FORUM INSTITUT
FORUM · Institut für Management GmbH
Vangerowstraße 18
69115 Heidelberg
E-Mail: service@forum-institut.de
Telefon: +49 6221 500-500
Fax: +49 6221 500-505

Klinische Forschung

Newsletter

Dezember 2016


Hier finden Sie den gesamten Newsletter.


EU-US-Privacy Shield – Statt Safe Harbour!

Klare Vorgaben für den Datentransfer an die FDA



von Prof. Burkhard Sträter
Dieser Artikel wurde zuerst publiziert in der Pharm.Ind. 78, Nr. 9, 1234-1235 (2016).

Die Sorge um den Schutz personenbezogener Daten insbesondere beim Transfer in Staaten außerhalb der Europäischen Union ist weit verbreitet. Bezogen auf die detaillierten sehr persönlichen Angaben in Wort, Schrift und Bild in sozialen Netzwerken ist dies sicher auch nachvollziehbar. Es besteht jedoch die Gefahr, dass sich aus gut gemeinten datenschutzrechtlichen Regelungen „Kollateralschäden“ für den Transfer von klinischen Daten an die US-amerikanische Zulassungsbehörde FDA ergeben. In der Vergangenheit war Grundlage des Datentransfers die sog. Safe Harbour Decision, die vom Europäischen Gerichtshof aufgehoben wurde. Es ist daher sehr zu begrüßen, dass die Europäische Kommission und die US-Regierung sehr schnell eine neue Regelung gefunden haben, die nunmehr die sog. Safe Harbour Decision ersetzt.

Die EU-Richtlinie zum Datenschutz erlaubt in Art. 25 Abs. 6 RL 95/46/EG, dass die Europäische Kommission nach Verhandlungen mit Drittstaaten feststellen kann, dass und unter welchen Bedingungen ein äquivalentes Datenschutzniveau gewährleistet ist. Solche Entscheidungen ergehen als Durchführungsbeschluss, der für die Mitgliedstaaten verbindliches Recht setzt. In der Vergangenheit hat die Europäische Kommission mit der sog. Safe Harbour Entscheidung 2000/520 eine solche Feststellung bezogen auf den Datentransfer in die USA geschaffen. Der Europäische Gerichtshof hat mit Urteil vom 06.10.2015 in der Rechtssache C 362/14 diese Ent-scheidung aufgehoben. Diese Entscheidung hat zu großer Verunsicherung in der Europäischen Union geführt. Für forschende pharmazeutische Unternehmen war die Frage, ob der Transfer von Daten aus klinischen Prüfungen und zu Nebenwirkungen an die amerikanische Zulas-sungsbehörde – FDA – mit den datenschutzrechtlichen Vorgaben vereinbar ist. Für die Meldung von Nebenwirkungen gibt es eine klare Verpflichtung, die amerikanischen Zulassungsbehörden über die Situation in der Europäischen Union aufzuklären. Wer in den USA eine Zulassung für Arzneimittel erhalten will, muss umfangreiche klinische Dossiers vorlegen, insbesondere auch die sog. Raw Data. Die Daten sind kodiert und für pharmazeutische Unternehmen bzw. Sponso-ren der Studien anonym. Es existieren jedoch Dekodierungslisten und die spannende Frage war, ob solche Daten für den Transfer als anonym eingestuft werden, obwohl sie doch aufgrund der Möglichkeit der Reindividualisierung über Dekodierungslisten nur als pseudonym im Sinne unseres Datenschutzgesetzes eingestuft werden können. Im Streiflicht pharmind 77 Nr. 12, 1696-1697 (2015) hatte ich die Auffassung vertreten, dass man diesem Dilemma nur dadurch entkommen kann, dass man den Transfer der Daten mit Kodierung als anonym für die Bearbei-tung in den USA einstuft und daher die Datenschutzrestriktionen nicht greifen. Der „Schlüssel“ zur Reindividualisierung bleibt bei dem behandelnden Prüfarzt, der zur Verschwiegenheit bei Androhung von Haftstrafen verpflichtet ist. Der Verbleib des Schlüssels im „Safe Harbor Europe“ gewährleistet also die Anonymität. Der Arbeitskreis der Ethikkommissionen hat diese Auffassung ebenfalls vertreten, jedoch empfohlen, die Patienten darüber aufzuklären, dass unter den genannten Bedingungen ein Transfer der Daten in die USA zu Zulassungsbehörden möglich ist.

Offizielle Stellungnahmen von Aufsichtsbehörden waren dazu nicht zu erhalten. Die datenschutzrechtliche Situation war daher ungeklärt. Die Unternehmen haben aber die Daten in der geschilderten Form verschlüsselt in die USA weitergegeben, obwohl die Safe Harbour Entscheidung nicht mehr wirksam war.

Klärung durch das EU-US-Privacy Shield!

Dieses Vorgehen wird durch eine neue Entscheidung bestätigt, die nunmehr die Europäische Kommission im Durchführungsbeschluss (EU) 2016/1250 am 12.07.2016 getroffen hat (Az. C(2016) 4176). Dieser „EU-US-Privacy Shield“ genannte Beschluss schafft Klärung in dieser wichtigen Frage, allerdings hat der aufmerksame Leser Mühe, die Fundstellen in diesem umfangreichen Regelwerk zu identifizieren.

Die Lektüre dieses Beschlusses grenzt an Zumutung. Der aufmerksame Leser beginnt mit der Einleitung und amtlichen Begründung. Nach 155 Randnummern mit 210 Fußnoten beendet er die Lektüre auf Seite 42. Das rot entzündete Auge stößt dann auf die eigentlichen Artikel der Entscheidung. Derer sind es nur sechs. Zwei davon befassen sich mit dem Inkrafttreten, so dass nur vier maßgebliche verbleiben. Diese sind indes nur verständlich, wenn der Leser zuvor nicht die Rd-Nr. 14 übersehen hat, welche unter der Überschrift „Der EU-US-Datenschutzschild“ ausführt:

„Der EU-US-Datenschutzschild beruht auf einem System der Selbstzertifizierung, wonach sich amerikanische Organisationen zu einem Katalog von Datenschutzgrundsätzen verpflichten – den Rahmengrundsätzen des EU-Datenschutzschilds einschließlich der Zusatzgrundsätze (im Folgenden Grundsätze) –, die vom Handelsministerium der USA herausgegeben wurden und im Anhang II des vorliegenden Beschlusses enthalten sind.“

Der erstaunte Leser fragt nun, nach welchen Regeln denn der Anhang II verbindlich wird. Er stößt dabei auf den Absatz 2 von Artikel 1 dieser Entscheidung, die klarstellt, dass der Datenschutzschild aus den Grundsätzen besteht, die im Anhang II aufgeführt sind. Auf Seite 64 wird er im Abschnitt 14 unter der Überschrift „Arzneimittel und Medizinprodukte“ fündig. Unter Buchstabe b) wird ausgeführt:

„Hersteller von Arzneimitteln und Medizinprodukten dürfen in klinischen Versuchen in der EU gewonnene personenbezogene Daten zur Überprüfung an Aufsichtsbehörden in den USA übermitteln. Unter Beachtung der Grundsätze der Informationspflicht und der Wahlmöglichkeit dürfen sie die Daten auch an andere Stellen wie Organisationen und Wissenschaftler übermitteln.“

Unter Buchstabe g) findet sich dann die Antwort auf die in der Vergangenheit heiß diskutierte Frage:

Verschlüsselte Daten

„Forschungsdaten werden stets an der Quelle verschlüsselt, damit aus ihnen nicht die Identität einzelner Personen zu ersehen ist. Den Pharmaorganisationen, also den Projektträgern, wird der Schlüssel nicht ausgehändigt. Er verbleibt beim Forscher, so dass er unter bestimmten Umständen (z. B. wenn eine nachträgliche Überwachung notwendig ist) einzelne Versuchspersonen identifizieren kann. Die Übermittlung derart verschlüsselter Daten von der EU in die USA ist nicht als Übermittlung personenbezogener Daten anzusehen, die den Grundsätzen des Datenschutzschildes unterliegt.“

Hier wird also klargestellt, dass diese Daten mit dem Transfer in die USA als anonym eingestuft werden müssen und daher die datenschutzrechtlichen Regelungen auch nicht gelten. Sie sind also insoweit ausdrücklich ausgenommen.

Dies ist eine deutliche Erleichterung und Klärung. Unternehmen haben in der Vergangenheit – ihren Verpflichtungen der Zulassungsregeln in den USA folgend – diese Daten der FDA vorgelegt. Sie haben selbstverständlich alle Nebenwirkungen in verschlüsselter Form an die FDA weitergegeben – bei Daten aus klinischen Prüfungen mit sehr generalisierter Einwilligung ohne Details zu den Unterschieden im Datenschutzniveau; bei Nebenwirkungsmeldungen in der Regel ohne jedwede Einwilligung. Diese ist nur schwer zu erhalten und wird häufig erst gar nicht eingeholt. Wollte man dies verlangen, würde sich die Anzahl der Nebenwirkungsmeldungen zwanglos halbieren. Dies wäre nicht der richtige Weg, aus Gründen des Datenschutzes gravierende Risiken für die Sicherheit zu schaffen.

Unternehmen, die sich orientiert an den Maßstäben der Arzneimittelsicherheit in der Vergangenheit diesen datenschutzrechtlichen Herausforderungen gestellt haben, gilt daher großer Respekt. Die Klarstellung im EU-US-Privacy Shield ist eine beeindruckende Bestätigung des Weges, der auch durch den Arbeitskreis der Ethikkommissionen gewiesen wurde.


Autor:
Prof. Burkhard Sträter
Sträter Rechtsanwälte, Bonn
Straeter@straeterlawyers.de
 
Auszeichnungen und Kooperationspartner