osborneclarke.com Rechtliche Aspekte bei der Nutzung von Bio-Daten für Forschungszwecke und Klinische Studien

Transkript

1 Rechtliche Aspekte bei der Nutzung von Bio-Daten für Forschungszwecke und Klinische Studien Dr. Marian Alexander Arning, LL.M. Hilden, 07. März

2 Private & Confidential Vorstellung Dr. Marian Alexander Arning, LL.M. Rechtsanwalt T: +49 (0) Marian Alexander Arning, LL.M. Rechtsanwalt T.: +49 (0) E.: Marian Arning ist Rechtsanwalt in unserem Hamburger Büro. Sein Tätigkeitsschwerpunkt liegt im Datenschutz- und IT-Recht. Marian Arning berät insbesondere nationale und internationale Unternehmen in allen Fragen der Datenschutz- und IT- Compliance, wie z.b. in Fragen des internationalen Datentransfers und bei der rechtskonformen Verwendung von Kunden- und Mitarbeiterdaten, einschließlich der Auslagerung auf Service-Unternehmen. Ein besonderer Schwerpunkt von Marian Arning liegt in der Beratung von Unternehmen aus dem Gesundheitsbereich wie z.b. Pharmaunternehmen und Versicherungen. Zu seinen Mandanten zählen DAX-30- Konzerne sowie international und national tätige Unternehmen, die er zu allen Facetten des Datenschutz- und IT- Rechts berät. Zu seinen jüngsten Beratungsprojekten zählt u.a.: Einführung einer Internet-basierten Serviceplattform für Patienten, die ein bestimmtes Arzneimittel verwenden (einschließlich Coaching und elektronischer Patientenakte Aufsetzen eines Software-basierten Bestellsystems für Zytostatika unter Einbindung von Ärzten, Apotheken und Dienstleistern datenschutzkonforme Einführung einer mhealth App für Versicherte einer gesetzlichen Krankenkasse Marian Arning hat über datenschutzrechtliche Aspekte der elektronischen Gesundheitskarte promoviert und hat sich bereits vor seiner Anwaltstätigkeit in einem mehrjährigen Forschungsprojekt mit Rechtsfragen des Schutzes und der Sicherheit von Daten im Rahmen eines transnationalen Genforschungsprojekts befasst. Er ist sowohl im Bitkom-Arbeitskreis ehealth als auch im Bitkom Dialogkreis Pharma sowie in der Arbeitsgruppe Bio- IT und Big Data von BIO Deutschland aktiv. 2

3 Agenda 1. Datenschutzrechtliche Herausforderungen bei der Nutzung von Bio-Daten zu Zwecken der Forschung 2. Datenschutzrechtliche Herausforderungen bei der Nutzung von Bio-Daten im Rahmen von klinischen Studien 3

4 Anwendbarkeit der Datenschutzgesetze Vielzahl an verschiedenen Datenschutzgesetzen (z.b. BDSG, AMG, Krankenhausgesetze etc.) Nur anwendbar, wenn personenbezogene Daten verarbeitet werden: "Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" Auf anonyme Daten finden die Datenschutzgesetze keine Anwendung 4

5 Datenschutzrechtliche Grundprinzipien 1. Verarbeitungsverbot mit Erlaubnisvorbehalt: Erlaubnis für den Datenumgang erforderlich: Einwilligung Rechtsvorschrift 2. Zweckbindungsgrundsatz: Daten dürfen grdsl. nur für den Zweck verwendet werden, für den sie erhoben wurden, es sei denn: Erlaubnis zur Zweckänderung (siehe 1.) 5

6 Verarbeitung von Gesundheitsdaten Die Verarbeitung von Gesundheitsdaten unterliegt aufgrund der hohen Diskriminierungsgefahr besonders strikten Anforderungen Gesundheitsdaten sind: alle Angaben, die direkt oder indirekt Informationen über die Gesundheit eines Menschen vermitteln (z.b. Informationen zu Krankheiten und Behandlungen, Messwerte etc.) Nach dem BDSG muss sich eine Erlaubnisnorm oder eine Einwilligung ausdrücklich auf diese Daten beziehen 6

7 Besondere Herausforderungen bei der Verarbeitung von Bio-Daten zu Forschungszwecken Teilweise ist eine (Re-) Identifizierung des Betroffenen erforderlich es können keine vollständig anonymen Daten verwendet werden Oftmals stehen die Zwecke und der Umfang des Datenumgangs bei Erhebung der Daten noch nicht fest (P) Informiert- und Bestimmheit der Einwilligung 7

8 Lösungswege: Einwilligung Nach 4a BDSG muss die Einwilligung informiert und bestimmt sein i.d.r. muss jeder spezifische Datenumgang (z.b. jeder Zweck, potentielle Übermittlungsempfänger etc.) beschrieben werden Datenschutzrichtlinie 95/46/EG: "für den konkreten Fall und in Kenntnis der Sachlage" 8

9 Lösungswege: Broad consent "Breite Einwilligung": Relativ unspezifisch verfasste Beschreibung des zukünftigen Datenumgangs (insb. bzgl. Zwecken und Datenempfängern) im Rahmen der Einwilligungserklärung (P) im Widerspruch zum Datenschutzrecht (?) Ausgleich: Strenge Verfahrensvorschriften, z.b. Einbindung von Ethik- Kommissionen 9

10 Lösungswege: Tiered consent Wahlmöglichkeit für Betroffene zwischen verschiedenen abgestuften Einwilligungsmöglichkeiten Verschiedene Modelle, z.b.: (1) Konkrete Einwilligung bzgl. aktuellem Forschungsprojekt, (2) für zukünftige Datenverwendung: Ankreuzmöglichkeiten (erlaubt, nicht erlaubt, Informationspflicht etc.) Einwilligung für (1) konkretes Forschungsprojekt, (2) Zwecke, die weitgehend mit denen des ursprünglichen Projekts übereinstimmen, (3) Zwecke, die nicht mit dem ursprünglichen Projekt in Zusammenhang stehen Generelle Ankreuzlösung (z.b. keine Erlaubnis, nur pseudonymisiert, Weiternutzung nur für bestimmte Zwecke etc.) 10

11 Ausblick: Datenschutzgrundverordnung Einwilligung Ausdrückliche Einwilligung für einen oder mehrere festgelegte Zwecke in Kenntnis der Sachlage (Information über "konkreten Fall", Nennung der verantwortlichen Stelle, von Datenempfängern etc.) 11

12 Ausblick: Datenschutzgrundverordnung "Oftmals kann der Zweck der Datenverarbeitung für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Datenerhebung nicht vollständig angegeben werden. Daher sollten betroffene Personen ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung geben können, wenn die anerkannten ethischen Standards der wissenschaftlichen Forschung eingehalten werden. Die betroffenen Personen sollten Gelegenheit erhalten, ihre Einwilligung nur für bestimme Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen." (Inoffizielle deutsche Übersetzung; Erwägungsgrund 25a; Quelle: Datakontext/DMC, Deutsche Übersetzung der Datenschutz-Grundverordnung, abrufbar unter: STATIC /topics/ datenschutz/datenschutz-international/pdf/self/dmc-dkt-ds-gvo_uebersetzung_ _neu_ pdf) 12

13 Datenverarbeitung auf Grundlage einer Rechtsvorschrift Anwendbares Datenschutzrecht bestimmen Beispiel: 28 Abs. 6 Nr. 4 BDSG (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des 4a Abs. 3 eingewilligt hat, wenn dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 13

14 28 Abs. 6 Nr. 4 BDSG Wohl nur "Eigenforschung" konkretes Forschungsvorhaben, das seinem ganzen Aufbau und Inhalt nach wissenschaftlichen Ansprüchen genügen muss, darf nur mit den jeweiligen personenbezogenen Daten durchführbar sein Interessenabwägung ("erheblich überwiegen") Zweck der Forschung darf auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können 14

15 Ausblick: Datenschutzgrundverordnung maßgeblich nationale Regelungen (Öffnungsklausel) Art 9 (i): "[ ] die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und geeignete und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 83 Absatz 1 erforderlich." 15

16 Lösungswege: Anonymisierung / Pseudonymisierung Datenschutzgesetze sind auf anonyme Daten nicht anwendbar Anonym sind Daten dann, wenn sich der Personenbezug nicht mit einem verhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft herstellen lässt Einzelfallentscheidung ggf. von Stelle zu Stelle unterschiedlich Pseudonyme Daten (Ersetzung der identifizierenden Merkmale durch Kennzeichen) können ggf. für Stellen, die den "Schlüssel" nicht haben, anonyme Daten sein 16

17 Lösungswege: Anonymisierung / Pseudonymisierung Quelle: Forgó/Kollek/Arning/Krügel/Petersen, Ethical and Legal Requirements for Transnational Genetic Research, C.H. Beck u.a

18 Lösungswege: Anonymisierung / Pseudonymisierung Quelle: Forgó/Kollek/Arning/Krügel/Petersen, Ethical and Legal Requirements for Transnational Genetic Research, C.H. Beck u.a

19 Nutzung von Bio-Daten im Rahmen von klinischen Studien Anwendbarkeit des AMG Vorrangig vor allgemeinen Datenschutzgesetzen Einwilligung des Betroffenen nach 40 Abs. 2a AMG erforderlich Informationspflichten nach 40 Abs. 2a AMG Nur eingeschränktes Widerrufsrecht 19

20 Nutzung von Bio-Daten im Rahmen von klinischen Studien Information über Zweck und Umfang der Erhebung und Verwendung personenbezogener Daten, insbesondere von Gesundheitsdaten, insb. über: Einsichtnahme durch die Überwachungsbehörde oder Beauftragte des Sponsors zur Überprüfung der ordnungsgemäßen Durchführung der klinischen Prüfung Weitergabe in pseudonymisierter Form an den Sponsor oder eine von diesem beauftragte Stelle zum Zwecke der wissenschaftlichen Auswertung und im Fall eines Antrags auf Zulassung an den Antragsteller und die zuständige Behörde Weitergabe in pseudonymisierter Form im Falle unerwünschter Ereignisse des zu prüfenden Arzneimittels an den Sponsor und die zuständige Bundesoberbehörde sowie von dieser an die Europäische Datenbank (Un-)Widerrufbarkeit der Einwilligung; ggf. Weiterverwendung der Daten, um Wirkungen des zu prüfenden Arzneimittels festzustellen, sicherzustellen, dass schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden oder der Pflicht zur Vorlage vollständiger Zulassungsunterlagen zu genügen Speicherung der Daten bei den genannten Stellen für die nach 42 Abs. 3 AMG bestimmten Fristen 20

21 Nutzung von Bio-Daten im Rahmen von klinischen Studien Neufassung der 40 ff. AMG durch das "Vierte Gesetz zur Änderung arzneimittelrechtlicher und anderer Vorschriften" (Status: Referentenentwurf) "Umsetzung" der Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG 21

22 Take Aways (Nur) Bei der Verarbeitung personenbezogener Daten sind die Datenschutzgesetze anwendbar Einwilligung muss grdsl. spezifisch sein "Informationelle Gewaltenteilung" kann dazu führen, dass Daten als anonym bzw. "vollständig pseudonymisiert" zu betrachten sind Datenschutz in Projektplanung einbeziehen 22

23 Fragen und Diskussion 23

24 Private & Confidential Osborne Clarke Deutschland Standorte Berlin, Hamburg, Köln, München Osborne Clarke Hamburg Osborne Clarke Berlin Osborne Clarke Köln Osborne Clarke München Mitarbeiter 237 Mitarbeiter insgesamt davon 134 Rechtsanwälte und Steuerberater davon 48 Partner Praxisgruppen Capital Markets / Banking IT Commercial / Competition Property Corporate Öffentliches Wirtschafts und Vergaberecht Employment Tax IP Branchenfokus Digital Business Energy & Utilities Financial Services Life Sciences & Healthcare Real Estate & Infrastructure Retail Transport & Automotive 24

25 Private & Confidential Osborne Clarke International Osborne Clarke UK Osborne Clarke Spanien Osborne Clarke USA Osborne Clarke Belgien Osborne Clarke Frankreich Osborne Clarke Niederlande Osborne Clarke Deutschland Osborne Clarke Italien Hongkong* Standorte Amsterdam Barcelona Berlin Brescia Bristol Brüssel Hamburg Mitarbeiter Hongkong* Köln London Madrid Mailand München New York mehr als Mitarbeiter insgesamt mehr als 900 Rechtsanwälte und Steuerberater davon 200 Partner Padua Palo Alto (Silicon Valley) Paris Reading (Thames Valley) Rom San Francisco Darüber hinaus haben wir unser über viele Jahre aufgebautes "Best Friends"-Netzwerk. Dies bedeutet für Sie: Ein belastbares weltweites Netzwerk vor allem in den Regionen Nordamerika, EMEA und Südostasien Kurze Kommunikationswege Ein Ansprechpartner, der das Engagement der internationalen Partner koordiniert * Osborne Clarke unterhält eine strategische Allianz mit John Koh & Co

26 Private & Confidential Unsere Sektoren Digital Business Energy & Utilities Financial Services Life Sciences & Healthcare Real Estate & Infrastructure Retail Transport & Automotive 26

27 Private & Confidential Awards 27

28 28