Im Fokus: Datenschutz

Mehr Daten-IQ, weniger Datenflut


Die Pharmabranche ist sehr stark reguliert und daher auch für neue Vorgaben im Bereich Datenschutz gut gerüstet. Ihre Akteure sollten regulatorische Neuerungen zum Anlass nehmen, den Wert von Daten und deren Verarbeitung neu zu bestimmen sowie Aufwand und Ertrag emotionsfrei gegenüberzustellen. So betrachtet kann der Datenschutz die Compliance verbessern und die Reputation stärken – und gleichzeitig die wertschöpfende Datenintelligenz erhöhen.

Dominik Hotz

Dominik Hotz

Partner, Leiter Pharma/Life Sciences Sector

Susanne Hofmann

Susanne Hofmann

Director, Leiterin Legal Compliance/Data Protection

Björn Sieger

Björn Sieger

Senior Manager, Systems and Process Assurance, Attorney-at-law

Die Pharmaindustrie ist schon seit Jahren stark reguliert und mit dem Thema Datenschutz vertraut. Sie ist erfahren im Umgang mit hochsensiblen Daten, seien es Personendaten, Forschungsergebnisse oder besonders schützenswerte Gesundheits- bzw. Krankheitsinformationen. Trotzdem: Der Administrationsaufwand für die Umsetzung von bestehenden und neuen regulatorischen Vorgaben ist hoch. Zudem wird die Branche von Medien und Öffentlichkeit insgesamt mit Argusaugen beobachtet – immerhin ist die Gesundheit ein zentrales Gesellschaftsthema. Entsprechend prägt der Umgang mit Daten die Reputation eines Pharmaunternehmens überdurchschnittlich stark.

Der Status quo – positiv

Um die Akteure im Gesundheitswesen hinsichtlich ihrer aktuellen Datenschutzprogramme und deren Robustheit in Bezug auf die neuen Vorgaben zu beurteilen, bedarf es einer differenzierten Betrachtung:

  • In Einzelpraxen und Praxisgemeinschaften ist schon grössenbedingt wenig juristisches und IT-spezifisches Wissen vorhanden. Jedoch sind hier die Entscheidungsträger aufgrund des Arztgeheimnisses für den Schutz personenbezogener Daten sensibilisiert.

  • Spitäler und Heime können Datenschutzrisiken gezielter angehen, aber nicht unbedingt regelkonform abbilden. Oft sind hier grosse Datenmengen und unterschiedliche, nicht miteinander verbundene Datenquellen vorhanden – einige davon auch völlig ungeschützt, etwa Patientenblätter am Bett.

  • Pharmakonzerne müssen schon heute unterschiedliche, strenge und sich teilweise widersprechende Regularien wie etwa den EFPIA-Code oder diverse GxP-Richtlinien einhalten. Damit sind sie für einen angemessenen Datenschutz zwar generell gut aufgestellt, bewegen sich aber immer in einem Spannungsfeld von Zielkonflikten.

  • Kleine und mittelgrosse Pharmaunternehmen haben brillante pharmazeutische Ideen. Häufig fehlen ihnen allerdings die Ressourcen und Kapazitäten, um der Flut von Regularien Herr zu werden. Für sie ist die Umsetzung neuer Datenschutzbestimmungen anspruchsvoll und teilweise mit den vorhandenen Ressourcen nicht durchführbar.

Die Regulierung – umfassend

Die Regulierungen der Pharmabranche mit Einfluss auf den Umgang mit Daten sind vielfältig. An dieser Stelle sei beispielhaft auf die folgenden Regelungen verwiesen, die unterschiedliche Ziele verfolgen:

European Federation of Pharmaceutical Industries and Associations (EFPIA) nennt sich der europäische Dachverband der nationalen Verbände forschender Pharmaunternehmen und einzelner Pharmaunternehmen. Unter dem Begriff «Responsible Transparency» fordert die Vereinigung eine Offenlegung von Informationen zugunsten von Akteuren und Patienten sowie eine ethische Abwicklung des Geschäfts. Dieser Anspruch wird im EFPIA-Code und in den «Joint Principles for Responsible Clinical Trial Data Sharing to Benefit Patients» festgehalten. Die Richtlinien haben selbstregulierenden, nicht aber rechtsverbindlichen Charakter.

Die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) und diejenige der Schweiz (DSG) fordern einen angemessenen Schutz von Personendaten – was für die Pharmaindustrie insbesondere bei Patientendaten sowie bei Kunden- und Verbraucherdaten eine Herausforderung darstellt. Zu den Schlüsselzielen gehören mehr Transparenz für die Betroffenen, ein erleichterter Datenfluss und strengere Sanktionen bei Verstoss (mehr dazu in Fokus-Artikel 1, «Mit Daten zu Taten»)

Abbildung 1: Übersicht zur Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) und der Schweiz (DSG)
focus_04-01.de Created with Sketch. GxP Antibestechung/ -korruption Antischmiergeld- Bestimmungen Branchen- kodizes Transparenz Pharma

Die Komplexität – hoch

Im Gesundheitswesen ist die Verkettung von Akteuren und Entscheidungen weit komplexer als in anderen Industriezweigen: Der Arzt untersucht einen Patienten und verschreibt eine entsprechende Behandlung. Die Krankenkasse bezahlt – zumindest teilweise – das Medikament oder die Anwendung. Diese erfolgt im Spital, etwa durch eine Operation. Dabei helfen die Medizinaltechnik und ebenso die Pharmakonzerne mit der Herstellung der Medikamente. Der «Konsument» schliesslich ist der Patient. An fast allen Schnittstellen entstehen Daten sowie neue Verantwortlichkeiten für ihre Verarbeitung und ihren Schutz.

Zur besseren Erläuterung ein Beispiel: Doktor Dent stellt mit seinem 3-D-Drucker der Marke Zahnpress ein Porzellanimplantat für den Patienten Lücke her. Dazu gibt er dessen medizinische Daten in sein Gerät ein. Dieses wird ihm vom Pharmakonzern Chemiecon zur Verfügung gestellt. Wie sieht nun die Rechtslage beim Abzug und bei der Verwendung der eingegebenen und ausgewerteten Daten aus? Welche datenschutzrechtlichen Voreinstellungen müssen auf dem Gerät gemacht werden? Welche vertraglichen Bestimmungen sind zwischen den Parteien nötig? Und was muss Herr Lücke über all das wissen, welcher Verwendung seiner Daten kann er widersprechen und bei wem eine Löschung dieser Daten verlangen?

Die Fragezeichen – zahlreich

Die unterschiedlichen Stossrichtungen der Regularien führen zu Interessenkonflikten bei den Pharmaunternehmen: Einerseits wollen sie Daten sammeln und diese im Dienst des Patienten in der Forschung und Entwicklung einsetzen. Andererseits fordern die Datenschutzbestimmungen, diese Daten zu schützen. Im Weiteren verlangt der Regulator von den Unternehmen, dass sie die Verarbeitung von Daten offenlegen – und gleichzeitig, dass sie Kundendaten geheim halten.

Ein weiteres Dilemma entsteht in der Anlage und Interpretation der Vorgaben und Verordnungen selbst. Gemäss EU-DSGVO muss ein Unternehmen aufzeigen können, dass es mit anonymisierten Daten arbeitet. Einzelpersonen dürfen in der Datenverarbeitung nicht ohne erheblichen Aufwand identifizierbar sein. In dieser Regulation werden die Anforderungen höher angesetzt als im DSG und mit auslegungsbedürftigen Rechtsbegriffen wie «erheblicher Aufwand» oder «Datenminimierung» versehen.

Ein zusätzliches Fragezeichen ergibt sich beim Kauf von Daten. Sie werden anonymisiert und zum Teil aggregiert, bis sie zu Forschungszwecken bei einem Pharmaunternehmen eintreffen. Hier stellt sich einerseits die Frage, ob ohne übermässigen Aufwand ein Rückschluss auf Einzelpersonen möglich ist. Ausserdem ist zu klären, wer nach der Veräusserung der Daten für deren weitere Verarbeitung bzw. deren Schutz verantwortlich ist. Im Weiteren müssen für eine rechtmässige Datenbearbeitung eine vertragliche Grundlage und eine Einwilligung dazu vorliegen, was mit den Daten gemacht wird. Ein Problem ergibt sich dann, wenn Daten einwilligungsfremd oder zu einem anderen Zweck als ursprünglich vereinbart verwendet werden.

Die Risiken – beachtenswert

Ein unsachgemässer Datenschutz, weil die Datenherkunft und -verarbeitung nicht bekannt oder nicht rückverfolgbar ist, stellt für ein Pharmaunternehmen ein beachtliches Compliancerisiko dar und kann nach der EU-DSGVO auch mit empfindlichen Strafzahlungen oder Bussgeldern belegt werden (bis maximal 20 Millionen Euro oder 4% des Umsatzes). Das eindeutige Schlüsselrisiko liegt aber beim Reputationsschaden. Das Vertrauen der Öffentlichkeit in die Pharmaindustrie ist historisch gesehen relativ gering. Themen wie Zahlungen an Ärzte oder die Nutzung sensibler Daten geraten darum schnell und häufig wenig reflektiert in den medialen Fokus. Im Zug einer solchen Publizität können Interessengruppen zudem im Namen des Datenschutzes versuchen, der Reputation eines Pharmaakteurs zu schaden. So hat die Branche nicht nur aufgrund der historischen Verpflichtung zu mehr Transparenz ein reges Interesse daran, den offenen Dialog mit Regulator, Geschäftspartnern, Öffentlichkeit und Patienten zu pflegen und seine Prozesse diesbezüglich im Griff zu haben.

Auch Vertrags- und Haftungsrisiken dürfen nicht ausser Acht gelassen werden. So bedingt etwa die Auslagerung der Datenverarbeitung an Dritte eine genaue Prüfung der Verträge. Zum Beispiel muss vertraglich vereinbart sein, dass Daten DSGVO-konform gehalten, verarbeitet, geschützt, gelöscht oder archiviert werden.

Die Chancen – einmalig

Datenschutz bietet wie erwähnt so manche Hürde und gerade für die Pharmabranche ziemlich eng gesetzte Leitplanken. Aber auch enorme Chancen. Datenschutzkonformität kann ein Qualitätsmerkmal darstellen. So können die Pharmaunternehmen die Compliance in diesem Bereich als Antrieb nutzen, ihren Standpunkt hinsichtlich Datentransparenz und -minimierung zu klären und ihre Prozesse entsprechend zu optimieren.

Der Datenschutz kann ausserdem dazu beitragen, eine gesunde Digitalisierung voranzutreiben und ziellose Massendatensammlungen oder -speicherung zu vermeiden. Die neuen Datenschutzregulierungen können positiv genutzt werden und mit der Frage nach dem Wert von Daten die Innovationskraft eines Unternehmens stärken.

Der Datenschutz hilft einem Unternehmen, seinen Aufwand und Ertrag aus dem Umgang mit Daten neu zu beurteilen. Wer die strengen Anforderungen des Datenschutzes umsetzen will, kann dies als Anlass sehen, den Wert der gesammelten oder gekauften Daten neu zu bestimmen, Daten gezielt zu nutzen und sie wertschöpfend einzusetzen. In diesem Sinn entfaltet der Datenschutz eine reinigende und wertsteigernde Wirkung und erhöht die Datenintelligenz eines Unternehmens.

Wir sind für Sie da!

Dominik Hotz

Dominik Hotz

Partner, Leiter Pharma/Life Sciences Sector

+41 58 792 53 09

Susanne Hofmann

Susanne Hofmann

Director, Leiterin Legal Compliance/Data Protection

+41 58 792 17 12

Björn Sieger

Björn Sieger

Senior Manager, Systems and Process Assurance, Attorney-at-law

+41 58 792 54 15

Gerne möchten wir diese Lektüre noch gezielter auf Ihre Wünsche ausrichten. Darum bitten wir Sie um fünf Minuten Ihrer wertvollen Zeit für die Beantwortung von Fragen zum «Disclose».
Hier geht es zur Umfrage!