Der Europäische Datenschutzausschuss (EDSA) hat am 23. Januar 2019 eine neue Leitlinie zum Zusammenspiel zwischen der DSGVO und der Verordnung (EU) Nr. 536/2014 über klinische Prüfungen veröffentlicht (Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation). Die Leitlinie geht auf eine Beratungsanfrage der Generaldirektion Gesundheit und Lebensmittelsicherheit der Kommission (GD SANTE) vom 8. Oktober 2018 in Form eines Fragenkatalogs zurück, zu dem der EDSA Stellung nehmen sollte.
Vorauszuschicken ist, dass die Verordnung über klinische Prüfungen zwar in Kraft ist, aber erst gilt, wenn die vorgesehene IT-Infrastruktur, namentlich das gemeinsame EU-Portal und die EU-Datenbank gemäss Art. 80 und 81, funktionsfähig sind. Dies wird voraussichtlich im Laufe des Jahres 2020 der Fall sein. Die Stellungnahme des EDSA kommt dennoch nicht verfrüht, denn sie dient auch der Klärung des Verhältnisses zwischen der DSGVO und klinischen Studien, die unter dem Regime der aktuell gültigen Richtlinie 2001/20/EG zu klinischen Prüfungen durchgeführt werden.
Der EDSA hält fest, dass die DSGVO und die Verordnung über klinische Prüfungen in keinem hierarchischen Verhältnis zueinander stehen, sondern parallel Anwendung finden und unterschiedlichen Zwecken dienen. Insbesondere verfolgt die „Einwilligung nach Aufklärung“ (informed consent) gemäss Art. 29 der Verordnung über klinische Prüfungen eine andere Stossrichtung als die Einwilligung als denkbare Berechtigungsgrundlage für die mit dem klinischen Versuch einhergehenden Datenverarbeitungen: Erstere dient der Einhaltung ethischer Prinzipien und hat aus datenschutzrechtlicher Optik keine Bedeutung. Dies gilt für die Einwilligungen sowohl in die primäre Verarbeitung im Rahmen des Prüfplans wie auch in die Weiterverwendung der Daten für weitere wissenschaftliche Forschungen.
Damit die Einwilligung des Patienten in die Verarbeitung seiner gesundheitsbezogenen Angaben datenschutzrechtlich wirksam ist, müssen somit sämtliche Anforderungen an die ausdrückliche Einwilligung gemäss Art. 9 Abs. 2 lit. a DSGVO erfüllt sein, wobei hierzu die Kriterien des einschlägigen Arbeitspapiers der Artikel-29-Datenschutzgruppe (Guidelines on consent) zu beherzigen sind. Besonderes Augenmerk ist dabei auf das Kriterium der Freiwilligkeit zu legen. Im Kontext von klinischen Studien besteht häufig ein Kräfte- und Informationsgefälle zwischen dem Prüfer und der betroffenen Person, weshalb aus Sicht des EDSA nur selten von einer wirksamen Einwilligung ausgegangen werden kann. Dies führt das Gremium zu folgendem Schluss:
Consequently, the EDPB considers that data controllers should conduct a particularly thorough assessment of the circumstances of the clinical trial before relying on individuals’ consent as a legal basis for the processing of personal data for the purposes of the research activities of that trial.
Alternative Berechtigungsgrundlagen für die Verarbeitung von Personendaten im Kontext von klinischen Studien sind in der DSGVO rasch gefunden:
- Für die primären Verarbeitungszwecke kann auf Art. 9 Abs. 1 lit. i (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit) und auf Art. 9 Abs. 1 lit. j in Verbindung mit Art. 89 Abs. 1 DSGVO (Verarbeitung für Forschungszwecke unter Berücksichtigung geeigneter technischer und organisatorischer Massnahmen) abgestellt werden.
- Bei der Weiterverwendung der im Rahmen des Prüfplans erhobenen Daten für sonstige Forschungszwecke (secondary use) darf gemäss Art. 5 Abs. 1 lit. b DSGVO grundsätzlich vom Grundsatz der Zweckbindung abgewichen werden (presumption of compatibility), so dass für die Weiterverarbeitung keine neue Berechtigungsgrundlage erforderlich ist.
Bezüglich der erleichterten Weiterverwendung scheint das EDSA allerdings über seinen eigenen und den Mut des EU-Verordnungsgebers erschrocken zu sein und will sich noch nicht definitiv festlegen:
These conditions, due to their horizontal and complex nature, will require specific attention and guidance from the EDPB in the future. For the time being, the presumption of compatibility, subject to the conditions set forth in Article 89, should not be excluded, in all circumstances, for the secondary use of clinical trial data outside the clinical trial protocol for other scientific purposes.
Die Leitlinie des EDSA führt zu zwei wesentlichen Erkenntnissen:
- Die Einwilligung ist keine verlässliche Berechtigungsgrundlage. Sie ist „last resort“ und sollte erst erwogen werden, wenn keine andere Berechtigungsgrundlage zur Hand ist. Etwas überraschend gilt dies für den EDSA selbst im Rahmen von klinischen Studien (vgl. bspw. die gegenteilige Auffassung in der „Handreichung“ des Arbeitskreises medizinischer Ethikkommissionen in der Bundesrepublik Deutschland e.V.). Dem Patienten wird also zugetraut, das Wesen, die Ziele, der Nutzen, die Folgen, die Risiken und die Nachteile einer klinischen Studie zu erfassen und in Kenntnis dieser Umstände seine Einwilligung in einen investigativen medizinischen Eingriff zu erteilen, nicht aber, aus freien Stücken den damit einhergehenden Datenverarbeitungen zuzustimmen. Dies zeigt einmal mehr, dass sich der Datenschutz zu wichtig nimmt. Die Patienteneinwilligung wäre für Sponsoren und Prüfer nicht nur eine verlässlichere Grundlage als eine vage Interessenabwägung, das alleinige Abstellen auf öffentliche Gesundheits- und Forschungsinteressen zur Rechtfertigung für die Verarbeitung von aus medizinischen Eingriffen gewonnenen Daten weckt auch ungute Gefühle: Dem Individuum wird die Fähigkeit zur Selbstbestimmung aberkannt, an deren Stelle tritt der Staat mit seiner eigenen Wertordnung. Keine Antwort liefert der EDSA zudem auf die brennende Frage, ob bei einer unwirksamen Einwilligung die Berufung auf alternative Berechtigungsgrundlagen offen bleibt. Eine Klärung wäre insbesondere im Hinblick auf die unsichere Fortgeltung altrechtlicher Einwilligungen wünschenswert.
- So streng die Anforderungen der DSGVO an die Wirksamkeit der Einwilligung daherkommen, so liberal und zahlreich nehmen sich die Ausnahmen zugunsten der Forschung aus, z.B. bei der Zweckbindung, der Datensparsamkeit, der Informationspflicht und dem Löschungsrecht (vgl. Art. 5 Abs. 1 lit. b und e, Art. 14 Abs. 5 lit. b und Art. 17 Abs. 3 lit. d DSGVO). Die Konturen müssen aber erst noch gefunden werden, und es ist zu hoffen, dass Aufsichtsbehörden und Ethikkommissionen eine Balance finden, die praktikabel und frei von Wertungswidersprüchen ist. Es wäre möglicherweise zielführender, die Gemeinsamkeiten anstatt Unterschiede zwischen Datenschutz- und Humanforschungsregulierung zu erkennen.