39 Nutzungsdauer, Widerruf der Datenverarbeitung

Aus EUMI-Praxisbuch
Version vom 30. November 2016, 12:47 Uhr von uni-oldenburg>Christoph (→‎EU VERORDNUNG 536/2014)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Wann werden die Daten gelöscht/Biomaterialien vernichtet oder anonymisiert? Was passiert nach einem Widerruf der Datenverarbeitung bei z. B. Rücktritt von dem Forschungsvorhaben mit bereits erhobenen Daten? Werden bereits vorhandene Daten weiter verwendet?

Zusammenfassung

Das Bundesdatenschutzgesetz schreibt vor, dass personenbezogene Daten zu löschen sind, „sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist“ (7). Die Datenschutzbeauftragten fordern außerdem, dass „der vorgesehene Zeitpunkt der Löschung bzw. der Vernichtung der personenbezogenen Daten […] bereits in der Einwilligungserklärung möglichst konkret benannt werden“ sollte. [Metschke und Wellbrock, 2000] Für Biomaterialbanken lässt der Nationale Ethikrat in bestimmten Fällen auch eine nicht explizit begrenzte Nutzungsdauer zu, jedoch ist in diesem Fall auf die Offenheit der Vereinbarung explizit hinzuweisen. Für klinische Prüfungen wird auf die vorgeschriebenen Archivierungsfristen verwiesen. Bei einem Widerruf der Datenverarbeitung bei z. B. Rücktritt von dem Forschungsvorhaben gelten für klinische Prüfungen die vom Arzneimittelgesetz vorgeschriebenen Ausnahmen von der Löschung der bereits erhobenen Daten. Zur Verarbeitung personenbezogener Daten nimmt auch die EU Verordnung 536-2014 ausführlich Stellung.

Standardsatz / -lösung

Die Löschungsfristen sollten so explizit wie möglich genannt sein.

„Die personenbezogenen Daten werden nach Erreichen des Studienziels/Ende des Forschungsvorhabens, spätestens jedoch nach X Jahren, gelöscht/anonymisiert, soweit gesetzliche Vorgaben nicht längere Archivierungspflichten vorsehen.“ „Wenn Sie von der Studie zurücktreten, werden keine weiteren Daten von Ihnen erhoben. Bereits erfasste Daten werden gelöscht (Ihre Proben vernichtet) oder anonymisiert, das heißt, ohne Rückschlussmöglichkeit auf Ihre Person weitergenutzt. Eine direkte Zuordnung der Daten zu Ihrer Person ist im Falle einer Anonymisierung ausgeschlossen.“

Für AMG-Studien: „Aufgrund gesetzlicher Bestimmungen müssen bestimmte Daten auch nach Rücknahme Ihrer Einwilligung gespeichert werden. Dies betrifft solche Angaben die benötigt werden, um die Wirkungen des zu prüfenden Arzneimittels festzustellen, um beispielsweise Nebenwirkungen oder Komplikationen bei Ihnen erkennen und behandeln zu können, oder aus Gründen der Dokumentationspflicht im Rahmen der Zulassung des Medikaments. Wenn diese Gründe nicht mehr vorliegen, werden auch diese Angaben gelöscht oder ohne Rückschlussmöglichkeit auf Ihre Person (anonymisiert) weiter genutzt.“ Die beiden letzten Absätze sind gleichzeitig auch die Standardlösung für Item 29.

Beispielszenario: Ein Patient/Proband soll im Rahmen einer Einwilligung der Verarbeitung seiner Biomaterialien ohne Einschränkung auf die Nutzungsdauer zustimmen: „Ich willige ein, dass meine Materialien und Daten für eine unbestimmte Dauer genutzt werden. Ich bin mir darüber klar, dass meine Materialien und Daten damit sehr lange verwendet werden dürfen. Die Verarbeitung erfolgt pseudonymisiert (mein Name wird durch eine Nummer ersetzt). Ich habe jederzeit das Recht, die Verarbeitung auch ohne Angabe von Gründen zu widerrufen, und nicht verbrauchte Materialien zurückzufordern. Bereits ausgewertete Daten werden gelöscht oder, wenn Dokumentationspflicht besteht, in anonymisierter Form (also ohne Bezugsmöglichkeit zu meiner Person) archiviert. Das Recht auf Nutzung meiner Materialien und Daten durch die Biomaterialbank im Sinne dieser Einwilligung bleibt auch über meinen Tod hinaus bestehen.“ (Siehe hierzu auch Kapitel 6 „Spezifische Probleme bei der Forschung mit Biomaterialien.“)

(Datenschutz-) Rechtliche Bewertung

Gemäß § 35 Abs. 2 S. 2 Nr. 3 BDSG sind personenbezogene Daten, die für eigene Zwecke verarbeitet wurden, zu löschen, sobald sie zur Zweckerreichung nicht mehr erforderlich sind. Es gibt damit eine gesetzliche Pflicht der verantwortlichen Stelle, personenbezogene Daten nicht länger als erforderlich vorzuhalten. Will man den Betroffenen in die Lage versetzen, vorab einzuschätzen, ob die verantwortliche Stelle mit seinen Daten pflichtgemäß umgehen wird, gehört auch die Angabe der Nutzungsdauer in die Patienteninformation. Definitive, zeitlich einheitlich bestimmbare Fristen gesetzlicher Art gibt es jedoch nicht. Einen Anhaltspunkt enthält jedoch Ziffer 4.9.5 der GCP, wo von einer mindestens zweijährigen Aufbewahrungsfrist wesentlicher Dokumente ausgegangen wird.

Darüber hinaus wird in der datenschutzrechtlichen Literatur überwiegend die Auffassung vertreten, das informationelle Selbstbestimmungsrecht des Betroffenen könne dieser nur vollständig ausüben, wenn ihm die Möglichkeit eingeräumt werde, seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten jederzeit frei zu widerrufen. Nur so könne ein Betroffener auch später als falsch eingestufte Entscheidungen revidieren. Auch ein Widerrufsverzicht sei deshalb ausgeschlossen. Hinzu kommt, dass in Landesdatenschutzgesetzen (z. B. in § 7 Abs. (2) S. 6 LDSG Hessen) zum Teil ein ausdrücklicher Hinweis auf die Möglichkeit zum Widerruf der Einwilligung verlangt wird. Ein Widerrufshinweis sollte deshalb nicht vergessen werden.

Einigkeit besteht allerdings darüber, dass ein solcher Widerruf nur mit Wirkung für die Zukunft erfolgen kann.

Bewertung

Grundsätzlich gilt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie dies zur Erfüllung der Aufgabe – hier Ziel des Forschungsvorhabens – erforderlich ist. Eine darüber hinaus gehende Speicherung ist nicht zulässig. Bei den Löschfristen sind natürlich gesetzlich geregelte Aufbewahrungs- und Dokumentationsfristen zu beachten.

Ein Rücktritt vom Forschungsvorhaben bedeutet in der Regel auch eine Rücknahme des Einverständnisses zur Datenverarbeitung. Deshalb dürfen nach einem Rücktritt keine weiteren Daten erhoben und müssen vorhandene Daten gelöscht oder anonymisiert werden, soweit nicht andere Regelungen greifen. Wenn gesetzliche Bestimmungen (z. B. AMG) eine Löschung bzw. Anonymisierung der Daten nach einem Rücktritt untersagen, so ist darauf hinzuweisen.

Einen Sonderfall stellt hierbei der Tod des Patienten dar. Auch hier gilt, dass bis zum Erreichen des Studienziels die Daten weiter verarbeitet werden dürfen. Es ist im Einzelfall zu prüfen, ob die Daten weiter pseudonymisiert verarbeitet werden müssen, oder ob sie anonymisiert werden können.

AMG

§40 (2a) Die betroffene Person ist über Zweck und Umfang der Erhebung und Verwendung personenbezogener Daten, insbesondere von Gesundheitsdaten zu informieren. Sie ist insbesondere darüber zu informieren, dass 2. die Einwilligung nach Absatz 1 Satz 3 Nr. 3 Buchstabe c unwiderruflich ist, 3. im Falle eines Widerrufs der nach Absatz 1 Satz 3 Nr. 3 Buchstabe b erklärten Einwilligung die gespeicherten Daten weiterhin verwendet werden dürfen, soweit dies erforderlich ist, um a) Wirkungen des zu prüfenden Arzneimittels festzustellen, b) sicherzustellen, dass schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden, c) der Pflicht zur Vorlage vollständiger Zulassungsunterlagen zu genügen, 4. die Daten bei den genannten Stellen für die auf Grund des § 42 Abs. 3 bestimmten Fristen gespeichert werden. Im Falle eines Widerrufs der nach Absatz 1 Satz 3 Nr. 3 Buchstabe b erklärten Einwilligung haben die verantwortlichen Stellen unverzüglich zu prüfen, inwieweit die gespeicherten Daten für die in Satz 2 Nr. 3 genannten Zwecke noch erforderlich sein können. Nicht mehr benötigte Daten sind unverzüglich zu löschen. Im Übrigen sind die erhobenen personenbezogenen Daten nach Ablauf der auf Grund des § 42 Abs. 3 bestimmten Fristen zu löschen, soweit nicht gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

GCP-V

§13 (10) Der Sponsor stellt sicher, dass die wesentlichen Unterlagen der klinischen Prüfung einschließlich der Prüfbögen nach der Beendigung oder dem Abbruch der Prüfung mindestens zehn Jahre aufbewahrt werden. Andere Vorschriften zur Aufbewahrung von medizinischen Unterlagen bleiben unberührt.

EU DSGVO zu Aufhebung der EU DS 95/46/EG

[Einleitung: ...] in Erwägung nachstehender Gründe: (39) [...] Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (2) a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; Artikel 15 Auskunftsrecht der betroffenen Person (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.

GCP

4.9.5 Essential documents should be retained until at least 2 years after the last approval of a marketing application in an ICH region and until there are no pending or contemplated marketing applications in an ICH region or at least 2 years have elapsed since the formal discontinuation of clinical development of the investigational product. These documents should be retained for a longer period however if required by the applicable regulatory requirements or by an agreement with the sponsor. [...]

BDSG

§35 (2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn [...] 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist, oder [...] (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Falle des Absatzes 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, [...]

DAE Empf genDat

III. Verwendung von Gewebeproben: Die Aufbewahrung von Gewebeproben sollte nur so lange erfolgen, wie es das Studienziel erfordert bzw. der Proband / gesetzliche Vertreter es wünscht.

IV. Erhebung und Verwendung von Daten

Bei einem Widerruf der Einwilligung sind sämtliche personenbezogenen bzw. personenbeziehbaren Unterlagen bzw. Materialien zuverlässig zu vernichten, sofern der Betroffene dies wünscht und gesetzliche Bestimmungen nicht entgegenstehen. Die Rechte des Probanden auf Auskunft und Einsicht in die Unterlagen sind zu gewährleisten. Personenbezogene Daten sind zu anonymisieren, sobald es nach dem Forschungszweck möglich ist (§ 40 Abs. 2 BDSG). Die Ethik-Kommission sollte die Möglichkeit, Art und Zuverlässigkeit der Anonymisierung genau prüfen. Der Proband ist darauf hinzuweisen, dass die Anonymisierung – in seinem Interesse – eine Information über Untersuchungsergebnisse ausschließt. Besteht er auf einer solchen Information, sind die Rahmenbedingungen für die vorübergehende Verwendung nicht anonymisierter Daten exakt festzulegen. In solchen Fällen könnte sich eine Datentreuhänderschaft anbieten. [...] Das Datenschutzrecht geht vom Grundsatz der Zweckbindung aus, wonach eine Verwendung von personenbezogenen Daten grundsätzlich nur zu dem Zweck erfolgen darf, zu dem die Daten in rechtmäßiger Weise (insbesondere aufgrund einer informierten Zustimmung des Betroffenen) erhoben und gespeichert worden sind. Zu den Anforderungen an eine informierte Zustimmung gelten die gleichen Grundsätze, wie sie vorstehend zur Untersuchung von nicht anonymisiertem Material dargestellt wurden.

EU VERORDNUNG 536/2014

Erwägungsgrund

(76) Für die Verarbeitung personenbezogener Daten in den Mitgliedstaaten im Rahmen dieser Verordnung, unter Überwachung der zuständigen Behörden der Mitgliedstaaten, insbesondere der von den Mitgliedstaaten benannten öffentlichen unabhängigen Behörden gilt die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (1); für die Verarbeitung personenbezogener Daten durch die Kommission und die Agentur unter Überwachung des Europäischen Datenschutzbeauftragten im Rahmen dieser Verordnung gilt die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (2). Durch diese Instrumente werden die Rechte auf Schutz personenbezogener Daten gestärkt, wozu das Recht auf Zugang, Berichtigung und Löschung gehört. Außerdem werden die Fälle festgelegt, in denen Beschränkungen dieser Rechte auferlegt werden können. Um diese Rechte zu achten und gleichzeitig die Belastbarkeit und Zuverlässigkeit von Daten aus klinischen Prüfungen, die zu wissenschaftlichen Zwecken benutzt werden, und die Sicherheit von an klinischen Prüfungen teilnehmenden Prüfungsteilnehmern zu schützen, ist es angemessen vorzusehen, dass unbeschadet der Richtlinie 95/46/EG der Widerruf einer Einwilligung nach Aufklärung keine Auswirkungen auf die Ergebnisse bereits durchgeführter Tätigkeiten haben sollte, wie etwa die Speicherung und Verwendung von Daten, die auf der Grundlage der Einwilligung nach Aufklärung vor deren Widerruf gewonnen wurden.

SCHUTZ DER PRÜFUNGSTEILNEHMER UND EINWILLIGUNG NACH AUFKLÄRUNG

Artikel 28 Allgemeine Bestimmungen

(2) Unbeschadet der Richtlinie 95/46/EG kann der Sponsor den Prüfungsteilnehmer oder, falls der Prüfungsteilnehmer nicht in der Lage ist, eine Einwilligung nach Aufklärung zu erteilen, seinen gesetzlicher Vertreter dann, wenn der Prüfungsteilnehmer oder sein gesetzlicher Vertreter seine Einwilligung nach Aufklärung erteilt, an der klinischen Prüfung teilzunehmen, um seine Einwilligung ersuchen, dass seine Daten außerhalb des Prüfplans der klinischen Prüfung, jedoch ausschließlich zu wissenschaftlichen Zwecken, verwendet werden. Diese Einwilligung kann von dem Prüfungsteilnehmer oder seinem gesetzlichen Vertreter jederzeit widerrufen werden.

(3) Jeder Prüfungsteilnehmer oder, falls der Prüfungsteilnehmer nicht in der Lage ist, eine Einwilligung nach Aufklärung zu erteilen, sein gesetzlicher Vertreter kann seine Teilnahme an der klinischen Prüfung jederzeit durch Widerruf seiner Einwilligung beenden, ohne dass ihm daraus ein Nachteil entsteht und ohne dass er dies in irgendeiner Weise begründen müsste. Unbeschadet der Richtlinie 95/46/EG hat der Widerruf der Einwilligung nach Aufklärung keine Auswirkungen auf Tätigkeiten, die auf der Grundlage der Einwilligung nach Aufklärung bereits vor deren Widerruf durchgeführt wurden, oder auf die Verwendung der auf dieser Grundlage erhobenen Daten.

Artikel 35

(3) Erteilt der Prüfungsteilnehmer oder gegebenenfalls sein gesetzlicher Vertreter seine Einwilligung nicht, wird er davon in Kenntnis gesetzt, dass er das Recht hat, der Nutzung von Daten, die im Rahmen der klinischen Prüfung gewonnen wurden, zu widersprechen.

Artikel 81 EU-Datenbank

(10) Die Agentur, die Kommission und die Mitgliedstaaten sorgen dafür, dass die betroffenen Personen ihre Informations-, Auskunfts-, Berichtigungs- und Widerspruchsrechte in Einklang mit der Verordnung (EG) Nr. 45/2001 und den nationalen Datenschutzvorschriften zur Umsetzung der Richtlinie 95/46/EG wirksam wahrnehmen können. Dazu gehört, dass die Betroffenen ihr Recht auf Auskunft über die sie betreffenden Daten und auf Berichtigung oder Löschung unrichtiger oder unvollständiger Daten tatsächlich ausüben können. Die Agentur, die Kommission und die Mitgliedstaaten stellen in ihrem jeweiligen Zuständigkeitsbereich sicher, dass unrichtige oder unrechtmäßig verarbeitete Daten gemäß geltendem Recht gelöscht werden. Korrekturen und Löschungen von Daten werden schnellstmöglich, spätestens jedoch 60 Tage, nachdem die betroffene Person dies verlangt hat, vorgenommen.