ich bin betrieblicher DSB eines Krankenhauses mit zwei Standorten. Eine Fachklinik ist sehr aktiv bei wissenschaftlicher Forschung, so dass ich regelmäßig Anträge zur Teilnahme an klinischen Studien zur datenschutzrechtlichen Bewertung auf dem Tisch habe.
Dass klinische Studien datenschutzrechtlich in den meisten Fällen als Verarbeitung in gemeinsamer Verantwortung zu betrachten sind, hat sich bei Sponsoren inzwischen herumgesprochen. Und solange die erhoben Studiendaten im Wirkbereich der DSGVO verbleiben ist das alles auch kein Problem.
Die Sponsoren sind häufig selten weltweit aktive Konzerne, die nicht selten eine Mutterunternehmen in den USA haben. Häufig ist es dann mit einem JCA nicht getan. Das EU-U.S. Data Privacy Framework kann herangezogen werden sofern der Datenempfänger in den USA sich selbst der DPF-Zertifizierung unterwirft. Alternativ muss dann ggf. auf die SCC Modul 1 zurückgegriffen werden.
Jetzt meine Frage:
Wenn der Sponsor (nicht DPF-zertifiziert) einen Sitz in den USA hat, jedoch in Europa ein Auftragsforschungsinstitut beauftragt und das Datenbanksystem an das wir die erhobenen Studiendaten senden sollen in Europa betrieben wird, macht uns das dann trotzdem zum Datenexporteur im Sinne von Kapitel V DSGVO?
Wegen der einschlägigen US-Gesetze zum Zugriff von US-Diensten auf die Daten von US-Unernehmen einschließlich deren Tochterfirmen in der EU halte ich das DPF für einen Witz, und die SCC alleine sind nach dem Schrems-II-Urteil des EuGH ohne zusärtliche Maßnahmen hier eh nicht ausreichend.
M.E. kommen Sie um echte Anonymisierung der Daten nicht herum, zumal es sich um besonders schützenwerte handelt.
Wie und mit welchem Inhalt informieren Sie die Betroffenen?
Dem DPF gebe ich ebenfalls keine allzu großen Chancen. Ein erster Eilantrag zur Aussetzung der DPF beim EuG wurde zwar abgewiesen, es ist aus meiner Sicht aber nur eine Frage der Zeit bis das DPF wieder dem EuGH vorliegen wird.
Das DPF war jedoch nicht meine Frage. Ich möchte wissen, ob wir durch einen Vertrag mit einem US-Unternehmen immer automatisch Datenexporteur sind, auch wenn der Empfänger der Studiendaten (ein Auftragsforschungsinstitut) an den wir als Studienzentrum die pseudonymisierten Daten senden in der EU ansässig ist und die Server an den die Daten übertragen werden in der EU betrieben wird.
Die Information der betroffenen erfolgt durch eine vom Sponsor bereitgestellte Patienteninformation in der ausdrücklich auch über mögliche Verarbeitungen in Drittstaaten hingewiesen wird.
Eine komplette Anonymisierung bei Studien (insbesondere bei der, um die es grade geht) ist meines Erachtens nicht möglich.
“Auftragsforschungsinstitut” hört sich für mich so an, als ob der US-Sponsor Zugriff auf die Daten in diesem Institut hat. Es kommt ja nicht nur darauf an, wo die Server stehen, sondern von wo aus Zugriff auf personenbezogene Daten möglich ist. Wenn der US-Sponsor Zugriff auf die pseudnonymisierten Daten hat, dann ist Ihr m.E. Krankenhaus Datenexporteur.