Der Datentransfer studienspezifischer Daten in Drittländer und die Angemessenheitsbeschlüsse der EU – Wie sicher ist das eigentlich?
Mit der Globalisierung nimmt auch der Datentransfer ständig zu. Und so werden inzwischen auch zahlreiche studienspezifische Daten aus klinischen Prüfungen rund um den Globus verschickt und verarbeitet. Die Vorteile für die klinische Forschung liegen auf der Hand - aber sind die Daten der Studienteilnehmer aus der EU überhaupt sicher? Genießen die Teilnehmer dann überhaupt noch die gleichen Rechte, die ihnen die Datenschutz-Grundverordnung (DSGVO) beschrieben, wenn jene Daten beispielsweise in Indien ausgewertet werden? Zu diesem Zweck prüfte die EU andere Länder auf deren Datenschutzniveau und erstellte sogenannte „Angemessenheitsbeschlüsse“, wenn deren Schutzlevel annähernd dem der EU entsprach. Doch garantieren solche Beschlüsse, wie etwa das EU-US Privacy Shield, den Betroffenen wirklich gleichwertigen Schutz? Mitnichten, sagen anerkannte Juristen, da Unternehmen außerhalb der EU oftmals von sich aus zusätzliche technische und organisatorische Maßnahmen (TOMs) implementieren müssen, um überhaupt dem Datenschutzniveau in der EU zu entsprechen. Hier ist für Sponsoren, Prüfer und Zentren also Vorsicht geboten. Die CRO CW-Research & Management GmbH hat sich daher darauf spezialisiert, alle beteiligten Parteien in der Start-Up Phase einer Studie zu begleiten, sodass einem Datentransfer ins EU-Ausland regulatorisch nichts im Wege steht.
(firmenpresse) - Mit Geltungsbeginn (25. Mai 2018) der neuen EU-Datenschutzgrundverordnung (DSGVO) hat sich auch in der Klinischen Forschung (KliFo) so manches geändert. Zwar werden Datenschutz und Datensicherheit in der KliFo schon seit langem großgeschrieben, dennoch brachte die DSGVO aber Neuerungen mit sich, an der vor allem forschende Unternehmen außerhalb der EU ziemlich zu knabbern haben. Kommt man heute mit Vertretern von Unternehmen aus Drittländern auf den Datenschutz in der EU zu sprechen, so erntet man häufig ein Stirnrunzeln untermauert mit einem lang anhaltenden Seufzer. Fragt man dann as genauer nach, so bekommt man freundlich aber bestimmt zu hören: „The EU data privacy makes our business much more complicated“.
Doch warum ist das eigentlich so? Sehr vereinfacht dargestellt kann man sagen, dass das Europäische Datenschutzrecht bei der Verarbeitung personenbezogener Daten sehr viel restriktiver ist als beispielsweise jenes der USA. Hinzu kommt, dass es betroffenen Personen eine Reihe von Rechten (z.B.: Recht auf Auskunft, Recht auf Löschung, etc.) einräumt, die es in diesem Umfang in Drittländern kaum gibt. Für den freien Datenverkehr innerhalb des Europäischen Binnenmarktes mag dies kein großes Problem sein, für den Transfer von Daten außerhalb der EU aber sehr wohl. Dies wiederrum führte noch während des vierjährigen Gesetzgebungsentwurfsverfahrens zu heftigem Widerstand seitens der Industrie und Wirtschaft. Insbesondere US-amerikanische IT-Unternehmen fürchten einen negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa sowie einen California-Effekt (also die Übernahme strengerer lokaler Vorschriften durch eine bislang weniger strenge übergeordnete Gesetzgebung) für alle weltweit operierenden Unternehmen. Zwar flossen manche Einwände im Laufe der Konsolidierungsphase in den Verordnungsentwurf ein, letztlich wurde trotzdem ein relativ restriktiver Gesetzesentwurf bei den Trilog-Verhandlungen der Europäischen Kommission am 15. Dezember 2015 angenommen, welcher am 25. Mai 2016 formal in Kraft trat.
Während nun die DSGVO einen uneingeschränkten Datenfluss innerhalb der EU ermöglicht, kam es, wie von zahlreichen Kritikern vorhergesagt, zu erheblichen juristischen Schwierigkeiten beim Datentransfer von der EU in Drittländer, die bis heute andauern. Denn sämtliche Unternehmen, welche personenbezogene Daten von EU-Bürgern außerhalb der EU verarbeiten, müssen nun den Betroffenen das gleiche Datenschutzniveau zusichern, wie es die DSGVO vorsieht - eine Mammutaufgabe. So musste letztlich auch die EU reagieren, prüfte andere Länder auf ein mit der EU vergleichbares Datenschutzlevel und vergab bis Mai 2019 zwölf „Angemessenheitsbeschlüsse“, darunter für die USA, Andorra, Argentinien, Kanada, Japan und natürlich die Schweiz. Der bekannteste dieser Beschlüsse ist sicherlich das sogenannte „EU-US Privacy Shield“.
Doch so einfach ist die Sache bei genauerer Betrachtung freilich nicht, denn ein bestehender Angemessenheitsbeschluss bedeutet nicht zwangsläufig Rechtssicherheit für Betroffene im Sinne der DSGVO, wie Prof. Dr. Gerrit Manssen von der Ethikkommission der Universität Regensburg bei einer Veranstaltung des Deutschen BfArM am 07. Mai 2019 in Bonn festhielt. Denn jeder einzelne Angemessenheitsbeschluss muss separat geprüft werden, da dieser unterschiedliche Regelungen oder Forderungen beinhalten kann. So muss ein US-amerikanisches Unternehmen beispielsweise erst gewisse technische und organisatorische Maßnahmen (TOMs) nachweisen, um sich überhaupt beim EU-US Privacy Shield registrieren lassen zu können. „Ein reiner Verweis auf das EU-US Privacy Shield in einer Datenverarbeitungsvereinbarung mit einem Unternehmen in den USA reicht somit nicht aus. Es muss die Registrierung glaubwürdig nachweisen können“, wie Prof. Manssen weiter ausführte.
Doch wie verhält es sich eigentlich in der klinischen Forschung, wo etwa chinesische oder amerikanische Pharmakonzerne oder Medizinproduktehersteller laufend Unmengen an in der EU generierten klinischen Daten in Drittländer (z.B.: Indien) transferieren und verarbeiten? Interessanterweise beginnen Konzerne und Forschungszentren erst langsam, diese juristische Regelung bei ihren Planungen zum internationalen Datenverkehr zu berücksichtigen, wie jüngste Erfahrungen von Auditoren und Inspektoren belegen. Aber was genau bedeutet das eigentlich für Studienteilnehmer, Prüfärzte, Zentren, Ethikkommissionen und Sponsoren? Vereinfacht gesagt: Sponsoren aus Drittländern müssen gegenüber den oben genannten Parteien Garantien vorlegen können, dass das in der DSGVO geforderte Datenschutzniveau eingehalten wird. Praktisch gesehen müssen diese Garantien nicht nur in den Verträgen zwischen Sponsoren, Prüfern und Zentren festgehalten werden, sondern insbesondere auch in den Aufklärungs- und Einverständniserklärungen für Patienten deutlich deklariert werden. Studienteilnehmer müssen stets darüber informiert sein, was mit ihren Daten bei einem Transfer in ein Drittland passiert, wie diese geschützt werden und welche Rechte sie besitzen. Aber auch der Prüfer muss als Verantwortlicher gemeinsam mit dem Sponsor gemäß Artikel 26 DSGVO dafür Sorge tragen, dass diese Rechte für Ihre Patienten bei der Datenverarbeitung gewahrt bleiben. Und nicht zuletzt sind auch die Ethikkommissionen gefordert, die Einhaltung der DSGVO bei Forschungsvorhaben mit geplanten Datentransfers in Drittländer zumindest grob zu prüfen.
Genau in diesem Prozess, kommt nun die CW-Research & Management GmbH (CW-R&M) ins Spiel, ein Auftragsforschungsinstitut (CRO) mit Sitz in Wien, Oberösterreich und München, das sich darauf spezialisiert hat, Sponsoren, Prüfer und Zentren dabei zu unterstützen, das Start-Up von Studien soweit aufzubereiten, dass einem geplanten internationalen Datentransfer regulatorisch nichts im Wege steht. Neben Beratung, Erstellung von entsprechenden Studiendokumenten und der Meldung bei Behörden und Ethikkommissionen, umfasst das Dienstleistungsportfolio von CW-R&M auch die Einholung und Bewertung datenschutzrechtlicher Garantien von Unternehmen außerhalb der EU. Dabei schöpft CW-R&M aus einem Fundus an über 25 Jahren Tätigkeit in der Klinischen Forschung, aktuellem datenschutzrechtlichem Know-How und zahlreichen Kontakten zu nationalen und internationalen Ethikkommissionen und Behörden.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
CW-Research & Management GmbH, zertifiziert nach der Qualitätsnorm EN ISO 9001:2015, ist ein privates, unabhängiges Auftragsforschungsinstitut für die Pharma-, Biotechnologie-, Medizinprodukte- und Gesundheitsindustrie. Das Unternehmen beschäftigt ein engagiertes Team von erfahrenen Spezialisten, wodurch eine passgenaue und individuelle Unterstützung angeboten werden kann. Das Unternehmen ist für die Durchführung zahlreicher Projekte in Europa, vor allem in Österreich, Deutschland und der Schweiz sowie mit Kooperationspartnern in vielen anderen Ländern, verantwortlich.
CW-Research & Management GmbH
Seit 1993, Wien und München
81829 München, Konrad-Zuse Platz 8
Tel.: +49 (0) 89 20 70 42 600
www.cw-rm.com
info(at)cw-rm.com
CW-Research & Management GmbH
Seit 1993, Wien und München
81829 München, Konrad-Zuse Platz 8
Tel.: +49 (0) 89 20 70 42 600
www.cw-rm.com
info(at)cw-rm.com
Datum: 13.09.2019 - 10:24 Uhr
Sprache: Deutsch
News-ID 1753099
Anzahl Zeichen: 7724
Kontakt-Informationen:
Ansprechpartner: Christian Wolflehner
Stadt:
München
Telefon: 004989207042600
Kategorie:
Pharma
Meldungsart: Unternehmensinfos
Versandart: Veröffentlichung
Diese Pressemitteilung wurde bisher 659 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Der Datentransfer studienspezifischer Daten in Drittländer und die Angemessenheitsbeschlüsse der EU – Wie sicher ist das eigentlich?"
steht unter der journalistisch-redaktionellen Verantwortung von
CW-Research & Management GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
