Ende Januar hat der Europäische Datenschutzausschuss (EDSA) Leitlinien veröffentlicht, worin das Verhältnis zwischen der EU-Datenschutz-Grundverordnung (DSGVO) und den EU-Vorschriften über die Durchführung von klinischen Prüfungen mit Humanarzneimitteln erläutert wird. Die Leitlinien verdeutlichen, auf welche Erlaubnistatbestände die Sponsoren und Prüfer ihre Datenverarbeitungen abstützen können. Diese Fragestellung, namentlich die Gültigkeit von Einwilligungen, ist auch für die Vielzahl von Schweizer Unternehmen und Organisationen bedeutsam, die an internationalen Studien beteiligt sind. Besondere Beachtung zu schenken ist den Ausführungen des EDSA zu den hohen Anforderungen an die Freiwilligkeit von Einwilligungen im Kontext von klinischen Studien.

Ausgangslage in der EU: bevorstehende Anwendung der Verordnung über klinische Prüfungen und neue DSGVO

Die Ende Januar veröffentlichten Leitlinien des EDSA, der aus den Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) besteht, gehen auf eine Anfrage der EU-Kommission GD (SANTE) zurück. Diese erarbeitet derzeit ein «Q&A»-Dokument zum Zusammenspiel der EU-Vorschriften zum Datenschutz und denjenigen für klinische Prüfungen mit Humanarzneimitteln. Letztere wurden bereits 2014 revidiert und in Kraft getreten. Die bisherige Richtlinie (2001/20/EG) wird deshalb durch die neue Verordnung (Nr. 536/2014; kurz: Clinical Trials Regulation, CTR) abgelöst.

Mit der neuen EU-Verordnung wird das Bewilligungsverfahren in der EU harmonisiert. Künftig wird für die gesamte EU pro Studie ein zentraler Antrag genügen, der vom Sponsor über ein Online-Portal bei der Europäischen Arzneimittel Behörde (EMA) eingereicht werden kann. Die neue Regelung kommt zur Anwendung, sobald das darin vorgesehene Online-Portal funktionstüchtig ist. Derzeit wird mit der Anwendung 2020 gerechnet.

Die Leitlinien des EDSA sind zwar primär mit Blick auf die neue Verordnung verfasst worden, enthalten jedoch bereits wertvolle Hinweise für die Durchführung von klinischen Prüfungen nach der bisherigen EU-Richtlinie. Denn die EU-DSGVO gilt bekanntlich bereits seit dem 25. Mai 2018.

Die Leitlinien des EDSA fokussieren auf die Frage, auf welche Erlaubnistatbestände nach der DSGVO (z.B. Einwilligung) die Datenverarbeitungen von Sponsoren und Forschern abgestützt werden können. Da nach der DSGVO jede Verarbeitung von personenbezogenen Daten ohne Erlaubnistatbestand verboten ist, ist die Fragestellung von grundlegender Bedeutung. Für klinische Prüfungen kommt hinzu, dass regelmässig Daten über die Gesundheit von Personen bearbeitet werden, sodass erhöhte Anforderungen bestehen. Verstösse gegen die Vorgaben der DSGVO können bekanntlich mit hohen Bussgeldern sanktioniert werden.

Eine Klärung des Zusammenspiels zwischen den beiden Rechtsvorschriften von Seiten der Datenschützer ist deshalb für alle Beteiligten wertvoll.

Bedeutung für Schweizer Firmen und Ausgangslage in der Schweiz

Für die Schweiz als Drittstaat ist die neue EU-Verordnung zwar nicht bindend. Der Geltungsbereich der Verordnung erstreckt sich denn auch nur auf in der Union durchgeführte klinische Prüfungen. Wenn aber bspw. klinische Studien ausserhalb der EU durchgeführt werden, die in der EU zur Marktzulassung von Humanarzneimitteln eingereicht werden sollen, sind die Vorschriften der Verordnung oder zumindest deren Grundsätze gleichwohl zu beachten (vgl. Anhang I Nummer 8 der Richtlinie 2001/83/EG).

Darüber hinaus sind auch die Vorschriften der EU-DSGVO nicht nur für EU-Unternehmen relevant (vgl. dazu allgemein MLL-News vom 10.12.2018). Gerade bei der Durchführung von klinischen Studien besteht eine Vielzahl von Konstellationen, in welchen auch Schweizer Unternehmen den Vorgaben der DSGVO unterstellt sein könnten oder sie zumindest vertraglich zu deren Einhaltung verpflichtet werden. Insoweit sind das Zusammenspiel zwischen der CTR und der DSGVO sowie die Leitlinien des EDSA auch aus Schweizer Sicht von Bedeutung.

DSGVO-Vorschriften parallel anwendbar

In den Leitlinien bekräftigt der EDSA einleitend, dass die Vorschriften der beiden Regelwerke parallel zur Anwendung gelangen. Dass für die Verarbeitung von personenbezogenen Daten im Rahmen von klinischen Prüfungen die DSGVO zu beachten ist, geht bereits aus Art. 93 CTR hervor (vgl. ferner Art. 28 Abs. 1 lit. d CTR). Die DSGVO weist ihrerseits in den Erwägungsgründen (Nr. 156 und 161) auf die Massgeblichkeit der CTR hin.

Ferner enthält die DSGVO aber auch zahlreiche Spezialregelungen für die Verarbeitung von personenbezogenen Daten zu Forschungszwecken. Diese sehen – unter bestimmten Voraussetzungen – gewisse Erleichterungen für solche Datenverarbeitungen vor und es können in anderen Erlassen der EU oder der Mitgliedstaaten auch Ausnahmen von den Betroffenenrechten vorgesehen werden (vgl. Art. 89 DSGVO).

Zusammengefasst enthält die CTR gemäss EDSA aber bloss spezifische, auch aus Sicht des Datenschutzrechts relevante Regelungen, nicht jedoch Abweichungen von der DSGVO.

Unterscheidung zwischen «primary use» und «secondary use» sowie verschiedenen Verarbeitungszwecken

Die weiteren Ausführungen in den Leitlinien des EDSA fokussieren sich angesichts des «dringlichen Klärungsbedarfs» auf die Frage nach den einschlägigen Erlaubnistatbeständen. Die Leitlinien unterscheiden dabei zwischen «primary use» und «secondary use». Zu ersteren zählen alle Verarbeitungen im Zusammenhang mit einem bestimmten klinischen Prüfplan, vom Beginn der klinischen Prüfung bis zur Löschung am Ende des Archivierungszeitraums. Als «secondary use» wird demgegenüber die Weiterverarbeitung der gewonnenen Daten ausserhalb des Prüfplans betrachtet.

Der EDSA ist ferner der Auffassung, dass auch innerhalb der «primary use» Unterscheidungen vorzunehmen sind. Nicht alle Datenverarbeitungen im Rahmen des gesamten «Lebenszyklus» einer klinischen Prüfung dienen gemäss EDSA dem gleichen Zweck und können auch nicht auf den gleichen Erlaubnistatbestand abgestützt werden.

Datenverarbeitungen zur Sicherstellung der Zuverlässigkeit und zu Sicherheitszwecken

Ausgehend davon äussert sich der EDSA zunächst zum Erlaubnistatbestand «Gesetz», der angerufen werden kann, wenn eine Datenverarbeitung erforderlich ist, um eine rechtliche Verpflichtung zu erfüllen. Dieser Erlaubnistatbestand greift gemäss EDSA bei Datenverarbeitungen, die der Sicherstellung der Zuverlässigkeit der Daten oder Sicherheitszwecken dienen, und von der CTR oder nationalen Vorschriften explizit vorgesehen sind.

Dies sei insbesondere der Fall, bei Datenverarbeitungen zur Erfüllung der Meldepflichten und der Durchführung der Sicherheitsberichterstattung (Art. 41 – 43 CTR) und der Pflicht zur Archivierung des Master File (Art. 58 CTR) sowie der Patientenakten der Prüfungsteilnehmer (nach nationalem Recht). Dasselbe gilt für die Weitergabe von Daten aus klinischen Prüfungen an die zuständigen nationalen Behörden im Rahmen einer Inspektion (Art. 77- 79 CTR).

Aus Sicht der Schweizer Unternehmen ist jedoch Vorsicht geboten und sorgfältig zu prüfen, ob resp. inwieweit auch sie sich auf diesen Erlaubnistatbestand berufen können.

Auf reine Forschungsaktivitäten bezogene Datenverarbeitungen

Datenverarbeitungen, die sich ausschliesslich auf Forschungstätigkeiten im Rahmen einer klinischen Prüfung beziehen, können nach Ansicht des EDSA jedenfalls nicht auf den Erlaubnistatbestand einer gesetzlichen Verpflichtung abgestützt werden. Es müssen deshalb andere Erlaubnistatbestände geprüft werden.

In Frage kommt insbesondere die Einwilligung der betroffenen Person. Diese ist jedoch von der «informierten Einwilligung» in die Teilnahme an einer klinischen Prüfung (Art. 28 CTR) zu unterscheiden. Diese dient der Einhaltung der ethischen Kernanforderungen bei Forschungsprojekten mit Menschen und nicht der Sicherstellung der datenschutzrechtlichen Compliance.

Die Einwilligung nach der DSGVO ist nur gültig, wenn sie «freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben» wird. Werden Daten über die Gesundheit einer Person erhoben, wird ferner eine ausdrückliche Einwilligung verlangt. Der EDSA verweist hierfür auf die Erläuterungen in den Leitlinien ihrer Vorgängerorganisation, der Artikel-29-Datenschutzgruppe (Guidelines on consent).

Bei klinischen Studien kann die Voraussetzung der Freiwilligkeit besonders problematisch sein. An der Freiwilligkeit kann es selbst dann fehlen, wenn die Anforderungen der CTR an eine informierte Einwilligung erfüllt sind, wie der EDSA betont. Dies sei namentlich Fall, wenn ein klares «Ungleichgewicht der Macht» zwischen dem Teilnehmer und dem Sponsor/Prüfer besteht. Deshalb gilt eine Einwilligung gemäss EDSA in folgenden Fällen nicht als freiwillig erteilt:

  • wenn ein Teilnehmer nicht in gutem Gesundheitszustand ist,
  • wenn er einer wirtschaftlich oder sozial benachteiligten Gruppe angehört oder
  • in einer Situation institutioneller oder hierarchischer Abhängigkeit.

Daher sei die Einwilligung in den meisten Fällen nicht der geeignete Erlaubnistatbestand und es müssten Alternativen geprüft werden. Vor der Abstützung von Datenverarbeitungen auf die Einwilligung der Teilnehmer sollten die Verantwortlichen deshalb eine besonders sorgfältige Prüfung der Umstände der klinischen Prüfung vornehmen. Darüber hinaus weist der EDSA auch darauf hin, dass die Einwilligung nach der DSGVO jederzeit widerrufen werden kann. Dies gelte auch im Rahmen von klinischen Prüfungen und es bestehe keine Ausnahme für die wissenschaftliche Forschung. Daran ändere auch die Regelung in der CTR nichts, wonach der Widerruf der Einwilligung im Sinne der CTR «keine Auswirkungen auf Tätigkeiten {hat}, die auf der Grundlage der Einwilligung nach Aufklärung bereits vor deren Widerruf durchgeführt wurden, oder auf die Verwendung der auf dieser Grundlage erhobenen Daten.»

Ausgehend davon ist zu bedauern, dass die Ausführungen des EDSA zu den «alternativen» Erlaubnistatbeständen sehr knapp gehalten sind, bezeichnet er doch diese explizit als geeigneter («more appropriate»). Nach Ansicht des EDSA «können» jedenfalls die Erlaubnistatbestände der «Wahrnehmung einer Aufgabe im öffentlichen Interesse» oder eventuell auch des «überwiegenden eigenen Interesses» greifen. Letzterer scheidet allerdings stets aus, wenn, wie im Regelfall, Gesundheitsdaten verarbeitet werden. Dann kann für die Datenverarbeitung zu reinen Forschungszwecken laut EDSA nur entweder litera i oder litera j von Art. 9 Abs. 2 DSGVO angerufen werden. Nähere Ausführungen macht der EDSA nicht.

Damit einer der dieser Erlaubnistatbestände greift, wird in der DSGVO zumindest Folgendes vorausgesetzt:

  • die Datenverarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (lit. i) oder für wissenschaftliche Forschungszwecke (lit. j) erforderlich;
  • es besteht eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats
  • darin sind angemessene und spezifische Massnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorgesehen

Beispiele für konkrete Datenverarbeitungen, die sich auf eine bestimmte Grundlage abstützen lassen, die den Anforderungen der DSGVO entspricht, sucht man in den Leitlinien vergeblich.

Weiterverwendung der im Rahmen des Prüfplans erhobenen Daten (secondary use)

Die CTR erlaubt dem Sponsor, den Teilnehmer um seine Einwilligung zu ersuchen, dass seine Daten ausserhalb des klinischen Prüfplans weiterverwendet werden. Diese Weiterverwendung darf jedoch ausschliesslich zu wissenschaftlichen Zwecken erfolgen (Art. 28 Abs. 2 CTR). Der EDSA betont wiederum, dass eine solche informierte Einwilligung von der Einwilligung nach der DSGVO zu unterscheiden ist.

Für die Frage, inwieweit für eine solche Weiterverwendung der Daten überhaupt eine Einwilligung oder ein anderer Erlaubnistatbestand erforderlich ist, verweist der EDSA auf die sog. Kompatibilitäts-Vermutung (Art. 5 Abs. 1 lit. b DSGVO). Dabei handelt es sich um eine Ausnahme vom Zweckbindungsgebot. Dieses verlangt, dass personenbezogene Daten nur für vorgängig festgelegte Zwecke erhoben werden und «nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden» dürfen. Sollen die Daten zu einem Zweck verarbeitet werden, der mit dem ursprünglich angegebenen nicht vereinbar/kompatibel ist, muss hierfür namentlich ein gesonderter Erlaubnistatbestand vorhanden sein.

Abweichend davon gestattet die DSVO jedoch die Weiterverarbeitung zu wissenschaftlichen Forschungszwecken, wenn die Voraussetzungen von Art. 89 Abs. 1 DSGVO erfüllt sind. Erforderlich sind danach «geeignete Garantien», insbesondere technische und organisatorische Massnahmen, welche die Einhaltung des Grundsatzes der Datenminimierung sicherstellen. Sind diese Voraussetzungen erfüllt, braucht es gemäss EDSA für die Weiterverarbeitung von Daten aus klinischen Studien für wissenschaftliche Zwecke ausserhalb des Prüfplans keinen neuen Erlaubnistatbestand. Der Erlaubnistatbestand für die «primary use» gilt auch hierfür. Der EDSA mahnt aber aufgrund der Komplexität der Voraussetzungen zur Vorsicht und weist auf die übrigen Voraussetzungen der DSGVO hin, die auch in diesen Fällen eingehalten werden müssen.

Fazit und Ausblick

Die Leitlinien des EDSA veranschaulichen eine der zentralsten datenschutzrechtlichen Fragestellungen bei der Durchführung von klinischen Studien. Sie verschaffen zumindest insofern Klarheit über die offenen Fragen, als der Standpunkt auf Seiten der EU-Datenschützer nun (in groben Zügen) festgelegt wurde.

Erstaunlich und fragwürdig ist jedoch die darin zum Ausdruck gebrachte Haltung gegenüber der Gültigkeit von Einwilligungen nach der DSGVO. Es führt jedenfalls zu einem für die Betroffenen kaum nachvollziehbaren Widerspruch, wenn sie der Teilnahme an einer klinischen Studie wirksam zustimmen können, ihre Einwilligung in die damit verbundenen Datenverarbeitungen jedoch «in den meisten Fällen» nicht freiwillig und damit unwirksam sein soll. Auch die Situation der datenverarbeitenden Unternehmen wird durch den Standpunkt des EDSA nicht erleichtert. Es wird ihnen insbesondere die Beurteilung überlassen, ob eine konkrete Datenverarbeitung noch vom öffentlichen Interesse abgedeckt bzw. zu dessen Verwirklichung noch «erforderlich» ist. Diese Unsicherheit in einem so sensiblen Bereich wie der Bearbeitung von Gesundheitsdaten ist äusserst problematisch. Es bleibt zu hoffen, dass die Gerichte zu mehr Klarheit und zu praxisgerechteren Ergebnissen beitragen werden.

Mit Blick auf die massgeblichen Schweizer Vorschriften ist sodann auf die laufende Evaluation des Humanforschungsgesetzes (HFG) hinzuweisen. In diesem Rahmen untersucht das Bundesamt für Gesundheit auch, inwiefern das Schweizer Recht an die neue EU-Verordnung angepasst werden soll. Ferner soll bekanntlich auch das Schweizer Datenschutzgesetz revidiert werden (vgl. MLL-News vom 21.9.2017 und MLL-News vom 12.4.2018). Die weitere Entwicklung sollte folglich auch hierzulande im Auge behalten werden.

Weitere Informationen: