Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie europäische Pharmaunternehmen klinische Studiendaten grenzüberschreitend austauschen und dabei die europäische Souveränität wahren

Wie europäische Pharmaunternehmen klinische Studiendaten grenzüberschreitend austauschen und dabei die europäische Souveränität wahren

von Marc Eikelder updated Februar 11, 2026 Regulatorische Compliance
Lesezeit: 11 Minuten

Europäische Pharmaunternehmen agieren in einer der datenintensivsten und am stärksten regulierten Branchen Europas. Bereits eine einzige multinationale klinische Studie erzeugt Patientendaten, Genomdaten, Berichte zu unerwünschten Ereignissen, Laborergebnisse und Prüfdokumentationen, die zwischen Prüfzentren in mehreren EU-Mitgliedstaaten, Auftragsforschungsinstituten (CROs), Aufsichtsbehörden und teilweise auch Partnern oder Tochtergesellschaften außerhalb Europas ausgetauscht werden müssen. Jeder dieser Datentransfers betrifft einige der sensibelsten personenbezogenen Informationen, die die DSGVO schützen soll: besondere Kategorien von Gesundheitsdaten, die Studienteilnehmer für Forschungszwecke freigegeben haben – nicht für die Überwachung durch ausländische Behörden.

Das regulatorische Umfeld für diese Daten ist in den letzten zwei Jahren deutlich komplexer geworden. Die EU-Verordnung über klinische Prüfungen (536/2014) ist nun vollständig in Kraft, seit Januar 2025 müssen alle Studien über das Clinical Trials Information System (CTIS) abgewickelt werden. Die European Health Data Space (EHDS) Regulation trat im März 2025 in Kraft und schafft einen Rahmen für die Sekundärnutzung von Gesundheitsdaten, einschließlich Studiendaten, der ab 2031 gilt. Der grundlegende Konflikt zwischen den DSGVO-Transferanforderungen und dem US CLOUD Act bleibt für europäische Pharmaunternehmen, die Studiendaten über Plattformen von US-Anbietern austauschen, weiterhin ungelöst.

Dieser Leitfaden zeigt, wie europäische Pharmaunternehmen die Datensouveränität über Studiendaten wahren und zugleich die grenzüberschreitenden Austauschpflichten multinationaler Forschung erfüllen können.

Executive Summary

Kernaussage: Europäische Pharmaunternehmen müssen Studiendaten als Kernfunktion ihres Geschäfts grenzüberschreitend mit CROs, Prüfzentren, Aufsichtsbehörden und Forschungspartnern teilen. Die Herausforderung besteht nicht darin, ob diese Daten geteilt werden, sondern wie dies geschieht, ohne die Souveränität über Patientendaten, proprietäre Forschungsergebnisse und wirtschaftlich sensible Studienresultate aufzugeben. Werden die Plattformen für Filesharing, E-Mail und Managed File Transfer von Anbietern betrieben, die dem US CLOUD Act unterliegen, entsteht bei jedem grenzüberschreitenden Datenaustausch ein potenzieller Zugriffsweg, den weder Standardvertragsklauseln noch Datenverarbeitungsvereinbarungen technisch verhindern können.

Warum das relevant ist: Studiendaten bilden eine einzigartige Schnittstelle aus regulatorischer Verpflichtung, Datenschutz, wirtschaftlicher Sensibilität und geistigem Eigentum. Eine einzige Molekularstruktur kann Jahre an F&E-Investitionen repräsentieren. Patientendaten zu unerwünschten Ereignissen sind sowohl meldepflichtig als auch hochsensibel. Proprietäre Studienergebnisse entscheiden über Markterfolg oder -misserfolg. Die EHDS verpflichtet Pharmaunternehmen, bestimmte Gesundheitsdaten für Sekundärzwecke bereitzustellen und zugleich strikte Data Governance einzuhalten. Wer keine architektonische Souveränität über seine Studiendaten nachweisen kann, riskiert regulatorische Konsequenzen nach DSGVO und Wettbewerbsnachteile durch IP-Abfluss über Plattformzugriffe.

5 wichtige Erkenntnisse

  1. Studiendatenflüsse sind von Natur aus grenzüberschreitend und multi-institutionell. Multinationale Studien binden Sponsoren, CROs, Prüfzentren, Ethikkommissionen, nationale Behörden und die EMA ein. Jeder Datenaustausch über organisatorische und geografische Grenzen hinweg erfordert nachweisbare Souveränitätskontrollen – vertragliche Zusicherungen allein reichen nicht aus.
  2. Der CLOUD Act schafft eine strukturelle Lücke, die Verträge nicht schließen können. Fließen Studiendaten über Plattformen von US-Anbietern, unterliegen sie US-Zugriffsanforderungen – unabhängig vom Serverstandort oder den Regelungen in DPAs. Nur eine vom Kunden kontrollierte Verschlüsselung eliminiert dieses Risiko technisch.
  3. Die EHDS erweitert die Datenfreigabepflichten und verschärft Governance-Anforderungen. Ab 2031 unterliegen Studiendaten den Sekundärnutzungsregeln, die Pharmaunternehmen verpflichten, Daten in sicheren Verarbeitungsumgebungen mit strikten Zugriffskontrollen bereitzustellen. Unternehmen benötigen jetzt souveräne Infrastruktur, um diese Anforderungen rechtzeitig zu erfüllen.
  4. CRO-Datenaustausch ist eine zentrale Souveränitätslücke. Pharmaunternehmen lagern viele klinische Prozesse an CROs aus, wodurch Daten über organisatorische Grenzen hinweg auf gemeinsamen Plattformen ausgetauscht werden. Die Sicherheit dieser Transfers bestimmt die Souveränität des gesamten Studienprogramms.
  5. Souveräne Architektur schützt gleichzeitig Patientendaten und kommerzielles IP. Vom Kunden kontrollierte Verschlüsselung, europäische Datenresidenz und umfassende Audit-Trails adressieren DSGVO-Compliance, EHDS-Bereitschaft und IP-Schutz in einer einzigen architektonischen Entscheidung – statt in separaten Compliance-Prozessen.

Das regulatorische Umfeld für Studiendaten

EU-Verordnung über klinische Prüfungen und CTIS

Die EU-Verordnung über klinische Prüfungen (536/2014) hat die frühere Richtlinie durch einen einheitlichen Rahmen ersetzt, der unmittelbar in allen Mitgliedstaaten gilt. Seit Januar 2025 müssen alle klinischen Studien in der EU nach der CTR durchgeführt und über das Clinical Trials Information System (CTIS) eingereicht werden, das zentrale Portal der EMA. CTIS ermöglicht Sponsoren eine einzige Einreichung für multinationale Studien und ein koordiniertes Bewertungsverfahren – statt bislang bis zu 27 nationalen Verfahren.

Die CTR bringt erhebliche Transparenzanforderungen mit sich. Die meisten Informationen in der CTIS-Datenbank sind öffentlich zugänglich, es sei denn, Sponsoren können Vertraulichkeit aus Gründen des Geschäftsgeheimnisses oder Datenschutzes begründen. Die überarbeiteten CTIS-Transparenzregeln, die seit Juni 2024 gelten, verlangen die Veröffentlichung nahezu vollständiger Studienunterlagen, erlauben aber die Schwärzung tatsächlich vertraulicher Inhalte. Pharmaunternehmen müssen daher sorgfältig steuern, welche Daten ins CTIS gelangen und wie Begleitdokumente erstellt werden, um den Datenschutz zu wahren und zugleich Transparenzpflichten zu erfüllen.

Die Vorteile der Harmonisierung durch die CTR bringen neue Anforderungen an das Datenmanagement. Multinationale Studien werden nun zentral bewertet, aber die zugrunde liegenden Daten (Patientenakten, Sicherheitsberichte, Prüfdokumente) fließen weiterhin zwischen Prüfzentren, Sponsoren, CROs und Behörden in verschiedenen Ländern. Die Frage, welche Plattformen diese Daten transportieren und wer auf Infrastrukturebene Zugriff hat, regelt die CTR selbst nicht.

Der European Health Data Space

Die EHDS-Verordnung, veröffentlicht im März 2025 und in Kraft seit dem 26. März 2025, schafft den bislang umfassendsten Rahmen für den Austausch von Gesundheitsdaten in der EU. Für Pharmaunternehmen sind die Regelungen zur Sekundärnutzung besonders relevant. Ab März 2029 unterliegen die meisten elektronischen Gesundheitsdaten den Sekundärnutzungsregeln. Für Studiendaten und humangenetische Daten gilt eine verlängerte Frist: Hier greifen die Regelungen ab März 2031.

Nach der EHDS können Pharmaunternehmen sowohl Datenhalter (die bestimmte Gesundheitsdaten auf Anfrage über Health Data Access Bodies bereitstellen müssen) als auch Datennutzer (die Gesundheitsdaten aus anderen Quellen für Forschung und Entwicklung beziehen) sein. Die Verordnung umfasst Studiendaten, Genomdaten, Registerdaten, Abrechnungsdaten und Daten aus Medizinprodukten. Unternehmen, die solche Daten halten, können verpflichtet werden, sie für genehmigte Sekundärzwecke wie wissenschaftliche Forschung, regulatorische Aktivitäten und KI-Entwicklung für Medizinprodukte bereitzustellen.

Die EHDS verlangt, dass Daten in sicheren Verarbeitungsumgebungen mit strengen Zugriffskontrollen verarbeitet werden. Pharmaunternehmen, die keine souveräne Kontrolle über ihre Dateninfrastruktur nachweisen können, werden Schwierigkeiten haben, diese Anforderungen zu erfüllen. Unternehmen sollten jetzt Data-Mapping-Prozesse durchführen, um alle relevanten elektronischen Gesundheitsdaten und deren Speicherorte zu identifizieren, festzustellen, welche Einheiten im Konzern als Datenhalter gelten, und die technische Infrastruktur aufzubauen oder zu modernisieren, um die EHDS-Standards für Interoperabilität und Sicherheit zu erfüllen.

DSGVO-Herausforderungen beim grenzüberschreitenden Datentransfer

Studiendaten überschreiten aus operativen Gründen regelmäßig Ländergrenzen. Ein europäischer Sponsor einer multinationalen Studie kann Patientendaten an Standorten in Deutschland, Frankreich, den Niederlanden und Spanien erheben, diese über ein in Irland ansässiges CRO verarbeiten, Sicherheitsberichte an nationale Behörden und die EMA übermitteln, Zwischenanalysen mit einem US-Partner teilen und Wirksamkeits- sowie Sicherheitsdaten an die FDA senden, wenn eine US-Zulassung angestrebt wird.

Innerhalb der EU/EEA erlaubt die DSGVO den freien Verkehr personenbezogener Daten. Komplex wird es bei Transfers außerhalb dieses Raums – und vor allem bei den genutzten Plattformen auch innerhalb der EU. Nutzt ein europäisches Pharmaunternehmen einen US-basierten E-Mail- oder Cloud-Anbieter für den Austausch von Studiendaten zwischen EU-Standorten, verlassen die Daten zwar möglicherweise nie EU-Server, aber die Verpflichtungen des Anbieters nach dem CLOUD Act erlauben US-Behörden dennoch den Zugriff – unabhängig vom Speicherort. Standardvertragsklauseln und Datenverarbeitungsvereinbarungen regeln das Vertragsverhältnis, können aber die gesetzlichen Pflichten des Anbieters nach US-Recht nicht aushebeln.

Gerade für die Pharmaindustrie ist das problematisch, da Studiendaten besondere Kategorien personenbezogener Daten (Gesundheit, Genetik, Biometrie) enthalten, die höchsten Schutz genießen. Die Leitlinien der Europäischen Kommission zu klinischen Studien und DSGVO bestätigen ausdrücklich, dass internationale Transferregeln auch für pseudonymisierte Daten gelten, wenn eine Re-Identifizierung möglich ist – was auf die meisten Studiendaten bei Sponsoren und CROs zutrifft.

Wo Studiendatensouveränität am stärksten gefährdet ist

Sponsor-CRO-Datenaustausch

Durch das umfangreiche Outsourcing in der Pharmaindustrie wechseln Studiendaten häufig zwischen Sponsoren und CROs – oft über gemeinsame Plattformen, die keine der Parteien vollständig kontrolliert. CROs agieren nach DSGVO meist als Auftragsverarbeiter im Auftrag des Sponsors, nutzen aber eigene IT-Infrastruktur. Setzt ein CRO eine US-basierte Cloud-Plattform für Studiendaten ein, hängt die Souveränität des Sponsors vollständig von den Infrastrukturentscheidungen des CRO ab.

Moderne Arzneimittelentwicklung basiert auf Partnerschaften. Junge Biopharmaunternehmen, die 63% der Studienstarts ausmachen, verfügen oft nicht über eigene IT-Infrastruktur und sind auf CRO-Plattformen für Datenmanagement und -transfer angewiesen. So entsteht eine Kette von Plattformabhängigkeiten, in der Patientendaten durch mehrere Cloud-Umgebungen – teils unter ausländischer Jurisdiktion – laufen, bevor sie die Systeme des Sponsors erreichen.

Koordination von Multi-Site-Studien

Multinationale Studien erfordern einen kontinuierlichen Datenaustausch zwischen Prüfzentren und Koordinationsstelle. Prüfer reichen Case Report Forms ein, laden Laborergebnisse hoch, melden unerwünschte Ereignisse und tauschen Protokolländerungen aus. Das Monitoring umfasst Remote-Zugriffe auf Studiendaten und Vor-Ort-Besuche mit zusätzlicher Dokumentation. All diese Aktivitäten beinhalten Filesharing und Kommunikation über Plattformen, die Gesundheitsdaten der Teilnehmer transportieren.

Durch das harmonisierte Bewertungsverfahren der CTR findet die Studienkoordination heute stärker grenzüberschreitend statt als zuvor. Ein Reporting Member State koordiniert die Bewertung für alle beteiligten Länder, was eine Datenaggregation und -weitergabe über regulatorische Grenzen hinweg erfordert. Dieser operative Vorteil erhöht das Volumen und die Frequenz grenzüberschreitender Studiendatenflüsse – und macht die Souveränität der Kommunikationsinfrastruktur wichtiger denn je.

Regulatorische Einreichungen und Sicherheitsberichte

Pharmaunternehmen müssen Sicherheitsdaten gleichzeitig an mehrere Aufsichtsbehörden übermitteln. Verdachtsfälle schwerwiegender unerwarteter Nebenwirkungen (SUSARs) sind beschleunigt an nationale Behörden und die EMA über EudraVigilance zu melden. Jährliche Sicherheitsberichte, Protokolländerungen und Abschlussmeldungen erfordern die Übertragung von Teilnehmerdaten oder aggregierten Gesundheitsdaten an Behörden. Werden diese Einreichungen über Plattformen ohne souveräne Architektur vorbereitet und übermittelt, wird bereits die Vorbereitungsumgebung zum Schwachpunkt – auch wenn die finale Übermittlung über sichere Kanäle erfolgt.

Geistiges Eigentum und wirtschaftliche Sensibilität

Studiendaten sind zugleich personenbezogene Gesundheitsdaten und wirtschaftlich wertvolles geistiges Eigentum. Proprietäre Molekularstrukturen, unveröffentlichte Wirksamkeitsdaten, Produktionsprozesse und Wettbewerbsinformationen zu Studienergebnissen repräsentieren Investitionen in Millionen- oder Milliardenhöhe. Die EHDS erkennt ausdrücklich an, dass Gesundheitsdaten durch geistige Eigentumsrechte und Geschäftsgeheimnisse geschützt sein können, und Health Data Access Bodies können Datenanfragen ablehnen, wenn erhebliche Risiken für IP bestehen. Dieser Schutz greift aber nur, wenn das Pharmaunternehmen zunächst souveräne Kontrolle über die Daten behält. Daten, die bereits über Plattformschwachstellen abgeflossen sind, lassen sich nachträglich nicht mehr schützen.

Souveräne Architektur für Studiendaten aufbauen

Kundenkontrollierte Verschlüsselung als Fundament

Die wichtigste architektonische Entscheidung für Studiendatensouveränität ist die Implementierung einer vom Kunden kontrollierten Verschlüsselung, bei der das Pharmaunternehmen die Verschlüsselungsschlüssel in einem eigenen Hardware-Sicherheitsmodul (HSM) oder Schlüsselmanagementsystem generiert, verwaltet und behält. Der Plattformanbieter verarbeitet die verschlüsselten Daten, kann sie aber nicht entschlüsseln. Selbst bei CLOUD-Act-Anfragen, FISA-Anordnungen oder anderen ausländischen Zugriffsanforderungen kann der Anbieter keine lesbaren Studiendaten liefern, da er nicht über die Schlüssel verfügt.

Für Pharmaunternehmen adressiert dies mehrere Risiken gleichzeitig: Patientendaten sind unabhängig von der Jurisdiktion des Anbieters vor unbefugtem Zugriff geschützt. Proprietäre Forschungsdaten und Molekularstrukturen sind vor Plattformzugriffen sicher. Regulatorische Einreichungen und Sicherheitsberichte sind während der Vorbereitung geschützt. Und das Unternehmen kann gegenüber DSGVO-Aufsichtsbehörden, Ethikkommissionen und Studienteilnehmern nachweisen, dass es die Vertraulichkeit technisch tatsächlich kontrolliert.

Europäische Bereitstellung und Datenresidenz

Studiendaten sollten auf dedizierter europäischer Infrastruktur gespeichert werden, mit technischem Geofencing, das den Abfluss aus definierten geografischen Regionen verhindert. Für multinationale Studien in mehreren EU-Mitgliedstaaten bedeutet dies, dass die genutzten Kommunikations- und Filesharing-Plattformen innerhalb der EU betrieben werden – nicht nur einzelne Rechenzentren in Europa stehen.

Eine Single-Tenant-Bereitstellung, bei der die Plattforminstanz des Pharmaunternehmens auf dedizierter Infrastruktur läuft und nicht in einer geteilten Multi-Tenant-Umgebung, bietet zusätzliche Sicherheit, dass Studiendaten nicht mit Daten anderer Organisationen vermischt werden. Das ist besonders relevant für Unternehmen in wettbewerbsintensiven Therapiegebieten, in denen schon die Existenz und die Parameter laufender Studien wirtschaftlich sensible Informationen darstellen.

Umfassende Audit-Trails als regulatorischer Nachweis

Klinische Studien unterliegen Inspektionen durch nationale Behörden, die EMA und ggf. die FDA bei US-Zulassungsstudien. Audit-Trails, die jeden Zugriff, jede Änderung und jede Übertragung von Studiendaten dokumentieren, sind unverzichtbar. Die CTR verlangt, dass Studiendaten mindestens 25 Jahre nach Studienabschluss archiviert werden und die Integrität während dieser Zeit nachweisbar ist.

Souveräne Kommunikationsplattformen sollten umfassende Audit-Logs erzeugen, die erfassen, wer wann auf welche Daten von wo zugegriffen und welche Aktionen durchgeführt hat. Diese Protokolle dienen mehreren Zwecken: Nachweis der DSGVO-Compliance gegenüber Aufsichtsbehörden, Erfüllung der GCP-Anforderungen an Datenintegrität, Beleg für regulatorische Inspektionen und Erkennung sowie Reaktion auf unbefugte Zugriffsversuche.

Vorbereitung auf EHDS-Sekundärnutzungsanforderungen

Die EHDS-Regelungen zur Sekundärnutzung greifen für Studiendaten erst ab März 2031, doch Pharmaunternehmen sollten sich jetzt vorbereiten. Die Verordnung verlangt, dass Datenhalter ihre Datensätze bei den zuständigen Behörden beschreiben und auf Anfragen über Health Data Access Bodies reagieren. Die Bereitstellung muss in sicheren Verarbeitungsumgebungen nach EHDS-Standards erfolgen.

Unternehmen, die bereits über souveräne Data-Governance-Infrastruktur verfügen, sind besser aufgestellt. Werden Studiendaten auf Plattformen mit kundenkontrollierter Verschlüsselung, umfassenden Audit-Trails und granularen Zugriffskontrollen gespeichert, kann das Unternehmen über die EHDS-Mechanismen strukturierten Zugriff gewähren und gleichzeitig steuern, welche Daten mit wem und unter welchen Bedingungen geteilt werden. Unternehmen, deren Studiendaten über CRO-Plattformen, US-basierte Cloud-Dienste und Altsysteme verteilt sind, stehen vor einem deutlich komplexeren Compliance-Prozess.

Die EHDS erlaubt es Einzelpersonen zudem, der Sekundärnutzung ihrer Gesundheitsdaten zu widersprechen. Die Verwaltung dieser Präferenzen über Datensätze aus verschiedenen Studien, Therapiegebieten und Zeiträumen hinweg erfordert zentrales Datenmanagement mit der technischen Fähigkeit, abgemeldete Teilnehmerdaten zu identifizieren, zu kennzeichnen und von Sekundärnutzungsantworten auszuschließen. Das lässt sich auf souveränen Plattformen, bei denen das Unternehmen die Architektur vollständig kontrolliert, wesentlich einfacher umsetzen.

Kiteworks unterstützt europäische Pharmaunternehmen beim grenzüberschreitenden Austausch von Studiendaten bei voller Souveränität

Das Private Data Network von Kiteworks bietet Pharmaunternehmen die souveräne Kommunikationsinfrastruktur, um Studiendaten mit CROs, Prüfzentren, Aufsichtsbehörden und Forschungspartnern auszutauschen und dabei die europäische Datensouveränität zu wahren. Kiteworks setzt auf ein kundenverwaltetes Verschlüsselungsmodell, bei dem das Pharmaunternehmen die Schlüssel im eigenen Schlüsselmanagementsystem generiert und behält. Kiteworks hat keinen Zugriff auf entschlüsselte Studiendaten und kann ausländischen Behörden keine lesbaren Informationen bereitstellen.

Kiteworks wird als Single-Tenant-Instanz auf dedizierter europäischer Infrastruktur bereitgestellt, sodass Studiendaten nicht mit Daten anderer Organisationen vermischt werden. Richtlinienbasiertes Geofencing verhindert, dass Studiendaten definierte Regionen verlassen, und umfassende Audit-Trails liefern den Nachweis, den GCP-Inspektionen, DSGVO-Aufsichtsbehörden und künftige EHDS-Compliance verlangen.

Die Plattform vereint sicheres Filesharing für Studiendokumentation, geschützte E-Mail-Kommunikation für Prüfer, Managed File Transfer für automatisierte Datentransfers zwischen Sponsor- und CRO-Systemen sowie sichere Web-Formulare für strukturierte Datenerhebung – alles unter einem einheitlichen zero trust Governance-Framework. So können Pharmaunternehmen sämtliche Kanäle für den Austausch von Studiendaten über eine Plattform mit konsistenter Verschlüsselung, Zugriffskontrolle und Audit-Nachweisen absichern.

Erfahren Sie mehr darüber, wie Sie Souveränität über Studiendaten wahren und zugleich grenzüberschreitende Austauschpflichten erfüllen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Studiendaten vereinen DSGVO-Sonderkategorien von Gesundheitsdaten mit wirtschaftlich sensiblem geistigem Eigentum – sie sind sowohl für Überwachung als auch für Wirtschaftsspionage ein attraktives Ziel. Werden diese Daten über Plattformen von US-Anbietern übertragen, erlaubt der CLOUD Act US-Behörden den Zugriff – unabhängig vom Serverstandort. Standardvertragsklauseln und Datenverarbeitungsvereinbarungen regeln das Vertragsverhältnis, können aber die gesetzlichen Pflichten des Anbieters nach US-Recht nicht aushebeln. Nur eine vom Kunden kontrollierte Verschlüsselung macht diesen Zugriff technisch unmöglich, da der Anbieter keine Schlüssel besitzt und somit nicht entschlüsseln kann.

Die EHDS, in Kraft seit März 2025, verpflichtet zur Bereitstellung elektronischer Gesundheitsdaten für Sekundärzwecke wie Forschung und KI-Entwicklung. Studiendaten unterliegen diesen Vorgaben ab März 2031. Pharmaunternehmen können als Datenhalter eingestuft werden, die Daten über Health Data Access Bodies bereitstellen müssen. Für die Erfüllung dieser Pflichten benötigen Unternehmen eine souveräne Data-Governance-Infrastruktur, um strukturierten Zugriff zu ermöglichen, IP und Geschäftsgeheimnisse zu schützen und Opt-out-Präferenzen der Teilnehmer über verschiedene Datensätze hinweg technisch durchzusetzen.

Multinationale Studien erzeugen kontinuierliche grenzüberschreitende Datentransfers: Case Report Forms zwischen Prüfzentren und Sponsoren, Berichte zu unerwünschten Ereignissen an nationale Behörden und EudraVigilance, Protokolldokumente an CROs und Ethikkommissionen, Laborergebnisse von Zentrallaboren und Zwischenanalysen an Data Safety Monitoring Boards. Jeder Austausch transportiert Gesundheitsdaten der Teilnehmer über Kommunikationsplattformen, deren Jurisdiktion die tatsächliche Datensouveränität bestimmt. Das harmonisierte Bewertungsverfahren der EU-Verordnung erhöht die grenzüberschreitende Koordination – und damit die Bedeutung souveräner Filesharing- und E-Mail-Plattformen.

Pharmaunternehmen sollten die Plattforminfrastruktur der CROs im Rahmen der Lieferantenqualifizierung prüfen – mit Fokus auf drei Fragen: Nutzt das CRO Kommunikationsplattformen, die ausländischen Zugriffsrechten unterliegen? Setzt das CRO eine vom Kunden kontrollierte Verschlüsselung ein, bei der der Sponsor die Schlüssel behält? Und kann das CRO umfassende Audit-Nachweise für GCP-Inspektionen liefern? Da CROs meist als Auftragsverarbeiter mit eigener IT-Infrastruktur agieren, hängt die Souveränität des Sponsors über Studiendaten von den Plattformentscheidungen des CRO ab. Vertragliche Zusicherungen sind notwendig, aber ohne architektonische Überprüfung nicht ausreichend.

Unternehmen sollten mit einem Data Mapping beginnen, um alle relevanten elektronischen Gesundheitsdaten – einschließlich Studiendaten, Register- und Genomdaten – und deren Speicherorte zu identifizieren. Sie sollten prüfen, welche Einheiten im Konzern als Datenhalter gelten, und die technische Infrastruktur aufbauen oder modernisieren, um die EHDS-Standards für Interoperabilität und Sicherheit zu erfüllen. Die frühzeitige Implementierung einer souveränen Data-Governance-Architektur mit kundenkontrollierter Verschlüsselung, granularen Zugriffskontrollen und umfassenden Audit-Trails versetzt Unternehmen in die Lage, die Compliance-Anforderungen für Studiendaten ab 2031 zu erfüllen und zugleich aktuelle DSGVO- und regulatorische Vorgaben abzudecken.

Weitere Ressourcen 

  • Blog Post  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blog Post  
    Diese Fallstricke bei der Datensouveränität vermeiden
  • Blog Post  
    Best Practices zur Datensouveränität
  • Blog Post  
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks