DSGVO entsprechend einzubinden, ohne dabei die Einhaltung der Vorgaben zur Durchführung einer klinischen Studie zu gefährden. Dabei sind insbesondere die Betroffenenrechte mit den Anforderungen zur revisionssicheren Datenverarbeitung in Einklang zu bringen. Für die Möglichkeiten zur weiteren Datenverarbeitung nach dem Ausscheiden aus der klinischen Studie bzw. dem Widerruf der Einwilligung hat § 40 Abs. 2a Nr. 3 lit. a bis c AMG die gesetzlichen Rahmenbedingungen geschaffen.
Kontrollen und Abschluss der Studie
Regelmäßig führen Kontrollen durch Aufsichtsbehörden oder Ethikkommissionen zu weiteren Verarbeitungsprozessen, die auch personenbezogene Daten umfassen. Sollte die klinische Studie zu dem gewünschten Ziel führen, werden Publikationen und Zulassungsanträge zwangsläufig weitere Datenverarbeitungen mit sich bringen. Auch wenn hierbei pseudonymisierte Daten der Patienten verwendet werden, sind die Studienteilnehmer hierüber vorab zu informieren. Gemäß Art. 13 Abs. 1 lit. f DSGVO sollte daher der Kreis der Empfänger der personenbezogenen Daten bzw. deren Kategorien bestmöglich in das ICF aufgenommen werden.
Während einer klinischen Studie wird die Einhaltung der datenschutzrechtlichen Vorgaben die Sponsoren weniger vor unwägbare Herausforderungen stellen, wenn bereits durchstrukturierte Abläufe und detaillierte Planungen vorliegen. Vielmehr wird die Nachverfolgung einzelner Vertragsabschlüsse sowie die Dokumentationspflicht (im Sinne der Rechenschaftspflicht) einen nicht zu vernachlässigenden Mehraufwand mit sich.
6. Januar 2022 @ 22:16
Vielen Dank für diesen Artikel. Über Studien bzw. Forschungsvorhaben erfährt man im allgemeinen wenig. Deshalb bin ich schon für diese Grundlagen ganz dankbar.
Sozialversicherungsträger betreiben auch Forschung mit Sozial- und Gesundheitsdaten (§ 75 SGB X). Auftragsverarbeitung oder gemeinsame Verantwortlichkeit ist hier nicht üblich.
5. Januar 2022 @ 14:30
Schöne Zusammenfassung, aber für wen wurde der Artikel geschrieben?
Für Leute in der Branche ist es zu wenig, für Leute außerhalb enthält er zu wenige Referenzen und als Warnung vor Stolperfallen enthält er zu wenig Informationen.
Wo liegt die Trennung zwischen Auftragsverarbeitung und gemeinsamer Verantwortung?
Bei spätphasigen Studien ist es wohl gemeinsame Verantwortung, da der Arzt eigenverantwortlich heilt.
Bei frühpasigen Studien werden die Daten nur für den Sponsor erhoben, Heilung/Behandlung ist nicht das Ziel, hier kann auch Auftragsverarbeitung vorliegen. Manche mögen einwenden, dass Ärzte die Studien durchführen, die ihrem Berufsethos, etc. verpflichtet sind und deshalb frei über den Umgang mit den Probanden entscheiden. Hier könnte man entgegenhalten, dass Artikel 29 sagt, dass gesetzliche Verpflichtungen der Auftragsverarbeitung nicht entgegenstehen.
Was ist mit Unterauftragnehmern für z.B. die Laboranalytik? Oft delegiert der Sponsor/Verantwortliche die Beauftragung an jemanden der schon Auftragsverarbeiter ist. Labor als Auftragsverarbeiter zumindest im speziellen Fall einer Studie? Oder kann eine Auftragsverarbeiter jemanden verpflichten der als eigener Verantwortlicher fungiert?
Es wird zwar darauf Aufmerksam gemacht, dass die Einwilligung nach AMG keine Datenschutzeinwilligung ist, im AMG steht aber, dass die Einwilligung auch die Verarbeitung von Gesundheitsdaten umfassen muss. Zwingt das AMG also zur Einholung einer DSGVO konformen Datenschutzeinwilligung? Der Musterentwurf des Arbeitskreise der Ethikkommissionen für den Patient Informed Consent geht davon aus (https://www.akek.de/arzneimittelgesetz-amg/). Die Einwilligung ist dort sogar die einzige Grundlage für die Verarbeitung der Daten. Was macht man bei einem Widerruf und Löschgesuch? Die ganze Studie könnte platzen, weshalb man wohl auch andere Verarbeitungsgründe nennen sollte (siehe z.B. Stellungnahme 3/2019 Kapitel 2 https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-32019-concerning-questions-and-answers_de). In Artikel 17 3. c) steht ja sogar explizit drin, dass man dem Löschgesuch widersprechen darf, wenn man sich auf Artikel 9 2. i) stützt. Warum wird dieser nicht Verarbeitungsgrund nicht im Musterentwurf der Ethikkommissionen erwähnt?