Anlage 2 STANDVKLV – (zu § 1 Absatz 1)

(Fundstelle: BGBl. 2025 I Nr. 215, S. 9 - 11)

1.Gemeinsame Verantwortlichkeit1.1Soweit nicht nachstehend abweichend vereinbart, stellt jede Vertragspartei selbst die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie durchgeführten Datenverarbeitungen, sicher.

1.2Im Rahmen der gemeinsamen Verantwortlichkeit ist der Sponsor für die Verarbeitung der für die Zwecke der klinischen Prüfung aufgrund des Prüfplans erhobenen und an den Sponsor weitergegebenen pseudonymisierten Daten der Prüfungsteilnehmer, die Bereitstellung und Sicherheit des elektronischen Prüfbogens (electronic case report form, eCRF), die Überwachung und die Überprüfung der ordnungsgemäßen Durchführung der klinischen Prüfung <Ggf.

Ergänzung weiterer tatsächlich stattfindender Datenflüsse bezüglich aller der gemeinsamen Verantwortlichkeit unterliegenden personenbezogenen Daten> zuständig.

Er ist insbesondere für einen den Anforderungen des Artikels 32 der Datenschutz-Grundverordnung entsprechenden Übertragungsweg zwischen dem Prüfzentrum und dem eCRF zuständig.

1.3Das Prüfzentrum ist im Rahmen der gemeinsamen Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten der Prüfungsteilnehmer in Verbindung mit der Durchführung der klinischen Prüfung zuständig.

Davon umfasst sind die Erhebung der Studiendaten, die Überwachung und die Dokumentation der Reaktion der Prüfungsteilnehmer auf das Prüfpräparat, die Aufbereitung der gewonnenen Erkenntnisse und deren Weitergabe mittels eCRF an den Sponsor in pseudonymisierter Form sowie die Meldung unerwünschter Ereignisse an den Sponsor <Ggf.

Ergänzung weiterer tatsächlich stattfindender Datenflüsse bezüglich aller der gemeinsamen Verantwortlichkeit unterliegenden personenbezogenen Daten>.

Das Prüfzentrum ist insbesondere zuständig für eine den Anforderungen des Artikels 32 der Datenschutz-Grundverordnung entsprechende Verarbeitung der personenbezogenen Daten bis zur Weitergabe auf dem in der Zuständigkeit des Sponsors liegenden Übertragungsweg zwischen dem Prüfzentrum und dem eCRF.

1.4Tätigkeiten, die vor der Unterzeichnung des Vertrages zur Durchführung der klinischen Prüfung erfolgen, sind nicht Gegenstand der Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit.

1.5Tätigkeiten, die nach dem Abschluss der im Prüfplan aufgeführten Untersuchungen, nach der Übergabe sämtlicher vollständig ausgefüllter eCRF durch das Prüfzentrum an den Sponsor und nach der Schließung des Prüfzentrums, einschließlich abschließendem Data Cleaning und Abschluss der Prüfungs-Datenbank für das Prüfzentrum, erfolgen, sind nicht Teil der gemeinsamen Verantwortlichkeit.

Zu diesen Tätigkeiten zählen beispielsweise die wissenschaftliche Auswertung sowie die Zulassung des prüfungsgegenständlichen Arzneimittels oder die Archivierung.

1.6Der Sponsor wird dem Prüfzentrum eine von der Ethik-Kommission geprüfte und in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung ausgefertigte Information zur prüfplankonformen Verarbeitung personenbezogener Daten sowie ein den Vorgaben der Datenschutz-Grundverordnung entsprechendes Formblatt für eine Einwilligungserklärung der Prüfungsteilnehmer bereitstellen.

Das Prüfzentrum ist nicht für die Überprüfung dieses Formblatts zuständig.

Das Prüfzentrum wird dem Sponsor die aufgrund des Prüfplans und der Einwilligungserklärungen erhobenen Daten der Prüfungsteilnehmer in pseudonymisierter Form zur Verfügung stellen.

2.Information der BetroffenenDie Vertragsparteien sind gesetzlich verpflichtet, den betroffenen Personen die nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung erforderlichen Informationen sowie Informationen über die wesentlichen Inhalte dieser Vereinbarung in präziser, transparenter, laienverständlicher Sprache und leicht zugänglicher Form unentgeltlich zur Verfügung zu stellen.

Diese Informationen sind Bestandteil der vom Sponsor zu erstellenden Patienteninformation.

Die Vertragsparteien sind sich einig, dass das Prüfzentrum die vom Sponsor zur Verfügung gestellten Informationen zur Verarbeitung personenbezogener Daten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung den Prüfungsteilnehmern bereits vor der Erhebung der personenbezogenen Daten bereitstellt.

Das Prüfzentrum ist nicht verpflichtet, die vom Sponsor zur Verfügung gestellten Informationen auf Rechtskonformität zu prüfen.

3.Rechte der Betroffenen3.1Betroffene Personen können die ihnen aus den Artikeln 15 bis 22 der Datenschutz-Grundverordnung zustehenden Rechte („Betroffenenrechte“) gegenüber allen Vertragsparteien geltend machen, wobei das Prüfzentrum den betroffenen Personen als primäre Kontaktstelle angeboten wird.

Sofern eine betroffene Person an den Sponsor zur Ausübung ihrer Betroffenenrechte herantritt, verweist dieser generell auf die ausgehändigte Patienteninformation und an das Prüfzentrum, das als primäre Kontaktstelle zur Wahrung der Betroffenenrechte dient.

3.2Die Vertragsparteien unterstützen sich gegenseitig bei der Erfüllung der Betroffenenrechte unter Wahrung der Pseudonymisierung.

Die Vertragsparteien stellen sich bei Bedarf die erforderlichen Informationen aus ihrem jeweiligen Zuständigkeitsbereich gegenseitig zur Verfügung.

Dies erfolgt in pseudonymisierter Form anhand der prüfungsspezifischen Identifikationsnummer.

3.3Im Übrigen sind die Vertragsparteien für die Umsetzung und Befolgung der Betroffenenrechte hinsichtlich der bei ihnen oder ihren Auftragnehmern verarbeiteten Daten selbst zuständig.

3.4Anfragen betroffener Personen betreffend die Löschung ihrer personenbezogenen Daten, die Gegenstand der gemeinsamen Verarbeitung sind, werden bei Eingang unverzüglich der anderen Vertragspartei mitgeteilt.

Wenn eine der Vertragsparteien sämtliche oder Teile der personenbezogenen Daten nach Artikel 17 Absatz 3 der Datenschutz-Grundverordnung nicht löschen muss oder darf, muss diese Vertragspartei sicherstellen, dass sie diese personenbezogenen Daten löschen wird, sobald die gesetzliche Verpflichtung zur Löschung nach Artikel 17 Absatz 1 der Datenschutz-Grundverordnung eintritt.

Wenn eine Anfrage betreffend die Löschung personenbezogener Daten begründet ist oder die Rechtsgrundlage für die Datenverarbeitung weggefallen ist, löschen die Vertragsparteien die betreffenden personenbezogenen Daten.

Jede Vertragspartei setzt ein Protokoll über die Löschung personenbezogener Daten auf, das der jeweils anderen Vertragspartei auf Anfrage bereitzustellen ist.

Zur Sicherstellung einer rechtzeitigen und rechtskonformen Löschung erarbeiten die Vertragsparteien ein Löschkonzept, in dem festgelegt wird, welche personenbezogenen Daten durch wen zu löschen sind.

4.Unregelmäßigkeiten, Datenschutzverletzungen und Zweifel an der Rechtmäßigkeit4.1Die Vertragsparteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten nach dieser Vereinbarung Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.

4.2Die Vertragsparteien sind für die aus den Artikeln 33 und 34 der Datenschutz-Grundverordnung resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Zuständigkeitsbereich zuständig.

Die Vertragsparteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten im Rahmen der gegenständlichen klinischen Prüfung an die Aufsichtsbehörde und unterstützen sich gegenseitig im Rahmen des rechtlich Zulässigen bei der Durchführung der Meldung.

4.3Die Vertragsparteien sind berechtigt, der jeweils anderen Vertragspartei keine weiteren personenbezogenen Daten mehr zur Verfügung zu stellen oder zu übermitteln, wenn und soweit Zweifel bestehen, dass für die Verarbeitung der personenbezogenen Daten, deren Zurverfügungstellung oder deren Übermittlung eine Rechtsgrundlage besteht.

Zweifel können sich insbesondere daraus ergeben, dass veränderte rechtliche oder tatsächliche Umstände zu einer neuen rechtlichen Bewertung der Rechtsgrundlage führen, wie beispielsweise das erstmalige oder veränderte Erfordernis einer Rechtsgrundlage nach den Artikeln 44 bis 50 der Datenschutz-Grundverordnung.

Solche Umstände können sich auch aus behördlichen oder gerichtlichen Verfügungen sowie Veröffentlichungen der Aufsichtsbehörden ergeben.

Die Vertragsparteien werden darauf hinwirken, die Rechtsgrundlage zu klären.

5.DatenschutzfolgenabschätzungenDie Vertragsparteien stellen in ihrem jeweiligen Zuständigkeitsbereich sicher, dass Datenschutzfolgenabschätzungen nach Artikel 35 der Datenschutz-Grundverordnung vorliegen, sofern diese erforderlich sind.

Die Vertragsparteien unterstützen sich hierbei gegenseitig, soweit erforderlich.

6.Aufbewahrung von DokumentationenDokumentationen, die der Einhaltung der ordnungsgemäßen Datenverarbeitung nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung dienen, werden durch jede Vertragspartei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.

7.Vertraulichkeit und Datensicherheit7.1Die Vertragsparteien stellen innerhalb ihres jeweiligen Zuständigkeitsbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeiter die Vertraulichkeit der Daten in Einklang mit den Artikeln 29 und 32 der Datenschutz-Grundverordnung und ohne eine Verletzung des § 203 des Strafgesetzbuchs sowie bei ausländischen Partnern in Einklang mit einem vergleichbaren Standard des Geheimnisschutzes für die Zeit ihrer Tätigkeit im Zusammenhang mit der Verarbeitung der personenbezogenen Daten wie auch nach Beendigung der Tätigkeit wahren und dass diese Mitarbeiter vor Aufnahme ihrer Tätigkeit entsprechend zur Vertraulichkeit der Daten verpflichtet und in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.

7.2Die Vertragsparteien haben jeweils dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten.

Sie haben hierzu angemessene Datensicherheitsvorkehrungen nach Artikel 32 der Datenschutz-Grundverordnung zu treffen.

Dies gilt insbesondere im Fall der Beendigung der Zusammenarbeit.

7.3Die Implementierung, die Voreinstellung und der Betrieb der genutzten Systeme zur Datenverarbeitung sind unter Beachtung der Vorgaben der Datenschutz-Grundverordnung und anderer Regelungswerke, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen, sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen.

8.AuftragsverarbeiterDie Vertragsparteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung einen Vertrag nach Artikel 28 Absatz 3 der Datenschutz-Grundverordnung abzuschließen.

Handlungen und Verarbeitungen von Auftragnehmern einer Vertragspartei sind dieser Vertragspartei zuzurechnen.

Die Einhaltung etwaiger zusätzlicher Vorgaben des 5.

Kapitels der Datenschutz-Grundverordnung wird durch die den Auftragsverarbeiter beauftragende Vertragspartei sichergestellt.

9.VerarbeitungsverzeichnisDie Vertragsparteien nehmen die Verarbeitungstätigkeiten in ihre jeweiligen Verarbeitungsverzeichnisse nach Artikel 30 Absatz 1 der Datenschutz-Grundverordnung auf, insbesondere versehen mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung.

10.Dauer und Kündigung10.1Die vertraglichen Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit gelten für die Dauer der Verarbeitung personenbezogener Daten.

Die gesonderte ordentliche Kündigung dieser Regelungen ist ausgeschlossen.

10.2Die Vertragsparteien können diese Vereinbarung mit sofortiger Wirkung kündigen, wenn ein schwerwiegender oder fortgesetzter Verstoß der anderen Vertragspartei gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt.

Ein schwerwiegender Verstoß liegt insbesondere vor, wenn eine Vertragspartei die in dieser Vereinbarung bestimmten Pflichten, insbesondere die notwendigen technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt.

11.Haftung11.1Artikel 82 der Datenschutz-Grundverordnung bleibt unberührt.

Die vertraglichen Regelungen des Datenschutzes bei gemeinsamer Verantwortlichkeit begründen darüber hinaus keinen Anspruch betroffener Personen oder sonstiger Dritter sowie keine Gesamtschuldnerschaft der Vertragsparteien.

11.2Im Innenverhältnis haftet jede Vertragspartei gegenüber der anderen Vertragspartei für den Schaden, der durch Verarbeitungen in ihrem jeweiligen Zuständigkeitsbereich entstanden ist.

Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG · aktuelle Fassung

Diese Seite zeigt die aktuelle Fassung (Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG). Für tagesaktuelle, zitiersichere Abfragen lässt sich Anlage 2 STANDVKLV und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Anlage 2 STANDVKLV direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.