ich soll eine klinische Studie beurteilen. Der Vertrag wird zwischen uns und einem Sponsor mit Sitz in Belgien abgeschlossen. Datenschutzrechtlich wurde festgestellt, dass es sich hierbei um eine gemeinsame Verantwortung im Sinne von Art. 26 DSGVO handelt.
Die pseudonymen Daten der Probanden sollen durch Mitarbeiter des Studienzentrums in ein eCRF-System eingegeben werden. Auf Rückfrage wo das eCRF-System betrieben wird habe ich die Antwort erhalten, dass das in einem Rechenzentrum in den USA betrieben wird.
Macht uns alleine diese Tatsache schon zum Datenexporteuer? Unklar ist derzeit noch, ob das Rechenzentrum vom Sponsor/Vertragspartner betrieben wird oder ob das System durch einen Dienstleister des Sponsors betrieben wird. Würde das einen Unterschied machen?
Zunächst würde ich prüfen, ob es tatsächlich eine “gemeinsame Verantwortung” ist oder nicht doch eine Verarbeitung im Auftrag. Im letzteren Fall wäre die Sache klar, andernfalls sind die Abgrenzungen genau zu beschreiben.
klinische Prüfungen sind sehr selten Auftragsverarbeitungen. Die gemeinsame Verantwortung ist da schon deutlich zutreffender.
Vor der DSGVO sind Sponsoren ab und an schon mal von einer AV ausgegangen, wohl aber auch nur, dass das als BDSG die gemeinsame Verantwortung so nicht wirklich gekannt hat.
Ich warte aktuell die Antwort des Sponsors ab. Es ist in der Tat nicht ganz eindeutig, ob die Daten von uns tatsächlich auf ein System in den USA eingegeben werden.
Ich würde bei Sponsoring erstmal nicht von einer gemeinsamen Verantwortung ausgehen. Ein Sponsor gibt in der Regel Geld, um bei Erfolg der gesponseren Tätigkeit vom Imagegewinn zu profitieren, mischt sich aber inhaltlich nicht ein. Damit bestimmt er nicht die Zwecke der Datennutzung im Sinne von Art. 26 DSGVO. Nur wenn er sich inhaltlich einmischt und an Entscheidungsfindungen mitwirkt, in welchem Umfang auch immer, liegt eine gemeinsame Verantwortung vor, unabhängig davon, ob der Sponsor Zugriff auf die verarbeiteten personenbezogenen Daten erhält oder nicht.
Naja, der Themenersteller meint evtl. einen “Sponsor” als Fachbegriff, also nicht im üblichen Sprachgebrauch (ist aber fern meiner Arbeitswirklichkeit). Ebenso, wie er “eCRF” nicht erläutert, ist das schon recht arg faul als Fragestellung.
PS: was immer auch “festgestellt” (von wem?) heißen mag … man kann ja mal bei der ASB fragen oder sich über die gmds https://www.gmds.de/ nach Infos suchen