Mit Geltungsbeginn (25. Mai 2018) der neuen EU-Datenschutzgrundverordnung (DSGVO) hat sich auch in der Klinischen Forschung (KliFo) so manches geändert. Zwar werden Datenschutz und Datensicherheit in der KliFo schon seit langem großgeschrieben, dennoch brachte die DSGVO aber Neuerungen mit sich, an der vor allem forschende Unternehmen außerhalb der EU ziemlich zu knabbern haben. Kommt man heute mit Vertretern von Unternehmen aus Drittländern auf den Datenschutz in der EU zu sprechen, so erntet man häufig ein Stirnrunzeln untermauert mit einem lang anhaltenden Seufzer. Fragt man dann as genauer nach, so bekommt man freundlich aber bestimmt zu hören: „The EU data privacy makes our business much more complicated“.
Doch warum ist das eigentlich so? Sehr vereinfacht dargestellt kann man sagen, dass das Europäische Datenschutzrecht bei der Verarbeitung personenbezogener Daten sehr viel restriktiver ist als beispielsweise jenes der USA. Hinzu kommt, dass es betroffenen Personen eine Reihe von Rechten (z.B.: Recht auf Auskunft, Recht auf Löschung, etc.) einräumt, die es in diesem Umfang in Drittländern kaum gibt. Für den freien Datenverkehr innerhalb des Europäischen Binnenmarktes mag dies kein großes Problem sein, für den Transfer von Daten außerhalb der EU aber sehr wohl. Dies wiederrum führte noch während des vierjährigen Gesetzgebungsentwurfsverfahrens zu heftigem Widerstand seitens der Industrie und Wirtschaft. Insbesondere US-amerikanische IT-Unternehmen fürchten einen negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa sowie einen California-Effekt (also die Übernahme strengerer lokaler Vorschriften durch eine bislang weniger strenge übergeordnete Gesetzgebung) für alle weltweit operierenden Unternehmen. Zwar flossen manche Einwände im Laufe der Konsolidierungsphase in den Verordnungsentwurf ein, letztlich wurde trotzdem ein relativ restriktiver Gesetzesentwurf bei den Trilog-Verhandlungen der Europäischen Kommission am 15. Dezember 2015 angenommen, welcher am 25. Mai 2016 formal in Kraft trat.
Während nun die DSGVO einen uneingeschränkten Datenfluss innerhalb der EU ermöglicht, kam es, wie von zahlreichen Kritikern vorhergesagt, zu erheblichen juristischen Schwierigkeiten beim Datentransfer von der EU in Drittländer, die bis heute andauern. Denn sämtliche Unternehmen, welche personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeiten, müssen nun den Betroffenen das gleiche Datenschutzniveau zusichern, wie es die DSGVO vorsieht – eine Mammutaufgabe. So musste letztlich auch die EU reagieren, prüfte andere Länder auf ein mit der EU vergleichbares Datenschutzlevel und vergab bis Mai 2019 zwölf „Angemessenheitsbeschlüsse“, darunter für die USA, Andorra, Argentinien, Kanada, Japan und natürlich die Schweiz. Der bekannteste dieser Beschlüsse ist sicherlich das sogenannte „EU-US Privacy Shield“.
Doch so einfach ist die Sache bei genauerer Betrachtung freilich nicht, denn ein bestehender Angemessenheitsbeschluss bedeutet nicht zwangsläufig Rechtssicherheit für Betroffene im Sinne der DSGVO, wie Prof. Dr. Gerrit Manssen von der Ethikkommission der Universität Regensburg bei einer Veranstaltung des Deutschen BfArM am 07. Mai 2019 in Bonn festhielt. Denn jeder einzelne Angemessenheitsbeschluss muss separat geprüft werden, da dieser unterschiedliche Regelungen oder Forderungen beinhalten kann. So muss ein US-amerikanisches Unternehmen beispielsweise erst gewisse technische und organisatorische Maßnahmen (TOMs) nachweisen, um sich überhaupt beim EU-US Privacy Shield registrieren lassen zu können. „Ein reiner Verweis auf das EU-US Privacy Shield in einer Datenverarbeitungsvereinbarung mit einem Unternehmen in den USA reicht somit nicht aus. Es muss die Registrierung glaubwürdig nachweisen können“, wie Prof. Manssen weiter ausführte.
Doch wie verhält es sich eigentlich in der klinischen Forschung, wo etwa chinesische oder amerikanische Pharmakonzerne oder Medizinproduktehersteller laufend Unmengen an in der EU generierten klinischen Daten in Drittländer (z.B.: Indien) transferieren und verarbeiten? Interessanterweise beginnen Konzerne und Forschungszentren erst langsam, diese juristische Regelung bei ihren Planungen zum internationalen Datenverkehr zu berücksichtigen, wie jüngste Erfahrungen von Auditoren und Inspektoren belegen. Aber was genau bedeutet das eigentlich für Studienteilnehmer, Prüfärzte, Zentren, Ethikkommissionen und Sponsoren? Vereinfacht gesagt: Sponsoren aus Drittländern müssen gegenüber den oben genannten Parteien Garantien vorlegen können, dass das in der DSGVO geforderte Datenschutzniveau eingehalten wird. Praktisch gesehen müssen diese Garantien nicht nur in den Verträgen zwischen Sponsoren, Prüfern und Zentren festgehalten werden, sondern insbesondere auch in den Aufklärungs- und Einverständniserklärungen für Patienten deutlich deklariert werden. Studienteilnehmer müssen stets darüber informiert sein, was mit ihren Daten bei einem Transfer in ein Drittland passiert, wie diese geschützt werden und welche Rechte sie besitzen. Aber auch der Prüfer muss als Verantwortlicher gemeinsam mit dem Sponsor gemäß Artikel 26 DSGVO dafür Sorge tragen, dass diese Rechte für Ihre Patienten bei der Datenverarbeitung gewahrt bleiben. Und nicht zuletzt sind auch die Ethikkommissionen gefordert, die Einhaltung der DSGVO bei Forschungsvorhaben mit geplanten Datentransfers in Drittländer zumindest grob zu prüfen.
Genau in diesem Prozess, kommt nun die CW-Research & Management GmbH (CW-R&M) ins Spiel, ein Auftragsforschungsinstitut (CRO) mit Sitz in Wien, Oberösterreich und München, das sich darauf spezialisiert hat, Sponsoren, Prüfer und Zentren dabei zu unterstützen, das Start-Up von Studien soweit aufzubereiten, dass einem geplanten internationalen Datentransfer regulatorisch nichts im Wege steht. Neben Beratung, Erstellung von entsprechenden Studiendokumenten und der Meldung bei Behörden und Ethikkommissionen, umfasst das Dienstleistungsportfolio von CW-R&M auch die Einholung und Bewertung datenschutzrechtlicher Garantien von Unternehmen außerhalb der EU. Dabei schöpft CW-R&M aus einem Fundus an über 25 Jahren Tätigkeit in der Klinischen Forschung, aktuellem datenschutzrechtlichem Know-How und zahlreichen Kontakten zu nationalen und internationalen Ethikkommissionen und Behörden.
Der Datentransfer studienspezifischer Daten in Drittländer und die Angemessenheitsbeschlüsse der EU – Wie sicher ist das eigentlich? hinzugefügt von Presse am
Alle Beiträge von Presse →
