Wie wirkt sich die GDPR auf klinische Studien aus?

Die Europäische Kommission (EC) hat ein Frage-Antwort-Papier (Question and Answers, Q&A) über das Zusammenspiel zwischen der Verordnung über klinische Prüfungen (EU) 536/2014 (Clinical Trials Regulation = CTR) und der Datenschutz-Grundverordnung (EU) 2016/6792 (General Data Protection Regulation = GDPR) veröffentlicht. Das Q&A-Dokument wird relevant sein, wenn die CTR in Kraft tritt, mit Ausnahme von Frage 11, die die aktuelle Situation im Rahmen der Richtlinie über die Anwendung der guten klinischen Praxis (Clinical Trials Directive = CTD) erläutert. Das Q&A-Papier zeigt, dass beide Regularien - GDPR & CTR - gleichzeitig gelten. Es spiegelt den Stand der Dinge nach Anhörung des Europäischen Datenschutz-Ausschusses wider.

Die folgenden 11 Fragen werden beantwortet:

  • Welche allgemeinen Verpflichtungen gibt es gemäß der CTR in Bezug auf personenbezogene Daten?
    Der Sponsor ist durch die CTR verpflichtet, eine Reihe von Aktivitäten durchzuführen (z.B. Studienergebnisse berichten, Sicherheitsberichte erstellen, das Trial Master File (TMF) für 25 Jahre archivieren). Die Probanden sollten daher über die Verarbeitung ihrer personen-bezogenen Daten angemessen informiert werden.

  • Wer ist für die Festlegung der richtigen Rechtsgrundlage für die Verarbeitung personen-bezogener Daten im Rahmen einer klinischen Studie (clinical trial = CT) verantwortlich?
    Der für die Datenverarbeitung Verantwortliche
    (Sponsor / klinische Einrichtung des Prüfers) ist dazu verpflichtet, die geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um sicherzustellen und nachweisen zu können, dass die personen-bezogenen Daten in Übereinstimmung mit der GDPR verarbeitet werden.

  • Welche Rechtsgrundlagen gelten für die Verarbeitung personen-bezogener Daten von Probanden im Rahmen von klinischen Studien (primäre Verwendung), die gemäß der CTR durchgeführt werden?
    Alle Daten-Verarbeitungen, die sich auf ein bestimmtes CT-Protokoll während des gesamten Lebenszyklus (vom Beginn der Studie bis zum Ende der Archivierungsperiode) beziehen, sind als primäre Verwendung von CT-Daten zu verstehen. Allerdings sind Daten-Verarbeitungen, die sich ausschließlich auf Forschungstätigkeiten beziehen, von jenen zu unterscheiden, die sich auf den Schutz der Gesundheit und Sicherheit von Probanden beziehen. Diese beiden Hauptkategorien von Tätigkeiten fallen unter unterschiedliche Rechtsgrundlagen.

  • Wo liegt der Unterschied zwischen informierter Einwilligung ("informed consent" = IC) im Sinne der CTR und Einwilligung im Sinne der GDPR?
    Der IC im Rahmen der CTR  ist ein Schutz und keine Rechtsgrundlage für die Datenverarbeitung. Daher ist es wichtig, zwischen dem Erfordernis der Einwilligung eines Probanden zur Teilnahme an einem CT und den Anforderungen an eine rechtmäßige Verarbeitung personen-bezogener Daten nach der GDPR zu unterscheiden.

  • Welche Anforderungen gemäß GDPR gibt es für Informationen, die den an einem CT teilnehmenden Probanden gegeben werden sollten?
    Jede Person, die in einem CT eingeschlossen ist, sollte die von der CTR geforderten relevanten Informationen im Zusammenhang mit der klinischen Prüfung sowie die Informationen nach der GDPR erhalten, insbesondere die Rechtsgrundlage für die Datenverarbeitung.

  • Welche Rechtsfolgen hat der Widerruf der Einwilligung zur Teilnahme an einem CT gemäß der CTR?
    Die Einwilligung zur Teilnahme an CTs ist von der Einwilligung zur Verarbeitung personen-bezogener Daten zu unterscheiden. Der Widerruf der Einwilligung zur Teilnahme an einem CT im Rahmen der CTR muss sich nicht unbedingt auf die Verarbeitung der im Rahmen dieser Studie erhobenen personen-bezogenen Daten auswirken. Die personen-bezogenen Daten können weiterhin verarbeitet werden, insbesondere für gesetzliche Verpflichtungen, denen der Sponsor / Prüfer unterliegt, wie z.B. solche im Zusammenhang mit Sicherheitszwecken.

  • Was bedeutet Artikel 28(2) der CTR und welche Auswirkungen hat er auf die Verwendung personen-bezogener Daten außerhalb des CT - Protokolls (sekundäre Verwendung) im Rahmen der GDPR?
    Die CTR weist ausdrücklich auf die Situation hin, in der die Einwilligung zur Verwendung personen-bezogener Daten außerhalb des CT-Protokolls für zukünftige wissenschaftliche Zwecke (= sekundäre Verwendung) eingeholt werden kann. Daten, die anonymisiert sind, fallen nicht in den Anwendungsbereich der GDPR. Der Sponsor kann die Einwilligung des Probanden für eine sekundäre Verwendung bereits zu Beginn der CT einholen. Es ist jedoch wichtig, dass diese Form der Einwilligung strikt vom IC zu unterscheiden ist. Der Sponsor muss die Einwilligung zur Datenverarbeitung im Rahmen einer sekundären Verwendung (unter Verwendung verschiedener Einwilligungsblätter) gesondert einholen. Tritt nach Abschluss der CT die Absicht auf, die Daten für weitere Forschungen außerhalb des CT-Protokolls zu verwenden, muss der Sponsor die Einwilligung von den Probanden gezielt einholen. In jedem Fall muss der Sponsor / Prüfer die betroffene Person gemäß GDPR informieren (z.B. zur Rechtsgrundlage und dem Recht, die Einwilligung jederzeit zu widerrufen).

  • Verarbeitung personen-bezogener Daten im Rahmen von Notfall-CTs
    Sobald die strengen Bedingungen von Artikel 35 der CTR erfüllt sind, kann ein Proband in Notfallsituationen, ausnahmsweise ohne vorherigen IC, in einen CT aufgenommen werden. Nach einer Intervention sollte der IC jedoch so schnell wie möglich vom Probanden (oder seinem gesetzlichen Vertreter) angefordert werden, um den Probanden im CT zu halten. Bestätigt ein Proband / gesetzlicher Vertreter seine Einwilligung nicht, kann die Teilnahme des Probanden nicht fortgesetzt werden. Stirbt eine Person, bevor die Einwilligung bestätigt / verweigert werden konnte, fällt die Verarbeitung dieser Daten nicht mehr unter die GDPR und die Bedingungen für die Verarbeitung können nach nationalem Recht festgelegt werden.

  • Unterliegt ein Sponsor mit Sitz in einem Drittland den EU-Datenschutzbestimmungen?
    Die GDPR gilt für Prüfer und Verarbeiter mit Sitz in der EU und außerhalb der EU, wenn die Daten-Verarbeitungstätigkeiten sich auf Probanden in der EU beziehen. Verarbeitet der Sponsor personen-bezogene Daten von Probanden in der EU, auch im Rahmen der Verwaltung des CT, so ist die GDPR uneingeschränkt anwendbar, einschließlich der Verpflichtung, einen Vertreter in der EU zu benennen.

  • Welche Regeln gelten für die Datenübermittlung außerhalb der EU?
    EU-Einrichtungen, die personen-bezogene Daten an eine Einrichtung außerhalb der EU übermitteln (z.B. an für die Verarbeitung Verantwortliche, Verarbeiter oder andere Empfänger in Drittländern), müssen die Vorschriften für internationale Transfers einhalten. Je nach Situation können Transfers beispielsweise auf der Grundlage einer Angemessenheits-Entscheidung (d.h. wenn die Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet), auf der Grundlage eines Abkommens oder einer Vereinbarung, die angemessene Datenschutzgarantien enthält, oder auf der Grundlage einer der in der GDPR aufgeführten Ausnahmeregelungen (z.B. aus wichtigen Gründen des öffentlichen Interesses) erfolgen.

  • Wie sollte ein Sponsor bei CTs vorgehen, die nach der CTD zugelassen sind?
    Bei neuen CT-Anträgen, die bis zum Inkrafttreten der CTR im Rahmen der CTD zur Zulassung vorgelegt werden, sollte der Sponsor weiterhin die Regeln im Lichte der jeweiligen nationalen Gesetze zur Umsetzung der CTD befolgen. Im Falle von CTD-zugelassenen CTs, die bereits im Gange sind, sollte der Sponsor (d.h. der für die Datenverarbeitung Verantwortliche) prüfen, ob zusätzliche Informationen für die am laufenden CT beteiligten Personen erforderlich sind und ob die erste Einwilligung die Anforderungen der GDPR erfüllt. Wenn nicht, kann eine erneute Einwilligung erforderlich sein.

Weitere Informationen finden Sie in den Fragen und Antworten zum Zusammenspiel zwischen der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung.

Zurück zur Newsübersicht

Kontakt

Kontaktieren Sie uns

Haben Sie Fragen?

Concept Heidelberg GmbH
Rischerstraße 8
69123 Heidelberg

Tel. :+49622184440
Fax : +49 6221 84 44 84
E-Mail: info@concept-heidelberg.de

zum Kontaktformular

NEWSLETTER

Bleiben Sie informiert mit dem GMP Newsletter von Concept Heidelberg!

GMP Newsletter

Concept Heidelberg bietet verschieden GMP Newsletter die Sie auf Ihren Bedarf hin zusammenstellen können.

Hier können Sie sich kostenfrei registrieren.