IT-Recht & Datenschutz

Datenschutz bei klinischen Studien: Handlungsbedarf für Sponsoren, Auftragsforschungsinstitute und Prüfzentren infolge der neuen „Standardvertragsklauseln zur Durchführung klinischer Prüfungen“

Veröffentlicht am 14th Januar 2026

Um die Durchführung von klinischen Studien zu vereinfachen und zu beschleunigen, hat die Bundesregierung einheitliche vertragliche Regelungen für Studienverträge zwischen Sponsor und Prüfzentrum geschaffen: die neuen Standardvertragsklauseln für die Durchführung klinischer Prüfungen. Diese Standardvertragsklauseln beinhalten auch Regelungen zur Verarbeitung personenbezogener Daten. Was ist der Inhalt dieser Regelungen? Was bedeuten sie für Sponsoren und für Prüfzentren? Welcher Handlungsbedarf besteht in der Praxis?

Spoiler: Aus unserer Sicht stellen die datenschutzrechtlichen Regelungen in den Standardvertragsklauseln eine gute Grundlage dar, die zur Verwendung in der Praxis aber noch angepasst werden sollten.

Person doing testing in biotech lab

Die neuen Standardvertragsklauseln zur Durchführung klinischer Studien

Klinische Studien gehören zu den datenschutzrechtlich anspruchsvollsten Forschungsvorhaben: Es werden hochsensible Gesundheitsdaten verarbeitet, zahlreiche Akteure sind beteiligt, und die Daten fließen oft in internationale Entwicklungs‑ und Zulassungsprozesse.

Mit der „Verordnung über Standardvertragsklauseln für die Durchführung klinischer Prüfungen (Standardvertragsklauselverordnung)“ schafft die Bundesregierung nun einheitliche Vertragsbausteine für Studienverträge zwischen einem Sponsor und einem Prüfzentrum.

  • Anlage 1 der Verordnung enthält Standardvertragsklauseln zu zentralen zivilrechtlichen Themen (u.a. zu Veröffentlichungsrechten, Rechten an Ergebnissen, Vertraulichkeit, Inspektionen, Dokumentation/Archivierung, Beendigung und Haftung; siehe hierzu unsere speziellen Insights).
  • Anlage 2 enthält Standardklauseln für eine ggf. zwischen dem Sponsor und dem Prüfzentrum zu schließende Vereinbarung über personenbezogene Daten, die im Rahmen der Durchführung der Studien verarbeitet werden. Die Verordnung flankiert damit insbesondere die Verordnung (EU) 536/2014 über klinische Prüfungen mit Humanarzneimitteln sowie die DSGVO.

Anwendbar ist die Verordnung auf Verträge, die seit dem 18. Dezember 2025 geschlossen werden. Voraussetzung ist ferner, dass die jeweilige Studie von einem kommerziellen Sponsor veranlasst wird und/oder sie wirtschaftliche Zwecke verfolgt. Auf nicht-kommerzielle Studien findet sie keine Anwendung.

Wann müssen die Standardvertragsklauseln verwendet oder angepasst werden?

Nach § 42d Abs. 2 AMG ist die Verwendung der Standardvertragsklauseln grundsätzlich vorgeschrieben, weshalb Sponsoren und Prüfer sie auch mit in ihre Verträge zur Durchführung klinischer Studien übernehmen müssen. In beiderseitigem Einvernehmen können die Parteien aber auch abweichende Regelungen davon vereinbaren. Es bleibt allerdings abzuwarten, ob die jeweils beteiligten Parteien hierzu bereit sein werden und sich auf abweichende Regelungen einigen können.

An ein paar gekennzeichneten Stellen müssen die Klauseln auch noch auf den konkreten Fall hin angepasst werden. Da die Standardvertragsklauseln keinen vollständigen Vertrag darstellen, sondern nur Regelungen für bestimmte Vertragsteile vorgeben, müssen sie auch noch in einen Vertrag eingebettet werden. Vor diesem Hintergrund haben einige Verbände aus dem Gesundheitsbereich z. B. ein Standardvertragsmuster für klinische Prüfungen mit Arzneimitteln entworfen, welches u.a. die Standardvertragsklauseln umsetzen soll (abrufbar z. B. hier).

Datenschutzrechtliche Regelungen in den Standardvertragsklauseln

Im Zusammenhang mit der Verarbeitung personenbezogener Daten enthalten die Standardvertragsklauseln im Wesentlichen zwei Regelungskomplexe:

  1. Verarbeitung von Mitarbeiterdaten der jeweils anderen Partei
  2. Verarbeitung von Teilnehmerdaten in gemeinsamer Verantwortlichkeit von Sponsor und Prüfzentrum
Verarbeitung von Mitarbeiterdaten der jeweils anderen Partei

Ziffer 9 der Standardvertragsklauseln enthält Regelungen zur Verarbeitung von Daten durch eine Vertragspartei, die Mitarbeiter der jeweils anderen Vertragspartei betreffen (bzw. Mitarbeiter von Kooperationspartnern oder Unterauftragnehmern der anderen Vertragspartei). So verarbeiten die Vertragsparteien z. B. regelmäßig Kontaktdaten von Mitarbeitern der jeweils anderen Partei.

Hierfür sieht das Muster (nach unserem Dafürhalten zutreffend) vor, dass die datenverarbeitende Partei jeweils allein verantwortlich ist. Verarbeitet der Sponsor also z. B. Kontaktdaten von Mitarbeitern des Prüfzentrums, weil diese als Ansprechpartner für die Durchführung der Studie fungieren, ist er hierfür datenschutzrechtlich auch allein verantwortlich.

Damit die Parteien gegenüber den Mitarbeitern der jeweils anderen Partei ihre Informationspflichten nach Art. 13 f. DSGVO erfüllen können, werden sie in Ziffer 9 der Standardvertragsklauseln verpflichtet, der jeweils anderen Partei eine Datenschutzerklärung zur Verfügung zu stellen, in der diese Verarbeitung beschrieben wird. Die andere Partei muss diese Erklärung dann ihren Mitarbeitern zur Verfügung stellen, die von der Verarbeitung betroffen sind.

Praktischer Handlungsbedarf für Sponsoren und Prüfzentren

In diesem Zusammenhang bestehen vor allem die folgenden To-dos für Sponsoren und Prüfzentren:

  1. Datenbestände und Rechtsgrundlagen prüfen

    Überprüfung, welche Daten über Mitarbeiter der jeweils anderen Partei verarbeitet werden und auf welche Rechtsgrundlage diese Verarbeitung gestützt werden kann.

  2. Datenschutzerklärungen anpassen

    Überprüfung der eigenen Datenschutzerklärung, ob darin die Verarbeitung der Daten von Mitarbeitern der anderen Partei beschrieben wird und ggf. Anpassung der Erklärung; alternativ erscheint die Erstellung einer dezidierten Erklärung für dieser Verarbeitungssituation ebenfalls sinnvoll.

  3. Interne Prozesse zur Weitergabe von Informationen prüfen

    Überprüfung der Prozesse zur internen Weiterleitung von Datenschutzerklärungen der anderen Partei an die eigenen, von der Verarbeitung betroffenen Mitarbeiter

Verarbeitung von Teilnehmerdaten in gemeinsamer Verantwortlichkeit durch den Sponsor und das Prüfzentrum

In der Praxis ungleich wichtiger sind allerdings die in Anlage 2 zur Standardvertragsklauselverordnung enthaltenen Vorgaben für die Vereinbarung zur Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit durch den Sponsor und das Prüfzentrum gem. Art. 26 DSGVO (englisch: Joint Controller Agreement, „JCA“).

Diese Vereinbarung soll nach Maßgabe der Standardvertragsklauselverordnung zwar (nur) dann geschlossen werden müssen, wenn die Parteien Daten in gemeinsamer Verantwortlichkeit verarbeiten. Die Verordnung legt mit anderen Worten also nicht fest, dass der Sponsor und das Prüfzentrum bei der Durchführung einer klinischen Studie Daten in gemeinsamer Verantwortlichkeit verarbeiten, sondern setzt voraus, dass eine solche Verarbeitung erfolgt.

In der Praxis ist diese Voraussetzung aber ganz regelmäßig erfüllt, da ein Sponsor und ein Prüfzentrum ganz regelmäßig als gemeinsam Verantwortliche zu qualifizieren sind, wenn sie Daten von Teilnehmern zur Durchführung einer klinischen Studie verarbeiten (auch nach Auffassung der Datenschutzaufsichtsbehörden, siehe z. B. Europäischer Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, S. 26 und der Bundesregierung in der Verordnungsbegründung).

In diesem Fall sind der Sponsor und das Prüfzentrum nach Art. 26 DSGVO verpflichtet, ein JCA zu schließen. Hierzu dienen die in Anlage 2 enthaltenen Standardvertragsklauseln.

Inhalte des Joint Controller Agreement

Die Standardvertragsklauseln regeln die typischen Elemente eines JCA, insbesondere:

  • Zuständigkeiten bei der gemeinsamen Vereinbarung
  • Information und Rechte der betroffenen Personen
  • Umgang mit Datenpannen gem. Art. 33 f. DSGVO
  • Vertraulichkeit und Datensicherheit
  • Einbindung von Auftragsverarbeitern
  • Haftung im Innenverhältnis

Nach dem Muster soll z. B.

  • der Sponsor im Innenverhältnis insbesondere zuständig sein für
    • die Verarbeitung der ihm übermittelten pseudonymisierten Studiendaten sowie
    • die Bereitstellung und Sicherheit des eCRF
  • das Prüfzentrum hingegen insbesondere zuständig sein für
    • die Erhebung und Verarbeitung der personenbezogenen Daten der Prüfungsteilnehmer,
    • die Dokumentation der Reaktionen auf das Prüfpräparat sowie
    • (primär) für die Beantwortung von Betroffenenanfragen.

An ein paar wenigen Stellen sind auch noch Anpassungen an den Einzelfall vorzunehmen.

Bewertung aus Sicht von Sponsor und Prüfzentrum

Auch wenn festzustellen ist, dass sich die Bundesregierung bemüht hat, die Regelungen in der Mustervereinbarung „im Großen und Ganzen“ fair auszugestalten, sind einzelne Regelungen tendenziell eher zugunsten des Prüfzentrums gehalten, wobei wir einige Regelungen auch nicht als interessengerecht ansehen, z. B.:

  • Weitreichendes Aussetzungsrecht des Prüfzentrums

    Das Prüfzentrum darf bereits dann die Übermittlung von personenbezogenen Daten an den Sponsor aussetzen bzw. einstellen, wenn „Zweifel“ daran bestehen, dass für deren Verarbeitung/Zurverfügungstellung/Übermittlung keine Rechtsgrundlage besteht, insbesondere im Zusammenhang mit internationalen Datentransfers.

    Diese Regelung ist zu weitgehend, da es das Prüfzentrum damit quasi in der Hand hätte, ob dem Sponsor noch Daten zur Verfügung gestellt werden oder nicht, da bloße „Zweifel“ fast in jeder Situation vorgebracht werden können. Im worst case könnte dies sogar die weitere Durchführung der Studie gefährden.

    Auch wenn dieses Recht zur Aussetzung der Übermittlung beiderseitig besteht, treffen die damit verbundenen Risiken vor allem den Sponsor, da er dringender auf die Übermittlung personenbezogener Daten angewiesen ist als das Prüfzentrum. Aus Sicht des Sponsors sollten diese Regelungen daher abgeändert werden, um die damit verbundenen Risiken zu begrenzen.

  • Fehlende ausdrückliche Dokumentationspflicht für Einwilligungen

    In dem JCA ist keine ausdrückliche Pflicht des Prüfzentrums vorgesehen, die Einwilligungen der Teilnehmer im Einklang zu dokumentieren. Eine solche Verpflichtung sollte im Interesse des Sponsors aber ausdrücklich vereinbart werden, da auch er die Einwilligung ggf. nachweisen muss.

  • Unzureichende Mitwirkungspflichten bei Einwilligung und Patienteninformation

    Zudem sind z. B. keine Mitwirkungspflichten des Prüfzentrums an der Einwilligung und der Patienteninformation vorgesehen. Auch wenn es sachgerecht ist, dass diese Informationen grundsätzlich vom Sponsor zu erstellen sind, sollten Prüfzentren den Sponsor jedenfalls dann informieren müssen, wenn ihnen Unzulänglichkeiten auffallen, z. B. infolge besonderer Umstände im Prüfzentrum.

  • Keine Regelung bei Löschpflichten des Prüfzentrums

    Im JCA ist keine ausdrückliche Regelung für den Fall enthalten, dass das Prüfzentrum bestimmte Daten löschen muss - der Sponsor diese Daten aber noch benötigt. Im Interesse des Sponsors sollte das JCA daher Regelungen enthalten, die sicherstellen, dass der Sponsor auch weiterhin über die Daten verfügen kann.

Praktischer Handlungsbedarf bei Nutzung der Standardvertragsklauseln

Gleichwohl ist davon auszugehen, dass Sponsoren und Prüfzentren die Vorgaben in der Praxis – wie teilweise bereits angekündigt – dennoch berücksichtigen und übernehmen werden (mit der Hoffnung Verhandlungsaufwand zu minimieren). Für diesen Fall bestehen unseres Erachtens vor allem die folgenden To-dos:

  1. Erstellung von Standardverträgen zur Verarbeitung in gemeinsamer Verantwortlichkeit auf Basis der Bausteine in Anlage 2, die dann im Detail für die jeweilige Studie angepasst werden können. Dabei sollten die Bausteine aber (geringfügig) ergänzt / angepasst werden, um deren oben dargestellten „Schwachstellen“ zu beheben.
  2. Überprüfung der Zuständigkeitszuweisung und Vornahme der notwendigen Ergänzungen für die konkrete klinische Studie.
  3. Überprüfung und ggf. Anpassung der derzeit verwendeten Templates zur Einholung der Einwilligung der Studienteilnehmer und für die Patienteninformation.
  4. Prüfung und ggf. Anpassung von bestehenden Verträgen im Zusammenhang mit der Durchführung von klinischen Studien, z. B. mit einem Auftragsforschungsinstitut, um sicherzustellen, dass diese Verträge mit den Standardvertragsklauseln zusammenpassen. Ist auf Seiten des Sponsors ein Auftragsforschungsinstitut in die Durchführung der Studie eingebunden, ist mit diesem aus datenschutzrechtlicher Sicht i.d.R. ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zu schließen.
  5. Sicherstellung, dass die (neuen) Verpflichtungen aus den Standardvertragsklauseln eingehalten werden.

Ausblick und Fazit

Die Standardvertragsklauseln können dazu beitragen, dass klinische Studien in Zukunft einfacher und schneller durchgeführt werden können, indem sie bestimmte vertragliche Regelungen im Zusammenhang mit der Durchführung solcher Studien vereinheitlichen. Die praktische Bedeutung der Standardvertragsklauseln ist daher kaum zu überschätzen.

Pharmazeutischen Unternehmen, die Studien initiieren, Auftragsforschungsinstituten und Prüfzentren ist daher dringend zu empfehlen, sich auch mit den datenschutzrechtlichen Bestandteilen der Standardvertragsklauseln auseinanderzusetzen sowie ihre datenschutzrechtlichen Verträge, Templates und Prozesse auf Anpassungsbedarf hin zu überprüfen und bei Bedarf anzupassen.

Related articles
Der Data Act wird scharfgestellt: Bundeskabinett bringt Durchführungsgesetz auf den Weg
19/12/2025 8 mins
Data Act 360°: Ihre Roadmap zur Compliance
12/09/2025 3 mins
Datenschutzkonforme Kommunikation bei Mitarbeiterfluktuation: Was Unternehmen beachten müssen
09/09/2025 4 mins
Data Act: Teil 7 – Was sind eigentlich „ohne Weiteres verfügbare Daten“?
02/09/2025 5 mins
Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

Anstehende Events