Cloud Computing: Speicherung von Daten außerhalb der EU
Seminarempfehlung
21./22. Januar 2025
mit umfangreicher Dokumentation eines realisierten Projekts
Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle, aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:
- Grundlagen der Cloud Computing Technologie
- Regulatorische Grundlagen und Erwartungen von Inspektoren
- Kunden-Lieferanten-Beziehung
- Anforderungen an den Cloud Service Provider (CSP)
- Anforderungen an die Lieferantenbewertung und Lieferantenaudits
- Qualifizierungs-/Validierungsanforderungen
Frage 30: Ist es zulässig - und falls ja - unter welchen Bedingungen ist es möglich, Daten außerhalb der EU physisch zu speichern?
Themenkreis Regulatorische Grundlagen und Erwartungen von Inspektoren
In EU-GMP findet man keine Hinweise auf die Physische Aufbewahrungsstätte elektronischer Daten. Schaut man in die AMWHV, findet man folgenden Hinweis:
§ 20 Aufbewahrung der Dokumentation
(1) Alle Aufzeichnungen über den Erwerb, die Herstellung einschließlich der Freigabe, die Prüfung, Lagerung, das Verbringen in den oder aus dem Geltungsbereich des Arzneimittelgesetzes, die Einfuhr oder die Ausfuhr, das Inverkehrbringen einschließlich der Auslieferung sowie Aufzeichnungen über die Tierhaltung und Aufzeichnungen der oder des Stufenplanbeauftragten oder der nach § 19 Abs. 7 Satz 1 entsprechend beauftragten Person sind vollständig und mindestens bis ein Jahr nach Ablauf des Verfalldatums, jedoch nicht weniger als fünf Jahre aufzubewahren. Die Aufbewahrung muss in einem geeigneten Bereich der von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räume erfolgen.
Der zweite Satz bringt nun hinsichtlich der physikalischen Aufbewahrung von elektronischen Daten massive Probleme mit sich. Die muss zunächst so interpretiert werden, dass eine Aufbewahrung außerhalb des Firmengeländes zwangsläufig kaum möglich ist. Dieses Problem wurde von der EFG 11 erkannt und in einem Votum bewertet:
Votum V1100202 - Anforderungen an die Aufbewahrung elektronischer Daten
Entsprechend ZLG ist ein Votum eine Stellungnahme einer Expertenfachgruppe zu einem auslegungsfähigen oder erklärungsbedürftigen Sachverhalt.
Entscheidend ist nun das von der EFG 11 formulierte Ergebnis. Hier heißt es in Punkt 3 "Ergebnis":
Im Falle einer elektronischen Dokumentation ist die Anforderung der Aufbewahrung von E-Records/Dokumenten in von der Erlaubnis nach § 13, § 72 oder § 72c Absatz 4 des Arzneimittelgesetzes erfassten Räumen erfüllt, wenn in den von der Erlaubnis erfassten Räumen mindestens ein Endgerät (z. B. Terminal oder PC nebst Drucker) zur Verfügung steht, so dass ein Zugriff auf die Gesamtheit der Daten und Metadaten möglich ist, lesbare Ausdrucke und Kopien auf Datenträgern erzeugt werden können.
In dem Votum werden dann aber auch weiter Anforderungen an den externen Dienstleister (CSP) formuliert. Insbesondere folgender Hinweis ist zu beachten:
Es gelten grundsätzlich die gleichen Anforderungen an einen CSP wie an einen regulierten Nutzer.
Hinweise auf die geographische bzw. politische Situation des externen CSP sind allerdings nicht zu finden. Bleibt also noch das Problem, inwiefern die Aussage der EFG 11 im Votum auch für Standorte außerhalb der EU gilt. Hier hilft ein Blick in das AIM der EFG 11 weiter (Aide-Mémoire der EFG 11 - Überwachung computergestützter Systeme 07121202). Hier findet man einen entscheidenden Hinweis. Und zwar ist im Abschnitt 17 Archivierung folgende Frage formuliert:
17-7 Können Daten in einer anderen Einrichtung als die des Erlaubnisinhabers archiviert werden?
Die Antwort der EFG 11 lautet:
Die Daten können mit Zustimmung der zuständigen Behörde bei einer externen Einrichtung innerhalb der EU archiviert werden. Es gelten die GMP-Vorgaben hinsichtlich Dienstleister-qualifizierung, Durchführung von Audits, u. a. Die archivierten Daten müssen innerhalb einer angemessenen Zeit der zuständigen Behörde zugänglich gemacht werden können (siehe Votum V11002).
Danach ist offensichtlich nach Auffassung der EFG 11 eine Aufbewahrung der Daten außerhalb der EU nicht möglich und selbst innerhalb der EU sollte unbedingt bei der zuständigen Behörde nachgefragt werden.
Weitere Fragen und Antworten des Expertenteams zum Thema "Cloud Computing"
Hier finden Sie weitere Fragen und Antworten zum Thema "Cloud Computing" die u.a. das Expertenteam beantwortet hat.
Die Experten
Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart