Verordnung über Standardvertragsklauseln für die Durchführung klinischer Prüfungen (Standardvertragsklauselverordnung - StandVKlV)
Anlage 2 (zu § 1 Absatz 1)
Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit

Soweit nicht nachstehend abweichend vereinbart, stellt jede Vertragspartei selbst die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie durchgeführten Datenverarbeitungen, sicher.

Im Rahmen der gemeinsamen Verantwortlichkeit ist der Sponsor für die Verarbeitung der für die Zwecke der klinischen Prüfung aufgrund des Prüfplans erhobenen und an den Sponsor weitergegebenen pseudonymisierten Daten der Prüfungsteilnehmer, die Bereitstellung und Sicherheit des elektronischen Prüfbogens (electronic case report form, eCRF), die Überwachung und die Überprüfung der ordnungsgemäßen Durchführung der klinischen Prüfung <Ggf. Ergänzung weiterer tatsächlich stattfindender Datenflüsse bezüglich aller der gemeinsamen Verantwortlichkeit unterliegenden personenbezogenen Daten> zuständig. Er ist insbesondere für einen den Anforderungen des Artikels 32 der Datenschutz-Grundverordnung entsprechenden Übertragungsweg zwischen dem Prüfzentrum und dem eCRF zuständig.

Das Prüfzentrum ist im Rahmen der gemeinsamen Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten der Prüfungsteilnehmer in Verbindung mit der Durchführung der klinischen Prüfung zuständig. Davon umfasst sind die Erhebung der Studiendaten, die Überwachung und die Dokumentation der Reaktion der Prüfungsteilnehmer auf das Prüfpräparat, die Aufbereitung der gewonnenen Erkenntnisse und deren Weitergabe mittels eCRF an den Sponsor in pseudonymisierter Form sowie die Meldung unerwünschter Ereignisse an den Sponsor <Ggf. Ergänzung weiterer tatsächlich stattfindender Datenflüsse bezüglich aller der gemeinsamen Verantwortlichkeit unterliegenden personenbezogenen Daten>. Das Prüfzentrum ist insbesondere zuständig für eine den Anforderungen des Artikels 32 der Datenschutz-Grundverordnung entsprechende Verarbeitung der personenbezogenen Daten bis zur Weitergabe auf dem in der Zuständigkeit des Sponsors liegenden Übertragungsweg zwischen dem Prüfzentrum und dem eCRF.

Tätigkeiten, die vor der Unterzeichnung des Vertrages zur Durchführung der klinischen Prüfung erfolgen, sind nicht Gegenstand der Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit.

Tätigkeiten, die nach dem Abschluss der im Prüfplan aufgeführten Untersuchungen, nach der Übergabe sämtlicher vollständig ausgefüllter eCRF durch das Prüfzentrum an den Sponsor und nach der Schließung des Prüfzentrums, einschließlich abschließendem Data Cleaning und Abschluss der Prüfungs-Datenbank für das Prüfzentrum, erfolgen, sind nicht Teil der gemeinsamen Verantwortlichkeit. Zu diesen Tätigkeiten zählen beispielsweise die wissenschaftliche Auswertung sowie die Zulassung des prüfungsgegenständlichen Arzneimittels oder die Archivierung.

Der Sponsor wird dem Prüfzentrum eine von der Ethik-Kommission geprüfte und in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung ausgefertigte Information zur prüfplankonformen Verarbeitung personenbezogener Daten sowie ein den Vorgaben der Datenschutz-Grundverordnung entsprechendes Formblatt für eine Einwilligungserklärung der Prüfungsteilnehmer bereitstellen. Das Prüfzentrum ist nicht für die Überprüfung dieses Formblatts zuständig. Das Prüfzentrum wird dem Sponsor die aufgrund des Prüfplans und der Einwilligungserklärungen erhobenen Daten der Prüfungsteilnehmer in pseudonymisierter Form zur Verfügung stellen.

Betroffene Personen können die ihnen aus den Artikeln 15 bis 22 der Datenschutz-Grundverordnung zustehenden Rechte („Betroffenenrechte“) gegenüber allen Vertragsparteien geltend machen, wobei das Prüfzentrum den betroffenen Personen als primäre Kontaktstelle angeboten wird. Sofern eine betroffene Person an den Sponsor zur Ausübung ihrer Betroffenenrechte herantritt, verweist dieser generell auf die ausgehändigte Patienteninformation und an das Prüfzentrum, das als primäre Kontaktstelle zur Wahrung der Betroffenenrechte dient.

Die Vertragsparteien unterstützen sich gegenseitig bei der Erfüllung der Betroffenenrechte unter Wahrung der Pseudonymisierung. Die Vertragsparteien stellen sich bei Bedarf die erforderlichen Informationen aus ihrem jeweiligen Zuständigkeitsbereich gegenseitig zur Verfügung. Dies erfolgt in pseudonymisierter Form anhand der prüfungsspezifischen Identifikationsnummer.

Im Übrigen sind die Vertragsparteien für die Umsetzung und Befolgung der Betroffenenrechte hinsichtlich der bei ihnen oder ihren Auftragnehmern verarbeiteten Daten selbst zuständig.

Anfragen betroffener Personen betreffend die Löschung ihrer personenbezogenen Daten, die Gegenstand der gemeinsamen Verarbeitung sind, werden bei Eingang unverzüglich der anderen Vertragspartei mitgeteilt. Wenn eine der Vertragsparteien sämtliche oder Teile der personenbezogenen Daten nach Artikel 17 Absatz 3 der Datenschutz-Grundverordnung nicht löschen muss oder darf, muss diese Vertragspartei sicherstellen, dass sie diese personenbezogenen Daten löschen wird, sobald die gesetzliche Verpflichtung zur Löschung nach Artikel 17 Absatz 1 der Datenschutz-Grundverordnung eintritt. Wenn eine Anfrage betreffend die Löschung personenbezogener Daten begründet ist oder die Rechtsgrundlage für die Datenverarbeitung weggefallen ist, löschen die Vertragsparteien die betreffenden personenbezogenen Daten. Jede Vertragspartei setzt ein Protokoll über die Löschung personenbezogener Daten auf, das der jeweils anderen Vertragspartei auf Anfrage bereitzustellen ist. Zur Sicherstellung einer rechtzeitigen und rechtskonformen Löschung erarbeiten die Vertragsparteien ein Löschkonzept, in dem festgelegt wird, welche personenbezogenen Daten durch wen zu löschen sind.

Die Vertragsparteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten nach dieser Vereinbarung Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.

Die Vertragsparteien sind für die aus den Artikeln 33 und 34 der Datenschutz-Grundverordnung resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Zuständigkeitsbereich zuständig. Die Vertragsparteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten im Rahmen der gegenständlichen klinischen Prüfung an die Aufsichtsbehörde und unterstützen sich gegenseitig im Rahmen des rechtlich Zulässigen bei der Durchführung der Meldung.

Die Vertragsparteien sind berechtigt, der jeweils anderen Vertragspartei keine weiteren personenbezogenen Daten mehr zur Verfügung zu stellen oder zu übermitteln, wenn und soweit Zweifel bestehen, dass für die Verarbeitung der personenbezogenen Daten, deren Zurverfügungstellung oder deren Übermittlung eine Rechtsgrundlage besteht. Zweifel können sich insbesondere daraus ergeben, dass veränderte rechtliche oder tatsächliche Umstände zu einer neuen rechtlichen Bewertung der Rechtsgrundlage führen, wie beispielsweise das erstmalige oder veränderte Erfordernis einer Rechtsgrundlage nach den Artikeln 44 bis 50 der Datenschutz-Grundverordnung. Solche Umstände können sich auch aus behördlichen oder gerichtlichen Verfügungen sowie Veröffentlichungen der Aufsichtsbehörden ergeben. Die Vertragsparteien werden darauf hinwirken, die Rechtsgrundlage zu klären.

Die Vertragsparteien stellen innerhalb ihres jeweiligen Zuständigkeitsbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeiter die Vertraulichkeit der Daten in Einklang mit den Artikeln 29 und 32 der Datenschutz-Grundverordnung und ohne eine Verletzung des § 203 des Strafgesetzbuchs sowie bei ausländischen Partnern in Einklang mit einem vergleichbaren Standard des Geheimnisschutzes für die Zeit ihrer Tätigkeit im Zusammenhang mit der Verarbeitung der personenbezogenen Daten wie auch nach Beendigung der Tätigkeit wahren und dass diese Mitarbeiter vor Aufnahme ihrer Tätigkeit entsprechend zur Vertraulichkeit der Daten verpflichtet und in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.

Die Vertragsparteien haben jeweils dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen nach Artikel 32 der Datenschutz-Grundverordnung zu treffen. Dies gilt insbesondere im Fall der Beendigung der Zusammenarbeit.

Die Implementierung, die Voreinstellung und der Betrieb der genutzten Systeme zur Datenverarbeitung sind unter Beachtung der Vorgaben der Datenschutz-Grundverordnung und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen, sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.

Die vertraglichen Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit gelten für die Dauer der Verarbeitung personenbezogener Daten. Die gesonderte ordentliche Kündigung dieser Regelungen ist ausgeschlossen.

Die Vertragsparteien können diese Vereinbarung mit sofortiger Wirkung kündigen, wenn ein schwerwiegender oder fortgesetzter Verstoß der anderen Vertragspartei gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn eine Vertragspartei die in dieser Vereinbarung bestimmten Pflichten, insbesondere die notwendigen technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt.

Artikel 82 der Datenschutz-Grundverordnung bleibt unberührt. Die vertraglichen Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit begründen darüber hinaus keinen Anspruch betroffener Personen oder sonstiger Dritter sowie keine Gesamtschuldnerschaft der Vertragsparteien.

Im Innenverhältnis haftet jede Vertragspartei gegenüber der anderen Vertragspartei für den Schaden, der durch Verarbeitungen in ihrem jeweiligen Zuständigkeitsbereich entstanden ist.