Home
Intern
veröffentlicht am 10. Dezember 2019
In Zeiten der Europäischen Datenschutzgrundverordnung (DSGVO) stellt sich in allen denkbaren Bereichen die Frage nach dem Datenschutz und der richtigen Vertragsgestaltung diesbezüglich. Wichtigstes Anliegen der DSGVO ist, dem Verbraucher eine größere Kontrolle über die Verwendung seiner Daten einzuräumen. Dies ist besonders im Bereich der klinischen Forschung wichtig, da es sich bei Gesundheitsdaten um besondere personenbezogene Daten handelt, deren Verarbeitung noch einmal strengeren Anforderungen unterliegt, vgl. Art. 9 DSGVO. In diesem Artikel soll beispielsweise auf Verträge zwischen Prüfzentrum und CRO eingegangen werden.
Um darauf eingehen zu können, wie die Vertragsgestaltung hinsichtlich des Datenschutzes umzustellen ist, müssen zunächst die wichtigsten Vertragstypen voneinander abgegrenzt werden.
Der zwischen Sponsor (oder CRO) und Prüfzentrum geschlossene Vertrag enthält Vereinbarungen zur Durchführung einer Studie in dem Prüfzentrum und wird ergänzt durch den Prüfplan.
Der zwischen Auftraggeber und Studienzentrum geschlossene Vertrag hat wenig regulatorische Elemente. Da keine Intervention stattfindet, ist hier der Datenschutz sehr bedeutsam.
Wenn das Prüfzentrum selber als Sponsor auftritt und Leistungen an den CRO delegiert, wird zwischen den Beteiligten ein CRO-Vertrag geschlossen. Dieser Dienstleistungsvertrag enthält als wichtigen Bestandteil die Verantwortungsabgrenzung.
Die Verordnung (EU) Nr. 536/2014 erlaubt das sog. „Co-Sponsoring” bei klinischen Prüfungen. Danach unterliegt jeder Sponsor in vollem Umfang den sich aus der Verordnung ergebenden Pflichten, wenn es bei einer klinischen Prüfung mehrere Sponsoren gibt. Dies bedeutet für die Praxis, dass dem zwischen zwei Co Sponsoren zu schließenden Vertrag eine maßgebliche Bedeutung dahingehend zukommt, dass die Verantwortlichkeiten und Aufgaben darin klar aufgeteilt und abgegrenzt werden, der sog. Verantwortungsabgrenzungsvertrag.
Vor Beginn der Vertragsüberprüfung muss feststehen, welche Datenflüsse es gibt um daraus resultierend feststellen zu können, welche datenschutzrechtlichen Formulierungen in den Vertragstext mit aufgenommen werden müssen.
Als Beispiel soll hier die klinische Prüfung mit Prüfzentrumsvertrag und CRO genannt werden. In diesem Fall sind die Studienteilnehmer Betroffene i. S. d. DSGVO. Das Prüfzentrum hat die personenbezogenen Daten der Betroffenen. Die CRO und den Sponsor erreichen pseudonymisierte Daten.
Um die datenschutzrechtlichen Vorgaben aus der DSGVO umfassend umzusetzen, müssen Vorüberlegungen getroffen werden:
Wenn diese Vorüberlegungen abgeschlossen sind, muss festgelegt werden, welche datenschutzrechtlichen Elemente wo einzufügen sind. Im Prüfzentrumsvertrag muss auf die DSGVO Bezug genommen werden. Daneben muss eine Aufklärung und Einwilligung des Prüfarztes in die Verarbeitung seiner personenbezogenen Daten erfolgen sowie eine Patienteninformation und -einwilligung erstellt und nach Aufklärung unterzeichnet werden. Die Einwilligung ist die freiwillig getroffene Entscheidung über die Teilnahme an einer klinischen Prüfung nach Aufklärung über das Wesen, die Tragweite, den Nutzen der Teilnahme und Risiken der Prüfung.
Als Formulierungsbeispiel kann für diesen Bereich folgendes genannt werden:
Um die Verarbeitung der personenbezogenen Daten der Studienteilnehmer zu regeln, kann folgende Formulierung als Beispiel dienen:
Dieser Beitrag gibt lediglich einen ersten Einblick in einen Teilaspekt der innerhalb einer klinischen Prüfung zu regelnden datenschutzrechtlichen Elemente. Für alle Vertragstypen und unterschiedlichen Aspekte sollten Templates und Elemente entwickelt werden, um den besonderen Bestimmungen der DSGVO gerecht zu werden.
Jan-Claas Hille
Wirtschaftsprüfer, Steuerberater, Prüfer für Interne Revisionssysteme (DIIR)
Partner
Anfrage senden
Norman Lenger-Bauchowitz, LL.M.
Mediator & Rechtsanwalt, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)
Profil
