Datenschutz in klinischen Studien
Geschrieben von Kemal Webersohn, veröffentlicht am 17.08.2022Die pharmazeutische Forschung und Entwicklung baut auf der Verarbeitung von sensiblen Gesundheitsdaten von Patienten auf. Dabei werden vom Patienten nicht nur Daten über die Menge und Intervalle des verabreichten Medikaments erhoben, sondern auch Befunddaten wie Vitaldaten, Gewebeproben und genetische Informationen. An den Analyseergebnissen solcher klinischen Studien besteht großes Interesse auch bei Dritten, welche die Daten zu anderen Forschungszwecken nutzen wollen. Die Chancen, welche sich dadurch für die Forschung ergeben, sind groß, aber sie stellen auch hohe Risiken für die Patienten dar. Sowohl vor Durchführung der klinischen Studie als auch bei ihrem Ablauf bestehen zum Schutz der betroffenen Personen daher hohe datenschutzrechtliche Anforderungen.
Vor der Studie
Die Vertragsgestaltung:
Noch bevor die erste Einwilligungserklärung erstellt wird, wird die Durchführung eines Forschungsvorhabens von sog. Ethik-Kommissionen geprüft und anschließend überwacht. Diese Ethik-Kommissionen prüfen vermehrt auch die datenschutzrechtlichen Grundvoraussetzungen des Forschungsvorhabens (vgl. § 62 Abs. 1 Nr. 3 MPDG). Die datenschutzrechtliche Vertragsgestaltung sollte daher Hand in Hand mit der Gestaltung der Hauptverträge gehen.
Bei klinischen Studien ist das pharmazeutische Unternehmen oder Medikamentenhersteller als „Sponsor“ der Studie derjenige, der die Verantwortung für die Veranlassung, Organisation und Finanzierung einer klinischen Prüfung bei Menschen übernimmt, § 4 Nr. 24 AMG und § 25 MPDG. Diese Sponsoren setzen in erweiterten Bereichen der Forschung spezialisierte Auftragsforschungsagenturen (sog. Contract Research Organisations, CRO) ein. Deren Aufgabengebiet kann sich in vorbereitenden Unterstützungsleistungen erschöpfen oder aber auch die Auswahl der Prüfärzte sowie die gesamte wissenschaftliche Planung und Durchführung der Studie im Auftrag des Sponsors beinhalten. Neben der CRO und dem Sponsor sind zudem noch die Ärzte der jeweiligen Patienten, die sog. Prüfer und die Kliniken, die sog. Prüfstellen, zu nennen. Die datenschutzrechtlichen Pflichten all dieser Parteien müssen im Sinne der Rechtssicherheit für den betroffenen Patienten genau festgelegt werden.
Je nach Vertragsgestaltung des Forschungsvorhabens ist es möglich, dass der Prüfer bzw. die Prüfstelle gemeinsamer Verantwortlicher mit dem Sponsor oder vom Sponsor getrennt Verantwortlicher ist. Bei der Bestimmung des Verhältnisses zwischen Sponsor und Prüfstelle kommt es gem. den Abgrenzungskriterien des Art. 4 Nr. 7 DSGVO und Art. 26 DSGVO darauf an, inwieweit Sponsor und Prüfstelle über Mittel und Zwecke der Datenverarbeitung in Bezug auf die Studie entscheiden und welche Partei welche Verpflichtungen in Bezug auf die Rechte des Patienten wahrnimmt. Hat die Prüfstelle eine eigene Entscheidungsbefugnis über die Auswahl und das Analyseverfahren von Patientendaten, kommt eine gemeinsame Verantwortung von Sponsor und Prüfstelle in Betracht. Diese gegenseitigen Rechte und Pflichten müssen dann zwingend in einem Vertrag zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S.2 DSGVO festgelegt werden.
Die Pflichten der CRO werden in Auftragsforschungsverträgen zwischen Sponsor und CRO festgelegt. Bereits bei dieser Vertragsgestaltung sollte der Datenschutz nicht vernachlässigt werden. Zwar kann das Verhältnis zwischen CRO und Sponsor nur anhand der Pflichten innerhalb der Studie bestimmt werden, in der Regel wird der CRO allerdings als Auftragsverarbeiter des Sponsors tätig. Dabei sollte beim Abschluss eines Auftragsverarbeitungsvertrages gem. Art. 28 Abs. 3 DSGVO anhand der Sensibilität der Gesundheitsdaten besonderes Augenmerk auf den technischen und organisatorischen Sicherheitsmaßnahmen der CRO nach Art. 32 DSGVO gelegt werden.
Aufklärung und Einwilligung:
Vor der Aufnahme der Studienteilnehmer:innen in die klinische Studie und vor der Unterzeichnung einer Einwilligungserklärung in die Datenverarbeitung müssen die Studienteilnehmer:innen ordnungsgemäß aufgeklärt werden, § 29 MPDG. Die Aufklärung muss dabei umfassend über den Umfang, den Zweck, die Rechtsgrundlage, die Löschungsmöglichkeiten und die Rechte berichten. Die Teilnehmer sollen auf Grundlage dieser Aufklärung die Chancen und Risiken der Studie und der damit einhergehenden Datenverarbeitung abwägen können, um in die Datenverarbeitung bewusst einwilligen zu können. Wichtig ist, bei der Aufklärung darauf hinzuweisen, dass es sich bei den zu verarbeitenden personenbezogenen Daten auch um Gesundheitsdaten gem. Art. 9 Abs. 1 DSGVO handelt und somit einige Besonderheiten mit der Datenverarbeitung einhergehen. So können einmal erhobene Gesundheitsdaten trotz Widerruf der Einwilligung gem. Art. 89 Abs. 2 DSGVO i.V.m. § 29 Nr.2 MPDG zum Zwecke der Studiendurchführung weiterverarbeitet werden, soweit dies erforderlich ist, um die Wirkungen des zu prüfenden Arzneimittels festzustellen, sicherzustellen, dass schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden, oder um der Pflicht zur Vorlage vollständiger Zulassungsunterlagen zu genügen.
Zudem müssen die Teilnehmer gem. § 29 Nr.1 MPDG über folgendes aufgeklärt werden:
- Die Überwachungsbehörde kann die Daten zur Überprüfung der klinischen Studie für die Dauer der Studie einsehen (29 Nr.1 a) MPDG)
- Die Daten werden pseudonymisiert an den Sponsor oder eine von ihm beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergegeben ( 29 Nr.1 lit b) MPDG)
- Die Daten können zu Prüfungszwecken pseudonymisiert an den Hersteller, die benannte Stelle zur Konformitätsbewertung, die Europäische Union und Expertengremien weitergeleitet werden ( 29 Nr. 1 lit.c) MPDG)
- Die Daten können bei unerwünschten Ereignissen und Produktmängeln pseudonymisiert an den Sponsor zur Dokumentation (29 Nr. 1 lit.c) MPDG) und an Behörden anderer Mitgliedstaaten (§29 Nr. 1 lit.d) MPDG) weitergeleitet werden
Bei der Erstellung dieses Aufklärungshinweises sollte zudem darauf geachtet werden, dass eine Aufklärung bezüglich der Einwilligung in die Teilnahme gem. § 28 MPDG nicht gleichzusetzen ist mit einer Aufklärung zur datenschutzrechtlichen Einwilligung gem. § 29 MPDG. Auch wenn es Schnittstellen gibt, sollten beide getrennt voneinander zur Verfügung gestellt werden.
Gleiches gilt auch für die Einwilligungen. Die Einwilligung in die Verarbeitung personenbezogener Daten muss in jedem Fall schriftlich bzw. elektronisch erfolgen, § 29 MPDG. Sollte der Teilnehmer nicht in der Lage sein, die Einwilligung zu erteilen, kann er vertreten werden. Doch aufgepasst, im Falle einer Vertretung gilt die Aufklärungspflicht gegenüber dem Vertreter.
Innerhalb der Studie
Pseudonymisierung und Anonymisierung:
Gerade bei der Verarbeitung von sensiblen personenbezogenen Daten fallen schnell Begriffe wie Pseudonymisierung und Anonymisierung. Beide Prozesse dienen dem Schutz der betroffenen Person und doch gibt es einen entscheidenden Unterschied. Bei der Pseudonymisierung werden personenbezogene Daten durch Codes oder Identifikationsnummern ersetzt. Der Personenbezug bleibt erhalten, weil die Pseudonyme in einer Liste den personenbezogenen Daten zugeordnet werden. Pseudonymisierte Daten sind weiterhin personenbezogene Daten, die in den Anwendungsbereich der DSGVO fallen. Bei der Anonymisierung wird der Personenbezug entfernt. Das Pseudonym ist nicht mehr einer bestimmten Person zugeordnet. Der Zugreifende hat auch keine Möglichkeit der Wiederherstellung des Personenbezuges. Dadurch ist der Anwendungsbereich der DSGVO nicht mehr eröffnet.
Personenbezogene Daten der Studienteilnehmer müssen bei der Erhebung grundsätzlich pseudonymisiert werden. Gleiches gilt gem. § 42a AMG für die Übertragung der Daten an die Europäische Arzneimittel-Agentur.
Die identifizierenden personenbezogenen Daten müssen also durch eine Zuordnungskennung (z.B. ID-Nummer) ersetzt werden. Ein Personenbezug ist dann nur noch über eine Zuordnungsregel (z.B. anhand einer getrennt von den Gesundheitsdaten sicher aufbewahrte Liste, die die ID-Nummer den personenbezogenen Daten gegenüberstellt) wiederherstellbar. Die Trennung dieser Liste von den pseudonymisierten Teilnehmerdaten muss durch entsprechende Sicherheitsmaßnahmen gewährleistet werden. Die technischen und organisatorischen Maßnahmen, die zur Trennung der ergriffen werden, müssen auch im Falle einer Kontrolle durch die Ethik-Kommissionen ordnungsgemäß dokumentiert werden.
Der relevante Rechtsrahmen bezüglich der Dauer der Archivierung ergibt sich aus zahlreichen gesetzlichen Vorgaben wie dem SGB V (fünftes Sozialgesetzbuch), der RöV (Röntgenverordnung), der StrlSchV (Verordnung zum Schutz vor der schädlichen Wirkung ionisierender Strahlung) sowie dem MPDG und dem AMG. Besonders erwähnenswert sind auch die Vorgaben der EU-Verordnung Nr. 536/2014, welche für die sog. “Masterfiles” bei klinischen Prüfungen eine Speicherfrist von 25 Jahren verbindlich vorschreibt.
Fazit
Die datenschutzrechtlichen Anforderungen an alle Parteien einer klinischen Studie sind hoch, aber, mit Blick auf die Risiken für die Teilnehmer, angemessen. Bei der rechtlichen Begleitung der Studie sollten die gesonderten datenschutzrechtlichen Verträge, die Wahrnehmung der Aufklärungspflicht, die Einholung der Einwilligungserklärung und die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen besondere Aufmerksamkeit erfahren. Zur Umsetzung dieser umfangreichen Aufgaben sollte ein erfahrener Datenschutzbeauftragter benannt werden. Das Team von WS-Datenschutz steht Ihnen dabei in Ihrer Rolle als Sponsor oder Prüfstelle gerne zur Seite.