Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle News

News

EDPB und EDPS: Biotech Act und sensible Gesundheitsdaten, spezifische Schutzmaßnahmen dringend erforderlich

12. März 2026

Quelle EDPB ↗

Auf einen Blick

Das Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben eine Gemeinsame Stellungnahme zum Proposal for a European Biotech Act veröffentlicht. Obwohl sie das Ziel unterstützen, den Biotechnologiesektor zu stärken und die Rechtsgrundlage für klinische Studien zu harmonisieren, betonen sie die Notwendigkeit verstärkter Schutzmaßnahmen. Dies ist aufgrund der hohen Sensibilität der verarbeiteten Gesundheits- und Gendaten entscheidend. Das EDPB und der EDPS haben zentrale Empfehlungen gegeben, um sicherzustellen, dass die regulatorische Vereinfachung das Schutzniveau der Teilnehmer nicht beeinträchtigt.

Hintergrund

Am 12. März 2026 haben der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) eine Joint Opinion zum Vorschlag der Europäischen Kommission für einen European Biotech Act angenommen. Dieser Vorschlag zielt darauf ab, die europäischen Biotechnologie- und Biomanufacturing-Sektoren, insbesondere im Gesundheitsbereich, durch die Vereinfachung des Rechtsrahmens und die Aktualisierung der Regeln für klinische Studien zu stärken. Das EDPB und der EDPS unterstützen das Ziel, die Wettbewerbsfähigkeit der EU zu fördern und die aktuelle Fragmentierung bei der Anwendung der Clinical Trials Regulation (CTR) zu überwinden. Sie begrüßten insbesondere die Absicht, eine einzige Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Sponsoren und Prüfärzte zu schaffen, da dies die Rechtsklarheit in ganz Europa erheblich verbessern würde. Sie hoben jedoch hervor, dass die Sensibilität der im Rahmen klinischer Studien verarbeiteten Gesundheits- und Gendaten einen hohen Schutzstandard erfordert, und gaben Empfehlungen, um zu verhindern, dass die vorgeschlagenen Vereinfachungen das Schutzniveau der Teilnehmer mindern.

Warum es wichtig ist

Dieses Gutachten ist von grundlegender Bedeutung für Datenschutzbeauftragte (DPO) und IT-Verantwortliche, da es die hohe Sensibilität von Gesundheits- und Gendaten unterstreicht und ein Schutzniveau erfordert, das über Standardmaßnahmen hinausgeht. Der Vorschlag einer einzigen Rechtsgrundlage für klinische Studien wird als Chance zur Vereinfachung der DSGVO-Compliance gesehen, aber das EDPB und der EDPS warnen davor, dass dies mit robusten Schutzmaßnahmen ausgeglichen werden muss, um eine Absenkung des Schutzniveaus personenbezogener Daten zu vermeiden. Die Empfehlungen zielen darauf ab, die Daten-Governance, die Verwaltung der Rollen der Verantwortlichen und die Aufbewahrungsfristen zu stärken, zentrale Aspekte für die DSGVO-Compliance und indirekt für Informationssicherheitsstandards wie ISO 27001, die die Annahme angemessener technischer und organisatorischer Maßnahmen (wie Pseudonymisierung) zum Schutz von Informationswerten erfordert. Die Notwendigkeit der Kohärenz mit dem AI Act hebt die aufkommenden Herausforderungen an der Schnittstelle von technologischer Innovation und Datenschutz hervor und erfordert einen integrierten Ansatz für Sicherheit und Datenschutz von der Konzeption an.

Was zu tun ist

  • Die Rollen der Verantwortlichen (alleiniger oder gemeinsamer) für alle an klinischen Studien beteiligten Akteure klären, um eine klare Zuweisung der Verantwortlichkeiten zu gewährleisten.
  • Die obligatorische Aufbewahrungsfrist von 25 Jahren ausschließlich auf die Masterdatei der klinischen Studie begrenzen und eine Anwendung auf alle verarbeiteten personenbezogenen Daten vermeiden.
  • Zwecke und spezifische Schutzmaßnahmen für die Weiterverarbeitung von Studiendaten klar definieren, insbesondere wenn diese für andere Forschungen oder Studien verwendet werden.
  • Sicherstellen, dass die Verpflichtungen für Sponsoren im Biotech Act die bestehenden Anforderungen des AI Act ergänzen und mit diesen kohärent sind, um ein harmonisiertes regulatorisches Umfeld zu gewährleisten.
  • Die explizite Verwendung der Pseudonymisierung als angemessene technische und organisatorische Maßnahme fordern, wann immer die Verarbeitung direkt identifizierbarer Daten nicht erforderlich ist.

Was zu vermeiden ist

  • Vermeiden, das Schutzniveau für Teilnehmer an klinischen Studien durch regulatorische Vereinfachungen zu senken.
  • Die undifferenzierte Anwendung der Aufbewahrungsfrist von 25 Jahren auf alle personenbezogenen Daten vermeiden.
  • Unklarheiten oder mangelnde Klarheit bei der Definition der Rollen und Verantwortlichkeiten der Datenverantwortlichen vermeiden.
  • Diskrepanzen oder Inkonsistenzen zwischen dem Biotech Act und dem AI Act bei der Annahme von KI-basierten Lösungen vermeiden.

Praktische Auswirkungen

Für Organisationen, die im Biotechnologie-, Pharma- und klinischen Forschungssektor tätig sind, bedeuten diese Empfehlungen die Notwendigkeit einer umfassenden Überprüfung ihrer Verfahren zur Verarbeitung personenbezogener Daten. Es ist unerlässlich, dass die Verwaltung sensibler Daten, insbesondere Gesundheits- und Gendaten, auf den Prinzipien des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen basiert. Dies umfasst die klare Definition von Verantwortlichkeiten, die Implementierung fortschrittlicher Sicherheitsmaßnahmen wie der Pseudonymisierung und die strikte Verwaltung von Aufbewahrungsfristen, um die vollständige Einhaltung der DSGVO und anderer aufkommender sektorspezifischer Vorschriften, wie dem AI Act, zu gewährleisten.

Empfohlene Maßnahmen

  • Interne Datenaufbewahrungsrichtlinien aktualisieren, um zwischen Masterdateien und anderen personenbezogenen Daten zu unterscheiden und gezielte Aufbewahrungsfristen anzuwenden.
  • Verträge und Vereinbarungen über gemeinsame Verantwortlichkeit mit allen an klinischen Studien beteiligten Partnern überprüfen und formalisieren.
  • Die Verwendung von Pseudonymisierung und anderen Datenminimierungstechniken in Forschungs- und Verarbeitungsprozessen implementieren oder verstärken.
  • Die Anforderungen des Biotech Act (sobald genehmigt) mit denen des AI Act vergleichen, um eine integrierte Compliance bei der Nutzung von KI zu gewährleisten.
  • Klare interne Leitlinien für die Weiterverarbeitung von Daten zu wissenschaftlichen Forschungszwecken entwickeln, einschließlich DPIA und spezifischer Schutzmaßnahmen.

Zu vermeidende Fehler

  • Kein klares Verständnis oder keine Dokumentation der Rollen des Verantwortlichen und des gemeinsamen Verantwortlichen zu haben.
  • Identifizierbare personenbezogene Daten länger als nötig oder ohne klare Rechtsgrundlage zu speichern.
  • Das Versäumnis, angemessene Sicherheitsmaßnahmen wie die Pseudonymisierung anzuwenden, wenn technisch machbar.
  • Die regulatorischen Überschneidungen zwischen der DSGVO, dem AI Act und dem zukünftigen Biotech Act zu ignorieren.

Fragen zur Selbsteinschätzung

  • Definieren unsere aktuellen Prozesse die Rollen des Verantwortlichen und die Verantwortlichkeiten für alle Akteure klinischer Studien klar?
  • Ist unsere Richtlinie zur Aufbewahrung personenbezogener Daten nach Datentyp und Verarbeitungszweck differenziert, unter Einhaltung des Minimierungsgrundsatzes?
  • Setzen wir Pseudonymisierung oder andere gleichwertige Maßnahmen ein, wenn die Verarbeitung direkt identifizierbarer Daten nicht unbedingt erforderlich ist?
  • Wie gewährleisten wir die Kohärenz und Kompatibilität unserer Datenverarbeitungspraktiken mit den Anforderungen der DSGVO, des AI Act und der Clinical Trials Regulation?
  • Haben wir robuste Verfahren und definierte Schutzmaßnahmen für die Weiterverarbeitung von Daten klinischer Studien zu wissenschaftlichen Forschungszwecken?

Verweise

Nationales Recht: GDPR · AI Act · Clinical Trials Regulation (CTR) · European Biotech Act

Zum Originalartikel auf EDPB ↗