Rechtliche Fragen & Antworten: Was ist eine Datenübertragungsvereinbarung und Materialübertragung?

Gemäß Artikel 44 der Datenschutz-Grundverordnung sind internationale Datenübermittlungen „[…] von der Erfüllung dreier Bedingungen abhängig: (1) die Übermittlung unterliegt ‚den anderen Bestimmungen dieser Verordnung‘; (2) ‚die in diesem Kapitel festgelegten Bedingungen werden von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter eingehalten‘, einschließlich derjenigen, die sich auf die Weiterübermittlung beziehen; und (3) ‚alle Bestimmungen dieses Kapitels‘ werden angewandt, um sicherzustellen, dass das in der Datenschutz-Grundverordnung enthaltene Schutzniveau nicht untergraben wird“ (übersetzt aus Englisch)[10].

Wenn die Datenverarbeitung eine Übermittlung personenbezogener Daten in Drittländer vorsieht, ist dies ein Element, über das die betroffenen Personen „[…] zum Zeitpunkt der Erhebung der personenbezogenen Daten […]“ (Artikel 13 Absatz 1 Buchstabe f) informiert werden sollten, und es handelt sich um Informationen, auf die die betroffene Person jederzeit zugreifen kann (Artikel 15 Absatz 1 Buchstabe c)). Der Zugang zu diesen Informationen ist möglich, da die für die Verarbeitung Verantwortlichen (und entsprechend auch die Auftragsverarbeiter) verpflichtet sind, Aufzeichnungen über die Verarbeitungstätigkeiten zu führen, und die DSGVO legt großen Wert auf die Verpflichtung, die Kategorien von Empfängern personenbezogener Daten aufzuzeichnen, wenn diese in Drittländern ansässig sind, sowie auf Informationen, die sich auf die internationale Datenübermittlung selbst beziehen (Artikel 30 Absatz 1 Buchstaben d und e). Die Datenschutz-Grundverordnung hat besondere Garantien für die Übermittlung von Daten an Drittländer und internationale Organisationen eingeführt. Diese Garantien sind in Artikel 46 beschrieben und können die Verwendung verbindlicher unternehmensinterner Vorschriften (Artikel 4 Absatz 20) oder von der Kommission angenommene Standarddatenschutzklauseln umfassen. Wichtig ist, dass die betroffenen Personen gemäß Artikel 15 Absatz 2 der Datenschutz-Grundverordnung das Recht haben, über die Durchführung dieser Maßnahmen informiert zu werden.

Die Angemessenheitsbeschlüsse der EU gemäß Artikel 45 der Datenschutz-Grundverordnung gelten für internationale Datenübermittlungen in Länder wie Argentinien, Israel, Japan und die Schweiz[11]. Diese Entscheidungen unterliegen einer regelmäßigen Überprüfung (Erwägungsgrund 106 und Artikel 45 Absatz 3) und können gemäß Artikel 45 Absatz 5 aufgehoben, geändert oder ausgesetzt werden. In den Fällen, in denen die Kommission keine Angemessenheitsentscheidung erlassen hat, unterliegt die internationale Datenübermittlung geeigneten Garantien (Artikel 46). Für den Fall, dass die internationale Übermittlung nicht den Anforderungen von Artikel 45 oder 46 entspricht, enthält die Datenschutz-Grundverordnung eine Liste von Ausnahmen (Artikel 49), die in bestimmten Situationen angewendet werden können.

Weitere Schritte in Bezug auf die Übermittlung personenbezogener Daten werden durch die Verabschiedung und Umsetzung der Verordnung über den Europäischen Gesundheitsdatenraum (EHDS)[12] unternommen (siehe z. B. Artikel 88 (Übermittlung nicht personenbezogener elektronischer Daten an Drittländer), 62 (Zugang internationaler Behörden zu nicht personenbezogenen elektronischen Gesundheitsdaten) und 90 (Zusätzliche Bedingungen für die Übermittlung personenbezogener elektronischer Gesundheitsdaten an ein Drittland oder eine internationale Organisation)). Die EHDS-Verordnung regelt nicht die Übermittlung von Proben.

1.2 Probenübertragung

Für die Weitergabe von Proben gelten in der EU bzw. im EWR[13] u. a. die EU-Richtlinie (EU) 2015/565 der Kommission vom 8. April 2015 zur Änderung der Richtlinie 2006/86/EG im Hinblick auf bestimmte technische Anforderungen an die Kodierung menschlicher Gewebe und Zellen, mit der der „einheitliche Europäische Code“ oder „SEC“ eingeführt wurde, ein einheitlicher Identifikator für in der Union verteilte Gewebe und Zellen (Artikel 1). Ein solcher Code „[…] sollte allen zur Verwendung beim Menschen verteilten Geweben und Zellen zugewiesen werden, einschließlich der aus Drittländern eingeführten […]“ (übersetzt aus Englisch) (Erwägungsgrund 6)[14]. Da die Mitgliedstaaten jedoch Ausnahmen von dieser allgemeinen Regel vorsehen können (Erwägungsgrund 6, in fine), sollten die nationalen Rechtsvorschriften berücksichtigt werden (Artikel 10). Da es sich bei dem EU-Rechtsinstrument zu diesem Thema um eine Richtlinie handelt, wird auch die Umsetzung in den nationalen Rechtsrahmen unterschiedlich ausfallen, was die Tatsache unterstreicht, dass die von den Mitgliedstaaten herausgegebenen Leitlinien und Rechtsvorschriften berücksichtigt werden müssen.

Was diese nationalen Vorschriften betrifft, so können die anwendbaren Instrumente je nach Zweck der Probenübertragung variieren. Obwohl – wie bereits erwähnt – die Richtlinie (EU) 2015/565 für Gewebe und Zellen gilt, die zur Verwendung beim Menschen bestimmt sind, können die zu übertragenden Proben für die Forschung bestimmt sein. Auch die Art der Probe (z. B. pathogen oder nicht pathogen) kann die Art der geltenden Rechtsvorschriften beeinflussen. Wenn eine Probe pathogen ist und somit eine Gefahr für die biologische Sicherheit darstellt, kann ihre Einfuhr/Ausfuhr die Erfüllung zusätzlicher Anforderungen erfordern, z. B. die Einhaltung von Kennzeichnungs-, Transport- und Verpackungsvorschriften.

Kürzlich wurde ein weiterer EU-Rechtsakt erlassen, eine Verordnung über Substanzen menschlichen Ursprungs[15] (SoHO, wie in Artikel 3 Absatz 1 definiert), die für die Anwendung beim Menschen (nicht für die Forschung[16]) bestimmt sind, und die ebenfalls einige Aspekte der Verbringung von SoHO innerhalb der EU sowie der Ein- und Ausfuhr von Proben in Drittländer regelt. Die Verordnung definiert die „Freigabe“ als den Prozess, bei dem die Qualität und Sicherheit (sowie die Erfüllung der Bedingungen einer etwaigen Zulassung) von SoHO festgestellt wird, bevor eine SoHO für den Vertrieb oder die Ausfuhr bereitgestellt wird (Artikel 3 Absatz 26). Während sich der Vertrieb auf die Bereitstellung von SoHO innerhalb der EU zur Anwendung beim Menschen oder zur Herstellung von Produkten bezieht, die durch andere Rechtsvorschriften der Union geregelt sind (Artikel 3 Absatz 27), bezieht sich die Ausfuhr auf die Tätigkeiten, die durchgeführt werden, um SoHO aus der EU in ein Drittland zu versenden (Artikel 3 Absatz 30). Die SoHO-Verordnung enthält Bestimmungen über die Durchführung des SEC (Artikel 43), Anforderungen an SoHO-Einrichtungen, die SoHO einführen (Artikel 26, 47 und 48), und allgemeine Anforderungen für SoHO-Ausfuhren (Artikel 51).

Die Verordnung führt auch das Konzept des SoHO-Betriebs (Artikel 3 Absatz 35) ein, d.h. eine SoHO-Einrichtung (Artikel 3 Absatz 33), die mindestens eine der folgenden Tätigkeiten ausübt: Verarbeitung und Lagerung von SoHO, SoHO-Freisetzung, SoHO-Einfuhr und SoHO-Ausfuhr. SoHO-Betriebe werden von den zuständigen Behörden regelmäßig kontrolliert (wie in Artikel 3 Absatz 52 definiert und in Artikel 27 näher ausgeführt) und müssen eine Genehmigung für einen SoHO-Betrieb beantragen (Artikel 24). Die SoHO-Einrichtungen müssen einen Arzt benennen, der unter anderem für die Verwaltung der SoHO-Spendereignungskriterien und einige Aspekte im Zusammenhang mit SoHO-Nebenwirkungen zuständig ist (Artikel 50). Wenn sie SoHO freigeben, müssen die SoHO-Einrichtungen einen oder mehrere Freigabebeauftragte ernennen (Artikel 49), hochqualifizierte Fachleute, die prüfen, ob die SoHO die festgelegten Qualitäts- und Sicherheitskriterien erfüllen (Artikel 48 Absatz 5). Außerdem müssen SoHO-Betriebe, die SoHO von außerhalb der EU/des EWR importieren, eine spezielle Genehmigung für importierende SoHO-Betriebe beantragen (siehe Artikel 26) und schriftliche Vereinbarungen mit den Lieferanten treffen (Artikel 48 Absatz 2).

Abgesehen von dieser Verordnung werden die Ausfuhren in die EU-Mitgliedstaaten und in Drittländer auf nationaler Ebene geregelt.

Zusammengefasst: ein prägnanter und vereinfachter Überblick über den Status quo:

2. Schlussfolgerung

In diesem Zusammenhang sind Data Transfer Agreements (DTA) und Material Transfer Agreement (MTA) vertragliche Vereinbarungen für die Verwaltung des Proben- und Datenzugangs. Während DTA die Übertragung von Daten selbst abdecken, ist ein MTA „[…] ein Vertrag, der die Rechte und Pflichten in Bezug auf die Verwendung einer biologischen Probe festlegt. Diese Proben können unter anderem Kulturen, Zelllinien, Plasmide, Nukleotide, Proteine, Bakterien, transgene Tiere und Pharmazeutika umfassen. Diese Vereinbarungen können ein breites Spektrum von Materialien abdecken, einschließlich Daten und Software. (übersetzt aus Englisch)[17]

Quellen: 

[1] Laut der Auslegung der Urteile des EuGH zu diesem Thema wird angenommen, dass „Übermittlungen“ sowohl das aktive Versenden von Daten als auch das Gewähren von Zugriff darauf umfassen. Siehe The EU General Data Protection Regulation (GDPR), herausgegeben von Kuner, C. / Bygrave, L. A. / Docksey, C., Oxford University Press, 2020, S. 762–763.

[2] Richtlinie 2004/23/EG des Europäischen Parlaments und des Rates vom 31. März 2004 zur Festlegung von Qualitäts- und Sicherheitsstandards für die Spende, Entnahme, Untersuchung, Verarbeitung, Konservierung, Lagerung und Verteilung von menschlichen Geweben und Zellen.

[3] Verordnung (EU) 2024/1938 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über Qualitäts- und Sicherheitsstandards für menschliche Substanzen zur Anwendung am Menschen und zur Aufhebung der Richtlinien 2002/98/EG und 2004/23/EG.

[4] Datenschutz-Grundverordnung (DSGVO): Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Die DSGVO ist ein EWR-relevanter Text und ist zusätzlich in Anhang XI des EWR-Abkommens aufgenommen (siehe §5e).

[5] Europäischer Datenschutzausschuss, Empfehlungen 01/2020 zu Maßnahmen, die Transferinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten sicherzustellen, verfügbar unter:  Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data | European Data Protection Board (europa.eu) (abgerufen am 28.06.2024).

[6] Urteil des Gerichtshofs (Große Kammer) vom 16. Juli 2020, Rechtssache C-311/18 – Datenschutzbeauftragter gegen Facebook Ireland und Maximillian Schrems, verfügbar unter:  https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=11541895 (abgerufen am 28.06.2024).

[7] Europäischer Datenschutzausschuss, Op. Cit., S. 3 ff. Der „Sechs-Schritte-Ansatz“ ist eine Reihe von Empfehlungen des EDPB, „um Exporteure (sei es Verantwortliche oder Auftragsverarbeiter, private oder öffentliche Stellen, die personenbezogene Daten im Anwendungsbereich der DSGVO verarbeiten) bei der komplexen Aufgabe zu unterstützen, Drittländer zu bewerten und gegebenenfalls geeignete ergänzende Maßnahmen zu identifizieren […]“. Ebenda, S. 3 ff.

[8] Datenschutz-Grundverordnung (DSGVO): Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Die DSGVO ist ein EWR-relevanter Text und zusätzlich in Anhang XI des EWR-Abkommens aufgenommen (siehe §5e).

[9] Es wurde anerkannt, dass „[…] während das ‚Schutzniveau‘ im Drittland ‚im Wesentlichen gleichwertig‘ zu dem in der EU garantierten sein muss, die Mittel, die dieses Drittland in diesem Zusammenhang einsetzt, von denen innerhalb der [EU] abweichen können“.  (übersetzt aus Englisch).Daher ist das Ziel nicht, die europäische Gesetzgebung Punkt für Punkt zu spiegeln, sondern die wesentlichen Kernanforderungen dieser Gesetzgebung zu erfüllen. In: Artikel-29-Datenschutzgruppe, Adequacy Referential (aktualisiert), angenommen am 28. November 2017 (zuletzt überarbeitet und angenommen am 6. Februar 2018), verfügbar unter:  https://ec.europa.eu/newsroom/article29/redirection/document/57550 (abgerufen am 01.07.2024), S. 3. Siehe auch Urteil des Gerichtshofs (Große Kammer) vom 6. Oktober 2015, Rechtssache C-362/14 – Maximillian Schrems gegen Datenschutzbeauftragten, verfügbar unter:  https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62014CJ0362 (abgerufen am 28.06.2024).

[10] The EU General Data Protection Regulation (GDPR), herausgegeben von Kuner, C. / Bygrave, L. A. / Docksey, C., Oxford University Press, 2020, S. 762. Zum Verfahren der Angemessenheitsbeschlüsse siehe Op. Cit., S. 784 ff

[11] Weitere Informationen: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en (abgerufen am 28.06.2024).

[12] Verordnung des Europäischen Parlaments und des Rates über den Europäischen Gesundheitsdatenraum und zur Änderung der Richtlinie 2011/24/EU sowie der Verordnung (EU) 2024/2847. Der aktuelle Text ist verfügbar unter: https://data.consilium.europa.eu/doc/document/PE-76-2024-INIT/en/pdf (abgerufen am 04.02.2025).

[13] Die unten aufgeführten EU-Rechtsakte sind alle als EWR-relevante Texte gekennzeichnet. Zusätzlich sind sie in Anhang II des EWR-Abkommens enthalten.

[14] Europäische Kommission, Generaldirektion Gesundheit und Lebensmittelsicherheit, Information for Competent Authorities and Tissue Establishments on the Implementation of the Single European Code (SEC) for Tissues and Cells, Version 1.0, Februar 2016, S. 13 ff. Dokument verfügbar unter: 5e0f27ff-9f5b-4c6e-9c1c-1adccc28cef3_en (europa.eu) (abgerufen am 01.07.2024).

[15] Verordnung (EU) 2024/1938 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über Qualitäts- und Sicherheitsstandards für menschliche Substanzen zur Anwendung am Menschen und zur Aufhebung der Richtlinien 2002/98/EG und 2004/23/EG.

[16] Die SoHO-Verordnung „[…] soll keine Forschung mit SoHO abdecken, wenn diese Forschung keine Anwendung am Menschen umfasst […]“ (Erwägungsgrund 60, Hervorhebung hinzugefügt). Dennoch „[…] sollte die Spende von SoHO, die ausschließlich für Forschungszwecke bestimmt ist und keine Anwendung am Menschen hat, ebenfalls den in dieser Verordnung festgelegten Standards für freiwillige und unbezahlte Spenden entsprechen“ (Erwägungsgrund 60, am Ende). Dies wird auch im Haupttext des Gesetzes, insbesondere in Artikel 54(6), bekräftigt.

[17] Christ, Hedley. „Brexit Effects: What Are the “Brexit Effects” on the Exchange of Data and Biological Samples with the UK?“ In: GDPR Requirements for Biobanking Activities Across Europe. Springer International Publishing, 2023, S. 71–78, S. 77.