Klinische Studien: Welche Anforderungen stellt das Datenschutzrecht?

Für die Bereiche Forschung und Entwicklung in der Medizin sind die Ergebnisse klinischer Studien essenziell. Weil Testungen beispielsweise neu entwickelter Medikamente direkt am Probanden durchgeführt werden, sind sie einerseits besonders hilfreich für die Optimierung von Diagnose- und Behandlungsmethoden. Andererseits sind sie aus diesem Grund aber auch besonders sensibel für die betroffenen Personen. Regelmäßig werden Gesundheitsdaten in großem Umfang oder sehr detailliert verarbeitet, sodass datenschutzrechtlich erhöhte Vorsicht erwartet wird. Hier gilt es, ein angemessenes Gleichgewicht zwischen den Zielen der Studie und den Interessen der Probanden zu finden.

I. Datenschutzrechtliche Anwendungsfälle bei klinischen Studien

Klinische Studien lassen sich aus datenschutzrechtlicher Perspektive in zahlreiche Anwendungsfälle unterteilen. Worauf besonders geachtet werden sollte:

  • Aufklärung der Proband:innen sowie Einholung notwendiger Einwilligungen
  • Aufnahme der Proband:innen in eine Studie sowie Erhebung und Strukturierung studienrelevanter Daten
  • Management unerwarteter Ereignisse
  • Sicherung der Datenqualität
  • Erteilung von Auskünften
  • Auswertung von Daten und externe Sekundärnutzung für weitere (ggf. erst in Zukunft genau zu definierende) Forschungszwecke
  • Mitteilung der Studienergebnisse
  • Archivierung
  • Publikationen und Veröffentlichungen
  • Sperrung, Anonymisierung und Löschung

Bevor es allerdings möglich ist, mit einer klinischen Studie zu beginnen, müssen die Ethikkommission und die Arzneimittelbehörde dem Vorhaben zustimmen. In aller Regel wird die Zustimmung erteilt, soweit es sich um ein ärztlich vertretbares Vorhaben handelt.

II. Vor der Studie: Aufklären und Einwilligungen einholen

Vor der tatsächlichen Aufnahme von Studienteilnehmer:innen und deren Daten in die Studie müssen der Aufklärungs- sowie der Einwilligungspflicht Rechnung getragen werden. Erstere sollte umfassend erfolgen und alle Nachteile, Risiken und Eventualitäten berücksichtigen, ohne aber die Proband:innen mit einer Überfülle an Informationen zu konfrontieren. Der oder die zuständige Prüfarzt oder Prüfärztin sollte dabei immer das Ziel der Aufklärungspflicht vor Augen haben, nämlich die Verbesserung der Entscheidungskompetenz der Proband:innen: Die Proband:innen sollen auf Basis einer soliden Informationsgrundlage die Tragweite der Studie und der damit verbundenen Datenverarbeitungen erkennen und in die Durchführung der Studie einwilligen können. Ohne Einwilligung ist eine klinische Studie in aller Regel nicht rechtskonform möglich.

Zudem sollte die Einwilligung schriftlich bzw. elektronisch erteilt werden. Die Datenschutz-Grundverordnung (DSGVO) verpflichtet dazu zwar nicht, allerdings schreibt § 40 Abs. 1 S. 3 Nr. 3 lit. b) und c) Arzneimittelgesetz (AMG) dies für klinische Studien zwingend vor. Im Übrigen sollte die Einwilligung auch zur Nachweisbarkeit und Dokumentation schriftlich eingeholt werden. Des Weiteren sollte beachtet werden, dass eine Einwilligung jederzeit widerrufen werden kann und Proband:innen hierüber aufgeklärt werden müssen. Für klinische Studien gilt darüber hinaus aufgrund des § 40 Abs. 2a S. 2 Nr. 3 AMG eine Besonderheit: Danach ist eine Weiterverarbeitung der Daten trotz Widerruf rechtlich möglich, „soweit dies erforderlich ist, um

a) Wirkungen des zu prüfenden Arzneimittels festzustellen,
b) sicherzustellen, dass schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden,
c) der Pflicht zur Vorlage vollständiger Zulassungsunterlagen zu genügen.“

Wichtig ist, dass auf diese Möglichkeiten der Weiterverarbeitung in den Informationen im Rahmen der Einwilligung hingewiesen wird. Nach der erfolgten Einwilligung kann mit der Studie und den damit verbundenen Datenerhebungen begonnen werden.

III. Recht der betroffenen Personen und Datenschutzgrundsätze sicherstellen

Die DSGVO zählt eine Reihe von Betroffenenrechten auf, die den Proband:innen im Rahmen der Verarbeitung ihrer Daten zustehen und die Verantwortliche einer Studie sicherstellen müssen. Neben den bereits angesprochenen Informations- und Auskunftsrechten gehören vor allem noch die Rechte auf Berichtigung bzw. Vervollständigung falscher bzw. unvollständiger Daten, die Rechte auf Löschung oder Einschränkung der Verarbeitung sowie ein allgemeines Widerspruchsrecht.

Ebenfalls zu den allgemeinen Anforderungen der DSGVO zählt die Umsetzung verschiedener Datenschutzgrundsätze. In diesem Zusammenhang sollte vor allem die Sicherheit der Datenverarbeitung und die Datensparsamkeit gewährleistet sein. Um sowohl die Betroffenenrechte als auch die Datenschutzgrundsätze umsetzen zu können, sollten angemessene technische und organisatorische Maßnahmen ergriffen werden.

IV. Pseudonymisierung und Anonymisierung

Bei klinischen Studien müssen Erhebungen von Daten grundsätzlich in pseudonymisierter Form erfolgen. Daten sind pseudonymisiert, wenn die Identitäts- und Informationsdaten getrennt werden (Art. 4 Nr. 5 DSGVO). Eine Identifikation der jeweiligen Person soll also nur möglich sein, wenn zusätzliche Informationen hinzugezogen werden müssen, die gesondert und durch entsprechende Maßnahmen geschützt aufbewahrt werden. Häufig wird dazu der Name durch eine ID ersetzt.

Des Weiteren gehört die Archivierung aller medizinisch relevanten Behandlungsunterlagen zu den ärztlichen Dokumentationspflichten. Auch hier muss die Trennung von Identifikations- und Informationsdaten fortgeführt werden. Daher müssen die Archive technisch und organisatorisch voneinander getrennt sein. Handelt es sich um Studien nach dem AMG, so müssen auch die Sponsor:innen, denen die Daten bereits in pseudonymisierter Form bereitgestellt wurden, die Daten archivieren. Der relevante Rechtsrahmen ergibt sich mit Blick auf die Archivierung aus zahlreichen gesetzlichen Vorgaben wie der MBO, dem SGB V (Fünftes Sozialgesetzbuch), der RöV (Röntgenverordnung), der StrlSchV (Verordnung zum Schutz vor der schädlichen Wirkung ionisierender Strahlung) sowie dem MPG (Medizinproduktegesetz) und dem AMG. Besonders erwähnenswert sind auch die Vorgaben der EU-Verordnung Nr. 536/2014, welche für die sog. “Masterfiles” bei klinischen Prüfungen eine Speicherfrist von 25 Jahren verbindlich vorschreibt.

Zur weiteren Verarbeitung (etwa nach einer widerrufenen Einwilligung) können Daten schließlich anonymisiert werden, indem der Personenbezug vollständig entfernt wird und eine Identifikation auch unter Heranziehung weiterer Informationen nicht mehr möglich ist. Doch hier ist Vorsicht geboten: Häufig ist über Umwege, besonders bei Datenerhebungen in großem Umfang, eine Identifikation doch möglich. Gerade im Gesundheitswesen sind aufgrund der detaillierten und individuellen Datensätze grundsätzlich Zweifel angebracht, ob allein eine Schwärzung bzw. Löschung der Identifikationsdaten bzw. IDs für eine Anonymisierung ausreicht. Für die Anonymisierung von Daten sollte jedenfalls eine sehr sorgfältige Prüfung durchgeführt werden.


Mehr zum Thema

Datenverar­beitung bei klinischen Studien: Anforderungen im Datenschutz
Fokus-Beitrag zu datenschutz- und IT-rechtlichen Anforderungen im Gesundheitssektor


V. Was gilt bei Datenübermittlungen im Ausland

Spätestens nach dem „Schrems II“-Urteil des EuGHs gilt zudem besondere Vorsicht bei der Übermittlung von Daten in Länder außerhalb des EWR, auch durch Drittdienstleister (wie insbesondere Clinical Research Organisations).

Für Datenübermittlungen in Staaten, für die ein Angemessenheitsbeschluss der EU-Kommission (sogenannte „sichere Drittstaaten“) vorliegt, ergeben sich keine weiteren Probleme. In den meisten anderen Fällen (also bei sogenannten „unsicheren Drittstaaten“) muss auf sogenannte Standardvertragsklauseln zurückgegriffen werden, die die EU-Kommission am 4. Juni 2021 neu angenommen hat. Diese stellen Vorlagen für datenschutzrechtliche Verträge dar, die zwischen den Beteiligten abgeschlossen werden, um das jeweilige Unternehmen im Drittstaat zur Einhaltung eines angemessenen Datenschutzniveaus zu verpflichten.

Darüber hinaus sind – abhängig vom Datenschutzniveau des jeweiligen unsicheren Drittstaats – in der Regel zusätzliche Schutzmaßnahmen erforderlich, für deren Einhaltung und Umsetzung die Vertragspartner:innen selbst verantwortlich sind.

Diese sind deswegen im Bereich von (in der Regel groß und länderübergreifend angelegten) Studien von besonderer Bedeutung, da es sich bei vielen der in diesem Rahmen eingesetzten Clinical Research Organisations um US-amerikanische Unternehmen oder zumindest um Konzerne handelt, die mit verschiedenen Konzernunternehmen auch in den USA und anderen „unsicheren Drittstaaten“ aktiv sind. Gerade in solchen Fällen sollte (gegebenenfalls in Form einer Datenschutz-Folgenabschätzung) genau geprüft und dokumentiert werden, ob und welche zusätzlichen technischen Maßnahmen zum Schutz der Daten erforderlich sind und inwieweit eine Verarbeitung von Studiendaten in solchen Drittstaaten überhaupt zulässig ist. Solche Maßnahmen können insbesondere sichere Verschlüsselungslösungen, Pseudonymisierungsverfahren und organisatorische oder vertragliche Maßnahmen (wie etwa verpflichtende Risikoprüfungen oder Sonderkündigungsrechte) sein. Ein zusätzlicher Schutz besteht insofern allein schon aufgrund der ohnehin bei klinischen Studien verpflichtenden Pseudonymisierung der Studiendaten, sofern diese gerade auch im Hinblick auf die jeweilige Drittstaatenverarbeitung einen angemessenen Schutz vor der Offenlegung der betreffenden Daten gegenüber unbefugten Dritten darstellt.

Neben den Standardvertragsklauseln kommen im Übrigen noch weitere Rechtsgrundlagen wie etwa interne Datenschutzvorschriften in Betracht.

Ob eine Übermittlung von Studiendaten in Drittstaaten zulässig ist und welche Voraussetzungen im Detail daran gebunden sind, hängt im Übrigen immer stark vom Einzelfall ab. Weitere Informationen dazu finden Sie auch in unseren FAQ zu Schrems II.

VI. Fazit

Die Anforderungen an den Datenschutz bei klinischen Studien sind zwar hoch, aber durchaus umsetzbar. Verantwortliche sollten vor allem darauf achten, den Proband:innen alle Informationen bereitzustellen, die Einwilligung rechtskonform zu gestalten und alle Maßnahmen zu dokumentieren. Darüber hinaus ist es wichtig, die Daten wirksam zu pseudonymisieren. Im besten Fall lassen sich somit ein hoher Schutz der Daten und eine hohe Akzeptanz klinischer Studien seitens der Proband:innen erreichen.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.