Datenschutz in pharmazeutischer- und Medizinprodukte-Forschung

 In Datenschutz

Die pharmazeutische- und Medizinprodukte-Forschung basiert auf der Verarbeitung von besonders sensiblen Gesundheitsdaten von am jeweiligen Forschungsvorhaben teilnehmenden (eingeschlossenen) Patienten. Die einzelnen Kategorien der in einem Forschungsprojekt verarbeiteten Daten können ausgesprochen vielfältig sein und reichen von Anamnesen und einzelnen Befunden über Ergebnisse aller möglichen bildgebenden Verfahren, Vitalparameter und Flüssigkeits- oder Gewebeproben bis hin zu genetischen Informationen aller Art.

Es ist sodann heutzutage nur noch eine Binsenweisheit, dass Forschungsdaten selbstverständlich unter Nutzung digitaler Technologien erhoben, übermittelt und analysiert werden. Es sollen an dieser Stelle keine Einzelheiten zu technischen Hintergründen – insbesondere nicht mit Bezug zum technischen Potential der Datenanalyse via Systeme der „künstlichen Intelligenz“ gemacht werden. Augenfällig ist jedoch, dass in der pharmazeutischen- und Medizinprodukte-Forschung dem Datenschutz (und damit natürlich dem Datenschutzrecht als Vehikel des faktischen Datenschutzes) eine besondere Bedeutung zukommt.

Der folgende Beitrag soll einen Einstieg in die Besonderheiten des sogenannten bereichsspezifischen, pharmazeutischen Datenschutzes bieten. Da sowohl im Arzneimittel- als auch im Medizinprodukterecht die gesetzlichen Anforderungen an die Datenverarbeitung im Rahmen der Forschung vergleichbar sind, gelten die nachfolgenden Ausführungen sowohl für pharmazeutische (Arzneimittel-)Forschung im engeren Sinne, als auch für die Medizinprodukte-Forschung.

Arten der Forschung

In diesem Zusammenhang ist zunächst herauszustellen, dass sich die pharmazeutische Forschung in die klinische (interventionelle) und die nichtklinische (nichtinterventionelle) Forschung unterteilen lässt. Die umgangssprachlich teils ungenau verwendete Terminologie wird im Arzneimittelgesetz (AMG) näher spezifiziert. In der klinischen Prüfung werden Arzneimittel am Menschen erprobt und einem vorab festgelegten Prüfplan folgen. Sie dient dazu, sich von der Unbedenklichkeit und Wirksamkeit eines Arzneimittels zu überzeugen (vgl § 4 Abs. 23 AMG). Weitere Funktionen sind die Vorbereitung (vgl § 22 Abs. 2 Nr. 3) und Erweiterung einer Zulassung, sowie die Generierung von weiteren Sicherheits- oder Wirksamkeitsdaten bei bereits zugelassenen Arzneimitteln.

Im Gegensatz dazu wird in der nichtklinische Prüfung (§ 4 Abs. 23 S. 2 und 3) auf Basis eines Beobachtungsplan, der nicht „intervenieren“ darf, geforscht. Die Behandlung, inklusive Diagnose und Überwachung, folgt der ärztlichen Praxis.

Beide Formen der klinischen Prüfung können genutzt werden, um Daten über Sicherheit und Wirksamkeit zu erlangen. Der zweckmäßige Studientyp wird, je nach Fragestellung, vom Auftraggeber gewählt oder von Behörden durch Auflagen nach § 28 bestimmt.

Die Beteiligten an der Forschung

Die Rollenverteilung der Beteiligten in derartigen Forschungen ist komplex und wird durch einen engen regulatorischen Rahmen durch nationale (z.B. Arzneimittelgesetz (AMG), Medizinproduktegesetz (MPG) und die Verordnung über Good Clinical Practice (GCP-V)) und europäische (z.B. EU-VO Nr. 536/2014 – „Clinical Trial Regulation“ (CTR), EU-RL 2001/20/EG – „Good Clinical Practice“ (GCP-Richtlinie)) Vorschriften bestimmt. Ebenfalls zu berücksichtigen sind einschlägige Branchen- und Ethikkodizes (z.B. WMA Deklaration von Helsinki- Ethische Grundsätze für die medizinische Forschung am Menschen, Leitlinie (CPMP/ICH/135/95) zur guten klinischen Praxis (sog. ICH-GCP), DIN EN ISO 14155:2012-01).

In klinischen Forschungen sind in der Regel, gem. § 4 Nr. 24 AMG und § 3 Nr. 23 Medizinproduktegesetz (MPG), pharmazeutische Unternehmen oder Medizinproduktehersteller als Veranlasser, Organisator und Finanzierer sog. „Sponsoren“. Diese Sponsoren bedienen sich oft speziellen Auftragsforschungsunternehmen (sog. Contract Research Organisations – CRO). Diese Unternehmen können den Sponsor in allen Bereichen der Forschungsplanung unterstützen, von der Vorbereitung von Unterstützungsleistungen für ein Studienvorhaben, der Analyse der Studiendaten, bis hin zur wissenschaftlichen Planung und ganzen oder teilweisen Durchführung des Vorhabens selbst.

Weitere Beteiligte an einer Studie sind die den Patienten behandelnden Ärzte (sog. „Prüfer“) und die Kliniken (sog. „Prüfstellen“). Diese beiden erheben und analysieren die Patientendaten und geben sie in der Regel an den Sponsor. Im Rahmen einer klinischen Studie bedarf es hierbei einer informierten Einwilligung. Generell besteht zwischen den Sponsoren und den Patienten keine Verträge, sondern nur Prüfarztverträge zwischen Sponsor und Prüfer.

Patientendaten

Zur Sicherstellung, dass alle gesetzlichen Vorgaben in den Studien eingehalten werden, prüft die sog. Ethik-Kommission alle Forschungsvorhaben vor ihrer Durchführung. Die Prüfung umfasst die medizinischen Standards und die regulatorischen Vorgaben der Studien, aber immer mehr auch die datenschutzrechtliche Struktur der geplanten Forschung. Aufgrund der besonderen Sensibilität der Patientendaten muss der Datenschutz in Forschungsvorhaben geplant und schon bei Vertragsgestaltung berücksichtigt werden.

In den Forschungen stehen diese Patientendaten im Mittelpunkt. Die Erhebung und Verarbeitung dieser im Rahmen einer ärztlichen Behandlung erlauben die Durchführung von pharmazeutischen und Medizinprodukteforschung.

In klinischen Forschung gem. §§ 4 Abs. 23 und 40 AMG bedarf es immer zur Durchführung einer Studie die Einwilligung des Patienten, gem. § 40 Abs. 1 S. 3 Nr. 3 lit. c AMG. In dieser ist die generelle Einwilligung zur Studie, als auch eine datenschutzrechtliche Einwilligung nach Art. 7 Datenschutzgrundverordnung (DSGVO), enthalten.

Auch in der nichtklinischen Forschung bedarf es generell der Einwilligung des Patienten zur Verarbeitung seiner Daten. Eine Ausnahme stellen nur die Fälle dar, in denen eine gesetzliche Rechtsgrundlage die Durchführung der Studie ohne Einwilligung ermöglichen. Dies kann z.B. gegeben sein, wenn eine Arzneimittelbehörde einen Inhaber einer Zulassung die Auflage erteilt, eine Studie zum Nachweis der Sicherheit seines Arzneimittels durchzuführen. In derartigen Fällen kann die Verarbeitung der Patientendaten auch ohne Einwilligung nach Art. 9 Abs. 2 lit. i DSGVO i.V.m. der Rechtsgrundlage zur Verpflichtung des Inhabers möglich sein.

Zur Sicherung der Rechte der Patienten können die Daten, die vom Prüfarzt zum Zweck der Patientenbehandlung erhoben und verarbeitet werden, nur in pseudonymer Form zu Studienzwecken an den Sponsor, bzw. an die CRO übermittelt und zur Erkenntnisgewinnung ausgewertet werden. Dies gilt sowohl bei der klinischen Forschung (§ 40 Abs. 2a Nr. 1 AMG), als auch bei nichtklinischen Forschungen (z.B. Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 2 Nr. 6 Bundesdatenschutzgesetz (BDSG). Diese Anonymisierung erfolgt an der Quelle, also beim Prüfarzt, der die Patienten rekrutiert hat und auch in Bezug auf die Studie behandelt. Die Daten dürfen nur in pseudonomisierter Form zur Verarbeitung weitergegeben werden und muss für den gesamten „Lebenszyklus“ (Übermittlung an Sponsor zur Auswertung und, wenn Notwendig, der Weitergabe an die Zulassungsbehörden) der Daten aufrecht erhalten bleiben. Eine Durchbrechung der Pseudonymisierung ist nur in Ausnahmefällen möglich (z.B. beim Monitoring des Forschungsvorhabens durch den Sponsor). Auch nach Abschluss der Studie dürfen die Daten nur pseudonomisiert beim Sponsor gespeichert werden, was generell in den sog. Trial Master File (TMF) passiert. Wie lange die Daten gespeichert werden müssen, basiert auf vielfältigen Rechtsrahmen (z.B. MBO-Ä, SGB V, RöV, StrlSchV, MPG oder AMG) und kann daher erheblich variieren. Der TMF ist, gem. Art. 58 Clinical Trials Regulation (CTR), vom Sponsor für mind. 25 Jahre nach Beendigung der klinischen Studie aufzubewahren.

Verhältnis Sponsoren / Prüfer

Gem. §§ 40 ff. AMG ist der Sponsor eines Studienvorhabens für dieses der regulatorisch Verantwortliche. Zugleich ist er aber auch zumindest ein datenschutzrechtlicher Verantwortlicher nach Art. 4 Nr. 7 DSGVO, da er (in der Regel) über Mittel und Zweck der Datenverarbeitung im Rahmen der Studie entscheidet. Dies ergibt sich aus § 4 Abs. 24 AMG, wonach der Sponsor derjenige ist der „die Verantwortung für die Veranlassung, Organisation und Finanzierung einer klinischen Prüfung bei Menschen übernimmt.“

Die genaue Verteilung der Verantwortlichkeit zwischen dem Sponsor, dem Prüfer und dem CRO wird unter Betrachtung der allgemeinen Regeln des Art. 4 Nr. 7 DSGVO, bzw. Art. 26 DSGVO, ersichtlich.

Bezüglich der Verarbeitung und Speicherung von Patientendaten ist es möglich, dass die Prüfer, bzw. Prüfstelle und der Sponsor entweder als gemeinsam oder getrennt Verantwortliche auftreten. Es wird darauf abgestellt, wer über Mittel und Zwecke der Datenverarbeitung (mit)entscheiden kann. Ein Indiz für eine gemeinsame Verantwortung kann sein, wenn der Prüfer eine eigene Entscheidungsbefugnis über die Patientendaten hat, z.B. durch die Auswahlbefugnis bezüglich Analyseverfahren oder durch kooperative Entwicklung des Prüfplanes zwischen Sponsor und Prüfer.

Gerade die Tatsache, dass auch der Prüfer, bzw. das Prüfzentrum, gemeinsam mit dem Sponsor verantwortlich sein können, wird gerade im internationalen Kontext oft verkannt. Es wird regelmäßig, auch von mitgliedsstaatlichen Aufsichtsbehörden, die Meinung vertreten, dass das Prüfzentrum generell der Auftragsverarbeiter ist. So werden im französischen „“méthodologie de référence 001″ (MR-001)“ Bedingungen definiert, nachdem Unternehmen vereinfachte Genehmigungen für Studienvorhaben erhalten können. Hierin wird der Prüfarzt generell als Auftragsverantwortliche definiert. Basierend hierauf müssen internationale Forschungsvorhaben unter Beteiligung französischer Unternehmen einen erhöhten Verhandlungsaufwand betreiben. Die Rechtsgrundlagen zwischen dem Datenaustausch zwischen Prüfarzt und Sponsor muss entsprechend gestaltet sein und der Sponsor oder CRO müssen regelmäßig aufwendige Dokumentation der Datenströme durchführen.

Verhältnis Sponsoren / CRO

In der Beziehung mit den CRO treten diese gegenüber dem Sponsor i.d.R. als Auftragsverarbeiter auf, soweit sie nicht über Mittel und Zwecke der Datenverarbeitung in der Studie selbst bestimmen können. Insofern ist schon bei der Gestaltung des Auftragsforschungsvertrages zwischen diesen Parteien besonders auf die datenschutzrechtlichen Aspekte zu achten. Wie schon zuvor ergibt sich die genaue Verantwortlichkeitsstruktur aus den Grundsätzen der DSGVO. Es bedarf daher der genauen Analyse der jeweils im Vertrag für das individuelle Studienprojekt definierten Leistungen. Eine eigene Stellung des CRO als Verantwortlicher kommt, z.B., in Betracht, wenn sie in eigener Verantwortung den notwendigen Prüfplan („Protocol“) gestaltet oder auswählt, welche Daten vom Patienten erhoben werden dürfen und auf welche Weise sie zur Analyse verarbeitet werden können. Ein anderes Indiz für eine Stellung als Verantwortlicher kann sich daraus ergeben, wenn die CRO die datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Patientendaten in eigener Verantwortung erstellt.

Sollte die Prüfung der Leistungen nach den Abgrenzungskriterien der Art. 4 Nr. 7 DSGVO, bzw. Art. 26 DSGVO, ergeben, dass die CRO als Verantwortlicher agiert, hat dies erhebliche regulatorische Konsequenzen und kann in der Beziehung zum eigentlichen Sponsor zu rechtlichen Abgrenzungsproblemen führen. Es bekommt fraglich, wer regulatorisch als Verantwortlicher, und damit auch als tatsächlicher Sponsor, der Studie auftritt.

 

Recent Posts
Contact Us

Not readable? Change text. captcha txt